デジタル庁からの回答
マイナンバー制度・カードに関する省庁ヒアリング

　　9月28日、福島みずほ参議院議員事務所を通じて、厚労省・総務省・デジタル庁・個人情報保護委員会に、マイナンバー制度やマイナカードについてヒアリング¹ を約30名の参加で行いました。
　この報告第3回では、デジタル庁の回答の要旨とそれに対する会場での質疑・発言などを紹介します。
　私たちはデジタル庁に対して、マイナンバー情報総点検、ひも付け誤りの対策とされている申請時のマイナンバー記載の「義務化」、マイナポータル運用の法整備などについて説明を求めました。残る個人情報保護委員会の回答については、第4回として報告する予定です。

●省庁ヒアリングの報告（2023.9.28）

　» 厚生労働省

　» 総務省

　» デジタル庁

　» 個人情報保護委員会

【デジタル庁からの回答】

1）マイナンバー情報総点検について

（質問）

　マイナンバー制度をめぐっては、コンビニからの誤交付、マイナ保険証や障害者情報等の紐付け誤り、公金受取口座やマイナポイントの誤登録、マイナンバーカードの誤交付や別人の顔写真による交付など、さまざまなトラブルが発生している。
　その中でマイナ保険証等の、紐付け誤りのみを点検対象としている理由を説明されたい。

（デジタル庁の回答）

　マイナンバー情報総点検では、一連の誤り事案が確認されたデータだけではなく、個人情報保護の重要性をふまえひも付け誤りが確認されていない情報を含めて、マイナポータルで閲覧可能となっているすべての情報について、ひも付けが正確に行われているか点検を進めている。
　具体的には7月より現場におけるひも付け作業の実態把握を行い、そのひも付け方法の確認結果をふまえ、個別データの点検が必要なケースの整理を行い、9月上旬に個別データの点検機関を確定した。現在は点検作業中で、原則11月末までに確認を行うこととしている。
　公金受取口座で誤った口座情報が登録された事案が発生しているが、こちらは別途確認を進めている状態と承知している。

2) マイナンバー記載の「義務化」について

（質問）

　マイナンバー情報総点検本部の第1回資料2² では、再発防止策の方向性として、各種申請時等のマイナンバー記載義務化、機械的なJ-LIS照会の実施の検討、統一的な手順の提示等を示している。

(1) マイナンバーの記載がないことのみを理由として給付やサービスを受けられないことになれば、生存権など基本的人権を侵害する。各行政機関はマイナンバー制度の開始にあたり、年金、保育、生活保護、雇用保険、障害福祉、介護保険、税務など各事務で、個人番号の記載を求めるが本人の意思で記載されない場合は未記載でも受理し手続きは行うと説明してきた。
　　「マイナンバー記載義務化」「統一的な手順の提示」においても、この扱いに変わりがないことを確認したい。

（デジタル庁の回答）

　マイナンバーを利用する手続きでは、それぞれの根拠法令においてマイナンバーが申請書等の記載事項として定められている。仮にマイナンバーの記載がない場合は記載事項の不備となるので、一般的な行政手続と同様に申請者に補正を求めることになる。そのうえでなお申請者がマイナンバーを記載しない場合の取扱いについては、各制度の個別法令における規定等に基づいて判断されることとなるが、マイナンバーの提出を拒むことのみをもって手続きを行わないという取扱いにはなっていないと考えている。
　「横断的マニュアル」³ とよんでいる統一的な手順については、いま作成中。ただマニュアルを定めた後でも、先ほど言われた扱いが変わるということはないと考えている。

（質問）

(2) 本人がマイナンバーの記載を拒み、J-LIS照会によってもマイナンバーを確認できなかった場合の扱いを示されたい。

（デジタル庁の回答）

　申請者からマイナンバーの提供を受けられなかった場合、各機関が保有する情報をもって住基ネット照会を行うことによりマイナンバーを取得することが可能となっている。それでもなおマイナンバーを確認できない場合は、本人に確認するといった方法が考えられる。
　ひも付け誤りがあった事例は4情報でなく不十分な情報でJ-LIS照会したことによって起こったものが多いと承知している。4情報が揃っていれば個人の特定は可能と考えている。

3）マイナポータルについて

（質問）

　マイナポータルは番号法附則で「情報提供記録等開示システム」として、特定個人情報とその情報提供記録を本人に開示する個人情報保護措置の一つとして設置され、あわせて行政機関等からの本人へのお知らせや電子申請などに使用する検討が規定されていた。
　しかし2019年からAPI連携によって、マイナポータルから直接民間事業者等に、マイナンバーで管理する個人情報を提供する利用がはじまっている⁴。提供は本人同意によるとされているが、マイナポータルの運用については附則以外に法的な根拠はなく、個人情報保護が保障されていない。　

　今年1月には批判を受けてマイナポータルの利用規約が改正されたが、今後さらに利用拡大が予定されているマイナポータルへの不正アクセスや不正利用が発生すると、深刻なプライバシー侵害が起きることが予想される。
　マイナポータルの運用について、法律を整備する考えはないか。　

（デジタル庁の回答）

　民間事業者がマイナポータルの機能を利用できるよう、APIという形で機能を開発提供している。APIは行政サービスの一環として行っているもので、行政機関から本人に提供された情報を自己の意思で民間事業者に提供するもの。
　法令上、具体的な根拠があるものではないが、番号法附則6条で国民の利便性向上をはかる観点から民間の活用の支援についてサービスを提供することが規定されているので、それをふまえて提供している。
　API提供は民間事業者が誰でも使えるものではなく、利用規約を定め、事業者からの申請にもとづいてサービスが正しいものか判断し、システム上の安全措置等を講じて、個人情報が民間事業者で適切に取り扱っていただくよう行っている。適切な運用が行われていると承知しているので、法令の整備は現時点では考えていない。

