マイナンバーをどう理解するか(その3)~国民の「分散データベース」

前2回の記事で、マイナンバー制度の基本構造は、「番号管理システム」、「マイナンバー利用システム」、「マイナンバー報告システム」と3つに分けて考えることができるとした。
そして、こんな単純なものに、しかも利用機関、報告機関のシステム改修費を除いても何千億円もかかるというのが理解できないとも書いた。

発番管理システムのコストがやたら高いのではないかについては、以前の「名寄番号 その3 コスト」の記事にも書いた。
それを除いても、まだまだ高額の整備費用がかかるらしい。間違っているかもしれないが、「連携サーバー」という仕掛けと関連があるのかもしれない。(マイナンバー対応について、自治体の負担を極力小さくし、効率的に行うという理屈かもしれないが。)

初めてこの名前を聴いたとき、昨日の記事に書いたような、利用機関と報告機関の間の電文を仲介するものだと思った。
つまり、報告データを利用機関側から取りにいくために一時的に格納すること、利用機関からの照会電文を受け取って、市町村側がそれを読みだして応答メッセージを組み立てて一時的に置いておくというイメージである。
これなら通信処理の拡張版である。リクエスト/レスポンス仲介サーバーである。

この電文フォーマットを標準化するとともに、プッシュされるリクエストを、どういうタイミング処理するのか、人手で対応するなら、そのプロンプトをどう行うのか、そうした決め事を作れば良い。


ところが、実際は利用機関側が必要とするデータ項目の全てを、自治体内部にある当該事務システムのデータと同期させるものになっているらしい。
ただし、税や年金への報告は、連携サーバーを通さず、従来通りのCDや通信回線で行われるという。(行政用の細いネットワークを通すにはデータ量が多く、定期的に発生するからだろう)

このサーバーは全自治体が導入することになるが、その利用機会自体がどれほど頻繁にあるのか、大変怪しい。
普通の市町村なら、他機関・他市町村からの問い合わせはそう多くない。たいていは、転入者の転出元市町村に対して、所得状況や家の事情を聴き合わせるものである。

家の事情なんてのは、システム化できるようなものではないし、多くの他団体照会が所得状況なら、国税に問い合わせれば済むことである。今は簡単には教えてくれないのだろうけど、マイナンバーの導入に併せて、権限ある機関からの所得問い合わせを税当局がサービスすれば済むと思うのだけれど。


そこで国が作成している資料をあらためて見ると、「情報連携」という説明図がある。

johorenkei_mynumber.png

どうやら、連携サーバーというのは、必要なときに利用機関間の通信をするという方針ではなく、全体として分散データベースを成すように考えられているみたいだ。

つまり、マイナンバーを利用する自治体事務に共通するデータ項目について、全自治体共通のデータベース構造を設定し、各自治体はこのデータベースに各自治体内部のデータベースを同期させる、そうすることで、分散しているけれど、一体として利用できる「分散データベースシステム」とするわけだ。

物理的に2000カ所にも分散したデータベースを、一つのデータベースとして運用することは、可能だろうけれど疑問もある。

システムセンスの悪い日本のメーカーがやっているわけで、これだけ大規模なことをするなら、GoogleかAmazonに委託すれば良かったのではないかと思う。


見ようによっては、大事なデータが二重化されていて、情報の滅失対策にはなっていると言えないこともない。東日本大震災の経験もあるのかもしれない。
また、事務間でのデータの分離もなされ、事務を横断するような使い方は認めていないことだろう。

一方、本当に分散データベースとして運用できるなら、BI(ビジネスインテリジェンス)ツールを装備したサーバーがJ-LISあたりに整備しておけば、国は自治体に照会することなく、非定型的なデータ需要も満たすことができるようになる。
そういう説明はないようだけれど、そうしたサーバーは既にあるかもしれない(というか、ないとテストしにくいだろう)。

従来、マイナンバーはデータは個々の保有機関に分散していて、一元管理するようなものではないというような説明を聴かされたように思うのだけれど、文科系がいう「分散」はバラバラと同義であるが、情報処理の世界における「分散」とは、物理的に分かれていてもあたかも一つのものであるかのように扱えるという意味である。

このことについては、技術的可能性のみ指摘し、その是非についての私の判断は控えさせてもらう。
なお、この分散データベースがシステムとして破綻したとしても、昨日までに書いたように、比較的簡単かつ廉価な方法で、マイナンバーを運用でき、番号法の本来の目的を達成するには十分だろうと思う。

「番号管理」「利用機関」「報告機関」のシンプルな構造で考えた私が浅はかで、本当のねらいは「分散データベース」のほうにある、そういうことなのかもしれない。

関連記事
スポンサーサイト

マイナンバーをどう理解するか(その2)~利用セクター

昨日の「番号管理システム」に続いて、その利用セクターに目を向ける。

マイナンバー利用システム」および「マイナンバー報告システム」は利用セクターの問題である。状況は単純である。

私はマイナンバー自体を秘匿する必要はないと考えているのだけれど、現行法制度では、マイナンバーを記録した情報は「特定個人情報」として特別な保護が求められ、他人のマイナンバーを扱う仕事をする人は「特定個人情報取扱者」として、厳しい守秘義務が課されている。なので、とりあえずはこれに従うこととする。


マイナンバー利用システムとは、具体的には税、年金などである(これらでの利用こそ主たる目的)。
おそらく税当局は、内部的に名寄をおこなうノウハウをもっているはずだが、マイナンバー制度の創設によって、そうした名寄のノウハウは副次的なものになり、メインはマイナンバーによる名寄せになる。では、といって税のシステムが何か変更を受けるだろうか。納税者データベースに、内部で利用しているだろう納税者番号に加えてマイナンバーを記録するだけである。そして、それと内部の納税者番号とのズレを、いろんな方法で検証することだろう、その作業は税当局内のことである。

年金についても、年金機構ができたことで、情報の集約が図られている。タイミングの問題で、基礎年金番号とマイナンバーという二重の制度になってしまったが、外国人や海外居住者などがいるわけだから、これは仕方がない。マイナンバーの対象者と、各制度の対象者は実は微妙にズレてしまうだろう。

結局のところ、マイナンバーを導入したところで、各制度ごとに対象者のキーは持たなければならず、マイナンバーは、それぞれの制度において、名寄が必要になったときに利用する副次的情報にとどまるというか、そういう前提でシステムを設計しなければならないことは、従来と何ら変わらないだろう。
つまり、マイナンバーはやはり名寄番号であって、これをキーにする(つまりキーをもたない対象者を排除する)のは、多くの制度で無理があるだろう。

そしてこれらマイナンバー利用システムが、マイナンバーの対応に要する費用は、現行システムの小規模変更で事足りるはずである。

マイナンバー報告システム側はどうだろう。実は、これもマイナンバー利用システムと同様の状況にある。
マイナンバー報告システムは、特定のマイナンバー利用システムに対して情報を提供するものだけれど、各マイナンバー利用システムが定めるフォーマットに従って、マイナンバーを埋め込むわけである。

そして全く新規に報告が発生するわけではなく、税や年金の掛け金など、源泉徴収されるものについて、従来から税当局や年金基金に報告されていた情報にマイナンバーを付加するというだけである。これについては、以前、「マイナンバー・アイソレーション・ブース」というシステム構築方法を提案している。

「特定個人情報」への特別な取扱いが求められているからであって、普通の個人属性情報として扱うなら、こんなことをする必要はないことはいうまでもない。




この方式だと、おそらく各企業はパソコン1台程度の投資を求められることにはなるけれど、マスコミなどが「企業の対応は大丈夫か」と煽り立てるような状況にはならないと思う。なお、マイナンバー報告システム用のソフトウェア(対象者のマイナンバー管理、報告データへのマイナンバー埋め込み)は、マイナンバー利用システム側が無償配布すべきだと思う。

なお、名称は「マイナンバー報告システム」としたが、各報告者に対しては、利用機関からの問い合わせへの応答という任務が発生するかもしれない。
利用機関に報告される情報には、矛盾や不備が存在することが考えられる。たとえば、従業員からの税の源泉徴収をしたとして、その住所が利用機関が保持している納税者の住所と異なるようなケースである。
税業務上はきちんと納税されていれば住所はなくてもかまわないと思うが、どちらの住所が正しいのかを確認したい場合どうするのか。というか、どちらの住所を採用するか、あるいはどちらでもないのか、事はそう簡単ではない。
税当局が持っている住所が古く、会社が持っている住所は住民登録住所とは違い、というようなことはいくらでも考えられる。その住所を納税者の住所とすべきか、これは一概に言えない。居住実態のない住民登録住所に督促状を出しても、その効果は限られる。これはつとめて税当局のノウハウに関することであって、多様な利用機関の通則となるものは存在しないだろう。

ということで、マイナンバーは多大な効果はあるものの、一方であまりに厳格な運用をしても(そのために余計なシステム投資・事務負担を求めても)、それに見合うほど大きな追加効果は得られないだろう。

私が訝しく思うのは、こんな簡単なシステムなのに、いったい何故、何千億円もの経費(それもマイナンバー利用システム側の改修費や、一般企業等のマイナンバー報告システムの導入費を除いて)が必要とされるのかだ。
(続く)

関連記事

マイナンバーをどう理解するか(その1)

マイナンバー(国民総背番号)は、国民の情報の取得・管理に有用である、もちろんその恩恵は政府が受ける。

一方、国民のメリットの第一は、それによる行政効率の向上分を、減税などによって還元されなければならない。
もちろん「消えた年金問題」に代表される、行政や公的機関の杜撰な情報管理が改善されることもあるが、そもそも、きちんと管理されていないこと自体が問題で、そのためにマイナンバーが必要ということは言い過ぎである。そもそも年金情報は、各基金が情報を管理しているわけで、こうした問題を大量に起こした基金ばかりではない。
いじわるく言えば、消えた年金問題は、マイナンバーを導入するのにちょうど良いタイミングで起こったというわけである。

ということで、私はマイナンバー・システム自体を否定するものではない。伝えられる整備費用が莫大であること、企業の対応が遅れているなどと不安をかきたてる報道が目につくので、どうしてそんなことになるんだろう、と訝しく思っているわけだ。

