なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:マイナンバーカード

xidトップ画面2
(xID社サイトより)

■追記(2021年11月11日)
渋谷区は、11月10日付で施設予約システムの開発業務の委託先を、xID社でなく別の企業にすることを決定したとのことです。詳しくは本ブログ記事下部の追記をご参照ください。

このブログ記事の概要
xID社は11月4日付のプレスリリースで、12月から提供開始としている新しいxIDについて、マイナンバーから「確認要素」を生成することを止めて、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用するとしているが、xIDの法的性質が「広義の個人番号」(法2条8項かっこ書き、いわゆる「裏番号」「裏個人番号」)であることは従来と同じであり、xID社がxIDを法9条の定める税・社会保障・災害対応の3つの利用目的以外に利用しようとしていることに変わりはないので、やはり12月以降のxIDもマイナンバー法9条違反の違法なサービスである。

1.はじめに
このブログでは、以前、初期登録時にマイナンバーの入力が必要であるxID社のデジタルID・共通IDのxIDが、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」つまりマイナンバーと法的に同等の性質を持つ「広義の個人番号」(いわゆる「裏番号」・「裏個人番号」)であり、そのようなxIDをマイナンバー法9条が定める税・社会保障・災害対応以外の利用目的に利用することは法9条等に違反する違法なものではないかとの問題を取り上げました。
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)

この問題に関して11月4日に、xID社は、xIDに関する新たなプレスリリースを公表しました。そのため、本ブログ記事では、このxID社の新しいプレスリリースをみてみたいと思います。

しかし、結論を先取りしてしまうと、xID社が12月から提供を開始するとしている新しいxIDサービスも、マイナンバー法9条などに違反する違法なサービスであることに変わりはないと思われます。

・xIDアプリの個人番号入力を伴う仕様に関するご指摘への回答と当社の今後の対応について|xID
・違法性指摘のxIDアプリが一時停止へ、社長が明かした「マイナンバー入力仕様」のわけ|日経XTECH

リリース3

リリース6
(xID社プレスリリース「xIDアプリの個人番号入力を伴う仕様に関するご指摘への回答と当社の今後の対応について」(2021年11月4日)より)

2.なぜxIDの初回登録でマイナンバーの入力が必要なのか?
xID社のリリースによると、xID社はxIDサービスを11月4日から一旦中止とし、12月中旬から仕組みを変えた新しいxIDサービスの提供を行うとしています。

xID社のリリースによると、共通ID・デジタルID・アカウントIDであるxIDそのものは、マイナンバーとは関係なくランダムに生成される番号であるとのことです。

それでは何故、初回登録時にマイナンバーの入力が必要となるかについて、日経XTECHの記事はつぎのように説明しています。

『初回登録時は、ユーザーがスマートフォンにマイナンバーカードをかざすと、xIDアプリがJPKI(=マイナンバーカードのICチップ部分の公的個人認証サービス)の署名用電子証明書を読み取り、マイナンバーカードとxIDアプリをひも付ける。具体的には、署名用電子証明書に含まれる基本4情報(氏名、生年月日、性別、住所)を暗号化し、xID社のサーバーに送信・保管する。』

そして、初回登録時になぜ利用者がマイナンバーの入力を要求されるかについて、日経XTECHの記事はつぎのように記述しています。

『xID社の日下光社長は次のように説明する。「マイナンバーの一部と他の情報を使い、アカウント作成者が新規登録者であるか、それとも過去にアカウントを登録した人物であるかを確認するための(xIDアプリ独自の)要素である『確認要素』を生成している」。

『確認要素を生成する具体的な手順はこうだ。まず、入力させた12桁のマイナンバーと、マイナンバーカードから読み取った8桁の生年月日を加えた20桁の数字をつくる。これをハッシュ化したうえでバイト配列に変換し、さらにそこから数カ所のバイトを抽出・変換して確認要素とする。ここまでの過程はxIDアプリ内で実行する。』

『xIDアプリは生成した確認要素のみを、xID社のサーバーに送信し、サーバー側で確認要素とアカウントIDとをひも付けて保管する。同一のユーザーが異なるメールアドレスや異なるスマホを使って、新規にアカウントを登録したとしても、登録時に確認要素を生成することで、1人が複数のアカウントを登録することを防げるというわけだ。ただし、確認要素は一意となるデータではなく、「他人の確認要素と一定確率で衝突する可能性はある」(日下社長)。』(「違法性指摘のxIDアプリが一時停止へ、社長が明かした「マイナンバー入力仕様」のわけ」日経XTECH2021年11月4日より)

