一昨日、札幌は42センチの降雪がありました。60年ぶりの大雪だそうです。
 そろそろ皆さんのご自宅へもマイナンバーが届いた頃でしょうか。当職は、一昨日手にしました。
 マイナンバーへの疑問を内閣官房政府CIO補佐官・楠正憲氏がPRESIDENT Online のインタビューで解説してくれています。秀逸な記事ですので、ここに転載させていただきます。私たちを不安と無知から解放してくれる契機となりそうです。ご一読いただけると幸いです。

(引用開始)・・・・・・
【保存版】マイナンバーはどれくらい危険なのか? 11の疑問を“中の人”が徹底解説
内閣官房政府CIO補佐官 楠正憲氏インタビュー
(2015年11月20日(金)PRESIDENT Online スペシャル 文=山崎 潤一郎)
マイナンバーの通知が始まった。「個人情報が抜かれる」「副業が勤務先にバレる」といったネガティブな記事が人気を集めているが、実際、どれくらい“危険”なものなのだろうか? マイナンバー制度の構築を担当した人物にロングインタビューを行い、さまざまな疑問をぶつけてきた。
マイナンバー楠正憲氏 マイナンバー(個人番号)の通知が始まった。「なりすましが横行する」「個人情報が芋づる式に抜かれる」「副業が勤務先にバレる」「徴税祭りがやってくる」「お上に個人の金の流れが筒抜けになる」などネガティブな情報が先行し、不安を煽る記事が衆目を集める。
 果たして本当にそうなのだろうか。政府が満を持して投入するマイナンバー制度(正式名称は「社会保障・税番号制度」)は、それほどまでに脆弱かつ、国民の財布の中身を監視する恐ろしいシステムなのだろうか。それならば、と、疑問の数々に終止符を打つべく、マイナンバー制度の構築に関わった「中の人」に会って、直接話を聞いてきた。
 今回取材したのは、内閣官房政府CIO補佐官・番号制度推進室補佐官の楠正憲氏だ。楠氏は、マイナンバーの核となる「情報提供ネットワークシステム」というインフラの技術的なレビューや調達支援全般を担当している。マイナンバーの制度とシステム、両方に精通した人物である。内閣官房政府CIO補佐官・番号制度推進室補佐官の楠正憲氏
 楠氏は、マイナンバーを理解するためのポイントとして(1)12桁の番号、(2)情報連携、(3)公的個人認証の3つを挙げる。これら3つのポイントの使い方や仕組みを理解すれば、少なくとも普通に生活している一般市民からすると「何が変わるの?」「何が心配なの?」と、不安が先行する今の風潮が、逆に不思議に思えることだろう。

疑問1:「通知カードを受け取らない」ことはマイナンバーの拒否になる?
 まず最初に、マイナンバーに関してわれわれ利用者側から見たときに、受け取るものと申請するものを整理しておこう。ここを混同している記事も多く見られるようだ。
 まず、日本国民全員ひとりひとりに12桁の番号がひとつずつ割り当てられている。それが「マイナンバー(個人番号)」だ。法人にもマイナンバーがあり、こちらは13桁の番号が割り振られている(法人番号)。この番号を国民に通知するため、国民全員宛てに10月から徐々に、市区町村から住民票の住所にマイナンバーの「通知カード」「個人番号カード交付申請書」が封筒で送られている(いずれも紙製)。「通知カード」は氏名、住所、生年月日、性別、そして12桁のマイナンバーが書かれた紙製のカードとなっている。
マイナンバー通知カード
国民全員に、封筒に入った「通知カード」「個人番号カード交付申請書」が届く。右下は申請した人だけが受け取れる「個人番号カード」。運転免許証やパスポートのように、身分証明書として利用できる。 
 「個人番号カード」は全員に送付されず、希望者のみが取得できるもので、こちらはICチップ入りのプラスチックカードだ。通知カードには「個人番号カード交付申請書」が付いてくるので、切り離して申請すれば個人番号カードが取得できる。なお、現在住基カードを持っている人は、個人番号カードを受け取ったら住基カードを返却しなくてはならない。
 少し前に「マイナンバーを拒否したい人は、マイナンバーの通知が来ても受け取らなければいい。受け取らなくても罰則はない。会社はあなたにマイナンバーを教えるように何回か催促してくるが、別に教えなくてもかまわない」という内容の記事が話題になっていた。
 しかし、通知カードの受け取りを拒否したところで、すでにその人のマイナンバーは発行されているので意味がない。また、自分が勤める会社にマイナンバーを教えなくてはならないのは、企業が、国税当局に提出する書類に、給料を支払っている従業員の個人番号や、取引先の法人番号を記入することが義務付けられるからだ。本人の同意なしに、企業が従業員の個人番号を勝手に調べることはできないので、どうしても分からない場合は空欄のままで提出することになる。このとき企業が罰則を受けることはないが、そうすることに意味があるとも思えない。
 逆に、何らかの理由で通知カードを受け取れなかった人は、住民票などを発行すれば、後からでも自分のマイナンバーを知ることができる。

