なか2656のblog

とある会社の社員が、法律などをできるだけわかりやすく書いたブログです

タグ:公的個人認証法

デジタル認証アプリトップページ
1.デジタル庁のデジタル認証アプリのパブコメ結果が公開される
デジタル庁のデジタル認証アプリについてはこのブログで何回か取り上げていますが、そのパブコメ結果が公表されているので読んでみました。つぎのパブコメ意見13番は私が送った意見とその回答です。
・「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に係る意見募集の結果について|e-Gov

パブコメ結果1
パブコメ結果2
パブコメ意見13番のデジタル庁の回答
デジタル認証アプリにおいては、個人情報を取り扱う場合、個人情報保護法に基づき適切に取り扱い対応します。シリアル電子証明書の発行番号をもとに、氏名等の4情報を照会することは、目的外利用に当たるため行うことができません。
また、デジタル庁がデジタル認証アプリを提供する際には、改正案の第29条第2項に基づき、セキュリティに関してプラットフォーム事業者と同等の基準を遵守する必要があります。
なお、デジタル庁を含む署名検証者については、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(以下「公的個人認証法」といいます。)第52条及び第53条において、シリアル番号を含む、地方公共団体情報システム機構から受領した電子証明書失効情報等について確認以外の目的での利用・提供が禁止されております。


2.「基本4情報は個人情報保護法上、目的外利用しない」
公的個人認証法の施行規則の一部改正で、デジタル庁が署名検証者になると個人の官民の各種サービスの利用履歴が一元管理され、国による名寄せやプロファイリング等の危険があるのでは?との趣旨の意見を私は送りました。しかし、デジタル庁の回答は「基本4情報は個人情報保護法上、目的外利用しない」だけです。

名寄せやプロファイリングの危険の対象は氏名・住所などの基本4情報というよりは官民の各種サービスの利用履歴であるわけですが、これら基本4情報以外の利用履歴等の情報の問題についてはデジタル庁は答えていないのは肩透かしであるように思えます。

3.公的個人認証法52条、53条の「電子証明書失効情報等」
また、パブコメ回答は公的個人認証法52条、53条が「電子証明書失効情報等」についても認証業務以外の利用が禁止されている旨を書いていますが、電子証明書失効情報等は同法の条文を読む限り、電子証明書が失効しているかどうかの情報であって、個人の官民の各種サービスの利用履歴の問題には関係ないように思われます。ここも肩透かしの回答のように思われます。

4.法律による行政の原則
さらに、デジタル庁が署名検証者になるという国民のプライバシーリスクのある今回の重大な制度改正について、国会による法律でなく施行規則(行政の内部規則)の一部改正だけで対応することは、「法律による行政の原則」(=国会による行政の民主的コントロール、憲法 41 条、65 条、 76 条)に反するとも私はパブコメ意見を書きました。しかし、この点は完全にゼロ回答となっています。

この点に関しては、デジタル庁に憲法・行政法をわかっている職員の方がいないのだろうかと、やや心配です。(デジタル庁の役職員の方々は、自分達を行政ではなく民間IT企業と勘違いしているのではないかと心配になることがあります。)

5.デジタル認証アプリのプライバシーポリシー
なお、デジタル庁は「基本4情報は個人情報保護法上、目的外利用しない」と回答しているので、デジタル認証アプリの利用目的をみるためにデジタル認証アプリのプライバシーポリシーを見てみると、「2. 取得する情報の範囲及び利用目的」の2項が「デジタル認証アプリサービスは、行政機関等又は民間事業者の依頼を受け、マイナンバーカードの読み取り等又は検証等を行い、当該読み取り等又は当該検証等に係る情報を当該行政機関等又は当該民間事業者(以下「委託者」という。)に連携するに当たり、利用者証明用電子証明書のシリアル番号、委託者、依頼に係るサービス、検証等の結果又は検証等若しくは連携等の日時を記録します。保有する当該記録は、デジタル認証アプリサービスの運用のために必要がある場合のみ利用します。」と規定しています。

プラポリ
すなわち、「シリアル番号、委託者、依頼に係るサービス、検証等の結果又は検証等若しくは連携等の日時」などの利用履歴に関する情報については、「デジタル認証アプリサービスの運用のために必要がある場合のみ利用します。」と規定されています。

