nonumber-tom のすべての投稿

オンライン申請システムの不備が、なりすましの原因?

 7月8日に容疑者が逮捕された石川県能登町の一人10万円の特別定額給付金のなりすまし事件は、依然としてどのような事件なのか、明らかになっていません。マイナンバーを所管する総務省も、オンライン申請システムを担当する内閣府も、地元自治体も、今のところ事件を広報していません。捜査中とはいえ、原因がわからない状態でオンライン申請を続けていいのでしょうか。
  すでに100を超える市区町村が早く給付するために 、郵送申請より手間のかかるオンライン申請を中止・停止しました。高市総務大臣は7月10日の記者会見で、特別定額給付金は予算や総世帯数の8割以上で給付が完了したと述べています。オンライン申請はもう止めるべきです。

●なりすまし事件の経過

 地元の北陸中日新聞や北國新聞の報道によれば、マイナンバーカードのなりすまし取得ではなく、オンライン申請の仕組みに原因がある可能性が出てきました。不確実な情報も混じっていますが、報道をもとに経過を追ってみると、

▼名古屋市に住む容疑者(50歳、男性)が、自分のマイナンバーカードを使って被害にあった石川県能登町の世帯主分の給付金10万円をオンラインで申請。
 その際、受給先を名古屋市の容疑者の住所に変更。給付金は5月中に容疑者の口座に振り込まれた。
 世帯主は、自身のマイナンバーカードを作っていなかった。 また世帯主は容疑者と同姓同名だった。

図は2020年7月10日
北陸中日新聞朝刊より

▼被害にあった世帯主男性は5月に、自身をふくめ家族5人分の給付金計50万円を能登町に郵送申請したが、申請書類に不備があり町は申請書を返送した。
 しかしすでに容疑者が郵便局に転居届を出していたため、申請書は容疑者宅に転送されたとみられる。
 世帯主男性はいつまでも給付金が振り込まれないため能登町に確認したところ、すでに別の振込先に支給されていたことが判明し、事件が発覚した。

▼容疑者は、不正に入手した世帯主男性名義の給付金申請書を、振込先口座などの情報を書き換えて、名古屋市内から能登町に郵送。6月1日に世帯主男性分をのぞく世帯員4人分の給付金40万円を申請し、自身の口座に振り込ませた。
 容疑者の逮捕容疑は、この40万円の詐欺と有印私文書偽造・行使。8日に逮捕され、9日に金沢地検に送致されている。名古屋市内のATMの防犯カメラの現金を引き出す映像で容疑者がわかった。
 オンライン申請の10万円についても、容疑者が詐取した疑いで捜査中。ただ容疑者は「覚えがない」と否認。

▼能登町は5月1日からオンライン申請受付を開始。郵送申請書は 5月15日に発送し、 受付期間は5月18日~8月17日。5月中旬から給付開始。給付対象7510世帯のうち、オンライン申請は7月9日現在97世帯。
 能登町は、世帯主男性に5人分50万円を給付した。

●急ごしらえのオンライン申請がトラブルの原因

 特別定額給付金のオンライン申請受付システムは、内閣府が運営するマイナポータルの「ぴったりサービス」の機能を使っています。

総務省・内閣府 オンライン申請方法 PCverより

 「ぴったりサービス」は、 市町村のサービスの検索やオンライン申請を行うマイナポータルの機能です。もともとは「子育てワンストップサービス」として児童手当・保育・ひとり親支援(児童扶養手当)・母子保健(妊娠届出・予防接種)の電子申請のために作られました。
 サービスの検索はマイナンバーカードがなくても可能ですが、オンライン申請のためには電子証明書を内蔵したマイナンバーカードと暗証番号によりアクセスする必要があります。

 子育てワンストップサービスは 証明書等のコンビニ交付とともに 、マイナンバーカード利用の普及策として期待されていました。しかし自治体の事務とうまくフィット せず、利用は広がっていません。
  開始2年が経過した2019年12月末時点で電子申請を実施している市区町村は、児童手当が71.4%、保育が39.8%、ひとり親支援が21.0%、母子保健が38.0%という状況です(「マイナンバー概要資料」令和2年5月版49頁)。2019年6月4日に決定された「マイナンバーカードの普及とマイナンバーの利活用の促進に関する方針」には、これ以上の普及は難しいと思ったのか、子育てワンストップもコンビニ交付も記載がありません。