つまり、デジタルID・共通IDのxIDそのものはxIDアプリがマイナンバーとは関係なくランダムに生成する番号である一方で、利用者に入力させたマイナンバーと8桁の生年月日を加えた20桁の番号をハッシュ化し、それをバイト配列に返還し、さらにそこから数か所のバイトを抽出・変換して「確認要素」を生成し、この「確認要素」とxIDをセットでxID社のサーバーに保管していたとのことです。

そしてこの「確認要素」は、同一の利用者がメールアドレスやスマホ端末などを変えて登録作業を行うことにより、同じ人間が複数のxIDを持てないように、つまり一人一つのxIDを付与するために利用していたとのことです。

しかし、10月22日に個人情報保護委員会は、「マイナンバーを元にハッシュ化するなどして不可逆的に生成した番号も「広義の個人番号」(マイナンバー法2条8項かっこ書き、いわゆる「裏番号」「裏個人番号」)に該当するので、マイナンバーをハッシュ化するなどして生成した番号を法9条の定める税・社会保障・災害対応の3つの利用目的以外に利用することは法9条違反のおそれがある。」とのプレスリリースを出しました。
・番号法第2条第8項に定義される個人番号の範囲について(周知)|個人情報保護委員会

これを受けてxID社の今回のリリースは「マイナンバーから生成された「確認要素」は法2条8項かっこ書きの「広義の個人番号に該当する」との個人情報保護委員会の見解を受けて、12月中旬以降の新しいxIDサービスにおいては、マイナンバーから「確認要素」を生成するスキームを止めるとし、その上で、次のような新しい仕組みを導入するとしています。

同一の個人が複数のアカウントを持てない仕組みを提供するために、新たにマイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用します。』『 「新旧シリアル番号の紐付けサービス」は、J-LIS(地方公共団体情報システム機構)が提供する⺠間事業者向けの付加サービスです。マイナンバーカードの電子証明書が更新された場合に、更新前と更新後それぞれの電子証明書を紐づけ、保有者の同一性を確認できるようになります。』(xID社のリリースより)

つまり、xID社は、あくまでも利用者・国民に一人一つの共通IDであるxIDを付与するために、マイナンバーをハッシュ化するなどして「確認要素」を生成するかわりに、12月中旬以降は、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用する方針であるとのことです。

ここで、このマイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」について地方公共団体情報システム機構(J-LIS)サイトの説明ページをみると、たしかに平成29年1月開始の民間向けの新サービスとして、『利用者証明用電子証明書が更新された場合に、更新前と更新後それぞれの利用者証明用電子証明書の保有者の同一性を確認できないことに対応するため、民間事業者向けの付加サービスとして、新しい利用者証明用電子証明書のシリアル番号を用いて公的個人認証サービスに問い合わせると、1世代前の利用者証明用電子証明書のシリアル番号を提供するサービスを、平成29年1月から開始しました 。』と解説されています。
新たに開始したサービス
(地方公共団体情報システム機構(J-LIS)サイトより)
・民間事業者が公的個人認証サービスを利用するメリット|地方公共団体情報システム機構(J-LIS)

3.マイナンバーカードの公的個人認証サービス
総務省サイトのマイナンバーカードの民間利用の説明ページのなかの説明資料「個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)」には、マイナンバーカードのICチップ部分の電子証明書のシリアル番号等を利用して、例えば銀行口座の新規開設などの場面でマイナンバーカードの電子証明書のシリアル番号等が「なりすまし」や「改ざん」防止のための本人確認として利用できることが説明されています。
・マイナンバー制度とマイナンバーカード>公的個人認証サービスによる電子証明書(民間事業者向け)|総務省
・個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)(PDF)|総務省

公的個人認証サービス1
公的個人認証サービス3
(総務省「個人番号カードの概要及び公的個人認証サービスを活用したオンライン取引等の可能性について(参考資料)」より)

しかし、総務省サイトやその説明ページの資料の解説などを読むと、このマイナンバーカードのICチップ部分の公的個人認証サービスは、あくまでも「なりすまし」や「改ざん」などを防ぐための本人確認のための機能です。つまり例えば銀行口座の開設の場面でいえば、銀行口座の新規開設をしたいという利用者・国民が確かに当該利用者・国民の本人であることの確認を行って「なりすまし」や「改ざん」を防止することが「本人確認」です。この「本人確認」は、この銀行口座の新規開設の場合における銀行口座番号を作った利用者・国民が本人であることを確認するための仕組みであって、当該銀行口座番号が国民に一人一つの唯一無二性を証明する機能ではないはずです。

そのため、利用者・国民の「本人確認」をして「なりすまし」「改ざん」を防ぐという目的のための機能である、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を、現行のマイナンバーをハッシュ化等して「確認要素」を生成し、当該「確認要素」により利用者・国民に付与するxIDを利用者・国民に一人一つの番号であること(唯一無二性・悉皆性)を担保することの代わりに利用することは、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」や、マイナンバーカードの電子証明書の「本人確認」という利用目的を逸脱した脱法的なものなのではないでしょうか?

