1．はじめに

政府は，2016年よりマイナンバー制度[1]を施行し，希望者に対して，個人認証のためのICカードとして「個人番号カード」の配布を開始した．このマイナンバー制度とは，複数の機関に存在する個人の情報を同一人の情報であるということの確認を行うための基盤であり，社会保障・税制度の効率性・透明性を高め，国民にとって利便性の高い公平・公正な社会を実現するための社会基盤（インフラ）である[2]．

一方各自治体においては，住民サービスの充実のために自治体独自のサービス基盤を構築している．自治体におけるマイナンバー制度への対応課題の1つとして「個人番号カード」の普及と活用があり，自治体独自のサービスが「個人番号カード」を用いて利用できるように求められている．糸島市においても，住民の利便性，経費の適正化という観点から，従来住民サービスの個人識別のために配布しているICカードとの重複した発行を避け，1枚のカードで住民サービスを提供することを目指した．我々は糸島市と協力し，すでに構築した住民サービスを「個人番号カード」1枚で提供できる仕組みを再構築した．その結果，「個人番号カード」を使っても，当初から構築していたセクトラルモデル[3]の構造を壊すことなしに，住民サービスを提供できる仕組みが実現できることが分かった．

本稿では，我々が糸島市で構築した住民サービスを，1枚の｢個人番号カード｣を用いて実現するに至った統合の検討とその検証について述べる．加えて「個人番号カード」に統合することで生じた運用上の違いについて検討する．

2．現状と課題

2.1　自治体サービスの課題

自治体における住民サービスは，戸籍などの手続きから，年金，子育て支援，福祉，ゴミ処理や公共施設の運営まで広範囲にわたる．さらに，間接的には地域の自治会などが行う地域活動の支援も含むこともある．

糸島市においては，2013年より住民サービスのために，九州大学が協力し，「いとゴンカード」（ICカード）を住民に配布し，災害時のための避難支援サービスや児童の見守りなどの住民サービスの実証実験を進めてきた．「いとゴンカード」において提供される住民サービスは，九州大学が開発した情報プラットフォームVRICS（Value and Right Circulation control System）[4]上で動作し，それぞれのサービスの独立性を保ちながらも災害時のデータ連携が可能となるセキュリティと利便性を兼ね備えたセクトラルモデルのID（Identification）管理方法を実現している．

しかし，自治体には，多様化する住民ニーズへの対応，サービスの効率化，経費の適正化が求められている．このため，新たに始まったマイナンバー制度やそれに伴って発行される「個人番号カード」に対応すべく，既存の自治体独自の住民サービスのシステムの見直しに直面している．

2.2 「いとゴンカード」

2013年度より，糸島市と九州大学は共同研究で，「いとゴンカード」による住民サービスの実証実験を開始した．｢いとゴンカード｣とは，VRICSにおいてサービスのトリガとして，サービスごとの個人の識別，いわゆるIDと各サービスの権利とその量を与えるためのICカードである．「いとゴンカード」にて提供される住民サービスは，大きく分けて災害時用サービスと平時用サービスの2種類からなる．

災害時用としては，避難支援サービスであり，住民の避難状況を確認する安否確認システム，原子力災害時に被爆の検査を支援するスクリーニング検査システム，および災害時の小学校における児童の引き渡しシステムがある．また平時用としては，児童の登下校時に保護者にメールで登下校を知らせる登下校見守り，救急車などで緊急医療情報を取得する高齢者見守り，コミュニティバスのバスカードサービス，および図書館や子育て支援センターなどの公共施設利用者サービスがある．これらの平時用サービスにおいては，1人の住民に対してサービスごとに異なるIDによりサービスが提供されており，情報の共有はない．しかし，災害時用のサービスにおいては，各々のサービスで取得した情報を連携させることで，住民の避難状況（動態情報）を把握するものである[5] ．

この仕組みは，九州大学が開発したVRICSが創るID構造によるものであり，平時には，各サービスが独立しており，各サービス提供者に利用者情報の名寄せをできなくしており，また各々のサービスが他のサービスのセキュリティに影響を与えない仕組みであり，いわゆるセクトラルモデルを構成している．しかし，いったん災害時となれば，利用者の各情報を串刺しにし，サービスの連携を行うことができるといった，個人情報保護やセキュリティと利便性との両面から考慮したIDの管理を行っている．