「マイナンバー概要資料」令和2年5月版 46頁より抜粋
(内閣官房番号制度推進室・ 内閣府大臣官房番号制度担当室)

  「ぴったりサービス」の利用自治体も2019年12月末時点で935団体、未利用が806団体と、利用は半数を少し超えた程度でした。その状態で2020年4月20日に一人10万円の特別定額給付金が決まり、短期間で5月1日からのオンライン申請のために「ぴったりサービス」を全市区町村で利用可能にしたという無理が、トラブルの背景にあります。そのため内閣府番号制度担当室によれば、5月3日から6月15日までに51件の修正をし続ける事態になっています(下表は主な改善内容)。

(「月刊J-LIS」(ぎょうせい)2020年7月号 13頁 内閣府番号制度担当室作成の表)

 政府は 7月17日決定の「骨太の方針2020」で 、オンライン申請の失敗で行政デジタル化の立ち遅れが明らかになったと危機感を募らせ、1年を集中改革期間としてオンライン化を前提とする政策システムへの転換などデジタル化を進めるとしていますが、このような普及ありきの前のめりのやり方がトラブルを招いているのです。

●「ぴったりサービス」のオンライン申請の仕組み

 「ぴったりサービス」による電子申請では、マイナポータルで申請した情報を自治体に伝えるため、自治体間などで行政文書を暗号化してやりとりする「LGWAN」やインターネットや専用線を使用するなど様々な 接続方式があり、自治体ごとに選択して整備しています。

この画像には alt 属性が指定されておらず、ファイル名は image.png です
子育てワンストップサービス実現に向けた地方公共団体向けガイドライン」 6頁
(子育てワンストップサービス推進チーム平成28年12月22日)
「 被災者支援制度におけるマイナポータルの活用に関するガイドライン 」7頁
( 内閣府(防災担当) 平成31年3月 )

 今回の特別定額給付金のオンライン申請受付では、未接続自治体も一斉に利用可能にするため、国が接続サービス提供事業者と包括接続契約を締結して、自治体は受付データ取得端末の用意とネットワーク設定のみでオンライン申請できるようにしたとのことです( 「月刊J-LIS」2020年7月号12頁 )

●早急な事実と原因の解明と公表を

 今回のなりすまし事件では、どうして容疑者が自分のマイナンバーカードを使って他人のオンライン申請ができたのか、まだ明らかでありません。容疑者は被害にあった世帯主と面識はなく、石川県内の居住歴も勤務歴もないそうです。申請入力に必要な、被害にあった男性の住所などの個人情報をどのようにして入手したのかも不明です。

 能登町はオンライン申請時に、世帯全員の名前、生年月日、住所、性別、添付書類などを住民登録と照合して複数の職員で確認しており、どういう方法でチェックをすり抜けたのかわかっていません。そのため今後は申請時に申請者に電話連絡や振込通知を送付するなどの再発防止策を検討しているとのことですが、給付金サギが横行している中で、電話連絡には危険もあります。

 政府はあらゆる行政手続きを原則オンライン化することを目指していますが、今回の事件はオンライン申請の落とし穴を示しています。まずはこのような事例が発生したことを政府の責任で早急に周知するとともに、デメリットしかないオンライン申請を中止し、なにが起きたのかを市民にわかりやすく公表すべきです。

マイナンバーカードを使った オンライン申請でなりすまし

 マイナンバーカードを使った特別定額給付金のオンライン申請で、なりすまし詐欺事件が石川県能登町で起きたことが報じられています。

●発覚した事件の経過

 7月7日の NHKニュース7月8日の毎日新聞によれば、石川県能登町で何者かが特別定額給付金のオンライン申請で、他人になりすまして不正な申請を行い、町内に住む家族5人分の給付金、50万円がだまし取られた疑いです。 

 その後 世帯主の男性が郵送で郵送したところ、なかなか支給されなかったため、警察や能登町に相談して事件が発覚したという経過で、 警察はマイナンバーカードを使った不正なオンライン申請で、世帯主になりすまして給付金をだまし取ったとみて、詐欺などの疑いで捜査しているということです。