そのため、デジタル認証アプリによりデジタル庁のサーバーに蓄積・保存された国民個人のさまざまな官民のサービスの利用履歴を政府(デジタル庁)が不当に名寄せ・プロファイリングなどしてしまうのではないかとのプライバシーリスクの問題については、デジタル認証アプリのプライバシーポリシーで一応対応がなされているように思われます。(しかしこのような重大な問題を、法律でなくプライバシーポリシー・レベルで対応してよいのか?という問題は依然として残るように思われます。)

ただし、デジタル認証アプリのプライバシーポリシーの「3. 利用及び提供の制限」は、「デジタル庁は、法令に基づく場合を除き、デジタル認証アプリサービスにおいて保有する情報を前条の利用目的以外の目的のために自ら利用し、又は第三者に提供いたしません。」と規定しており、「法令に基づく場合」にはデジタル庁が保有する各種の利用履歴が政府の各部門に利用やされる余地が残されている点は、やや心配です。

人気ブログランキング

PR
タグ :
#デジタル認証アプリ
#デジタル庁
#パブコメ
#公的個人認証法
#マイナンバーカード
#マイナンバー
#個人情報
#法律による行政の原則
#security
#privacy
このエントリーをはてなブックマークに追加 mixiチェック

デジタル認証アプリイメージ図
前回のブログ記事でも取り上げた、デジタル庁のデジタル認証アプリに関するパブコメに対して以下のような意見を提出しました。


『デジタル認証アプリについては、個人が官民の各種サービスを利用した履歴が一元管理され、不当な個人のプロファイリングや、関連性のないデータによる個人の選別・差別、国家による個人の監視などの個人の権利利益の侵害や個人の人格権侵害のリスクがあります(マイナンバー法1条、個人情報保護法1条、3条、憲法13条、「マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク」2024年2月26日付日経クロステック参照)。そのため、「法律による行政の原則」(憲法 41 条、65 条、 76 条)の観点から、公的個人認証法の施行規則の一部改正だけではなく、マイナンバー法そのものを一部改正し、根拠条文を設置し、利用目的や目的外利用の禁止、安全管理措置等を規定し、違法・不当な利用に歯止めをかけるべきと考えます。

また、デジタル認証アプリで収集された個人情報(「連続的に蓄積」されたサービス利用履歴等も含む。個情法ガイドライン(通則編)2-8(※)参照。)についても、利用目的の制限、第三者提供等の制限、安全管理措置、保存期間の設定、データ最小限の原則、開示・訂正請求など本人関与の仕組みの策定、情報公開・透明性の仕組みの確保、不適正利用・プロファイリングの禁止などの法規制がなされるべきと考えます。

さらに、マイナンバーカードの電子証明書の発行番号(シリアル番号)についても、マイナンバー(個人番号)に準じたものとして取扱うように法規制し、利用目的の厳格化、目的外利用の禁止、第三者提供の制限、厳格な安全管理措置などの法規制を、マイナンバー法を改正するなどして盛り込むべきだと考えます。(同様に、マイナンバーカードやマイナポータルなどについてもマイナンバー法に根拠条文が非常に少ないため、これらについても「法律による行政の原則」の観点から、政令や施行規則・通達等の整備ではなく法規制を実施すべきだと思われます。)』


■参考文献
・電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について|e-GOV
・マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク|日経クロステック
・マイナンバーカードの取得を強く求める政府 本当の狙いはどこに|朝日新聞
・マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?|朝日新聞
・民間事業者が公的個人認証サービスを利用するメリット|J‐LIS
・水町雅子『逐条解説マイナンバー法』267頁、269頁

■関連するブログ記事
・デジタル庁のマイナンバーカードの「デジタル認証アプリ」で個人の官民の各種サービスの利用履歴が一元管理されるリスクを考えた

人気ブログランキング

PR
タグ :
#デジタル認証アプリ
#デジタル庁
#パブコメ
#公的個人認証法
#マイナンバーカード
#個人情報
#security
#privacy
#マイナンバー
このエントリーをはてなブックマークに追加 mixiチェック

↑このページのトップヘ