本人確認手法の検討方法(本編4章の解説)

本章では、ガイドライン本編の4章における各検討プロセスについて、検討にあたる基本的な考え方や、検討の参考となる情報を解説します。

本人確認手法の検討プロセスの全体像は以下のとおりです。

業務分析と前提情報の整理[^12]

本人確認に関するリスクとその影響は、対象手続が提供する機能、サービス、取り扱う情報資産、手続によって得られる権益等によって様々です。したがって、対象手続におけるリスクを正確に特定するためには、対象手続に関する業務分析を行い、リスク分析に必要となる前提情報を収集・整理し、明文化することが必要です。

整理すべき前提情報としては、以下のような項目が考えられます。

対象手続の保証レベルの判定(本編4.1)

このプロセスでは、対象手続におけるリスクの特定と評価を行うことで、対象手続に求められる保証レベルを判定します。

リスクの特定

このプロセスでは、前述の「業務分析と前提情報の整理」の結果を踏まえつつ、対象手続における本人確認が適切に行われなかったり、不正アクセスが行われたりする場合をリスクケースとして特定し、そのリスクケースが顕在化したときに「誰に対して」、「どのような悪影響が及ぶのか」を整理し、文書化します。

ガイドライン本編では、代表的なリスクケースとして4つの例を挙げています。検討の実務においては、この代表的なリスクケースを基本として考えつつ、対象手続において実際に想定されるリスクケースにあわせた追加・削除を行いながら、具体的な影響内容を特定してください。

参考として、架空の対象手続における検討結果の例を以下に示します。

※ 斜体は検討結果の「例」です。実際の検討結果は対象手続の特性やシステムの実装等によって異なることに注意してください。

リスクの影響度の評価

このプロセスでは、「リスクの特定」プロセスにおいて整理したリスク顕在化時の悪影響の内容を踏まえ、その影響度を「高位」、「中位」、「低位」の3段階で評価し、最も高い影響度を「対象手続における総合的な影響度」として判定します。

リスクの影響度の「高位」、「中位」、「低位」の評価は、ガイドライン本編の「表 4-3 リスクの影響度の評価基準」を基準として評価を行います。

参考として、架空の対象手続における検討結果の例を以下に示します。

※ 斜体は検討結果の「例」です。実際の検討結果は対象手続の特性やシステムの実装等によって異なることに注意してください。

保証レベルの判定

リスクの影響度の評価結果をもとに、対象手続に求められる保証レベルを判定します。

保証レベルは、「高位」が一つでも含まれれば「レベル3」、「高位」が一つもなく、かつ「中位」が一つでも含まれれば「レベル2」といったように、最も高い影響度に合わせて決定します。

身元確認手法の選定の考え方(本編4.2関連)

本節では、身元確認手法の選定に当たって多くのケースに共通すると考えられる検討の流れと考え方を示します。

身元確認に利用可能な本人確認書類としての普及率や対応可能な保証レベルを考えると、多くのケースにおいて、まずはマイナンバーカードの活用を検討することが基本となると考えられます。

しかしながら、マイナンバーカードのみでは事業目的の遂行や公平性等の観点での懸念や支障が生じる場合も想定されます。そのような場合には、対象手続に求められる保証レベルに応じて、マイナンバーカード以外による代替手法を併用することでの対応を検討します。

ただし、上記は多くのケースに共通する考え方を示すものであり、ここで示す手法の採用を必須とするものではありません。例えば、外国人観光客向けの行政サービスにおいてはマイナンバーカードによる手法は適しておらず、代替手法を中心とした手法の検討が必要であると考えられます。

マイナンバーカードを用いた身元確認手法の検討事項

マイナンバーカードを用いた身元確認手法には複数の手法が存在するため、対象手続の特徴、要求、根拠法等を踏まえ、適切な手法を選択することが求められます。

具体的には、「電子署名の要否」、「スマートフォンのマイナンバーカードの利用」、「複数機能の併用の回避」、「容貌確認の要否」等が主な検討事項となります。

電子署名の要否の検討

マイナンバーカードによる身元確認手法は、大きく「電子署名を行うもの」と「券面情報の電子データ[^13]によるもの」に大別できます。電子署名は実印に相当するものと位置付けられており、本人の意思表示としての法的効力を有することから、電子署名については真に必要な場合に限って利用し、電子署名の必要がない場合は「券面情報の電子データによる身元確認」を採用するという考え方が望まれます。

