社会保障・税番号大綱案を読み解く（４）、「番号」で許される名寄せとはの続きです。

今回は、「安心できる番号制度の構築」について考えてみましょう。

●番号制度の目的を見失わない範囲での「安心」を

「安心できる番号制度」の構築は、とても難しい問題です。政府が「番号」を「使えるツール」として考えているのと同じように、「番号」を「悪用する価値があるツール」と考えるのは自然なことです。

しかし、「番号」が民間のデータベース等で使われるとなると、その悪用を防ぐことは至難の業で、抑止するにしても事後対応するにしても限界があります。

大綱では、

『本人の申告による「番号」のみで本人確認が行われていたアメリカや韓国等でも成りすまし等の不正な利用が社会問題化している。』ことから、『本人確認を行う際は、「番号」のみをもって本人確認の手段としない取扱いとする必要がある。』

としています。これは、「成りすまし」に関するものですが、プライバシー問題まで含めると、その対応策が番号制度のメリットに大きく影響を与える可能性もあります。

社会保障・税番号大綱案を読み解く（１）で書いたように、番号制度の導入により、
・国民の給付と負担の公正性、明確性を確保する
・国民の利便性の更なる向上を図ることが可能となる
・行政の効率化・スリム化も可能となる

ことを目指しているのであれば、これら本来の目的と「安心できる番号制度の構築」のバランスを考える必要があります。「安心」を追及するあまり、番号制度の目的が果たせなくなるのであれば、番号制度を導入する意味が無くなってしまいます。いわゆるトレードオフ（一方を追求すると他方が犠牲になるような関係）と言われる考え方です。

例えば、大綱には次のような記述があります。

『仮に、様々な個人情報が、本人の意思による取捨選択と無関係に名寄せされ、結合されると、本人の意図しないところで個人の全体像が勝手に形成されることになるため、個人の自由な自己決定に基づいて行動することが困難となり、ひいては表現の自由といった権利の行使についても抑制的にならざるを得ず（萎縮効果）、民主主義の危機をも招くおそれがあるとの意見があることも看過してはならない。』

ところが、実際には、行政が保有する個人情報は、法令の範囲内であれば「本人の意思による取捨選択と無関係に名寄せされ、結合されて」います。だからと言って、そのことにより「本人の意図しないところで個人の全体像が勝手に形成される」とか「個人の自由な自己決定に基づいて行動することが困難になっている」とまでは言えないでしょう。逆に、本人の意思を尊重し過ぎると、脱税や不正受給等に悪用される可能性もあります。

「番号」を過度に恐れる必要はなく、不正な名寄せやマッチングは「番号」があってもなくても行われるもので、「番号」によりそうしたリスクが特に高まるわけでもありません。住民基本台帳を基礎とした行政機関の個人情報管理ネットワークで書いたように、現在でも、住民票コードや4情報により組織横断的な名寄せやマッチングは、論理的には可能となっているからです。いずれにせよ、リスクはゼロにはなりませんので、上手に付き合っていくことが大切です。

●番号制度への懸念は「番号」の有無に関係なく存在する

大綱では、番号制度に対し、国民の間に生じるのではないかと考え得る懸念を、次の３つに整理しています。

(1) 国家管理への懸念
(2) 個人情報の追跡・突合に対する懸念
(3) 財産その他の被害への懸念

見てわかるとおり、これらの懸念は「番号」の導入で突如発生するものではありません。「番号」があろうと無かろうと、既に存在している懸念です。

例えば、ナチスによる番号管理は有名ですが、番号制度がナチスを作ったと考える人はいないでしょう。もちろん、「番号制度により民主主義が崩壊した」といった事例も聞いたことがありません。各国の状況を見ると、むしろ、番号制度の導入により、番号を国家や民間が悪用しないように政府の運営やプライバシー問題への関心や参加意識が高まっています。日本も、そうした諸外国を見習えば良いのです。

問題となるのは「番号」の導入により、

・これらの懸念（国民の不安）がどれほど高まるのか
・懸念を低減するためには何が必要か
・リスク（具体的な問題や被害が発生する可能性）がどれほど高まるのか
・リスクとどう付き合ったら良いのか

などを考えることでしょう。

例えば、国家管理への懸念では、『国家により個人の様々な個人情報が「番号」をキーに名寄せ・突合されて一元管理されるのではないかといった懸念』としていますが、これは説明不足です。番号制度の導入により、「番号」をキーにした名寄せ・突合は、行政や民間で間違いなく行われます。問題になるのは、「違法な名寄せ・突合」や「勝手な名寄せ・突合」です。

「個人情報の追跡・突合」に対する懸念も同様で、「番号」を用いた個人情報の追跡・名寄せ・突合は、確実に行われます。そのための「番号」なのですから、当然のことです。問題になるのは、「違法な追跡・名寄せ・突合」や「勝手な追跡・名寄せ・突合」です。

「集積・集約された個人情報が外部に漏えいするのではないか」といった懸念は、ちょっと理解が難しいところです。

まず、「分散管理」を前提とするのであれば、個人情報が必要以上に集積・集約されることはありません。また、外部への漏洩は「番号」には関係ない問題です。複数の機関から漏洩した場合でも、「番号」で紐付けられているということは、適法な名寄せ・マッチングは認められている情報なので、名寄せ・マッチングされることで、ただちに重大な被害が発生するわけでもありません。

また、「番号」は変更することができるので、民間機関が不正に情報を取得して名寄せやマッチングを行っても、氏名や住所等の4情報や既存の各種番号（電話番号、基礎年金番号等）と比べて、「番号」が特に脅威となるわけでもありません。

こうして見ると、これまで通りかそれ以上に、個人情報を分散管理して適切な安全措置を実施するという、「番号」導入前と変わらないことを愚直にやっていくしかないように思えます。

●制度上の保護措置とシステム上の安全措置

大綱では、各懸念に対して「制度上の保護措置」と「システム上の安全措置」を整理しています。

ここに書いてあることは、番号制度を導入する多くの国で実施されているものですが、『「番号」を直接用いない情報連携』は、かなり特殊なものです。『「番号」を直接用いない情報連携』は、どちらかと言えば「共通番号」を導入しないで済ませるための措置なので、「番号」との相性はあまり良くありません。

ちょっと強引に津波対策で例えると

防波堤：アクセス制御・暗号化
警報装置：第三者機関
高台への移住：「番号」を直接用いない情報連携

現在の番号制度は、「高台へ移住しておきながら、実際には年の大半を海岸近くで生活している」ような感じで、ちょっと変な状態です。

大綱では、

『番号制度の導入に当たっては、国民が自己情報をコントロールできる仕組みとしつつ、情報漏えい等をしっかりと防ぐ対策を講じるなど、個人情報の保護を図ることが肝要である。番号制度は、こうした取組を行う中で、最小の費用で確実かつ効率的な仕組みとして整備する必要がある。』

としています。番号制度の導入をきっかけとして、国民による自己情報コントロール(限られた空間における一部の情報であれば可能）、情報漏えい対策、個人情報保護などについて、見直し再考されるのは良いことだと思います。