マイナンバーカード仕様公開を

筆者はしつこくマイナンバー制度の取材をしている。システム開発に巨額の税金が投入されているからだ。
マイナンバー制度が納税者の将来負担の軽減や社会の効率化といった成果に結びつかなければ、この記事を読んでいる読者を含め全納税者にとって、もれなく巨額の損失になってしまう。
政府が毎年改定している「世界最先端IT国家創造宣言」は、マイナンバー制度で「マイナンバーカードの普及と利活用を推進する」という目標を掲げる。ただ、そのためにはカードの仕様を公開する必要があると筆者は考える。
後述するように、このままいくとブラウザーの Firefoxでは、マイナポータルを利用できないという事態も予想されている。
マイナポータルは、マイナンバーカードで誰もが自分の登録情報の確認などができるサイトである。

マイナンバー制度には 3つの異なる仕組みがある。1つは、国内に住む全ての人にマイナンバー（個人番号）を付番すること。 2つめは、マイナンバーで税や社会保障の間で情報を連携することだ。
この 2つによって、国や地方自治体は、不正な税逃れや社会保障の不正受給をなくして、税収を上げ、必要な人に十分な社会保障サービスを効率よく提供するという成果を出さなければならない。
最後の 3つめは、希望者がマイナンバーカードの内蔵ICチップに搭載した公的個人認証（JPKI）を、2016年1月から民間企業に使えるようにしたことだ。
JPKIでは、マイナンバーそのものは扱わない。公開鍵暗号方式と呼ばれる仕組みの電子証明書で、カードを所持している人が本人であると認証するものだ。

カードが普及すれば、企業がインターネットで提供するサービスで、顧客が IDとパスワードの組み合わせに代わって、JPKIによる認証でログインしてサービスを利用できる。つまり、ネットの安全性が高まるという成果が期待されている。
総務省の公表資料によると、2014年度から2016年度までカード発行などに計625億円あまりの予算を注ぎ込み、2017年3月末までに 3000万枚を配る。
現在カードの申請数は 1000万枚を超えたものの、自治体が利用するカード管理システムの障害などによって、都市部では申請から交付までに半年近くかかり、1日当たりの申請件数が鈍化している。

エストニアの普及策と大きな違い

総務省などはカードを普及させようとしている。しかし、その手法はカード利用の先行事例として紹介されるエストニアとはかなり違う。
エストニアは国民向けに ICチップを内蔵した IDカードを発行している。 IDカードの Webサイトでは、Windows向け IDソフトウエアを提供している。
IDカードの管理ツールや電子署名検証ソフト、暗号化複号ソフト、ICカードリーダーのドライバーまである。
Macや Linuxユーザー向けにはブラウザーに組み込むコンポーネントを提供している。
サイトは Internet Explorer（IE）だけでなく、Google Chromeや Firefoxなどの幅広いブラウザーに対応できる特徴を強調している。

さらに、居住していない外国人にも IDカードを発行している。
外国人向け電子行政サービス「e-Residency（電子居住）」で、2015年4月から各国の大使館でカードを配布している。
IDカードの公的個人認証を使えば、ネットバンキングの利用や、企業設立も即日でできる。
デジタル署名でオンライン契約や、文書の暗号化や復号も可能だ。

いずれのサイトにも開発者向けのメニューがあり、カード内部のスペックを公開している。
IDカードドライバーは OpenSCと呼ばれるオープンソースのミドルウエアを利用している。
米RSAセキュリティが策定・公表した公開鍵暗号標準（Public-Key Cryptography Standards、PKCS）のうち、一般的な暗号化ができる PKCS#11 という規定の API をブラウザーで利用したり、アプリ開発もできる。
関連ツールのソースコードは Github に公開され、開発者が作ったアプリをテストできる Webページもある。

電子署名に詳しいラング・エッジの宮地直人氏は「エストニアの IDカードの標準ソフトやドライバーは、オープンな開発環境を提供している」と指摘する。
エストニアの人口は 130万人ほどで、オープン系の様々な技術者の力を借りようとしていることも理由とみられる。
エストニアの外国人向けカードを取得したという宮地氏は「細かい仕様やソースまで全部公開しているので、開発者にとってこれほど勉強になるものはない」と語る。

