近い将来、インターネットを介したサービスで、ID(識別子)やパスワードの組み合わせでログインする場面が減るかもしれない。
そんな公的な仕組みが登場した。ただし、条件がある。
誰もがマイナンバーカード(個人番号カード)を取得して、日常的に持ち歩いて使ってもらわなければならない。様々な誤解を払拭する必要もある。
2016年1月から利用が始まったマイナンバー制度では、日本に住む全ての一人ひとりに通知カードでマイナンバーを配った。
希望者にはICチップを内蔵したマイナンバーカードを無償で配っている。
マイナンバーカードの所有者が本人だと確認できるように顔写真が必要なので、申請しなければ受け取れない。
マイナンバーカードの申請は、パソコンやスマートフォンでオンライン申請できる。スマホカメラで顔写真を撮影して登録できる。
そのためマイナンバーカードの申請件数は2月9日現在で820万件という。2015年のフィーチャーフォンの出荷台数を上回る数だ。
2016年3月末の配布目標である1000万枚を突破する勢いで、政府は2017年3月までに3000万枚分を配る予算を確保した。
多くの人にとって、マイナンバー制度には面倒な法令対応のイメージしかないかもしれない。しかし実はそれだけではない。
総務大臣の認定を受けた企業は、顧客に既存のIDやパスワードの代わりにマイナンバーカードを使って、ネットでサービスを提供できる。
このやり取りで、マイナンバーは扱わない。一部の企業は既に検討を始めている。
ただ、課題も多い。
申請数が820万件を超えたとはいえ、マイナンバーカードでIDやパスワードを代替するには、日常的に持ち歩いて使われなければならない。
タンスにしまわれては意味がない。
さらに、「マイナンバーにあらゆる個人情報を結び付けるのではないか」という根強い誤解を解く必要がある。そのためにどうすればいいか、本稿では対策を検討したい。
根強い誤解に「別キャラ」で対抗
マイナンバーカードの課題の一つは、誤解があることだ。
最近の新聞にも「一枚のカードに銀行預金やクレジットカード、指紋などの生体認証など、さまざまな個人情報が結び付けられる」と紹介された。
正確には、一枚のカードの内蔵ICチップに様々なサービスのIDを載せて、「カードを所持している事実」によって間違いなく本人だと確認できる手段にするものだ。
個人情報を結び付ける必要はない。マイナンバーカードという名称なのにマイナンバーは使わない。それが誤解を生む大きな原因になっているのは否めない。
マイナンバーカードは、身分証明書として利用できる。
ただし、その場合、企業がカード裏面に記載されたマイナンバーをコピーするのは違法だ。
企業が源泉徴収票に記載するといった行政手続き以外の目的でマイナンバーは使うのは禁じられているからだ。
企業がマイナンバーカードで利用できるのは、内蔵ICチップに搭載された「公的個人認証サービス」(JPKI)と、ICチップの空き領域の部分である。
総務省は、これを「マイキー部分」と読んでいる。
|
しつこいようだが、企業がこの機能を利用する際にマイナンバーは使わない。 |
「失効確認」を民間開放
公的個人認証は、もともと住民基本台帳カード(住基カード)で国税電子申告・納税システム(e-Tax)を利用する際に使われてきた。
マイナンバーカードの公的個人認証は、住基カードにあった機能を拡張した。
PKI(公開鍵暗号基盤)や氏名、住所、生年月日、性別の基本4情報による「電子署名」に加えて、新たに「利用者証明」の電子証明書を利用できるようにした。
利用者証明では、氏名などを扱わない。
企業が公的個人認証を使うメリットは二つある。
一つは、電子証明書と「暗証番号(PIN)」(電子署名は6桁〜16桁の英数字、利用者証明は4桁の数字)の組み合わせで、
従来のIDとパスワードの組み合わせよりも高い情報セキュリティでサービスを提供できることだ。
「カードを所持している事実」と入力してもらった「PIN」によって本人だと確認できる。非対面でもなりすましの恐れを格段に減らせる。電子署名は実印相当とされる。
顧客を特定するために一般に顧客にIDとパスワードを登録してもらうことが多いが、管理には手間もコストもかかる。
電子証明書とPINなら、安全かつ簡単に本人確認できるようになるというわけだ。
もう一つは、顧客の最新情報を確認できることだ。
本人から自治体に住所変更の届け出があると、企業は電子証明書を発行する地方公共団体情報システム機構(J-LIS)から
異動の有無に関する情報(失効確認)を受け取る。
例えば、電子署名を使ってネット銀行で口座開設を申し込むと、J-LISによって電子証明書の有効性が確認される。
申込者が実在していることに加えて、正確な氏名・住所が把握できる。
もし利用者の住民票にある住所が変更されれば、電子署名が失効するので、ネット銀行は顧客の異動の有無を把握できる。
