日本と欧州の発想の違い

　デジタルアイデンティティとその入れ物であるデジタルIDウォレットについて、当研究所所報第6号で取り上げた。当方の論文[i]では、欧州での法制の動きを技術仕様に踏み込んで紹介したところ、次のような質問を受けた。「日本ではマイナンバーカード機能をスマホに搭載する動きが進んでいるが、あれと同じようなものか？」。答えは「一見すると同じ機能のように見えるが、枠組みの発想法が異なるので別物」ということになろう。

　論文のまとめでは、我が国の現状を、公的デジタルIDとしてマイナンバーカードの利用促進や機能拡張が進められてはいるが、デジタルIDウォレットのグランドデザインが存在していないと指摘した。この違いを理解するには、そもそもアイデンティティとは何かという定義から始めた方がよい。

　アイデンティティとは、個人、組織、またはデバイス機器が一意に識別されるための情報や属性の集合体を指す。デジタルアイデンティティは、これらがデジタル空間において一意に識別されるためのもので、インターネットを介在したサービスにおいては必須のものとなっている。

　個人は膨大な属性を有しているので、アイデンティティは無数に定義することができる。マイナンバーや運転免許書は、このうち公的主体が発行したアイデンティティの一つに過ぎない。銀行口座などの金融サービスでは公的IDが必要となるが、SNSでアカウントを作成したり、前払い式支払手段の電子マネーを発行してもらう際には、本名や住所、年齢などは必須ではない。SNSアカウントは仮名で作成できるし、同一サービスで複数のアカウントを持てるものも多い。

　一般に、デジタルサービスを受ける際に登録する「デジタル空間上の私」は無数に定義することができる。このためSNSのアカウントやメールアドレスは一般に複数作ることができる。こうしたデジタル空間上の私（デジタルアイデンティティ）を設定したうえでサービスに登録し、利用する際に「デジタル空間上の私」としてネットを通じてサービスにアクセスし、「デジタル空間上の私」本人であることを認証する作業を都度行い、サービスの利用を認可してもらう。メールアドレス新規開設や動画・音楽ストリーミングサービス利用の登録と、これらを利用する際のログイン行為の意味を考えてみよう。そうすると、登録（デジタル空間での「私」の宣言）と利用の際の「私」の確認、および認証、認可の意味が理解しやすくなる。登録されている「私」以外にサービスを利用させないために、「私」の認証は必須の要件となる。

　所報論文やフォローアップのWebレポート[ii]で取り上げた「欧州デジタルID枠組み規則」は、こうした様々なデジタルアイデンティティを対象として、これをどう発行・管理・運用していくかを法律として定めたものであり、公的IDより遥かに対象範囲が広い。翻って日本の現状をみると、マイナンバーという公的IDや、マイナンバーカードという本人認証や署名機能を提供する物理媒体をスマホに展開することで、活用の余地を図る動きが進んでいる。一方で、デジタルアイデンティティの標準化された仕組みを作り、社会インフラとして国が整備しようというさらに将来を見越した対応になっているようには見えない。

　その間、海外や国内のプラットフォーマーやネットを中心とするビジネスでは、顧客や顧客IDを獲得し、自社やグループエコシステムでのビジネス展開に活用しようという動きが進展してきた。当然、標準化は中途半端であり、囲い込みが目的であるために互換性にも難がある。これは、個人情報の管理という観点や、ユーザーの意思に基づく安全なデータ活用の促進という観点、独占寡占の抑制という競争政策上の観点、見えにくいかたちでサービスから排除されるという公正性の観点からも望ましくない。一方で、サービス登録やログイン時にプラットフォーマーのIDを転用・共通利用する現象は、便利であるがゆえに拡がりを見せている。

　本稿では、改めてEUDIWの仕様上の本質に焦点を当て、現在、日本政府によって進められているマイナンバーカードの機能拡張等と比較することで、両者のアプローチがどのように異なっているかを明らかにすることを目的とする。

