マイナンバーカードはweb3の最後のピース？

こんにちは。Web三郎です。

今回は政府が普及を進めるマイナンバーカードに関する話題を取り上げようと思います。

マイナンバーカードのスマホ化

確定申告、転出届、母子手帳、健康保険証をはじめ、様々な行政サービスの認証機能がマイナンバーカードへ続々集約されていることは読者の皆様もご存知かと思います。

最近では、スマートフォンにマイナンバーカードの機能を搭載できるようにする改正マイナンバー法も成立しました。本改正に伴い、現在はAndroidでのみ利用可能なスマホ用電子証明書サービスが、来年春を目処にiOSでもサポートされることが発表されています。

現在はスマホに搭載したマイナンバーカードでできることはそれほど多くはありませんが、将来的には物理的なカードでできることと同等な機能、あるいはそれ以上の機能が実装されていく可能性もあります。

出典：デジタル庁資料（https://www.cas.go.jp/jp/seisaku/digital_gyozaikaikaku/kaigi6/kaigi6_siryou5.pdf）

マイナンバーカード機能拡大、スマホで口座開設　改正法の要点 - 日本経済新聞

Apple、日本でのAppleウォレットの身分証明書機能の展開を発表、米国外で初

マイナンバーカードの不便さはどう解消されるのか

マイナンバーカードの利便性が向上していく一方で、これまでのマイナンバーカードの使用体験は、必ずしも快適とは言えませんでした。

確定申告の電子申告では、申請のプロセスでカードを何度も読み取らなければならず、しかも、読み取りの都度、PINコードを入力する必要があります。スマホでカードを読み取る際のレスポンスも遅いですし、そもそも「何を認証するための読み取りなのか」が明確でない点も問題です。

もしスマホにマイナンバーカードの機能が統合されれば、カードの読み取りの手間や遅延によるストレスがほとんどなくなりますし、PINコードの入力も生体認証やパスキーに置き換えることができます。

「何を読み取っているのかわかりにくい」という問題に関しては、Appleが示す実装例を見る限り解消される可能性が高いです。下図にはiOSのウォレット機能が米国の運転免許証を使ってどのように認証を行うかが示されています。「Turo」というサービスに「氏名や生年月日、免許証番号など」が共有される旨をユーザーに通知しているようです。これはマイナンバーカードによる認証を理由も示さずに求める日本のシステムとは大きく異なるユーザー体験といえます。

出典：Apple Developer（https://developer.apple.com/jp/wallet/whats-new/）

他にも画像ベースのKYCを代替していくことも期待されます。KYCの方式にはいくつか種類があり、行政サービスレベルでは、マイナンバーカードの電子証明書機能を用いる方式がほとんどですが、それ以外にも、フリマアプリや証券会社などのKYCプロセスでは、スマートフォンのインカメラにマイナンバーカードや自分の顔を写すことでKYCを完了させる画像ベースの方式が採用されることが多いです。

この画像ベースのKYC方式は、免許証のコピーを郵送するような方法よりかは遥かに手軽ではありますが、スマホに搭載されたマイナンバー機能を用いる方法と比較すると手間がかかります。サービスのUX設計においてKYCプロセスは多くのユーザー離脱を発生させる難所ですから、この部分を改善できるという点でもマイナンバーカードがスマホに統合されることの期待は大きいです。

スマホに何を載せているのか

ところで「マイナンバーカードをスマホに搭載できるようにする」というとき、スマホにマイナンバーカードの何を渡しているのか気になったことはないでしょうか。

ポイントカードをスマホに搭載する場合、実運用において認められるかはともかく、ポイントカードは固有のIDをもつプラスチックカードに過ぎませんから、そのIDやバーコードをスマホに保存しておけば機能的には十分です。Googleウォレットなどのアプリも、このような方法でポイントカードをスマホに取り込んでいます。筆者の経験では、ポイントカードの写真だけでも使えた例がありました。

しかし、マイナンバーカードはICチップを内蔵した「ハードウェア」です。カード表面に記載された情報をスマホに入力するだけでは不十分です。ではどのような情報がスマホに書き込まれればいいのでしょうか。

結論からいえば、マイナンバーカードのICチップの中には、ブロックチェーンの入門書などでもよく見かける「公開鍵と暗号鍵のペア」が格納されており、そのデータがスマホに搭載されるということになります（※）。

※厳密には、「公開鍵と認証局による署名がセットになった電子証明書と秘密鍵」と言った方が正確かもしれませんが、ここではシンプルに「公開鍵と秘密鍵のペア」としています。

さて、ここからは技術的な話が続きますが、読まなくても一応は理解できるように構成していますので、次の区切り線まで読み飛ばしていただいても構いません。

---

マイナンバーカードのICチップには、「カードアプリケーション」と呼ばれるアプリケーションが4種類、そしてそれを動かすためのカードOSが含まれています。他にも空き領域が用意されており、国や自治体、企業が利用するカードアプリケーション（例：図書カードや社員証）を追加できます。

