つぶやき電子政府情報(2014年9月14日):朝日新聞のマイナンバー制度の記事には補足説明が必要
【マイナンバー制】子供を狙う「ID泥棒」 気づけば借金1億6千万円に アメリカ
何かと話題の朝日新聞ですが、こちらも記事も、マイナンバー制度について誤解を招くと、あまり評判が良くないようです。米国の社会保障番号(SSN)については、以前に解説した通りですが、朝日新聞の記事は、確かに読者の誤解を招く内容と私も感じました。
関連ブログ>>米国の社会保障番号(SSN)から学ぶ番号制度
http://blog.goo.ne.jp/egovblog/e/5c17cfb0882e197be8730704a394da33
特に、あたかも、他人の社会保障番号を入手すれば、その他人に成りすまして銀行口座の開設やクレジットカードの契約ができるような記述は、公平なものではありません。
「ID盗用(ID窃盗、ID泥棒、ID詐欺、ID偽装)」は、社会保障番号やマイナンバー等の個人を識別する「番号泥棒」ではなく、「Identity Theft」のことです。「Identity Theft」とは、わかりやすく言えば、「個人情報盗用」のことで、個人情報を入手(不正な手段に限らない)し、入手した個人情報を悪用して、あたかも本人のように成りすまして詐欺的行為等を働くことです。
参考>>Identity Theft And Your Social Security Number(PDF)(米国社会保険庁)
具体的には、
・住基カードを不正取得し、他人に成りすまして消費者金融でお金を借りる。
・IDとパスワードを盗んで会員専用サイトにログインして、ポイントを金券に換える。
・LINEのアカウントを乗っ取って、連絡先にある友人に「iTunesカード」を買わせる。
・警察の追跡から逃れるために、他人の戸籍を買い取り、別人としての人生を送る。
などが、「Identity Theft」の例と言えるでしょう。
米国の社会保障番号も、日本のマイナンバーも、個人情報の一種ですが、それ自体は単なる番号ですから、何か悪いことができるものではありません。他の個人情報や偽造・不正取得した身分証明書などとセットで使わないと、他人に成りすますことは難しいからです。
つまり、「ID盗用」が成立するためには、基本的には
1 目的を達成するために必要な複数の個人情報を入手すること
2 身分証明書やパスワード等(本人であることを示すもの、クレデンシャル)を偽造・不正入手すること
の2つが必要になります。「社会保障番号やマイナンバーの取得」は、上記1の条件を満たすための一つの要素でしかありません。
米国では、1974年に連邦プライバシー法を制定し、「社会保障番号の不提示を理由に、個人の権利や給付を拒否することは違法」としましたが、民間利用は対象外となっています。つまり、年々厳しくなっているものの、多くの民間企業にとって、社会保障番号を入手・利用しやすい環境にあるのです。
身分証明書については、テロリスト対策として「REAL ID」の制度があります。
運転免許証などの身分証明書の作成・発行について、最低限守るべき基準を法律で定めて、その基準に従って州政府等が身分証明書を発行するというものです。
参考>>What is REAL ID? (米国国土安全保障省)
このように、米国でも社会保障番号の利用や本人確認について、一定の措置は取っているものの、強制性に欠けるので、あまり実効力は期待できないように思います。
「Identity Theft」を本気で撲滅したければ、様々な日常の場面で、法令に定められた基準と方法により、本人確認を行う(義務化する)必要が出てきます。しかし、移民による不法就労問題など、厳格な本人確認をしづらい国内事情もあるので、今後も米国の「Identity Theft」は増え続けることでしょう。
参考>>米アリゾナ州の不法移民取り締まり法、連邦地裁が差し止め(ロイター 2010年7月29日)
日本のマイナンバー制度では、番号の取得・管理・利用等について厳しい制限があり、他人の番号の取得にあたっては本人確認が義務付けられています。米国との違いについても、内閣官房から、次のような回答が出ています。
参考>>社会保障・税番号制度とは > よくある質問(FAQ)(内閣官房)
Q5-3 アメリカや韓国のように、成りすましが多発することはないのですか?
