企業が本人確認において、公的個人認証サービス（JPKI）を導入しているニュースリリースを目にすることが増えた。実際に、QRコード決済の事業者においても公的個人認証サービス（JPKI）が広がっており、普及の状況からの推測となるが公的個人認証サービス（JPKI）で本人確認をした利用者も多いのではないだろうか。

企業が公的個人認証サービス（JPKI）を導入するメリットは、即時での本人確認が完了し顧客サービスの向上や事務コスト削減、そして偽造された本人確認書類による不正申込対策としてのセキュリティ強化があげられる。導入業者選択のために、各社の提案を聞いていると、どのプラットフォーム事業者もサービスプロバイダ事業者も出来ることは同じように思えるのではないだろうか。

確かに、技術仕様にそって主務大臣認定手続きが行われているのでサービス内容の差異はないが、金融犯罪対策やマネーロンダリング対策、不正口座対策として公的個人認証サービス（JPKI）の導入の事業者を決める際には、電子証明書の有効性確認の方式を理解したうえで行ってもらいたい。公的個人認証サービス（JPKI）では、マイナンバーカードのICチップに搭載された電子証明書を利用するが、使用する電子証明書には「署名用電子証明書」と「利用者証明用電子証明書」の2種類があり、それぞれ失効条件が異なる点に留意する必要がある。（詳しくは、デジタル庁のサイトに記載があるので確認いただきたい）

もう1点、重要なポイントとして留意しなければならないのは、公的個人認証サービス(JPKI)で電子証明書の有効性を確認するのに、CRLとOCSPの2方式がある点である。
これら2方式の大きな違いとしては、電子証明書の失効情報の更新タイミングが異なる点である。

OCSP方式：15分毎に更新
CRL方式 ：1日毎に更新

例えば、マイナンバーカードを落とした時に、マイナンバーコールセンターに電話することで一時利用停止ができますが、その情報も上記更新タイミングで反映される。同じく、紛失や盗難があった際の利用停止に関する情報も上記更新タイミングで反映されることになる。

現在、金融機関等で本人確認の業務をしている人だと、偽造の本人確認書類による不正申込だけではなく、盗難された本人確認書類による不正申込の対応をした経験があるのではないだろうか。公的個人認証サービス(JPKI)を導入する際に、紛失や盗難にあったマイナンバーカードと共に何らかの方法で不正入手したパスワードを用いて、不正申込の本人確認に使われることを想定し検討のうえ方式を選定してもらいたい。

＜参考＞
デジタル庁-公的個人認証サービス