とくに重要なのは、4種類のカードアプリケーションの一つ、「JPKI-AP」です。JPKIとはJapanese Public Key Infrastructureの略で、公的には「公的個人認証サービス」と呼称されますが、直訳すれば「日本版公開鍵暗号基盤」となります。

web3について多少なりとも心得がある読者であれば、この字面でピンとくるかもしれません。それもそのはず、公開鍵暗号はまさにブロックチェーンの根幹を成す暗号技術です。

公開鍵暗号技術とは、データを暗号化する際に公開鍵を使用し、復号する際に秘密鍵を使用する技術です。誰でも暗号化できるが、復号できるのは秘密鍵を持っている人だけというのがこの技術のポイントです。

マイナンバーカードの場合、秘密鍵を使って文書を暗号化し、受信者が公開鍵で復号することで、その秘密鍵が有効であることを証明します。

なお、秘密鍵が有効であるということ以外にも、その秘密鍵が確かに利用者本人のものであるという認証も同時にクリアする必要がある点には注意が必要かもしれません。また、マイナンバーカードの機能として、ICチップ内の秘密鍵を外部から無理に吸い出そうとするとICチップ自体が破壊される仕組みもあり、これによりセキュアなやり取りが可能になっています。

出典：デジタル庁（https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/1f2fb150-febe-4bee-b691-f02f68c4e8d4/e376536f/20221219_private-businessjpki-introduction_outline_02.pdf）

このようにマイナンバーカードは公開鍵暗号技術に基づいており、スマホにマイナンバーカードの機能を搭載するためには、認証局が発行した公開鍵と秘密鍵のペアを確実にスマホ内に格納することが必要になります。

暗号資産ウォレットがマイナンバーカードに劣る点

公開鍵暗号技術は、様々な認証システムにおいて使われていますが、ブロックチェーンの世界でも重要な役割を果たしており、具体的には下図のように「あるトランザクションが確かに特定の主体によって送信されたこと」を証明するために利用されます。

Bitcoinにおける公開鍵暗号のイメージ（出典: https://bitcoin.peryaudo.org/design.html）

しかし、ブロックチェーンにおける公開鍵暗号の使い方には一つの弱点があります。それは、秘密鍵を利用した署名に「本人性」が紐づかない点です。

例えば、マイナンバーカードのシステムでは、鍵のペアを発行する際に役所で本人確認が行われます。氏名、住所、顔写真などの個人情報とともに公開鍵が電子証明書として発行されるため、秘密鍵を所持する人が本人であることが保証されます。公開鍵で復号化することで、その人が誰であるかも容易に確認できます。

この仕様は、役所や認証局への信頼が必要であり、単一障害点リスクを含むため、それはそれで弱点ではあるのですが、本人性を証明する上では簡便で効率的な方法です。

一方、ブロックチェーンでは、鍵のペアを発行する際に本人確認を行う認証局は存在せず、「主体が秘密鍵を知っている」という事実のみが取引の真正性を保証するセキュリティモデルとなっています。そのためブロックチェーンの取引を行った「人物」がどこの誰であるかを特定すること、すなわちKYCを行うことがきわめて困難です。

---

オフチェーンKYCの問題点

最近では、伝統的な金融資産をトークン化する動き（ステーブルコイン、RWAなど）も広がっており、マネーロンダリングの防止や投資家の保護の観点からKYCの重要性が以前にも増して高まっています。

上述したようにブロックチェーンは、KYC機能をとくに苦手とする技術ですから、このトレンドをうまくサポートできないのではないかという懸念もあがっています。

現在、暗号資産を取り扱う企業などは、オフチェーンでKYCを行うことでなんとかRWAやステーブルコインをサポートしていますが、オフチェーンKYCはコストがかかるのはもちろんのこと、web3にネイティブに存在する機能との相互運用性は低いですし、情報漏洩のリスクは高く、ユーザーの手間も多いといった具合に問題だらけの方法と言えます。

マイナンバーカードでウォレットを作る？（a42社：マイナウォレット）

そこで提案されているのが、マイナンバーカードを使ってウォレットを作成したらどうかという案です。

日本のweb3スタートアップであるa42x株式会社は、スマートフォンでマイナンバーカードを読み取り、その中に格納された情報から一意のウォレットアドレスを生成したり、マイナンバーカードでトランザクションに署名する「マイナウォレット」というプロダクトを開発しています。

マイナウォレットを使えば、自撮りや身分証の撮影を行わずともマイナンバーカードをスマートフォンにかざすだけでKYCを実施できますし、他にも会員権NFTのような「そのNFTをもっているかどうか」でサービスの利用可否を判断するサービスにおいて、ウォレットを提示せずともマイナンバーカードを端末にかざすだけで自分がNFTを保有していることを証明することも可能です。

マイナンバーカードがデジタルウォレットになる「マイナウォレット」が Ethereum Foundation による研究開発助成プログラムに採択されました

もちろん事業者側がマイナウォレットの仕様に対応する必要はありますが、同社は将来的にJPKI（日本の電子認証基盤）と連携して規制に準拠した最高レベルのKYC機能を実現することを目指すと表明していますし、自治体や行政と足並みを揃えることができれば、マイナンバーカードがweb3のゲートウェイ的な役割を担う未来もありえるのかもしれません。