A5-3 海外の成りすましの事案は、番号のみでの本人確認や、番号に利用制限がなかったこと等が影響したと考えられるため、日本の番号制度では、厳格な本人確認の義務付けや、利用範囲の法律での限定などの措置を講じています。
また、犯罪収益移転防止法や携帯電話不正利用防止法などにより、法律で定められた業種や取引については、厳格な本人確認が義務付けられています。戸籍や住民票の手続でも、同様です。
ですから、適切な本人確認をしないまま(番号だけで)、クレジットカードを新規発行して、朝日新聞の記事にあるようなことが起きれば、クレジット会社が刑事・民事責任を負わされることになります。
参考>>犯罪収益移転防止対策室(JAFIC)警察庁
携帯電話の犯罪利用の防止 総務省
では、日本のマイナンバー制度が万全かと言えば、そういうわけでもありません。
個人的に問題がある考えるのは、「公的な身分証明書の不正取得」についてです。
運転免許証もマイナンバー制度の個人番号カードも、ICチップが付いて「偽造」は難しいのですが、他人に成りすまして正規の手続を経て取得することは、それほど難しいことではありません。実際、個人番号カードに引き継がれることになっている住基カードでは、毎年何件かは成りすまし取得が発覚しています。発覚していないを含めると、「年に何件か」では済まないでしょう。
「Identity Theft」では、昔話の「わらしべ長者」みたいなことが起こります。ワラから物々交換を重ねて、最後はお屋敷を入手できるように、不正取得や偽造が容易な本人確認書類から始めて、より取得や偽造が困難で信頼性の高い身分証明書へとステップアップしていくのです。
その意味では、日本人の身分証明書の発行における信頼の起点となる、「戸籍」や「住民票」の信頼性の維持・向上について、そのデータベースの管理方法も含めて、見直すようになってくれることを願います。
最後に、最近のナイジェリアの市民IDカードについての記事を紹介しておきます。
MasterCard-backed biometric ID system launched in Nigeria
ナイジェリアで配布が始まった市民IDカードは、多機能型のバイオメトリクス(生体情報)IDカードで、クレジットカード機能(マスターカード)まで付いてくると。市民IDカードの取得にあたり、16歳以上のナイジェリア人は、10指紋、顔写真、虹彩キャプチャを提供するようです。10年前には反対されて実現できなかった施策だそうで、その辺りは、日本のマイナンバー制度に通じるものがあります。記事でははっきりしませんが、エストニアのように、運転免許や 健康保険証としても使えそうです。将来的にはパスポートでも使えるようにしたいと。2019年までに全国民の取得が義務付けられており、人口にもよります が、IDカードの全員配布には5年ぐらい時間をかけるのが一般的と言えるでしょう。
関連>>「生体認証+クレジットカード」の国民IDカード、ナイジェリアで開始
http://wired.jp/2014/09/05/mastercard-backed-biometric-id-system-launched-in-nigeria/
第171回 消費者委員会本会議 2014年9月9日
不招請勧誘禁止規制に関するヒアリング、個人情報保護について。いわゆる名簿屋等に関する今後検討すべき課題についての意見案が出ています。動画配信あり。
関連>>ベネッセ事件の再発防止なるか、消費者委が個人データ受領側企業に届け出義務
事業者同士が本人の同意なしに個人データをやり取りする場合、データの提供側に加えて受領側の事業者に対しても、個人情報保護保護法の改正で発足する専門の第三者機関への届け出義務などを課すよう求め、保有個人データの取得手段や取得元、提供先の公表を義務付けるなどの「個人データのトレーサビリティの確保」も提案したと。
ベネッセの再発防止策は正攻法か、奇策か
健康・医療戦略推進本部(第三回) 平成26年8月29日(持ち回り開催)
平成27年度 医療分野の研究開発関連予算要求について。オールジャパンでの医薬品創出・医療機器開発、革新的医療技術創出拠点プロジェクト(臨床研究・治験)、再生医療の実現化ハイウェイ構想、疾病克服に向けたゲノム医療実現化プロジェクト、ジャパン・キャンサーリサーチ・プロジェクト、脳とこころの健康大国実現プロジェクト、新興・再興感染症制御プロジェクト、難病克服プロジェクトなど。
関連>>第7回 健康・医療戦略推進会議 平成26年8月25日
平成27年度 医療分野の研究開発関連予算要求、次世代医療機器開発推進協議会の開催など。
厚労省検討会、医療・介護の総合確保方針を了承
2015年度後半にも各都道府県が策定を開始する地域医療ビジョンに関して、「地域医療構想策定ガイドライン等に関する検討会」を立ち上げ、9月18日に初会合を開く方針。
関連>>第1回地域医療構想策定ガイドライン等に関する検討会
平成26年9月18日に第一回が開催。
ドイツのグーグル恐怖症