疑問2:12桁の番号が漏えいしたら、個人情報がすべてバレたり、他人になりすまされたりするのか?
 さてここからは改めて、楠氏にマイナンバーの「仕組み」について聞いていこう。繰り返しになるが、マイナンバーを理解するためのポイントは(1)12桁の番号、(2)情報連携、(3)公的個人認証、の3つであると楠氏は説明する。
マイナンバーを理解する3点 よくある誤解のひとつに、「12桁のマイナンバーが、今後さまざまな局面で広範囲に利用される」というものがあるが、それは違う。当面は、「社会保障」「税」「災害対策」の3つの分野でのみ利用してよい、ということが法律で定められていて、これ以外の分野でマイナンバーを使おうという話になれば、法律の改正が必要になる。これは、利用範囲を法で規定することで無分別な利用拡大によるトラブルを未然に防ごうという考え方からだ。例えば、民間企業が顧客からマイナンバーを集めて顧客管理に利用する……といったことをしようとすれば違法行為になる。
 ただし、民間企業が従業員のマイナンバーを集めたり、銀行が投資信託、マル優、海外送金などを利用する顧客のマイナンバーを集めるのは、「税」分野に関わることなので違法ではない。これらのケースでは、社会保険庁や税務署に対し、保険や収入・利益に関する法定調書を提出しなければならず、その調書には、個々のマイナンバーの記載が義務付けられているためだ。

疑問3:海外の類似の仕組みで問題が起きているのに、同じようなことをするのか?
 なぜ利用範囲を3分野に限定したのか? これについて、楠氏は「諸外国の例を反面教師として参考にした」と明かす。
 例えば米国では、日本のマイナンバーにあたる「社会保障番号」(SSN:ソーシャルセキュリティナンバー)を悪用した、なりすましなどの犯罪が横行しているという。「(利用分野が広く何にでも使えるため)自動車保険の保険証番号などにまでSSNがそのまま使われるといった例もあり、第三者に漏れる危険性が高く、ブローカーによる売買も横行している」(楠氏)。こうした例を踏まえ、日本のマイナンバー制度では、前述のように12桁の番号が3分野の範囲を超えて使われることのないように罰則規定付きの法律で厳格に縛っているわけだ。
 
疑問4:「個人番号カード」を使ったらマイナンバーが漏えいするのでは?
 とはいえ、希望者に無償で配布される「個人番号カード」の裏面には、12桁の番号が目視できる形で記載されている。個人番号カードは身分証明書としても利用できるので、例えば店舗での会員登録などの際に身分証明書として提出したとき、個人番号カードを受け取った従業員が12桁の番号をこっそりコピーしてしまったり、あるいは、民間企業が保存する従業員のマイナンバーが、外部に漏れる……という可能性はある。こうして漏えいしたマイナンバーが、名簿ブローカーなどを通して悪意ある第三者に転売され、なりすましなどで悪用される危険性は否めないのではないだろうか?
 「マイナンバーでは、本人確認を実施する場合、『番号確認』と『身元確認』という2つの概念を規定してある」(楠氏)という。つまり、12桁の番号と写真付きの身分証明書の2つを確認して初めて本人確認が成立すると法律で定められている。企業が従業員のマイナンバーを収集する際も、通知カード(番号確認)と免許証など官公庁が発行した顔写真付きの各種身分証明書(身元確認)の確認が必須となる。
 つまり、クレジットカードの番号のように、マイナンバーの12桁の番号だけを不正に入手しても、なりすますことができない制度設計がされているわけだ。以前、「オウム逃亡犯最後の1人」と言われた高橋克也被告が、実在する人物の住民票を悪用し建設会社に勤務していたことが話題になっていたが、このようななりすましを行うことは、今後は難しくなる。逆に、表面は顔写真付きで本人確認ができ、裏面には12桁のマイナンバーが書かれた個人番号カードを紛失すると面倒なことになる。

