ITをめぐる法律問題について考える このページをアンテナに追加 RSSフィード

2018-09-21

マイナンバーの課題を更新しました

マイナンバーの課題についてまとめていましたが、資料を更新しました→コチラ

具体的な更新点としては、マイナンバーの概要と何が危険なのか、個人情報と同様の規制では何がいけないのかについて足した点です。主な更新点は、以下のスライドを14ページ15ページに足したことです。

f:id:cyberlawissues:20180921104217j:image

f:id:cyberlawissues:20180921104215j:image

経団連さんでもこの資料を基に講演させていただく予定です。

さらに余裕があれば、法律誌に論文を執筆しようかなと思っています(現在、他の書籍執筆と書籍改訂があり、手が回っていませんが、手が空いてやる気が継続していればやりたいなと)。


なお、詐欺被害者リストをネット上にアップするのは、個人情報保護法上はオプトアウト手続をとっていれば適法でしょうが*1不法行為で訴えられたら負けるでしょう。ただ言いたいことは、個人情報保護法とおなじ規制にマイナンバーもすると、こういう危険があるよということです。

*1:犯罪被害だと要配慮個人情報だからオプトアウト不可?しかし犯罪被害になっていない民法上の詐欺被害の場合は要配慮個人情報ではないと思われる。

2018-09-07

安全管理措置(匿名加工医療情報を追記)

安全管理措置の比較表を以前作成していましたが、匿名加工医療情報を追記したバージョンにアップデートしましたので、ブログでお知らせします。右から3列目です。

コチラ

2018-09-03

マイナのおうち

いつもいろいろとマイナンバー等に熱く取り組んでいらっしゃる五霞町さんが、マイナンバーページ「マイナのおうち」をオープンされたそうです。Facebook経由で拝見しました。見やすいしわかりやすいしかわいいし、素晴らしいですね!

2018-08-31

日経XTECHにコメントしました〜被保険者番号&マイナンバーの民間利活用〜

日経XTECHにコメントしました

厚労省の資料は以下です。


これらに関する、私の思いは以下の通りです。


1.識別子のリスクについて

識別子は、その他の個人情報とは異なる特徴があります。

その人の個人情報を紐づけるキーとなるという特徴であります。識別子であることから当然なわけですけれども。

この点がプライバシーに与える影響という意味でも、その他の個人情報と大きく異なります。

氏名ですと日本全国を見れば同姓同名者が複数いる。

氏名・住所の組み合わせでも、住所変更・氏名変更などがありえ、完全に個人を特定するには住民票などを確認する必要がある場合もある。

また、コンピュータでの取扱いやすさを考えれば、漢字が入っている氏名・住所よりも番号や記号が優れている。

そこで、お客様番号、お問合せ番号、ID等が出てくるわけです。

そういう意味では、マイナンバーも被保険者番号も、この番号・記号と同じなわけです。識別子という意味で。

ただ、識別子にも強力性の違いがあります。

ワンタイムパスワードではないですけれども、一過性の識別子なのか、永続的な識別子なのか。紐づく情報の範囲、識別子の共有範囲はどの程度か、などの点です。

お問合せ番号は一過性、識別子の共有範囲も一社内、紐づく情報もお問合せ内容のみということで、弱めの識別子です。

これに対してマイナンバーは永続的(変更要件が厳しい、基本的には生涯不変)、紐づく情報は多種類、全国の官民で共有される、強力な識別子です。

強力だからこそ名寄せに効果を発揮して、行政効率化などに役立つわけですが、悪用された場合はプライバシー権に与える影響が甚大です。

私がよく講演で話している例は次の通りです。

氏名も意外と怖いところがあって、氏名がわかれば、Google検索すればさまざまなことがわかってしまう。私であれば事務所の情報、講演情報、書籍情報などが検索結果として表示されるが、ここに例えば趣味でマラソン大会に出てたりしてその結果が表示されたり、趣味でインタビューを受けた様子なども表示されたりすることがある。仕事という文脈以外の情報も幅広く表示される。

さらには、「悪徳」などの口コミが検索される人もいなくはない。しかもそのネット上の記述が正しいかどうかは定かではなかったりする。

でも氏名であれば、有名人と同姓同名だったり、同姓同名者の多い氏名なら自分の情報は検索上位には表示されないし、氏名を変更することもできる。一般的に結婚・離婚・養子縁組・離縁以外に氏名を変更する人は少ないと認識されているかもしれないが、とある世界ではそんなこともなかったりする。