「いとゴンカード」のサービスとIDの関係のイメージを図1に示す．

PID（Personal Identification）[6]は糸島市によって，住民基本台帳に基づいて住民に付番された個人を識別するためのビット列であり，ユニークなものである．「いとゴンカード」にはPIDが格納されているが，PIDを直接取り出せない仕組みとなっている．住民がサービスを利用する場合は，「いとゴンカード」内で，PIDよりサービスごとに異なるSubID（PID Subsequence）と呼ばれるビット列を生成し，それぞれのサービスにおいての利用者の本人性を証明することでサービスを受けられることとなる．ここで，サービスA，サービスB，およびサービスCは糸島市で提供されている子供の見守り，高齢者見守り，公共施設利用者サービスなどの平時用サービスにあたり，SubID-a，SubID-b，およびSubID-cは，それぞれのサービスにおける個人を認識するIDにあたる．

このように各々のサービスが独立していることで，サービス間の相互の直接の情報漏えいがなく，名寄せができず，セキュリティレベルも独立していることより，自治体が行うサービスだけでなく，セキュリティレベルの異なるあらゆる民間サービスの参加を容易にしている．

図2に「いとゴンカード」の構成イメージを示す．

主な構成は，n種のサービスに対応したサービスごとの情報群，カードリーダから得た情報に応じてVRICSの各種コマンドを発生するVRICSコマンド生成領域，PID情報が格納されているPID情報，およびカードアクセスの履歴を記録しておくLog格納領域からなっており，65キロバイトのメモリを使用している．また「いとゴンカード」のカードOSには，世界標準規格であるGP（Global Platform：ICカードの国際標準化組織Global Platformが提唱するマルチアプリケーションICカードのOS）を使用している．

2.3 「個人番号カード」

マイナンバー制度では，市町村長は，当該市町村が備える住民基本台帳に記帳されている者に対し，その者の申請により，その者にかかわる「個人番号カード」を交付するものとしている[7]．この「個人番号カード」は，国民全員に用意されているマイナンバー制度の個人ポータルサイトである「マイナポータル」へのログインに使用されるICカードであり，本人確認（個人認証）などに利用されることとなる．本人確認を確実に行うため，JPKI（公的個人認証サービス）による認証機能の利用を基本としている[8]．

また｢市町村の機関は，「個人番号カード」を，地域住民の利便性の向上に資するものとして条例で定める事務に利用することができる｣のように説明[7]されており，「個人番号カード」には自治体が独自に使用できる空き領域が設けられている．この空き領域は，さまざまな用途の複数のAP を利用可能にするためにAP搭載に関する規格が設けられている．図3に「個人番号カード」の構成イメージを示す．

3. 目的

我々の目的は，「個人番号カード」の発行に伴い，糸島市で構築したセクトラルモデルによる住民サービスの情報プラットフォームを大きく変えることなしに，「いとゴンカード」で供給しているすべての住民サービスを，「個人番号カード」で供給することにある．これは，現在発行中の「いとゴンカード」を「個人番号カード」に統合することであり，住民情報の変更のたびに住民が行う登録や変更の多重の手続きをなくすとともに，「いとゴンカード」の発行にかかる経費や手間を削減するためである．「いとゴンカード」にて提供している住民サービスを，「個人番号カード」を使って提供するためには，政府が用意したツールを用いて，「個人番号カード」の自治体で利用できる制限の範囲内で統合しなければならない．

4 「個人番号カード」への統合

4.1 「個人番号カード」と「いとゴンカード」との違い

我々は，｢いとゴンカード｣と｢個人番号カード｣との統合を検討するために，各々のICカードの性格の違いを明確にし，用途や使用方法を比較した．

｢いとゴンカード｣は，住民サービスを受けるためのICカードであり，サービスのトリガとの位置づけにある．その目的は住民の“見守り”であり，災害時の避難や日常生活の中で，住民を見守るためにICカードを利用して，本人であることの認証とサービスを利用する権利や価値を管理している．

一方「個人番号カード」は，行政手続きを行うためのICカードであり，その主たる目的は，行政サービスの効率化と本人の証明である．このため，サービスが求める本人証明を，ICカードによって証明するものである．この証明を用いて，行政手続きを行ったり，個人情報などにアクセスしたりする．

