米国からマイナンバーを擁護する ー あるいはフラットモデルの災厄について
新政権のデジタルガバメント構想の一環として、マイナンバーが日本でも再び注目を集めている。健康保険証や免許証との一体化や、銀行口座との紐づけなどを通して、国民IDとしての機能強化を目指す方向だ。
マイナンバーは、その仕組みの複雑さと不便さ、セキュリティに対する漠然とした不安、国家による監視強化への恐怖など、様々な観点と相反する国民感情が混然一体となるトピックであるため論点を整理しにくい。本稿は、このマイナンバーについて、米国の(実質的な)国民ID制度であるSSN(Social Security Number:社会保障番号)を参照点として理解を深めてみようという趣旨のテキストである。特に、国民IDのセキュリティの要衝である認証(本人確認)にフォーカスする。「マイナンバーとマイナンバーカードの違いってなに?」とか「なぜマイナンバーは他人に知られても大丈夫なの?」という素朴な疑問にも、認証におけるセキュリティという観点から答える内容となっている。
マイナンバーというのは、それ単独で見ると制度の複雑さとその帰結としての普及率の低さ(2020年11月現在で30%に届いていない)などマイナス面が目立ちがちだが、これは別に総務省が無能だからこうなったのではなく、SSNに代表されるフラットモデルが持つ欠点に対処した結果だという点は理解する必要がある(もちろん、住基ネット最高裁判決など国内事情も関係しているが、これはどちらかというとバックエンドの情報連携に影響している)。
米国のSSNは国民ID制度としては控えめに言って破綻しており、なりすましや詐欺が横行している。マイナンバーは先例の失敗をよく研究して今の形が選択されている。それが使いにくさの免罪符になるかは別問題として、今後の活用や普及の議論をする際に、まずはマイナンバーの設計思想を抑えておいて損はないだろう。
国民IDの三体系
前段で、フラットモデルという用語を出したが、これは国民IDのモデルの一つである。現在、世界各国で利用されている国民IDは、大きく以下の三つに分類される。
1) フラットモデル
官民横断の分野共通IDを利用するモデル。仕組みがシンプルで電子行政化を進めやすく、使う側にも利便性が高いが、政府職員の情報悪用時やIDが漏洩したときに被害が大きくなりやすい。米国、韓国、スウェーデン、エストニアなどが採用する。
2) セパレートモデル
分野個別IDのみで、共通IDが存在しないモデル。ID漏洩時の被害は局所化されるが、情報連携が非効率でユーザが多くのIDを管理せねばならないため、使い勝手も不便になりやすい。ドイツ、フランスなどが採用する。
3) セクトラルモデル
分野個別IDと共通IDの併用型で、分野横断の情報連携では個別IDを共通IDに変換する。オーストリアや日本が採用する。マイナンバーはオーストリアを参考にしつつ、フラットモデルとセパレートモデルも一部取り入れている。たとえば、マイナンバーの利用範囲は税・社会保障・災害対応に限定している点でセパレートモデルだが、税の申告において民間企業や健康保険組合にマイナンバーの取り扱いを許可している点ではフラットモデル的である。
国民IDの三体系についての整理は、鈴木尊己「日本がモデルにしたオーストリア 電子政府と今後のID連携」や国際社会経済研究所「国家情報システム(国民 ID)に関する調査研究報告書」が分かりやすい解説である。各モデルのイメージ図は、後者から引用した。
SSNとは何か - フラットモデルという災厄
さて、それではまず米国の(事実上の)国民IDであるSSNの仕組みとその問題点を見ていきたいと思う。さっきから「事実上の」という枕詞がうっとうしいと思うが、これを付けないといけない事情は後述する。
SSNは「社会保障番号」という名前のとおり、もともとは社会保障給付(とセットの徴税)のために、1936年にニューディール政策の一環として導入された。当初は目的限定的だったが、民間企業や公的機関がSSNを利用することを制限する法律がなかったこともあり、1960年代にコンピュータの普及とともに分野横断IDとして広く利用されるようになった。1961年に連邦政府職員のIDとして利用されたのをきっかけに、翌62年にはIRS(内国歳入庁)が納税者識別番号として使い始めた。1988年に行われた連邦政府の調査によれば、SSNを利用する組織の89%が個人を特定するため、68%が外部組織と情報連携するために利用していたというのだから、この時点ですでに国民IDのポジションを占めるようになっていたことが分かる。
