マイナンバーが漏洩したらどうなるかをシミュレーションする【元担当】2
皆さんこんにちは。元市役所のマイナンバーカード担当が、マイナンバー漏洩時のリスクについて検討する会、2回目です。
前回の記事では、マイナンバー(番号だけ)が漏洩した場合、通知カード(番号+4情報)が漏洩した場合、マイナンバーカード(番号+4情報+顔写真)が漏洩した場合、電子証明書(マイナンバーカード搭載の機能)が悪用された場合について検討しました。詳しくは下記を参考のこと。
今回は、もう1歩踏み込んで、マイナンバー等が漏洩した場合に考えうる最悪のケースと、それに対する解決策を書いていきます。また、記事の最後にはマイナンバー制度から目を背けるなというメッセージを発信します。
4.最悪の場合を想定する
電子証明書が悪用された時リスクは前に解説したので置いておいて、他の3つを失くした場合について、もう一度掘り下げます。
先に述べたとおり、マイナンバーやマイナンバーカードを失くしたからといって、それだけで重大な情報漏洩が起こることは基本的にはありません。しかし、何事にも運が悪い場合があります。今回は、考えられるだけ最悪の事態をいくつか挙げていきます。
(1)拾った人が番号利用事務担当者
拾った人が個人番号を利用する事務に従事する人(個人番号関係事務実施者)の場合、漏洩する情報量は増えます。個人番号利用事務実施者のおもな例は、官公庁に勤めている人です。
マイナンバーには、①個人を識別する機能と②個人を検索する機能があるので、拾った人の所属組織が保有している特定個人情報ファイルから情報を容易に検索・閲覧することができてしまいます。
とはいえ、マイナンバーが個人番号利用事務実施者の手に渡ったらすべての情報が筒抜けになるわけではありません。当然、その人が閲覧する権限のない特定個人情報ファイルの情報は調べることができませんから。ただし、悪用されてしまうと、通常より見られる情報が増えることはたしかです。
この場合、マイナンバー(番号)だけを拾われたとしてもリスクになります。拾った人が使っている業務システムにマイナンバーで情報検索できる機能がある場合、番号を入力するだけで個人を特定できてしまいますから。
とはいえ、ちゃんとした組織ならシステムのログは定期的にチェックされます。なので、不自然な検索履歴があった場合、事情を聴きとられたうえで問題があれば処罰の対象となりますので悪用は絶対にやめましょう。
(2)券面をみだりに拡散される
次に、通知カードやマイナンバーカードを拾った人が、悪意をもってその情報をSNSなどで拡散させてしまった場合です。この場合、不特定多数の人に氏名・性別・生年月日・住所・マイナンバーが漏洩します。ただし、ここでの情報漏洩は、通知カードやマイナンバーカード限定の話ではなく、運転免許証や保険証であっても同じことが起こりえます。券面を見られたらどの本人確認書類でも大きなリスクになるのです。
この場合、マイナンバー(番号)だけを拡散されても情報漏洩のリスクは低いです。なぜなら、他の情報とは紐づいていないから。まぁ、拡散されたマイナンバーを個人番号利用事務実施者が見て、所属している業務システムに入力すれば話は別ですけど。(1)と同じ状態になります。
ちなみに、他人の個人情報などをみだりに拡散する行為はプライバシーの侵害にあたり、場合によっては処罰の対象となります。また、不正な手段や本来の目的から反して得た情報を悪用することも処罰の対象です。絶対にやめましょう。
以上の2つが可能な限りマイナンバーを悪用する方法です。どちらにせよ制度上の制約や監視をしっかり受けますので、悪用したら速攻バレると思いますけどね。
5.失くした時にやるべきことは?
