2023 年 11 月 29 日
最新の基本 4 情報取得で実現できることとは
~ 公的個人認証を用いた金融機関などの継続的顧客管理業務を実現 ~
2023 年 5 月 16 日、地方公共団体情報システム機構(J-LIS)より「最新の基本4情報」取得機能の提供が開始されました。
本 BLOG では、最新の基本4情報取得とはどういうものであるのか、利用するための条件は何か、また結果として何が実現できるのか、およびこれらの情報が各種基準に適合した国産の高信頼なソブリンクラウドサービス ※1 で管理されることの重要性 について解説します。
最新の基本4情報取得とは?
最新の基本4情報取得とは、利用者同意のもとで、サイバートラストのような公的個人認証におけるプラットフォーム事業者 ※2 が提供するサービスを介して、J-LIS から「利用者の最新の基本4情報(氏名、住所、生年月日、性別)」を取得するサービスです。
最新の基本 4 情報を取得するまでには、公的個人認証 ※3 による本人確認、最新の基本 4 情報取得同意への署名用電子証明書を利用した電子署名、現況確認 ※4、同意の照会などが必要となります。
図1:最新の基本 4 情報取得イメージ
最新の基本 4 情報取得を利用するための条件
最新の基本 4 情報取得は、J-LIS から、つまりは利用者本人以外から最新の基本 4 情報を取得できるという、個人情報保護の観点から非常にセンシティブな扱いが要求されるサービスです。
そのため利用にあたり、例えば以下のようなさまざまな条件が定められています。
- 利用者の同意を取得しなければなりません。この同意は利用者にとってわかりやすく、確実に取得されることが求められ、同意専用の独立した画面を設ける必要があります。また、最新の基本 4 情報のうち、何の情報を何の目的で取得するかなどを明記する必要があります。
- 同意内容に対しマイナンバーカードの署名用電子証明書で電子署名しなければなりません。
- 同意の有効期限は 10 年であり、10 年が経過した後に最新の基本 4 情報取得を行おうとする場合、再度利用者の同意を取得しなければなりません。
- 取得した同意内容について、利用者がいつでも参照、同意の取消ができる状態としなければなりません。また、少なくとも 1 年に 1 回程度、利用者にリマインドメールを送るなど同意状況の情報提供を行わなければなりません。
- 同意が得られない場合でも、利用者に対しサービス提供上の不利益を与えてはなりません。
同意画面の例については、総務省、デジタル庁の連名で「公的個人認証法に基づく最新の利用者情報(基本4情報)提供サービス に係る同意の取得について」という資料が公開されていますので、こちらもご覧ください。
最新の基本 4 情報取得で何が実現できるのか
利用者の最新の基本 4 情報取得に係る同意申請が J-LIS にて受理され、かつ、利用者の署名用電子証明書の失効を確認した場合に、J-LIS に対し利用者の最新の基本 4 情報の取得を求めることが可能です。
利用者の現況確認(氏名・住所の変更確認、存命確認)を実行し、そこで変更を検知した利用者に対して最新の基本4情報取得を行うことで、効率的で無駄のない継続的顧客管理を実現できます。
例えば、利用者に対し定期的に郵送物を送る必要がある業務において、利用者が引っ越しで住所変更した場合、利用者からの申告に関係なく最新の住所情報を確認することができ、郵送物が不達になる事態を削減できるなどが期待されます。
最新の基本 4 情報取得の利活用を目指して
最新の基本 4 情報取得にあたってはマイナンバーカードの署名用電子証明書が必須となるため、利用者がマイナンバーカードを保持している必要があります。
マイナンバーカードの申請数は、2023 年 10 月末時点で約1億枚に迫る勢いで、日本で最も普及している公的な写真付き身分証明書です。マイナンバーカードに搭載されている署名用電子証明書を利用した厳格かつ簡便な公的個人認証が、今後の日本国において主たる本人確認手法になることは間違いないと考えられます。
なお、デジタル庁が公開した「デジタル社会の実現に向けた重点計画」においては、犯罪収益移転防止法 ※5(犯収法)や、携帯電話不正利用防止法 ※6 の本人確認を公的個人認証に原則一本化していく旨が記載されています。