EUDIWの本質的な特徴

　最初に、よくある誤解について触れる。一般に、「ウォレット」とは主にスマートフォンやタブレットなどのデバイスに搭載される、財布の役割を提供するものであり、支払い機能に加えて、デジタル資産・ID属性情報などの管理もできるとされる。 一方、EUDIWは、ID属性情報管理機能の面から「ウォレット」を活用するものであり、デジタル資産管理や支払い機能については触れられていない。このようにEUDIWは、オンラインを含めた公共および民間のデジタルサービスを受ける際に本人確認の手段等として利用できるEU域内で共通に使える相互運用性が保証されたアプリであり、ユーザーが自身のIDデータや属性情報を安全に保存・管理できるといった特徴がある。ユースケースとしては、オンラインサービスにアクセスするための本人確認・認証、電子署名、運転免許証、仮名アクセス、eヘルス、学歴や専門資格等の電子証明、デジタル金融、電子パスポート等が挙げられている。

　そして、EUDIWから依拠当事者（RelyingParty）に提示できる情報としては、身元を確認することができる一連のデータである個人識別データ（PID: Person Identification Data）のほか、発行者の法的区分（公的機関、適格なトラストサービスプロバイダ、非認定のトラストサービスプロバイダ）に応じた3種類の電子属性証明書（EAA: Electronic Attestation of Attributes）がある。各電子属性証明書等の情報は、それぞれの発行事業者によって作られ、EUDIWに対して発行される（図表1、図表２）。

　ところで、我々が日常生活において様々なサービスを受ける際には、オンラインかオフラインかを問わず、何らかの認証を要することが多い。例えば、銀行口座開設では銀行店舗での開設やネット開設ともに、免許証等の公的書類を使った確実な本人確認が必要となる。預金引き出し時には本人の口座であることをキャッシュカード＋暗証番号で確認（認証・認可）することが行われる。また、前述したようにSNS等のオンラインサービスを利用する際には、IDとパスワードが必要であり、それによって登録時のユーザー本人に間違いないことを認証している。しかしながら、登録時には必ずしも本人確認書類の提示まで求めず、匿名でサービスを受けることが可能なサービスも多い。

　このように、様々なサービスにおける認証のユースケースを見ると、厳密な意味での本人認証が可能となる公的な本人確認書類が必要な場面ばかりではなく、民間が発行する資格証明書や会員証等の書類が使われることも多い。EUDIWでは、こうした様々な認証レベルのデジタルIDを搭載し、ユーザーが使い分けることができる汎用的なインフラであり、政府が保証する公的デジタルIDはもちろん、それ以外の民間のものを含めた様々な用途のデジタルIDを管理できることがメリットである。

　また、酒やたばこの販売に際しては、日本では20歳以上であることの確認が必要であり、外見で判断できない場合には、年齢が証明できるIDカードの提示が求められることがある。しかし、必要なのは20歳以上であるという本人属性を証明することであり、IDカードに書かれている実名や実年齢までを晒す必要はないはずである。これは、接客業のネームプレートにおいて必ずしも本名を示す必然性がなく、業務遂行に必要なアイデンティティが仮名や略称で示されていればそれで十分であるという理屈と類似している。EUDIWは、例えば年齢に関する属性に関し粒度の異なる複数の属性を持ち（例えば18歳以上か否かのみの識別情報）、ニーズに応じて使い分けることが可能となるなど、ユーザーが必要最低限の情報のみを提示することで、自らの個人情報を管理出来るようになっている。

マイナンバーカードの機能拡張の動向

　総務省のホームページによれば、「マイナンバー」は、社会保障、税、災害対策の分野で効率的に情報を管理し、複数の機関が保有する個人の情報が同一人の情報であることを確認するために活用されるものである。一方、「マイナンバーカード」は、本人の申請により交付され、個人番号を証明する書類や本人確認の際の公的な本人確認書類として利用でき、また、様々な行政サービスを受けることができるICカードと説明されている。

　マイナンバーカードは、券面やICチップの中にマイナンバーが記載ないし記録され、マイナンバーを証明する書類ではある一方、日常の用途としては、国民の誰もが持つことができる本人確認のための公的な身分証明書として極めて利用範囲が広いものと言える。2024年12月末現在、マイナポイント付与キャンペーンの効果もあって、人口に対する有効なマイナンバーカードの保有率は77.1%に達している。こうした中、最近では、図表3のとおり、国家資格等のオンライン・デジタル化、健康保険証のマイナンバーカード一体化、運転免許証のマイナンバーカード搭載可能化、マイナンバーカードのスマホ対応等、機能拡張が進められている。公的なデジタルアイデンティティは、デジタル化社会の重要なインフラ基盤であり、その活用進展はより良い社会の実現において必須となっている。