マイナンバーというのは本質的にはどういうものなのか、簡単な分析をしてみよう。
マイナンバーを取り扱う情報システムは、
  • マイナンバーそのものを支える「発番管理システム
  • マイナンバーを利用して個人情報を名寄する「マイナンバー利用システム
    それに個人情報を供給する
  • 企業等の「マイナンバー報告システム
の3つがある。

これは私なりに理解しているシステムの全体像だが、あまりに単純なので拍子抜けする。

mynumber_interprete.png
まず「発番管理システム」については、以前名寄番号」という一連の記事にも書いたけれど、本質的には、同一人に複数番号を割り当てないことが保障されれば良い。なお、全対象者(現行制度では、国民だけではなく在日外国人も含まれている)に必ず付番するというタテマエをどこまで徹底するかについては敢えて問わない。

発番管理システムが管理すべき情報とは何だろうか。
本質的には対象者個人に番号が与えられている、たったそれだけのことである。もし、あらゆる行政事務がマイナンバーで個人を識別するのであれば、たとえば住民登録は、居住証明であるから、このマイナンバーの人の住所が登録されれば良い。本質的に名前の登録は不要となるはずである。

もちろん、現実には、日本社会の文化基盤によって、いわゆる名前が、個人を(ほぼ)識別するラベルとして通用しており、これとの対応関係を管理することが便利と考えられるから、従来の住民記録にマイナンバーを併せて記録することが自然ではある。
であるならば、マイナンバー発番管理システムは、対象者の名前すら管理する必要はない。

個人情報を扱うシステムでは、名前の表記のゆれ(異体字、俗字など)で悩んでいる。マイナンバーで本人識別するなら、表記のゆれは問題にならなくなり、システムコストが軽減されるだろう。

たとえば、あるマイナンバーを持っている人の住所を確認しようとした場合、全市町村の住民記録に対し、当該番号を持つ住民が現に居住しているからどうかを問い合わせれば良いわけである。
もちろん、市町村によって住民登録を電算化していなくても、非電子的方法による問い合わせフォーマットが定められていれば事足りる(レスポンス時間の問題を捨象すればだけど)。

なお、発番管理システムは番号を出しっぱなしにするのか、死亡などによって使われなくなった番号も状態を把握して管理するのかは、マイナンバーの「効力」に応じて考えられるべき問題である。

というわけで、発番管理システムはマイナンバー制度のインフラであり、きちんと発番する事務は、それを担いうる市町村がする、これは制度として無理のないところだろう。

明日は、上述の利用セクターについて考える。
利用セクター側の投資は、ごく限られたものになるはずである。

関連記事

意図しない成りすまし

昨日に続いてマイナンバーカードをとりあげる。
某市役所の人から聞いた話。

mynumbercard_facet.jpg 住民から「マイナンバーカードの交付申請をネットでしたのだけれど、添付する写真を間違えて親のものにしてしまったのだけれどどうしたら良いですか」という問い合わせがあったそうだ。

どうなるんでしょうね?
カード作成を受託している地方公共団体情報システム機構は、違う写真でカードを作ってしまうかもしれない。
問い合わせを受けた市役所としては、その人のマイナンバーを確認して、そのカードの作成を止めるぐらいのことしかできそうにない(結構面倒かも)。

そして、間違ったカードが市役所に届いたら、窓口では?
写真の人がカードを受け取りに行ったら、券面の写真と同じ顔だから、顔認証システムはパスするに違いない。
年齢や性別がおかしいことに職員は気づくだろうか。
顔の一致にばかり気をとられていたら、そのまま渡すかもしれない。

顔認証システムとか見当はずれのセキュリティ対策をしたために、本当にチェックすべきところがおざなりになってしまうのではないか。

意図せざる成りすましの完成です! ☆☆☆

もちろん、この例のように単純な間違いで、他人の顔写真が掲載されたマイナンバーカードが交付されるようなことはないと思うし、間違いのままでは本人も困ってしまうから、本人が間違いですと申し立てるだろう。
また、普通は顔写真入りの身分証明になるものを提示するだろうから、そこでも気づくだろう。

しかし制度としては、顔写真入りの身分証明を持たない人のために、顔写真のないもの(保険証、預金通帳など)の提示で本人確認とすることもある。悪意をもって成りすましをする人はこれが狙い目で、もっともらしい書類をそろえてくるだろう。それが住基カードの不正取得で繰り返されたわけだ。

成りすましを防ぐには、持参書類のチェックはもちろんだけれど、住所と誕生日をスラスラと言えるかどうかや、挙動に不審な点がないかなど、書類外でのチェックが有効だろう。

2016-02-29_085548.jpg 顔認証システムは、顔の一致を判断するのではなく、性別・年齢から、この顔はアリエナイんじゃないかという判断をするのに使ったら良いのでは。既にそういう技術は実用化されているから、情報システム機構も使っていて、冒頭のような単純な間違いは検出しているかもしれないが。

写真から性別・年齢を判定するサービス(How old do I look?やBLINQなど)も既にネットにある。多部未華子は女性・17歳と判定された(日本人は若く判定されるらしい)。

住基カードの不正取得(なりすまし取得)の事例は良く知られていると思うので、防止に役立つ手順もあるだろう。窓口での徹底を期待したい。

ところで、この例のように、悪意のない過失で、まちがったカードを作ってしまったら、正しいカードを作るのは再発行になるのだろうか。
そして、自己責任ということで、再発行手数料を徴収することになるのだろうか。

再発行手数料は、市町村条例で定める。カードの再発行が800円、電子証明書の再発行が200円というところが多いようだ。


関連記事

マイナンバーカードってデザイン悪すぎ

mynumber_ginko_M2.jpg またマイナンバーの提出依頼が来た。(今までの提出先)

今度の提出先は、退職金を預けている信託銀行である。
こうやって、私の資産状況が当局に把握されていく。

個人番号カード(マイナンバーカード)を受け取ってからの提出では、カードのコピーの添付が求められる。
先日、W県I市でも、源泉徴収のためにマイナンバーを届けたけれど、このときは私のマイナンバーカードを渡して、コピーをとってもらったのであまり気にしていなかったが、今度は自分で、自宅でコピーをして、所定の用紙に貼り付けるので、実に面倒に思った。

コピーを撮って切り抜いて貼るだけと言えば簡単そうなのだけれど、前にも書いたように、マイナンバーは裏面にしか表示されていないから、表裏をコピーしなければならない。

表に堂々とナンバーを表示して、コピーをとるときに目隠しをするほうが良い。かつて運転免許証に戸籍が記載されていたとき、戸籍部分を目隠ししてコピーをとるという配慮をしていた自治体もある。

そして、何とも微妙なのが、コピーの鮮明度。
マイナンバーカードの色使い、コントラスト、そして文字の大きさ、コピーが綺麗にとれないようにデザインされてるんじゃないかと思う。じっと目を凝らせば読めないこともないけれど、かなり読みにくい。
コピー濃度などをいろいろ調整しないと、綺麗にコピーできない。
いい加減にコピーすると提出先の人が困るんじゃないかと思ってしまう(私はコントラストや輝度をいろいろ調整した)。

表の手書き領域を用意したために、文字が小さくなったのだと思うけれど、この手書き領域なんか裏に回しておけば良かったんじゃないか。
運転免許証のコピーをとるときにはこんな苦労はない。

要するに、このデザインを考えた人は、カードの使われ方とか全く考慮していないのじゃないか(デザインで重要なのは機能や使われ方に合致したものであること)。
そして、全体に美しくもないし、身分証明書らしい重厚さも感じない。写真は汚いし、マイナちゃんは邪魔(どうせなら菊の御紋でも付けたらどう)。
考えたことは、身分証として提示したときにマイナンバーが見えないようにするということだけ。

折角の考えだけど、浅知恵の典型。

bakkajanainonew.jpg 馬っ鹿じゃないの

ということで、簡単にできそうな届け出用紙なのに、何枚もカードのコピーをとりなおして(紙とインクを無駄にして)、苦労して完成させた次第。

さすがに銀行はお堅いようで、目隠しシールも付けてくれている。

さて、あとどのぐらいの相手にマイナンバーを届けなければならないんだろう。

久々の登場、ドS刑事


関連記事

マイナンバーを重複発行

ネットのニュースで気になる記事を見つけた。
NHKのニュースでも流れていた(画像は、長野放送局のニュース画面から)。
2016-02-23_214940-crops.png マイナンバー>男性2人に同一番号 香川と長野で

毎日新聞 2月23日(火)11時21分配信


 全ての国民が固有の個人番号を持つマイナンバー制度で、香川県坂出市と長野市の2人の男性に同一の個人番号が割り振られていたことが23日、坂出市への取材で分かった。マイナンバー作成の基になる住民票コードが重複していたことが原因。2人の氏名の読み方と生年月日が同じだったため、長野市の男性が同市に転入してきた際、坂出市の男性が転入してきたと長野市職員が勘違いし、2人の住民票コードが同一になったという。

 坂出市市民課によると、坂出市の男性が2月上旬、高松西年金事務所(高松市)で年金を照会した際、住所が長野市になっていることを職員が見つけて発覚した。現在、トラブルは起きていないといい、今後、男性に新たな個人番号を割り振るという。

 地方公共団体情報システム機構(東京都)や長野市によると、長野市の男性が2010年ごろに同市に転入した際、前住所地の住民票が、何らかの理由で1998年に削除されていた。前住所地は不明として転入を受け付けたが、長野市職員が住民基本台帳ネットワークで男性を確認する際に、氏名の読み方と生年月日が同一だった坂出市の男性と誤認したとみられる。2人の氏名の漢字は1文字違いだという。

 マイナンバーは、同機構が11桁の住民票コードを基に12桁の個人番号を作成し、自治体が交付している。同機構は「一つの住民票コードには一つの個人番号が対応している」と説明。「自治体からもらった情報を基に作業している。同一の住民票コードが別々の自治体から届くことを予想していなかった」としている。2人に届いた個人番号で管理される情報は、長野市の男性のものだった

 ◇「重複確認の手段ない」

 坂出市の担当者は「住民票コードの重複は想定外で、個人番号が重複していることは分からなかった。全国的にチェックできるシステムがあれば」と話した。長野市戸籍・住民記録課は「転入時の事務ミスが原因。ただ、マイナンバーまで重複していたかは確認する手段がなく、坂出市に問い合わせている状況」と説明している。

