公的個人認証サービス(JPKI)は、以下の通り、法律・運用・技術の三層で安全性が担保されているためです。
①「誰が本人か」を確認する段階が厳格
→市区町村の窓口で、顔写真付きの本人確認書類を用い、対面で本人確認をした人にしか電子証明書は発行されないため、なりすましが困難です。
② ICチップ+暗号技術(PKI)による技術的安全性
→JPKIは、「マイナンバーカードの ICチップ」、「公開鍵暗号方式(PKI)」という世界的に広く使われている安全な技術を用いています。ICチップから電子証明書を抜き取ったり、複製したりすることは事実上できない設計になっています。
③カードの所持+暗証番号入力の「二要素認証」
→「カードを持っていること(所持要素)」と「暗証番号を知っていること(知識要素)」の 2つを同時に満たさなければ利用できません。
④ 不正や紛失時の対策も制度として用意されている
→紛失・盗難時は 24時間365日利用停止可能で、電子証明書は「失効情報」と常に照合されるため、無効になった証明書は使えないようになっています。
⑤行政・金融・決済で広く使われている
→JPKIは現在、「銀行・証券口座の本人確認」「携帯電話契約」「オンライン申請」「東京アプリ等の自治体サービス」で利用されており、今後の法改正では“標準的な本人確認方式”になります。目視や画像確認より、JPKIの方が安全だと制度的に判断されたためです。