見出し画像
Photo by uminnaka

公的個人認証のシリアル番号の件とマイナンバーは無関係という話

ヨシモトアキヒラ

最近、公的個人認識証明書のシリアル番号に関する問題提起に関連して、なにやらマイナンバーと混同された意見が見受けられます。両者は全く無関係です。この記事ではその辺りの誤解について整理しようかと思います。

(なお、本記事ではIDをIdentifierの意味で使っています)

公的個人認証シリアル番号に関する指摘

公的個人認証、なかでも利用者証明用電子証明書は様々なサービスでログインなどの当人確認に利用される証明書です。典型的なのが最近話題のマイナンバーカードの健康保険証利用。
健康保険証では被保険者であることを確認するため、記号番号と言われるIDを用います。ではマイナンバーカードに記号番号が記録されているかというと、そうではありません。マイナバーカードに搭載されている利用者証明用電子証明書(の秘密鍵)を用いて当人を確認して、その結果からネットワークを介して記号番号を入手します。
ネットワークを介して記号番号を入手するからには、当人確認結果として何らかのIDを確定させ、それをキーにして対応する記号番号を入手する必要があります。このIDに電子証明書のシリアル番号が使われているわけです。

というような具合で、利用者証明用電子証明書による当人確認結果として電子証明書のシリアル番号が多様なサービスで利用されつつあります。電子証明書のシリアル番号は証明書の運用のため、個々の証明書を識別するIDです。ただ、個人に一対一で証明書が交付されるため、実質的に個人を識別するIDとして機能します。結果、多様なサービスで個人を特定する単一のIDが横断的に利用されることになります。これはプライバシー上の懸念材料です。

マイナンバー関係ありません

ここまでの話は全くその通りで、プライバーシーへの配慮について議論すべきという主張も真っ当なことです。ただ、見ての通り、マイナンバー全く関係ありません。純粋にシリアル番号の問題です。
確かにマイナンバーカードはちょっと出てきますが、これはあくまで利用者証明用電子証明書(の秘密鍵)の格納媒体として利用されているというだけのこと。言ってみればスマホにクレジットカードもSuicaも楽天ポイントカードも搭載されてますと同じ。だからって、楽天ポイントカードの話とSuicaの話が一緒くたになったりしないですよね。無関係。

では、なぜ証明書シリアル番号の話題とマイナンバーがごっちゃになってしまうのでしょう?
多分、以下の二つの理由からじゃないかなと思います。

マイナンバーに関連して作成されるという誤解

どうもシリアル番号がマイナンバーから作られているとか誤解している人がいるようです。証明書のシリアル番号はもともと証明書を運用するために付けられているものです。もちろんマイナンバーを使って作られたりはしません。
さらに、マイナンバーから作られるからシリアル番号はマイナンバー相当で特定個人情報だとか誤解を進めている人もいるようです。番号法では「個人番号に代わって用いられる番号」というマイナンバーと同等に扱わなければならない番号の概念があります。これはマイナンバーを変換して作られるような番号のことです。極論、マイナンバーの頭にAってつけて13桁にしたらマイナンバーじゃありませんとか許したら何の保護もできません。だから、変換したってマイナンバーだぞと。以前、xIDの違法性が問われたものこれですね。
で、シリアル番号がマイナンバーから変換して作られると誤解している人は、このルールを適用して、シリアル番号はマイナンバー相当じゃないかと言ってしまうと。当然そんなことはありません。

マイナンバーと比較した議論があるから

シリアル番号のプライバシーインパクトについて論じるに、マイナンバーのそれと比較した整理がよくなされます。これがマイナンバーと関連した問題だと誤解される理由なのかなと思います。
逆に、シリアル番号がそれなりに自由に使えるなら、マイナンバーももう少し自由に使って良いのではと言ったような議論もあって、余計に混同を進めているように見えます。
双方を比較して検討することは有効ですが、あくまで比べているだけで、それぞれは独立した問題。なにか関連しているわけではありません。

ちなみに、双方の違いです。まずマイナンバーの利用がこれほど厳密に制約されるのは三つの特性

  • 悉皆性(全国民に付いている)

  • 唯一無二性(一人に必ず一つ)

  • 永続性(一生涯変わらない)

のためです。このような特性を持ったIDは滅多にありません。大変強いプライバシーインパクトを持っています。
では、シリアル番号はどうででしょう。シリアル番号が備えている特性は実は

  • 唯一無二性

だけです。なんだ、じゃあ大したことないじゃんかなんですが、健康保険証利用などマイナンバーカードの普及が進んだために、かなり悉皆性が高まってきました。希望者のみといっても健康保険証となるとかなり強制力があるだろうと。
永続性も、公的個人認証の証明書有効期限は約五年。一生涯に比べれば遥かに短いといえますが、結構長い。プライバシーインパクトとしては十分あります。
ということで、相応にプライバシーインパクトのあるIDなんだからちゃんと考えましょうねという話です。はい、マイナンバーとは無関係です。


この記事が気に入ったらサポートをしてみませんか?