【道下寛子、待鳥航志、山下貴史、川辺和将】


わかりにくい記事だけれど、要するに転入してきた人を別人と誤認して、別人の住民票コードを記録したということらしい。

転入者の前住地の住民票が削除されてたということだから、同じ名前の人の住民票を見つけてほっとしたのかな。それにしても、そうなら住所が縁もゆかりもないところになってることに気付かなかったのかな。

こんなことが起こるというのは住基ネットワークの問題である。
住民票コードもユニーク性が保証されているはずで、そこでなぜ同じ住民票コードが付されてしまったのか。
転入転出は住基ネットワークのもっとも基本的な機能のはずで、転入先での処理が終了したことが転出元に伝わるようになっていれば、その時にミスが発見できると思うのだが、どんな運用をしているのだろう。

住民票コードをナイショで使うような運用をしているからこんなことになるんだろう。


そしてさらに驚いたのは"マイナンバーは、同機構が11桁の住民票コードを基に12桁の個人番号を作成"というくだり。

話が違う!
私の思い込みかもしれないが、マイナンバーは他のものから絶対に推測されないように付番すると説明されていたのではなかったか。
この記事の説明だと、住民票コードがわかれば、マイナンバーもわかるということになるんじゃないだろうか。もちろん変換式は極秘なんだろうけど、クレジット・カード番号の生成ロジックがバレたように、いつまで隠しおおせるか。

今までの説明では、マイナンバーは12桁だが、チェック・ディジットが入って11桁分のサブスペースを使うということだったが、今回の説明だったら、10桁分のサブスペース(住民票コードも1桁はチェック・ディジットだったと思う)しか使っていないことになる。

私はてっきり、マイナンバーはランダムに発番されるものと思っていた
こんなことが許されるなら、マイナンバーの発行システムで69億円もかかるというのは、まったく理解不能というしかない。

そして挙句の果てに、重複発行などという事件まで起こしてくれる。
今回の事件では同一番号の複数のエントリがあったわけではなくて、別人の属性情報で上書きされたという現象のようだから、リアルの人間との対応はともかく、システム上は重複発行はしていないという言い方もないわけではないが、また、発覚したということは、住民票コードが重複発行されていたことを検出できたという手柄話だと強弁することもできるかもしれないが、本来なら、システム側が検出すべきことであろう。

マイナンバー制度を理解していないマスコミの記事だから、このとおりなのかどうかはわからない。システム機構の説明もあるけれど、マスコミにわかりやすいように本当は違うけど、わかりやすいように説明を変えてるかもしれないし、マスコミ側が勝手に勘違いして記事にしているかもしれない。
そんなはずはない、マスコミの報道は間違っていてほしいと願うのは私だけだろうか。

記事が本当なら、説明はともかく現象は本当だろう、絶対にあってはならないことが起こっている。
救いがあるとしたら、"2人に届いた個人番号で管理される情報は、長野市の男性のものだった"という点で、同じ番号で複数人を管理はしていないということ。

しかし、多分データを上書きしているだろうけど、上書きの正当性チェックぐらいするのが普通でしょうが。


こんだけ手抜きのシステムで、ウ千億円の経費だなんて、日本は豊かだなぁ。
総務省は、自治体が注意していれば防げたミスというようなコメントを出しているようだが、システムがきちんと設計され、そして、それがきちんと実現していたら、防げた、あるいは、自治体の職員に注意を喚起できたのではないか。

自治体の事務能力を信用していない一方、問題が起こったら自治体の能力不足といって責任を回避する、それが総務省の姿勢だと勘繰りたくなる。


ポリシーが定まらないから、システム設計がゆきあたりばったり。結果パッチワークの積み重ねで金を喰い、そういう作りだからあちこちにボロがいっぱい。ボロを隠すのもパッチワークで追加の投資。
これじゃ制度改定をしようとしたらシステムの挙動に自信が持てないから、塩漬けシステムへ一直線。

こんなシステムは自治体が考えたわけではないですよね。


さぁ、次は「ユアナンバー制度」の創出ですね。
"Can I get your number?"

関連記事

マイナンバーカードをゲット

先日、個人番号カード(マイナンバーカード)の交付案内が来たことを書いたように、それに従って、マイナンバーカードを受け取ってきた。

前の記事で、予約制であること、本人確認書類のことなどを書いたけれど、これは私の居住市に限ることではなくて、だいたい全国共通のようだ。案内状も予約システムも、おそらく共通なのだろう。

私の居住市では、30分を1コマに、最大3人に交付するようだ。
別の用件を済ませてからと思って9:30に予約を入れていたのだけれど、そちらが早く終わったので、9:00前に担当課に聞いたら、先に受け付けてくれて、9:05には交付終了。

カードのパスワード、電子証明書のパスワードは予め考えて用意していたのだけれど、電子証明書パスワードは英小文字は使えない。注意書きがあったらしいが見落としていた。

あの無意味と思える顔認証システムは、居住市では採用していなかった。
mynumbercard_facem.jpg
写真は私のマイナンバーカード。

大事なところを全部モザイクしてあるから、ここに載せてもしょうがないけど。

マイナンバーは表には記載されず、裏に記載されている。表の記入領域は、転居などの場合に役所が記入するもので、持ち主が書いてはいけない。
今まで、いろんなところにマイナンバーを届けてきているが、通知カードまたは個人番号カードのコピーの添付が必要な場合がある。このとき、個人番号カードは、表・裏をコピーしなければならない。マイナンバーをみだりに他人に教えるなというポリシーがこんなところでも余計な手間と出費を強いることになる。
mynumbercard_tailm3.jpg

掲載したカードの写真は、市役所で配られるカードのカバーをかけた状態である。
このカバーは目隠しの役割も果たしていて、表では、なぜか性別の部分と、臓器提供意思のところが隠されており、裏はマイナンバーの部分が隠されている。
こういう姑息な対応をするぐらいなら、はじめからマイナンバーを表に表示して、カバーでその部分を目隠しすれば、コピーをとるときに1回ですみ、かつ、マイナンバーなしの身分証として使う場合はカバーをかけたまま提示するようにできて良かったのでは。

また、カードの表・裏というが、別のカードの裏ではないことを示すのは、名前と生年月日の一致。同じカードの表裏であることを確実にする、たとえばカード固有番号とかを表裏に印刷しておくべきではないだろうか。


ところで、なぜマイナンバーカードを発行してもらったのか。
e-Taxで使おうかとも思うけれど、一番の動機は、前にも書いた覚えがあるが、他人に勝手に発行されないようにすること。自分が知らないうちに他人がマイナンバーカードを交付申請して、成りすましされることがないようにである。(住基カードでは、成りすまし取得が結構あったらしい。)

個人情報の漏洩は大変だと、国をあげて言ってるけれど、なぜ個人情報の漏洩が大変かということをあらためて考えると、大きく分けて、
  1. 漏れた個人情報によってその人が攻撃される
  2. 成りすまし。本人の意図と異なることを勝手に行われる
がある。
1は、たとえば漏れた情報でその人の特性が解るような場合、営業(詐欺)のターゲットにされるような状況。
2は、ID/パスワードの漏洩が典型的で、他人が本人の権能を行使する状況。
もちろん、1から2(パスワードの推定など)に発展することもある。

他人に知られたくないというようなレベルではなく、犯罪に巻き込まれる状況になるのが恐ろしいわけである。

前述のように、住基カードの成りすまし取得というのは、興味本位でやるわけではなく、他人に成りすますことによって、たとえば本人が知らないうちに、本人の財産を処分されてしまうとか、知らないうちに多額の借金を背負わされているというようなことが起こる。

これも何度も書いてきたことだが、米国のSSNの失敗は「SSNを知っている⇒本人である」としたため、成りすましが多発したものである。
この失敗に学ぶなら、マイナンバーを知られると成りすましのリスクが発生すると考えるのではなく、「マイナンバーは誰でも知り得る状態にある。マイナンバーは名寄のためのキーでしかなく、本人を確認するものではない」というポリシーで制度設計をすることであったろう。
「SSNを知っている⇒本人である」の否定命題は、「SSNを知っていて、かつ、本人でない」である。
SSNを知っている人を減らせば対策になるというのは浅知恵と言って良いだろう。


成りすまし取得を防ぐため、通知カードを持っていること、交付通知をもっていること、本人確認書類(写真つきなら1点、写真なしなら保険証など2点)を提示することになっている。
これはそれなりに厳重なように見えるけれど、これをかいくぐる知恵者もいるかもしれない。

住基カードや国民健康保険証の成りすまし取得が起こる現実。そして、それを起点として、運転免許証や印鑑登録証までが成りすまし取得に至る。テレビで紹介されていた手口は、転出届の利用である(これ以上は書かない)。
今は改善されたらしいが、以前は、婚姻届の受付で本人確認などはしていなかったため、ある女性は、自分が知らないうちに結婚させられていたという事件があった。その女性が婚姻届を出そうとしたら、重婚は認められませんと言われたそうな。


なお、高市総務大臣が「セキュリティに万全を期している」と自負した顔認証システムは、カード券面写真と取りに来た人の顔の照合なので、成りすまし取得の防止効果は疑わしい
(成りすまし取得とは、カードとは違う人が取りに来て成りすますのではない。成りすましてカードを発行させたのを、我が物顔で取りに来るのである。)
成りすまし防止効果を期待するとしたら、カードに載せた顔写真をきちんと保存管理することだ。犯人が顔写真を残していくわけだから、そのまま指名手配に使えるだろう。また、成りすましが行われたとき、被害者の救済(私がしたことではないという主張)の役にもたつだろう。
このあたりはどうなっているのだろう。


【追記】

「居住市では顔認証は採用していなかった」と書いたけれど、ひょっとしたら私の場合、顔認証するまでもないと担当者が判断しただけで、顔認証システムそのものは導入されているかもしれない。
職場のあるY市では、システムは導入しているが、一見して疑いの余地がないなら顔認証システムは使わないそうだ。複数人が見て写真の人物と判断できない場合に顔認証の出番となるそうだが、そうだとすると出番はないんじゃないだろうか。
逆はありそうである。カードを取りに来たとき、たまたま顔に怪我をして包帯を巻いていたとか、機械が判断できない場合に人間が判断するというような場合だ。
(やっぱり要らない顔認証システム。要らないものを売って儲けるのではメーカーも心苦しいだろうから、他で値引きしたら良いだろうと思う。)