現在では、SSNは以下のような活動に必要となっている:
・銀行口座、証券取引口座の開設
・クレジットカード、ローンの申し込み
・住居の賃貸・購入(なくてもできるケースもあるが、前金が高くなる)
・民間医療保険の加入
・公的医療保険への加入
・フードスタンプ・学校給食の受給
・自動車の所持登録
・運転免許証の取得
・就労(米国では雇用主を通じて医療保険に入ることが一般的)
見てわかるとおり、SSNを持たないとまともな社会活動を営むことは不可能なほど、あらゆる生活の局面に浸透している。ビザやパスポートなど政府発行の正規の滞在証明があれば外国人でも取得することができるが、1100万人と推計される不法移民はSSNを持つことができない。彼らは銀行口座も開けず、保険にも入れず、定住の住居も持てない。結果として、不法就労・ホームレス・犯罪者の三択を迫られる。
SSNは連邦政府自ら「もともと国民IDとして設計されておらず、なし崩しに利用が拡大した」と認めており、セキュリティに大きな問題を抱えている。以下、「SSNの三ザル」と呼ばれる代表的なセキュリティ問題を挙げる。
ザル1:カード偽造が簡単
SSNカードはSSA(Social Security Administration:社会保障事務局)という役所に申請すると2週間くらいで発行される。顔写真もない、電子署名のICチップも生体認証の仕組みも入っていない紙切れが普通郵便で届く。誤配まったなしである。筆者の同僚は、SSNカードが隣の家に配達され、隣人が「ごめんごめん、間違えて開けちゃったわ」と開封済みの封筒を渡してくれたという経験を持っている。お隣同士の助け合いが息づいていることを感じさせるエピソードである。米国ではクレジットカードや銀行のキャッシュカードも普通郵便で届く。米国に本人受取という高次の概念は存在しないのだ。
SSNカードの見本。すごく・・・ペラペラです。
このペラペラ仕様は、当然ながら偽造カードの大量生産という結果をもたらす。これに対し、日本のマイナンバーカードは電子証明書入りのICチップと顔写真が入っているほか、複雑な彩文も施されており、偽造の難易度を上げる工夫がこらされている。
ザル2:知識だけの一要素認証
一般に、認証(本人確認)の要素としては、知識・所有・生体という三つの情報を利用する。「本人しか知りえない知識」、「本人しか持っていないもの」、「本人にしかない属性」をキーに使うことで一意性を担保する。それぞれ以下のような要素が代表的だ。
知識:ID、パス―ワード、秘密の質問
所有:スマートフォン、PC
生体:指紋、虹彩、静脈
現在の認証では、これらの要素を複数組み合わせた「多要素認証」という方法が一般的である。たとえば、IDやパスワードという知識による認証と、スマートフォンへのパスコード送信という所有による認証を組み合わせるのが最近のオンラインバンキングの一般的な認証方法である。昨年のセブンペイや今年の郵貯銀行のように、二要素認証を入れていないとなりすまし犯罪が簡単に起きるということは、日本が学んだ教訓である。
ところがSSNは、知識だけの一要素認証という漢仕様である。金融機関の窓口やコールセンターでは、SSN・氏名・誕生日の三つを知っていることで本人確認が行われることが多い。氏名や誕生日は学校や会社の名簿に記載されていたり、近所の人なら知っている情報である。したがって、詐欺師にとってはいかにしてSSNを入手するかが腕の見せ所であり、米国ではこれを詐取するための電話がひっきりなしにかかってくる。最近は選挙戦で露出の増えたバラク・オバマから「SSNを教えてくれ」という電話が来ることが多いようだ。元大統領が何に使うつもりなのか。
他にも、なりすまし確定申告は米国春の恒例行事とも言われており、SSNと名前を入手した詐欺師が勝手に住所変更を行うことで還付金の小切手を掠め取る。また病院で他人になりすまして治療を受け、保険を利用することも可能だ。この場合、被害者の病歴や基礎データ(血液型やアレルギー)が書き換わる問題も起きる。SSNがフラットモデルのため、分野横断で利用されるということが被害の拡大に寄与している形になっている。フラットモデルというのは、防護隔壁の存在しない潜水艦みたいなもので、一カ所から浸水すると艦全体に水が行きわたってしまう。「フラットモデル + 一要素認証」は、考え得る限り最悪の組み合わせである。