マイナ保険証およびマイナ免許証の仕組み

　マイナンバーカードは、マイナンバーを証明する書類ではあるが、様々なデジタルサービスを実現するうえで実際にマイナンバーのやり取りが行われることはない。マイナンバーカードは公的個人認証サービス（JPKI）を可能にする媒体であり、署名用電子証明書と利用者証明用電子証明書が格納され、各種サービスを提供するシステムにアクセスするための鍵として使われる。簡単にいうと、「私」ですという宣言とその確認（認証）をカードというモノで行うものであり、パスワードという知識情報も確認に活用することで信頼性を高めている。なお、公的システムに分散する様々なデータベースはマイナンバーに紐づいて管理されているが、それらの情報連携にはセキュリティ上の配慮からマイナンバー自体が使われることはない。こうした実態を見ると、マイナンバーカードは通常は、マイナンバーを証明する書類としてよりも、デジタル身分証明書として機能することが多いと思われる。

　その実例を示そう。マイナンバーカードでは、2021年から医療保険者が被保険者の被保険者番号や保険資格情報とマイナンバーの紐づけを行うことにより、医療機関や薬局を受診する際の患者の被保険者資格をオンラインで確認が行えるようになった（「オンライン資格確認」と呼ぶ）。ただし、オンライン資格確認の際には、マイナンバーを使う必要はなく、マイナンバーカードのICチップに格納されている電子証明書（発行番号）を活用することで、被保険者資格を有していることの確認が可能になっている。これが、「マイナ保険証」と呼ばれる「マイナンバーカードの健康保険証一体化」の仕組みである。マイナンバーカードには健康保険証に関する情報は一切載っていないわけであるが、マイナンバーカードのICチップに格納された情報（氏名、生年月日、住所等）と、オンライン資格確認システムを通じて入手した医療保険情報を連携して活用できるようになっている。

　一方、「マイナ免許証」はまもなく3月から実装されるものであるが、「マイナンバーカードへの運転免許証の搭載可能化」と呼ばれ、仕組みは異なるようである。マイナ免許証では、マイナンバーカードのIC チップの空き領域に、警察庁が用意する「免許証カードAP」というアプリケーションを登録するとともに運転免許情報（運転免許証番号、有効期限、免許の種類、条件、顔写真）を格納するとされている。これらの情報は、警察庁の運転免許管理システムと連携するが、運転免許情報が必要な場面ではマイナンバーカードを提示することで、ICチップに記録された運転免許情報が読み取られることになる。なお、将来的には、運転免許証についても、後述の国家資格のオンライン・デジタル化の対象となるなど、スマートフォンへの搭載も検討されている。

国家資格のオンライン・デジタル化の進展

　マイナンバーカード自体の機能拡張とは別に、昨年8月より国家資格のオンライン・デジタル化[iii]が始まっており、デジタルIDウォレットとの関連では重要な出来事といえる。介護福祉士等の国家資格の各種手続きやデジタル資格証の取得がオンラインでも可能になるというものであり、マイナンバー制度を活用し、個々の資格管理者等とデータ連携した国家資格等情報連携・活用システムをマイナポータルと接続することで実現されている（84の国家資格等が順次対象となる計画）。

　当初は、デジタル資格証はデジタル署名が付いたpdf形式で発行され、資格者本人が持つ資格や証明書を、マイナポータルの画面等に表示・印刷できるというワンクッションおいた仕組みが採られる。こうした仕組みであっても、資格保有者が提示・提出したデジタル資格者証に付された二次元コードを読取ることで、検証者側がデジタル資格者証の資格の有効性及び真正性（改ざんの有無）をオンラインで確認することも可能である。ただし、当該資格者証が、それを提示した本人のものであることを保証するものではないため、必要な場合は、別途マイナンバーカード等による本人確認を行う必要がある。