4.なぜxID社は国民一人に一つの共通IDのxIDに執着するのか?
そもそも、xID社はなぜここまでして、xIDを国民に一人一つの番号とすることに異常なまでに執着するのでしょうか。今回のプレスリリースでもxID社はマイナンバーカードの「新旧シリアル番号の紐付けサービスを利用」する目的を「同一の個人が複数のアカウントを持てない仕組みを提供するため」として、xIDを国民に一人一つ(唯一無二性・悉皆性)の性質を持つ共通IDとする方針は継続する方針です。

この点、xID社はこのブログでも取り上げたとおり、2020年10月2日の経産省の「第5回インフラ海外展開懇談会」に提出されたxID社のxIDに関する資料(「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」において、『Society 5.0の社会においては、パーソナルデータ(個人情報)を活用した個人最適なサービスの提供などを実現するにはデジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物である。と特定すること=”ユーザーの同一性・一意性担保”が重要です。利便性・信頼性と透明性を担保しながら利用できるデジタルIDがあれば、ユーザー同意に基づくパーソナルデータの活用が実現できます。』とxIDの趣旨・目的を説明しています。
xIDの概要1

xidの概要2
(2020年10月2日の経産省「第5回インフラ海外展開懇談会」の「資料3 xID 日下様 ご提供資料(第5回インフラ海外展開懇談会 日本で唯一の次世代デジタルIDアプリ「xID」)」より)
・第5回 インフラ海外展開懇談会|経済産業省

つまり、xIDとは「民間企業や各自治体、各官庁などがばらばらに保有している国民の個人データを、本人の同一性・一意性が担保できるデジタルIDであるxIDにより、官民のさまざまなサービスを利用する個人の個人データを一元管理・集中管理して国民の個人データの利活用を実現するもの」であり、すなわち、xIDとは一言で言うならば、「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が一元管理・集中管理して、国・大企業がマイナバー法に縛られずに自由な用途に利用できる唯一無二性・悉皆性の性質を持つ「民間版マイナンバー」」(=裏個人番号・裏マイナンバー・「広義の個人番号」、マイナンバー法2条8項かっこ書き)と言えます。

しかしそのような、国・自治体やさまざまな民間企業などがばらばらに保有する国民の個人情報を、国・大企業などがxIDなどの国・企業などの保有する個人情報を名寄せ・突合できるマスターキーの共通IDで一元管理・集中管理することは、国民のあらゆる分野・項目の個人情報・個人データが国・大企業により一元管理・集中管理され、いわば「国民個人個人が国家・大企業の前であたかも丸裸にされるがごとき状況」(住基ネット訴訟・金沢地裁平成17年5月30日判決)が発生することとなってしまいます。

そのような状況下では、国民のプライバシーや私的領域(憲法13条)、表現の自由(21条1項)、内心の自由(19条)、信仰の自由(20条)などの国民の基本的人権が国家・大企業の前でゼロとなってしまい、国民が国家や大企業による監視・モニタリングにおびえ、日々の生活における行動や表現行為などが委縮し、安心して人間らしいのびのびとした生活を送れなくなってしまう危険があります。つまり「国民総背番号制」の危険や、中国、北朝鮮やかつてのソ連やその衛星国家などの旧共産圏、あるいはジョージ・オーウェルのSF小説「1984」、最近のアニメ「PSYCHO-PASS サイコパス」などのような「超監視国家」・「超監視社会」の危険があります。

マイナンバー法は、行政の効率化や行政のコストダウン等の目的のために、国民すべてに割り当てられ(悉皆性)、国民一人に一つの番号(唯一無二性)の性質を有するマイナンバー(個人番号)という、行政が保有するあらゆる個人情報・個人データを名寄せ・突合できる究極のマスターキーとしてのマイナンバーを創設する一方で、同法9条はマイナンバーの利用目的を税・社会保障・災害対応の3つに限定し、利用できる行政機関・民間企業も限定的に定めてそれ以外の利用を罰則付きで禁止しています。

また、本人や行政機関・民間企業等も法9条の定める利用目的以外にマイナンバーを提供することを禁止しており、かりに「本人の同意」があったとしても、法9条の定める利用目的以外のマイナンバーの提供・利用・保存などは禁止されています(法19条)。