この違いから，双方のICカードでは，主となる対象者や使用環境が異なるばかりか，ICカードの券面やICカードの中に搭載する情報も異なっている．

たとえば，主となる対象者については，｢いとゴンカード｣では糸島市民（全員）に加えて糸島市に通勤，通学するほかの自治体の住民や糸島市の施設を利用する人までを含むことに比べ，糸島市で発行する「個人番号カード」は，糸島に住民票を置く住民に限られる．さらに，｢いとゴンカード｣では社会的弱者の見守りに利用するため，子どもや高齢者のカード配布に比重が多くなる．一方「個人番号カード」は，現状では行政手続きを行うことが主な利用となっているため，子どもや被扶養者にとって，カード保有のメリットが薄い．

使用環境については，｢いとゴンカード｣では，災害時の避難や日常生活の中での見守りが目的であることから，災害時の通信ができないような状態や劣悪な通信環境を加味し，さまざまな通信環境の中での利用を想定しており，オフライン処理を中心とした使用を想定（オンライン処理も対応）したシステムとしている．一方「個人番号カード」では，行政手続きにおける本人の証明であり，電子申請やマイポータルといったオンラインにおける個人認証が基本となったシステムである．

ICカードの券面においても，｢いとゴンカード｣は，子どもなどの社会的弱者が身に着けることを考慮し，犯罪などの事故を避けるため，券面にできるだけ個人情報を記さないようにし，券面には漢字による氏名や住所はなく，本人の写真もない．このため，｢いとゴンカード｣では，住基ネット情報に従い，個人の住基情報を搭載し，発行しているにもかかわらず，身分証明書としては利用できない．一方「個人番号カード」は，身分証明書としての機能を持たせるため，券面には4情報（漢字の氏名，住所，生年月日，性別）と写真が載せられる．

｢いとゴンカード｣と｢個人番号カード｣に使っているICカードの電気的仕様は，ユーザメモリ容量以外は同じである．これは，｢いとゴンカード｣のICカードの電気的仕様を政府が決めている“公的分野における連携ICカード技術仕様（改定）”[9]に従って決定したためである．

4.2 統合のための検討

「いとゴンカード」にて提供している住民サービスを，「個人番号カード」で提供するためには，「個人番号カード」に「いとゴンカード」のすべての機能を搭載する必要があるが，主に2つのICカードの仕様に起因する制限を解決しなければならない．1つ目は，「個人番号カード」の空き領域のメモリ容量であり，2つ目は使用しているカードOSである．

「いとゴンカード」では，カードOSにGPを用いて，ICカード内のVRICSコマンド生成領域にVRICSのカードプログラムを搭載し，ICカード内で暗号処理や情報処理などの演算を行い，セクトラルモデルを実現し各種サービスを提供している．もし，カードOSが変わると，コンパイルをやり直し，動作確認と検証が必要となるばかりか，最悪のケースでは，プログラム開発を再度行う必要が懸念される．さらに，異なるカードOS間での操作上での違い等（動作速度の違い等）から，場合によってはICカードリーダの読み出しプログラムまでも変更せざるを得ない場合も発生する．加えて，カードOSが異なることでカードに搭載するプログラムのメモリ容量も変化することとなる．

仮に，カードOSがGPであるとしても，そのまま「いとゴンカード」のアプリケーションを搭載するには65キロバイト以上の容量が必要となる．このため，我々は，少ないメモリ容量で，カードOSに大きく依存しない方法として，｢いとゴンカード｣のプログラムをそのまま｢個人番号カード｣に搭載するのではなく，｢個人番号カード｣を｢いとゴンカード｣のサブデバイスとして使用し，VRICSが創るセクトラルモデルの構造を壊さない方法を検討した ．

