マイナンバーカードの成りすまし発行の責任は政府にある

マイナンバー制度で、成りすましを許すことは、制度の信頼性を失うことになります。特にマイナンバーカード(個人番号カード)の発行については、安易な本人確認による成りすまし交付を許してはいけません。
 
成りすましできる状態で、マイナンバーやマイナンバーカードの利用範囲を広げることは、絶対にしてはいけません。
 
それでは、成りすましのリスクを最小化するためには、何をするべきなのでしょうか。
 
一番大切なのは、マイナンバーカードの提示を受けて、写真を含むカードの券面事項等を信頼したけれど、後で成りすましによるマイナンバーカードだったと分かった場合、カードの発行主体である政府が(自治体ではなく国として)責任を取ることです。つまり、成りすましマイナンバーカードによる被害については、政府が保証するということです。
 
次に、身元証明や身分証明書を法制度として確立した上で、身分証明書の発行とその履歴について、政府が記録・管理し、必要に応じて参照できるようにします。もちろん、マイナンバーを本人の識別子として使います。
 
例えば、法的に認められる身分証明書を、マイナンバーカードとパスポートの2つに限定した上で、写真を含む券面事項・記録事項の履歴をデータベース化します。こうしておくと、途中で顔写真が変わると、すぐに成りすましがバレてしまいます。なりすましで運転免許証の交付を受けようとしても、この身分証明書データベースを事前に参照すれば、成りすましを防止することができます。
 
現在の日本は、こうした身元証明に関する「信頼の起点」が存在しないのです。
 
自己申告による戸籍の信頼性が低下しているのは、言うまでもありません。
 

 
AKB握手券「複数ほしい」→なりすまし住基カード取得 京都の男書類送検 財布落とし発覚
同居する兄(32)の保険証などを無断で利用し、山科区役所で住基カードを申請。自分の写真が付いたカードを不正に取得したと。住基カードの不正取得(成りすまし)は毎年何件か起きていますが、この記事にあるように偶然に発覚するケースが多いです。つまり、不正取得が発覚しないまま、けっこうな枚数の住基カードが流通・利用されている可能性が高いのですね。
 
これはマイナンバーカードでも同じことが言えるので、カード発行時の本人確認の抜け道(けっこうある)を見直す、写真付き公的身分証明書の発行に関するデータベースを構築するなど、いくつかの改善が必要でしょう。
 
ちなみに、私がエストニアのeレジデンシーカードを交付してもらう際には、大使館での面接と指紋登録を行いました。 
 
マイナンバーカードも不正取得可能 「本人確認の精度を高めるべき」と専門家
本人確認の手続きを強化すれば、運転免許証といった、顔写真入りの身分証を持たない人への交付が難しくなる恐れもある。このため、自治体関係者は「安易に取得のハードルを高くすべきではない」と話す。身元証明・身分証明書を制度として確立してこなかったツケが回ってきたのですから、マイナンバーカードの信頼性を高めたければ、本人確認の抜け道は放置するべきではありません。抜け道を許すのであれば、政府は安易に「マイナンバーカードは信頼できる身分証明書」などと言ってはいけないのです。そうした行為は、マイナンバー制度そのものの信頼性を低下させることになります。
 
年金番号を不正入手、健康保険証詐取…2人逮捕
男らは名義人がホームレスなどの年金未加入者であると装い、架空の人物名義で健康保険証の交付を申請していたが、年金機構は本人確認を行わず、不正を見抜けなかったと。
 
保険証情報10万人超流出 厚労省調査 詐欺など悪用の恐れ
「保険証番号とともに氏名や住所などが分かると保険証が再発行できる場合があり、本人に成り済まして借金するなどの悪用が可能になる」とありますが、そうした運用実態こそ問題と思うのですが。。
関連>>6月17日に公表した全国健康保険協会の4台の職員端末の外部との不審な通信に関する事実確認結果と情報セキュリティ等の強化策について
 

 
記者が開示請求を体験 自分の個人情報 使われ方は?
毎日新聞2016年2月1日 東京朝刊
Tポイントカード、自己に係る住民票等交付申請書の写し、運転免許証の3つについて開示を請求。元エストニア経済通信省幹部・ラウルさんのコメントもあり、「政治家はあまり信頼されていないけれど、電子技術は信頼されています」と。捜査機関からのアクセスに関する情報開示はエストニアでも慎重ですが、起訴後の情報開示は徹底しています。
 
堺・個人情報流出 懲戒免職の元職員、不服申し立てへ /大阪
元課長補佐は「反省しているが処分理由に誤りがある」と。全有権者約68万人の個人情報を持ち出せること自体がアウトですが、持ち出した時点で解雇、外部に流出したら刑事責任を追及できるような法制度を国として整備しないとダメですね。
 