なかでも、極めつけの事例として史上名高いのが、ウールワース事件である。1938年、ニューヨーク州の財布メーカーE.H.フェリー社は、新作財布にSSNカードホルダーを付け(注:この時点でダメである)、そこにサンプルのSSNカードを入れて、小売店のウールワースで販売を始めた。フェリー社の副社長ダグラス・パターソンは、彼の秘書ヒルダ・ウィッチャーの本物のSSNをサンプルとして財布に入れるのは賢いアイデアだと考えた。
ヒルダのSSNは4万人以上に悪用され、ピークの1943年には5,755人が利用したという。ヒルダはFBIの訪問を受け、「なぜあなたのSSNはこんなに使われるのか」という質問に答えなければならなかった。結局、ヒルダには新しいSSNが発行された。彼女のSSN 078-05-1120は、史上最も多くの人間に利用されたSSNとして現在も記録を保持している。
本物のSSNカードを偽物のSSNカードを見比べるヒルダ
一要素認証の破壊力を象徴する豪快な事件だが、これに比べると、日本のマイナンバーは、オンラインであればマイナンバーカードとPINという「所有+知識」、対面であればのマイナンバーカードと顔写真という「所有+生体」で本人確認を行うので、いずれの場合も二要素認証になっており、セキュリティは強固である(対面の場合、通知カードを使う方法もあるが、本稿では通知カードについては割愛する)。
マイナンバーは対面でもオンラインでも二要素認証(総務省サイトより)
その反面、オンラインで利用するにはICチップを読めるカードリーダーが必要となり初期コストがかかるので、普及が進まないというクレジットカードやSuicaと同じトレードオフを抱えている。こうしたマイナンバーの持つ課題と今後の展開については、最後にもう一度考える。
ザル3:政府と銀行が漏洩しまくる
SSNは、多くの政府機関や企業で利用されている。ということは、多くの組織で保管されているということである。その結果、SSNの漏洩が頻繁に起きる。もう笑えるくらい漏れる。
【事件ファイル1】 連邦政府人事管理局情報漏洩事件
2015年7月、OPM(人事管理局)が中国からハッカーの攻撃を受けて約2200万人の個人情報が流出した。SSN、犯罪歴、財務歴、健康歴、雇用歴、居住歴、家族や知人の情報などが含まれており、データが暗号化されていなかったという杜撰な管理が発覚して炎上し、局長が辞任に追い込まれた。米国政府史上最大の情報漏洩事件である。
【事件ファイル2】 Equifax 情報漏洩事件
2017年5月、米国の消費者信用調査会社Equifaxがハッカーの攻撃を受けて1億5千万人弱のSSN、免許証、住所、誕生日などの情報が流出した。Equifaxはこれによって$700Mの賠償金を支払うことになった。2020年、米国政府は中国人民軍による攻撃だったと発表したが、中国共産党は関与を否定した。
【事件ファイル3】 Capital One 情報漏洩事件
2019年7月、米国の銀行Capital Oneがハッカーの攻撃を受けて1億人のクレジットカード情報が流出した。中には14万人のSSNとそれに紐づく銀行口座も含まれていた。AWS上で運用されるWAFの脆弱性を突かれたことが原因だった。Capital Oneには2020年8月に$80Mの制裁金が課された。
恒例行事と言っていいくらい、毎年必ずどこかがやらかしてくれるのである。SSNを申請するときに、政府職員から「SSNは絶対他人に教えるな、カードは持ち歩くな」と言われるのだが、こんなに政府と銀行に漏らされては、その忠告もむなしく響く。
フラットモデルはアメリカ人には早すぎた
ところで、SSNを管理する連邦政府機関であるSSAは、オフィシャルサイトでSSNについてこんなことを言っている。
SSNは、政府と民間部門の両方で最も広く使用されている単一の記録識別子であり、ほとんどのアメリカ人の生活に広範な影響を及ぼしている。しかし、それ自体は、すべての人への体系的な割り当てと、その人の身元を認証する手段を欠いているため、個人の識別子ではない。
(The SSN is the single most widely used record identifier for both government and the private sector, exerting a broad influence on the lives of most Americans. However, by itself, it is not a personal identifier because it lacks systematic assignment to every person and the means to authenticate a person's identity.)