これまでは住所を変更しても必ずしも変更届を出さない顧客もいて、企業は郵送物を送っても宛先不明で戻ってきてしまう事態に悩まされてきた。
失効確認で住所変更を把握できるので、すぐさま顧客に新住所を連絡するよう依頼できる。
利用者証明はPINを入力しない使い方もできる。
PINの代わりに、指紋などの生体認証ができる機器と結び付けて、救急医療の現場など緊急時に本人の意識がなくなっても本人だと確認できるようにする構想もある。
公的個人認証は当初、住基カードで基本的に行政機関などの行政機関などが使うものだった。
住民票をベースにした失効情報を民間に開放すると、「民間の認証会社の経営を圧迫してしまう」(関係者)という懸念があったためだという。
ところが住基カードの有効交付枚数は2015年3月末現在でも約710万枚にとどまった。
そこで公的個人認証の機能をマイナンバーカードに載せ替えて、普及させるために企業が「失効確認」を利用できるようにした。
マイナンバーカードのもう一つの課題は、現状ではICカードリーダーライターが必要なことだ。
そこで総務省は公的個人認証の機能をスマートフォンのSIMカードに移したり、スマホのNFCでカードを読み取れるようにしたりする構想を検討している。
経済産業省も公的個人認証を応用して、電子証明書の発行番号(シリアル番号)とスマートフォンのアプリのIDを連携させる利用を検討している。 初回にコンビニエンスストアの端末などで認証アプリを登録すれば、IDやパスワードの代わりに使えるようにするという構想だ。
ポイントカード構想も
総務省はマイナンバーカードを普及させようと、次々と実証事業を進めている。
2016年2月には「マイキープラットフォームによる地域活性化方策検討会」を開いて、地域経済の活性化策として
自治体の図書館や生涯学習サービスで使うカードをマイナンバーカードに共通化したり、商店街のポイントカードとして利用できるようにする方針だ。
マイキープラットフォームとは、企業が利用できる公的個人認証とICチップの空き領域で、
既存のポイントカードのIDと利用者が任意に設定する「マイキーID」を結び付ける共通情報基盤を指す。ここでもマイナンバーは扱わない。
「マイキーID」は希望者だけが利用するもので、マイキープラットフォームはマイキーIDの対応テーブルを持つ。
図書の貸出履歴や商品の購入履歴などの情報は保有しない。
利用者はカードを行政窓口の職員や店頭の店員に手渡さず、カードリーダーライターやタブレット端末を使ってマイキーIDを読み取る。
プライバシー影響評価(PIA)で不安解消を
要するに、総務省はマイナンバーカードを普及させるために、マイナンバーカードの利用場面を増やそうとしている。
しかし、それでマイナンバーカードへの利用者の不安が解消できるとは思えない。むしろマイナンバーカードをどう使えばいいのか利用者が混乱するだけだろう。
マイナンバーカードを利用しようする企業内にすら不安がある。
マイナンバーカードを利用するサービスを検討している企業の広報担当者は
「マイナンバーをひも付けられると不安に思われているサービスを公表するのは難しい」と明かす。
どうすればいいか。
マイナンバー制度の検討や法律の条文作成に携わってきた水町雅子弁護士は、「必要なのは、利用者から見てどんなところに不安を感じるかというのを
事前に丁寧に検討して、その対策を組み込んでおくこと」だと指摘する。
様々な個人情報がマイナンバーにひも付けて管理されるのではないかという利用者の不安を解消しなければならない。
例えば、利用する企業に「マイナンバーを絶対にひも付けない」と宣言してもらって、マイナンバーカードをICカードリーダーライターなどにかざした直後には
「マイナンバーとは一切ひも付きません」などと画面に表示するという具合だ。
こうした技術的な仕組みや運用面の説明を分かりやすく体系的に約束する手法が、「プライバシー影響評価(PIA)」である。
プライバシー影響評価は、日本ではマイナンバー法で「特定個人情報保護評価」と称して、マイナンバーを扱う行政機関などでは義務化されている。
水町弁護士は、現行の特定個人情報保護評価を修正したPIAの体系的な手法を使って
各社共通の簡易なフォーム(様式)にすれば、「利用者からみても各社のサービス、プライバシーへの配慮を比較できる」という。
各社がバラバラにWebサイトで説明したり説明書を配ったりするよりも、説明すべき点が網羅できるからだ。
マイナンバーカードを普及させるには、どんな情報を扱うのかブラックボックスにしてはならない。
利用者のプライバシーに影響を与えないようにどんな対策をしているか、きっちり説明して不安を解消する必要がある。
そうして初めて、あらゆるサービスでマイナンバーカードが既存のIDとパスワードよりも安心して使われるようになるのではないか。