5. Adaptive VRICSの開発

5.1 Adaptive VRICSの構造

我々は，従来のVRICSが創るセクトラルモデルの構造を壊さないで，サブデバイスを実現できるAdaptive VRICS（適応型VRICS）の開発を行った．従来のVRICSでは，VRICSデバイス（糸島市の場合は「いとゴンカード」であるが，本5.1節では一般的な概念として，VRICSデバイスと記す）内で各々のサービスに対応するSubIDを生成し，そのSubIDにてサービスを供給した．このため，PIDからSubIDを生成する機能や認証の過程において，VRICSデバイスに対し，デバイスに搭載するプログラムを実行するだけの高い処理機能を要求していた．さらに，生成ロジックや認証プログラムなどのためにユーザメモリの容量も大きなものとなってしまい，VRICSデバイスとしてのICカードはその性能面やメモリ容量から限定された．このように，従来のVRICSの作り上げるシステムは，デバイスに大きく制約されていた．Adaptive VRICSでは，“VRICSサブデバイス”という概念を入れることで，使用するデバイスの制限が少ないシステムを構築できるようにした．“VRICSサブデバイス”は，VRICSデバイスが生成させていたサービスごとのSubIDと，サービスを受けるための条件，サービスの質と量，個人認証の方法などを表した権利証を搭載することで，VRICSデバイスで受けられるサービスと同様のサービスが受けられる．VRICSサブデバイスでは，SubIDの生成や複雑な認証のプログラムの実行が不要となり，カードOSに依存しなくなると同時に，プログラムに使用していたユーザメモリの容量も不要となる．このため，処理能力やカードOSによらない，また容量の小さなデバイスでも，従来のVRICSと同等のシステムの実現を可能とした．

5.2 糸島市でのAdaptive VRICSの構築

図4に，今回糸島市においてAdaptive VRICSを用いて，「個人番号カード」を，｢いとゴンカード」のサブデバイスとして｢いとゴンカード」のサービスを提供する場合のサービスイメージを示す．

図中の「いとゴンバーチャルカード（バーチャル収納媒体）」は，架空の収納媒体である．この「いとゴンバーチャルカード」で生成されたSubIDは，権利証とともに利用者の「個人番号カード」の自治体が独自で利用できる領域に移植することとした．

Adaptive VRICSでは，従来の｢いとゴンカード」で行っていたSubIDの生成機能を「いとゴンバーチャルカード」に置き換えることで，サブデバイスである「個人番号カード」には，SubIDの生成機能のための演算処理をなくし，単なる情報格納デバイスとしての役割を課した．このことで，利用者が，「いとゴンバーチャルカード」から，自分が必要とするSubIDやサービスタイトルを，自分が利用したいICカードに移植して利用することも可能である．ただし，実際に「いとゴンバーチャルカード」を用いたサービスを運用するには，「いとゴンバーチャルカード」の具体的なデバイスを決定し，「いとゴンバーチャルカード」へのアクセス権限，「いとゴンバーチャルカード」から発行者以外がPIDが取り出せない仕組みやSubIDの改ざんや複製ができない仕組みなど，管理・運用について別途決める必要がある．

5.3 「個人番号カード」への搭載

図5に，今回構築した，「個人番号カード」を「いとゴンカード」のサブデバイスとして発行する際のシステムの概要を示す．

VRICSの基本構成は，発行者がユーザ情報や発行を管理するVRICSサーバ，個人認証を司る認証サーバ，サービスごとにサービス提供者が管理するサービスサーバからなる．Adaptive VRICSに変更したことで，「いとゴンバーチャルカード」の機能を付加したため，VRICSの発行を管理するサーバとは別に，バーチャルカード用のサーバを用意した．バーチャルカードサーバには，VRICSデバイスにおけるサービスごとのSubIDを生成する機能を，Javaにより記述し実現した．これは，VRICSデバイスがJavaをベースとしたカードOS（GP）を使用しており，容易に移植できる環境のためである．バーチャルカードサーバには，住民ごとの「いとゴンバーチャルカード」の領域を設け，生成したSubID，それぞれの権利証，および各々のサービスで必要とするデータを格納した．格納した各々のデータは，J-LIS（地方公共団体情報システム機構）から提供される「個人番号カードアプリケーション搭載システム」を使用して，「個人番号カード」に搭載した．実証実験では，「個人番号カード」は，J-LISから借用した「個人番号カード」のテスト用カードを使用した．

図6に「いとゴンカード」の機能を搭載した「個人番号カード」の構成イメージを示す．図6は，図3で示した個人番号カードの構成イメージの空き領域の部分をアプリケーション（以後ICカードに搭載するアプリケーションをAPと記す）の搭載の規格について詳しく示したイメージ図である．