マイナンバーは、その特性(識別性&検索性)から下手をすると情報漏洩が起こってしまう可能性を含んでいます。しかし、そうならないように個人情報保護法、マイナンバー法などの法令で厳しく規制しているわけですし、監査など外部の目を通すことによって、内部の不正な利用を取り締まるようにしています。
そうはいうものの、うっかり失くしてしまったときは不安ですよね。ですので、万が一の時の対応策についてまとめていきます。ここで述べる内容は、私が実際に案内した内容も含みますので参考になると思います。
(1)電子証明書は即刻一時停止
マイナンバー関連で一番怖いのは、電子証明書の漏洩だと思っています。インターネット上で本人であると主張できる機能が赤の他人の手にわたっている状態ですから。なので、マイナンバーカードを失くした場合は、マイナンバーコールセンターへ速やかに電話して、電子証明書の利用を一時停止させてください。0120-95-0178。電話をすれば即刻停止がかかり、その電子証明書は使えなくなります。クレジットカードと考え方は同じです。
カードが見つかれば一時停止を解除してしまえばいいし、見つかる見込みがないのであれば、カードを再発行してしまって、そこに新しい電子証明書をつければ良い話です。ちなみに、有効な電子証明書は1人につき1つのため、古いほうの電子証明書は確実に失効されます。ご安心を。
(2)警察に紛失届・被害届
家で失くしてしまった、捨ててしまったなど、他人の手には確実に渡っていない場合以外でマイナンバーカード・通知カードを失くした場合は、警察へ紛失届、または、被害届をしてください。考え方は財布や携帯電話を失くしたときと同じです。
市役所でマイナンバーカードを再発行する場合、紛失届などの受理番号が必要になります。受理番号がない場合は手続きをお断りして警察署へ行っていただくこともありますのでご注意を。
多くの場合は、(1),(2)の手続きを経ることでマイナンバーを失くした時の対応は終わりです。しかし、重大な場合は(3)に進みます。ここでいう重大な場合とは、4.で述べたような明確な悪用が判明した場合などを言います。例えば、インターネット上で自分のマイナンバーカードの写真が拡散されていたとか。
(3)マイナンバー窓口で番号変更を
明確な悪意をもって個人番号やカードを奪われた、ネット上に拡散されたなど、実害がある場合は住民票のある市町村のマイナンバー窓口まで行き、番号変更の手続きをしましょう。その場合は被害届の受理番号や、被害状況のわかる資料が必要になります。
被害の状況の説明と資料を見たうえで、番号変更が必要だと自治体が判断したら変更の手続きが進み、2~3週間程度で新しい個人番号が通知されます。なお、番号が変更になった場合、関係各所へ変更した旨を申請する必要があります。でないと情報連携ができなくなりますからね。
(4)そもそもみだりに番号を見せない
ちょっと話は戻りますけど、そもそも番号はみだりに人へ見せないことが大事です。繰り返しにはなりますが、マイナンバーの漏洩それ自体が重大な情報漏洩リスクを生むことは基本的にありません。なので、マイナンバーを見られただけで情報が洩れることはありません。マイナンバーを見られて、そのマイナンバーで特定個人情報の検索をしだすとマズいのです。
しかし、番号をみだりに人へ見せびらかしていれば、偶然悪意のある人の目に留まってしまう可能性が生じます。人に見せなければ漏洩はしない。
そういうと「マイナ保険証でマイナンバーカードを持ち歩かせるのは矛盾している」という主張が聞こえてきそうですけど、マイナ保険証それ自体はマイナンバー(番号)を使っていません。マイナ保険証は、電子証明書を使っています。そりゃ、マイナ保険証使うときにマイナンバーを見せびらかしながらやってたらちょっとなぁと思いますけど。
大切なのは、マイナンバー(番号)を提供しなければならないのはどのような時か、マイナンバーではなくマイナンバーカード(電子証明書)が必要なのはどのような時かを理解しておくことです。本来なら見せなくていいときに見せないように。
基本的には、税・社会保障・災害対策に関する手続き以外でマイナンバー(番号)を使うことはありません。それ以外で「マイナンバー」という単語が出てきたら、基本的にはマイナンバーカード(電子証明書)を使います。番号は要らない。
6.マイナンバーから目を背けない
元担当者としていえることは、番号制度がなくなることはないということです。仮に「マイナンバー」ではなくなったとしても、類似した番号制度は残り続けます。なぜなら、社会や行政はこれからもデジタル化するから。そして、行政のデジタル化・効率化には、個人を識別する機能と検索する機能のある番号が必須だからです。
いくら国民が反対しようと、番号制度は続きますし、その番号制度に基づいたオンライン連携は拡大されていくことでしょう。遅かれ早かれ保険証は廃止されるし、免許証もいずれは一体化する。これは間違いなく訪れる未来だと思います。
たしかに、マイナンバー制度は便利な反面、情報漏洩の危険もあります。しかし、大切なのは国民ひとりひとりがこの制度に対してどう向き合うか、万が一のリスクに対して、どのように対応すべきかを常に考えておくことではないでしょうか。
私も微力ながら、元担当者としての知識・経験を発信して、皆さんの制度理解に貢献したいと考えています。この記事を見た機会に一度マイナンバーを見つめてみてはいかがでしょうか。
最後に、総務省およびデジタル庁の皆さん。案件お待ちしております。