マイナンバーカードの機能が多すぎる！

デジタル社会のパスポートとも呼ばれるマイナンバーカードは、対面・オンラインでの本人確認を行うための様々な機能を有しています。

私は公共業界でデジタルアイデンティティに関する仕事をしているのですが、マイナンバーカードは調べても調べても知らない機能が出てきて、いまだに全容を把握しきれていませんでした。
そろそろちゃんと整理して理解しなければと思いまして、自分用のメモとして公開情報を調べながら、このnoteにとりまとめていきます。

おことわり

• このnoteは私が個人的に調査した公開情報をまとめたものです。業務上知り得た秘密情報や非公開情報は含んでおりません。

• マイナンバーカードの仕様理解については素人に毛が生えたレベルですので、抜け漏れや誤りがあったら優しく教えていただけると嬉しいです。

• 予想よりも機能が多すぎて、かなり長い記事になってしまいました。斜め読み、読み飛ばし推奨です。

• 今回は物理カードの話です。スマホ搭載の話はまたの機会に。

いきなりまとめ

調べてみたところ合計18機能でした！やはり多すぎます！
（カウントの仕方次第ではありますけど。）

以下、それぞれの機能と用途などを書き連ねていきます。
が、まさか18個もあると思っていなかったのでクソ長いです。興味のないところは読み飛ばしを推奨します。

なお、基本的にはデジタル庁Webサイトで公開されている「マイナンバーカードのアプリの概要」という資料の表をベースにしてメモしていきます。（↓これです）

（デジタル庁「マイナンバーカードのアプリの概要」）

それでは早速いってみましょう！

券面を画像データで取得する機能（券面AP）

（デジタル庁「マイナンバーカードのアプリの概要」より抜粋）

マイナンバーカードの「券面AP」には、カード券面の画像データが格納されています。
対面での本人確認の際、ICチップから画像データを読み取って実物のカードと比較することで、カード券面が物理的に改ざんされていた場合に検知することができます。また、取得した画像情報を記録しておくことで、対面での本人確認を行った証跡として利用するという用途もあるようです。

なお、読み取ったデータにはJ-LISによる電子署名が付与されており、データ自体の改ざんも検知できるようになっています。

①カード券面の画像データ（表面・裏面）を取得する

• カードを読み取って「照合番号A」を入力することで、カードの表面と裏面の券面画像（基本4情報、顔写真、マイナンバーの画像）を取得できます。マイナンバーが含まれるため、個人番号を取扱うことのできる者しか利用できない機能です。

• 「照合番号A」とはマイナンバー12桁です。券面を見ればわかってしまうので、これは盗難対策ではなくスキミング対策だと思います。知識認証である暗証番号と混同されやすいですね。

②カード券面の画像データ（表面のみ）を取得する

• カードを読み取って「照合番号B」を入力することで、表面のみの画像データ（基本4情報と顔写真の画像）を取得できます。裏面のマイナンバーが含まれませんので、個人番号を取扱うことのできない者でも利用できる機能です。

• 「照合番号B」とは、生年月日6桁+有効期限の西暦部分4桁+セキュリティコード4桁の計14桁の番号です。これも照合番号Aと同じく、盗難対策ではなくスキミング対策と思われます。ちなみにセキュリティコードとは、カード表面の写真の下にある4桁の数字です。私は使ったことがありません。

• 実はこの機能はマイナンバーカードの保険証利用における顔認証においても利用されています。カード券面から照合番号BをOCRで読み取り、券面APから顔写真データを取り出して、利用者の顔と比較して認証しているそうです。なかなかトリッキーな仕組みだと思います。

券面の記載事項をテキストデータで取得する機能（券面事項入力補助AP）

（デジタル庁「マイナンバーカードのアプリの概要」より抜粋）

「券面事項入力補助AP」というややこしい名前を持つAPを利用すると、カード券面に印字されているテキストデータを取得することができます。
カードの物理的な改ざん検知などを目的とした「券面AP」に対して、こちらは券面事項（マイナンバーや基本4情報）の入力を補助することを目的とした機能です。システムにデータを直接入力することができるため、入力ミスの防止につながります。対面でもオンラインでも活用できます。

また、券面APと同じくデータにはJ-LISによる電子署名が付与されており、データ自体の改ざんも検知できるようになっています。

③マイナンバーと基本4情報を取得する

• 4桁の暗証番号を入力することで、マイナンバーと基本4情報のテキストデータを取得することができます。マイナンバーが含まれているため、マイナンバー法に基づく事務でのみ利用可能とされています。

• 新型コロナワクチン接種証明書アプリで利用されています。
  （デジタル庁Webサイトの記載より。）

④マイナンバーのみを取得する

• 照合番号Aであるマイナンバー12桁を入力することで、マイナンバーのみのテキストデータを取得することができます。つまりマイナンバーを入力するとマイナンバーを取得できる機能です。何言ってんだお前？