関連記事

マイナンバーカードの交付案内

申し込んでいたマイナンバーカードができたらしく、受け取りにくるように市役所から通知が来た。

封筒に入っていたのは、交付通知はがき(写真左)、「交付のお知らせ」(写真右)。

mynumbercard_postcard1m.jpg  ■  mynumbercard_oshirase1m.jpg


それぞれの裏面。

mynumbercard_postcard2m.jpg  ■  mynumbercard_oshirase2m.jpg


さらに、受け取りは予約制になっていて、受け取りに行く日時をネットまたは電話で予約する。
私はネット予約したので、その操作画面を並べておく。

mynumbercard_yoyakum.png


mynumbercard_yoyaku2m.png mynumbercard_yoyaku3m.png
mynumbercard_yoyakucm.png mynumbercard_yoyaku4m.png






mynumbercard_yoyaku5m.png

私の見るところ、交付通知も、予約システムも全国共通ではないかと思う。
みなさんのところも同じだろうか。

関連記事

本当のねらいはどこにあるのだろう

マイナンバー制度については、本ブログで、システムや制度が異様に高コストではないかと批判してきて、そもそもマイナンバーは名前と同様に扱えばいいじゃないかと言ってきた。
とくに、マイナンバーを隔離(ネットワークを分離)するような話は、一体どこまでコストをかけるつもりかと訝しく思っていた。

しかし、どうもこれは見当違いだったかもしれない。
ことはマイナンバーの問題ではないのかもしれない。
総務省が自治体のセキュリティ対策の強化ということで、インターネットとLGWAN(総合行政ネットワーク)の分離などをすすめているらしい。
しかも、市町村は信用できないのか、都道府県に「安全な」インターネット接続をする事業を行わせるという。「安全な」というのは、標的型攻撃を想定して、メールの「無害化」を行うという(無害化とは要するに添付ファイルの削除とか検疫をすることらしい。暗号化メールは原理的に対応不可能だけど)。

haradasan_security.jpg

図は「日経コンピュータ」(2016年2月4日号)から


最近のセキュリティ対策は、インターネットとの接続やメールの開封を安全な場所(サンドボックス)で行って、もし、そこからマルウェアが侵入したとしても、そのマルウェアが行うであろう怪しい通信を検知して、ユーザーにはそれを届けないというもの。

こういうことをすると、インターネット接続コストは軽く1桁高くなる。だから経費削減圧力が強い自治体にはとてもそんなことをする余裕はない。そんなことは承知の上で、総務省が対策を求めるときに強調するのが、マイナンバーが漏れたら大変なことになる、である。
つまり、セキュリティ対策を強化することが本当のねらいで、マイナンバーはそのダシに使われただけなのかもしれないという気がしてきた。そう考えないと、マイナンバーを高コスト・高負担の制度・システムにする合理性が見当たらない。

だからといって、今のやりかたが正当化されるわけではない。マイナンバーの運用ポリシーと、標的型攻撃などのセキュリティ・リスクへの対策とは本来別の次元のものである(目的と手段の関係)。これを弁別せずに対処しようというのは、前にも書いたが、闇夜に鉄砲だと思う。それにネットを分離したからといって安心できるわけでは、決してない。


そもそも、どんな組織の情報システムでも、今まで個人情報を扱ってきたはずだけれど、情報漏洩対策がきちんと行われてきたかは結構アヤシイ。いくら対策をしろといっても、企業としては追加コストが発生するのでは、なかなか取り組めない。しかし、マイナンバーを扱う必要がでて、これを漏洩したらトンデモナイと宣伝することにより、マイナンバーの漏洩対策、ひいては一般の個人情報保護対策が進むのではないか、そう考えたのではないだろうか。

信頼のコストはとてつもなく高いことを実感する今日この頃である。

関連記事

これにもマイナンバー

kabuhaito_mynumber_note.jpg 私がマイナンバーを届けた先については前に書いた。
なので、新たにマイナンバーを届ける先が増えたら、それも書くことにしようと思う。

といっても、今回は私のマイナンバーではない。
今回は家人のマイナンバーの登録。
家人が受け取っている株式配当があるので、その会社へ届けるもの。
結局は、税務署に行きつくのだろう。

これにもマイナンバーの使途は説明されていない。

しょうもない小咄をネットで目にした。英語の小咄である。
“あなたのマイナンバーを教えてください”を英語で言うと、
“Can I get your my number?”
なるほど、不思議な英語である。


kabuhaito_mynumber_app.jpg

関連記事

秘書がやりました

amaridaijinn_jishoku.jpg 政治家から何度、この科白を聞いただろう。
「秘書がやりました」(私は知りませんでした)

甘利氏が現金授受に関して、大臣を辞職した。
甘利氏は、秘書の監督責任は認めていて、「『秘書が勝手にやったから責任はない』という逃げはうたない」というスタンスのようなので、以前の政治家よりはハイレベルな言い方となっている。

とりあえず甘利氏の弁明を信じるとして、しかし、秘書にするかどうかは議員本人が判断しているのだろうから、監督責任+任命責任ということになるのでは。あるいは、人を見る目がないということか。

議員秘書を経験して、議員になるというパターンも良くある。そうした場合、議員と秘書の関係も学習して身に付けているだろう。どちらも脛に傷を持っていて、議員にしてみれば秘書が何をするのか、直接知らなくても、何をしそうかぐらいは知っているということかもしれない。
amari_mynumberPR.jpg

政治とカネの問題がいつまでもなくならないのは、政治にカネがかかるからというだけでなく(政治はつきつめれば税金をどう使うか決めるものだと思うけど)、こうした議員と秘書、ステークホルダーにあるカネの繋がり、これらがインターロック状態になって、ほどけなくなっているのかもしれない。


今回、発覚したのは秘書の問題だけど、TPPがらみで、アメリカやオーストラリアあたりからは何にももらってないのだろうか。秘書では海外からは相手にされないのかもしれないが。

amari_mynumber_juminhyo-crop.jpg それはそうと、甘利氏はマイナンバー担当大臣でもあった。マイナンバーのPRで、替え歌まで披露している。

(画像クリックでYouTubeのニュース動画へ)

ところで、このテレビ報道中「今までは年金受給や確定申告の際に必要だった住民票は不要に」と解説されているのだけれど、普通は、今までも住民票は不要。
甘利大臣が言ったわけではないだろうが、マスメディアの不勉強には呆れるばかりである。


で、今回のような現金授受が発生すれば、というか政治献金があれば、これからは、政治資金規正法を改正して、献金者のマイナンバーを記載するようにはしないんでしょうか。

関連記事

マイナンバーによる自己情報へのアクセス

maina_portal.jpg 昨日は、マイナンバーのアクセス・ポリシーと題して一稿をアップした。
そのなかで、アクセス・ポリシーとして、自己情報へのアクセスは当然認めるべきだろうと書いた。

マイナンバーでこんなに便利になりますという宣伝文句に、「マイナ・ポータル」がある。
マイナ・ポータルは、H29.1月からもサービスされるという話であるが、
  • 自分の個人情報をいつ、誰が、なぜ提供したかの確認
  • 行政機関などが持っている自分の個人情報の内容の確認
  • 行政機関などから提供される、一人ひとりに合った行政サービスなどの確認
ができるようになるという。
税・社会保障に関しては多分すぐにでもサービスできるのだろうけど、他の分野ではどうなんだろう。
あらゆる行政情報がサービスの対象になるんだろうか。

マイナンバーが名前のように使われているのなら、いろんな行政情報へのアクセスもマイナンバーでできるわけだけれど、現在の制度では、マイナンバーを使える事務は限定されている。その上、厳格な取り扱いをするということで、マイナンバーが付いた情報は特定個人情報として特別扱いされ、腫物に触るように隔離するような対応が推奨されているようだ。
マイナンバーが付いていない個人情報を、マイナンバーで特定しようとしたら、また余計な手順を踏まなければならないだろう。

yamiyoniteppou.jpg 私はマイナ・ポータルで、自己情報へのアクセスを保障するのは素晴らしいことだと思うのだけれど、もしそれを実施するのなら、アクセス可能な個人情報にマイナンバー(もしくはそれと同等のID)が付いていなければならないだろう。
「あらゆる自己情報(公安関係除く)にアクセス」するなら、「あらゆる行政保有情報にマイナンバー」じゃないのだろうか。

ほら、やっぱりマイナンバーは名前と同じように扱うのが良いでしょ。


それを何を勘違いしたのか、幻覚を厳格にとりちがえ、何を守るかポリシーも曖昧なまま、とにかくセキュリティ技術の導入にばかり走っている状態は、「闇夜に鉄砲」状態といえるのでは。

幻覚にまどわされたセキュリティ対策は、マイナンバーの意義を貶める敵といって差し支えないのではないだろうか。

何より、「税収は国民から吸い上げたものでありまして」、
それを無駄遣いするのは国民の敵でございます。


関連記事

マイナンバーのアクセス・ポリシー

今までマイナンバーについては何度も取り上げてきている。
もちろん批判的にだけれど、それは国民総背番号制の問題としてではなく、設計の悪さによるコストの問題としてである。

私は国民総背番号制を否定するものではないが、現在のマイナンバー制度は、国民総背番号制という正面からの議論を避けているのか、本質的な情報管理ポリシーの問題を、セキュリティ問題にすり替えているように思う。
この姿勢は住基ネットワークの導入時と変わらない。役人の学習能力を疑う。

その結果、使いにくく、コスト・事務負担の大きなシステムになっている。安倍首相は、憲法改正もきっちり議論しようと言っているのだから、国民総背番号制についても、きっちり議論してもらいたいものだ。

