社会保障・税の番号制度、名寄せについての整理からわかること

社会保障・税の番号制度、ユースケースが重要とされる理由では、いただいた質問にお返事し切れなかった部分がありました。その続きとして、今回は「名寄せ」について整理しておきたいと思います。

●名寄せの分類

名寄せを組織や分野に着目して整理すると、次のようになります。

1 同一組織内の同一分野における名寄せ
2 同一組織内の分野を超えた名寄せ
3 組織を超えた同一分野における名寄せ
4 組織も分野も超えた名寄せ

1の「同一組織内の同一分野における名寄せ」については、あまり反対する人はいないと思います。

2の「同一組織内の分野を超えた名寄せ」となると、ちょっと微妙です。社内の事務全般を「社員番号」で管理するのは普通ですが、市町村内の全分野を共通の「住民番号」で名寄せできると、不快に感じる人がいるかもしれません。同一市町村内の名寄せは納得できても、総務省内での分野横断的な検索・名寄せとなるとダメと言う人もいるでしょう。

3の「組織を超えた同一分野における名寄せ」は、例として「納税者番号」や「社会保障番号」による名寄せがあります。これは様々な理由から「追跡されたくない」と嫌がる人がいるでしょう。

4の「組織も分野も超えた名寄せ」は、現在検討されている「社会保障・税の共通番号」による名寄せがその一例です。ここまで来ると反対勢力も増えてきますが、「納税者番号」は嫌だけど「社会保障・税の共通番号」なら良いといった意見もあります。番号制度の目的や背景によって印象も変わるようですね。この「組織も分野も超えた名寄せ」が組織や分野を拡大していくと、完全な「共通番号制度」となり「フラットモデル」となります。

●名寄せに対して「情報連携基盤」ができること

政府が検討している「情報連携基盤」は、リンクコードを組織(情報保有機関)ごとに付するようなので、3と4の名寄せは防ぐ(勝手な名寄せをさせない)ことができますが、1と2の名寄せについては防ぐことができません。

これに対してオーストリアのセクトラルモデルは、ssPIN(日本で言えばリンクコード)を分野ごとに付するので、2と4の名寄せは防ぐ(勝手な名寄せをさせない)ことができますが、1と3の名寄せについては防ぐことができません。

このように、「情報連携基盤」は全ての名寄せに対応するものではなく、「同一組織内の同一分野における名寄せ」や「同一組織内の分野を超えた名寄せ」については認めていると言えます。

つまり、「組織を超えた同一分野における名寄せ」や「組織も分野も超えた名寄せ」を防ぎつつ、組織間の情報連携(データのやり取り)を実現させることで、「同一組織内の同一分野における名寄せ」や「同一組織内の分野を超えた名寄せ」ができる状態に持っていくのが「情報連携基盤」の役割と言えます。

●「情報連携基盤」は、「名寄せ監視システム」ではない

「情報連携基盤」の機能は、あくまでも「情報連携」です。さらに、取り扱うことができる情報は「電子化されていてネットワーク上で流通させることができるもの」に限られます。

つまり、「紙文書の情報や磁気ディスク等に保存されている電子データ」については、「情報連携基盤」では「情報連携」できないし、「名寄せを防ぐこと」もできないのです。

さらに、政府が検討する「情報連携基盤」では、オーストリアのセクトラルモデルのように「不可逆暗号を採用する」「ソースPIN(IDコード)はICカードのみに保存される」といった技術的な措置がなされていないため、「情報連携基盤」と「情報保有機関」の結託を防ぐ手立てが「第三者機関による監督」に大きく依存しています。

第三者機関は「情報保有機関」とはなり得ませんが、行政機関であることには変わらず、結局は「行政機関とそこで働く公務員を信頼してください」という話になります。しかも、日本で検討されている第三者機関はスモールスタートとなる可能性が高く、オーストリアのデータ保護委員会と同等の権限を持つとは考えにくいので、「ちゃんと監督できるのかな」といった不安が残ります。

ですから、「情報連携基盤」に「名寄せの監視」について過度な期待することは、あまり得策ではありません。肝心な「情報連携」についても、「電子化されていてネットワーク上で流通させることができるもの」限定なので、「どこまで利用してもらえるのか」と疑問に感じることが多いのです。

●名寄せに対する二つの考え方

名寄せに対しては、二通りの考え方があると思います。

一つは、「名寄せはけしからん!どうせ勝手な名寄せをするんだろう。安易に名寄せできないようにしてやる!」という、名寄せに対してちょっと意地悪な考え方です。

もう一つは、「名寄せ、大いにけっこう!業務に必要ならどんどんやりましょう。名寄せがしやすい効率的な仕組みも作りましょう。ただし、名寄せ行為については全て記録して監視・追跡しちゃうぞ!」という「名寄せ、素敵!」みたいな考え方です。

