本投稿の内容をご参考いただくかどうかは、皆様にお任せいたします(もし何か不都合があっても当事務所は責任は一切負いません)。
しかしながら、当職は、実はICカード(スマートカード)の開発者経験もあり、実は皆様がご利用の○○○カードについては、当職の特許その他セキュリティ機構にこだわりぬいた○○○カードをご利用になっているケースもあったりします・・・、ということはお伝えいたします。
もし、それでも、あなた、本当ですか・・・?!と思われるのでしたら、特許庁の外郭団体の運営する特許データベースを検索なさってください。
発明者名は当事務所名(当職本名)と一致していますので、その気になれば情報の組み合わせにより、少しの手間をかけるだけで、当職がどういった人物なのか、そして上述の内容が嘘か誠か・・・??ぐらいの見当は、皆様もつけられるのではないか、そう考えております(ただ、ある程度の情報検索スキルは要るのかもしれませんけれども・・・)。
あと、本名で検索いただいても、ヒットすると思います(社外用ペーパーも共著ですが書きましたので)。
ちなみにですが、当職は、複業の会社において、外国出張し、外国人と一緒に仕事をした経験がある程度ありますので、多少は知っているつもりではありますが、外国における外国人のセキュリティ意識とは相当なものだと思っています。
ちょっとこう申し上げてはナンなのですが、日本人がいくら技術的にセキュリティ(ここでは情報セキュリティに限定します)について知っていたとしても、外国人の骨の髄にまでしみ込んだセキュリティ意識に比べれば、段違い(例えるなら、大人と子供ぐらい違います、というので伝わりますか・・・)といってもよいのではないかとは思います・・・。
さて、身分証明書として公務所から発行された顔写真付きIDカードが日常使われることが多いかと思います。
本当に、ほとんどの場合は、それは真正なる身分証明書として正当な権限を行使するために使用されていると思っています。
というか、敢えて公務所発行印のある券面を不正使用する理由もないですね、重大な犯罪となるわけですから・・・。
ところが、もちろん犯罪の一環ではありますが、非常に金銭的価値の高い局面において、この身分証明書が使用されることがあると思います。
それは何か・・・。
はい、例えば、不動産取引ですね、特に不動産登記絡みの現場でしょうかね。
少し前にも、なんと、大手不動産関係会社が数十億円の詐欺(いわゆる地面師と呼ばれる詐欺集団)にあったことが報じられていましたね。
わたしくしの職務領域外ではありますので、一部想像にはなってしまいますが、不動産取引の現場(司法書士の方が「決済」と呼ばれる場のことですね)において、何を以て公的書類の真贋判定を行っているのか・・・、という点について、当職が、若干妄想めいたことを以下申し上げたいと思います。
(1)運転免許証による真贋判定は究極のことを言うとリスク大です
上述しましたように、不動産取引といっても、概ね数百万円、数千万円ぐらいから、数十億円なんて取引もあると思います。
さすがに数百万円程度で運転免許証の偽造までやるか?!という気はいたしますが(そんなことをして捜査機関に捕まるリスクも高いので)、数十億円であればどうでしょうか・・・?
仮に運転免許証の偽造費用に概算1千万円~数千万円かかったとしても、人によってはうまみを感じるのかもしれませんね(もちろん、当職はやりませんし、推奨もしません)。
ここで申し上げたいのは、運転免許証の券面確認(透かしが入っているとかどうとか)の程度であれば、今の印刷技術であれば、民間でもほぼほぼクリアできているのだろうと想像しています(もちろん、それをことさら広報する印刷業者やIDカード券面製造事業者はいないと思います)。
次に、ここが本投稿の本題なのですが、運転免許証の非接触ICカード機能を使って内容を読みだして券面確認をしたらいかがですか?と商品提案している企業さんがいるようです。
比較的新興のIT事業者さんですかね・・・、こういったことを訴求して、営業活動を行っているのは・・・。
でも、ICカード開発のプロのわたくしから言わせれば、それは「運転免許証についてはICチップへのアクセスによる絶対的な券面の真正性担保はありません」と明言いたします。
なぜか・・・、それは・・・確かに本物の運転免許証を真贋判定することは上手くいきます、はい、それは本物ですし、ご本人が真正に発行を受けた運転免許証でしょうから・・・。
しかし、世の中には「YESカード」という商品が売られています・・・、えぇ、確か、日本最大じゃないかと言われているネットショッピングサイトでも普通に売られていたのを見たことがあります・・・、せいぜい1枚千円程度です。
仮に非接触ICカードプロトコル搭載で非接触ICカードリーダーライタ経由でアクセスできる商品だとしても、2千円程度なのではないでしょうか・・・?