• と思うかもしれませんが、券面を目視しながら手入力せざるを得ないケースにおいて、この機能を経由することで入力ミスを検知することを目的としているようです。

• 当然ながらマイナンバー法に基づく事務でのみ利用可能です。

⑤基本4情報のみを取得する

• 照合番号Ｂ（生年月日6桁＋有効期限の西暦部分4桁＋セキュリティコード4桁の計14桁）を入力することで、基本4情報のみを取得することができます。

• これ機能、実際の利用ケースで結構需要ありそうなのですが、なんで照合番号Bなんですかね。照合番号Bなのでスキミング対策だと思うのですが、オンライン手続きで照合番号Bを入力するというユーザ体験が意味不明だと思うので、個人的には次期カードで見直して欲しいなと思っています。

• なお、照合番号Bは券面から読み取れる情報ですので、オンライン手続きで利用する場合には盗難されたカードでも手続きが可能になるという点には留意が必要です。

公的個人認証の電子証明書を使って認証や署名を行うための機能（JPKI-AP）

（デジタル庁「マイナンバーカードのアプリの概要」より抜粋）

JPKI-AP（公的個人認証AP）には、認証や署名を行うための2種類の電子証明書が格納されています。「利用者証明用電子証明書」はマイナポータルをはじめとして多くの場面で利用する機会があると思います。
が、電子証明書は2種類であっても機能のパターンは意外と多くあり、特にややこしい機能でもあります。

⑥利用者証明用電子証明書で認証する（4PIN）

• 4桁の暗証番号を入力することで、「利用者証明用電子証明書」というものを取り出して認証に利用することができます。マイナポータルのログイン時に利用されています。

• 利用者証明用電子証明書には氏名や基本4情報は含まれていません。証明書のシリアル番号の一致により認証を行います。

⑦利用者証明用電子証明書で認証する（特定機関認証）

• 特定機関認証とは、暗証番号の入力なしに利用者証明を行うことができる機能です。医療機関において患者が意識不明になった場合など、利用者が暗証番号を入力できない場面においても利用者認証を行えるようにするための仕組みのようです。

• ざっくり説明ですが、特定機関にしか配付されない「特定機関認証用公開鍵証明書」と「特定機関認証用秘密鍵」を使うことで、暗証番号なしにJPKI-APから利用者証明用電子証明書を取り出すことができるようです。

• マイナンバーカードの保険証利用においては、②で説明した顔認証、4桁の暗証番号による認証、マイナンバーカードの顔写真と本人との比較による目視での認証、のいずれかで本人確認を行ったうえで、この特定機関認証によって利用者証明を行うことができる仕組みになっているようです。

• 訳がわからん？奇遇ですね。

出典：厚生労働省保険局「オンライン資格確認等システムの導入に関する
システムベンダ向け技術解説書【医療機関・薬局】」

⑧利用者証明用電子証明書で認証する（PINなし利用）

• 「マイナンバーカードPINなし利用クライアントソフト」を利用することで、PINなし（暗証番号なし）でも利用者証明用電子証明書を利用することができます。

• ⑥の方式では知識認証と所有物認証の２要素認証が実現できますが、こちらはそこまでの強度が必要のない用途向けの方式です。例として、自治体の図書館カード等での活用を想定しているようです。

• 対面等での利用を想定されており、オンラインや屋外は不可とされています。また、初回の登録時には暗証番号が必要で、2回目以降にPINなし利用が可能とされています。

⑨署名用電子証明書で署名する

• 「長いほうの暗証番号」などと呼ばれる署名用暗証番号（6～16桁）を入力することで、署名用電子証明書による電子署名を行うことができます。長いほうは世間で忘れられまくっている暗証番号だと思います。

• デジタル手続きにおける実印相当、などと言われることがあります。基本的には何かの申請や届出のときに使うことを想定されており、例えばe-Taxでの確定申告などで利用されています。

⑩署名用電子証明書から4情報を取得する

• 使う機能は⑨と同じなのですが、署名用電子証明書には基本4情報が含まれており、氏名や住所を自動入力するという入力補助機能の側面もあります。

• 用途だけを見ると券面事項入力補助APの「⑤基本4情報のみを取得する」とほぼ同じになるのですが、⑤は照合番号Ｂという訳わからん数字を入力させられるのに対し、署名用電子証明書を使えば世間で忘れられまくっている署名用暗証番号の入力で済むという違いがあります。なんだこのつらい2択は。

• また、照合番号Ｂはスキミング対策であって盗難対策になりませんが、署名用電子証明書であれば暗証番号により盗難時の不正利用を防止することができます。

• ただし、署名用電子証明書にはマイナンバーが含まれていませんので、マイナンバーを必要とする手続きで電子署名したい場合にはカードの読み取りと暗証番号入力を2回要求されられるという問題があるようです。機能の制約を知らないユーザにとっては意味わからん体験ですよね。

住民票コードを取得する機能（住基AP）

（デジタル庁「マイナンバーカードのアプリの概要」より抜粋）

住基APは住民票コードを記録するAPです。住基ネットの事務用とされていますが、どうせ私は使わないので詳しいことはあまり調べていません。

⑪住民票コードのテキストデータを取得する

• 4桁の暗証番号を入力することで、住民票コードをテキストデータとして取得することができます。自治体の窓口などで利用するのだと思いますが、私はまだ使ったことがありません。