マイナンバー法はこのような厳しい法制度により、行政の効率化とともに、マイナンバーが国や大企業などに悪用され、日本社会が中国や北朝鮮などのような超監視国家となるリスクを防止しているのです。

にもかかわらず、xID社が実施している「さまざまな行政機関・自治体やさまざまな民間企業がばらばらに保有する国民の個人データを、国・大企業が名寄せ・突合できるようにして一元管理・集中管理して、国・大企業が自由な用途に利用できる「民間版マイナンバー」」というxIDサービスは、つまり、国・自治体・大企業等がマイナンバー法を潜り抜けて、あらゆる用途に好き勝手に国民のあらゆる個人情報・個人データを名寄せ・突合して利活用できるようにするために、日本社会の「超監視国家」化を防止するためのマイナンバー法9条を潜脱するための脱法的なサービスが目的であると思われ、これはマイナンバー法9条違反として許されないものなのではないでしょうか。

xID社は、今回のプレスリリースで、マイナンバーをハッシュ化等して「確認要素」を生成するスキームは止めて、12月中旬以降は、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用した新サービスを提供する方針であるそうです。

しかし上でみたように、この電子証明書の「新旧シリアル番号の紐付けサービス」の利用は、マイナンバーカードの電子証明書機能の「本人確認」という本来の目的を逸脱した脱法的な利用です。

また、そもそも12月中旬以降の新しいxIDも、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」の利用により、「国民一人に一つで国民すべてに割り当てられた番号」という「唯一無二性・悉皆性」というマイナンバー(個人番号)の法的性質(宇賀克也『番号法の逐条解説 第2版』24頁)が担保された、マイナンバーに代わる番号(=「広義の個人番号」「裏番号」「裏個人番号」、法2条8項かっこ書き)であることに変わりはないので、新しいxIDを税・社会保障・災害対応という法9条が規定する利用目的以外の、自治体の施設予約システムのIDや、自治体の各種の行政サービスへの電子申請のIDに利用・提供・保存などをすることは、やはりマイナンバー法9条違反や、法19条違反となると思われます。

5.まとめ
xID社は、「マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」の利用」などというマイナンバー法を潜脱するための手段を考案することに力を入れるのではなく、「デジタル世界で、あらゆるサービスを利用するAさんがどのサービスにおいても同一の人物であると特定すること=”ユーザーの同一性・一意性担保”」という「広義の個人番号」(「裏番号」「裏個人番号」「民間版マイナンバー」)のxIDというマイナンバー法を潜脱する脱法的なサービス自体を断念する経営判断を行うべきではないでしょうか。

日本は個人の尊重や個人の基本的人権の確立を掲げる近代立憲主義憲法を持つ民主主義国であり、そのような近代民主主義国家においては、主権者たる国民の基本的人権を守るために、国民から負託された国会において制定された法律を遵守して行政や民間企業等が行政活動や経済活動を行う「法の支配」法治主義が大原則です。(最近、社会的に注目されているSDGsの「17の目標」も、「公正」を目標の一つに掲げています。)

xID社は日本社会の「良き企業市民」として、マイナンバー法や個人情報保護法などの法律や社会倫理・モラルを遵守するというコンプライアンス意識を持った企業活動が求められます。法律の抜け道を探すことに力を注ぎ、脱法的な企業活動を行うことは、「Gov-tech」を標榜する「良き企業市民」のやることではありません。

■追記(11月5日)
産業技術総合研究所主任研究員の高木浩光先生も11月5日にTwitterで、xIDのプレスリリースについて次のように批判する投稿をしておられます。

この期に及んで(何度変換しようが照合させようが対応して変わって用いられる限りそれが法の個人番号の定義だと言われているのに)まだこんなこと言うのですね。思考力の弱い自治体相手ならまだまだこれで通せそうでしょうか?

ひろみつ先生2
(高木浩光先生(@HiromitsuTakagi)のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1456333854680092695

サイバートラストはこんな用途(1人1アカウントを実現)に新旧シリアル番号ひも付け機能を使わせちゃダメだよ。利用者が自ら証明書更新時にアカウントを継続するときに使うものだからね。

ひろみつ先生1
(高木浩光先生(@HiromitsuTakagi)のTwitterより)
https://twitter.com/HiromitsuTakagi/status/1456339328137789440

