Trust Frameworkと法人番号について

経済産業省CIO補佐官

満塩　尚史

2015.11.10

0

OpenID Summit Tokyo 2015

1. Trust Framework

1

ID連携トラストフレームワーク基準の構成

• 組織の成熟度• 個人情報保護方針• 保証プロセス• 審査認証プロセス• 審査員の資格認定

信頼付与機関(TrustFrameworkProvider)

• 組織の成熟度• 第三者機関としての公平性• 各種規定の策定プロセス

ポリシー策定者(Policy Maker)

• 組織の成熟度• 個人情報保護方針• 登録および身元確認プロセス• クレデンシャルおよび発行プロセス

IdP • 組織の成熟度• 個人情報保護方針

RP

利用者

審査員

認定

認証審査 認証審査

組織認証組織認証

サービス利用

登録(身元確認)

認証(当人確認)

文書番号00：文書体系文書番号10：ポリシー策定者に対する要求事項

文書番号20：アイデンティティ連携トラストフレームワーク指針

文書番号40：信頼付与機関に関する要求事項

文書番号30：認定アイデンティティスキーム及びプロファイル

策定した基準の構成と各文書が対象としている範囲を、以下に示す。

ID連携

2

区分

保証レベル 信頼レベル

身元確認保証レベル（登録時のレベルを規定）

当人確認保証レベル（トークン, トークン及びクレデンシャル管理, 認証プロセス,アサーション等のレベルを規定）

プライバシー及び個人情報保護信頼レベル全体保証レベル（米ICAMで規定されているもの）

評価軸 登録 トークントークン及びクレデンシャル管

理認証プロセス アサーション プライバシー及

び個人情報保護

レベル1（低）

（対面 / 非対面）自己申告 / 身元確認は不要。

単要素認証(例)パスワード(6桁以上)、秘密の質問(最低5問から選択)　等

レベル1+（対面 / 非対面）身分証明書の提示

レベル2（中）

（対面）写真付き公的身分証明書の提示（非対面）公的身分証及び金融／携帯電話の個別番号を提示。申請情報を記録と照合。

単要素認証(例）パスワード(8桁以上)、秘密の質問(最低7問から選択)、数値のマトリックスが記載されたカード、SMSで送られるワンタイムパスワード、ワンタイムパスワード機器、ICカード　等

レベル3（高）

（対面）LV2に加え、申請情報を記録と照合。録音等による否認防止。（非対面）LV2に加え、申請情報を公的機関および金融／携帯事業者の記録と照合。録音等による否認防止

多要素認証(例)認証時にパスワード入力を求めるSSLクライアント認証、ICカード＋パスワード　等

レベル4（特高）

（対面のみ）写真付き公的身分証明書２種又は公的身分証及び金融／携帯電話の個別番号を提示。全ての申請情報を記録と照合。生体情報の記録。

多要素認証トークン機器(例)暗証番号認証付きワンタイムパスワード機器、指紋認証付きICカード　等

保証レベルと信頼レベル日本版の基準案では、サービスの種類によって、身元確認と当人確認のレベルを分けているサービスが存在するため、保証レベル（アイデンティティに関する信用の程度）を身元確認保証レベルと当人確認保証レベルを分けて規定（米国ICAM基準では全体を通した保証レベルしか規定していない）。また、米国ICAM基準では、RPが政府機関であるため基準がなく。日本では民間事業者同士の連携が想定されることから、プライバシー及び個人情報保護信頼レベル（プライバシー及び個人情報保護の信用の程度）を新たに規定。