JUMP・「個人情報保護法改正に伴う遺伝情報の取り扱いに関する提言」説明会
平成28年1月12日 日本ユーザビリティ医療情報化推進協議会
「個人識別符号」と「要配慮個人情報」にゲノム情報ないし遺伝情報が含まれるか否かの問題について。改正個人情報の内容が難しいので、今回の提言内容を理解するのも難しいでしょう。特定の個人を識別できない情報であれば、個人識別符号にも個人情報にも該当しないわけですが、少なくとも現時点では、個別に判断していくしかないですよね。
しかし、「個人識別符号」や「特定個人情報」など、日本は物事を複雑にするのはホントに得意です。。
関連>>個人情報保護法改正に伴う遺伝情報の取り扱いに関する提言
ゲノムは「個人情報」、政令に明記へ ルール明確化 
個人情報の保護に関する法律 平成二十七年九月九日法律第六十五号(一部未施行)
この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一  特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの
二  個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの
この法律において「要配慮個人情報」とは、本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報をいう。
 
Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) 
Recommendations of the National Institute of Standards and Technology
PII is ―any information about an individual maintained by an agency, including (1) any information that can be used to distinguish or trace an individual‘s identity, such as name, social security number, date and place of birth, mother‘s maiden name, or biometric records; and (2) any other information that is linked or linkable to an individual, such as medical, educational, financial, and employment information.
 
住基ネット 巨額税金消えた2000億円 官民巨大利権受け継ぐマイナンバー
血税1兆円をドブに捨てた「住基ネット」?元祖マイナンバー、あれはいったい何だったのか?
よくある誤解ですが、「住基ネットの効果」と「住基カードの効果」は全くの別物です。住基ネットの効果は、全国の関自治体や住民など一律に広くもたらされています。他方、住基カードの効果はその保有者のみ受けることができます。つまり、「住基ネット=公共インフラ」ですが、住基カードは発行枚数が増えず公共インフラとなることができなかったのです。ちなみ、住基ネットはマイナンバー制度の開始に伴い、利用範囲が大幅に拡大して、公共インフラとしての地位と効果が強化されました。
住基ネットの問題は、透明性が極端に低く、監査結果なども非公開になっていることでしょう。エストニアのXロードとは対照的です。
 
医療ビッグデータ・コンソーシアム 政策提言2015
2015年12月14日
医療ビッグデータ(医療DB:データベース)を、「電子カルテデータ、レセプトデータ、DPCデータ、特定健診データおよびゲノムなどの分子生物学的データ等、ヒトの健康情報に関するデータを大規模に集積したデータ」とした上で、
医療ビッグデータを「つなぐ」ことで実現する<健康寿命の延伸> 
医療ビッグデータを「活かす」ことで実現する<医学・医療の技術革新>
医療ビッグデータを「つなぐ」「活かす」ことで日本を「変える」 
個人情報の保護に充分に配慮しながら、マイナンバーもしくは医療等IDといった個人を識別するIDと、医療DBの標準仕様への準拠を加速させる施策の導入により、独立に構築された医療DBでも連結可能を容易にする環境を整備すると。 
しかし、初めから医療情報を含む個人識別番号が整備されている中でデータベースを整備・構築していった国(北欧やエストニア等)に、日本のような共通識別子という概念を持たずにデータベースを整備・構築してきた日本が追いつくのは、もはや無理なのではないかと思うようになりました。
 
2016年は高齢化対策の年に(山本一郎) 
この問題から浮き彫りになるのは、日本社会がゆっくり衰退していくなかでの「生活水準の切り下げ」が、まず社会のもっとも弱い輪である高齢者貧困層や、片親層を直撃していることです。貧しくてもやっていける的なミニマリストが理想と言いつつも、目の前に貧困があって将来の展望が描きづらいとき、人は得てして心を病み、結構簡単に死を選んでしまうという現実があるのでしょう。そして、政府に金がなければそういう弱者に救いの手を差し伸べる予算さえもなくなってしまうのが現実ですと。
 
電子証明書に格納された属性情報の信頼性と利用に関するガイドライン
平成27年12月25日 電子認証局会議 属性ガイドライン検討会
属性情報の法的意義・審査方法・利用用途例では、属性名称、資格の種類、提出を求める書類、属性情報を審査する方法などを整理。
 
「マイナンバー」って何のために始まるの? 担当補佐官の楠正憲氏にメリットを聞いてみた
マイナンバー制度を導入することで間違いが起こりにくいようにして、これまで書面でやっていた各関係機関や自治体間の連携も規定の仕組みに則り、確実に記録が残るような形にしていきましょう、ということが主な趣旨ですと。さすがにわかりやすい解説ですね。一般市民が利便性を感じられるのは、2-3年後ぐらいでしょうか。
 