■追記(11月11日)
11月10日に、渋谷区議会議員須田賢様より、渋谷区は施設予約システム開発の業務委託先をXID社ではない企業に委託することを決定したとの情報提供をTwitterにていただきました。また須田様は、まだxID社のシステム導入を渋谷区が検討中の段階で、xID社が「渋谷区からxIDが問題ないと認定を受けた」趣旨の投稿をTwitterで行っていたことは、民間IT企業の宣伝活動・広報活動のあり方として問題がある旨も指摘しておられます。須田賢・渋谷区議様、情報提供をいただき誠にありがとうございました。
須田賢氏1
須田賢氏2
(須田賢・渋谷区議会議員(@sudaken_shibuya)のTwitterより)
https://twitter.com/sudaken_shibuya/status/1458401780027432961

この点、渋谷区11月10日付プレスリリース「令和3年度施設予約システム再構築に係る設計・開発業務委託の公募型プロポーザルの選考結果について公表します」は、令和3年度施設予約システム再構築に係る設計・開発業務委託について、xID社ではなく、ぴあ株式会社を業務委託先の選定事業者に決定したと公表しています。
・令和3年度施設予約システム再構築に係る設計・開発業務委託の公募型プロポーザルの選考結果について公表します|渋谷区

渋谷区をはじめとする自治体・行政機関について憲法15条2項、地方公務員法32条などは行政サービスの公平性・中立性や法令遵守を要求しており、法律の抜け穴を探すことばかりに熱心でコンプライアンス意識が希薄な企業風土のxID社との業務提携を行わない決定した渋谷区や渋谷区議会の判断は、極めて正当であると思われます。

面白かったらブックマークなどをお願いします!

■参考文献
・水町雅子『Q&A番号法』10頁、56頁
・宇賀克也『番号法の逐条解説 第2版』24頁

■関連する記事
・xIDのマイナンバーをデジタルID化するサービスがマイナンバー法違反で炎上中(追記あり)
・東京都のLINEを利用したコロナワクチン接種啓発の「TOKYOワクション」は個人情報保護法制や情報セキュリティの観点から違法・不当でないのか?(追記あり)
・LINEの個人情報事件に関するZホールディンクスの有識者委員会の最終報告書を読んでみた
・デジタル庁がサイト運用をSTUDIOに委託していることは行政機関個人情報保護法6条の安全確保に抵触しないのか考えた(追記あり)
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件(追記あり)-個人情報・公務の民間化
・デジタル庁の事務方トップに伊藤穣一氏との人事を考えた(追記あり)
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・文科省が小中学生の成績等をマイナンバーカードで一元管理することを考える-ビッグデータ・AIによる「教育の個別最適化」
・小中学校のタブレットの操作ログの分析により児童を評価することを個人情報保護法・憲法から考えた-AI・教育の平等・データによる人の選別
・JR東日本が防犯カメラ・顔認証技術により駅構内等の出所者や不審者等を監視することを個人情報保護法などから考えた
・令和2年改正の個人情報保護法ガイドラインQ&Aの「委託」の解説からTポイントのCCCの「他社データと組み合わせた個人情報の利用」を考えた-「委託の混ぜるな危険の問題」
・河野太郎大臣がTwitterで批判的なユーザーをブロックすることをトランプ氏の裁判例や憲法から考えたー表現の自由・全国民の代表(追記あり)
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた(追記あり)-個人情報・プライバシー・労働法・GDPR・プロファイリング
・令和2年改正個人情報保護法ガイドラインのパブコメ結果を読んでみた(追記あり)-貸出履歴・閲覧履歴・プロファイリング・内閣府の意見
・欧州の情報自己決定権・コンピュータ基本権と日米の自己情報コントロール権
・リクルートなどの就活生の内定辞退予測データの販売を個人情報保護法・職安法的に考える
・トヨタのコネクテッドカーの車外画像データの自動運転システム開発等のための利用について個人情報保護法・独禁法・プライバシー権から考えた







































このエントリーをはてなブックマークに追加 mixiチェック

my_number_card_omote
1.マイナンバーカードへの健康保険証の一体化にマイナンバーを入力?
3月下旬に、マイナンバーカードに健康保険証を一体化させる事業においてマイナンバーの入力などに多くの不備が見つかり、厚労省はこの業務の本格稼働を遅らせるとの報道がなされました。これに対して、「マイナンバーカードでなく何故マイナンバーを使っているのか?」とネット上で疑問の声があがっています。

・データ入力不備で相次いだマイナカード保険証トラブル、チェックシステム導入へ|日経新聞

上の日経新聞の記事には、「健康保険組合などは組合加入者の被保険者番号、マイナンバーを厚労省の「医療保険者等向け中間サーバー」に登録」しているとはっきり書いています。