トークンの発行、保管方法、ア

イデンティティ失効等の運用ルー

ル等の基準

認証プロセス実行時に想定され

る脅威に対する基準

アサーション利用時に想定され

る脅威に対する基準

プライバシー及び個人情報保護

状況証明の程度の基準

3

ポイント会社

民間事業者

民間企業

利用者

イベント会社

読み取り用スマホ

電子身分証

電子ポイントカード

電子興行チケット

電子診察券

・氏名（旧姓、ペンネーム）・所属会社

・ニックネーム・生年月日

・ニックネーム・生年月日・ファンクラブ会員情報

・氏名・生年月日・性別

スマホ等に紐づける事業者

医療機関

電子証明書サーバ

電子証明書の有効性確認

個人番号カードとスマホなどの紐づけ

ＩＤ ・パスワードの発行

スマホなど

これまでの施策• 企業が個人データを利用する際に、データを共有する企業間で、遵守するルールのひな形等を作成（ID連携トラストフレームワーク）

• データの情報交換に関する実証事業（訪日外国人向けおもてなしサービス）

今後の施策• 民間企業の参入を促進させるために、民間企業とともに民間サイトがJ-LISに認証してもらう上での課題を抽出する。

• 民間サイトがJ-LISに認証してもらうことに関連して、実証事業を行う。

情報やアプリの追加

所属会社等のデータ

地方公共団体情報システム機構

（J-LIS）

紐づけの依頼（ICカード認証が必

要）

新ビジネス創出

・氏名・住所・生年月日・性別・顔画像情報

初回：公的個人認証（カードリーダとカードで認証）二回目以降：ID・パスワード認証

個人番号カードに紐づけたスマホ等を活用したビジネスの創出

4

5

デジタルWatashiアプリ

各言葉の説明• デジタル化した

• （デジタルデフォルト）物理的に見せる証明書であっても、内容等は、必ずデジタル化されている。

• 様々な• （属性情報の拡充）

個人番号カードで確認できる情報に加えて、ニックネーム、所属会社名、資格等の情報を持っている。

• わたしの情報• （本人確認）

個人番号カードで本人確認をして、利用者が実在する「わたし」であることが確認されている。

• アプリ• （クレデンシャル機能）

利用者の所有している特定のスマホだけにアプリが入っていることや、利用者が特定の回線を利用していること等を用いて、認証強度を強化する。

• （自己情報コントロール）利用者が希望すれば、利便性が低下する可能性があるが、複数のアプリを使い分けたり、一度作成したアプリを破棄し、新しいアプリを作成することが可能である。

コンセプト

l デジタル化した様々な「わたしの情報」が入っているアプリ– 個人番号カードで本人確認をしたインターネット上の個人の身分証明書やオンライン認証手段を提供す

るアプリ※本アプリでは、「マイナンバー」そのものは、取り扱いません。

6

官民ID連携トラストフレームワークの検討と環境整備

個人番号カード、公的個人認証制度の電子証明書及び行政機関と民間サービスにおける　ID連携の具体的な検討を通じて、行政機関と民間サービス事業者のID連携トラストフレームワークに求められる事項について検討し、課題抽出及び要件を整理する。

利用者 民間事業者IdP/デジタルwatashiアプリ

発行事業者

J-LIS（公的個人認証サービス）

②’ 身元確認（電子証明書の有効性確認）

行政機関

民間事業者RP

デジタルwatashiアプリをインストール

個人番号カード

① 利用者登録

③ クレデンシャルの発行

④ 認証（当人確認）

⑥属性連携

② 身元確認

民間事業者RP

⑤’ 認証連携デジタルwatashiアプリ／IdPによる認証結果)

⑤’ 認証連携(個人番号カードによる認証結果)

