今国会の番号法改正の問題点

   法案概要より抜粋

 2024年4月19日の衆議院本会議で、マイナンバー法の改正を含むデジタル社会形成基本法等の一部改正法案の、河野デジタル大臣による趣旨説明が行われ、地・こ・デジ特別委(地域活性化・こども政策・デジタル社会形成に関する特別委員会)で審議が予定されている。
 3月5日に閣議決定され第213回国会に提出されたこの法案の中で、マイナンバー法の改正は3点ある(デジタル庁サイト)。
 共通番号いらないネットは、地・こ・デジ特別委の委員に下記の要請をおこなった。

 改正案の1点目は、マイナンバー情報総点検を踏まえ、マイナンバーと個人情報の紐付け誤りの再発防止のために、デジタル庁(内閣総理大臣)が特定個人情報の正確性の確保のための必要な支援をおこなうというものだ。
 しかし昨年(2023年)次々と明らかになった一連の紐付け誤りを引き起こした原因は、政府(デジタル庁)の性急なマイナンバー制度の推進にある。たとえば昨年10月10日に情報システム学会マイナンバー制度研究会が発表した『「マイナンバー制度の問題点と解決策」に関する提言』では、紐付けのためには作業開始前に住所表記のゆらぎはどこまでを同一とみなすかなどの名寄せ基準を作成し、その後に名寄せ作業を実施することが必須であったにもかかわらず、「マイナンバー制度では、マイナンバーカードの普及を急がせ過ぎたため、前述したような名寄せ基準が曖昧なままの状態で 、名寄せ作業を開始してしまった。」(3頁)ことが原因と指摘している。
 デジタル庁は、このような性急なマイナンバー制度推進を、さらに性急に推進しようとしている。マイナ保険証を利用すると、保険資格が誤って表示されるなどのトラブルが続いているにもかかわらず(全国保険医団体連合会のサイト参照)、今年12月にあくまで健康保険証を廃止しようとしていることはその一例だ。

 さらに昨年9月20日には、個人情報保護委員会が公金受取口座の誤登録による漏えいの発生に対して、デジタル庁に番号法や個人情報保護法にもとづく指導を行っている。その中ではデジタル庁が公金受取口座の誤登録の責任は市区町村がマイナポイント申請支援窓口を正しい手順で行わなかったことが原因と責任転嫁してきたことに対して、責任は市町村ではなくデジタル庁にあると指摘している。
 「デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について」では、「誤登録の直接原因となった端末操作の実施場所が市区町村であったとしても、公金受取口座情報が漏えいした場合は、デジタル庁の保有個人情報の漏えい(個人情報保護法第68 条第1項)に該当する。」(7頁)と指摘し、「職員及び担当管理職に、デジタル庁の保有する特定個人情報及び保有個人情報の漏えいであるとの意識が欠如していた」(11頁)などデジタル庁の組織的安全管理措置の改善をも求めている。
 デジタル庁はこの指導に対して2023年12月6日に「改善状況報告書」を提出しているが、漏えい発生の責任はとっていない。河野デジタル大臣は公金受取口座の誤登録に対して、2023年8月15日記者会見で閣僚給与を3カ月分自主返納すると発表したが、それは庁内の情報共有体制が不十分で報告されるまで時間がかかって初動が遅れたということに対してにすぎない。
 マイナ保険証のトラブルが続いているのに健康保険証を予定通り廃止すると言っているデジタル庁が、「マイナンバーと個人情報の紐付け誤りの再発防止のために、特定個人情報の正確性の確保のための必要な支援」など行うことなどできるのだろうか。法改正の前にトラブルが解消するまでマイナ保険証の利用を医療機関に押し付けず、健康保険証廃止の延期を表明することが必要だ。