今からそれをやったら、この膨大な人的・財政的・社会的負担を引き起こした責任が問われるからやらないだろう。会計検査院が問題として取り上げてくれないだろうか。


OECDguideline.png さて、私は、マイナンバーは名前と同じに扱えば良いと言ってきているわけだが、それについてまとめておこう。

どなたにも了解できることは、マイナンバー自体はその個人についての情報は何も担っていない。番号はランダムに付けられていて、住所や性別などといった個人の属性はカケラも入っていない。つまり、番号が他人に知られても、そのことで個人情報が漏洩することにはならない。

ただし、「条件○○を満たす人のマイナンバー」という場合は、マイナンバーだけでも重要な個人情報になる。


問題は、個人情報にマイナンバーがリンクしている場合、マイナンバーで検索すれば当該個人情報が引き出せるのではないかという点にある。

たしかに番号さえ知っていれば、当該個人情報にアクセスできるのであれば問題である。だから、番号を知っていても引き出せないようにアクセス制御が必要となる。米国のSSNが問題を起しているのは、番号を知っている=本人と推定するという、かなり乱暴な運用があったためである。


つまり、マイナンバーを使って個人情報にアクセスすることをコントロールすれば良い。
アクセス・ポリシー自体は単純である。

ポリシーとそれを保障するための方策は別のレベルの議論である。まずポリシー、そして方策(技術)という順でなければならない。


まず、自己情報コントロール権という立場からは、原則として本人のアクセスを認める。このとき、本人であることの推定はマイナンバーを知っていることではなく、マイナンバーカードを持ち、かつ、そのPINを知っているなど、本人認証手続きは別途定めることになる。(本人認証と権限認証は別のもの

次に、マイナンバー付きの個人情報を収集した組織が、その収集目的に従って利用する場合は認められる。このとき、そのアクセスが正当であることを保障するのが、利用者認証やシステム認証などのセキュリティ技術である。

基本的にはこの2つの利用方法は当然のものである。この他、やや境界が曖昧であるが、統計的利用も新しい個人情報保護法制上は認められる。

こんなことは、OECDのガイドラインの昔から、ずっと言われてて、アタリマエのことなのだけど、ポリシーを意識することがセキュリティ設計の基本のはずなので、もっと強調すべきだと思う。


これに加えて、行政の事務軽減や、本人の利益になるものとして、どういう利用方法があるかということになる。
前者では、多くの公的制度が所得状況に基づいて実施される場合、行政職員が所得情報に職権でアクセスするようなことが考えられる。
後者については、無保険状態にある人を抽出して、保険加入を勧奨するなど、本人のためになる事務の実施が考えられる。
ただ、これらは是々非々であって、一般化することは難しいだろう。

このあたりをきちんと審査するのがPIAとかの仕事じゃないんだろうか。


現在のところ、税、年金、健康保険以外の分野で、マイナンバーを利用するというのは、ほとんどが所得情報の確認に利用するというもののようだ。現行制度では、実に煩雑なことにマイナンバーが使える事務はホワイトリスト方式だから、こんな単純な使い方でも、○○事務ではマイナンバーを利用する、という言い方になる。
しかし、税情報へのアクセスは、マイナンバー(=納税者番号)をキーにして参照するというだけのことである。マイナンバーを使うことが本質的なのではなく、税情報へアクセスすることが本質的なのである。議論すべきは、マイナンバーを使うかどうかではない。

実際、市町村で福祉関係の手続きをする場合、市町村側では住民税の情報を参照して事務をすすめるのが普通である。今まではマイナンバーがなかったし、住民票コードは普及していないから、各種手続きでは、名前、性、生年月日、住所によって本人を確認して、税情報にアクセスしていたはずである。そして、それについては住民は理解、納得していたと思う。

こんな利用方法までいちいち「マイナンバー利用事務」などというのはちゃんちゃらおかしい。税側が決めれば良い話である。
制度立案者は、厳密にしたつもりだろうが、本質的なところを示せていないなら無意味だし、それによって、なんでもかんでも「特定個人情報取扱事務」として、特別な保護をしようというなら、どんどん事務コストを上げていくことになる。

もし、住民の側に十分なITリテラシーがあれば、もっと厳密な制度運用ができる。
窓口で所得の証明を求められたら、本人が自分の税情報にアクセスして、それを証明する文書を入手して提出するようにすれば、職権でのアクセス自体をなくすことができる。これができればマイナンバーは捨てたもんじゃないと思う。


以上のようなアタリマエのことをあらためて書こうと思ったのは、国民の不安を掻き立てるような広報が繰り返される一方、マイナンバーの収集目的、利用の範囲や方法が、納得できる形では説明されていないように思うからである。

私がマイナンバーを提出したことについては既に書いたけれど、提出にあたって、収集目的や利用方法がきちんと説明されていたようには思えない。届け出用紙には、それを明記するべきだろう。

法律に書いてあるから収集するというのでは、答えにならない。クレームに対して「それがルールです」と回答するのは事態を悪くするというのがセオリーである。


やたらセキュリティ対策ばかりが言われるが、どんなに厳しい技術を導入しても、ポリシーが徹底していなければ、そのシステムを利用する人間がセキュリティ・ホールになる。

関連記事

マイナンバーの提出

fuyokojoshinkokushomk.png 今、社内全職員のマイナンバーの収集がはじまっている。扶養控除の届という形で、本人・扶養家族のマイナンバーの記入が求められている。
家人が離職して収入減になったので扶養親族として、家人のマイナンバーも届けた。

これで、私がマイナンバーを提出したのは、共済組合(退職年金関係)国民健康保険(世帯主として)の2カ所に加えて、雇用主経由で税当局へと、3カ所になった。

ところで、家人は今まで国民健康保険に入っていたのだけれど、離職してこちらも扶養者扱いになり、協会けんぽに加入することになった。
それで福利厚生担当へ行って扶養届を出そうとしたら、届には私と家人の基礎年金番号を記入しなければならないという。その場ですぐにはわからなかったので、つい、マイナンバーならわかりますけどと言ったのだけれど、「未だマイナンバーは導入されていません」と申し訳なさそうであった。もちろん私も期待はしていないし、これは過渡期だからかもしれないけれど。


税については、今までは本人に見える形では個人を特定できるキーはついていなかった(キーはシステム上当然付いているはずだが、税当局内でしか使用していないと思われる)。
これが本制度の肝じゃないだろうか。
年金も保険も、そして各種の公的制度においても、手続きには対象者の所得の確認がついてまわる。税が持つ情報を他機関で参照できれば、手続きが簡素化される理屈である。

2016-01-20_111856.jpg 国はこのように説明すべきだったのではないだろうか。

マイナンバーの創設により、国民の所得情報を、法で定めた制度・機関が利用することができるようになります。(今まで必要だった証拠書類は不要になります。)

これなら、その是非はともかく、混乱や不安は随分解消されるだろうと思う。
国民がなんとなく不安感を持つのは、マイナンバーを届けたら、それがいろんな機関に伝達されて、どのように使われるかわからないからではないだろうか。
難しいセキュリティ技術の話より、どこでどう使われるかだけ説明して、それ以外は違法であると言えばそれで良いと思う。

技術をいくら丁寧に説明しても誰も納得できないと思う。技術にできることは利用秩序(What、for what)を打ち立てることではなく、定められた秩序の維持(How to)のみである。


私はマイナンバーは名前と同じ扱いで良いと考えているから、そもそも利用制限は不要で(個人情報保護法の遵守は必要)、マイナンバーを収集するところがどういう使い方をするか説明し、本人がそれを納得すればそれで良いと思う。

その一方、安易にマイナンバーを義務付ける制度には疑問を持っている。
たとえば、医療機関でマイナンバーを書かせるなんていうのは、支払だけなら保険証で十分なわけで、一体何に使うつもりかがはっきりしない。

ただし、医学の進歩のために患者のマイナンバーを使って、患者のライフヒストリーを収集して分析するなどは許されるべきだと思う。


個人情報保護の基本には自己情報のコントロール権がある。
情報漏洩しないように高度な技術と厳格な運用をしていると言われても、それは自己情報のコントロール権を保障するものではない。
また、情報漏洩(セキュリティ)の説明ばかり聞かされると、個人情報保護を技術の問題に矮小化しているようにも思えてくる。そして、守るべきものが明確でないまま、漫然とした対策をうつのでは、前にも書いたが、そのコスト、人的負担は過大になる。

関連記事

こんなところにもマイナンバー

gendogakutekiyoumsn.jpg 前に、年金の手続きで、マイナンバーを記入した届をした話を書いた。

今度は、医療保険(国民健康保険)でマイナンバーの記入を求められた。
私は厚生年金だけれど、家人は収入の関係で国民健康保険に加入している。高額医療費については、事後還付が行われるわけだが、事前に「限度額適用認定証」を受けていれば、月に支払う医療費そのものが、減額されるわけだ。

厚生年金や共済の場合はいちいち手続きをしなくても還付される。国保もそうしてもらいたいと思う。

この手続きをしようとしたら、マイナンバーの記入を求められた。
マイナンバーの記入に抵抗感はないわけだが、ちょっと不思議である。

窓口では、私が申請書を出す前、つまりマイナンバーを伝える前に、家人がその手続きに適合するかどうかをすぐに調べてOKと告知してくれた。

しかも、去年の10月分の医療費の還付が、まもなく行われるということまで教えてくれた。

マイナンバーがなくても、従来から市の情報システムは、住民の情報を内部で名寄せしていて、所得の確認や保険の加入状況などが瞬時にできるようになっているわけだ。

そこで疑問。
国保の制度は、市で完結していて、加入・掛け金・支給にかかる情報が、他の機関に出る必要はないはず。

医療機関とのやりとりは、被保険者番号で行われる。

そうなら、本質的に名寄番号であるマイナンバーを使う必要はない。
一方、国保の標準事務は、多分、全市町村共通で、厚労省あたりが決めていると思うのだけれど、なぜ、ここにマイナンバーを入れようと考えたのだろう。
必要性があるというより、マイナンバーが出来たから入れておこうという発想ではないだろうか。
OECDのガイドラインに準拠するなら、必要でない個人情報は収集すべきではない。国は何のために収集するのか説明できるのだろうか。

私はその発想は安易だと思うけれど、そのことが不適当だとは思わないのだけれど、一方で、マイナンバーを秘匿しなさいという雰囲気や、ネットワークを分離しなさいという「セキュリティ指導」がなされていると、何のためのマイナンバーなのか、わけがわからなくなる。