なお、スマートフォンで採用されている顔又は指紋による生体認証では署名用パスワードの認証強度を担保できないため、署名用パスワードを生体認証に代えることはできず、電子署名の要否によって身元確認の利便性は大きく左右されます。また、マイナンバーカードによる電子署名が可能なのは15歳以上に限られるという制約にも考慮が必要です。

電子署名の要否を判断するためには、次のような観点での確認や検討が必要です。この時、従前に公印を押印していたり電子署名を用いていたりしていた場合であっても、改めて確認・検討することが推奨されます。

  • 電子署名の対象文書が存在するか[^14]

  • 対象手続において、電子署名による厳格な否認防止や電子署名法に基づく法的効力が必要かどうか(対象手続が否認された場合のリスクの大きさから判断)

  • 対象手続の根拠法等において、電子署名が求められているかどうか

スマートフォンのマイナンバーカードの活用方針の検討

スマートフォンのマイナンバーカードは、「利用のたびに実物のマイナンバーカードを読み取る必要がない」、「暗証番号の入力を生体認証で代替できる」等の様々なメリットがあるため、実物のマイナンバーカードによる身元確認手法を採用する場合には、スマートフォンのマイナンバーカードについても利用可能とすることが推奨されます。

複数機能の併用の回避

マイナンバーカードには前述のとおり、電子署名や券面情報入力補助AP等、身元確認に利用できる複数の機能が備えられています。

しかしながら、複数の機能を併用した場合、暗証番号・パスワード入力やカードの読み取りが複数回必要となってしまい、ユーザビリティが大きく損なわれてしまいます。

このため、マイナンバーカードにおける身元確認では、単一の機能で十分な保証レベルが確保できる場合は複数機能の併用はできる限り避け、単一の機能による身元確認の実施を検討することが推奨されます。

容貌確認の要否の検討

マイナンバーカードの貸し借りが行われた場合、暗証番号や署名用パスワードも攻撃者に共有され得るため、貸し借りの検知ができません。対象手続におけるリスク評価の結果、マイナンバーカードの貸し借りを検知しなければならない場合には、貸し借りを検知するための容貌確認[^15]を組み合わせて実施する必要があります。

身元確認を対面で行う場合は、券面の顔写真の偽造可能性にも留意が必要です。特に身元確認保証レベル3が求められる場合は、顔写真の偽造・改ざんが行われていないことをデジタル署名の検証によって確認する必要があります。

身元確認をオンラインで行う場合は、ビデオベースの容貌確認を行うことになるため、プレゼンテーション攻撃やインジェクション攻撃といった特有の脅威への対策も検討が必要です。これらの攻撃の詳細については「3.1 身元確認(Identity Proofing)に関する解説」の該当項を参照してください。

マイナンバーカード以外による手法の検討

マイナンバーカード以外の手法の検討では、マイナンバーカードを用いた手法における留意事項[^16]を検討の上で、事業目的の遂行や公平性等の観点から代替手法の要否を検討します。代替手法が必要と判断される場合には、対象手続の保証レベルに応じた手法と補完的対策の採用を検討します。

マイナンバーカード以外による手法の要否の検討

対象手続の事業目的、想定される利用者層、申請等を行う環境条件、申請等の緊急性、マイナンバーカードの交付対象、普及状況、未取得者が新規交付にかかる期間等を考慮した上で、ガイドライン本編の「基本的な考え方」として示す5つの観点[^17]を踏まえつつ、身元確認においてマイナンバーカード以外による手法を受け付ける必要があるかどうかを判断します。

採用する代替手法と補完的対策の検討

マイナンバーカード以外による身元確認手法(代替手法)が必要と判断した場合、対象手続に求められる身元確認保証レベルや利用可能とする本人確認書類を踏まえつつ、採用可能な代替手法を検討します。

一例として、ICチップを有する主要な本人確認書類にはマイナンバーカード以外にも以下のものがあり、身元確認保証レベル3が求められる手続において、これらを用いた代替手法の採用を検討できる場合があります。

  • 運転免許証

  • パスポート(旅券)

