次期マイナカードは何が変わる? 新デザインに暗証番号統合、「マイナンバーカード」の名称変更も検討へ
デジタル庁は3月18日、マイナンバーカードの次期カードについて、最終案をとりまとめた。カードデザインを刷新する他、券面での性別表記の撤廃、4つ設定する必要のあった暗証番号を2つに統合するなど、使い勝手の改善も図っている。
デザイン変更
変更点だが、まず物理カードのデザインを刷新する。偽造防止対策、ユニバーサルデザイン対応、視覚障害者への配慮(カードの表裏識別など)を目的としたシンプルなデザインで、文字サイズやフォントなど読みやすさも考慮されているという。カードから性別表記が削除された他、国の保証のもとに発行されていることを明確化するため、券面に「日本国 JAPAN」という表記を追加。追記欄も拡大する。
一方で、カード内部のICには氏名、生年月日、住所、顔写真、性別を含めた券面記載事項が記録されており、国はその情報を個人情報に配慮しつつ読み取るためのスマートフォンアプリを無償配布する予定。これにより、券面情報を電子的に提供でき、提示を受ける側が確実に本人確認できるとしている。
なお、マイナンバーは引き続き券面(裏面)に記載する。各機関にマイナンバーを提供する際、自身のマイナンバーを券面で確認するケースが今後も多数想定されることや、カードをコピーする運用が今すぐには無くならず、支障が生じるおそれがあるためとしている。併せて、マイナンバーだけでシステムへのアクセスや行政手続の申し込みなどは一切できず、個人情報の盗取といった損害を被ることもないとの周知に努めるという。
セキュリティ向上
電子証明書は、有効期間を5年からカード本体の有効期間と同じ10年に延長(18歳未満は5年)。10年の有効期間に耐えうる暗号方式として、公開鍵暗号方式は「ECDSA-384」、ハッシュ関数は「SHA-384」(いずれも192bit)に移行する。
カードは256bit(公開鍵暗号方式はECDSA-521、共通鍵暗号はAES256、ハッシュ関数はSHA-512)に対応できるものの採用を検討する一方、共通鍵暗号方式のGCM対応については、Global Platform仕様等の標準規格では採用されていないことから、将来的な課題としていったん先送りする。
電子証明書の有効期間を10年とした場合、認証局の自己署名証明書の有効期間は20年になるとしているが、万が一、想定される有効期間の2050年よりも前に暗号方式での懸念が出た場合、有効期間を待たずに新たな暗号方式への移行を検討するという。PQC(耐量子計算機暗号)については「採用を否定するものではない」と、その可能性にも触れた。
なお、現在の電子証明書に使われている「RSA2048」につていは、CRYPTRECの設定基準により、2031年1月1日以降利用不可となっている。次期マイナンバーカードは2026年を視野に導入を進めるものの、有効期限などから31年1月までの移行完了は困難と想定しており、CRYPTRECの基準見直しの際に、利用延長に向けた相談を検討する必要があるとしている。
暗証番号は4つ→2つに
現行のマイナンバーカードには、公的個人認証サービス、券面事項入力補助など、目的別に4つのアプリケーション(AP)がICチップに搭載されている。次期カードでは、海外のeIDカードを参考に、暗証番号の入力を必要とする機能を集約した「認証AP(仮)」と、券面記載事項を照合番号の入力で確認・取得できる「券面等AP(仮)」に再編。APの構成は変わるものの、ユーザーの端末側の対応に負担がないようにするという。
これにより、現在4つの設定が必要な暗証番号が、4桁と6桁以上の2つの暗証番号で済むことになる。署名用の暗証番号(6~16桁の英数字)で、券面事項入力補助データにもアクセスできるようにすることで、署名の際に別途4桁の暗証番号を重ねて聞く仕様を解消する。読み取りにくく桁数も多い照合番号については、海外eIDカードの事例を参考に、6桁の読み取りやすい番号にするという。
将来的には、スマートフォンの生体認証などを活用することで、暗証番号の入力を不要にすることも検討する。
なお、暗証番号がロックされた場合の備えとして、海外の事例を参考に、希望者は「PUK」(PIN UNLOCK KEY)を設定できるようになる。4桁の暗証番号がロックされた場合に、PUKを使用してマイナポータルアプリで、認証番号のロック解除と暗証番号の再設定ができるように。市町村窓口に行く手間を軽減するという。
カード発行体制を整理
カードの発行体制も改善する。現在、有効期限の3カ月前から更新の申請が可能だが、次期カードでは、パスポートと同様に、有効期限の1年前から申請できるようにする他、運転免許証と同じく、10回目の誕生日の1カ月後までを有効期限にする。また、誕生日前に更新した場合は、直後に迎える誕生日をカウントに含めないようにする。
24年12月2日から、申請から1週間以内(最短5日)で交付できる「特急発行」を開始。満1歳未満の乳児、紛失などによる再交付、海外からの転入者、本人の意志によらずカードが使えなくなったケースなどを対象に実施する。
現行カードでは、電子証明書の有効期限は5回目の誕生日とされているが、次期カード導入までの間、現行カードでは約5000万枚以上の電子証明書の更新が必要になることを踏まえ、市町村窓口や郵便局での更新体制を整備。その他市町村窓口の負担軽減策についても検討を進める。
一方で、個人番号カード自体の更新は、最高位の本人確認書類であることも踏まえ、顔写真の情報が必ず変更されることから、現在と同様、対面による本人確認を継続する。
マイナンバーカード以外の呼び方を募集
その他、カード本体やJPKIアプリで真贋性判定機能を追加。認証APにて、デバイス認証するための内部認証鍵を設け、デバイス認証を必要とする期間に、内部認証鍵に対応した公開鍵を配布する方向で対応する。カードの真正性を確認できるセキュアメッセージング機能を必須とする対応も行う。
次期カードを利用する際のインターフェイス仕様(APDU仕様書)についても、安全性の確保を前提に公開する。個人番号カード利用端末の開発をしやすくし、個人番号カードの利活用が進むとしている。
マイナンバーカードという名称自体も変更を検討する。民間事業者がJPKIサービスを利用する場合など、マイナンバーを利用しないカードの活用法も多くあるものの、こうしたケースでもマイナンバーが使われていると誤解されたり、マイナンバー利用とカード利用が混合されたりする原因に「マイナンバーカード」という呼称があるとデジタル庁では指摘。
次期カード導入を契機に、マイナンバーカード以外の新たな呼称を、国民から公募することも検討しているという。
スマホ搭載が進んでも物理カードは撤廃せず
デジタル庁では、23年5月からスマートフォンへのマイナンバーカード機能の搭載をスタートしており、法改正で本人確認にも使えるようになる予定だ。物理カードの需要は減っていくと考えられるが、デジタル庁は「スマホを保有していない国民がまだ多いこと」「スマホのライフサイクルは概ね5年程度と短いこと」「スマホ搭載が進んだとしても、現時点で個人番号カードは、対面・非対面で本人確認手段として重要である」ことから、物理カードの発行は引き続き行っていくという。
一方で、スマートフォン搭載が進めば、先述の通り、内蔵されている生体認証などを活用して利便性を高めることで、カードを常に持ち歩く必要がなくなるとしている。そのためにも「スマホ用電子証明書発行の24時間対応」「カード用電子証明書を再取得した際に、より簡便にスマホ用電子証明書を再発行・更新できる仕組み」「個人番号カードの電子証明書機能以外(券面事項入力補助AP機能など)のスマホへの搭載」を検討するとしている。