マイナンバーカードのPINとパスワードが両方ある意味
okuokutl; dr
自由なデータに対して署名できるか と 個人情報(基本4情報: 住所 氏名 性別 生年月日)を提供するかどうかが違う。
| PIN | 個人情報 | 法的な署名 | 用途 |
|---|---|---|---|
| 4ケタ数字 | 提供されない ※ | 法的な署名ではない | カードの所有者であることの証明 |
| 6〜16文字の英数字 | 提供される | 電子署名法に基づく署名 | 入力内容にカード所有者の署名をつける |
... なんで "カード暗証番号" と "カードパスワード" みたいな名称を振らないの。。?
殆どのケースでは4桁の番号を入力することになる 。"6〜16文字の英数字" の方を要求される場合、それは住所氏名のような個人情報へのアクセスを必要としていると考えられる。また、4桁の番号であっても、証明書の失効は誕生日になるので誕生日の日付はバレることになる。
マイナポータルのようなサイトでは個人情報にアクセスできるが、これらのマイナンバーを使用できる事業者については、事前に利用登録がされた状態なので4桁の番号のみで利用できる。
技術的には、4ケタが"利用者証明用電子証明書"、〜16ケタが"署名用電子証明書" のそれぞれのPINとなる https://www.soumu.go.jp/kojinbango_card/kojinninshou-01.html 。
そもそもなぜPINが必要なの?
キャッシュカードと同じで、カードを持っている人間が正当な人間であることを証明するため。PINがないと、拾った(盗んだ)カードを他人に使われてしまう可能性がある。
保険証利用では何故PIN/パスワードの入力をしなくても良いの?
謎。
マイナンバーカードはなるべく使わないこと
世間には野良実装 https://github.com/jpki もありマイナンバーカードで任意のデータを署名したりSSHログインに使用したりできるが セキュアエレメントが安価に入手できる現代では意味がないのでやらない事 。
何故なら:
- 住所や氏名を含んで署名することになる
- これらの証明書のデータは民間利用が可能であり、民間利用する場合は証明書のIDをログインIDとして使用することになるため、証明書のID(これはマイナンバーではない乱数)と本人を紐付ける情報が意図せず流出する可能性がある。
- これらの証明書は人間の生存に紐付いているため、死ぬと死んだのがバレる (死亡時は証明書が失効する)
myTap( https://topic.or.jp/mytap.html )のような自治体のローカルサービスや国のサービス、保険証として使うのは良い -- これらは実在の住所や人間への依存がある -- が、殆どの商業サービス(ポイントカード等)ではこのレベルのアクセスは必要ないと考えられる。