疑問5:マイナンバーを盗まれたらどんな危険が起こる?
 そして、もう1点。「そもそもマイナンバーは、年金や税金の支払い業務に利用するためのもの。悪意ある第三者にとって、収集することのインセンティブは小さいのではないか」(楠氏)。つまり、マイナンバーを不正に集めたところで情報としての価値が薄く、ベネッセの個人情報流出事件のときのように名簿業者間で流通するといった状況は考えにくいというのだ。加えて、不正に取得しただけで個人情報保護法よりも重い、マイナンバー法の罰則が待ち受けている。悪意ある第三者からすると、ますます「盗む」インセンティブは働かない。
 実際、「悪人にとって盗んでも価値のない番号のために、なぜこんな厳しい罰則規定を設けたのか? と各所で説明を求められる」(楠氏)こともあるそうだ。ただ、番号による国民の個人情報管理については、1960年代の佐藤内閣の時代から導入を目指していたが、頓挫した過去がある。その後も、2000年代の住民基本台帳ネットワークの稼働の際、情報漏えいに対する懸念の声が多く上がった。今回のように厳格な本人確認と重い罰則の規定は、過去の経緯において示された国民の感情に応えるために必要になった措置と言えよう。

疑問6:マイナンバー制度が始まると、副業がバレる?
 2つめのポイントである「情報連携」について考えてみよう。情報連携というのは、国民の情報を自治体、年金機構、税務署といった機関がやり取りすることで、「情報提供ネットワークシステム」という、インターネットから遮断されたネットワークを介して行われる。
 「マイナンバー制度実施で、副業がバレる」という話がある。それは、2カ所以上の事業者などから一定額の収入を得ている人が確定申告を怠ったことで、副業を禁止している勤務先に住民税の額などから、副業が知られてしまうといった例を想定した話なのだろう。
 「情報提供ネットワークシステム」による関係各所による機関をまたいだ個人情報の名寄せが容易になったことで、それまで見落とされていた個人の収入がガラス張りになってしまうのでは、という懸念からくるものだと思う。だがこれについても、マイナンバーが制度の運用が始まったからといって、何かが劇的に変わるというものでもなさそうだ。
 現在でも税務署や自治体は、個人情報の名寄せを実施しており、給与や報酬の支払者が税務処理を実施していれば、関係機関は、かなりの確率で個人の収入を捕捉している。つまり、副業により一定額の収入を得ているにも関わらず確定申告を怠っているような人は、マイナンバー制度の有無に関係なく、税務署には副業を知られている可能性が高い。

疑問7:12桁の番号をそのままあちこちで使ったら、個人情報が知られて危険なのでは?
 また、日本年金機構の情報漏えい事件からの連想で、マイナンバーの漏えいを心配する人も多いだろう。情報提供ネットワークシステムに限って言えば、12桁のマイナンバーそのものが外部に漏れる可能性は低く、漏れたマイナンバーから芋づる式に個人情報が抜かれてしまう、といった心配もなさそうだ。
マイナンバー情報提供ネットワーク
 それは、情報提供ネットワークシステムの仕組みを見れば分かる。個人情報は、各行政機関がマイナンバーだけでなく「符号」と呼ばれる番号を付して管理している。他の機関が保有する個人情報が必要になった場合、情報提供ネットワークシステムに対し、マイナンバーではなく「符号」を送信することで照会を行う。つまり、12桁の番号を“素”のままではやり取りしない仕組みになっている。
各行政機関は、マイナンバーをベースに情報連携を行う。これにより、データの正確性が増したり、システムコストが削減できたりといったメリットが見込まれる。自分のマイナンバーをどこの行政機関が使ったかは、マイナポータルで確認可能
マイナンバー情報連携  「符号」は、単なる文字列であり、それ単体では個人を特定できる情報を含まない。情報の照会先の機関も同じく「符号」を使って個人情報を管理している。ただし、その符号は、照会元の機関のものとは異なる。情報提供ネットワークシステムは、双方の異なる「符号」を変換する仕組みを備えている。つまり、ネットワークの中を飛び交うのは、各行政機関で独自に付番された異なる「符号」だけであり、“素”のマイナンバーのやり取りは行われないという仕組みなのだ。
 もちろん、情報提供ネットワークシステムと、そこに接続する住民システムは、インターネットから遮断されているので、ハッカーが侵入することは極めて難しい。

