デジタル先進国からマイナカードに疑問符 韓国では「国民の40%がカード紛失」
本当に大丈夫なのか?紛失時のセキュリティ対策を考えておくべき。
岸田政権がゴリ押しするマイナンバーカード。2月末には、最大2万円分のポイントをもらうための「駆け込み申請」で人々が役所に殺到する事態となった。しかし、デジタル先進国からは疑問の声も聞かれるのだ。
「マイナカードはデジタル社会を新しくつくっていくためのパスポートだ」
昨年10月、保険証の廃止をぶち上げた会見でそう述べた河野氏。その発言の影響力は今なお健在で、今年2月には給食費無償化をマイナカード取得者に限定する方針を示した岡山県備前市の吉村武司市長が「マイナンバーカードはデジタル社会の構築に必要なツール」とその理由を述べている。
しかし、カード取得を事実上強制するまでしなければ、本当にデジタル社会は到来しないのだろうか。
この疑問に答えてくれるのは“デジタル先進国”と呼ばれる国々だ。
国連が昨年9月に発表した「電子政府ランキング」で、日本は総合14位。より上位にランクインしたデジタル先進国にもマイナカードに相当する番号カードが存在するのであろうか。
デンマークは「カードなし」
まずは1位のデンマークから見ていこう。同国の事情に詳しいジャーナリストの坂井明氏によれば、
「デンマークでは1968年以来、国民にCPR番号という共通番号が付番されています。導入当時にはカード化も検討されたようですが、手続きの煩雑さや費用の面から断念。現在でもカードは発行されていません」
では行政のデジタル化はどのように進められたのか。
「行政のオンライン手続きで使用するのは共通番号とは全く別のIDです。共通番号と異なるIDを使うのは犯罪防止のためで、スマホでパスポートのICチップを読み取り、顔認証も行う厳格な本人確認を経て発行されます。すでに90%以上の住民がこのIDを取得しており、住所変更はもちろん育児ケアの申し込みや遺言も可能。かつてオンライン手続きのために専用カードが使われていた時期もありましたが、セキュリティーの問題からこちらも廃止されています」(同)
マイナカードに相当する番号カードが存在しないデジタル先進国は他にもあって、7位のオーストラリア、10位のアメリカでもそのようなカードは存在しない。
また、11位のイギリスも一度は番号カードの導入が決まったものの、プライバシーや費用の問題から10年に法律が廃止されている。
「カードが必要という理屈がよく分からない」
オーストラリア第3の都市であるブリスベンで会社を経営する女性は、
「オーストラリアには納税者番号と医療番号がありますが、どちらも分野別の番号。80年代にオーストラリアカードという共通番号に基づく身分証の導入が議論されたこともありましたが、実現していません」
日本の保険証に相当するカードは存在するというが、
「管理番号と名前が書いてあるだけで生年月日も顔写真も記載されていないため、身分証明書として使うことはない。病院では券面に表示されていない生年月日や既往歴を確認することで他人による悪用を防いでいます。番号カードがなくても行政手続きはほとんどオンラインでできるので、デジタル化のためにカードが必要という理屈はよくわかりません」(同)
40%が紛失
一方、3位の韓国では17歳以上の国民に13桁の住民登録番号が付番され、番号が記載された住民登録カードも幅広い分野で利用されている。だが、『韓国 超ネット社会の闇』などの著書があるジャーナリストの金敬哲氏によれば、
「韓国では『政府24』というオンラインサービスがありますが、住民登録番号を使ってワクチン接種証明や家族関係証明書など多くの書類を取得できます」
つまり韓国でもオンライン行政手続き自体にカードは使われない。住民登録カードの廃止も議論の俎上に載っているといい、
「問題の一つはカードの紛失です。一昨年には17歳以上の国民の約40%が10年間のうちに1回以上、カードを紛失していることが分かりました。再発行は10年間で1650万件に上り、1千億ウォンもの費用がかかっていたのです」(同)
いかがだろうか。もちろん番号カードを必要とする事情は国によって異なるため、容易に比較できるものではない。だが、カードを用いずにデジタル政府化を成し遂げた国々がある以上、カードの普及が絶対条件であるかのような河野氏の発言はミスリードと言われても仕方あるまい。必要とされているのは、あくまで丁寧で合理的な説明なのだ。
マイナカードの利点・欠点を知った上で、我々もその是非を熟考すべきだろう。
「週刊新潮」2023年3月2日号 掲載
マイコメント
これだけセキュリティ上の不備が指摘されているマイナカードを政府がごり押しする理由は
どこにあるのだろうか?
