スマートフォンのマイナンバーカードAPI

概要

スマートフォンのマイナンバーカードAPIは、iPhoneのAppleウォレットに格納されたマイナンバーカードから提示されたmdoc（mobile document／モバイル・ドキュメント）を、ISO/IEC 18013-5規格に準拠して検証するためのAPIです。オンラインで受け取った発行者署名とデバイス署名を検証することで、提示されたデータが「正当な発行機関によって作成されたものであること」および「現在の所持者のデバイスで生成されたものであること」を確認します。

また、本方式ではデータ提供時に利用者自身のデバイス上で生体認証（Face ID等）を行うため、なりすましを強力に防止します。さらに、利用者が提示する情報の項目（氏名、住所、生年月日等）を自ら確認できるため、必要最小限のデータのみを安全に受け渡し可能です。これにより、発行元の公的機関による真正性が厳密に担保され、偽造や改ざんが極めて困難な、最堅牢かつプライバシーに配慮したデジタル本人確認／属性証明プラットフォームを提供します。

情報
Androidのマイナンバーカードの対応は、2026年秋頃を予定しております。
デジタル庁：2026年秋頃に「Androidのマイナンバーカード」へ刷新します

取得できる項目

iPhoneのマイナンバーカードから取得可能な属性項目

アクセスコントロール

属性項目の提示を承認する

処理の流れ

対面

非対面

乱数の取得（サービスプロバイダ事業者）

本人確認セッションを開始し、mdoc検証サーバーからリプレイアタック（再送攻撃）を防止するためのNonce（使い捨ての乱数）を取得する。

属性項目の確認と承認（利用者）

要求された属性項目を画面上で確認し、掲示を承認します。生体認証（Face ID/Touch ID）を実行することで、端末内の秘密鍵によるデータ署名を許可します。

デバイス署名付mdocの生成（SDK）

取得済みのNonceと属性情報を組み合わせ、端末固有の鍵で署名（Device Auth）を付与します。これにより、検証サーバーのみが復号・検証可能な暗号化された提示用データ（DeviceResponse）を構成します。

復号と署名検証（プラットフォーム事業者）

暗号化データを復号し、Nonceの一致確認、発行元署名による改ざん検知、およびデバイス署名による所有証明を厳格に行います。すべての検証を通過したのち、承諾された属性のみをJSON形式で取り出します。

シーケンス図

対面

非対面

実装例

iOS

Android

React Native

注意
本実装例では解説のためアプリから直接通信していますが、商用環境ではAPIキーの露出や盗用を防ぐため、必ず自社サーバーを介してAPIキーを秘匿する構成にしてください。

スマートフォンのマイナンバーカードAPI

概要#

取得できる項目#

アクセスコントロール#

処理の流れ#

シーケンス図#

実装例#

概要

取得できる項目

アクセスコントロール

処理の流れ

シーケンス図

実装例