2026.2.10

ますますスマホがハンコな話

メンバー日誌

医療情報DX担当です。

---

以前のブログ記事で「スマホはハンコ説」っていう話をしました。
今日はその続きで「いつの間にか、秘密を人が扱わなくなっていた」というお話です。

 

 

 

---

■「あれ？ パスワード打ってないのに入れた？」

この頃、こんな経験はありませんか？

 

「あれれ、最近パスワード打ち込まなくてもログイン出来ちゃうよ？？？」

スマホに顔をチラッ。
パソコンに指紋をタッチ。
……はい、ログイン完了。

 

便利ですよね。
正直、かなり楽です。
でも同時に、ちょっと思いませんか？

 

「え？ これって大丈夫なん？」
「パスワード打ち込んでないよ？」
「何か大事な工程、すっ飛ばしてない？」

 

この正体が、パスキー（Passkey）です。

 

 

---

■ パスキーを一言で言うなら

いろいろ説明はできますが、ブログ的には一言で言ってしまった方が分かりやすいですね。
パスキーとは、「秘密を人が扱わず、機械が扱う認証」です。

ここが、パスワードとの決定的な違いです。

 

これまでの認証を、ちょっと冷静に振り返ってみましょう。

パスワードの世界では、

・人が秘密（パスワード）を覚えて
・人がそれを入力して
・人が「このサイトは本物だろう」と判断する

という流れが前提でした。

 

つまり、「認証の成否が、人間の記憶力と注意力に依存していた」わけです。

 

でも現実はどうでしょう。

パスワードは使い回すし、
疲れていると確認は雑になるし、
本物そっくりな画面にはまんまと騙されます。

 

これは「気をつけていないから」ではなく、人間の特性として無理があるんですよね。

 

 

---

■ そこで登場したのが「秘密を人から取り上げる」発想

パスキーは、パスワードを複雑にする方向でも、認証要素を増やす方向でもありません。

 

そうではなく、「そもそも、人に秘密を持たせるのをやめちまえ！」という発想です。

 

ここからは、印鑑（ハンコ）のたとえで考えてみます。

最初、パスキーを設定すると、

・スマホの中に「本人専用の印鑑」が作られて
・サービス側には、その印鑑の印影の見本だけが渡されます

 

重要なのは、

・印鑑そのものは、スマホの外に出ない
・人は、その印鑑の形を知る必要すらない

という点です。

秘密は最初から最後まで、機械の中だけにあります。

 

そして実際にログインするとき、サービスはこう言います。
「あんた本人やったら、この書類にハンコ押せるやろ？」

するとスマホが、

・中にしまってある印鑑を使って
・その場で出された書類にハンコを押し
・押した印影だけを返します

人がやっているのは、「この操作、やっていい？」と承認するだけ。
秘密には一切触れません。

 

 

---

■ 「え？　それって印影を盗まれたら終わりじゃん？」

これ、もっともな疑問です。現実世界では印影から印鑑が偽造できてしまいます。

でもパスキーの世界では事情が違います。

 

パスキーの印影は、ログインのたびに毎回違います。

 

サービス側が毎回、
「ほな、今回はこの書類にハンコやで」
と違う書類を出すからです。

 

昨日の印影を集めても、次には使えません。
見られても、盗まれても、再利用できない。
ここがポイントです。

 

 

---

■ だからフィッシングに強い

フィッシングは、偽のサイトを作って人をだます攻撃です。
パスワードの世界では、最後の判断を人がしていました。

パスキーでは、人ではなく、機械（OSやブラウザ）が、相手が正規かどうかを確認します。

 

偽サイトが「ほらほら、ハンコはここやでトントン！」と言っても、
機械が「いやいや、それ違うやんwww」と判断すれば、何も起きません。

 

人はだまされても、機械はだまされないように作られている。
これがフィッシング耐性の正体です。

 

※昨年の証券口座乗っ取り事件もフィッシングによる不正アクセスでした。
証券会社をはじめ、様々なサービスでパスキー導入が急ピッチで進んでいるのは、こういう事情からです。

 

 

---

■ それでも残る唯一かつ最大の弱点

良いことずくめなパスキーですが、唯一かつ最大の弱点があります。
その秘密を扱っている機械そのもの、つまりスマホです。

 

スマホは、

・秘密を持ち
・相手を判断し
・本人性を証明する

もはや「ハンコ」ではなく、「ハンコ箱ごと本人」になりました。

 

 

話をまとめましょう。

・パスワードは減っていく
・秘密は人の頭から消えていく
・認証は機械がやるものになる

 

その結果、「デバイス管理が、最後の砦になる」という構図になります。
スマホを無くしたらシャレになりません。

スマホのロックを甘くしない。
紛失時に止められる設定をしておく。
この端末が自分を証明している、という自覚を持つことが大事です。

 

iOSは盗難デバイスの保護、Androidなら盗難保護機能があります。
きちんと設定されているか確認をお勧めします。

 

 

---

■ パスキーはゴールではない

パスキーは、認証の重心を人から機械に移した技術です。

 

もはや戻ることはできません。
だからこそ、どう管理するか、どう付き合うか。
それが、これからの課題なのだと思います。

 

最近ログインが楽になったな、と感じたら、
「このスマホ、大丈夫かな？」と立ち止まってみてください。