マイナンバー制度開始の当初は、国は「マイナンバー(個人番号)は行政の個人情報のデータベースを名寄せできる究極のマスターキーであるので、国民の個人情報やプライバシー保護のために、行政の個人情報のデータベースは分散管理を続ける。」、「センシティブ情報の医療関係の個人情報は、マイナンバーに直結するのではなく医療IDで管理する」という趣旨の説明をしていたはずです。

マイナンバー分散管理
(マイナンバー制度と個人情報の分散管理の説明図。内閣府サイトより)

この点、厚労省の健康保険証のマイナンバーカードへの一体化を説明するページのQA9は、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うのですか。」という問いに対して、「医療機関・薬局がマイナンバー(12桁の番号)を取り扱うことはありません。マイナンバー(12桁の番号)ではなく、マイナンバーカードのICチップ内の利用者証明用電子証明書を利用します。」と回答しています。

厚労省マイナンバーカード健康保険証QA9

・マイナンバーカードの保険証利用について|厚労省サイト

厚労省の説明によれば、やはり健康保険証のマイナンバーカードにおいても、利用するのはマイナンバーカードのICチップ内の利用者証明用電子証明書であって、マイナンバーそのものではないはずです。厚労省や内閣府などの政府は国民に嘘をついているのでしょうか?

2.カルテ情報や処方箋情報もマイナンバーに連結される
しかも、この厚労省サイトの「マイナンバーカードの保険証利用について」をみると、問題はより深刻です。

NHKなどのマスメディアは、健康保険証の問題ばかりを取り上げていますが、厚労省サイトの説明によると、患者・国民が健康保険証のマイナンバーカードへの一体化に一度同意してしまうと、健康保険証番号だけでなく、カルテ情報処方箋情報健康診断などの医療データも自動的にマイナンバー連結されるとあります。(顔データも連結される。)

ExZi6NqUcAAUa4x
ExZi6NqVgAIvxRB
ExZlAsrVIAEuWu-
(厚労省「マイナンバーカードの保険証利用について」より)

そしてこれらの機微な医療データがマイナンバーに連結後は、国・自治体、製薬会社やIT企業などから閲覧され利用され放題となることについての説明もありません。これは「偽りその他不正の手段」による個人情報の収集(個人情報保護法17条1項)、つまり騙し討ちなのではないでしょうか。

3.平成27年のマイナンバー法改正
この点、内閣府のマイナンバー関係のサイトによると、平成27年のマイナンバー法改正により、健康保険組合などがマイナンバーを取扱い可能となる改正がなされているようです。(法9条の別表一に関する改正。)そのため、法律上は健康保険組合がマイナンバーを扱うこと自体の手当はなされているようです。

平成27年マイナンバー法改正概要

・マイナンバー法|内閣府

しかし厚労省や内閣府のサイトを見ても、「税務関係で企業などに提出したマイナンバーを、目的外利用で企業から健康保険組合に第三者提供する」という通知・通達やガイドラインなどは出されていません。これでは、「マイナンバーの本人の同意のない目的外利用や第三者提供」であると、やはり国に騙されたと感じる国民も多いのではないでしょうか。

4.国民の医療データが製薬会社やIT企業などに利用される
さらに、カルテや処方箋データ、健康診断などの医療データをマイナンバーに直結させるという国の医療データの取扱に関する方針について、正面からの説明がありません。

国は、2018年に次世代医療基盤法などを制定し、医療データを病院・薬局などから地方自治体に共有化させ、さらには製薬会社やIT企業などにも利活用させることにより、日本の経済発展を行う方針のようです。

次世代医療基盤法概要
(次世代医療基盤法のイメージ図。内閣府サイトより)

しかし、国民の病気・ケガは、風邪など誰もがかかるような一般的な傷病だけでなく、例えば、ガン、HIV、精神病、身体障害・精神障害・知的障害など現在も社会的差別の原因となっている傷病も多く存在します。また傷病に関するカルテ上の情報などは、患者の人間としての身体的なデータや内心を含む精神的なデータ、さらには遺伝子情報も含む、人間そのものの機微な個人データです。(近年、アメリカ、ドイツなどには遺伝子差別禁止法が制定されていますが、日本にはそれさえも存在しません。)

そのため、製薬会社などの経済的利益や国・自治体の行政サービス向上のために患者・国民の医療データを利用する必要性があるとしても、まずは患者・国民が自らの医療データを病院・薬局などの医療機関だけでなく、国・自治体や製薬会社などに目的外利用および第三者提供させることについて明確な本人の同意が必要なはずです。日本は中国のような全体主義・国家主義の国ではなく、個人の尊重と基本的人権を目的とする自由な民主主義国家のはずなのですから(憲法11条、13条、97条)。

