長いので答えだけ知りたい

暗証番号(PIN)無しで利用者証明が可能な特定機関認証を使用しているからです。
特定機関認証は特定機関認証用の公開鍵証明書と秘密鍵をあらかじめ提供されている必要があるため、汎用的には使えません。

マイナンバーカードの保険証利用について

マイナンバーカードの保険証利用が宣伝されるようになりました。

マイナンバーカードの保険証利用について（被保険者証利用について）より引用
マイナンバーカードの健康保険証利用申込はマイナポータルなどから行います。

マイナンバーカードの健康保険証利用について～医療機関・薬局で利用可能～より引用

このマイナンバーカードの保険証利用ではマイナンバーを利用することはありません。マイナンバー法により定められた「特定個人情報の提供の制限」で認められる利用範囲ではないからです。このことは公式のFAQにも書いてあります。

Ｑ９．医療機関・薬局がマイナンバー（12桁の番号）を取り扱うのですか。
Ａ９．医療機関・薬局がマイナンバー（12桁の番号）を取り扱うことはありません。マイナンバー（12桁の番号）ではなく、マイナンバーカードのICチップ内の利用者証明用電子証明書を利用します。

そのため、マイナンバーカードのICチップ内の利用者証明用電子証明書を利用します。

Ｑ１０．利用者証明用電子証明書とは何ですか。
Ａ１０．利用者証明用電子証明書とは、マイナンバーカードに搭載されている、インターネットのウェブサイトやコンビニ等のキオスク端末等にログインする際に利用する電子証明書です。
（例　マイナポータルへのログイン、コンビニでの公的な証明書の交付等）
「ログインした者が、利用者本人であること」を証明することができます。

処理の流れについて

このマイナンバーカードを用いた健康保険の資格情報確認処理を「オンライン資格確認」と呼びます。

オンライン資格確認の導入について（医療機関・薬局、システムベンダ向け）より引用によると、処理の流れとしては

1. マイナンバーカードをカードリーダーに置く
2. 顔認証付きカードリーダーによる本人確認 OR 目視による本人確認 OR 暗証番号（4桁）による本人確認
3. オンライン資格確認等システムに問い合わせ

となります。

本人確認方法の疑問

暗証番号

本人確認方法のうち暗証番号は理解しやすいです。特別定額給付金のオンライン申請で、マイナポータルにログインする際に利用者証明用電子証明書が必要となり、その証明書の利用に暗証番号（正確には公的認証情報の利用者証明用暗証番号）が必要となりました、それと同様の流れと思われます。

目視

目視による本人確認は、マイナンバーカードの表面の顔写真と比較します。注意点は、上の図にも強調されているように医療機関・薬局はマイナンバーカードは預かりません。そのため顔認証の無い汎用カードリーダーの場合はかざすと共に受付職員に表面を提示する必要があります。

Q7 マイナンバーカードの取扱いで気をつけるべきことはありますか？
A7 医療機関・薬局の窓口ではマイナンバーカードは預かりません。
患者においては、顔認証付きカードリーダーの場合はカードリーダーに置いていただく、汎用カードリーダーの場合はカードリーダーにかざすとともに受付職員に見せていただきます。

顔認証

マイナンバーカードのICチップの中の顔写真データとカメラで撮影した画像で顔認証します。

マイナンバーカードと公的個人認証制度の概要についてより引用

この表の券面APには氏名、住所、生年月日、性別の4情報+顔写真が記録されているのですが、不都合なことにオンライン資格確認では扱ってはいけないマイナンバーも取得できてしまいます。そもそも、券面APにアクセスするためには暗証番号が必要になるため暗証番号が分かっていれば、本人確認済みであるため目視確認する必要がありません。ではどのようにしてマイナンバーにアクセスせず、顔写真情報をICチップから取得すれば良いのでしょうか？これは上記の資料にある

・マイナンバーを利用できない者
表の券面情報のみ
：照合番号B（14桁:生年月日6桁+有効期限 西暦部分4桁+セキュリティコード4桁）

を使用していると思われます。ここで突然出てくるセキュリティコードとはマイナンバーカード表面の顔写真の下にある4桁の数値で、その左にある16桁の番号は製造番号です。これは恐らく財布などの近くからスキミングされることを防ぐ目的で導入されたと思われます、同じくパスポートに搭載されているICチップでも券面情報にアクセスするためにはパスポート番号+生年月日+有効期限を組み合わせた鍵が必要となります。この照合番号Bを用いてカードにアクセスすると無事に暗証番号無しでマイナンバーカードの表面だけの（マイナンバーが含まれない）顔写真を含む情報にアクセスすることができます。ここでようやくICチップに含まれる顔写真画像とカードリーダーに搭載されたカメラが撮影した画像を用いて顔認証をすると思われます。

