NemID
NemID は、2010年7月1日に開始された、デンマークの国民番号(CPR番号)を持つ15歳以上の国民が使用するインターネットのID制度。行政のみでなく、一部民間サービス、銀行のサービスでも使用できる。 DanIDによって運営される。
使用者は、CPR番号(使用者名)、パスワード、NemID に記されている数字を入力する(多要素認証)。
「Nem」とはデンマーク語で「簡単な」を意味する[1]。
経緯
[編集]「デンマーク電子政府戦略2007-2010」には「より良いデジタルサービス」「より安全で効率的なデジタル・コミュニケーション」の実現、2012年までに「すべての国民・企業と行政間で取り交わす書類をデジタル化する」という目標が掲げられていた[1]。その目標達成を目指し、国民、企業、団体によるICT利用推進を支えるセキュリティ基盤として、デンマーク政府はNemIDの画策を行った[1]。
1968年に導入されたCPR番号によって、税、福祉、医療といった行政組織を横断する事務管理部門(バックオフィス)の連携が可能となっており、デンマーク市民にとって効率性と利便性に優れたデジタルサービスを実現可能であった。また、デジタル化の負の側面でもある改竄、なりすましによる被害や個人情報の漏洩などを払拭をするためのセキュリティ基盤は必須であり、電子署名が重要な役割を担う[1]。
デンマークでは、2003年に公開鍵基盤を利用し、個人認証と電子署名の両方を兼ね備えた第1世代の電子署名(DanID、「デンマーク人のID」の意)が導入されている[1]。DanIDは、2009年4月では約130万件、2010年9月では180万件を超す利用実績がある[1]。デンマークの人口は約550万人であり、この利用実績は順調に伸びた結果だと言えるであろう[1]。
DanIDの問題点
[編集]しかしながら、DanIDには以下のような問題点があった[1]。
- 利用端末が制限される。
- 暗号化鍵と電子証明書を同じコンピュータに入れて運用するため、複数の端末からは利用できない。例えば、自宅のパソコンから電子納税の手続きを行った場合、パソコンの中の暗号化鍵と電子証明書は勤務先のパソコンや自身のスマートフォンには入っていないため、勤務先やスマートフォンでの納税手続き履歴確認が行えない。
- 利用率の低迷
- 利用実績は上記のように伸びてはいたが、それでも「1人当たり年に数回」といった利用率である。特に自身の電子署名のパスワードを覚えておくことを困難と感じる者が多く、たまに利用しようとした際にはパスワードが判らなくなっている状況も少なくなかった。めったに利用しないのでパスワードを忘れ、パスワードを忘れると利用率が下がるという悪循環に陥る。パスワード再発行の手続きはあるが、市民と行政の双方の手間と時間を要し、新パスワードは郵送されるために費用もかさむことになる。
- 何度もログインする必要がある。
- 例えば、医療サービスのポータル(Sundhed.dk)と税務サイトのポータル(Skat.dk)とは歴史的な経緯もあって別個のサービスシステムであり、それぞれを利用するにはそれぞれでシステムにログインする必要があった。市民目線での「より良いデジタルサービス」には、各サービスポータルの一元的ログイン(シングルサインオン)を実装する必要があった。
NemIDの改善点
[編集]上記のDanIDの問題点を解消するために、2007年から開発が着手されたのがNemIDである[1]。「Nem」とはデンマーク語で「簡単な」を意味しており、DanIDよりもデンマーク国民にとってより簡単で、より身近な存在になるという願いを込めて名づけられている[1]。
DanIDと比較した場合の、NemIDの大きな相違点は以下の通り[1]。
- 銀行の電子署名との共用が可能
- ワンタイムパスワードの採用
- 暗号鍵と電子証明書を端末側ではなく、認証局のサーバ側に持たせた。
- ログイン、ログアウトを一元化したシングルサインオンの実装
このため、本人確認は、IDとパスワードに加えてキーカードを採用している[1]。このキーカードはICカードではなく、数列が印字されているカードである[1]。
ICカード非採用
[編集]ICカードを避けた理由としてデンマーク科学技術開発省(Ministeriet for Videnskab, Teknologi og Udvikling、現デンマーク教育研究省)は次の3つの理由を挙げている[2]。
- 導入コスト
- ICカードは読み取り装置の導入に費用が発生する。企業だけでなく市民が利用する場合にも導入コストも発生する。
- 利便性
- ICカードを利用するには、カードリーダーの購入と接続、パソコンにドライバをインストールするなど手間と知識が必要であり、また実際の利用も煩雑さがある。
- 個人認証のメリットを遡及できなかった
- 確かにICカードのほうが堅牢な個人情報保護が行えるが、上記のようにコストや手間をかけてまで電子行政サービスを利用したいと市民に思わせることができなかった。
こういった理由でICカードを利用した実証実験ではカードの普及も至らず、ICカード導入を断念している。
NemIDの利用方法
[編集]NemIDのキーカードには、4桁+5桁の数列が、132個記載されている[2]。
- NemIDを利用した個人認証の手順[2]
-
- 利用者はIDとパスワードを使用して、各サービスポータルにログインする。
- 各サービスポータルの画面でワンタイムパスワードが要求される。画面に表示された4桁の番号をキーカードで探し、対応する5桁の数列を入力する。この4桁の番号とキーカード上の5桁の数列が一致すれば個人認証は成功となる。
一度利用した番号はシステム側で記録されており、複数回利用されることはない[2]。残りの数列が20個以下になった場合は、新しいカードが利用者のもとへ送付されてくる[2]。なお、新しいキーカードを発行するタイミングは、標準では残り20個だが、残り40個など任意の数へ変更することもできる。また1度に発行される枚数を3枚などに増やすこともできる[2]。
NemIDの利用状況
[編集]2015年にはNemIDを利用した認証は30億回を超た[3]。この利用回数の実績から、デンマークの市民や企業にとって、NemIDは日常生活に不可欠な一部となっていることがうかがえる[3]。また、2015年時点ではデンマーク人口の81%がNemIDを利用しており、利用者の85%が「満足」または「とても満足」しているアンケート結果も出ている[3]。
出典
[編集]外部リンク
[編集]- Forbrugerrådets page about NemID
- NemID opposition