　将来的には、pdf形式ではなく、国際標準に基づくマシンリーダブルな証明書（mdoc方式[iv]）を、スマートフォンのウォレットアプリで利用できるようにするとしており、今春に予定されているマイナンバーカードの基本4情報のスマホ搭載を実現するシステムを、他の各種証明書も利用できる汎用的なものとして構築することで実現される。これにより、運転免許証をはじめとする各種証明書のスマホ搭載も、其々の制度・システム上の所要の措置を講じることが必要ではあるが、円滑に実現することが可能になるとしている。

マイナンバーカード機能のスマホ搭載とEUDIWの比較

　ここで、マイナンバーカードおよびその機能拡張が、EUDIWが想定するユースケースをカバーしているかを評価してみる。EUDIWはスマートフォン等に実装されるアプリであり、その対比では、これから実装されるマイナンバーカード機能のスマホ搭載がイメージとして近い。デジタル庁の資料[v]をもとに解釈すると、EUDIWが依拠当事者に提示する個人識別データPIDについては、電子証明書機能（署名用電子証明書、利用者用電子証明書）のスマホ搭載、および属性証明機能（基本4情報＋マイナンバー、顔写真）が該当すると考えられ、さらに公的電子属性証明書Pub-EAAとしては、国家資格のデジタル資格証や将来実装検討中の運転免許証が相当する[vi]。また、図表4の通り、マイナンバーカード等の各種電子証明書をスマートフォンに搭載するためのmdoc発行管理システムがEUDIWにおけるEAA発行事業者、各証明書発行管理システムが真正情報源に相当する仕組みとみることができる。

　しかしながら、民間発行の電子属性証明書にあたる適格EAAおよび非認定EAAについては、デジタル庁の資料では相当するものが見当たらず、EUDIWのような民間での汎用的な利活用には制限があると言える。すなわち、個人が持つ膨大な属性のうち一部しか扱うことが出来ず、これでは無数に定義できる「デジタル空間上の私」を扱うことができないということになる[vii]。政府の取組みは、公的デジタルアイデンティティを扱うマイナンバーカードの利活用拡大しか目に入っておらず、官民問わずデジタル空間で利用できる汎用的なデジタルアイデンティティ・インフラとして整備しようという拡がりを持ったものにはなっていないように見える。これは、欧州と日本の発想の枠組みが異なるところから生じたものであり、複数国家を跨ぐ法制として広範なデジタルアイデンティティを想定した欧州と、国家として公的IDの整備を進め、その機能を拡張していくというアプローチの違いに起因するものである。

　なお、EUDIWでは、ユーザーが自身のIDデータや属性情報を安全に保存・管理できる等も特徴であるとするが、マイナンバーカードでは提示する属性情報を自ら管理する機能はなかった。マイナンバーカード機能をスマホ搭載するに当たっては、ｍdoc方式が使われるため、提示するデータの調整等を行えば、プライバシーに配慮した細かい属性認証の対応が原理的には可能になるはずであるが、政府が提供するスマホ搭載アプリが対応するかどうかは不明である（例えば、「18歳以上」など必要最低限の情報提示を取り扱えるか否か）。

最後に

　スマホに搭載される電子証明書等の格納形式としては、国際標準に則ったmdoc方式が採用されることから、AppleやGoogle等が提供するデジタルウォレットもそのまま使える可能性は高い。一方、国家資格のデジタル化の説明でも言及した通り、デジタル庁の資料には、「マイナンバーカードのスマホ搭載システムは他の各種証明書も利用できる汎用的なシステムとして構築する」との記述があり、これが事実上、デジタルウォレット同等の機能を持った政府提供のアプリに成りうる可能性もある。少なくとも現在のカード中心のマイナンバーカードの利用形態に比べればUX/UIは飛躍的に高まると思われる。

　しかし、民間を含めた様々なデジタルIDや民間資格証等を連携して扱えない場合は、ユースケースを狭めることになりかねない。したがって、EUDIWのように民間も含めた汎用的なデジタルIDを扱うインフラとして、政府主導のデジタルIDウォレットが拡張・整備されていくことを望みたい。

　これまで、マイナンバーカード関連のサービスは、グランドデザインが描かれないまま、十分に考えられたエコシステムが整備されない中で提供されてきたが、マイナンバーカード機能のスマホ搭載は、EUDIWの優れた面を取り入れるには絶好の機会である。