 また、7月9日のNHKニュース7月8日の毎日新聞によれば、 名古屋市守山区在住の50歳の男性が、5月下旬ごろ不正入手した別の石川県能登町の男性名義の特別定額給付金の申請書を偽造して能登町に給付金を郵送申請し、家族4人分の給付金40万円をだまし取ったとして、7月8日詐欺などの疑いで逮捕されました。
 容疑者は否認しているそうですが、警察はこの詐取と、オンライン申請5人分の詐取事件との関係を捜査中となっています。

●いままでにもマイナンバーカードのなりすましによる不正取得や偽造は発生

 政府・総務省の「マイナンバーカードは安全キャンペーン」に対して、いらないネットではリーフ8の2頁「マイナンバーカードはこんなに危ない!!」で批判しています。そこに記載のように、わかっているだけでいままでにマイナンバーカードを不正や行政のミスで他人が取得した事件が3件、偽造カードで口座開設した事件が1件報道されています。

 とくに2017年11月に報じられた江戸川区の不正取得事件では、知人男性から年金をフィリピンに送るよう頼まれてキャッシュカードや年金手帳などを預かっていた75歳の容疑者が、死亡した知人男性に成り済ましてマイナンバーカードの交付申請書を偽造し江戸川区役所でカードの交付を受けており、男性の死亡後も振り込まれていた年金を詐取した疑いで調べられています。
 「男性が13年にフィリピンで病死した後、同容疑者は男性になりすまして住民票の住所を自分の家に変更。自宅に届いた書類を使って申請し、受領の際は自分の写真を添付していた。」と、2017年11月16日の時事通信が報じています。
 知人は4年前にフィリピンで病死したが、容疑者がカードの交付を受けた後の2016年11月に知人の妻から死亡届が出され発覚したという経過です。

 また2019年6月に発覚した北九州市で偽造マイナンバーカードにより通帳を詐取した事件は「3月27日に、北九州市小倉北区の銀行で、偽造された別人の個人番号カードを提示し、その名義での銀行口座の開設を申し込み、通帳1通をだまし取った疑い」(2019年6月5日日経電子版)で、3月末に容疑者が偽造カードを使って携帯電話を契約しようとしたところ発覚したという経過です。

  その他、偽造マイナンバーカードで携帯電話の詐取に失敗した事件では、去年11月に学生が逮捕されています(2019年11月16日 産経 )。

 マイナンバーカードの前身の住基カードでは、不正取得や偽造とその対策がいたちごっこが続きました。(詳しくは「マイナンバーは監視の番号」102~113頁 (緑風出版)参照)。2010年には首都圏でなしすまし取得した住基カードによる携帯電話の大量詐取事件が発生し、そのため被害にあったソフトバンクは住基カードを本人確認書類として認めなくなったほどです。

●マイナポータルから個人情報が漏えいする危険性が現実に

  いままでの不正取得や偽造による悪用は、券面情報の目視によるものでした。 しかし今回の石川県能登町の事件の報道が事実とすると、マイナンバーカードを使ってマイナポータルに不正アクセスしてオンライン申請の手続きを行うという、さらに深刻な事件です。

 マイナポータルは、もともとマイナンバー制度の不正利用を防止する個人情報保護措置として設置され、情報提供記録やマイナンバーで管理されている自己情報を本人が閲覧確認できるようになっています。
 マイナンバーカード内蔵の電子証明書によりアクセスし、カードと暗証番号があればログインできます。

2015 年12月17日 内閣官房社会保障改革担当室 講演資料 「 マイナンバー制度の開始について 」 より

 政府は「持ち歩いても大丈夫!マイナンバーカードの安全性」 などとPRしています。 しかし今回の事件が、不正取得により別人がログインしたのだとすれば、給付金詐取だけでなく、行政が管理するその人のさまざまな個人情報を盗みとることが可能です。

  このPRチラシでは、「顔写真入りのため対面での悪用は困難」 だから「なりすましはできません」と書いてありますが、すでに偽造や不正取得で対面での悪用はされていました。さらに今回、電子申請によってなりすましができたわけです。

 またチラシには「マイナンバーを知られても、あなたの個人情報を調べることはできません!」として、「個人情報を一元管理する仕組みではないため、情報が芋づる式で漏れることはありません。」と説明していますが、マイナポータルに不正アクセスできれば、世帯情報・税情報・福祉サービスの利用状況・健康保険・年金・雇用保険その他の個人情報はすべて漏れます。 どのような個人情報を見られてしまうかは、下記資料の10頁をごらんください。

