見出し画像
Photo by koukichi_t

マイナ保険証問題とか公金受取口座問題とかは個人番号利用事務実施者問題ですから

ヨシモトアキヒラ

今、世間を騒がしているマイナ保険証が他人に紐づけられてしまってた問題とか、公金受取口座が間違って登録されてた問題とかは、個人番号利用事務実施者における本人確認義務不履行問題であって、マイナンバーが分散管理だからとか、ましてや情報提供ネットワークがどうのとかって話とは全く無関係なんでという話。

マイナンバー制度を危ぶむ諸課題

マイナンバー制度の否定にも繋がりかねない問題が頻発している。世間を騒がすのは

  • コンビニ交付で他人に証明書が出てしまった問題

  • マイナ保険証が他人に紐づいていて、情報が漏れてしまった問題

  • 公金受取口座が間違って他人の口座になってしまっていた問題

の三つ。

この中でコンビニ交付問題はマイナンバーとは全然関係ないので混ぜないように。これは言ってみればネットワークプリンターの制御ソフトがタコだったようなもの。交付の要求もとでちゃんと印刷すべきところを雑な制御してたせいで、間違って他のところで印刷しちゃったってだけのこと。なので詳細はここでは省略。

残りの二つは個人番号利用事務実施者が本人確認義務をちゃんと果たしていなかったということ。
なんだかそれをマイナンバーが分散管理されているからとか、情報提供ネットワークがどうのとか、変な説明している向きがあるようで、問題の本質がぼやけるので勘弁願いたい。

個人番号利用事務実施者と本人確認義務

マイナンバーとは、当たり前だけど個人を識別する番号。何に使うかというと、たくさんの個人に対する情報を集めたデータベースを作るとき個々人の情報を確実に識別するために使う。
大変便利なのだけど、便利すぎて何かとプライバシーリスクが高い。そこでこのマイナンバーを使ってデータベースを作って良いのは法律で認められた特別な人だけに限定されている。この特別な人のことを個人番号利用事務実施者という。

マイナンバー制度はマイナンバーが決まれば確実に個人(とその情報)が定まることを大前提に設計されている。当然ながら間違ったマイナンバーが登録されてしまうと制度の根底が崩れる。そこで個人番号利用事務実施者にはマインバーを取得する際に正しくその本人からそのマイナンバーを収集していることを確認する義務(本人確認義務)が課せられている。
くり返すが、マイナンバー制度はマイナンバーが正しいことを大前提に設計されている。よって、この本人確認義務はマイナンバー制度の根底をなす極めて重要な義務である。

マイナンバーの収集

マイナンバーを使ったデータベースを作るには大きく二つの方法がある。

  • マイナンバーとその他の情報をまとめて収集して、新規にデータベースを作る

  • 既存のデータベースにある個々人の情報に、マイナンバーを追加登録する

の二つ。
前者が公金受取口座の場合で、マイナンバーと口座番号のセットを新規に登録してデータベースを作っている。後者がマイナ保険証の場合で、健康保険組合がもともと持っていた被保険者のデータベースにマイナンバーを追加登録する。

どちらの場合もマイナンバーの収集は本人から直接が原則。当然、その際に厳格な本人確認義務の履行が求められる。
新規作成パターンでは本人確認義務が果たされればまずは安心。追加登録バターンではこれに加えて、既存データベースの情報と正しく紐づけられる必要がある。どれだけ厳密にマイナンバーを取得しても、既存データベースの他人の情報に紐づけてしまっては元も子もない。

で、何が問題だったのか

まず公金受取口座問題の方。こちらは本人確認義務が果たされていればひとまず安心だったはずだ。実際はどうだったか。
報道によると、窓口にある端末で各自が登録作業を行なった際、登録完了後にログアウトをしていない場合があって、次に操作した人の情報が間違って登録されていたらしい。
本来、個人番号利用事務実施者が本人確認義務を果たしつつ、本人からマイナンバーを収集すべきところ、本件では本人に端末を操作させている。
まあ、本人が直接登録をするのは良いとして、本人確認義務はどうやっているのか。これにあたるのがログインなんだろう。マイナバーカードを使ってログイン操作をすることで本人が確定し、正しいマイナンバーとなって本人確認義務が果たされている。
とすると、ログアウトしていない=次の人がログインしていないであって、まさに本人確認義務が果たされていないにほかならない。本質はそうゆうこと。

では、マイナ保険証の方はどうだろう。
こちらは報道によると、健康保険組合が住基ネットを使ってマイナンバーを取得した際に、同姓同名などの別人のマイナンバーを誤って登録したらしい。

ここで住基ネットを使った取得とはなんぞや。マイナンバーは本人から収集するのが原則だが、住基ネットを使うと名前や生年月日などをキーにマイナンバーを検索することができるようになっている。
名前には同姓同名があるし、おまけに生年月日も同一というパターンもあり得る。とにかくこれらの情報で個人を特定するのは不正確で怪しい。なので確実な識別手段としてマイナンバーが導入された。なのにこれらを使ってマイナンバーを検索するとは本末転倒も甚だしい。とはいえ、実務上はマイナンバーを検索したり確認したりしたい状況もある。なので、検索可能にはなっている。とにかく本来怪しい手段であり、できるとはいえ、その利用には慎重の上にも慎重を期さねばならないわけだ。

マイナ保険証の話に戻ると、この慎重に扱わねばならない方法を使ってマイナンバーを確定しようとして、案の定失敗しましたということ。
なぜ本人から取得しなかったのか詳細は不明だ。確かに難しい場合もあるだろうとは思う。しかしながら、本当にやむない場合に、相応の慎重さを持って利用していたのか?
あくまで想像だが、安易に使っていなかったか?本人から苦労して収集するより簡単だと勘違いしていなかったか?担当者は極めて慎重に扱わねばならない方法であることを自覚していたか?名前とかでぱぱっと検索すればマイナンバーが戻ってきて、本人確認するより楽だとか誤解していなかったか?
とにかく、本来は本人から本人確認義務を果たしつつ収集すべきところを、その義務を怠った結果であることは否定できない。

ということで、両者とも課題の本質は個人番号利用事務実施者が適切な本人確認義務を果たさなかったことであり、個人情報保護委員会マターなわけである。
本人確認義務はマイナンバー制度の根幹を支える義務だ。これがいい加減だとマイナンバー制度は立ち行かない。個人番号利用事務実施者は特権を与えられたものとして、このことを十分理解し、確実な本人確認を実施しなければならない。
それをなんだかマイナンバーの分散管理がどうのとか、情報提供ネットワークがどうのとか関係ない話を混ぜ込まれてしまうと、いちばん大切な問題点が見えなくなってしまうということ。

この記事が気に入ったらサポートをしてみませんか?