もし、仮に紛失して犯罪に使われた場合誰が責任を取るのだろうか?
紛失した本人になるのだろうか?
紛失することは最初からわかっていることなので、紛失した際のセキュリティが問題となるが
先日もマイナカードが盗まれた際の問題点が指摘されている。
マイナカードの申請が80%近くなっているというが本当に安全なのだろうか?
被害に遭う前に紛失時の対策を検討すべきだろうと思います。
マイナカード「落としても悪用されない」はうそ? 「セキュリティーがあまりにも脆弱」
岸田政権がゴリ押しするマイナンバーカード。2月末には、最大2万円分のポイントをもらうための「駆け込み申請」で人々が役所に殺到する事態となった。しかし、専門家はそのセキュリティーの脆弱(ぜいじゃく)さを指摘するのだ。
岸田政権がデジタル社会実現のため、一丁目一番地の課題として挙げる「マイナンバーカード(マイナカード)」の取得促進。
2015年に日本国内の全ての住民に12桁の番号が指定されて運用が始まったマイナンバー制度だが、一向に上がらないマイナカードの取得率は歴代政権の悩みの種であった。業を煮やした岸田文雄総理が状況打開のために投入したのが「2万円分のポイント」と「河野太郎」という二つの奇策。すなわち昨年5月にアナウンスされた公金受取口座のひもづけなどにより最大2万円分のポイントが付与される「マイナポイント事業第2弾」と、8月にデジタル相に就任した河野太郎氏である。
ポイント事業にはすでに2兆円超の予算が注ぎ込まれ、昨年10月には河野氏がマイナカードと一体化した上で健康保険証の廃止を目指すと発表。奇策は功を奏し、今年1月の時点でカードの申請件数は運転免許証の保有者数を上回り、普及率は70%近くに達している。
もちろん行政が効率化されるのは結構な話である。マイナポータルを使ってオンラインで行政手続きが行なえる電子政府化の促進も喫緊の課題であろう。さらに、個人情報が従来通り分散管理され、芋づる式に情報が漏洩する恐れがないのも理解はできる。
だが、果たしてカード普及のために消費税1%分に相当する血税を投入する必要はあったのか。保険証を廃止し、「資格確認書」という新たなムダを生み出してまでカードの取得を事実上強制する必要はあったのか。
見えてきたのは「設計不良」ともいえるマイナカードの不都合な真実であった。
マイナカードと保険証の一体化により、今後多くの人がカードを常時携行することが考えられる。河野氏も自身のホームページ上で〈(便利な)サービスを利用するために、マイナンバーカードを持ち歩きましょう〉と肌身離さず携帯することを推奨しているくらいだ。だが、その歯切れの良さとは裏腹に“常時携行”に一定のリスクが伴うことはあまり理解されていない。
『超ID社会』などの著書がある、一般社団法人「情報システム学会」常務理事の八木晃二氏によれば、
「現行のマイナンバーカードには異なる目的を持つ機能が乱暴に放り込まれ、“持ち歩いてよい機能”と“大切に管理すべき機能”とがごちゃ混ぜになってしまっています」
そもそもマイナンバー制度は、12年に当時の民主党政権が「社会保障と税の公平化・効率化」を掲げて法案を提出したのが始まり。現在も、マイナンバー自体は「社会保障」「税」「災害」の分野でしか使うことができない。だが、番号が記載されたマイナカードにはすでに「電子政府にアクセスするための国民ID」や「全国民共通の身元証明書」といった機能が盛り込まれ、今後も拡大されていく見込みである。
「『社会保障と税の改革』も『国民ID』も『身元証明』も、必要なのは“本人確認”ですから、これらを一つのカードに組み込むことは一見合理的に思えます。ただ、それぞれで求められる本人確認のレベルは、全く別物。マイナンバー制度の設計関係者たちが、それを理解せずに制度設計を進めてしまったと思われます」(同)
四つの本人確認
八木氏によれば、デジタル社会には大きく分けて四つの本人確認が存在する。
一つ目は「身元確認」と呼ばれる本人確認である。信頼できる発行機関が発行した証明書上の顔写真などの形質情報と、目の前の人の形質を照合することにより、その人が証明書上の本人であると確認することを指す。警察官に「身分を確認できるものを」と言われ運転免許証やパスポートを提示する行為がまさにこれで、マイナカードの「身元証明書」としての機能もこの「身元確認」に含まれる。
二つ目は「当人確認」または「認証」と呼ばれ、ログインIDと暗証番号の組み合わせなど、当人しか知り得ない情報を照合することによって、ログインしているのがユーザー登録を行なった当人であることを確認することを指す。現行のマイナカードでは、オンラインで行政手続きができるマイナポータルにログインする際、カードをカードリーダーで読み取った上で4桁の暗証番号を入力することになっている。つまりマイナカード自体を当人確認のツールとして使用しているのである。
そして、三つ目と四つ目が「真正性の確認」と「属性情報確認」と呼ばれる本人確認だ。「真正性の確認」で、申請者が提示した番号が本当にその申請者に付番されたものかを確認し、「属性情報確認」で、その番号にひもづくさまざまな情報を取得・確認する。マイナンバー制度の当初からの目的である「行政の効率化」や「社会保障と税の一体改革」は、この「真正性の確認」と「属性情報確認」によって成し遂げられるものである。
マイナカードには、このようにレベルの異なる本人確認機能が一緒くたに盛り込まれている。だが、実はこれら四つの本人確認のうち、マイナンバーが使われるのは三つ目と四つ目だけなのだ。
身元確認でマイナンバーを使用する必要がない?