疑問8:Excelのファイルにマイナンバーを保存しておいても大丈夫?
 では、マイナンバーを含めた個人情報の漏れは一切ないと言い切れるのだろうか。残念だが「ない」とは言い切れない。マイナンバーとひも付いた個人情報(特定個人情報)は、各行政機関に加え、民間企業も保有することになる。例えば、日本年金機構の情報漏えい事件のときは、インターネットから遮断されたネットワークで情報を保管していたが、日常業務を処理する際、ネットに接続した業務用のサーバーに情報を移動したことで漏れた経緯がある。これと似たケースで、マイナンバーにおいても、各行政機関の特定個人情報が漏れてしまう懸念は大いにある。一方、民間企業においても、ずさんな管理が原因で従業員の個人情報が漏れる可能性も指摘されている。
 楠氏も、特定個人情報が漏れる可能性については「ある」と認める。ただし、それを防止する手立ては導入しているそうだ。具体的には、「行政機関については個人番号を取り扱う事務が個人のプライバシー等の権利利益に与える影響についてリスク分析を行い、その結果を『特定個人情報保護委員会』に対し『特定個人情報保護評価書』として公表する義務を課している」(楠氏)という。
 そもそも、日本年金機構の場合、運用ルールを順守していれば、あのような事態は起こり得なかった。この失敗を踏まえ、マイナンバーでは、各行政機関が運用ルールを逸脱することがないように、「特定個人情報保護評価書」を提出させ、一定の縛りや緊張感を持たせることで、日本年金機構のような事態が起きにくい仕組みにしてあるのだ。各行政機関が提出する「特定個人情報保護評価書」は、「特定個人情報保護委員会」のサイトで閲覧することができる。さらに9月に議員修正を経て成立した改正マイナンバー法で(*)、個人番号を扱う行政機関に対しては、個人情報保護委員会が定期検査を行うこととなった。
*参考:http://www.sangiin.go.jp/japanese/joho1/kousei/gian/189/meisai/m18903189034.htm
マイナンバー改正法 民間企業における従業員の特定個人情報についても「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」に従って、適正かつ安全に管理するよう規定されている。ただ、一定規模の企業であれば、マイナンバーに対応したシステムを構築したり、ガイドラインに沿った対策を実施することができるが、中小企業の中には、ガイドラインの要求を満たせない場合もあるだろう。
 たとえば、誰でもログインできるパソコンのExcelのファイルに従業員のマイナンバーと個人情報を記録して保存しておくといった、“ゆるい”管理を行う企業もありそうだ。楠氏は「無理してマイナンバーに対応したシステムを導入する必要はないが、パソコンにアクセスできる人を制限し、ファイルにパスワードをかけるなどの管理は実施してほしい」という。また、紙の帳票についても、鍵のかかるロッカーに保管するなどの対策を行うことで漏えいの確率をかなり抑えることができるだろう」と話す。2015年9月に成立した改正マイナンバー法(冒頭部分)(右側)

疑問9:マイナンバーで「将来便利になる」ものとは何?
 政府がマイナンバーを導入するお題目のひとつに「国民の利便性の向上」がある。ただ「行政手続が簡素化され、国民の負担が軽減されます」と言われても「年に1回行なうかどうかの手続きが簡素化されても関係ないね」と考える人が多いのではないだろうか。
 実は「将来便利になる」と言われている部分の多くは、マイナンバーとは別の「公的個人認証」を利用したサービスや仕組みのことを指している。公的個人認証というのは、個人番号カードのICチップを利用して、ネットワークを介してさまざまなサービスを安全に利用できる仕組みだ。他人によるなりすましの防止や、やり取りする電子データが通信途中で改ざんされていないことを確認するための機能を持っている。
 現状、公的個人認証は住基カードでしか利用されていないため、使っている国民は少ないが、マイナンバーの運用開始と共に希望者に配布される「個人番号カード」でも利用が可能になる。ちなみに、現在、住基カードを利用している人は、有効期限が来るまで住基カードを利用することはできるが、個人番号カードを受けとったら住基カードは返却しなければならない。
 たとえば、政府は「マイナポータル」にアクセスすれば、どの行政機関が自分のどのような情報にアクセスしたのかといったログをパソコンでチェックすることができるとうたっているのだが、マイナポータルへのログインは、この個人番号カードに搭載された公的個人認証が利用されている。一部には、12桁の番号とパスワードを入力してマイナポータルにアクセスすると勘違いしている人がいるが、そうではない。
 マイナポータルへログインするには、個人番号カードをパソコンに接続したカードリーダーにかざし、あらかじめ設定しておいた4桁の暗証番号を入力する。アクセス時のログイン認証に、ICチップ内にインストールされた公的個人認証の機能が利用されているのだ。
 公的個人認証が個人番号カードに搭載されるため、個人番号カードによる「将来便利になる」各種サービスの利用時に12桁のマイナンバーが使われると勘違いしている人も多いようだが、そうではない。12桁の番号とは別物だ。