公開鍵暗号方式は、秘密鍵と公開鍵がペアとなって、片方の鍵で暗号化されたものは、もう一方の鍵でしか復号できない。
公開鍵からはペアとなる秘密鍵を作り出せず、秘密鍵はカードの ICチップに格納された領域から外に出せない。
秘密鍵を無理に読みだそうとすると、ICチップが壊れる。つまり仕様を公開しても問題はない。

公開鍵暗号方式の IDカードの仕様を公開しているのはエストニアに限らない。
米国の政府機関の職員らの PIV（Personal Identity Verification）カードでは大量の技術文書が公開されている。
米国は「仕様をオープンにすることで、安全な IDカードの普及を図ろうとしている」（松本泰・セコムIS研究所コミュニケーションプラットフォームディビジョンディビジョンマネージャ）という。

Firefoxでマイナポータルにログインできない

ところが、日本はこうした情報をほとんど公開していない。
地方公共団体情報システム機構（J-LIS）のサイトには、住民基本台帳カードで利用できた JPKIの「利用者クライアントソフト仕様Ver1」という機能概要説明書や API仕様書しかなく、いずれも Windows XP 向けの古いものだ。

公的個人認証サービスのポータルサイトからダウンロードできる「利用者クライアントソフト」には、カードを利用するための PKCS#11 モジュールが組み込まれている。
しかし、提供されている PKCS#11モジュールの開発者向け技術仕様は公開していない。
しかも宮地氏によると、現在の利用者クライアントソフトで提供されている PKCS#11モジュールには、Firefoxでは推奨されていない実装がいくつかある。
やや専門的になるが、多バイトのデータの格納方法が通常とは逆で、未サポートのファンクションを返す方法も独自の仕様がある。そのため、「Firefoxではマイナポータルへのログインができない」（宮地氏）という。

エストニアの IDカードは主な OSやブラウザに対応しており、ほとんどの環境でエストニアのポータルサイトへのログインが可能だ。
しかし日本のマイナンバーカードでは利用者クライアントソフトに独自仕様のモジュールを組み込んで、ユーザーに対して合わせるよう求めている。ユーザーへの姿勢がまるで逆といえる。
もちろんエストニアと日本には、番号の扱い方など制度の違いはある。ただ、技術を使ってもらおうとする姿勢は学ぶべきではないか。
広く普及する ITは、利用者やサービス提供者だけでなく、開発者も巻き込んだ「エコシステム」を構築できるかどうかが鍵を握る。 JPKI を広く普及させたいのであれば、エコシステムを作らなければならないだろう。

技術者をアーリーアダプターに

2016年6月に「マイナンバーカードで SSHする」というブログが技術者の間で話題を呼んだ。オープンソース・ソリューション・テクノロジの濱野司氏が、カードの秘密鍵を利用できるように OpenSC カードドライバーを開発して公開した。
SSH（Secure Shell）は、アマゾンウェブサービス（AWS）などクラウドサービスのログインに広く使われている。
ところが、ブログを公開してみると「技術者でも JPKIを知らない方が多いことに気付かされた」と濱野氏は話す。
ブログを読んだ技術者の中には、国が秘密鍵をバックアップしているのではないかという懸念を持った人が少なからずいた。秘密鍵はカードの中で生成されるので外には出せない。
技術者が JPKIの仕組みを知らなければ、普及はおぼつかない。

濱野氏は「アーリーアダプターが使うようになって、一般にも普及するという流れもできない」と指摘する。例えば、技術者が普段の認証で使えるように、ブラウザーで認証に利用できるようにすることも一案という。
カードの利用を普及させるためには、カードの仕様を公開して様々な技術者やベンダーが関わって幅広い分野で運用できる環境が不可欠だ。システムトラブルが相次いだマイナンバー制度の ITガバナンスの向上にも役立つだろう。
さらには、一般のユーザーから見て、どんなところに不安を感じるかを事前に検討して、対策を組み込んでおく「プライバシー影響評価（PIA）」を行うことも役立つと考える。