2020年3月 「マイナポータルで実現されるサービス」内閣府大臣官房番号制度担当室 10頁(2020年3月 23 日第 37 回保険者による健診・保健指導等に関する検討会 資料4)

●「マイ・ポータルというのは極めて危険度が高い」

 自分の情報を全部見ることができてしまうというマイナポータルの危険性は、以前から認識されていました。
 マイナンバー制度をつくるにあたり、全都道府県で開催された番号制度シンポジウムの2011年11月25日鳥取会場で、つぎのような応答がありました。

 「パソコンで自分の個人情報を確認できるわけですけれども、いわゆるネット、パソコンを持っていない高齢者を中心に、そういったIT弱者の方への手当てというのはどうされるのか」との質問に、マイナンバーを一貫して担当してきた内閣官房社会保障改革担当室向井治紀審議官は、

「マイ・ポータルというのは極めて危険度が高いです。逆に言うと自分の情報を全部見ることができてしまうというのは極めて危険度が高いので、そういう意味では代理をする場合でも、やはり一定の非常に高いセキュリティー、あるいは厳格な要件を設けざるを得ないと思っています。
 例えば、高齢者の方でも成人後見人制度で成人後見になってしまいますと、自動的に法的代理が発生しますけれども、逆に言うとそういう場合に相続などの関係で、利益相反ということが起こることは十分あります。
 また、親が子どもの法定代理人になりますけれども、親子関係であっても、例えばドメスティックバイオレンスなどで子どもを連れて逃げている場合などは、逆に子どもの情報を得ることによって住所を引き出せることが考えられますので、そういうことも含めて、極めていろいろな場合に耐える、具体的な場合に即応したことが必要だと思っています。」(議事録45頁)

 この危険性が解消されているか、2019年5月9日の参議院厚生労働委員会で、福島みずほ委員が質問しています。
「マイナンバーカードと暗証番号を一緒に紛失したり、他人に預ける場合がある。つまり、暗証番号を、これなかなか覚えられないので、一緒に使わないとこれはできないわけで、マイナポータルに本人に成り済ましてアクセス可能で、マイナンバーが付いた個人情報を入手することが可能になると。暗証番号は、電子証明書のための六桁―十六桁の英数字など、アプリごとに幾つも設定が必要です。記憶できず、カードと一緒に暗証番号をメモして保管している人もいます。紛失のリスク軽視ではないでしょうか。」

 これに対して吉川浩民総務大臣官房審議官は、「 そもそも、成り済まし防止のための暗証番号というものはマイナンバーカードとは別に適切に保管していただくことが前提でございますが、仮にマイナンバーカードとともに暗証番号が漏えいしたときであっても、二十四時間三百六十五日体制のコールセンターに連絡していただくことで速やかにカード機能の一時停止の措置を行うことが可能となっております。 」 と答えています

 特別定額給付金の申請書への添付などさまざまな場面でマイナンバーカードが本人確認に使われるようになり、コンビニのコピー機などに忘れることも増えています。マイナンバーカードによって個人情報が丸見えになってしまうことをほとんどの人が知らない中で、個人情報が漏えいしたのは適切に保管していなかった本人のせい、と済ませられるでしょうか。
 しかも今回の事件が、他人がマイナンバーカードをなりすましたのだとすると、気づくこともできません。なぜこのような不正ができたのか、解明が求められます。

 今後、マイナンバー制度は、マイナンバーカードの保険証利用(オンライン資格確認)から医療健康情報の共有、戸籍関係情報の提供、さらに健診や成績など学校関連の情報などに利用拡大が検討されています。
 マイナンバーカードと暗証番号を一緒に紛失したり盗まれたり、マイナンバーカードを不正取得されると、これらの情報を他人が見ることができてしまいます。
  マイナンバーで管理する個人情報や情報提供の記録は、マイナポータルで閲覧可能です。 不正アクセスされれば金銭的・財産的被害だけでなく、漏えいする個人情報も広がります。マイナンバーカードは、安全ではありません。

※追記:オンライン申請の不備がなりすましの原因?