5.個人データ保護法の趣旨・目的
現在、参議院で審議中のデジタル関連法案のなかのマイナンバー法改正法案においては、国家資格の有資格者のデータをマイナンバーに連結すること等も盛り込まれています。また、政府・与党は銀行・商社など大企業の従業員の情報を国が管理し、それらの従業員を地方で働かせる政策を発表しています。

・官民を通じた個人情報保護制度の見直し|個人情報保護委員会

しかし、マイナンバーに医療データや国家資格のデータ、経歴や職務経歴などのさまざまな個人データをどんどん連結させてゆくことは、いわば「国家の前に国民が丸裸となる状態」(住基ネット訴訟・金沢地裁平成17年5月30日判決)の危険があるのではないでしょうか。

また、1974年の国連事務総長報告書「人権と科学技術の開発―人間の諸権利に影響をおよぼすおそれのあるエレクトロニックスの利用,及び民主的社会における右利用に課せられるべき制限」に始まり、1996年のILOの「労働者の個人情報保護に関する行動準則」2000年の日本の労働省「労働省の個人情報保護の行動指針」6(6)1995年の欧州のEUデータ保護指令2014年のEUのGDPR22条など、世界の個人データ保護法制は、「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」すなわち「コンピュータの個人データの自動処理(プロファイリング)のみによる決定を拒否する権利」を法目的の一つとしてきました。

「コンピュータによる人間の選別・差別から人間の「個人の尊重」を守ること」が世界の個人データ保護法制の法目的の一つであるとするなら、現在日本が推進している、マイナンバーに医療データや国家資格データなど各種の個人データをどんどん連結させてゆくことは、国・企業がコンピュータの個人データによる国民の選別・差別をどんどん容易にすることであり、1970年代からの世界の個人データ保護法制の趣旨に逆行しているのではないかと思われます。

コンピュータ自動処理拒否権の歴史の図1
コンピュータ自動処理拒否権の歴史の図2

6.まとめ
マイナンバー法3条2項は、国は「個人情報の保護に十分配慮」しなければならないと規定し、マイナンバー法の一般法にあたる個人情報保護法17条1項は「偽りその他不正の手段により個人情報を取得してはならない」と規定し、同法同条2項はセンシティブ情報について「あらかじめ本人の同意を得ないで、要配慮個人情報を取得してはならない」と規定しています。(また、同法23条2項はオプトアウト方式による要配慮個人情報(センシティブ情報)の第三者提供も禁止しています。)

それを受けて、マイナンバー法17条は、マイナンバーカードの自治体の発行について、「その者の申請により、その者に係る個人番号カードを交付する」と規定し、あくまでも住民・国民の任意の申請に基づくことを規定しています。

さらに個人情報保護法1条および3条は、立法の趣旨・目的として「個人情報の有用性」だけでなく、「個人の権利利益の保護」、「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの」と明記しています。

法律による行政の原則、つまり法治主義に基づいて行政を運営することにより国民の個人の尊重と基本的人権を守るはずの国が、国民の個人情報やプライバシーを守るための個人情報保護法制や憲法を逸脱するような行政活動を行うことは許されないのではないでしょうか。

■関連するブログ記事
・日本年金機構からの再委託による中国へのマイナンバー等の流出疑惑について
・国がマイナンバーカード未取得者約8000万人に申請書発送の方針-国が国民に強制すべきことなのか?
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた
・遺伝子検査と個人情報・差別・生命保険/米遺伝子情報差別禁止法(GINA)


■参考文献
・高木浩光「個人情報保護から個人データ保護へ ―民間部門と公的部門の規定統合に向けた検討(2)」『情報法制研究』2号75頁
・高野一彦「従業者の監視とプライバシー保護」『プライバシー・個人情報保護の新課題』163頁(堀部政男)
・山本龍彦「AIと個人の尊重、プライバシー」『AIと憲法』59頁
・奥平康弘・戸松秀典「国連事務総長報告書(抄)人権と科学技術の開発」『ジュリスト』589号105頁









このエントリーをはてなブックマークに追加 mixiチェック

akutoku_shouhou_houmon - コピー
NHKなどの報道によると、政府(総務省)は、マイナンバーカード未取得者約8000万人に対して、マイナンバーカード発行の申請手続き書類を再度郵送する方針だそうです。

・マイナンバーカード未取得者 約8000万人に申請書発送へ 総務省|NHK

かりに三つ折りハガキで郵送するとしても、郵送料だけでも単純計算で約48億円もの出費ですが、この莫大な行政コストは一体誰が負担するのでしょうか?

