マイナンバーはいらない

post by nonumber-tom at 2016.8.10 #136
情報連携 学習会報告

7 公的個人認証を使った情報連携の問題点

「マイナンバー(共通番号) 不安だらけの情報連携」学習会報告(8)

原田富弘

 公的個人認証とは、簡単に言うと、電子的な印鑑登録・印鑑証明の仕組みだ。マイナンバー制度の仕組みの一つとしての「本人確認」とは別である。[93-95](94:タイトル下のスライド)

 印鑑登録証明は市町村の自治事務で、印鑑登録証明書(実印の印影)を市町村に登録することで、

  • 1)実印と印鑑登録証の所持者は本人であるとする人格の同一性を確認する手段
  • 2)実印の押捺された文書に印鑑登録証明書を添付することによって、その文書が真正に成立していることを担保する手段

となる。

7-1 公的個人認証(電子証明書)とは何か

 電子証明書とは、電子的に申請などの手続きを行う際に、この印鑑登録の1)、2)を実現するための手段であり、公開鍵暗号方式を利用して電子署名を行い、成りすましや改ざんを防止している。

 民間では2000年5月に、電子署名及び認証業務に関する法律が施行され利用が始まった。行政機関については、2002年12月に住基ネットの利用拡大とともに「電子署名に係る地方公共団体の認証業務に関する法律」が成立し、2004年1月29日 か ら 「 公 的 個 人 認 証 サ ー ビ ス (jPKI:japan Public Key Infrastructure)」が開始した。 発行されるのは署名用電子証明書で、e-Taxなど電子署名で使用し、利用できるのは公的機関のみとなっていた。

▲クリックで拡大/縮小slide 96
▲クリックで拡大/縮小slide 97

 それが2013年5月、番号関連4法の一つの整備法で公的個人認証法が改正され、次の2点が変更された。[96-97]

  • 1) 対象を民間事業者へ拡大(2016年2月12日総務大臣が3社を認定)
  • 2) 利用者証明用電子証明書を新設(ネットでログインする際の本人認証)

 住基ネットとマイナンバー制度と公的個人認証は、そもそも別の制度だ。

 住基ネットは住民基本台帳法を根拠とし、居住関係を公証する制度だ。マイナンバー制度は、情報連携のための制度である。それに対して公的個人認証は、本人であることと文書の真正性を認証するものだ。

 しかし住基ネットと公的個人認証制度は、密接に関連づけられた。電子証明書の失効情報は住基ネットの都道府県保存本人確認情報から提供され確認することになっている。これは市町村が失効確認する仕組みにすれば住基ネットとの関連づけは不要で、公的個人認証法が審議された際には当時の民主党がそのような対案を出している。また電子証明書の格納媒体として、住基カードが指定された。法律的には他の媒体も可能だったが、住基カード普及の意図したためか住基カードしか認められなかった。

 マイナンバー制度では、住基カードに代わり個人番号カードが電子証明書の格納媒体となっているが、総務省令で定める他の媒体も可能であり、現在スマートフォンへの格納が総務省で検討中だ。[98-99]

7-2 総務省のマイキー・プラットフォーム構想

▲クリックで拡大/縮小slide 100

 個人番号カードのポイントカードへの利用として報道されたのが、総務省のマイキー・プラットフォーム構想だ。マイナンバーカードのICチップの中の電子証明書と自治体が利用できる空き領域を「マイキー部分」として利用しようというものだ。[100]

 この空き領域利用は、民間事業者も総務大臣の定めるところにより可能にしており、民間への利用拡大を国は期待している。マイナンバーそのものは法律で利用が限定されているが、国はこの「マイキー部分」についてマイナンバーは使用しないので利用は無限定だと説明し、民間を含めて幅広く普及の鍵にしようとしている。[101]

 総務省は普及に向けて「マイキーくん」というキャラクターを作った。職員が忠犬をイメージしたという。公的個人認証制度の根幹をなす“鍵”を確実・誠実に守るという趣旨だそうだが、マイナンバー・カードを国家の忠犬であることを示す鑑札とイメージしているのではないかと思ってしまう。[102]

▲クリックで拡大/縮小slide 106

 総務省の「マイキープラットフォームによる地域活性化方策検討会」で検討中で仕組みは定かではないが、まずは自治体の各種カードを一本化するマイキー・プラットフォームという自治体の共同システムによるID管理テーブルを作り、自治体のポイントサービスを共同利用に集約し、さらにクレジットカードなどの協力によりポイントで地域支援できるようにするという。この「マイキーID」は公的個人認証を活用して1人1マイキーIDに制限される。[103-106]