  • 在留カード

  • 特別永住者証明書

なお、対象手続に求められる保証レベルを満たさない代替手法を採用せざるを得ない場合には、当該手法によって想定されるリスクを特定し、当該リスクを低減するための補完的対策を併せて検討する必要がある点に留意してください。

身元確認保証レベル別の主要な代替手法の例を以下の図に示します。代替手法において利用可能な本人確認書類については、「別紙1 身元確認手法の具体例」の「2 主要な本人確認書類の具体例」を参考としてください。

実装モデルと実現手段の検討

前述までの検討結果を踏まえ、マイナンバーカードによる手法、マイナンバーカード以外による手法のそれぞれについて、情報システムの実装モデル及びその他の実現手段を検討します。

システムの実装モデルの検討

実装モデルは、ガイドライン本編に記載のあるとおり「連携モデル」を第一候補として検討します。採用しようとする手法に対応した適切なIDプロバイダが政府内や自省庁内に存在するかどうかを確認し、該当するIDプロバイダが存在する場合には、その利用是非を検討してください。

また、単独では条件を満たすIDプロバイダがない場合でも、「連携モデル」と「非連携モデル」を組み合わせることでの実現可能性を検討してください。例えば、IDプロバイダから入手できる情報では身元確認のための情報が不足する場合でも、「非連携モデル」によって独自に属性を追加収集するといった構成は、部分的ではあるものの「連携モデル」のメリットを享受できるため、採用の検討余地があります。

なお、適切なIDプロバイダが全くなく、全ての身元確認プロセスを「非連携モデル」として実装する場合においては、独自開発はコスト面で不利となるだけでなく脆弱性を生むリスクも高まるため原則として避け、既存の製品、サービス、OSS等の活用を検討してください。

その他の実現手段の検討

身元確認を実現するために必要となる、システム以外の構成要素についての実現手段を検討します。例えば、対面での身元確認を行う場合、身元確認に必要な環境、機器、設備等(例えば窓口の端末やICカードリーダー等)についても検討が必要です。

また、「本人確認書類の物理的検査」等、人手による検証手法を採用する場合には、身元確認を適切に実施するための環境整備、身元確認担当者に対する訓練、マニュアルの整備等についても検討が必要となる点に留意してください。

当人認証手法の選定の考え方(本編4.2関連)

本節では、当人認証手法の選定に当たって多くのケースに共通すると考えられる検討の流れと考え方を示します。

当人認証に関する昨今の技術動向や脅威動向、利用者側に必要となる環境(PCやスマートフォン等)の普及率等を踏まえると、まずはマイナンバーカード又はパスキーのいずれかの採用を検討することが、多くのケースにおいて基本的な流れとなると考えられます。

その上で、対象手続の事業目的の遂行や公平性等の観点からマイナンバーカード又はパスキー以外の当人認証手段が必要と判断される場合には、対象手続に求められる保証レベルに応じたその他の手法の併用を検討します。

マイナンバーカード又はパスキーの採用検討

マイナンバーカード(利用者証明用電子証明書)及びパスキーは、いずれも脅威耐性に優れる方式であり、すべての保証レベルにおいて採用の候補として検討することができます。

なお、特に当人認証保証レベル2以上においてはフィッシング耐性を有する手法の提供が必要となりますが、本解説書の執筆時点(2026年2月時点)においてフィッシング耐性を有する手法は限られており、マイナンバーカード又はパスキーのいずれかの採用は実質的に必須となると想定されます。

マイナンバーカード(利用者証明用電子証明書)の採用検討

マイナンバーカードの利用者証明用電子証明書は、適切に実装することでフィッシングを含む幅広い脅威への耐性をもつ当人認証を実現できます。

また、スマートフォン用の利用者証明用電子証明書(移動端末設備用利用者証明用電子証明書)を利用可能とすることができればユーザビリティも確保できるため、いずれの保証レベルにおいても採用候補として検討できます。

マイナンバーカード(利用者証明用電子証明書)の詳細については、「別紙2 当人認証手法の具体例」を参照してください。

パスキーの採用検討

パスキーは、フィッシングを含む幅広い脅威への耐性をもち、ユーザビリティについても従来手法より優位とされる手法であるため、いずれの保証レベルでも採用候補として検討できます。