それこそ、上述の通り、1千万円~数千万円も予算があれば、日本国外で朝飯前で作ってくれることでしょう・・・。
それでは、「YESカード」って何ですか?ということです。
それは、基本的な命令セットはISO7816やISO14443など、国際標準規格に沿った動作をするように仕込んであるICカードのことであります、当然非接触のアンテナ含めて・・・。
それから、ICカードの中身となるファイルやPINコード(暗証番号)ですが、ファイルについては、一般カードリーダライターから読み出せるのですから、当然ですが、運転免許証とそっくりに読み出せるように作成しておけば良いのです。
その技術仕様は、公的機関発行ICカードの場合は公開されています(なので、皆様のスマートフォンアプリで運転免許証の内容を読み出せるんですよ・笑)。
命令セットは、通常ではISO14443の標準規格に沿った作成をしますので、ここもYESカードを使えば、ほぼ問題は生じないでしょう。
クローズドな利用(特定の事業者が、自己のサービスでのみ利用するICカードを、専用のICカードリーダライタを介してアクセスするシステムのことです・・・、例えば、携帯電話に刺さっている○○○カードという名のアレですね)であれば、当然、プロプライエタリと呼ばれる事業者独自コマンドを作成することがあります。
でも、それは上述の通り、公的機関発行のICカードには適用しずらいことでしょう。
なぜなら、公的機関発行のICカードは原則競争入札により公募されますので、技術仕様を公開さえすれば、誰でも当該ICカードの設計製造が実行可能でなければならないからです。
特定の技術仕様を開示しなければ製造できないモノとなると、相当の理由が伴わない限り、随意契約として承認されないと考えられます(会計検査とかもあるでしょうしね)。
よって、何を言いたいのかといいますと、券面印刷や透かし等はクリアできているモノとして、中身のICカードも偽造できる・・・、つまりそうなるとICチップを用いたオフラインの真贋判定(例えば、スマートフォンアプリで運転免許証のICカードの内容を表示して、その表示内容が券面印刷と同じであるということを確認する行為のことです)に頼り切るのは相当危険が高いということになるのです。
それじゃ、なぜ一般にICカードは安全性が高いと言われているのかといいますと、それは、オンラインでの認証(サーバ側で真正なICカードであると認証し、かつ、ICカード側でも正当なサーバにアクセスしていると認証する、相互認証)として使うこと、さらにICカード用のICチップは専用ICチップなので耐タンパー性能が他の普通のICチップよりもあるため、一般的には公開鍵暗号方式を用いた相互認証により、お互いのデバイスが確からしいという認証を経て、それなりに安全性が確保できる・・・、というシステム設計により初めてなりたつ、というわけです。
つまり、ICカードを偽造しても、サーバ認証で引っかかるのでYESカードでは用が足りず、かといって、耐タンパー性があるので、真正ICカードの中身(ファイル構造やプログラム処理)を解析したりして、それをYESカードにファイルやプログラムを移植して偽造したうえで、サーバ認証を通せばいいではないか、といった芸当が通じない、ということなのです。
ところが、運転免許証ICカードのICチップ中身に対するオンラインアクセスによる相互認証って、通常はやらないですよね?(個人番号カードですら、確定申告時には署名鍵へのアクセスするわけですが、そういった利用シーンはないですよね?)