 利用は無制限なので、このマイキーID管理テーブルにどのような情報が紐つけられるかわからない。マイキーIDと情報提供ネットワークシステムの機関別符号が紐つけされれば、個人の行動を追跡把握するシステムが生まれる。

7-3 公的個人認証を使った情報連携の問題点

 公的個人認証・電子証明書を使った情報連携の仕組みは検討中で、今後どのような仕組みがどこまで広がるか、見通すことはできない。

7-3-1 電子証明書がマイナンバーの代わりに使われる

▲クリックで拡大/縮小slide 107

 まず問題だと思うのは、マイナンバーに適用される法規制の枠外で広範に利用されるということだ。国は「マイナンバーとは無関係」ということを強調し民間利用を推進しようとしている。しかしマイナンバーカートを使うということの問題(紛失盗難、なりすまし等)だけでなく、電子証明書の発行番号が個人識別コードとなってマイナンバーの代わりに使われることが問題だ。[107]

 もともと電子証明書の有効期間は5年間のため、発行番号も5年毎に変わる。本来この発行番号は電子証明書を特定識別するものであり、個人を識別するものではなかった。しかし発行番号の更新履歴を継続して管理するシステムを作ることで、生涯不変の一人1コードとしてマイナンバーの代わりに使われる。[108] にもかかわらず、マイナンバーに対する法的規制はかからない。

 マイナンバーカードも電子申請書も任意取得で本人が了解して申請して使うものだから、強制付番されるマイナンバーのような規制は不要と考えているのかもしれないが、利用がもし普及すれば、事実上所持が強制されることになる。

7-3-2 電子証明書と「符号」で行われる情報連携への法的規制は曖昧

 第二の問題は、「符号」を使った情報連携についての規制が曖昧なことだ。現状はマイナンバーの利用事務(別表第一)の一部が連携事務(別表第二)になっているが、法的には別表第一以外の事務を別表第ニで規定することも可能だ[109]。番号法制定時の国会審議に国が提出した資料では、マイナンバーを付番しない事務の情報連携が載っていた(情報照会・提供機関B)。マイナンバーと「符号」で行われる情報連携ではマイナンバーに対する法的規制があるが、電子証明書と「符号」で行われる情報連携への法的規制は曖昧だ。[110]

 情報連携で重要なのは、「符号」につながるか否かであり、マイナンバーが使われるか否かではない。

7-3-3 当初のマイナンバー制度の趣旨・説明と相違している

 第三の問題は、この公的個人認証を使ったマイナンバー制度の利用拡大は、当初のマイナンバー制度の趣旨・説明と相違している。「社会保障・税・災害での利用」ではなく、「大綱」や「概要資料」にない利用だ。その全体像が市民に説明されないまま、総務省-自民党主導でなし崩しに既成事実化している。

7-3-4 証明書の発行番号を個人識別・管理手段として情報連携に利用にしようとしている

▲クリックで拡大/縮小slide 108

 第四に、この電子証明書の発行番号を本人識別コードとして使うというのは、電子証明書をつかった本人認証の制度である公的個人認証サービスの趣旨と違う。公的認証の仕組みと無縁の証明書の発行番号を5年間の有効期限を超えて更新を世代管理することによって、生涯追跡可能な唯一無二の個人識別・管理手段として情報連携に利用にしようとしている。

 いままで国が説明してきたのは、マイナンバーと「符号」を使った情報連携だったが、電子証明書の発行番号と「符号」を使った情報連携が広がろうとしている。[108]

7-3-5 最高裁住基ネット「合憲」判決に抵触する疑いがある

 第五として、このようなマイナンバーカードを使った情報連携は、最高裁住基ネット「合憲」判決に抵触する疑いがある。住基ネットを違憲とした平成18年11月30日の大阪高裁判決は、その理由の一つとして住基カードを使用した記録が行政機関のコンピュータに残り名寄せされて利用される危険を指摘した。これを否定した平成20年3月6日の最高裁判決では、「システム上,住基カード内に記録された住民票コード等の本人確認情報が行政サービスを提供した行政機関のコンピュータに残る仕組みになっているというような事情はうかがわれない」と判断して住基ネットを合憲としている。[111]

 しかしマイナンバーカードの電子証明書を情報提供ネットワークシステムの「符号」と結び付け、その使用の記録を個人識別可能な形で蓄積していけば、個人の動態(どこで何をしているか)を把握し名寄せして利用することが可能になる。