そうした腫物に触れるようなマイナンバー対応は、システムのコストを間違いなく押し上げる。
まして、マイナ・ポータルで考えられているような、自己情報へのアクセスに対応しようとすると、どう考えてもネットワーク分離などということはアリエナイのではないか。

前に"マイナンバー・アイソレーション・ブース"というのを提案したけれど、こういう個別の事務にマイナンバーが入り込んできて、その都度、マイナンバーを別管理するのは、面倒でコストもかかる。なお、直接住民情報を管理する住基や国保などのシステムは、会計や人事などの市町村の組織管理のシステムとは分離されているようだ。

そうではなく、マイナンバーは名前と同じと割り切ったら、システムはシンプルになり、コストを低減できるはずである。

マイナンバー制度というのは、実に一貫性のないものである。
名前と同じように扱って、柔軟に利用する方向で考えるのか、それとも必要最小限の利用を厳密に考えるのか。どうも、その両方の方向性が、何ら調整されずにすすめられているような気がしてならない。

ところで、国保は都道府県を保険者にする制度改正が予定されている。
今までは市町村で完結していた事務が、都道府県と窓口となる市町村に分担されることになる。そうなると、また、マイナンバーの管理の徹底とやらで、高いシステムを作ることになるのではないだろうか。

関連記事

顔認証

kaoninshoumynumber.jpg 市役所で、マイナンバーカードを手交する際には、もちろん渡す相手がカード記載人であることを確認しなければならない。これは身分証明書でもあるからだ。

この本人確認は、市役所の職員がカード券面の顔写真と見比べることで行うのだろうが、聞くところによると総務省は、顔認識システムの併用を求めているそうだ。
このため、各市役所の交付窓口あたりには、顔認証システム用のカメラが置かれ、カードを取りに来た人をカメラでとらえ、システムによる本人確認をするようになる。

実際の運用がどうなるかは市によって違うとも言われる。全員に対して顔認証システムを通すのか、怪しい人にだけそうするのか。

他人にマイナンバーカードを渡さない、つまりフォールス・ポジティブを極力減らすという趣旨なら、当然、職員による認識と顔認証システムの認識が一致したときに限って本人と見做すのが正しいはずである。

逆にフォールス・ネガティブを減らしたいなら、職員と機械のどちらかが本人だと判定すれば良い。


しかし、そもそも何か変だ。
普通、顔認証システムって、予め登録されている顔と一致する人物かどうかを判定するためのものだろう。そこでは、警備員が相手の顔を知らないとか、無人ゲートであるとかが想定されている。けど、マイナンバーカードの手交では、カード券面の顔写真とカードを取りに来ている人が同一人かどうか判断するわけで、こんなところに顔認証を使う意義があるのだろうか。

同じ写真を、同じ人物を、職員と機械が見て、本人かどうか判定するわけで、どちらも同じ情報を使っている。
普通、人間と機械の判定が違う場合、他の情報を使って確認するのがスジではないだろうか。

多くのサービスでは、たとえば、生年月日がすらすら言えるとか、同居人を正しく言えるかとか、あるいは他に持っている証明書等の提示を求めるとかの対策をしている。

そして、マイナンバーカードの交付にあたっては、カード券面の写真による顔のチェックだけでなく、マイナンバーカードの交付通知書、通知カード、さらに運転免許証等の身分証明になるものの提示が必要とされるらしい。これを全部そろえられて、しかも顔がどうやら本人ぽいとなれば、誤交付っていったいどのぐらい起こるんだろう?

それに顔認証だけだと、顔が似ているということでだまされることは排除できないだろう。
前にも書いたけれど、パスポートの偽造はあまりなく、顔が似ている他人のパスポートを使うというケースが多いという。
ところで顔写真付き身分証明といえば住基カードでもOKなのだけれど、住基カードは役所に返却となるそうだ。500円払ったのに取り上げですか?


「顔認証システムの併用により厳格な本人確認を行う」というのは、顔認証システムの能力や使い方を知らない人の科白というか、穿った見方をすれば、それは承知の上で「高いセキュリティ」とやらを印象づけるための宣伝なのだろう。(あぁこの宣伝費も税金だ)

ところで私はスマホの顔認証機能も使っている。暗いところや、顔の角度によっては認識しないこともたびたびである。顔が認識されなければ、手でパスを入れる。
こちらはフォールス・ネガティブ対策である。

関連記事

マイナンバー・アイソレーション・ブース

いよいよ運用開始となったマイナンバー
私は前から、制度設計、システム設計が悪いんじゃないかと書いてきている。
悪いと感じる一つの要因は、活用と情報保護に対する一貫性というか、ポリシーが曖昧なことだと思う。

いろんなサービスに活用しようという一方で、マイナンバーは大事なものだから妄りに教えてはならないし、知った人はそれを鍵をかけて厳重に管理しなければならないという。
で、それぞれの方向で、首を傾げる活用法が言われたり、やたら厳しいセキュリティ対策が求められる。

前者の代表は、マイナンバーカードを企業等の社員証にしたら良いというもの。見ただけでは社員かどうかもわからないカードが社員証になるんだろうかと思う。また、マイナンバーカードに組み込まれる電子証明書を使ってネット上での本人確認に使えば良いというけれど、JPKIを使うのか、無記名の証明書を使うのかどっちなんだろう。

そして後者の代表は、何を守るべきかがはっきりしないまま、とにかくセキュリティ技術をありったけ使えば良いとでもいうような話。で、とうとう、ネットにつながってたら情報漏洩の危険がある、マイナンバーを扱う情報システムはインターネットにつなぐな、他のネットワークと分離せよなどという、そんなことしたら仕事が回るんだろうか? ということまで言いだしているらしい。

今日は、この最後のネットワーク分離について考える。

私は、そもそもマイナンバーは名前と同じに考えて、名前入りの情報を扱うのと同等の注意を持って扱えばそれで良いと考えているから、そもそもネットワーク分離してまでセキュリティ対策をする必要はないと思っている。それに、マイナンバー自体は特別な意味はなく、他の情報とセットになるから意義があるわけで、その「他の情報」とは従来からある情報システムに由来するわけだから、なんらかの方法でマイナンバーを扱う事務と情報交換しなければならないのはアタリマエである。そこでネットワークを分離していたら、どうやって情報を受け渡しするのか。結局、オフライン媒体を使えというのだろうか? それってアブナイのでは?

とはいうものの、こういう理不尽とも思える指導をする側は国家権力だから、やっぱり従わざるを得ない。
そこで、これが一番安上がりだろうという方法として、標題に書いた「マイナンバー・アイソレーション・ブース」(特定個人情報処理室)というのを考えた。
mynumberisolation.png
マイナンバー入り情報(特定個人情報)が流れるメインの流れは、給与・報酬等の支払に付随する税・社会保障の源泉徴収にかかる部分である。つまり外部提供する部分。
前にも少し書いた覚えがあるが、マイナンバー・アイソレーション・ブースというのは、従来の社内システムとは別に、特定個人情報を外部へ提出するためのブースである。ここでマイナンバーを付加して外部提供すれば、社会的な役割は果たしたことになるはずである。

マイナンバー騒ぎで、会計システムや人事給与システムなどは、マイナンバーを記録できるように改修されているだろう。昨今は、これらのシステムをスクラッチ開発しているところは稀で、ほとんどの組織がパッケージを利用しているに違いない。つまり、パッケージ・ソフトもマイナンバー対応を謳ったものになっているだろう。
そして、私はこのマイナンバー対応パッケージを使っていても、マイナンバーを記録する部分には、マイナンバーを入れず、従来の社内で利用していた個人識別番号を入れておいたら良いだろうと思う。
パッケージ・ソフトは、税当局等への報告データもまた出力するだろうから、そのパッケージが作成する報告データにはマイナンバーは入っていないわけだ。

このパッケージ生成データを、オンライン・ストレージか媒体へ記録して、マイナンバー・アイソレーション・ブースでこれを読みだす。そして、マイナンバー・アイソレーション・ブースには、社内で利用している個人識別番号とマイナンバーの対応表を用意して、外部提供の直前に社内個人識別番号をマイナンバーに変換するのである。

こうした処理は余程の大組織でない限り、PC1台で、ExcelかAccessでマクロを書けば十分できるだろう。


外部(税当局等)への提供はファイル単位のはずだから、これでも円滑なデータ引き渡しができるだろう。
もし、個々の個人情報をリアルタイムでやりとりするのなら、どうしてもネット接続が必要となるだろうが、そうだとしてもアイソレーション・ブースを作っておけば、セキュリティ対策をしやすいはずである。

また、外部からの照会があるかもしれない。「このマイナンバーの人の情報を教えてください」である。
こうした場合も、マイナンバー・アイソレーション・ブースで対応する。
社内システムへアクセスする端末をブースに置いておくだけでも良いだろう。照会件数が少なければこれで十分対応可能。
大量に照会があるとか、即時応答が要求されるなら別途検討が必要だが、この制度でそれはないだろう。

こういう方法だと、マイナンバーは既存システムでは一切扱えないことに不安を感じるかもしれない。新しい法制度、システムでマイナンバーを使う必要が出てきた場合、既存システムはマイナンバーにアクセスできないから、それが制約になるのではないだろうかという不安である。

しかし、その不安は本末転倒である。本当にマイナンバーの利用秩序をきちんとしようというなら、使うかどうかわからないマイナンバーを既存システムに置くことの方が問題である。マイナンバーはその使い方が法令等によって、厳密に定められていることが前提という以上、ひょっとしたら使うかもしれないというような思いで、安易に既存システムに記録することは慎まなければならない。情報流通を法的根拠により確実にコントロールする、それが情報管理の要諦である。不安だからあちこちに置いておくなどということをしてはならない。

このあたり、つまり、いつ、どこからどこへ、どんなフォーマットで情報を渡すかを具体的に示さないで、セキュリティ技術の導入やネットの分離といった弥縫策(敢えて言う、これらは弥縫策だ、しかも金のかかる)をいくらやっても現実から遊離したものしかできず、結果、事務を滞らせ、裏口・抜け道(つまりセキュリティ・ホール)を使わなければ仕事にならないという結果が見えてくる。
ひょっとすると年金機構の情報漏洩も同様だったのかもしれない。年金機構は、セキュリティ対策として、ネットワーク分離はしていなかったけれど、基幹システムを厳重に管理していたらしく、職員は使い慣れたOA環境(インターネット・リーチャブルな)に情報をもってこなければ仕事にならなかったのではないか。


