まず、秘密鍵を読みとられるという危険に関して。

普通、秘密鍵そのものはICカードから読みとれない仕様になっていると思います。（電磁気的な読みとりについては、別のコメントがついているのでそっちに。）

もっと言えば、電子署名等の、演算結果を返すだけの仕様になっているのが普通だと思いますが。

具体的には、PKCS#11あたりにインタフェイスが規定されているんだと思いますが、ちゃんと読んでません。すいません。

次、盗難カードによるなりすましに付いて。

これは、現状での実印の盗難に類すると考えられます。実印の不正利用に関しては、判例もいろいろ出ていたと思いますので、そちらを当たられてはどうかと。

技術的には、PINで本人確認するというのがありがちなソリューションですね。これをバイオメトリクス認証にするというのも考えられます。でも、鍵（PKIの秘密鍵）を引き出しに入れるか、金庫に入れるかという違いで、鍵（PKIの秘密鍵）そのものの強度には関係ないはずですな。