グーグルが提供するサービスはドイツで人気が高いが(オンライン検索市場における同社のシェアは91%)、グーグルという企業そのものは、すべて――個人データ、知的財産権、業界、果ては民主主義までも――を飲み込もうとするデジタル界の「暴食家」と見られている。グーグル叩きには政治的な側面もあると。EUのデータ保護指令・規則も「人権保護」と同時に、サイバー戦略における領土問題の側面が強いですね。戦略や交渉力の無いままに日本国内の個人情報保護法制をいじっても、何だかんだ注文付けられて越境データ問題で不利な条件を押しつけられるだけでしょう。
「特定個人情報保護評価書(全項目評価書)(案)」に対する意見募集について
国税庁が、保有する特定個人情報ファイル(納税者情報管理特定個人情報、所得税・消費税特定個人情報、資産税特定個人情報など)についての、「特定個人情報保護評価書(全項目評価書)(案)」を公表。「租税に関する法律に基づく犯則事件の調査により取得した特定個人情報ファイル」については、法令に従って一部を非公示としています。
特定個人情報保護評価は、自己評価の結果を踏まえて、組織として「個人のプライバシー等の権利利益の保護の宣言」をするもので、国民に対する約束のようなものですね。
評価書を読み解くことで、マイナンバー制度における各役所の狙いや考え方を再確認できますが、国税庁の一番の特徴は、特定個人情報の入手経路として「情報提供ネットワークシステム」を使わないことでしょうか。国税電子申告・納税特定個人情報ファイルの場合、特定個人情報ファイルの記録項目は794項目ですが、資産税特定個人情報ファイルでは、実に2000項目にも及びます。
過去3年以内に発生している個人情報に関する重大事故を見ても、マイナンバーを含む特定個人情報の漏洩・紛失は避けられません。法令で取得や用途を厳格に制限しているのですから、マイナンバーの過剰保護は止めた方が良いでしょう。
関連>>マイナンバーの過剰保護が生み出す高コスト化と国民負担
行政手続における特定の個人を識別するための番号の利用等に関する法律
第27条第1項(特定個人情報保護評価)
行政機関の長等は、特定個人情報ファイを保有しようとするときは、当該特定個人情報ファイルを保有する前に、特定個人情報保護委員会規則で定めるところにより、次に掲げる事項を評価した結果を記載した書面(評価書)を公示し、広く国民の意見を求めるものとする。当該特定個人情報ファイルについて、特定個人情報保護委員会規則で定める重要な変更を加えようとするときも、同様とする。
特定個人情報保護評価書(全項目評価書)(案)に対する意見募集
2014年9月5日 柏市役所
特定個人情報保護評価書(全項目評価書)については、市民の皆様からの御意見を考慮し、さらに有識者からなる第三者機関の点検を経て、特定個人情報の保護を住民に対して宣言(公表)することになります。そのため、「特定個人情報保護評価書(全項目評価書)(案)」について、市民の皆様からの御意見を募集しますと。評価の対象事務は、住民基本台帳に関する事務と個人住民税の賦課事務。平成26年10月6日まで。
特定個人情報保護評価の良いところは、政府の行政機関や自治体における個人情報やプライバシー保護、情報セキュリティなどの実態が明らかになることです。これまでは、「セキュリティ上の理由で・・・」みたいな曖昧な理由で少なくとも積極的に公開されていなかった情報が入手しやすくなったのは、大変好ましいことです。こうした情報公開は、中長期の視点では、特に自治体で格差が大きいとされるセキュリティレベルの底上げに寄与するでしょう。
業務・システムの刷新の概要 日本年金機構 2014年9月9日
番号制度の対応として、基礎年金番号とマイナンバー(個人番号)の紐付け、番号制度への対応に係る社会保険オンラインシステム全体概要図、個人番号管理システム等の概要、各機能の概要と必要性など。番号制度導入後も、公的年金業務においては、情報を管理するキー情報として基礎年金番号の使用を続けるが、基礎年金番号とマイナンバーを紐付け管理した上で、お客様からの届出や相談の際に提示されたマイナンバーを基に基礎年金番号を特定し、事務処理を行うと。「個人番号管理システム(既存番号とマイナンバーの変換機能を持つ)」は、自治体における「宛名システム」みたいなものですね。
The Rise of Sri Lanka’s e-Government Services
日本政府やITベンダーの電子政府に関するパートナーとして、どこが良いかと問われれば、アジアでは間違いなくスリランカをオススメします。2009年の内戦終結により政情が安定したことで、急速な発展期にあるスリランカでは、電子政府の構築も急務となっています。国内のICT産業も急成長で、海外へのIT輸出の増加も顕著です。国連の電子政府ランキングでは、2012年の115位から2014年には74位と大きく飛躍しました。人口が約2000万人で、国土面積も北海道の約0.8倍と、インフラ整備がしやすい環境にあり、すでに国民番号制度もあります。古くからの親日国であることも知られていますね。
