マイナンバーとマイナンバーカードの違いを知る

久々にセミナーに参加。

セキュリティオンラインディ
https://event.shoeisha.jp/ezday/20150907/timetable

参加したセッションは、セミナー最後の「どうなる?これからのニッポンのセキュリティ、ニッポンの個人情報」
登壇者は、高木浩光さん、山本一郎さん、そして、新潟大の鈴木正朝さんによるパネルセッション。
このお三方は、翔泳社の「ニッポンの個人情報」を今年の2月に出版されています

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

今回のテーマは、プライバシーを軸にしたマイナンバーやその周辺の話題についてです。
セッションの内容と私の意見がごっちゃになりがちですがご容赦。

2003年に成立した個人情報保護法
そういえば、私もこのころ、ちょうどネットワークやセキュリティ関係の業務に関わり始めたのだった。
インターネットの加速的な普及もこのころで、モバイル! テレワーク!と夢を持てたし、扱っていたリモートアクセスの製品も結構売れたな。でも個人情報保護法成立後は、情報紛失のリスクが利便性よりもはるかに高くなって取り扱いがリモートアクセスだけでなくノートパソコンの持ち出し自体厳しくなってきたのだった。

それから12年ほどたって、今、個人情報保護法の初めての大規模な改正案が9月3日に成立したとのこと。
安保法案だけが目立って知らなかった。
この新個人情報保護法ビッグデータ解析で個人情報を使いやすくなるようにもなるのだけど、一方規制もきつくなるそうで、特に気になるのが「これまで5000件未満の個人情報であれば対象外であった個人事業主」が法律の対象となるところ。 個人経営の酒屋さんがお得意さんの名前を控える場合も個人情報管理台帳を用意していないと違法になるとか。

今回の法律改正、特に個人事業主に影響が大きそうですな。アルバイトのマイナンバーの番号管理も大変だけど、これまでの個人情報についても新たな管理が必要になりそう。鈴木さんはマイナンバー・個人情報コンサルとして税理士に期待と言われていました。

年金情報が漏えいしたことは、マイナンバーの展開に大きな悪影響を及ぼしているそうで、いくつかのスケジュールが狂っているそう。

ただ年金での個人識別に使っている「基礎年金番号」とマイナンバーとは取り扱いが違うとのこと。

年金情報の漏えいでは、銀行に例えれば、名前と銀行口座番号だけが流出したようなもので預金は引き出されないけど、年金の場合、流出した(氏名+基礎年金番号)の二つで登録住所の変更など事務処理ができてしまうそうで、基礎年金番号が個人識別に使われてしまっているらしい。 ただのIDなのに実運用ではパスワードがわりにつかわれてしまっているそうだ。
そのため、流出した人に対して基礎年金番号の付け替えまでおこなっているそう。

一方マイナンバーでは「マイナンバーを個人認証に使えない」と法律で明記したそうで、各種の本人認証ではマイナンバーは使わないようになっているそうなので、万が一(氏名+マイナンバー)のペアでの流出事件が起きたとしても、影響は少ないおでマイナンバーの再割り当ては行われないだろうとの高木さんの意見。

それにしては国内の多くの事業者が頭を悩ませている、厳しすぎるマイナンバーの管理義務がなんのためかわからなくなる。

  • 軽減税率などで取りざたされている「マイナンバーカード」はマイナンバーとは別の問題

ちょうど今、消費税の軽減税率還付で話題になっている「マイナンバーカード」。
多くの新聞記事で「マイナンバーを用いて還付」とあるけれど、これは間違いで、「マイナンバーカードという非接触ICカードを使って還付」が正しいそう。

軽減税率還付の話でいうと、スーパーで11桁のマイナンバーを提示するのではなくて、「マイナンバーカード」というICカードをカードリーダーにかざすと、カードの中に情報がたまに後で還付を受けられるということらしい。
つまりは、Suica定期券でコンビニでSuica使って買い物するとSuicaポイントが付くようなものなのな。ここでJRの定期の情報は使っていないのと同じようなものか。

マイナンバー関係ない。

やまもといちろうさんの話を聞くと、ある程度想像していた通り、「とにかくマイナンバーカードを普及させたい」ということが主な理由であるようだ。
「国民を管理したい」というような大それた理由はなさそうで、とにかく「発行枚数の実績を上げたい」ということがあるような印象。 同じような規格で「住基カード」があるが、こちらは普及率6%以下で成功であるとはいいがたい。次は絶対ゆずれないよ という思いがあるよう
住基カード普及率: http://www.soumu.go.jp/main_content/000200394.pdf

普及施策はこれだけではなく、「マイナンバーカードを国家公務員の身分証に」という話も出てきている。
http://blog.jjseisakuken.jp/blog/2015/09/post-fe5d.html
https://www.kantei.go.jp/jp/singi/it2/cio/dai63/siryou4.pdf

これが曲者で、普及をさせたいがためにとうとう「身分証とは何を保証するものなのか」ということを忘れてしまっているという。
まさに「ひろみつ案件」なのですが、高木先生曰く「私も身分が公務員なので決まったことには口を出せない」ともどかしい様子。

要は、マイナンバーカードの表面には住所・性別・臓器提供意思表明など身分証にふさわしくない情報が記載されているので、カードのプライバシー事項を隠すカバーを作る。で、このカバー表面に所属部署など身分証とて必要な情報を記載するとのこと。 つまり「カバーを持っている人」=「その組織の人」であって、マイナンバーカードはなんでもよくなるという。 あれ?。 まあ、入退管理などではマイナンバーカード内のICチップ情報を使うようだけど、人間の目で見たときはなりすましが容易すぎるという困った状況。
で、国家公務員は利用が決定したのだけど、地方公務員・独法、はたまた民間企業まで利用を勧めているとのこと。

  • マイナンバーは個人認証に使えないけど、マイナンバーカードは積極的に利活用しよう との動き

マイナンバーカードは、地方自治体単位で発行するのだが、自治体ごとにICカードに独自サービスを入れてもよいとされている(というか普及のために入れることを推奨しているよう)

カードを個人認証に使えないかという提案もあるようだが、 カードのID を個人識別に使うのは危険であるよとの山本さんからのコメントあり。
http://www.fujitsu.com/jp/group/fri/column/opinion/201507/2015-7-3.html

うーむ。 Felicaのカード番号(IDm)はクラックして変更できるらしいが、マイナンバーカードが使用しているTypeBカードでも同じように番号をクラックできるのだっけか?

それはさておき、「マイナンバーは厳重に管理しましょう」といわれている一方で「マイナンバーカードは国民全員が作って、便利に使いましょう」というなにやらバランスの悪い状態になっているなという気にはなった。