マイナ保険証、お面を被ったら成りすましできた? それ正常動作です
8月2日付の東京新聞tokyowebによると、長崎市の内科医院院長が、自らの顔写真をお面のようにかぶった女性スタッフに自分のマイナ保険証を使ってカードリーダーで顔認証を試みたところ、あっさり認証され、手続きに進めることができたという。院長は警鐘を鳴らすためにもその一部始終を動画に収めたとしている。
https://www.tokyo-np.co.jp/article/267398
この動画は、長崎県の本田内科医院、本田孝也医師が、他人のマイナ保険証を使って認証できる事を検証した動画を東京新聞が報じたもの。ネットでは「渾身のギャグ」「こんな事する不審者いる?」「こんな人来たら受付しません(笑)」といった具合に散々な言われようだが、技術的に見れば実はしっかり機能しているのである。
【検証】他人のマイナ保険証が使える?医師「なりすましできてしまう」
マイナ保険証はどうやって個人を認証しているか?
まず、現在、多くの医療機関に並ぶオンライン資格確認リーダーは勝手に発売することは出来ない。オンライン資格確認で利用する顔認証付きカードリーダーは、セキュリティ対策や保守体制に関する一定の基準を満たしていることが求められるため、社会保険診療報酬支払基金にて適合しているか認定が行われる。その際に開発メーカーに求められる技術要求に加えて構成するハードも部品単位で審査され、さらには万が一故障などに際しての保守体制などもチェックされる。
これは一般的な医療機器に比べてもかなりハードルが高い。
マイナ保険証をオンライン資格確認システムの読み取り機器にかざすと、まずマイナンバーカードの券面の写真を読み取る。次に患者の顔をカメラで撮影し読み取る。この2枚の写真を比較して、顔の特徴点等を分析し同一人物であることを照合する。つまり二次元の2枚の写真から一致度をアルゴリズムで算出して判定している。
もっと、高い認証精度を出そうとすれば、例えばiPhoneのFace IDのように顔の凹凸を別なセンサーでメッシュデータとして利用するという方法もあり、この方法なら今回のようなお面を付けたケースではNGを返すことも可能だろう。
ただ全国民に短期間で、それらの登録を完了できるかと言えば、これは困難といえる。
マイナ保険証で言えば、大切なのは、窓口での手続きを電子化でき、健康保険証が本人のものか否かを判断すること。お面など使わずとも、紙の保険証であれば成りすまし仕放題の現在の保険証から比較すれば十分な認証精度といえる。
また画像の判定ロジックは日々進化しており、人物撮影用のカメラに顔の凹凸を判断するセンサーや体温を感知するセンサーを組み込むだけで、このお面を使った成りすまし(というかマイナ保険証反対のための悪ふざけ)は簡単に防ぐことができる。
また読み取り機器の要求仕様によると、本人照合時間は5秒以内、さらに顔認証の精度は誤合致率(FMR:本人と異なる顔で照合した結果の内、同じ顔と判断される確率)0.01%の時に誤非合致率(FNMR:本人の顔で照合した結果の内、異なる顔と判断される確率)0.6%以下とされています。
今でこそ顔認証は一般化しましたが、5年前の技術要求としては、なかなか高いハードルです。
オンライン資格確認システムに求められた要求仕様
・顔認証の精度は誤合致率(FMR)0.01%の時に誤非合致率(FNMR)0.6%以下
・顔写真データを取得するために必要な券面情報(生年月日、有効期限の西暦、セキュリティコード)のスキャンの認識率99%以上
・顔認証開始から資格確認終了まで、原則、5秒以内
・認証処理に関連するデータは認証処理終了時に能動的に消去
・操作ログやエラーログを出力
・メモリダンプやデバッグモードは使用不可
・機器及びソフトウェアについて、製品販売から5年間保守を行う(有償/無償は機器によって異なる)
・医療機関・薬局から問合せを直接対応
・ファームウェア等のアップデートを配信する
マイナ保険証の構想は2018年に遡る
オンライン資格確認の導入によるメリット
引用元:
H30年5月25日厚生労働省 医療保険部会資料
2018年当時の資料では、まだ顔認証の仕組みは書かれていない。また、あくまでも紙の保険証が有効であるかを補完するシステムとしてマイナンバーカードを用いてオンライン認証しようという計画だったようだ。
その後、紆余曲折あったが、「経済財政運営と改革の基本方針2022」(骨太の方針)の閣議決定を受け、本格的に普及に向けて作業が開始される。
異例の政府主導のトップダウンであったことも反発を招いた一つの要因であることは否めない。だが技術は進化する。また運用も問題点を踏まえて改善されるはずだ。現在発生しているトラブルも過渡期としてやがて収束することだろう。
comments