DIDとしてマイナンバーカードをウォレットに格納する？

オフチェーンKYCを乗り越える別の案として、マイナンバーカードをDID（分散型ID）としてトークン化し、それをウォレットに保管するアイデアもあります。

政府の認証局や分散型の認証ネットワークを利用してDID化されたマイナンバーを認証する、というような仕組みになると予想されますが、マイナウォレットと比べると、技術的により大掛かりなプロジェクトとなってしまいますし、分散型認証局を担うメンバーを集めるハードルもあります。

とはいえ、一つのウォレットでマイナンバーカードと他のIDを同時に管理したり、2つのIDを組み合わせて何らかを証明するといった高度で柔軟なIDシステムの構築を目指す場合にはおそらくDID型マイナンバーの方が都合がよさそうですし、ID管理の側面以外にも、マイナンバーカードの発行や失効、再発行などの際にDID型マイナンバーならDIDを発行し直すだけで済むため、マイナウォレットのようにウォレットごと作り直す必要はありません。

オンチェーンKYCの重要性が高まるweb3

これまで、マイナンバーカードと暗号資産ウォレットの技術的な側面に焦点を当てて議論してきました。ですが、web3の利用においてマイナンバーカードを活用する意義を考える際、社会的な側面も無視できません。

まず、web3のトレンドを押さえておく必要があります。先にも述べたように現在のweb3ではRWAが流行しています。「Progmat」をはじめ日本円のステーブルコインの社会実装はすごい勢いで進んでいますし、不動産や株式といった伝統的金融資産をトークン化するRWAプロジェクトも世界中で数多く生まれてきています。

RWAプロジェクトを推進していく上では、消費者保護やマネーロンダリング対策などのコンプライアンス関連の取り組みが重要になります。KYCはもちろんのこと、規制業種も今後さらに登場していくと予想されますし、コンプライアンスが整備されていくに連れてユーザーベースも拡大していくと考えられます。

さらに、暗号資産関連の法律が整備されると、ウォレットの匿名利用が制限され、KYCが完了した口座やウォレットでの取引が義務化されるとは言わないまでも、その需要が高まることは想定できます。最近では、DAO型合同会社のような法的根拠を持つDAO（分散型自律組織）も登場していますが、法人として社会に位置づけるためには、取締役や有限責任社員を登記する必要があるため、ここでもKYCが求められます。

現状、web3の世界におけるKYCは主に暗号資産を扱う事業者がオフチェーンかつ個別に行うケースがほとんどですが、先にも述べたようにコスト、情報漏洩、相互運用性といった様々な面で問題があります。ユーザー目線でみても、自撮りしたり身分証の写真を撮影して送付する仕組みがいつまでも存続するのは好ましくないでしょう。

そのため、究極的にはweb3の基本単位であるウォレットをKYCできる社会の実現が求められます。「一度KYCをしたウォレットをどこでも使える」、あるいは「様々な認証情報（DID）を貯めていってウォレットの信用力を育てる」というような世界の実現が待たれます。

マイナンバーカードがweb3の最後のピースとなりうる理由

ではウォレットをKYCできる社会を実現する上での近道とは何でしょうか。筆者はマイナンバーカードがその近道になるのではないかと考えています。

先にも述べたようにマイナンバーカードのセキュリティモデルにおいては「本人性」の証明が容易です。このことは本人性の証明を苦手とするブロックチェーンを補完します。

また保有者数の多さも魅力的です。最新のデータによると、マイナンバーカードの保有枚数は9237万枚、人口カバー率は73.7％に達しています。さらに、保険証の廃止などの施策により、カバー率はさらに上がると予想されます。

元も子もないですが、社会実装は「数」を必要とします。マイナンバーカードの普及施策がバラマキ政策を伴うのはそのことの証左です。マイナンバーカードを使う人が増えれば、マイナンバーカードは自ずと社会実装されていくのです。それと同じく、web3がweb2に負けず劣らずの機能をもつためにはユーザー数という「数」が必要となります。

JVCEAの発表によれば、現在、国内の暗号資産口座数は1,000万口座ほどです。マイナンバーカードはこれを10倍にできるポテンシャルを秘めているのです。これほどのポテンシャルを秘める「KYC済ウォレットの種」はおそらく他に存在しません。

無論、多くのメディアが指摘するように、マイナンバーカードにはセキュリティ面やプライバシー面での課題もあり、web3のKYC機能を担うための要件をすべて満たしているとは言い難いところもあります。DID型にするのか、マイナウォレットのようにカードからウォレットを生成するのかという技術的な分岐点もあり、まだそのメリデメは十分に議論されていません。

今後、マイナンバーカードをweb3にどう活用していくかの議論がより活発になっていくことを願います。

▼ コンサルティングやプロダクト開発のご相談は当社ホームページのお問い合わせよりご連絡ください

▼Decentierでは仲間を募集しています

コンサルタント
プロダクトマネージャー
サーバーサイドエンジニア