ICチップの空き領域を活用する機能

マイナンバーカードのICチップには「空き領域」があり、国、自治体、民間事業者が独自のカードAPを導入して利用することができます。
カードAPには3つの標準タイプ（標準カードAP）が設定されており、J-LISが無償で提供しています。

⑫タイプA（レコード型AP）を利用して認証する

• 相互認証を行うため厳格な認証が必要なケースに適しているとされています。利用時にはパスワードを求めることができます。証明書のコンビニ交付や印鑑登録証などで利用されているようです。

⑬タイプC（共通カードAP）を利用して認証する

• 認証不要でIDを読みだすことが可能で、図書館カードやポイントサービス等での利用を想定しているようです。

• ⑧の利用者証明用電子証明書のPINなし利用とのすみ分けは、正直よくわかっていません。

⑭タイプD（バイナリ型AP）を利用して認証する

• 格納できるデータ容量が大きく、データの暗号化を行うユースケースでの利用が想定されているようです（ほかの2タイプは暗号化なし）。利用時にはパスワードを求めることができます。

• 総務省の資料には「主に、避難者情報等の4情報を取り扱うサービスで使用。」と書かれていましたが、詳細はよくわかりませんでした。

⑮独自仕様APを利用する

• 上記の3つの標準タイプのほか、独自仕様のカードAPも利用可能です。

• 具体的な事例はちゃんと調べてません。ごめん。

ところでタイプBはどこに行った？

ICチップ以外の機能

ここからはICチップ外の機能です。
もう16個目ですよ。さすがに疲れてきました。

⑯QRコードからマイナンバーのテキストデータを取得する

• マイナンバーカードの裏面にはQRコードがあり、QRコードを読み取るとマイナンバーのテキストデータとして取得することができます。

• ICカードを利用できない場面で、書き取りの負担やデータ入力ミスを防ぐために利用されるものだと思います。

• 個人情報保護委員会からちょっとした注意喚起が出ています。
  インターネット等にマイナンバーカード裏面のＱＲコードを掲載することに対する注意喚起 ｜個人情報保護委員会 (ppc.go.jp)

⑰磁気ストライプを読み取って認証する

• 調べたところ、自治体が図書館カードや印鑑登録証として活用しているらしいです。

• 仕組み的に暗証番号のようなアクセスコントロールはありません。

• あんまり情報が見つからなかったのですが、他の方式と比べて既存のリーダーを利用できるメリットがありそうですね。

⑱物理的な身分証明書として利用する

• 最後はアナログ方式です。マイナンバーカードは、もちろん物理的な身分証明書としても利用することができます。

• 券面にはたくさんの偽造防止技術が使われており、あのクソダサい独特のデザインを形作っています。ちなみにこの理由により、諸外国の国民IDカードの券面も大体ダサい似通ったデザインです。

  • 見る角度によって色が変わるパールインキ

  • コピー時に文字が浮き上がるコピー牽制

  • 写真のエッジをぼかして貼り換えを難しくするシェーディング加工

  • レーザー光でカード基盤を黒く変質させることで印字するレーザーエングレーブ

  • コピー機やプリンタでは印刷できない微細なマイクロ文字

  • 微細な線やグラデーションによる彩紋パターン

まとめ

やっと終わりました。やはりどう考えても機能が多すぎます！
まさかこんなにあるとは。疲れました。

多機能なのは悪いことではないのですが、学習コストが高すぎるのは悩みどころですね。

2023/11/25追記：簡単な一覧表を作りました。
2023/11/26修正：一覧表を一部修正しました。

おわりに

これらを整理して個人的に気になったのは、これらの機能の多くが「マイナンバーカードをかざす」という同一の体験で利用されることです。
いま自分が何をしているのかユーザは絶対正確に理解できてないのでは？と思いました。

なので、自分がカードをかざした結果どんな処理が行われたのか、誰もが理解できるユーザ体験があると良いのになと思います。電子マネーみたいにかざしたときマイナちゃんが「署名しました！」とか喋ってくれるってのはどうですかね？

この記事は以上になります。最後まで読んでいただきありがとうございました。

参考文献リンク

• デジタル庁　マイナンバーカードとは

• デジタル庁　マイナンバーカードPINなし利用クライアントソフト（自治体向け活用情報）

• 総務省　番号制度、個人番号カード及び公的個人認証サービスの概要

• 総務省　民間事業者によるマイナンバーカードの 空き領域の活用について

• J-LIS　マイナンバーカードアプリケーション搭載システム

• 厚生労働省　オンライン資格確認等システムの導入に関する システムベンダ向け技術解説書 【医療機関・薬局】

• @migimigi_さんのQiita記事　何故マイナンバーカードの保険証利用が暗証番号レスで可能なのか #電子署名 - Qiita

• マイナインフォ　マイナンバーカードの券面偽造防止技術とは (mynumber-information.jp)