そもそもマイナンバー制度とは、国民一人一人にマイナンバー(個人番号)を付番した情報システムを行政が整備・運営することにより、「行政運営の効率化及び行政分野におけるより公正な給付と負担の確保」を図る制度です(番号法1条)。

つまり、従来は多くの人員と書類でやっていた行政の事務処理を、各官庁をまたいだ名寄せのためのマスターキーであるマイナンバー(個人番号)を付番した情報システムで行うことにより、行政を効率化・迅速化しコストダウンを図ろうという制度です。

マイナンバー制度概要図総務省
(総務省サイトのマイナンバー制度の解説より)


そのため、マイナンバー制度開始の平成27年に、国が国民全員にマイナンバーを情報システム上で付番した段階で、「行政の効率化とコストダウン」というマイナンバー制度の立法目的の本丸は達成されているのです。

なのに、なぜ政府・与党は制度のオマケのはずのマイナンバーカードに偏執的にこだわるのでしょうか?

制度の検討段階で「マイナンバーカードを国民に広く普及させたい」「住民基本台帳カードの二の舞にはならない」という目標を政府与党は掲げたようですが、その目標にこだわるあまり、オマケの目的が自己目的化して政府与党が暴走しているようにも思えます。(「行政の効率化やコストダウン」が制度目的のはずなのに、今回の政府方針だけでも約48億円もの行政の税金の無駄づかいに思えてなりません。)

政府与党は、「これからの日本はIT社会デジタル化を目指さなくてはならない。マイナンバーカードには本人認証機能があるから、日本のデジタル化の基盤である。だから国民は全員、マイナンバーカードを持たねばならない」と主張しているようです。

「日本はデジタル化を目指さなくてはならない」という理念を政府与党や国会が掲げるのはある意味自由です。しかし、わが国が「個人の尊重」「個人の基本的人権の尊重」を掲げる自由主義国家である以上は、それぞれの国民がどのような国家像や行政を望むか、そしてその国家に対して国民個人がなにをどの程度するかについては、原則として、国民一人一人の自由意思に委ねられています。わが国の主人公は国民であり、行政・国はその使用人(サービス機関)にすぎないのですから。

とくにマイナンバー(個人番号)は各官庁が持つ国民の個人情報・プライバシー情報を簡易・迅速にシステム的に名寄せする仕組みですから、その使い方を誤れば、いわば「国家の前に国民が丸裸となる状態」(金沢地裁平成17年5月30日判決)の危険をはらんでおり、マイナンバー制度は国民個人のプライバシー権(憲法13条)に隣接する制度です。

番号法17条1項が、マイナンバーカードの取得や所持を国民の義務とするのではなく、国民の任意による自治体への申請を踏まえて発行される建付けとしている趣旨は、このようにマイナンバー制度が国民のプライバシーに隣接する制度であることや、オマケとしてのマイナンバーカード(やそれに随伴する本人認証機能)を利用するか否かは国民個人の自由意思にゆだねているからであろうと思われます。

番号法
(個人番号カードの交付等)
第17条
   市町村長は、政令で定めるところにより、当該市町村が備える住民基本台帳に記録されている者に対し、その者の申請により、その者に係る個人番号カードを交付するものとする。この場合において、当該市町村長は、前条の政令で定める措置をとらなければならない。

この点、情報法や行政法の第一人者である学者にして最高裁判事の宇賀克也・東大教授の番号法の解説書は、番号法17条1項に関してつぎのように解説しています。

個人番号カードの取得を強制することは、(略)個人番号カードの取得を希望しない者や必要としない者に(市区町村の事務所への)出頭を強制してまで取得を義務づけることは適切でないと考えられたため、申請により取得することとしている。』(宇賀克也『番号法の逐条解説』78頁)

また、マイナンバーカードがICチップ部分に本人認証機能を有しながらも、本来はいわば「実印」のように慎重にも慎重に保管すべきマイナンバー(個人番号)が表面にでかでかと印刷されてしまっていること等など、マイナンバーカードの制度設計上の「おそまつさ」もマイナンバーカードの問題を難解なものにしています。先般の「10万円給付金」の電子申請の件で露呈したように、政府の運用する情報システムのレベルが非常に低いものであること等も、国民の心を冷やしています。

少なくとも今回の政府方針のように、マイナンバーカード普及というお役所が勝手に立てた目標のために、国の予算を大量に使い、本来、国の主人公である国民に、その使用人であるはずの国・行政が無理やりにでもマイナンバーカードを取得させようというのは、番号法17条1項違反であり、もっといえば国民の自由意思(憲法13条)や国民主権原理(憲法1条など)の侵害であるようにすら思われます。

番号法の逐条解説 第2版

ニッポンの個人情報 「個人を特定する情報が個人情報である」と信じているすべての方へ

このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