いわゆる交通切符(交通反則告知書、告知票・免許証保管証)を切られる時に使われる可能性もありそうですが、でもそれは、PIN1やPIN2以外の、PIN3とも言えるような機構を提供していれば、それで解決してしまいます。
何を言っているのかというと、運転免許証更新時に各運転免許保有者が設定する二種類のPINコード(暗証番号)以外に、運転免許証発行機関の設定した特別なPINコード等(コンピュータで言えば、アドミニストレータとかルートとか呼ばれる管理者権限クラスのPINコードのことです)を設けておき、それで全券面内容を読み取れる設計にすれば、交通切符作成時に運転免許保有者が前記二種類のPINコードを失念していたとしても何ら支障は無いってことです。
この場合、PINコードなので、警察庁のサーバにアクセスする必要も、そもそもないですよね・・・。
そればかりか、そういうシステム設計にしておかないと、もし山中など圏外の場所で交通切符を作成する際に、警察官から違反者に対して、「それじゃ、すまないですけれど、電波の通じるところまで移動しましょう」なんてこと、言えるわけないですよね。
よって、再度結論を申し上げますが、ぶっちゃけ、司法書士の先生向けに運転免許証ICカードで本人確認してはどうですか?という機器を販売していたり、スマートフォンアプリでPINコードを入れさせればいいじゃん!と書いている記事は、技術的理解が足りていない可能性が高い(あるいは、敢えて悪く言うならば、技術的に理解が追い付いていない法律のプロである方々に、あたかも技術的に万全であるかのように営業をしている、とか?!・・・であれば、申し訳ございませんが、ちょっと「悪質」じゃないですかぁ??とだけは申し上げておきます・・・)、ということを、当職からコメントしておきます。
まぁ、もちろん、世の中、お互いの合意があれば、それで取引は成立しますので、仮に技術的に万全でない機器に頼って士業者の方が運転免許証の真贋判定を業務においてなされて、それで結果的に関係者が何らトラブルに巻き込まれなければ、それでいいとも言えますので、本投稿記事では、そういった観点についてまでも警鐘を鳴らしているわけではありません。
あくまでも、万に一つの課題点があるのだとすれば、そこですよ、という程度の話です。
でも、その万に一つの課題点をもクリアして・・・という思考回路は、何を隠そう、法務部的な思考なんですけれどね。(笑)
(2)個人番号カード
こちらですが、この個人番号カードには電子証明書が入れられるのですが、その電子証明書を入れた状態であると仮定しての話となりますが、実は、ある操作によって、かなりリスクの軽減が可能となります。
それは電子証明書の有効無効判定を、個人番号カード用電子証明書発行の認証局(あるいはもしかしたら証明書失効照会サーバ)にアクセスして、現在、その電子証明書が有効か無効か、あるいはその中身がどういったものであるか、という点を個人番号カード内部のICカードの自己署名機能を使って調査することが可能なんです。
それは、マイナンバーアプリでしたかね・・・、マイナバーのキャラクターのウサギマークのアプリからであれば可能です。
そのアプリに対して、自己署名キーを入力しなければなりませんし、その自己署名データをサーバに通信回線経由でアクセスして真贋判定をするというので、その時点で地面師はお手上げってことですね。(笑)
これは公開鍵暗号方式が危殆化してしまえば、もうどうしようものではありますが・・・、今日のところは、そういった情報は世の中には公知されていない認識ですので、よって、安全性は高いであろうと当職が申しあげているわけです。
上述の話の流れで言えば、例えば、数十億円の不動産決済なので、予め登記義務者側に、個人番号カードに電子証明書を入れて、不動産決済時に自己署名できるように準備しておいてください!と、要求しておけばいいってことです。
そういった事前要求がITスキルに関わらず拒否されるようであれば、いったん、不動産決済は見送り・・・にすればいいんですね!(たぶん)
そして、そういった事前設定等が難しいという方には、これは一般的な行政手続きの範疇かと思われますので、例えば、行政書士等がサポートすればよいってことかもしれません。(笑)