個人番号カード及び住民基本台帳カードに関する重要なお知らせ|e-Tax
e-Taxで申告手続等を行うために個人番号カードの交付申請を予定されている方は、個人番号カードの発行状況が、地方公共団体情報システム機構(J-LIS)が提供している個人番号カード総合サイト「個人番号カード交付申請『交付申請書の受領時期と市区町村に発送のために郵便局に差し出す時期』」(外部リンク)に掲載されていますので、ご確認ください。なお、個人番号カードの交付が申告等の期限に間に合わない場合には、申告書等を書面によりご提出ください。
 
 
情報漏洩の「逃げ得」を許すな
組織のルール違反を放置する経営者やトップは情報流出や漏洩の責任を免れないと。これは、ホントに徹底して欲しいです。
 
社員半減の日立ソリューションズが運動会に注力するワケ
日立製作所の矢野和男氏による「データの見えざる手: ウエアラブルセンサが明かす人間・組織・社会の法則」でも、社内運動会の有効性(従業員の生産性向上に影響が大きい要素)について触れていましたね。
 
[横浜市]オープンイノベーションの基盤づくりを推進
長谷川孝 横浜市 政策局政策調整担当理事
課題解決の資金調達にクラウドファンディングも活用。単に情報を公開するだけでなく、オープンイノベーションを起こしていくことが最終的な目的と。横浜市には今年も注目です。
 
EU、個人情報移転の新協定で米と合意 混乱ひとまず回避 : 日本経済新聞
新協定では米国の公的機関による無差別で大規模な個人データの監視を禁じ、米欧双方の当局による年次点検制度を導入して約束通り運用されているかをチェックすると。
 
LRMがクラウド上の個人情報管理規格「ISO27018」認証取得支援サービス開始
既にISO27018の認証を取得したことを公表しているのは、米ドロップボックスや米マイクロソフト、日本で税理士向けクラウドサービスを提供するTKCなどまだ少数と。2016年は、個人情報保護ビジネスの飛躍の年になりそうです。
関連>>ISO/IEC 29100:2011 
板倉陽一郎弁護士が指南、「改正個人情報保護法」施行前に行うべき8つの準備事項 |ビジネス+IT
全面施行が予定されているのは2017年で、実質的に残り1年弱の猶予期間しかないと。
 
APEC域内の国境を越える個人情報の保護に認証が与えられるようになります
平成28年1月25日 経済産業省
JIPDECがAPEC域内における企業等の国境を越えて移転する個人情報を、APECプライバシー原則に適合していると認証できるようになりました。
 
第4回 ゲノム情報を用いた医療等の実用化推進タスクフォース
平成28年1月27日
ゲノム関連施策、医療における遺伝子関連検査、消費者向け遺伝子検査ビジネス、日本人類遺伝学会「一般市民を対象とした遺伝子検査に関する見解」、日本医学会臨床部会運営委員会「遺伝子・健康・社会検討委員会「拡がる遺伝子検査市場への重大な懸念表明」」など。改正個人情報保護法におけるゲノムデータ等の取扱いについて(意見とりまとめ)では、内閣官房IT総合戦略室が、「ゲノムデータ」の位置づけについては、個人識別符号に該当するものと考えることが妥当であると説明しています。
基本的には「ゲノム情報」は個人識別符号であり要配慮個人情報であるとしつつ、「ゲノム情報」であっても 「特定の個人を識別することができない=個人情報ではない」場合がある、という感じでしょうか。
 
改正個人情報保護法等を踏まえたプライバシー保護検討タスクフォース(第2回)
平成27年12月18日 総務省
事業者団体へのアンケート結果、位置情報に関するプライバシーの適切な保護と社会的利用の両立に向けた調査研究、匿名加工情報の利活用に向けて(ニフティ株式会社)、電気通信事業分野ガイドラインに係る検討など
 
マイナンバー「カード管理システム」で6回の障害、入り口でつまずき、監視強化以外に打つ手なし
窓口での混乱を未然に回避するため、カード交付スケジュールを見直す自治体も出ていると。
 
迷走する「民泊」、解禁ではなく規制強化?
欧米諸国では、国レベルで民泊を禁止してはおらず、自治体レベルでも「一定の条件のもと規制しない」、つまり法の網から外すというのが世界的な趨勢となっている。厚労省の動きは、民泊という市場も自らの蚊帳の内(=旅館業法)に収め、既得権益化しようとしていると。