⑤ 認証連携

（１）身元確認

（２）デジタルwatashiアプリ

（３）官民ID連携

2．法人番号

7

8

9

10

法人番号公表サイト（http://www.houjin-bangou.nta.go.jp/）

11

3．法人ポータル

12

13

世界最先端IT国家創造宣言（平成27年6月30日閣議決定）工程表

l 法人番号の利活用推進

– 法人に係るワンストップサービス等を実現するために必要な「法人ポータル（仮称）」の検討・構築を行う。【内閣官房、総務省、経済産業省及び関係府省庁】

– 2017年１月より「法人ポータル（仮称）」の運用を開始し、国・地方公共団体等の既存の法人情報サイトとの連携を拡大する。【関係府省庁】

X社

Z社

民間法人情報サービス

法人ポータル

企業

A省

B省

C省

他のデータベース

役員・従業員

認証

・・・

・・・

申請 等

法人関連情報提供

連携

付加価値

企業企業

法人関連オープンデータ集約自社法人情報表示プッシュ型サービスワンストップサービス

行政側サイト

連携

署名

時刻や非改ざん性の確認

法人ポータル(仮称)イメージ

資料：第６回 マイナンバー等分科会https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/number/dai6/siryou5.pdf

4．経済産業省版法人ポータル

14

15

27度構築する法人情報活用基盤の全体像l 内部用の省内活用システムと、情報提供・参照システムで構成する

経済産業省

ファイルサーバ

行政職員(データ提供者)

行政職員(システム管理者)

行政職員(データ利用者)

基本３情報の取得語彙データ取得

法人関連システム

インターネット

経済産業省版法人情報省内活用システム

民間事業者等

データ検索・取得 民間従業員等(データ利用者)

業務システム等データ要求・応答

データ取得

データ出力

国税庁

法人番号システム共通語彙基盤

IPA

法人関連情報

業務システム等API

GU

I

データ・メタデータの管理

データ検索・取得

データ要求・応答

公開用に加工

法人関連オープンデータ

法人情報提供・参照システム

API

GU

I

法人関連オープンデータ

公開用に加工

法人関連情報

法人情報活用基盤

※実際にはデータは類似

CSVフォーマット

RDFフォーマット

RDFフォーマット

16

法人情報活用基盤の将来像l 政府全体への展開を検討しているが、方法、スケジュールは未定。

A

省A省版法人情報

省内活用システム

B

省B省版法人情報

省内活用システム

経済産業省

ファイルサーバ

行政職員(データ提供者)

行政職員(システム管理者)

行政職員(データ利用者)

基本３情報の取得語彙データ取得

法人関連システム

インターネット

経済産業省版法人情報省内活用システム

民間事業者等

データ検索・取得 民間従業員等(データ利用者)

業務システム等データ要求・応答

データ取得

データ出力

国税庁

法人番号システム共通語彙基盤

IPA

法人関連情報

業務システム等API

GU

I

データ・メタデータの管理

データ検索・取得

データ要求・応答

公開用に加工

法人関連オープンデータ

法人情報提供・参照システム

API

GU

I

法人関連オープンデータ

公開用に加工

法人関連情報

法人情報活用基盤

17

（参考）法人関連オープンデータ(想定)

l 補助金情報– 補助金事業名、対象年度、申請方法、申請期間、補助率、補助概要、交付決定日、交付決定額

l 表彰情報– 表彰事業名、対象年度、部門、表彰名、評価内容

l 許認可情報– 資格名、事業年度、登録年月日、指定失効年月日、申請内容

l 資格情報– 許認可名、認定計画名、計画の概要、計画期間、補助金交付実績

l 調達情報– 執行年度、契約名、契約概要、入札書提出期限、開札日時、落札時入札価格、契約金額、契約締結年月

日、事業実施住所、履行期限、確定額

l 処分情報– 処分年月日、処分等の種類、指名停止措置期間、指名停止措置の範囲、指名停止措置理由

18

まとめTrust Framewrok

l ID連携トラストフレームワーク基準の構成

l 保証レベルと信頼レベル

l 個人番号カードに紐づけたスマホ等を活用したビジネス創出

l デジタルWatashiアプリ

l 官民ID連携トラストフレームワークの検討と環境整備

法人番号

l 法人番号と法人番号公表サイト

l 法人ポータル

l 経済産業省版法人ポータル

マイナンバー制度とIDフェデレーションを組合せ、

現実的かつ効率的な情報社会の構築推進