マイナンバーはいらない

post by nonumber-tom at 2017.4.24 #169
マイナンバー 省庁交渉 個人情報保護委員会 年金個人情報

2017.3.3 省庁等交渉レポート最終回
個人情報保護委員会は機能しているか

 共通番号いらないネットは、私たちに寄せられた様々な疑問について、3月3日関係省庁から説明を受けました。個人情報保護委員会に対しては、活動実績を質しました。特に年金個人情報の漏えい事件を起こした日本年金機構のマイナンバー利用開始にあたり、委員会が特に問題はないと判断したにもかかわらず、会計検査院からは問題を指摘する報告が出されていることの説明を求めました。

この省庁交渉における、国税庁・総務省・内閣官房の報告へのリンクは »こちらです。

1)政府の認めるマイナンバー制度の危険性と、個人情報保護委員会の役割

 政府はマイナンバー制度について、個人情報の追跡・名寄せ・突合が行われ、集積・集約された個人情報の外部への漏えいや不正利用、成りすましによる財産的被害、国家による個人情報の一元管理、プライバシー侵害などの危険性があることを認めています。ただ法制度上の保護措置やシステム上の安全措置により、その危険は防止できるとしています。
 番号法成立に伴い設置された個人情報保護委員会はこの保護措置の中心で、委員会が機能しなければこれらの危険性は現実のものになります。
 私たちは、年金個人情報の大量漏えい事件をおこした日本年金機構に対する調査を例に、委員会が保護措置としての機能をはたしているのかを質しました。

2)年金個人情報の大量漏えい事件の発生

 2015年6月、外部からの不正アクセスにより、日本年金機構が保有する個人情報約125万件が漏えいした事件の発覚は、社会に衝撃を与えました。行政機関からの大量漏えいの発生は、マイナンバー制度に対して私たちが指摘してきた危険性が現実のものであることを示しました。
 漏えいした個人情報にはすべて基礎年金番号がついていました。基礎年金番号は1997年からはじまったすべての公的年金制度で共通して使用する10桁の番号です。国民年金法の改正により2008年からは国民年金事務等のため特に必要がある場合以外は行政機関等による告知要求を禁止し、それ以外の者による基礎年金番号の利用が禁止されました(国民年金法第108条の4)。住民票コードやマイナンバーと同レベルの利用制限・告知制限がある番号が大量漏えいした事件でした。
 この漏えいの原因については2015年8月に » 年金機構や厚労省などの報告書 が出されました。年金情報を管理する基幹システム(社会保険オンラインシステム)から、業務に使用する庁内ネットワーク(「機構LANシステム」)の共有フォルダに保存された年金個人情報が、機構LANシステムがインターネットに接続されていたため漏えいしたものです。原則として禁止されていた共有フォルダへの保存が行われ、アクセス制限やパスワードの設定なども行われず、このような事態への対処体制もとられていませんでした。

3)日本年金機構のマイナンバー利用の延期と開始

 この漏えい事件発覚により、国会で審議されていたマイナンバーを預貯金やメタボ健診の管理等に利用拡大する法案の審議は一時ストップしました。私たちは年金情報流出事件の徹底解明と番号利用拡大法案の廃案を求めて、»2015年6月8日に緊急記者会見 を行い、7月6日には104名の »地方議員が共同アピール を行いました。
 世論の批判をうけ、再発防止のために番号利用法の附則で日本年金機構のマイナンバーの利用は平成29年5月31日までで政令で定める日まで利用停止、情報連携は平成29年11月30日までで政令で定める日まで停止する修正をして、やっと番号利用拡大法は成立しました。
 その後年金機構の庁内ネットワークをインターネットから切り離すなどのセキュリティ対策が行われ、個人情報保護委員会と内閣サイバーセキュリティセンターの立入検査等の結果を受けて、2016年11月11日に年金機構によるマイナンバー利用を可能とする政令が公布・施行され、2017年1月より日本年金機構でのマイナンバーの利用が始まりました。なお情報連携の開始は未定です。
*日本年金機構の情報セキュリティ対策の確認と今後の予定については、»こちらを参照(2016.12.21 社会保障審議会年金事業管理部会配布資料より)

4)個人情報保護委員会による年金機構に対する検査結果と会計検査院の報告

 個人情報保護委員会は2016年10月12日に平成28年度上半期における »個人情報保護委員会の活動実績 を公表しました。
 日本年金機構におけるマイナンバーの利用を開始するために必要な体制の整備状況に関しては、「委員会において日本年金機構本部及び全国20箇所の年金事務所の状況について実地に調査した結果、確認した範囲においては、特段、問題となるような事態は見受けられなかった」と報告しています。
 ところが2016年12月16日、会計検査院は年金個人情報に関する情報セキュリティ対策の実施状況等の報告書で、10~11月の会計実地検査の結果、年金個人情報が庁内LANに使うコンピュータのハードディスクに保存されているなど、漏えい原因と同様の運用が続いていたことを指摘しています(「会計検査院法第30条の2の規定に基づく報告書」18~19頁)

5)個人情報保護委員会の検査で対策の不備が見つからなかった理由

「番号を一斉入手する体制」を調べた委員会は、問題点を見つけられなかった
 私たちは、なぜ会計検査院が指摘した不備を個人情報保護委員会は見つけることができなかったのかを質しました。
 個人情報保護委員会の説明は、会計検査院の報告は承知しているとしたうえで、委員会の立入検査は日本年金機構が地方公共団体情報システム機構(J-LIS)から個人番号を一斉入手するための体制整備に着目して行ったもので、検査の着眼点や対象の抽出先が会計検査院とは違い、活動実績報告でも「確認した範囲においては」問題はなかったと記載しているというものでした。
 なおJ-LISからの個人番号の一斉入手については、日本年金機構が保有している住民票コードによりJ-LISに個人番号を照会して、入手した個人番号と基礎年金番号の紐つけを行なうという説明です。
個人情報保護委員会は役割を果たせるのか?
 しかしこの委員会の検査報告も受けて、年金機構のマイナンバーの利用は認められました。仮に今後漏えいが発生した場合、「着眼点がちがった」「確認した範囲では問題はなかった」で済ませられるでしょうか。個人情報保護委員会に求められていたのは、年金機構がマイナンバーを利用して大丈夫か、ということの検証でした。回答はマイナンバーの危険性に対する保護措置の役割を果たせるのか、疑問の残る説明でした。保護措置が機能しなければ、マイナンバーの危険性は現実化します。
 日本年金機構の情報連携の開始については、これから政令で決まります。個人情報保護委員会がどのような判断を示すか、注視が必要です。
次の記事 « » 前の記事