しかしこれがマイナンバーであったらどうだろう。今は違法なので今から述べることは行われていないが、仮に違法状態が蔓延して、マイナンバーでGoogle検索すればさまざまな情報が表示されたとしたら。マイナンバーは基本的に生涯不変で変えられない。「違うんです。おんなじ番号の別人です」という言い訳も通らない。

これがGoogle検索だけではなく、裏名簿のようなものでも同様であろう。

最悪の事態を考えると、昔の「烙印」ではないが、生涯にわたって、自分のさまざまな行為や真実ではない噂などが、マイナンバーによって自分につきまとい続ける可能性すらある。


これが識別子の悪用の具体例である。

だからこそマイナンバーは、利用範囲を限定して、ある意味マイナンバーの利便性を自ら下げているのである。

マイナンバーによって検索できる範囲の情報を法律で限定することで、マイナンバーを悪用しても検索できる情報の範囲を減らしているのである。


この点、マイナンバーをもし個人情報と同じ規律にするとすれば、利用範囲の制限もなく、上記のGoogle検索も、実現されなくはないといえます。ネット公開すればそれは第三者提供に当たりますが、個人情報と同じ規制にするのであれば、オプトアウトマイナンバーを第三者提供できることになります。

つまり本人同意なくネット上でその人の情報とともにマイナンバーを公開して、本人が拒否して初めて削除するという対応が可能です。また共同利用構成によって、本人同意なく、さまざまな者の間でマイナンバーを共有することも可能になります。


マイナンバーが過剰規制というのであれば、個人情報と同じ規律にすると言う乱暴な方法で規制緩和するのではなく、具体的にどういう点が過剰規制になっているかを丁寧に検証すべきです。なお、これは経済同友会さんに事前にも言っています。

規制緩和されれば、便利な使い道が思いつきやすくなるという発想かもしれませんが、それで悪用のリスクも著しく増大するわけです。

マイナンバーを民間開放するのであれば、公益性の高いところから、国民にメリットのある分野から、厳格な法令遵守が期待できる企業から、ではないかと思います。


話を被保険者番号に移すと、マイナンバーよりも被保険者番号の方が識別子としての強度は低いと評価できます。

保険者を移れば変更になるからです。ただ、定年まで勤続する方の場合は、定年までずっと同じ被保険者番号になりますので、マイナンバーのように生まれてから亡くなるまで同じというわけではないですが、人によっては、かなり永続的な識別子となり得ます。

また、保険証に書いてあるし、利用制限もないため、共有範囲も広い。

被保険者番号を医療等分野で利活用するのであれば、

・変更要件(希望があれば変更できるようにするのかどうか)を詰める

↑永続性を少しでも減らす

医療等分野以外の利活用禁止(身分証明書利用は医療等分野以外でも可)

↑紐づく情報の範囲を少しでも減らす

・被保険者番号履歴の提供の厳格な制限

↑永続性減少

の丁寧な検討・法規制が必要だと考えます。

番号が乱立すればプライバシー保護にいいわけでは必ずしもないため、被保険者番号の活用に、反対というわけでは私はありません。見えない符号にしたとしても、被保険者番号の個人化はオンライン資格確認を保険証でやる場合のためにおそらく必要なはずで、そうすると見える番号と見えない符号が医療等分野でも出てきて、さらにもっとジャンルごとに番号を分割せよとか言いだすと、迷宮的な制度になってしまいそうでしたので、被保険者番号でも良いのかなとは思います。

ただ、報告書に書いてある通り、被保険者番号を利活用するとしても、どういうユースケースがあり、どういう悪用の可能性があり、どういう対策が必要なのかを、具体的に突っ込んで深堀して考えて、必要な法規制を検討していくべきだと考えます。



2.医療等分野の識別子の必要性(一般向け)

医療の分野で「患者さんはこの人です」ということを明らかにすることが必要です。

氏名・住所だけでは同姓同名もいらっしゃいますし、氏名も住所も変わり得る。人の一生をかけて健康情報を保存したり分析したりしていくとした場合に、氏名・住所だけではそれらのデータを統合することは困難です。母親のお腹の中にいるときには妊婦健診を、生まれてからは乳幼児健診を、学校に入ってからは学童健診を、病気にかかれば病院でカルテを書かれ検査をされ投薬等を受けます。予防接種も受けています。大人になってからは会社の健康診断を受け、病気になって病院にかかったりします。こういう長い生涯の中の健康情報はこれまで、データとして作成されてはいるものの、それは各病院や薬局、保険者などがバラバラに保有していて、それらが統合されたり、必要な時に過去のデータを本人や医師・薬剤師が見たり、といったことも、今まではほとんど行われてきませんでした。過去の病歴やアレルギーなどは、問診で本人から聞き取ったりしてきましたが、本当はもっともっとデータはいっぱいあって、過去にどういう病気をやったのか、どういう体質なのか、そこから見えてくるその人特有のモノも、本当はあるはずで、そういうものを活用していけば、その人に合った治療なども可能になっていく可能性があります。

