マイナンバーカードの電子証明書を暗証番号なしで読み出す仕組み「PIN無し認証」
マイナ保険証の顔認証や目視確認でも使われている仕組みです。
病院・診療所向けオンライン資格確認等システム運用マニュアル_1.20版
マイナ保険証のオンライン資格確認で使用している電子証明書は「利用者証明用」の電子証明書ですが、その証明書にアクセスするためには4桁の暗証番号が必要ということになっています。
少し前まで、私はこの資料をそのまま信じて、マイナ保険証の顔認証や目視確認は、電子証明書は使わず、何か他のやり方でやっているのだろう。
と思っていたのですが、それは大間違いでした。
実は、マイナンバーカードの利用者証明用の電子証明書は、暗証番号が無くても読み出せるようになっているのです。
医療保険のオンライン資格確認を活用した個人医療情報管理の実現手法について2.1 特定機関認証に基づく利用者証明
通常 JPKI の利用者証明機能を利用する際には、マイナンバーカードに搭載された JPKI-AP に対して PIN を入力し、ICチップ内に記録された PIN との照合を行うことでその後の認証処理を実行する。
一方、医療機関での利用では、患者が意識不明等の緊急時、又は高齢の患者など、PIN 入力を求めることができない状況が想定されることから、PIN入力なしで資格確認を行えることが必要となる。
マイナンバーカードに搭載されている JPKI-AP には、我々が以前提案した PIN 入力を求めずに安全に利用者証明を利用する手法をベースとした特定機関認証に基づく利用者証明の機能が実装されている。
今のマイナンバーカードは、開発の時点から保険証で使うことが想定されていて、暗証番号(PIN)が使えない状況があることも想定されていたようです。
そしてその対策として、暗証番号(PIN)なしの仕組みがマイナンバーカードに実装されているということです。
その暗証番号を使わない本人確認(PIN無し認証)の仕組みは、このようになっているそうです。
マイナンバーカード(電子証明書)を活用する公的個人認証サービスの利用を行う民間事業者への大臣認定等を実施
暗証番号(PIN)を入力する代わりに、送られてきた外部認証用の証明書と公開鍵が正しければ(1)~(7)、マイナンバーカードの利用者証明用電子証明書を送付して認証する(10)~(13)という仕組みです。
マイナ保険証の顔認証や目視確認では、資格確認端末の「マイナンバーカード処理ソフト」で、PIN無し認証の処理が行われているそうです。
(医療機関・薬局)オンライン資格確認等システムの導入に関するシステムベンダ向け技術解説書
暗証番号を使う場合(PIN認証)は、暗証番号の入力によって(3)、利用者証明用電子証明書を送付していますが(4)、
(医療機関・薬局)オンライン資格確認等システムの導入に関するシステムベンダ向け技術解説書
暗証番号を使わない場合(PIN無し認証)は、オンライン資格確認等システムから送られてきた「検証機関証明用電子証明書」を検証した後(4)、マイナンバーカードの利用者証明用電子証明書を送付しています(7)。
(医療機関・薬局)オンライン資格確認等システムの導入に関するシステムベンダ向け技術解説書
この「PIN無し認証」は、あらかじめ政府に認められた特定の機関であれば、マイナンバーカードの所有者が暗証番号を入力しなくても、利用者証明用電子証明書を読み出すことができるので、イベント会場の入場チェックのような用途にも使用できるそうです。
マイナンバーカード(電子証明書)を活用する公的個人認証サービスの利用を行う民間事業者への大臣認定等を実施
でも、これだと他人のカードを使った成りすましを防ぐことはできないと思いますが・・
いずれにせよ、暗証番号を入れても入れなくても、マイナンバーカードをカードリーダーに読ませたら(接触でも非接触でも)、電子証明書の情報を取得される可能性がある。
ということです。
この事はもっと周知した方がよさそうな気もします。
以前のブログでも書いたように、マイナンバーカードの電子証明書には個人を特定するためのシリアル番号が記録されています。
マイナンバーカードの電子証明書の写しを別人に誤交付
マイナンバーカードの電子証明書で個人を特定する方法
極端な話、本人の意に反して、または本人の知らないうちに、誰かにシリアル番号を読まれる可能性もあるかもしれません。
シリアル番号には、今後様々な個人情報が紐づく可能性があります。
マイナ保険証の登録をした人は、すでに健康保険の情報が紐づいています。
オンライン資格確認のシステム内部にアクセスできる人なら、シリアル番号から過去の病歴を調べることもできそうです。
運転免許証をマイナンバーカードと一体化した場合は、違反歴や事故歴が紐づくことになるのでしょうか。
今回、PIN無し認証の仕組みを見て改めて分かったのは、マイナンバーカードは国民を監視・追跡するためのツールだということです。
暗証番号を入れたり、端末でログインのような操作をしなくても、マイナンバーカードをリーダーにかざすだけで、電子証明書のシリアル番号を読み出して記録することができます。
社会のあらゆる施設でマイナンバーカードをかざすようになったら、その人がいつどこにいたのか、1つのシリアル番号で即座に分かるようになります。
政府はマイナンバーカードを「デジタル社会のパスポート」にしようと躍起になっていますが、日本をそのような監視社会にしようとしているのでしょう。
ちなみに、政府は暗証番号が不要なマイナンバーカードを交付できるようにするそうですが、それにも電子証明書は搭載されていると思われます。
暗証番号不要マイナカード、11月申請開始 政府検討
松本剛明総務相は4日の記者会見で、暗証番号の設定が必要ないマイナンバーカードを交付できるようにする方針を表明した。政府は11月から申請・交付できるよう検討を進める。認知症患者ら暗証番号の管理に不安がある人を念頭に置く。
暗証番号がなくても、PIN無し認証でシリアル番号を読み出せるので、監視ツールとしては問題なく使えることになります。
もう、この流れは止まりそうにありません。
とりあえず、マイナンバーカードの取り扱いは、慎重にした方がよさそうな気がします・・
