マイナンバーが漏洩したらどうなるかをシミュレーションする【元担当】1
<8/19 20:00追記>マイナンバーカードの項目を追加しました。
マイナンバーって結局どうなん?
昨今は、マイナンバーに関するネガティブなニュースが後を絶ちません。現状、マイナンバー=情報漏洩みたいなイメージが染みついていて、来春に予定されている医療扶助(生活保護で医療を受けること)のオンライン資格確認や、来秋に予定されている健康保険証の廃止(マイナ保険証)にも影響が出そうです。
そこで、マイナンバーやマイナンバーカードによる情報漏洩について考えていきます。今回は、本人がマイナンバーに関するものを失くした場合に生じる個人情報漏洩のリスクに絞ります。
著者(私)は、市役所のマイナンバーカード関係部署で2年間の実務経験があり、マイナンバー実務検定1級を取得しています。なので、ネットニュースとかよりは正確かつ丁寧な説明ができるはずです。よろしければ…。
1.マイナンバーを失くした
まず、マイナンバー(12桁の数字)だけを落としてしまい、漏洩した場合を想定してみました。あまりないとは思いますけど。例えば、マイナンバーだけを書いた付箋を外出先で落としてしまい、それを悪意のある人が拾ってしまったという場合。
(1)情報漏洩のリスクはほぼゼロ
結論、情報漏洩のリスクは極めて低いと推測されます。なぜなら、番号を知ったところでその人の個人情報はわからないから。皆さんのなかで、12桁の番号を見たら、その人が何年生まれでどこに住んでいる誰さんかわかる人はいますか?多分いないと思います。
過去の記事でも書いていますけど、マイナンバーそれ自体はただの背番号です。それ単体では何も意味しません。何か別の情報と紐づけることでその効力を発揮するものです。
ということで、マイナンバー(12桁の数字)それだけを落としたとしてもあなたの情報が漏れる可能性は極めて低い、つまり悪用されるリスクも低いと推測されます。
2.通知カードを失くした
次に、通知カードを失くした場合を想定します。財布の中に通知カードを入れていて、財布を開いた時に落としてしまった。そして、その通知カードを悪意のある誰かに拾われてしまったという場合。
ちなみに、通知カードとはこんなんです。本人の個人番号・氏名・性別・生年月日・住所が記載されています。通知カードを受け取った後に住所変更や氏名変更などがあった場合は、裏面に追記されています。
(1)券面の情報はバレる
結論、個人情報は一部漏洩します。漏洩する情報は、あなたの個人番号・氏名・性別・生年月日・住所・氏名や住所などの変更履歴(裏面)です。
上記が漏洩するのは当然のことです。だって書いてあるもの。ですけど、それは保険証などを落とした場合と同じ状態です。保険証も落とした時にはあなたの個人情報と被保険者番号が漏洩します。
(2)あなたの全情報はバレない
上記のとおり、通知カードを落とすと一部の情報が漏洩します。ですが、巷で噂をされているような、マイナンバーをキーとして芋づる式にすべての情報が漏洩するリスクは極めて低いです。なぜなら、個人番号を知ったとしても、特定個人情報ファイルを閲覧できないから。特定個人情報ファイルとは、マイナンバーと氏名などを紐づけた情報(=特定個人情報)が集まった台帳のようなものです。住民基本台帳とかがまさにこれ。
繰り返しますけど、マイナンバーは背番号とほぼ同じです。背番号の機能を改めて考えると、①個人を識別する機能と②個人を検索する機能があると考えられます。ざっくり言えば、①は同姓同名でも別人と識別できること、②は機械が読めない珍しい漢字の人でも検索できることが強みです。上記がマイナンバーの強みであり、逆に言えばそれしか強みはありません。四次元ポケットのように、情報を無から引っ張り出す機能はありません。
ということは、マイナンバー+氏名を把握しても、マイナンバー+氏名+税情報など、特定の個人情報と紐づいた業務用データベースなどにアクセスできる環境がないと、その情報を調べることはできません。自分のマイナンバーをググっても何も情報はでませんよね?