図 2:デジタル社会の実現に向けた重点計画
(出典)デジタル庁「 デジタル社会の実現に向けた重点計画 」
一方で、日本国民全てがマイナンバーカードを保持しているわけではないため、お客様のビジネス観点から、少なくとも現時点ですぐに、利用者全ての本人確認をマイナンバーカードだけに限定することは難しい状況です。そのため複数の本人確認手法を併用し、公的個人認証が活用できない利用者も他の手法で本人確認を行える環境を整え、最初に公的個人認証、そこが使えない場合は IC チップ読み取り、それも難しい場合は写真撮影と対応の手法を揃えることが有効な手段となります。
図 3:本人確認手法の組み合わせ
上記のように、公的個人認証や IC チップ読み取り、最新の基本 4 情報取得など、民間でもますます便利にマイナンバーカードを利活用できるシーンが広がっていきますが、情報の取り扱いが便利になればその分危険性も増すもので、これだけセンシティブな最新の基本 4 情報の取り扱いにあたっては、ことさらに信頼できるサービスを選択する必要があります。
個人情報や機密情報を取り扱う本人確認においてセキュリティ、コンプライアンス、データ主権は非常に重要なテーマです。特にデータ主権については、クラウド上で他国にデータが保管されてしまうと他国の法令のもとで行われるデータ差し押さえや開示要求の対象となる可能性も考えられ、自国の司法権が及ばない場所にデータを保管することはそれだけで大きなリスクとなります。国内の事業者でもデータ保管はクラウド上で国外という場合もあるので、慎重な確認が必要になります。
サイバートラストが提供する「iTrust 本人確認サービス 」は、国内での厳格な運用・管理を実現し、国の認定や第三者の監査により各種基準に適合した国産の高信頼なソブリンクラウドサービスとして、 公的個人認証の他、IC チップからの券面情報読取および署名検証が可能な機能を提供しており、お客様ビジネスにおける本人確認シーンを強力に支援します。アカウント開設時など単発での本人確認はもちろん、現況確認や最新の基本4情報取得といった継続的顧客管理に向けた機能の利活用をご検討の際は、是非ともお問い合わせください。
- ※1
- ソブリンクラウドサービス(Sovereign Cloud Service)とは、自国内の事業者が運営し、各種データが国内で保存・処理されることで、他の国や地域の法令等の影響を受けないデータ主権を担保したクラウドサービスを指す。データが自国の司法権の範囲内で保存・処理されることで、クラウドサービス利用のリスク(他国の法令のもとで行われるデータ差し押さえや開示要求など)を回避できる。
- ※2
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(第 17 条第 1 項第 6 号)の規定に基づく総務大臣認定を受けた民間事業者にのみ、公的個人認証を用いた本人確認サービスが認められている。
- ※3
- マイナンバーカードに格納される署名用電子証明書を利用した、犯罪収益移転防止法で定められる本人確認手法のこと。
- ※4
- 本人確認時に利用した署名用電子証明書および利用者証明用電子証明書の有効性確認を行うことで、利用者の氏名・住所変更および存命確認を行う方法のこと。
- ※5
- マネーロンダリングやテロ資金供与防止を目的として、特定の事業者が取引する際の本人確認などについて定めた法律。
- ※6
- 携帯電話事業者に契約者の身分証明書による本人確認を行うことを義務づけた法律。匿名の携帯電話が振り込め詐欺などの犯罪に利用されていたことを受けて 2006 年 4 月に施行された。
本記事に関連するリンク
- 「iTrust 本人確認サービス」
- 「iTrust 本人確認サービス eKYC ライブラリおよび券面情報検証サービス」
- 「マイナンバーカードを使った本人確認 ~これからの本人確認はどうなるか? ~」 (大日本印刷株式会社様 コラム・記事)
- 地域通貨・ポイントサービスでの公的個人認証を支援 (ジャスミー株式会社様・サイバートラスト株式会社プレスリリース)