スマートフォンのマイナンバーカードAPI
概要
Androidのマイナンバーカードの対応は、2026年秋頃を予定しております。
デジタル庁:2026年秋頃に「Androidのマイナンバーカード」へ刷新します
取得できる項目
アクセスコントロール
処理の流れ
対面
非対面
乱数の取得(サービスプロバイダ事業者)
本人確認セッションを開始し、mdoc検証サーバーからリプレイアタック(再送攻撃)を防止するためのNonce(使い捨ての乱数)を取得する。
属性項目の確認と承認(利用者)
要求された属性項目を画面上で確認し、掲示を承認します。生体認証(Face ID/Touch ID)を実行することで、端末内の秘密鍵によるデータ署名を許可します。
デバイス署名付mdocの生成(SDK)
取得済みのNonceと属性情報を組み合わせ、端末固有の鍵で署名(Device Auth)を付与します。これにより、検証サーバーのみが復号・検証可能な暗号化された提示用データ(DeviceResponse)を構成します。
復号と署名検証(プラットフォーム事業者)
暗号化データを復号し、Nonceの一致確認、発行元署名による改ざん検知、およびデバイス署名による所有証明を厳格に行います。すべての検証を通過したのち、承諾された属性のみをJSON形式で取り出します。
シーケンス図
対面
非対面
実装例
iOS 対面
Android 対面
iOS 非対面
本実装例では解説のためアプリから直接通信していますが、商用環境ではAPIキーの露出や盗用を防ぐため、必ず自社サーバーを介してAPIキーを秘匿する構成にしてください。