これでオンライン資格確認の3種類の本人確認の方法が分かりました。

暗証番号レスでどうやって利用者証明用電子証明書を利用するのか

オンライン資格確認では利用者証明用電子証明書を使用してオンライン資格確認等システムに問い合わせをするのですが、特別定額給付金のオンライン申請の箇所でも説明したように利用者証明用電子証明書への利用には暗証番号が必要です。本人確認で暗証番号を選択したならば良いのですが、顔認証もしくは目視での確認の場合、結局暗証番号が必要となり本末転倒です。実際にはどのように解決しているのでしょうか？

特定機関認証

特定機関認証とは、暗証番号入力無しで利用者証明できる機能です。これまで長々と暗証番号が必要と書いていましたが、マイナンバーカードにはこのような例外的な機能が搭載されており、それがオンライン資格確認に使用されていることが調べて分かりました。特定機関認証については提案者が学会発表しており、その論文を読むのが一番正確と思われるので以下引用します。

通常JPKIの利用者証明機能を利用する際には、マイナンバーカードに搭載されたJPKI-APに対してPINを入力し、ICチップ内に記録されたPINとの照合を行うことでその後の認証処理を実行する。一方、医療機関での利用では、患者が意識不明等の緊急時、又は高齢の患者など、PIN入力を求めることができない状況が想定されることから、PIN入力なしで資格確認を行えることが必要となる。マイナンバーカードに搭載されているJPKI-APには、我々が以前提案したPIN入力を求めずに安全に利用者証明を利用する手法5)をベースとした特定機関認証に基づく利用者証明の機能が実装されている。この機能を利用する際には、この機能を利用する者が誰であるかの確認をJPKI-AP本体が必ず行う必要がある。このため、オンライン保険資格確認を実施する際には、資格確認サービス機関等が、特定機関認証用の公開鍵証明書と秘密鍵をあらかじめJPKIの発行元であるJ-LISから提供されている必要がある。患者が医療機関に行き、保険資格確認用端末等にマイナンバーカードをかざすと、まず資格確認サービス機関は、自らがJ-LISから認められ特定機関であることを証明する特定機関認証用公開鍵証明書をカードに送付する。カード内のJPKI-APは、証明書を検証し、検証が成功すれば資格確認サービス機関を認証するための乱数を送信する。資格確認サービス機関は、乱数に対して機関認証用秘密鍵でデジタル署名を行い、JPKI-AP側で署名の検証が成功するとPINの入力を求めずにその後の処理に進むこととなる。ここで、上記資格確認サービス機関から送られてくる証明書には、J-LISが付番した特定機関を一意に特定可能な機関コードが含まれており、PINを入力しない利用者証明では、資格確認サービス機関から送られた乱数と機関コードを組み合わせたものをJPKI-AP内でデジタル署名して資格確認サービス機関に返送することとしている。PIN入力時には、乱数のみに対してデジタル署名をすることとなるので、どのような状態でカードを利用されているかを確実に区別することが可能となる。資格確認サービス機関では、返送された署名を検証し、検証が成功すれば、利用者証明書に紐付けられた保険資格情報を医療機関に通知する。

医療保険のオンライン資格確認を活用した個人医療情報管理の実現手法についてより引用

つまり特定の機関にしか発行されない公開鍵と秘密鍵を用いて電子署名の検証をすることにより、マイナンバーカードのICチップに搭載されたアプリケーションの一つであるJPKI-APが本来なら必要な暗証番号無しで、利用者証明用電子証明書を用いた電子署名を行い、オンライン資格確認等システムに問い合わせをすることが可能となります。実際にオンライン資格確認で特定機関認証が使われていることは厚生労働省の技術解説書に記述がありました。

オンライン資格確認等システムの導入に関するシステムベンダ向け技術解説書より引用

まとめ

マイナンバーカードの保険証利用では、あまり知名度が無い特定機関認証を用いて利用者を証明していることが分かりました。以前マイナンバーカードに興味を持って調べた際には知らず、どうやって暗証番号レスで利用者証明用電子証明書を利用しているのかオンライン資格確認の導入について（医療機関・薬局、システムベンダ向け）を読んでいるときにはさっぱり理解できませんでした。マイナンバーカードは誰でも入手できる手軽な顔写真付き身分証明書であること、電子署名に利用できるICチップが搭載されたセキュアなカードであること、そして利用が厳しく制限されたマイナンバーが記載されたカードという３つのものが1つになっていることが、分かりにくい仕組みになってしまっていると思います。このマイナンバーカードの保険証利用ではマイナンバー法で問題がなく、かつセキュアな方法で実装されているように思いました。しかしながらマイナンバーカードの保険証利用に対応していない医療機関が多数あるため、私はしばらく今までに通り健康保険証を携帯し、マイナンバーカードは自宅に保管すると思います。