ところで、通常の企業等ではこの方法で問題はないけれど、市町村の場合は、住民登録がマイナンバーの発番管理に関わっているため、住民登録システムに関しては、こういう対応では済まないと考えられる。以前に書いた「名寄番号」のような発番管理であれば、そんな心配はいらないのだけれど。
今更だけれど、なぜ発番管理に住基ネットワークを使わなかったのか、これも実に不思議なことである。

関連記事

番号のつかいかた

2015-12-16_094237-crop.jpg マイナンバーの通知カードの不達が本格的な問題になってきている。
私は、通知カードが不達でも問題なんてないと考えてきているし、通知カードが届かなくても市役所へ問い合わせたら済む話であるとも書いてきた。

すると、ようやく、国もまともな広報をしはじめたようだ。
先日、ぼうっとテレビを見ていたら、マイナンバーの政府CMが流れたのだが、「通知を受け取っていない方は、住民票のある市区町村にご連絡ください」というメッセージが最後に表示された。
はじめからそうしておけば良いのである。

兎角、マイナンバーについては、後手後手の対応、ゴテゴテのシステムにより、ゴタゴタが絶えない。
二度とこんなことやるマイナ

そもそも個体識別番号の値打ちというのは、名前を使わずに手続きができるということにもあると思う。

TポイントとかRポイントとか、各種のポイント制度が盛況だが、これらの各ポイントは、いろんな店で取得したものを合算できるようになっている。実際のところどうしているのかは知らないけれど、ポイントの合算が会員番号だけで行われているとしたら、A店、B店のそれぞれで違う名前で会員登録していても合算できるわけ。A店、B店も実は本名は知らないというケースだってあってもおかしくないわけだ(実際は名前も交換しているかもしれないが)。
2015-12-16_161218.jpg
のら猫では、複数の家にふらっと寄って食べ物をそれぞれからもらうという暮らし方をする奴がいるという。
それぞれの家では、自分の家によく来る猫だということで、ある家ではトラと呼ばれ、別の家ではタマと呼ばれる。そういう状態。 猫に鑑札があったら、同じ鑑札をぶら下げている猫が、トラだったり、タマだったりするわけだ。
それで何か問題ある?


ところで、昨日、最高裁が夫婦別姓を認めない民法の規定は合憲であるという判断を下した。
それが良いかどうか私にはわからない。
夫の添え物ではないとか、それまでの人生で築いてきた人間関係に影響するということで、結婚(入籍)後も旧姓を通称にしている人は多い。以前の部下でそうしようとしたけれど、後々、いろんな手続きが面倒になりそうなのでやめたという人もいる。
一方、夫の姓になることで結婚を実感し、心構えができるという女性もいる。

ただ、夫婦別姓に反対する人には、家族関係がややこしくなると思っている人もいるようだ。
現在の社会制度は、個人ではなく世帯を単位にしているものが多い。扶養認定や扶養控除、医療保険、年金など、家族や生計を共にするという考え方がすみずみまであてはめられていることは事実だ。

しかし、こうした制度は姓が同じでなければ家族と認めないというわけではないと思う。高齢の父母が世帯主と別姓であることはめずらしくないと思う。遠隔扶養であれば、住所も違っている。それぞれの制度で、「家族」とか「生計を共にする」とか、そうした考え方を明確にして、その「グループ」を管理すれば済むはずである。
つまり、世帯を所与のものとせず、制度に応じたグループ概念を定義し、個人の所属を管理する方法である。

複数の家で餌をもらってる猫をあぶりだすことができるようになるわけだ。


マイナンバーはそうしたグループの設定・管理に、きっと役に立つだろう。
(そういうシステム・ビジョンは寡聞にして聞かないけれど)

関連記事

名寄番号 その3 コスト

名寄番号の3回目。
マイナンバーに代えて名寄番号を考えた動機はコスト問題だから、金額評価はともかく、そんなに経費がかからないだろうという説明を試みる。

まず、税や年金の源泉徴収で使われるケースなど、発行された名寄番号を使うコストについてである。
これは、各企業等の情報システムが、それぞれの納付先へデータを送るときに、名寄番号を併記するようにするだけだと思う。そのフォーマットは納付先当局が決めるのだと思うが、各企業等のシステム変更が最小になるように、たとえば名前の後ろに名寄番号を入れてくださいという方法など、何種類かを認めるようにすれば良いと思う。
もちろん企業内では、既存の社員番号と名寄番号の対応表を用意するか、社員データベースへの名寄番号フィールドの追加が必要にはなる。

つまり、名寄番号の主たる使用で発生する負担・コストは、「面倒だけどしゃあないな」という程度であろう。

マイナンバーでは自治体には連携ネットワークとか中間サーバーとかの仕掛けがたくさんある。私が思うに、番号の主たる利用はたとえば源泉徴収義務者から税当局へといったもので、これらの仕掛けとは関係がない。それでも制度の目的は達成できるから、これらは「使用で発生するコスト」には含まれない。


それに対し、名寄番号の発番、付番については、新しい社会インフラだから、当然、それだけのトーシが必要である。
私は、発番と付番は別の行為と考えている。
名寄番号の発番と付番
  • 発番は、重複した番号が複数人に付番されないように、使用済番号を管理しながら、新しく番号を生成する機能である。
  • 付番は、発番サービスに依頼して名寄番号を発行してもらい、それをリアルの人間に割り当てる機能である。そしてこれは既存事務に付加するなら、市区町村の住民登録に付加するのが良いだろう。

発番については、前にも書いたように、実質11桁(見掛け上12桁)というのは高々1000億個の番号しかないわけで、その番号が使われているかどうかは1000億ビット=125億バイト=12.5GBのデータ量が保持できれば良く、PC 1台程度の機能である。

発番システムは、全国から来る発番要求に遅延なく答えなければならないが、新しく付番しなければならない数は、新生児等で、年間100万人程度である。役所が連休で休んだりするため、1日の登録事務が最大10日分まとめて行われるとして、27,400件/日、これを8時間で処理するから1秒あたり0.95件、つまり1秒に1件処理できれば、発番要求が滞留することはない。で、この程度なら10年前のPCでもなんなくこなせそうだ。

なお、番号自体は受け付け順とか、そういう意味のある順番で出されるわけではない。ランダムに発番され、発番した番号に対応するビットがオンになるというイメージである。これで登録地・時期などの意味が排除された番号を出す。


心配なのは、各市町村側が、番号を受け取り損ねたり、受け取ったけれど住民登録システム側に反映できなかったなどのシステム障害が発生した場合である。
対応方法はいろいろ考えられるが、たとえば次のような方法も考えられる。

発番システムには発番の予約機能を用意する。その日に発生しそうな出生届の数ぐらいの番号を毎朝もらっておいて、実際に使ったら発番システムに使用した旨を送って、使用済とするわけだ。もっともこの場合、番号が使用済みかどうかだけでなく、予約中かどうかも管理する必要があるので、1つの番号に対して2ビット用意することになる。つまり、前述の説明の12.5GBでなくて25GBの容量を用意する。こういう設計にした場合は、1件だけ登録する場合でも、登録直前に発番予約・登録・登録完了という手順にすれば良いわけだ。

なお、発番の予約というのは制度起ちあがり時の一斉付番でも利用できるだろう。


マイナンバーでは、番号生成システムは住基コード及び機関別符号の対応関係まで管理しているようだが、名寄番号の発番システムでは、番号が発番済かどうかしか管理していないから、もしこのデータが漏洩したとしても、直ちにその他の個人情報が漏洩することにはならない。つまりマイナンバーより名寄番号の方がずっと安全であるし、余計なネットワークが不要となり、セキュリティ対策もはるかに簡単になる。

問題は、転居などで住所がわからなくなった人を探す場合。名寄番号ではリアル人間との対応の集中管理はしていないから、全市区町村に対して「名寄番号○○の人が居住しているか」という照会をしなければならない。
もっともマイナンバーは集中管理はしているけれど、そんな問い合わせは認められていただろうか。


発番の問題ではなく、付番の問題だが、同一人に2つの番号を割り当てることは起きないだろうか。
これは同一自治体で発生することは考えにくい(システム上、1つしか名寄番号は記録できないはず)けれど、同一住民が複数自治体に住民登録されている場合には起こりうる。ただ、これはマイナンバーでもそういう事態は避けられない。つまり情報システム上の問題ではない。

聞いた話では、複数の自治体に住民登録があって、だから、選挙権も2カ所(2つ)持っていた人がいたそうだ。北海道と和歌山の2カ所に生活と仕事の拠点があったために、戦後のどさくさで住民登録がはじまったときに、両方に登録したという話である。

あるいは、架空の住民登録をして番号をもらうことも考えられるけれど、これもシステムの問題ではない。

名寄番号では、リアル世界の住人との対応は住基コードだけれど、各自治体は住民のもの(住民であったものも含むと思う)しか保有していない。転居時には転出・転入届がなされるが、このときにはじめて名寄番号が転居先自治体に知らされる。

そんなことで良いのかと言う人もいるかもしれないが、名寄番号は名前と同じ扱いであれば、それで何の問題もないはずである。もし、転入届に名寄番号の記載がないなら、前の役所に問い合わせればOKである。
本質的なのは、転入転出で住民票が移動することではない。前住地での各種記録を転出先に引き継ぐかどうかという問題である。そしてこれは、住民基本台帳法や個人番号法の守備範囲では全然ない。

そしてこうしたデータの交換をするために複雑な情報連携ネットワークが構築され、中間サーバーという実態は集中運用される自治体システムが必要となる。そして個人情報が溜め込まれ、厳格なセキュリティ対策が必要となる。まさに泥沼状態である。


住基ネットワークも必要ない。名寄番号を制度化すれば、住基ネットワークを廃止しても問題はないと思う。
住基ネットのメリットとして説明される住民票の遠隔交付だが、名寄番号カード(本人認証)を使って直接居住自治体へ請求すれば良い(サービスが動いていることが前提だけど、それは現行システムも同じ)。
住基だのマイナンバーだので、特殊な仕様のシステムを作らなければ、行政サービスのスタイル自体が標準化されることになるだろう。

