マイナンバーカードに使われる暗号化とは｜安全性やセキュリティ対策を解説 - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

マイナンバーカードは、ICチップを搭載した身分証明書で、顔写真や個人番号、住所などが記載されています。健康保険証としての利用や行政手続きのデジタル化が進み、重要性が増しています。本記事では、マイナンバーカードのセキュリティ対策と安全性について詳しく解説します。

マイナンバーカードでできること

マイナンバーカードは、顔写真付きの本人確認書類として、行政手続きやサービスで利用できます。カードの表面は身分証明書として、裏面に記載されたマイナンバーは税や社会保障の手続きで使用します。

さらに、内蔵されたICチップにより、オンラインでの本人確認や電子申請が可能です。2024年秋からは健康保険証としても利用できるようになり、医療機関での受診がよりスムーズになっています。

マイナンバーカードの安全性

マイナンバーカードの配布率は2024年12月末時点で77.1％です。11月末時点では76.3％、10月末では75.7％と1カヶ月あたり1％未満の増加率で、件数にすると1カ月あたり約100万件になります。

仮にカードを紛失しても、マイナンバーを知られただけでは悪用はできず、マイナンバーを利用する手続きでは、必ず顔写真付きの本人確認書類による厳格な本人確認が必要となるなど、悪用対策が施されています。しかし、マイナンバーカードの安全性は、万全とは言えない側面があります。

例えば、券面に記載の顔写真や住所などの情報をもとにしたストーカー行為などの危険性があります。特にインターネットバンキングの口座開設に悪用されるケースです。

また、マイナンバーカードの情報が闇金業者や詐欺組織に流出し、不正な勧誘や詐欺のターゲットにされる可能性もあります。さらに、偽造されたマイナンバーカードを使用したスマートフォンの不正契約や高額商品の不正購入といった被害も報告されています。

マイナンバーカードを守る3つのセキュリティ対策

マイナンバーカードのセキュリティは、「電子証明書」「公開鍵暗号方式」「ICチップ」の3つの技術で守られています。

電子証明書

マイナンバーカードには、2種類の電子証明書が搭載されています。「署名用電子証明書」は、e-Taxなどの電子申請時に、文書が改ざんされていないことを証明するために使用されます。この証明書には氏名、住所、生年月日、性別の「基本4情報」が含まれています。

一方、「利用者証明用電子証明書」は、マイナポータルへのログインやコンビニでの証明書取得など、オンラインでの本人確認に使用され、基本4情報は含まれていません。

これらの電子証明書は、それぞれ異なる暗証番号で保護されています。署名用電子証明書は6～16桁の英数字(英字は大文字のみ)を使用し、数字と英字の両方を含める必要があります。また、利用者証明用電子証明書は4桁の数字で設定します。

両方の電子証明書の有効期間は、発行日から5回目の誕生日までとなっています。また、引越しや婚姻などにより氏名、住所などに変更が生じた場合、署名用電子証明書は自動的に失効しますが、利用者証明用電子証明書は変更後も継続して使用できます。

近年では、マイナンバーカードの電子証明書機能をスマートフォンに搭載でき、スマートフォンだけで各種サービスを利用できるようになっています。この際、電子証明書はスマートフォンの安全な領域に格納され、プライバシー性の高い情報は記録されない仕組みとなっています。

公開鍵暗号方式

マイナンバーカードは、「公開鍵暗号方式」という暗号技術を採用しています。この方式では、秘密鍵と公開鍵がペアとなっており、一方の鍵で暗号化されたデータは、もう一方の鍵でしか復号できない仕組みになっています。

秘密鍵はICチップ内に安全に格納され、外部に出ることはありません。そのため、なりすましや改ざんを防ぎ、安全な電子申請やオンライン認証を実現しています。

この公開鍵暗号方式は、デジタル署名技術としても活用されており、電子文書の作成者の本人確認や文書の改ざん検知に利用されています。また、2026年度に予定されている次期マイナンバーカードでは、より強固な暗号方式への移行が計画されており、10年の有効期限に耐えうる安全性が確保される予定です。

ICチップ

ICチップには、高度な耐タンパー性が実装されています。不正に情報を読み出そうとすると、チップが自動的に破壊される仕組みがあります。例えば、ICチップを電気的に解析しようとした場合や、顕微鏡による物理的な観察を試みた場合は、メモリ内容が自動的に消去されます。ICチップはISO/IEC 15408認証を取得しており、セキュリティ機能評価の国際水準を満たしています。

さらに、ICチップには税金や年金などのプライバシー性の高い情報は一切記録されておらず、必要最小限の情報のみを保持しています。

マイナポータル、およびマイナンバーカードを扱う事業者側の安全性

マイナンバーカードのセキュリティ対策は、前述のように施されています。それでは、マイナンバーカードを使って公的な情報のやり取りを行うマイナポータルではどのようなセキュリティ対策が施されているのでしょうか。また、マイナンバーを取り扱う事業者には、どんな安全管理が求められているのでしょうか。

マイナポータルでは、TLS(Transport Layer Security)による通信の暗号化を実施し、データの盗聴や改ざんを防いでいます。TLSは、インターネット上でデータを安全に送受信するための標準的な暗号化プロトコルで、通信内容の暗号化、改ざんの検出、通信相手の認証に使われます。

利用者とマイナポータル間の通信は暗号化され、サーバー証明書により接続先が正規のマイナポータルであることを確認しています。また、初回の利用者登録時に作成される一時格納領域は、公的個人認証サービスにより厳格に管理され、ログアウト時や一定期間経過後に自動的に削除されます。さらに、過去の利用履歴を確認できるため、不正なアクセスがあった場合にも早期発見が可能です。

また、マイナンバーを扱う事業者側には、マイナンバーの安全な管理のために、個人番号等の情報は必要な時のみ取得・保管し、必要がなくなったら廃棄することが求められており、加えて情報漏えい防止を目的にデータの暗号化などが推奨されています。これには、業務ニーズに応じた適切な暗号化方式の選択、暗号・復号化鍵の安全な管理、アクセス制御やセキュリティ監査の実施が含まれます。