　民間とマイナポータルの間の連携が深まることによって不正なアクセスのリスクがあがるかについて。マイナポータルは基本的に「土管」のような役割を果たしており、マイナポータル自体には情報を持っていない。APIを使った情報取得は、いったん民間のアプリに入りそこからマイナポータルを利用して情報をとり、その情報を自分の意思を持って民間のアプリに流す形。
　民間のアプリとマイナポータルの連携が拡大することによって不正アクセスで情報が漏洩するのかという点は、マイナポータルに情報を入れない形にしており、セキュリティ対策をしっかりおこなっており、個人情報の取扱いは厳格に行っていただけるように審査している。　

【回答に対する質疑と会場意見など】

マイナンバー情報総点検について

　一連のトラブルの中で、マイナポイントへの家族等の口座登録やマイナンバーカードの誤交付や別人の顔写真による交付などを点検対象にしていない理由については説明がなかった。
　なお地方自治体におけるマイナンバーの紐付け誤りに関する総点検で、デジタル庁は総点検マニュアルを示している。8月25日に【第1.0版】を示し、最新は【第2.1版】⁵。

マイナンバーを提供しなくても手続きは行われることを確認

　マイナ保険証等のひも付け誤りの対策として申請時のマイナンバー記載義務化が出されているが、マイナンバーの記載を拒んだ場合について、厚労省・総務省と同様に、「記載事項の不備として申請者に補正を求めることになるが、その上でなお申請者が記載しない場合の取扱いについては、一般的には提出を拒むことのみをもって手続きを行わないということはない」という扱いは、今後も変わらないことが確認された。
　デジタル庁が作成中の「横断的マニュアル」でもその扱いは変わることはないとのことだった。　

4情報の照会でマイナンバーを確認できるなら、なぜ記入を求めるのか

　個人番号の利用機関は、住基ネットを管理するJ-LIS（地方公共団体情報システム機構）に照会してマイナンバーを確認することが認められている。私たちは4情報で照会しても住所などの記載の「揺れ」で本人特定できない場合もあるのではないかとたずねたが、デジタル庁も総務省も4情報（氏名・性別・生年月日・住所）で照会すれば、ひも付け誤りは防げるとの認識だった。
　であれば、なぜマイナンバーの提供を「義務化」するのかについては、「全件をJ-LIS照会にすると、職員が全ての申請にJ-LIS照会を行ってマイナンバーを取得することになり、マイナンバーの目的である行政の効率性の確保が果たされなくなるので、まずは本人から提出いただくことを第一にお願いしている。」との説明がされた。
　しかしマイナンバーの提供を受ける際には、本人確認書類の提出やマイナンバーを記載した書類の管理など現場ではより手間がかかり、効率化に反すると参加者から指摘された。

　なお4情報で個人を特定できるかについては、情報システム学会が10月10日の「マイナンバー制度の問題点と解決策」に関する提言」⁶ で、ひも付け誤りの背景には住所や氏名の表記の揺らぎのために名寄せが困難なことがあり、ひも付けの前に名寄せ基準の統一や氏名のフリガナ表記を整備すべきであったと指摘している。
　政府がひも付け誤りをマイナンバー制度の構造的な問題ととらえずに、「人為的ミス」に責任転嫁して「総点検」するのは、トラブルを利用してマイナンバー記載とマイナンバーカードの提示を押しつけようとする意図があるのではないか。

法的根拠がないままマイナポータルの利用拡大

　政府は今マイナポータルの利用拡大に力を入れているが⁷、利用の法的根拠は番号法制定時の附則しかなく、利用拡大について法律を整備する考えがないことが確認できた。
　附則で想定していた利用は「情報提供等記録開示システム」の名のように、本人に対する自己情報と情報提供記録の開示や行政からのお知らせであり、民間事業者がマイナポータルを通して直接マイナンバー制度から個人情報を入手するような利用ではなかった。
　法的整備が必要ない理由として、マイナポータルは「土管」のようなもので、マイナポータル自体で個人情報を保管していないからと説明された。しかしまさにAPIの仕組みにより、「土管」のようにマイナンバーで管理する個人情報が外部に流れ出てしまうことが問題だ。

　デジタル庁は利用できる民間事業者を規制していることや、セキュリティ対策で不正アクセスを防止しているなどを説明するが、9月20日に個人情報保護委員会はデジタル庁に対して公金受取口座の誤登録について、職員や管理職に「特定個人情報及び保有個人情報の漏えい」であるとの意識が欠如していたなど情報漏洩対策の不備を指摘し、異例の指導をしている⁸。

　またマイナポータルについては、利用者に損害が生じてもデジタル庁はいかなる責任も負担しないとする利用規約が問題となり、2023年1月4日に「デジタル庁の故意又は重過失によるものである場合を除き」が追加されるなどの修正が行われた。

　マイナポータルを利用すれば、マイナンバー制度で管理する行政機関等の保有する税・社会保障等の個人情報にアクセスできる⁹。不正アクセスがあれば「芋づる式」に漏洩する危険があり、その影響は甚大だ。マイナポータルへのアクセスはあくまで本人に限定するとともに、運用について個人情報保護に配慮した法的整備が必要だ。