な、なんだってーーー!(AA略)
これだけ普及させておいて言うセリフがそれかよ、と言いたくなるが、この言葉には、二つの含意がある。まず一つは、SSAが率直に認めるように、SSNは国民IDとして機能していない。取得が義務付けられていないため国民全員が持っているわけではないし、漏洩となりすまし祭りによって認証手段として破綻している。
しかし、この発言にはもう一つ、裏に隠れた意味がある。実は、米国にはSSNを国民IDとして定義する法律が存在しない。したがって連邦政府の公式見解としては「米国に国民ID制度は存在しない」のである。国民ID制度を作るかどうかは、過去にもカーター政権やレーガン政権で議論されたが、否定的な結論で終わった。結局、異なる目的で導入されなし崩しに利用が拡大してきたSSNが「事実上の」国民IDとして使われている状況だ。
では米国において国民IDと呼ぶにふさわしい制度はないのかというと、実はそれに一番近い役割を果たしているのは免許証だったりする。免許証は各州政府が発行しているのでセキュリティレベルはまちまちだが、最低限、顔写真が記載されており、生体認証の導入も進みつつある。ペラペラのSSNカードよりずっとまし、とJETROのレポートでも判断されている。
しかしながら、運転免許証や ID カードについては、その発行に際し、顔写真・生年月日・氏名の掲載が義務付けられていること、またセキュリティ強化の為に複数の州がホログラムや生体認識技術など偽造を難しくする技術を導入しつつあることから、紙に名前と番号が印刷されているだけの SSN カードを補完する ID システムとして位置づけられている。このような状況を鑑みると、米国においては州政府発行の運転免許証や写真付ID カードが、個人の証明をする上で最も一般的な国民 ID ともいえる。
免許証も全員が取得するわけではないが、車に乗らない人でも取れるIDカード(REAL ID)を申請することが可能で、それを持っていればちゃんと酒が買える(もっとも、そうすると今度は免許証やREAL IDが国民IDになってしまう点を懸念する声が大きくなってきており、米国人の大きな政府嫌いは筋金入りであるが)。
国家による管理を嫌う米国らしいといえばらしい話だが、この中途半端な状況は、米国民にとって好ましいとは言えない。SSNは法的に国民IDではないため、連邦政府も本腰を入れてセキュリティ対策を行う気がなく、OPM漏洩事件に見られるように政府の管理も手抜きである。なりすまし被害が生じても、政府や金融機関が自発的に救済に動くことはない。被害者が自力救済するしかなく、当局にクレームを入れるなり裁判を起こすなり、被害者がアクションを起こさねばならない。
米国のID流出による被害額は年間1.5兆円にのぼるとも推計されており、詐欺師大国と言われても仕方ない。近年は、なるべくSSNを認証に使わないようにしようという「脱フラットモデル」の動きも起きている。例えば、メディケア(高齢者・障害者向け医療保険)ではSSNの利用を停止したほか、IRSはSSNの代替として納税者番号(ITIN)の利用を認めている。これらは、徐々にではあるが、フラットモデルからセクトラルモデルへ移行する動きと見ることができる。
「フラットモデルはオレたちには早すぎた」という米国がセクトラルモデルへシフトし、「セクトラルモデルは不便すぎる」という日本がフラットモデルへシフトを考えているのは、面白い状況である。果たして両者の中間に理想的な落としどころがあるだろうか。
マイナンバーの認証と今後の展開
最後に日本のマイナンバーをSSNとの比較で考えてみよう。マイナンバーは、明らかにSSNを反面教師としており、認証のセキュリティがよく考えられている。実は、マイナンバーの認証の核はマイナンバー自身ではなく、マイナンバー”カード”の方にある。上でも触れたが、マイナンバーの認証は必ずカードの「所有」を絡めた二要素認証として行われる。逆に言うと、マイナンバー自身は認証のキーとして利用しないと割り切っている。そのため、総務省は「マイナンバーは他人に知られても問題ない」としている。