また、新たな治療法を研究するという観点からも、識別子が必要です。

研究のためには膨大なデータが必要です。研究するためのデータは、この人がこういう病歴でこういう経過をたどっていったなどを丹念に見ていく必要がある場合がありますが、個人を特定するための情報が、病院の患者番号ですと、違う病院にかかっている病気のデータ等は見られなくなってしまいます。

地域医療連携でも、識別子が必要です。

クリニックで見てもらっていたけれども大学病院に移る、または別の病院に移るといったときに、過去のカルテ情報や検査結果を引き継ぐための基礎となるのが、この識別子です。

病院と薬局でデータを連携し、患者の待ち時間を短縮したり、より質の高い医療を提供していくためにも、こういった識別子があるととても良いでしょう。

医療と介護の連携にももちろん有用です。

ということで、医療等の分野の識別子は、非常に重要な価値を持ち、大変必要なものと言えるわけですが、これまた医療ということで、プライバシー性が高く、どうしたものかという議論があったわけです。それを受けての、この報告書となります。

この報告書では結論として、医療等の分野で「患者さんはこの人です」ということを明らかにするために=識別子として、保険証の番号を使うということが書かれています。

マイナンバーでも全く新規の番号でもないし、機械の中でしか読み取れないような符号を使うわけでもないということです。



3.報告書への私の雑感

非常にシンプルな結論であるなと思いました。

まず、マイナンバーは使わないという結論は最初からありきだったんだろうなと思います。マイナンバー=怖いのイメージがあるので、マイナンバーを識別子に使うと医療界からも一般からも理解が得られないような気がします。マイナンバー制度にとっても、ある意味医療と切り離した方が話がシンプルになり、マイナンバーの利活用の展開が少し見えてくるかなとも思います。

見えない符号を使わないという点については、私はこれはこれでいいと思います。なぜなら見えない符号なら保護には資するかもしれませんが、見えない符号だけだと、利活用が限定的になる可能性があるわけです。

なぜならば、見えない符号なら見えない場面でしか使えない。要は、専用のネットワークシステムに接続できる人しか使えない。紙に記載する必要のある場面では使えない(なぜなら紙に書けないからこそ見えない符号である)。

病院の窓口で考えてみると、いまどき大体の病院でPCはあるでしょうけれども、セキュリティレベルが今のままで十分かというとまた別問題です。専用のネットワークシステムに接続するからには、もしウィルス感染したPCなどで接続してしまうと、そのネットワークシステムに接続している全機関に悪影響を与えてしまう可能性があります。また病院から専用のネットワークシステムに接続するための回線も、インターネット回線で十分なのかという点が問題になりえます。

今ある設備では足りず、回線の設置、セキュリティ対策の根本的なレベルアップなどが各病院で必要になる可能性があります。さらに本当に小さい昔ながらの病院だったら、もしかするとPCすらないとこもあるかもしれない。手書きレセプトもごく一部残っているような気がしますし、そういうところについては、PCを買って、セキュリティ対策をして、回線を設置することになるわけですが、それを誰がやるのか。国が一軒一軒回って作業するのかとか。

さらにいえば、専用のネットワークシステム側の維持費も莫大です。これをずっと維持できるだけの効果があるのかというと、なかなか難しい。

また専用のネットワークシステムを通さないと何もできないことになってしまいます。マイナンバーで言えば、法定調書の提出は、普通に郵送でもいいしディスクでもいいわけです。マイナンバーも紙でもらったりスキャンデータでもらったりするわけです。それがもしマイナンバーという見える番号を廃止して見えない符号だけにするとすると、個人が企業等にマイナンバーを提供する際は、個人が専用のネットワークシステムにまず接続します。そして企業もそこに接続してそこから法定調書を税務署に提出することになります。その際、個人にまで強固なセキュリティ対策をというのは現実的ではないでしょうから、これは、情報提供ネットワークシステムとは別システムにしなければ、情報提供ネットワークシステムの安全性が担保できません。そうするとものすごいコストです。しかも大量の負荷がかかるわけですから、サーバ維持費も膨大でしょうし。PCとかそうさできない企業や個人の方全員にこの専用ネットワークシステムの使用を強いるとすると、たぶん現実的ではないし。