対応するスマートフォン等のデバイスを所持していれば、マイナンバーカードを保有していない方でも利用できるため、対象手続が想定する利用者層に応じて採用を検討することが望まれます。また、マイナンバーカードとの併用についてもアカウント回復の観点で検討余地があります。

パスキーの詳細については、「別紙2 当人認証手法の具体例」を参照してください。

その他の当人認証手法の採用検討

マイナンバーカード又はパスキーの採用検討結果と採用に当たる留意事項[^18]を踏まえつつ、対象手続における事業目的の遂行や公平性等の観点から、その他の当人認証手法の要否を検討します。その他の当人認証手法の採用又は併用が必要と考えられる場合には、対象手続に求められる当人認証保証レベルに応じた手法の採用を検討します。

当人認証保証レベル3の場合

当人認証保証レベル3の場合では、全ての利用者がフィッシング耐性を有する手法を用いることが対策基準として求められます。したがって、フィッシング耐性を有さない「その他の手法」を採用することはできません。

当人認証保証レベル2の場合

パスワード認証+ワンタイムパスワード認証の組み合わせによる多要素認証が候補として考えられます。

ただし、当人認証保証レベル2においては、少なくとも一つのフィッシング耐性を有する手法を提供することが必要となるため、マイナンバーカード又はパスキーが手法として採用されていることが前提となります。パスワード認証+ワンタイムパスワード認証の組み合わせのような、フィッシング耐性を有さない手法だけを利用可能としても、当人認証保証レベル2の対策基準は満たせないことに留意が必要です。

当人認証保証レベル1の場合

ワンタイムパスワードを電子メールによって送信する手法等が候補として考えられます。

当人認証保証レベル1の場合はマイナンバーカード又はパスキーを採用せず、フィッシング耐性のない手法のみを提供することも可能です。

実装モデルと実現手段の検討

前述までの検討結果を踏まえ、採用する当人認証手法を実現するための情報システムの実装モデル及びその他の実現手段を検討します。

システムの実装モデルの検討

前述までの検討結果を踏まえ、当人認証手法の実装モデルを検討します。実装モデルは、ガイドライン本編に記載のあるとおり「連携モデル」を第一候補として検討します。採用しようとする手法に対応した適切なIDプロバイダが政府内や自省庁内に存在するかどうかを確認し、該当するIDプロバイダが存在する場合には、その利用是非を検討してください[^19]。

適切なIDプロバイダがなく「非連携モデル」によって当人認証機能を実装する場合においても、独自開発はコスト面で不利となるだけでなく脆弱性を生むリスクも高まるため原則として避け、既存の製品、サービス、OSS等の活用を検討してください。

その他の実現手段の検討

当人認証を実現するために必要となる、システム以外の構成要素についての実現手段を検討します。例えば、TOTP方式のワンタイムパスワードを採用する場合には、利用可能とするワンタイムパスワード生成用アプリ等が利用者側の環境に必要となります。

また、対面での当人認証を行う場合は、当人認証に必要となる環境、機器、設備等(例えば窓口の端末、ICカードリーダー等)についても検討します。

継続的な評価と改善(本編4.3関連)

前述までの手順によって検討し、採用した本人確認手法が意図どおりに機能しているかどうかは、実際の利用状況を測定しないと確認できません。また、本人確認に関する脅威は日々進歩しているため、採用時には大きな懸念のなかった手法であっても、運用期間中の脅威動向の変化によって脆弱性が浮き彫りとなる場合もあります。したがって、採用した本人確認手法については継続的な評価を行い、必要に応じて改善を行うことが求められます。

継続的な評価と改善において重要な点の一つが、「本人確認手法を評価するために、どのような情報を収集・蓄積し、評価指標とすべきなのか」という点です。これは、採用する本人確認手法や、身元確認において利用可能とする本人確認書類によっても異なります。

評価指標の具体例としては、例えば次のような情報が考えられます。これらの情報は、情報システムの設計に組み込まないと収集が難しいものも多いため、継続的な評価と改善のための手段については、要件定義時点において検討・明確化した上でシステムを調達・構築することが必要です。

なお、これらの情報を継続的に収集し、適切な評価を行うための実装には相応の専門性が求められます。こうした観点からも、できる限り「連携モデル」を採用し、専門的な評価と改善の運用についてもIDプロバイダとの連携によって実施することが望まれます。