マイナンバーは他人に知られても大丈夫(総務省サイトより)
実際、認証のキーではない情報を知られてもなりすましはできない。この点で、マイナンバーというのは「全国民の間で一意性が担保された名前」のような位置づけになっている(名前は他人に知られて困るものではない)。別の見方をすると、マイナンバーというのは銀行の口座番号のようなものである。口座番号は必ず個人で一意になっているが、振り込みなどのために他人や会社に知られても問題ない。
一方、PIN(暗証番号)は他人に知られてはならない。なぜなら、オンライン認証の場合にPINをキーとして利用するため、漏洩すると二つの扉のうち一つを突破されることになるからだ。これにくわえて物理カードまで奪われると、めでたくオンラインでのなりすましが可能になる。これは相当に低い可能性だろうが、「マイナンバーの方が直観的には重要そうな気がするのに、実はPINの方が秘匿性が高い」というのは、マイナンバー制度の分かりにくさの一つである。ともあれ、PINは絶対に他人に教えてはいけないし、マイナンバーカードは持ち歩いてもいいが、なくしてはいけない。なくしたらすぐにマイナンバー総合フリーダイアル(0120-95-0178)へ電話だ!
話を戻すと、マイナンバーのセキュリティはかように物理的なカードに多くを負っている。そしてこれが、普及を妨げる原因にもなっている。というのも対面で利用するならマイナンバーカードを持ち歩かなければならないし、オンラインで利用するにはICチップを読むためのカードリーダーを購入しなければならない。カードリーダーはSONYやNTTコミュニケーションズが製造しており、市場価格は1500円~3000円くらいである。
ソニーのカードリーダー「PaSoRi」
こういうカードリーダーを利用する代表例はe-Taxだが、サラリーマンの多くには関係ないので、他にメリットがないと家庭に一台というレベルでは普及しない。クレジットカードやSuicaが中小商店に広まらないのと同じ理由だ。
また、マイナンバーが物理カードにセキュリティを負っていることは、今後の展開も制限している。というのも、すでにマイナンバーを他人に知られている人も相当数いるだろうから、未来永劫マイナンバーを認証のキーとして利用する選択肢は採れない。つまり、オンラインバンキングで行うような「マイナンバーおよびPIN」(知識)と「スマートフォンへのパスコード送信」(所有)という二段階認証を採用することは、永遠に不可能である。現政権が健康保険証と免許証とマイナンバーカードの一体化を打ち出したのは、マイナンバーカードが認証に不可欠なので、持ち歩いてもらわないことには始まらないからである。将来的には、ICチップに含まれている電子証明書の情報をスマートフォンに格納することでおサイフケータイ的な使い勝手を実現する構想も考えられるが、スマートフォンが国民全体に行きわたる日を待たねばならないので、すぐには実現できない。
マイナンバーの設計段階において、日本政府はマイナンバーを認証キーに使うことを断念し、物理カードをキーにすることを選択した。これは、SSNのようなID自身をキーにするSSNの惨状を反面教師として、使い勝手よりセキュリティを優先した結果である。そしてその目的はきちんと達成されている。マイナンバーを利用したなりすまし被害というのは、現在まで報告されていない。ここまで普及しなかったことが計算通りかどうかはわからないが、これは社会全体として何を優先するかという価値判断の問題であり、筆者は政府の選択を理解できる。