図3で示した「個人番号カード」の空き領域は， J-LISから提供された「個人番号カードアプリケーション搭載システム」にて，条令利用領域と拡張利用領域に分けられ[10]，さまざまな用途の複数のAP を搭載することができる．

条令利用領域は，各自治体が条例を制定し，その自治体に現住所を持つ住民に対しての住民サービスを搭載する領域であり，拡張利用領域は，行政機関や都道府県，将来的には民間等の可能性も含め，現住所のある自治体にかかわらずサービスを搭載できる領域である．住民がほかの自治体に移転した場合には，条令利用領域に搭載されたAPは，移動先の自治体で消去され，新たに移動先の自治体が決めたAPを書き込まれることになる．一方拡張利用領域に搭載されたAPは，自治体をまたいだ移転をしても消去されない．

「いとゴンカード」のサービスの対象は，糸島市民だけでなく，糸島市に通勤・通学する他自治体の住民におよぶことより，我々は，現住所に依存しない拡張利用領域に「いとゴンカード」のAPを搭載することとした．

実証実験では，J-LISから借用した「個人番号カード」のテスト用カードを用いて，既存の糸島市で稼働中のVRICSの情報プラットフォーム上で｢いとゴンカード｣の避難支援サービスを確認した．｢いとゴンカード｣のアプリケーションを「個人番号カード」に搭載するフローを図7に示す．

最初に，本人の｢個人番号カード｣を，J-LISより提供のあった｢個人番号カードアプリケーション搭載システム｣により，｢個人番号カード｣に｢いとゴンカード｣のAPを書き込むエリアを設ける（1次発行）．次に，搭載ツールに，保有している｢いとゴンカード｣をかざし，個人認証を行う．認証ができれば，バーチャルカードサーバに「いとゴンバーチャルカード」のエリアを生成し，VRICSサーバより，「いとゴンバーチャルカード」 エリアにPID，権利証，および必要とするデータ（氏名や属性などの情報）をコピーする．そして，バーチャルカードサーバにおいて， PIDと権利証より，サービスごとのSubIDを生成し，権利証や必要とするデータとともに，「いとゴンバーチャルカード」のエリアに，｢いとゴンカード」のAPとして格納する．ここで，実際のツールでは，個人認証から｢いとゴンカード」のAPの生成までは，ワンクリックで実行できるようにした．

その後，｢いとゴンカード｣と交代に，先に1次発行した｢個人番号カード｣を，搭載ツールにかざし，生成した｢いとゴンカード」のAPを｢個人番号カード｣に書き込み，統合した「個人番号カード」の発行が完了する．これらのAPの「個人番号カード」への搭載は，市役所の係員が行う．

6. 検証と結果

今回の実証実験では，「個人番号カード」への搭載ツールを用いて，｢いとゴンカード｣のAPを「個人番号カード」のテスト用カードに搭載し，実際のサービスで動作を検証した．

図8は，｢いとゴンカード」のAPを搭載した｢個人番号カード｣において，避難支援サービスの安否確認とスクリーニング検査の動作検証を行った様子である．

ここで， ICカードの読み取りについては，我々が開発した｢いとゴンカード」および｢個人番号カード｣の双方に対応したICカードリーダのソフトを用いた．実証実験は，糸島市で実際にサービスが稼働している環境下において，実在の人物（糸島市に｢いとゴンカード｣の利用者として登録されている本実証実験の関係者）を対象として実施した．

実証実験の結果，セクトラルモデルの構造を壊すことなしに，災害時における避難支援サービスを実施することで，災害時においては，従来通りの各サービス連携ができることを確認した．このことから，「個人番号カード」を「いとゴンカード」のサブカードとして使用できることが実証された．また糸島市で構築したセクトラルモデルの情報プラットフォームの構造をそのまま残すことができることが分かった．

一方この統合により従来の「いとゴンカード」より不便となった点も分かった．従来の「いとゴンカード」では，万が一，1つのSubIDが漏えいしても，サービスを供給する際にサービス提供者側からICカードに与えるSubIDを生成するための可変の種[4]を変更することで，「いとゴンカード」の内容を変えずにSubIDを変更することができた．また従来の「いとゴンカード」では，新規サービスの追加もオンラインにおいて自動的に追加することが可能であった．しかし，今回の統合した「個人番号カード」では，生成後のサービスごとのSubIDを搭載しているため，SubIDを変更したり，サービスを追加したりする場合には，その都度，「個人番号カード」を所定の窓口に持参し，本人確認とともにSubIDを書き換えたり，サービスを追加する手間が増えた．