関連>>EGOVKB Country Information Sri Lanka
The Official Website of the Data and Information Unit of the Presidential Secretariat, Sri Lanka
スリランカ民主社会主義共和国 | 外務省
マイナンバー制度セミナー 第2弾 2014年9月19日開催
~マイナンバー制度の概要と企業への影響とその対応について~
富士通主催の、総務・人事部門、経営企画部門、情報システム部門を対象としたマイナンバー制度セミナー。マイナンバー制度の概要、企業への影響とその対応、業務フローの見直し(人事・給与システム改修、個人番号登録等)、 セキュリティの確保(個人情報保護)、人事給与システムに求められるであろう機能要件など。民間部門でも、マイナンバー制度対応の経済効果は大きいですが、制度開始をきっかけとして人事給与システムを新たに導入する企業が増えるかもしれませんね。
今から理解しておくマイナンバー制度講習
社会保険労務士事務所が主催する、一般の会社(個人)も対象にした無料のマイナンバー制度講習。「給与・会計システムを変えなきゃいけないの?」などは、気になる企業も多いでしょう。今後は、社労士さん税理士さんなど、士業によるマイナンバー講習が増えそうです。
平成26年度 社会保障・税番号制度研修の結果について
埼玉県東南部5市1町(草加市、越谷市、八潮市、三郷市、吉川市、松伏町)の担当職員を対象にしたマイナンバー制度の研修結果を報告。講師は、三菱総研の前田由美主席研究員。当日の資料やアンケート結果、議事録がダウンロードできます。マイ・ポータルを活用した「健康データの一元管理」の提案があります。アンケート結果の自由回答には「初めてこのような制度が発足することを知り大変参考になった」といった意見もあります。今後は、ワークショップ形式のような研修があると良いですね。
【言論アリーナ】朝日新聞誤報事件、本当の黒幕は他にいる!?
どの分野にも賠償利権に群がる人はいますが、この件は面白すぎるでしょ。朝日新聞の廃刊はさすがに無いと思っていましたが、社を挙げてのキャンペーンに賠償利権が絡むとなれば、廃刊も十分にあり得ますね。ミイラ取りがミイラになってしまうことは、行政書士時代に周囲でも時々ありました。怖いのは、自分がミイラになったことに本人が気がつかないまま、犯罪に巻き込まれて逮捕・起訴されるというケースでしょうか。ただ、現在は拉致問題の進展など北朝鮮とは微妙な関係にあるので、政府側の対応がどうなるのか気になります。
なぜ欧米人がイスラム過激派と共に戦うのか?
イラクやシリアで活動する外国人戦闘員の実態
シリアにいる外国人戦闘員は、その圧倒的多数をアラブ人が占めるが、英国、ベルギー、デンマークなど欧米諸国の出身者もかなりいると。イスラム国は、「イスラム世界が衰退した過去数世紀の歴史に対するイスラム側の反応が最も過激な形で表れたもの」とありますが、欧米人の参加には「自らのアイデンティティを見出したい」という願望があると。
関連>>次世代見据えるイスラム国、シリア北東部で「国家モデル」構築
GEを理解するためのキーワード
ワークアウト(点検・除去):無意味な会議や稟議、管理から社員を解き放ち、風通しがよく生産性の高い職場を作るための社内活動。バウンダリレス:職階による壁、事業・部署による壁を取り払った組織。ラーニングカルチャー:社内外を問わず優れたアイデアを見つけ、吸収しようとする学習文化。どれも、電子政府に不可欠のものですね。
危なすぎる数字だけのパスワード、JALとANAがユーザー認証を強化
「アナ雪」ならぬ「アナジャル」問題を解説。JALでは、「マイレージ特典交換時のご本人様eメール認証機能」なども追加予定と。この場合、携帯やスマホのメールを登録した方が良いですね。
Important changes to Russian data protection rules
全ての個人データ取扱者は、ロシア人のデータを扱う場合、データベースをロシア国内に設置しなさいと。ロシアの連邦データ保護法にも、欧州のように国外へのデータ移転について制限がありますが、これはさすがに無理がありますね。オンラインで国籍確認なんて、まずできないですし。。落としどころとしては、ロシア国外でデータを管理する場合の規制当局への届出(登録)、本人への通知などでしょうか。
関連>>ロシアのデータ保護規則の重要な変更点
Data protection in Russian Federation: overview
幸せはデータサイエンスでつかむ、米国デートサイト恋愛物語
以前、個人情報の利用に関する調査で、対象とした業種のうち最も多くの個人情報を収集していたのは「結婚相談所」という結果が出てましたが、米国のデート産業では遺伝子解析で相性をみると。ここ10年ぐらいで「遺伝子ビジネス」が様々な分野に拡大しそうですね。