一方で、マイナンバー制度が多くの国民にとって「これは便利だ」と実感できる日はすぐには来ない、とも思う。カード一体化も、いまある不便さを軽減するものであり、積極的なメリットを付与するものではない。どちらかというと、現政権にとって重要な取り組みは銀行口座との紐づけの方だろう。
2020年6月、高市総務相は、マイナンバーと銀行口座の紐づけを義務化する方針を明らかにした。当初は全口座との紐づけを目指していたが、まずは1口座との紐づけで妥協した形である(なお、すでに証券口座との紐づけは義務化されている)。
政府はこれまで全口座のひも付け義務化を目指してきたが、国や地方自治体に個人資産を把握されることに対する根強い懸念があることから、方針を転換した。
口座との紐づける理由について、政府は「コロナ給付金を迅速に届けるため」という説明をしたが、それならば1口座との紐づけで済む話なので、これは方便にすぎず、目的は国民の所得と資産の正確な把握、そしてそこから可能になる資産課税とアンチ・マネーロンダリングだろう。
平井デジタル相は、同じ6月にYoutubeで「マイナンバーを口座や所得を調べるために利用するものではない」と発言したが、これも額面通り受け取れる発言ではない。理由は、期間が明言されていないからである。憲法9条のように「永久にやるつもりがない」と言っているわけではないので、「いまは調べるつもりはない」と言っているだけで、方針を変える余地を残した発言である。『カイジ』の利根川構文の逆バージョンである。
我々がその気になれば、1年後に資産課税も可能だということ・・・!
筆者は資産課税自体は、格差是正のための手段として必要だと考えている。いつか日本政府が国民から信頼を得られるだけの透明性を確保したときには、累進性のある資産課税を導入するのが望ましいだろう。「富裕層は国外に資産を逃してしまう」という批判もあり、現実に資産課税がどの程度機能するかは議論があるが、日本のように高齢者に資産の多くが偏っている国では、所得への課税だけで格差是正は難しいだろう。余談だが、日本から海外への資産の持ち出しは年々制限が厳しくなっており、日本政府も海外への資産移転の穴を着々と塞いでいる。筆者のような別に富裕層ではない在外邦人にとってもけっこう厳しい。
資産課税は、ピケティ『21世紀の資本』で提案されて国際的な議論を喚起したが、実際のところ、格差という点では日本とは比較にならないほどひどく、かつすべての銀行口座とSSNが紐づけられている米国ですら導入には至っていない。民主党左派のウォーレンは資産課税を主張しているが、中道派のバイデンはそこまで踏み込んでおらず、キャピタルゲイン課税にとどまっている。しかし、米国はこのままいけば超富裕層と超底辺層の間で内戦が起きてもおかしくないくらい分断が進んでいるので、どこかで資産課税は連邦議会での真剣な検討事項になるはずだ。
資産課税は国際協調してタックスヘイブンの抜け穴を塞がないと機能しないため、日本も来るべき時が来たら欧米と協力して実装できるよう、今から準備はしておくべきだろうし、政府もそれを意識して動いている、と筆者は思う。この大目標に比べれば、マイナンバーのロードマップに書かれている機能拡充は枝葉である(普及率を上げる意味ではもちろん重要だが)。
さて、話をまとめよう。現在のマイナンバーの認証方式はよく考えられて作られていてセキュリティが堅い。ほとんど災厄レベルのザルさであるSSNと比べたら、多少使い勝手が悪いくらいかわいいものである。ただ、物理カードを認証のコアとして使う選択を行ったことで、今後もカードに拘束される条件のもと利便性を上げていくという点で苦労すると思う。この相反するミッションに挑む総務省はじめとする関係者は大変だと思うが、筆者はマイナンバーの設計と実装に関わる方々を応援している。
健闘をお祈りする。