というように、医療についても、見えない符号だけで運用しようとすると、このようなことが考えられるわけです。

いずれにせよ被保険者番号の個人化はオンライン資格確認の関係で必須だったでしょうから(ICカードリーダーだけで処理するのは現実的ではないでしょうから)、被保険者番号のほかに見えない符号があると、議論が混乱しがちです(どこまで被保険者番号で処理してどこから見えない符号で処理するのかなど)。

さらには最近のブームとして番号の乱立状態がありました。マイナンバーの時も、狭義のマイナンバーそのもの、リンクコード、住基コード、あとは何でしたっけ、リンクコードじゃなくて情報提供ネットワークシステム側では一人に一個しかない見えない符号を持っているわけですよね。さらにはマイナンバーカードのシリアル番号とか、もう番号がいっぱいです。

これに加えて、医療等分野でさらに被保険者番号の個人化と見えない符号ととなって、それも見えない符号も1,2,3みたいにどんどん種類が増える感じのドキュメントも見ましたが、そういうことをやっていると、番号だらけになって、複雑怪奇になっていきます。

そもそも番号を分ける趣旨というのは、紐づく情報を限定的にする(利用目的の制限等)ということが大きな点ですので、マイナンバー制度のリンクコードをまねて、どんどん符号を増殖させていっても、本来の趣旨から離れて、保護のためにはとりあえず番号を乱立すればいいんでしょ?みたいな、乱雑な議論にもなりかけているようにも少し感じていました。

そこを今回は番号が複雑怪奇に乱立されなかったので、これはこれである意味評価できると思います。


4.蛇足

被保険者番号の報告書は、最近の行政文書には珍しく、非常にすっきりしたシンプルなわかりやすい記述になっていると思いました。前の情参室だったら、こういうものを書いてくるとはとても思えなかったのですが、幹部系の発言でこうなったのか。行政文書としては非常にできの良いものだなと思いました。上から目線で大変失礼な物言いですが、「え?情参室クレジット?え?ほんとに?」みたいに思いました。

あれ、でも今見てみたらクレジットは検討会名義で、検討会の庶務が情参室と医政局研究開発振興課ですか。作成者はどこなのかな。

しかし、人を対象とする医学系研究に関する倫理指針とか、改正個人情報保護法の影響で、もうものすごくこまかくて、専門家だって担当官だって完全に理解できるかどうかというレベルの、難解な物になっていると思うのですが、この被保険者番号の報告書は非常にシンプルでポイントをついていたと思います。それと、今後の被保険者番号の個人情報保護の具体的な話はまた別の話ですが、心からそう思ったので、上から目線で大変失礼な物言いですが、思った感想を率直に書いておきます。

2018-08-16

マイナンバー法見直しの状況メモ

マイナンバー法の見直しイヤーに入りましたので、いろいろと今後も引き続き調査したり検討したり意見したりしていこうと思っています。

そこで、内閣官房に、マイナンバー法見直しの状況について開示請求しようとしたところ、以下の公開資料以外に行政文書が存在するかは精査しなければならないとの回答がありました。現時点では、戸籍等への範囲拡大以外、特に資料がいっぱいあるというわけではなさそうなので、秋目途で開示請求しようかなと思いなおしました。

そして、公開文書でマイナンバー法見直しについて触れているものは、以下だそうです。前からオープンになっている話しか書いていないのですけれども。

内閣府経済財政諮問会議 経済・財政一体改革推進委員会

第9回 国と地方のシステムワーキング・グループ

資料2-1 第9回国と地方のシステムWGご説明資料(内閣官房・内閣府)6〜7ページ

現在、「3年後見直し」の改正マイナンバー法案を平成31年通常国会に提出すべく、各府省で検討中

・戸籍事務

平成29年8月まで法務省の有識者会議で検討、現在、マイナンバー制度導入ための戸籍法改正を行うため法制審議会において、調査・審議中

・旅券事務等

旅券事務でのマイナンバーの利用について関係省庁と協議・検討中。その他の領事事務については、在留邦人へ付番された場合の利用の効果等について検討中

・証券保管振替業務

マイナンバー利用事務とすることの要否も含めて検討中

・外国人留学生資格外労働時間管理業務

マイナンバー制度を活用した外国人留学生の資格外活動の管理強化を検討中