2015年05月29日

マイナンバーは秘密の鍵?

マイナンバー(個人番号)。TVでのCMも流されているようで(実は私はほとんどTVを見ないので、見たことがないのですが…)、その詳細はともかくとしてマイナンバーなるものがこの秋からスタートすることを認知している人の率は高くなってきているかと思います。最近は新聞でもマイナンバーについて取り上げられる機会が増えました。今朝の日経一面トップも「株の納税、マイナンバーで 配当など申告簡単に」という記事でした。

このマイナンバーは、行政の効率化を進める上では大きな意味のある制度ですが、特定個人情報として法令に則って扱う必要があります。平易に言えば、最高レベルの機密情報として扱わなければいけません。一方で、マイナンバーは、視認性を持っています。この10月から交付が開始される通知カードには個人番号が記載されています。また、来年1月からは身分証明書としても利用ができる個人番号カードの交付が始まりますが、この個人番号カードの裏面にはやはり個人番号が目に見える形で記載されています。

カードという物理的な媒体に、目に見える情報として記載されているものを、最高レベルの機密情報として扱わなければならない。ここに、マイナンバーの難しさであり、あえて言ってしまえば、矛盾があります。この10月以降、事業者は、従業員に(その扶養家族の分も含め)通知カードの提示を求め、その個人番号を収集します。収集された情報は最高レベルの機密情報として扱わなければならないのですが、一方で、収集の際には、担当者の目には触れます。番号の並びが良ければ、記憶してしまうかもしれません。それでも、最高レベルの機密情報として扱わなければならないのです。SFではないのですが、記憶を消さなければならない?

マイナンバーをここまで機密情報として扱わなければならないのはなぜでしょうか? マイナンバーは万能の秘密の鍵だから? 冒頭の日経の記事では、「今年10月から番号を割り当て、16年から番号を記載した個人番号カードを配る。役所の窓口で番号を伝えれば他の身分証明書の提示は不要になる」と記載されています。つまり番号はその人のパスワード???

しかし、これは本来は誤りのはずです。マイナンバーは誰かを特定する識別情報(ID)ではありますが、本人であることを証明する認証情報(パスワード)ではありません。上の記述で言えば、「役所の窓口で番号を伝えれば」、手続きをしようとしている対象となる人を特定することはできますが、その番号を伝えた人がその人本人であることの証明にはなりません。より正確にいえば、「役所の窓口で個人番号カードを提示すれば」裏面に記載されている個人番号によって、手続きをしようとしている対象となる人を特定し、なおかつ、個人番号カードを所有することによって、その本人であることの証明となります。

繰り返しになりますが、マイナンバーはパスワードではなく、あくまでもID。実際、個人番号カードの交付を受ける際には、4桁の数字と6桁以上の英数字の組み合わせの2種類のパスワードを設定しなければなりません。これらパスワードこそが、本人であることを証明する「本当の」パスワードなのです。上の例でも、万全を期すには(落し物の個人番号カードを第三者が使えないようにするためには)、個人番号カードを提示するだけではなく、本人しか知らないはずのパスワードを入力すべき、ということになります。

もちろん、IDだからと言って、マイナンバーを適当に扱っていい訳ではありません。法律で定められているわけですから、法令に則って、機密情報として扱うべきです(これから登場する弥生製品もそのためのお手伝いをします)。ただ、機密情報として扱うべきというイメージが強まることによって、本来はIDであるものがパスワードのように捉えられる、場合によって、パスワードであるかのように運用されるのではないか。「役所の窓口で番号を伝えれば」となってしまわないか。心配性かもしれませんが、私はこの点を危惧しています。

再び繰り返しになりますが、マイナンバーはパスワードではなく、あくまでもIDです。そもそも、所詮目に見える、視認性を持った番号です。それこそ個人番号カードを落としてしまえば、一発で(ひと目で)情報は流出します。つまり視認性を持っていれば、100%安全はありえません。逆に言えば、より安全性を高めたいのであれば、本当はマイナンバーは視認性のないものとすべきです。

視認性のある、100%安全はありえないマイナンバーですが、それでも絶対安全という前提に立つのか。すなわち、ありとあらゆる手段とどれだけのコストをかけても機密性を守ることに全力をそそぐのか。はたまた、仮にマイナンバーが見えてしまっても、致命的な問題にならないような仕組みを作るのか。

5/10付けの日経新聞の記事がそのヒントを示唆しているように思えます。「マイナンバー、そんなに心配? 使いこなすのは国民自身(核心)」という記事で、番号制度の活用について世界最先端を走るバルト海沿岸の小国エストニアの事例が紹介されています。曰く、「(一人がひとつ持つ)番号は意外にも公開されている。番号それだけではただの番号にすぎず、カードと厳重なパスワードがそろわないと用を成さない」。

マイナンバー制度は紆余曲折を経てようやく始まろうとしています。この紆余曲折の中で、本来はIDであるマイナンバーをあたかもパスワードのように扱うことが必要になりました。もっとも、マイナンバーは生まれたばかりの(より正確に言えば、生まれようとしている)制度ですから、当初は矛盾や無理が発生することもやむを得ないことです。ただ、本当にその効果を生むためには、制度を冷静に分析し、必要に応じて改善していくべきだと考えています。今後、本ブログでは、日本の中小事業者がこのマイナンバーにどのように対処すべきか発信していくと同時に、マイナンバー制度のより良い在り方についても、冷静に考え、発信していきたいと思います。
posted by 岡本浩一郎 at 20:16 | TrackBack(0) | 業務
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/135587503
※ブログオーナーが承認したトラックバックのみ表示されます。

この記事へのトラックバック