7. 検討

Adaptive VRICS で作られたVRICSサブデバイスは，本来のVRICSデバイスとは異なり，SubIDが使用時のみ生成されるものではなく，常時VRICSサブデバイス内に存在する．またバーチャルカードサーバ内にSubID発生ロジックが存在する．このように従来とSubIDや権利証の管理方法が異なるため，セキュリティにおいてはバーチャルカードサーバまで含めて考える必要がある．さらに，従来の VRICSデバイスでは多様な認証やそれらを組み合わせた複合的な認証が可能であるが，VRICSサブデバイスでは認証方法は単一的なものとなってしまう．このようなことから，VRICSサブデバイスで利用できるサービスが制限される可能性はあるが，定期的なSubIDの更新やバーチャルカードサーバの管理方法などの運用面において，補完できるものと考えられる．またセキュリティ強度を高めるためには，使用するサブデバイスの認証などを用い，使用者の認証と組み合わせることでさらに高いセキュリティも可能となる．この場合，もし使用するサブデバイスの本来の機能として用意された認証が，VRICSのアプリケーションで利用できない場合は，独自にサブデバイスに電子証明書を搭載するなどの方法も考えられる．

｢いとゴンカード｣と｢個人番号カード｣とを1枚のカードにすることは，住民にとって1枚のカードで2つのカードが提供するサービスを受け取ることができるといった大きなメリットがある．また自治体にとってもカードの費用や発行の事務手続きなど費用の重複を避けることができるメリットがある．しかし，同時に｢いとゴンカード｣と｢個人番号カード｣とを1枚のカードにするデメリットも存在することも分かった．有効期限，券面など制限事項などが，｢いとゴンカード｣と｢個人番号カード｣のいずれかの厳しい条件に従うようになることである．大抵の場合，｢いとゴンカード｣と｢個人番号カード｣とでは，制限は｢いとゴンカード｣の方が甘く，｢個人番号カード｣の方が厳しくなっている．このため，「いとゴンカード」のサービスに対しても，｢個人番号カード｣を使用することで，①匿名性が低くなる，②有効期限が短くなる，③交付・再発行の手続きに本人が市役所に行く必要がある，④交付・再発行・紛失時・変更には｢個人番号カード｣の手続きが必要となる，などの制約が付け加えられることとなる．

今回開発したAdaptive VRICSでは，規格の異なるデバイスをVRICSのサブカードとして使用できる環境も提供できることが分かった．たとえば，広く利用されている交通系カードや電子マネーカードを「いとゴンカード」のサブカードとして使用できる．図9に交通系カードによく使われているICカードであるソニー製FeliCaポケットをサブデバイスとして使用した場合の構成イメージを示す．図9におけるポケット1～8は，「個人番号カード」における空き領域に相当し，アプリケーションごとに用意されたエリアである．このポケットにAdaptive VRICSのSubIDや権利証を搭載している．

8. おわりに

今回の開発により，既存の住民サービスを大幅に再設計することなしに，住民が1枚の「個人番号カード」を用いて受けられる情報プラットフォームの構築を可能とした．またサービスごとの独立性を保ち，異なったセキュリティレベルや，提供者の異なるサービスを，1枚の「個人番号カード」で提供でき，平時においてはサービス間の名寄せができなく，災害時においては，それぞれのサービスが情報連携できるといった既存のセクトラルモデルの構造を残すことができた． 今回我々は，本開発により，「個人番号カード」の応用範囲を拡大できたと考える．しかし，統合することにより，既存の｢いとゴンカード｣にはなかった｢個人番号カード｣の制約が加わることが分かった．

今後我々は，糸島市とともに，統合した「個人番号カード」の発行について，住民サービスの対象者や用途，住民の希望などを加味し，「いとゴンカード」との併用も視野に入れ，運用を検討していきたい．

謝辞　本稿の執筆に際し，システム構築および実証実験に御協力いただいた糸島市職員の皆さまに深謝いたします．