「マイナ保険証の確認をお面で突破」記事が笑われるワケ　「あなたは誰？」の仕組みを解説

　東京新聞が8月2日に公開した記事「他人のマイナ保険証　顔写真かぶったら使えた…『なりすましできてしまう』医師懸念【実験動画】」が話題だ。X（旧Twitter）では「人間が目視すれば防げる」といった旨のツッコミが相次いでいる。

　記事の内容は、病院に導入されたマイナンバーカードリーダーの顔認証機能を、お面で突破できたというもの。動画も掲載されており、男性の顔を印刷したお面を被った女性が、男性のマイナンバーカードで、顔認証を突破する様子がおさめられている。

　確かに顔認証は突破できているが、果たしてこのようななりすましは本当に問題になるのだろうか。

●本人確認の方法、実は3つのルートあり

　マイナンバーカードによる本人確認（保険資格の確認）には3つのルートがある。暗証番号を入力する方法、病院の従業員が直接患者の顔を見て確認する方法、そして今回の顔認証付きカードリーダーを使う顔認証だ。このうちどれか1つでもクリアできればいい。

　これまでの保険証は「それを持っていること」が本人確認の方法だった。顔写真が載っているわけではなく、暗証番号で保護しているわけではないため、確認ポイントは持っているか否かだけだ。

　対して、マイナンバーカードを使う場合は「それを持っていること」の他に、暗証番号や顔を突き合わせて確認する段階がある。確認ポイントが2種類以上あることになる。突破するのはより難しくなっていると言っていい。

●「あなたは誰？」の確認は意外と難しい

　なぜこんなまどろっこしいことをするのかと疑問の人もいるだろう。考えても見てほしい。いちユーザーとして意識することは少ないが、システムとして「あなたは誰？」を確認するのは意外と難しい。

　これまでは「あなたは『IT太郎さんの保険証』を持っているからIT太郎さん（としての資格で医療が可能）ですね」だった。医師や受付の看護師などが患者の顔を把握していなければ他人がその保険証でIT太郎として医療を受ける、つまりなりすましが簡単だった。

　マイナ保険証だとこれがどうなるかというと、IT太郎のマイナンバーカードを持っていて、さらにIT太郎しか知らないはずの暗証番号を打てる、もしくはマイナンバーカードに保存されている顔写真と同じ顔立ちであることを、システムか目視で確認できればあなたはIT太郎である、ということになる。

　逆に言えば、顔写真のお面を使ったなりすましでなくても、マイナンバーカードと暗証番号が手に入るならなりすましはできる（医師や看護師が患者の顔をよく見なければ）。問題はあくまで「難易度」だ。

●あくまでなりすましの「抑制」　減らせるなら役目は果たしている

　東京新聞の記事では、病院の受付に置かれたカードリーダーによる顔認証は簡単に突破できる可能性があると指摘している。

　しかし、この機能はメーカーも説明しているように「簡易なりすまし抑制機能」であり、もともとなりすましを完全に防ぐ機能ではない。

　目的はあくまでなりすましを抑制することだ。完璧に防げなくても、減らせれば役割は達成したといえる。病院でこれまでもやってきた目視での確認に、機械を使った抑制機能がプラスされると考えれば、少なくともデメリットとはいえない。

　そもそもカードリーダーは受付カウンターなどに設置することを想定した機器。たとえお面で突破できたとして、お面をかぶった人間を受付スタッフが見逃すだろうか。もしそれがあり得るなら病院側の体制の問題ではないか。