これはもう思想・哲学の話と思いますので、どっちが良いとか悪いとかではないでしょう。

個人的には、「名寄せ、素敵!」で良いと考えています。本当は、この辺りに政治的なリーダーシップと決断を期待していたのですが。。

「社会保障・税の共通番号」は、まさに「名寄せ、素敵!」の考え方で導入するものと思っていたのですが、どうも「安易に名寄せできないようにしてやる!」みたいな考え方が強くなっているような気がします。それだったら、大変な手間と費用をかけて共通番号を導入する意味がないだろうに…と思ってしまいます。

●勝手な名寄せを防ぐには

勝手な名寄せ(恣意的な名寄せ、法令に基づかない名寄せ等)を防ぐための方策についても整理しておきましょう。データベース管理の基本要件に従った措置が中心となるので、あまり難しく考える必要はありません。政府機関の情報セキュリティ対策のための統一基準第4版(PDF)なども参考になりますね。

(1)名寄せの根拠を整理

まずは、社会保障・税の番号制度、ユースケースが重要とされる理由で触れたように、「法令で許される名寄せ」についての整理(仕分け)が必要です。

「根拠も無く慣習的に行われている名寄せ」については、やはり必要だと判断されれば「法令で許される名寄せ」に格上げします。必要性に乏しく無くなっても特に問題ないと判断されれば「今後は名寄せしてはいけません」として業務の見直し等を行います。この「名寄せの仕分け」には、データ保護を取り扱う第三者機関が関与することが望ましいですね。

(2)権限の確認

「オンラインかオフラインか」「電子データか紙文書か」に関係なく、法令上「名寄せを許された人か」「目的は適法か」などを確認する仕組みが必要になります。

コンピュータの話で言えば、いわゆる「アクセス制御」のことで、「認証・認可」といった言葉が使われます。紙文書で言えば、「文書保管庫への出入りをチェックする」といったものです。公務員用のID(識別コード)を活用すると良いですね。

(3)名寄せ行為の記録

「名寄せ行為の記録」は、「(4)監査」で特に必要となるものです。「権限の確認」から「どのデータを名寄せして」「どんな業務に使ったか」など一連の行為を記録しておきます。

コンピュータの話で言えば「ログの記録」、紙文書で言えば「閲覧等の申請書への記入・保存」「業務における決裁文書等の作成・保存」などです。記録した内容については、改ざん防止や長期保存等の措置を行い、適切な保存期間を定めて、必要な時に容易に追跡・確認できるようにしておきます。

(4)名寄せの監査

監査については、費用対効果を考慮しながら「業務監査とシステム監査」「内部監査と外部監査」などを上手く使い分けると良いでしょう。「名寄せのためだけの監査」は非効率的ですから、既存の監査の中に組み込むのが良いですね。もちろん、第三者機関の関与は欠かせません。

(5)PDCAの実施

(1)の「名寄せの根拠」については、時代の変化と共に社会のニーズも変わりますので、PDCAサイクルを回しながら、定期的な見直しが必要となります。その結果、名寄せが許される範囲が拡大するかもしれませんし、逆に縮小されるかもしれません。

「権限の確認」「名寄せ行為の記録」「名寄せの監査」についても、より効率的・効果的な実施を目指して、新しい手法等を検討していく必要があるでしょう。

●フラットモデルの国から学べること

フラットモデルの国は、「行政機関による情報共有や名寄せは当たり前」の世界なので、「名寄せとの上手な付き合い方」も心得ています。日本にとっても学べることが多いでしょう。

「電子化されていてネットワーク上で流通させることができるデータ」については、エストニアのX-Roadのように「権限の確認」や「名寄せ行為の記録」を一つの情報システムに関係機関が参加して行うものもあれば、デンマークのように各行政機関同士による個別対応で済ませる場合があります。4情報のような住民の基本情報については、関連機関の情報システムと同期するようにします。ちなみに、エストニアのX-Roadは、既存の普及している技術(枯れた技術?)を使って、日本円にして数億円ほどで構築されました。

これとは別に、紙文書を極力減らし、「電子化されていてネットワーク上で流通させることができるデータ」が主となるような仕組みも作っています。例えば、エストニアのThe Electronic Document Exchange Centre (DEC)やデンマークのDigitalise’r.dkなどにより、異なる組織や情報システム間における電子データの交換・利用を支援・促進しています。もちろん、これらを支える法制度も充実しています。「電子化されていてネットワーク上で流通させることができるデータ」が主となることで、名寄せのチェックもより効率的に行えるようになるでしょう。

関連>>Universal Electronic Signatures

日本における番号制度でも、せっかく「情報連携基盤」を使って他の組織からもらったデータが、実は「こちらの組織の情報システムでは読めませんでした」なんてことが無いように。。この辺りは、今後詳しく検討されていくのだと思います。