疑問10:個人番号カードは、キャッシュカードやクレジットカードとして利用できる?
 この公的個人認証は、来年の1月から民間企業を含めた各種サービスへ開放されることが決まっている。実現はまだ先の話になるが、たとえばコンビニのコピー機を利用した印鑑証明、住民票の写しなどの交付や、ネットバンキングやオンラインショップへのログイン、キャシュカードやクレジットカードとのワンカード化などが構想されている。もう一度念を押すが、これらのサービスの利用時に、12桁の番号を使うことはない。あくまでも個人番号カードに搭載された公的個人認証機能を利用するのだ。
 ちなみに、9月に財務省が案として提示して話題になった「日本型軽減税率制度」も、個人番号カードの公的個人認証機能を利用したものだ。このときも「個人番号カード=マイナンバー」という誤解があって「国民の買い物まで監視するのか!」と猛烈な批判が起きたのは記憶に新しい。これも、公的個人認証の仕組みが十分に理解されていないことが原因だと思われる。
マイナンバー カードリーダー ただ、個人番号カードによる便利なサービスが始まったとしても、普及には相当時間がかかりそうだ。パソコンから利用する場合は、パソコンに加えてICチップが読める専用のカードリーダーを準備する必要があり、現状ではe−Taxを利用しているなどの理由でカードリーダーを持っている人くらいしか恩恵にあずかれない。それについて楠氏は「スマートフォンに搭載されたICチップの読み取り機能をカードリーダーとして利用できないかと検討している」と明かす。なるほど、AndroidスマートフォンにしてもiPhoneにしても、最近の機種は、ICチップの読み取り機能が搭載されている。「技術的な課題も多く簡単ではないが、実現に向けて努力している」(楠氏)という。パソコンから公的個人認証サービスを使うには、ICチップが読めるカードリーダーが必要になる(写真はソニーのPaSoRI)

疑問11:もし個人番号カードを紛失したら、どうしたらいい?
 心配なのは、そのように便利な個人番号カードを紛失してしまうと、悪用されないかということだ。その場合は、「コールセンターに連絡してもらえば認証機能をストップすることができるので、不正に利用しようとしてもロックがかかり、使えない」(楠氏)そうだ。
 そのためにも「個人番号カードは、キャッシュカードのように普段も持ち歩いてほしい。そうすることで紛失したことがすぐに分かる」とも付け加える。
・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・・
 これまでの説明で、マイナンバー制度のセキュリティ面やその運用の実際を、理解していただけただろうか。楠氏が言うように、日本のマイナンバーは、諸外国と比較して後発なだけに、セキュリティ面にはかなり気を使って制度・技術設計がされている。また、「将来便利になる」という部分も、マイナンバーとは別の仕組みの上で運用されることが分かったと思う。
 好むと好まざるとに関わらず、そう遠くないうちに全国民のもとにマイナンバーの通知カードが届き、2016年の1月からはいよいよ運用が開始される。新しい制度をいたずらに不安がるのではなく、上手に付き合っていきたいものだ。
http://president.jp/articles/-/16711より引用
・・・・・・(引用終わり)

ここまでお読みいただき、ありがとうございます。

近未来では、指紋・掌形・虹彩・静脈パターン・声紋・耳形などのバイオメトリクス認証(生体認証)が活用され、持ち忘れ・置き忘れなどのリスクは限りなくゼロになるに違いありません。

面白い時代の扉が開かれようとしています。

寒さが増しています。ご自愛願います。

感謝

参照:記者の眼(2015年3月13日)