「マイナンバーはヒトに付された番号で基本的には生涯不変。しかし、一つ目の身元確認の場合、必要なのはヒトに付された生涯不変の番号ではなく“券”すなわち証明書自体に付された“券面管理番号”です。カードを紛失して再発行した場合、この券面管理番号が更新されることで古いカードは失効される。事実、マイナンバーカードにも免許証やパスポートと同じく券面管理番号が振られており、身元証明書として使う限りマイナンバーが書かれている必要はありません」(同)
では、二つ目の当人確認の場合はどうか。
「マイナンバーは“本人しか知らない秘密の番号”ではありませんから、当人確認のログインIDとして使用することは、あまり適切ではありません。そこで“カードを所持しているか”と“4桁の暗証番号を知っているか”で当人確認をすることにしたのです。マイナポータルにログインする際、カードをスマホやカードリーダーで読み取るのは、このためです」(同)
つまり、身元確認も当人確認も、わざわざマイナンバーが記載されたカードを使用する必要はない。言い換えれば、マイナンバーとこの二つの本人確認に使用するカードとの間には何の関係もないのである。これは多くの国民にとって寝耳に水の話であろう。
カード盗難で簡単に突破
それでも“複数の本人確認が1枚のカードで済むのなら、やはり便利ではないか”と思う人がいるかもしれない。ところが、そこには明確なリスクも存在する。
「印鑑を例に考えてみましょう。私たちは宅配便の受け取り程度であれば認印と呼ばれる三文判、銀行口座を使う場合は銀行印、不動産などの取引では印鑑登録をした実印、と場面によって印鑑を使い分けます。マイナンバーカードは、これを全て実印に統一しようと言っているのと同じです。日常的に実印を常時携行して使用するのはあまりに不用意でしょう」(同)
河野氏は〈キャッシュカードと同様、暗証番号が必要〉〈紛失・盗難時には利用停止ができる〉〈暗証番号を一定回数以上間違えるとロックされる〉などの理由で“カードが悪用されることはない”と胸を張る。だが、
「マイナポータルへのログインにはマイナンバーカードと4桁の暗証番号しか求められません。暗証番号を書いたメモを一緒に持ち歩いていたり、誕生日など単純な暗証番号にしていたりすれば、カードを盗まれた場合に簡単に突破されてしまう」(同)
セキュリティーは脆弱
近年はオンラインバンクなどの民間サービスでも、使い捨ての暗証番号であるワンタイムパスワードなどを使用した多段階認証が常識になっている。これを考えれば、マイナカードを使用した認証のセキュリティーレベルはあまりに脆弱というわけだ。
「それに、防犯カメラのついたATMでしか使えないキャッシュカードの持つリスクと、機器があれば誰のパソコンからでもログインできるマイナンバーカードの持つリスクは比べ物になりません。暗証番号ロックや利用停止なども盗難やなりすましの予防効果としては限定的です。むしろ、今後多くの民間サービスとひもづけられれば、ロックや利用停止で生活が立ち行かなくなってしまいます」(同)
民間サービスとの連携が進めば、それだけ悪用のリスクも増加する。今一度、熟慮と検証が必要である。
「週刊新潮」2023年3月2日号 掲載
→https://news.yahoo.co.jp/articles/456544c59876c4f3ae37309be8e538aeace8373f?page=3
コメント