(3)悪意ある紐づけも難しい
一方、自分のマイナンバーが悪意のある他人の情報と紐づけられてしまう可能性も懸念されますが、それも確率としてはかなり低いです。なぜなら、マイナンバーの手続きをする際は、番号確認+本人確認となるからです。
番号確認とは、提出されたマイナンバーが本人のマイナンバーだと確認することです。提出されたマイナンバーが間違っていたら意味ないので、マイナンバーカード、通知カード、住民票など、マイナンバー+氏名などが紐づいた資料を見て確認します。
本人確認とは、手続きに来た人が、本人(または権限委譲された代理人)であるかを確認することです。マイナンバーを他人に提供できる権限がある人は法律で制限されていますからね。
上記をふまえると、通知カードを提出すれば、番号確認は通ります。通知カードに記載されたマイナンバーは、その人の番号に違いありませんから。ただし、通知カードそれ自体は本人確認書類にはあたりませんから、追加で本人確認をされます。顔写真付の身分証1点 or 顔写真なしの身分証2点の提示が必要。また、本人以外が届け出をする場合は委任状が必要です。
悪意のある他人が手続きをしようとすると、本人確認および代理権の確認(委任状)でほぼ確実に引っ掛かります。なので、手続きすらできません。
ニュースで話題になっているようなマイナンバーの登録ミスは、本人確認した後に入力した番号に打ち間違いがあったとか、マイナンバーが正しいかを検証するときの検証キー(氏名・住所・生年月日・性別)が間違っていたとか、ケアレスミスが原因です(あってはなりませんけど)。悪い人が情報を引っ張り出すために他人のマイナンバーを自分の個人情報と紐づけたとかそういったケースではありません。
よって、通知カードを落とすと、保険証を落とすレベルの情報漏洩は生じるものの、あなたの全情報が漏洩するには至らないし、マイナンバーを悪用されるリスクも低いと推測されます。
3.マイナンバーカードを失くした
次に、マイナンバーカードを失くした場合を考えます。マイナ保険証を利用するためにマイナンバーカードを持ち出したところ、落としてしまった。そして、そのカードを悪意のある他人に拾われてしまったという場合。
ちなみにマイナンバーカードはこんなやつ。ご存じですよね。
(1)基本は通知カードと同じ
失くしたものがマイナンバーカードであっても、基本的には通知カードと同じ結果になります。拾われた人には券面の情報(氏名・性別・生年月日・住所・マイナンバー)を見られてしまうものの、その人が特定個人情報ファイルにアクセスできない場合は、マイナンバーをキーとして芋づる式にすべての情報を見られることはできません。
ただし、通知カードとは異なる点として、顔写真が添付されていることがあります。それによって、マイナンバーカードはそれ単体で顔写真付の本人確認書類として成立します。ただし、本人以外がマイナンバー関連の手続きをするためには、代理権の確認(委任状等)が必要になりますので、悪用をしようとしても、代理権の確認で引っ掛かります。
顔写真がある以上、通知カードよりは漏洩する情報は増えます。それでも世間で言われるようなこの世の終わりみたいな情報の漏洩にはなりません。イメージとしては、運転免許証や旅券を落とした時と同等のリスクを背負うことになります。
(2)電子証明書はかなり危険
というのが、マイナンバーカードだけに限った話。マイナンバーカードに搭載されている電子証明書になると話が全然変わってきます。マイナンバーカードの券面に暗証番号が書かれた付箋が貼ってあり、その付箋ごとカードを失くしたと仮定します。
電子証明書は、その仕様上、正しい暗証番号が入力されると、本人がアクセスしたとみなされてしまいます。本人しか持ちえないカード、かつ、本人しか知りえない暗証番号が入力されたということは本人でしょうという理屈です。インターネット上では顔が見えませんからね。
よって、マイナンバーカードと暗証番号を同時に失くし、さらに、それらを悪意のある人に拾われた場合、電子証明書を用いたオンラインでの手続きで悪用されるリスクが生じます。具体的には、マイナポータルで所得の情報や受診歴を閲覧されたり、マイナポイントを勝手に申し込まれたり、架空の確定申告をされる恐れもあります。これは、ほかのものとは比較にならない明確なリスクになります。
だからこそ、マイナンバーカードに設定された暗証番号は誰にも教えてはならないのですし、万が一漏洩した場合の一時停止連絡を24時間365日体制で受け付けているのです。今見ている方で、マイナンバーカードと暗証番号を同時に紛失したという方は、すぐにマイナンバーコールセンター(0120-95-0178)へ。停止さえしてしまえば、オンラインでの利用ができなくなりますので、電子証明書による漏洩のリスクはゼロになります。
マイナンバーカードを失くした場合、カード自体によって情報が漏洩するリスクは運転免許証と同じくらいです。しかし、電子証明書を放っておくと重大な情報漏洩のリスクになります。気を付けましょう。
続く
書いていて長くなったので、記事はいくつかに分けます…。今回はここまでにします。次回は、マイナンバーやマイナンバーカードを失くした場合のリスクをもう1歩掘り下げて分析していきます。お楽しみに。
この記事が気に入ったらサポートをしてみませんか?