 改正案の2点目は、マイナンバーカード(個人番号カード)の記載事項から性別を削除し(第二条第七項)、代わりに個人番号利用事務等実施者は、性別に係る情報を利用している事務等のために個人番号の提供を受ける場合は、個人番号カードのICチップに記録された性別に係る情報を電磁的方法により確認する措置をとらなければならない(第十六条本人確認の措置)というものだ。
 そのために、「次期個人番号カードタスクフォース最終とりまとめ」(2024/3/18)では、「ICチップに記録した性別の情報を必要な者が負担なく読み出すことができるよう、スマホ等により個人情報保護に配慮しつつ、使いやすい UI で読み取ることができるアプリを国が開発し、無償で配布する」としている。
 マイナンバーカードの券面に性別を記載することに対して、私たちは番号法制定時から反対し、マイナンバー違憲差止訴訟でも性同一性障害者らの人格権侵害を指摘してきた。券面からの削除は遅きに失したとはいえ改善だ。しかしその代わりにICチップに記録する券面情報をスマホなどで容易に読み取れるアプリが、誰にでも配布されれば券面から削除した意味はなくなる。
 アプリを性別情報の利用が必要な個人番号利用事務等実施者に限定して配布し、利用事務を限定して確認できる仕組みにすることが必要で、どのような個人情報保護措置をとるのか国会審議の中で明らかにされなければならない。

 3点目は、マイナンバーカードの機能をスマートフォンに搭載可能にし、スマートフォンだけでマイナンバーカードと同様にマイナンバー法上の本人確認ができる仕組みを設けるというものだ。
 すでに2021年のデジタル社会形成整備法案で、ICチップに搭載しているマイナカードの機能のうち電子証明書については、スマートフォンに搭載する電子証明書として「移動端末設備用電子証明書」が創設されていた。マイナカードの所持が前提で、マイナカードの署名用電子証明書を用いてオンラインで発行申請し、署名用・利用者証明用を一人一つずつ発行可能で、個人番号カード用電子証明書と紐付けて管理する。ただ利用できるのはアンドロイドのスマホのみで、日本で利用者の多いiPhoneでいつから利用できるか目途はたっていない。

デジタル改革関連法案について」(2021年3月26日デジタル・ガバメント分科会資料1より)

 今回の法案は、マイナンバーカードのICチップに記録している券面情報(住所・氏名・生年月日・性別・マイナンバー・顔写真)と電子証明書が一体化した「カード代替電磁的記録」を新設し、個人番号利用事務等実施者が行う本人確認の措置で「カード代替電磁的記録」の提供を受けて確認を行えるようにするものだ。個人番号カード保有者は申請によりスマホに搭載するカード代替電磁的記録の発行を受けることができる。それにより、現在は顔写真等を添付して行わなければならない電子申請が、カード代替電磁的記録の送信だけで可能になる。

「マイナンバーカードの普及・利活用拡大」(デジタル庁)より

 便利になるようだが、スマホを紛失したり盗難にあった場合に、本人に成りすまして手続きをされる危険性が増大する。またスマホを機種変更などで廃棄する際に初期化だけでは電子証明書が残ってしまうため、スマホ用電子証明書を登録しているスマートフォンの利用をやめるときは、利用者が電子証明書を失効させることが義務づけられている(デジタル庁サイト参照)。
 このようなリスクだけでなく、電子証明書の利用が広がる中で、電子証明書の発行番号(シリアル番号)を使って個人情報が紐付けされていくリスクに関心が高まっている(朝日新聞2023年5月2日等)。政府は官民のID(個人識別番号)と電子証明書の発行番号との紐付け利用の拡大に力を入れている。マイナ保険証のためのオンライン資格確認等システムや、マイナポイントのためのマイキー・プラットフォームはその一例だ。
 電子証明書の発行番号は本来電子証明書の管理のための番号で、電子証明書が5年毎に更新されると番号が変更されるが、公的個人認証の電子証明書を管理するJ-LIS(地方公共団体情報システム機構)が新旧の発行番号の紐付けサービスをはじめたために、あたかも個人を識別する番号のように利用することが可能になっている。ただこの紐付けについては、2022年に500件以上の重複が発生しマイナポイントが複数回申し込まれるトラブルが発生していた(2023年9月28日のいらないネットの総務省ヒアリング参照
 今年4月から政府がはじめたマイナンバーカードを使った「デジタル認証アプリ」に対しては、誰がどのサービス利用において認証したかの情報がデジタル庁に記録蓄積されることで、プライバシー侵害になるのではないかとの指摘がされている(日経コンピュータ2024年3月7日号)。
 電子証明書の利用拡大のまえに、まず個人情報保護のための法的規制を検討すべきだ。