もちろん、個人番号カードが不正に取得される可能性も予期して(それが真正に作成された個人番号カードであっても、そもそも論で他人が公務所を欺いて交付させた可能性もあるでしょうから)、古典的な、生年月日と干支を言わせる・・・というのも有効でしょうし、あとは、これは当職のジャストアイディアレベルですが、戸籍の附票の写しを別途取得するなどしておいて、その過去の住所を諳んじてもらう、とか、でしょうか・・・、こういった手合いの従来型の本人確認も、もちろん必要だとは思います。
ここのあたりの古典的な手法や、その不動産決済時の留意点については、そもそも当職が語ることのできる範囲ではありませんので、この程度とさせていただきます。
あとは、これは超便法ではありますが、特許庁で出願人番号の交付を予め受けておいてもらって、当日、特許庁に個人番号カードを用いて、例えば、登録公報が出たばかりの商標の記録照会をすればいいかと思います(二か月間は無料です)。
当然、事前に出願人番号を請求して、それから特許庁からハガキが送られてきますので(たぶん本人確認として)、そこまですれば、一応、真正な感じが増すのではないでしょうか・・・、という裏技もあるかな、とは思います。
上述しましたように、個人番号カード(ICカード)+オンライン処理で登記義務者の提示した本人確認書類(個人番号カード)の真正性を判定するのは、少なくとも運転免許証のICカードをオフラインで真贋確認するよりは断然マシだと、当職は思っています。
(3)コンビニ交付の各種公的証明書
なんとなく役所の窓口での偽造防止用紙で発行してもらった方が有難味がありそうではありますが、コンビニ交付の良いところは、なんといってもオンラインで映像確認ができことでしょうか。
役所の窓口の紙の効用は、その紙による証書が原本なのか複写なのかを判定することにはある程度効果は発揮すると思いますが、その証書の記載内容について改竄されている可能性を排除するものではありません。
(もちろん、改竄を推奨するという主旨で本記事を投稿しているわけではありません、あくまでも不正利用の観点から想定されるリスクを記載しているだけです。)
この点、コンビニ交付の証書は、ネット経由で照会することにより、改竄可能性の有無を容易に確認できるという点で、画期的だとは思います。
最悪、そのコンビニ交付の裏面の模様を出力するためのアルゴリズムとキーが盗用されると何とも言えませんが、さすがにそこは、IT業者ではなく、役所の役人のどなたかがキーについては設定管理運用していると思いますので(それこそ、超肝心かなめの種鍵値については、肌身離さず携行していたりして・・・お疲れ様です)、そこが漏洩するとはちょっと考えづらい・・・、ということで、一応は信頼性があるとは思います。
繰り返しになりますが、役所の窓口で交付される証書ですと、通常は一般的なレーザープリンタによる印刷かと思われますので、その印字が消えてしまうような細工をすることができる可能性もあるでしょうし、そもそも論で、その用紙自体がアングラに流出しないのか・・・??(こう申し上げてはアレですが、よく、関係者が経済的に困って行ってしまった・・・とか)など・・・、わたくし的には、地下鉄漫才ではありませんが、そのセキュリティ対策という意味では、本当に万全なんですかね~という観点について、気になって仕方がありません・・・。
それであれば、未だコンビニ交付の方が裏面データによる真贋判定ができる分、マシだとは言えるようには思います。
つらつらと書いてしまいましたが、如何にも運転免許証だと真贋判定できていいよ!なんて製品を売っている業者の記事を過去に見かけたことがありますので・・・、どうか、本投稿記事をご覧になった士業の先生方は、うっかり、そういった業者の話(しかも、大変申し訳ないことに、一般論として士業者の先生は技術にも造詣が深いのかというと・・・それはどうなんでしょうか?というところが本当のところかと思いますので・・・)に、十分リスクを理解することなく簡単に営業トークにのっかることのないように、慎重にリスク評価をなさってうえで選定導入をされると良いのかもしれません・・・。
お問い合わせはこちら↓からお願いいたします。
ありがとうございました。