制度起ちあがり時には、一斉に全国民・在留外国人に付番しなければならないが、それは各自治体の住民記録システムをベースとして行う。期日を決めて、その日に住民であった人の番号を発番してもらうわけだ。このとき、発番予約機能があれば、20万人都市なら20万人分をもらって、実際に付番したもの・そうでないものを発番システムに報告すれば良い。この作業は高速に行う必要があるから、このときだけ高価なサーバーを使っても良いが、より現実的なのは一定の期間内の住民移動を吸収する事務手順を作ることだろう。

前に「情報連携ネットワークにマイナンバーを流しちゃいけないのか」という記事を書いたけれど、名寄番号なら、制度維持のために、そんなネットワークを用意する必要はない。必要なのは発番用ネットワークだけである。
また、自治体間の情報連携は、その内容に応じて、各事務ごとに手順が決められるべきものであるし、ネットワークも選択されるだろう。プライバシーが心配なら、暗号化通信を行えば良いのである。


これなら年間100万円もあればできそうに思うのだけれど(金がかかりそうなのはネットワーク利用料だけ)。
マイナンバーの効用がどのぐらいと算定されているのか知らないけれど、仮に効果額が100億円だとしても、システムに100億円使って良いという話にはならないと私は思う。

3回にわたって名寄番号について書いてきたけれど、これは米国のSSNとそう違わないものだろうと思う(SSNに詳しいわけではないけれど)。SSNを持ち出すと、直ちに悪用が心配という反応があると思うけれど、悪用例のほとんどはSSNを知っていることで本人認証を行ったために発生したと推定される。

番号制度が、SSNに学ぶべきことは、他人も知り得る番号であることを前提に制度設計をする(番号を知っていることで本人認証とはしない)ことであって、他人に知られてはならなない番号として設計し、マイナンバー自体の秘匿がセキュリティの要であるかのようなシステムを構築することではないと思う。さらに、それでも後者の立場をとるのならば、源泉徴収制度そのものをやめるべきである。
こうした根本的な部分でのコンセプトについて無自覚なまま進められているのがマイナンバー制度だと、私は考えている。
(そしてその無自覚の代償が数千億円だ)

関連記事

名寄番号 その2 使い方

昨日稿で「名寄番号」というマイナンバーに代わるものを考えたが、今日はその続きで、使い方について考える。
まず確認しなければならないのは、名寄番号による名寄行為はどうあるべきかである。

名寄番号による情報照会制度の基本的考え方

事務間での情報照会は、名寄番号制度とは別に、それぞれの必要性・妥当性が吟味され、個別法により認められたものであり、そうした照会事務において、名寄番号を使うことで、円滑・確実な情報照会を実現するものである。
名寄番号制度の創設により、事務間の情報照会が可能になるわけではない。
情報照会における名寄番号の利用は、手続き・技術を定めるにすぎない。


実際には、こうした事務間の情報照会は、個人情報保護が厳格に行われるようになる前からあったことで、慣例として行われているものもあるに違いない。税務調査に至っては、どうやって情報を取得したかさえ秘密にされているだろう。(公務員一般に守秘義務があるが、税務職員については守秘義務が特に定められている。これは、課税情報そのものを守るためではなく、課税の根拠となったデータを守るためだと言う話を聞いたことがある。)

そうした事態が、マイナンバー法制により関連事務の範囲があきらかになるという余得はあるかもしれないが、それは本末転倒の話である。


○名寄番号は、法で指定した手続きには記載を義務付ける
具体的には税の申告、公的年金の加入などで、マイナンバーと同様である。源泉徴収義務者は本人に代わってこれらの手続きをするわけだから、当然、本人の名寄番号を収集することになる。
そして法に基づいて事業者等に情報提供を求める場合、事業者側は名寄番号を記載して回答しなければならないとする。なお、この場合、情報提供を求める側が名寄番号を提示して対象者を特定することができるとする。今まで名前と住所などで本人を推定していたところを、名寄番号で済ませるというだけの話である。

事業者の既存システムには手を入れる必要はない。名寄番号自体は特別な保護対象ではないから「特定個人情報」という概念もないから、それ用に保管ロッカーを用意する必要もない。
実務的には、内部管理用の個人識別コードと名寄番号の対応表を分離して凌げばよいだろう。オーソライズされた機関から情報照会があれば、当然、照会手順・項目などは厳密に定められていなければならないから、それに対応したパッケージ・ソフトを用意するのは難しくない。
たとえば、源泉徴収義務者が従業員の天引き情報を税務署に渡すとき、電子データならフォーマットが定められているから、そこに番号のフィールドを設けるだけである。そしてそのフォーマットはもともと共通だから、内部の個人識別コードと名寄番号の対応表から所定フォーマットに変換するのも、余程特殊な識別方法をとっていない限り、共通のものが利用できるであろう。


○利用範囲の法定
問題は、名前以上に強い規制が必要かどうかであるけれど、制度の適切な運用と国民の理解を求める上では、名寄番号は法で定められた使い方に限るとしておくのが良いだろう。
もちろん収集制限の原則に照らして、名寄番号の収集が正当化されるのは、その必要性が明確な場合であるから、法定しなくても保護されるべきものであるが、そういう約束はすぐ反故にされるので、必要性は法によるもの以外は認めないという論理である。

法定主義を導入すると、利用範囲が拡大されるたびに法改正をしなければならないわけで、国は条文に1行書くだけで済むかもしれないが、現場では、自分には何の必要性もないにもかかわらず、その改正に対応するために、あらためて名寄番号の収集やシステム改修をしなければならない事態となり、大変煩わしい。
しかし、このことが逆に、簡単には法改正できないように働くと期待するべきなのだろう。現場の迷惑も考えず簡単に別表追加などするなということである。

それよりも、たとえば信用情報照会システムで、より確実な情報照会を行うため、クレジット・カードの加入者には名寄番号の提示を求めたいというような業界の要望があって、それが妥当で、利用者の利益になるということが国会で審議されて認められる、という制度こそがのぞましいと思う。
(使いたいといっても、個人情報保護審議会や国会が否定する。そもそも個人情報の国家管理がいやだと言う人がいるから保護に力を入れているんでしょう。)

○流通規制
名寄番号では、その秘匿を義務付けるのではなく、流通を規制する。すなわち、法定外での名寄番号入り個人情報の提供禁止(提供元、提供先両方に罰則規定)、名寄番号を含んだ出版、公衆送信の禁止などである。
これにより名簿屋などによる名寄番号入りのデータの販売は直ちにアウトとなる。もちろんそうすれば、名簿屋は、手に入れた名寄番号入り個人情報を照合して、その中にメールアドレスなど個人識別可能な情報があれば、そちらをキーにしてデータを販売すると思われる。ただし、もともとの名寄番号入り個人情報は不正に取得したものだから、その時点で違法である。

マイナンバー制度で秘匿をやかましくいうのは、個人情報の保護をITセキュリティという発想で見ているからだと思うのだが、悪用防止という発想でも良いのではないだろうか。というのは、漏洩に対しては個人情報保護法や不正アクセス禁止法が既にさだめているところであり、番号制度特有の問題ではないと思うから。
漏らしたら罰ではなく、使ったら罰である。

○公的記録等への照会(身分証明)
以上は、機関間での情報照会にあたってのルールだけれど、本人は必要な時に公的機関へ自己情報を請求する際に、名寄番号を使うことができるという使い方である。
たとえば警察などから職務質問を受けたときに、名寄番号カード(マイナンバーカードのようなもの)を提示すれば、券面顔写真と持ち主を照合したうえで、名寄番号により、本人の住所等が確実に照会できるというわけだ。
もちろん名寄番号カードの発行は、名寄番号制度の本質とは別に、別の法律により行うべきだろう。


さて、こういう使い方はマイナンバーとほぼ同様なのだけれど、名寄番号という考え方でなぜコストが下がるのか、その説明はまた、稿をあらためて。

関連記事

名寄番号~貧乏国のマイナンバー

国を挙げて大騒ぎのマイナンバー、突っ込みどころ満載の施策なので、結構関連記事を書いてきている。
(「マイナンバー」でブログ内検索をすれば本記事を入れて30本ぐらい出てくる)

マイナンバーの制度・システムの知識が不足しているから、的を射た意見にはならないかもしれないが、米国のSSNとかはコンピュータ・ネットワークを前提にしない時代の産物でもあり、決して我が国のような複雑な制度ではないはず。そうした素朴な疑問はずっと持っている。

そして、このブログにも書いているように、私は制度設計、システム設計が良くないと思っている。
そこで、私が設計するなら、というのをちょっと書いてみたくなった。
もちろん細部まで熟慮したわけではないから、一笑に付してもらってもかまわない。

まず、標題の「名寄番号」だけれど、私はマイナンバーの本質は名寄せにあると考えており、マイナンバー制度をなぞって同じものを実現しようとは考えていない。このぐらいで十分じゃないでしょうか、というスタンスである。なので「個人番号(マイナンバー)」とは違うという意味で、「名寄番号」と表現する。

なぜ設計が悪いと思うのか、そのもっとも素朴な疑問、理由は、システム価格である。
たとえば、名寄番号は同じ番号を異なる人に割り当ててはいけないから、発番を管理しなければならないわけだが、マイナンバーの番号生成システムは69億円もかかるという。
しかし、実質11桁(冗長構成のため見掛け上12桁)というのは高々1000億個の番号しかないわけで、その番号が使われているかどうかは1000億ビット=125億バイト=12.5GBのデータ量が保持できれば良い。
もちろんシステムの安全性や関係機関とのネットワークなど、備えるべき機能はたくさんあるけれど、主要部分は原理的に同じなのに、4桁も価格が違うというのは一体なんなんだろう。
column-img005_tcm102-1291700.jpg 簡単に言って、スーパーコンピューターと安物のPCほどの差があるわけだ。

番号生成システムだけではない。自治体や公的機関の間での「情報連携ネットワーク」の巧妙だけれど高価、そしてマイナンバー利用の主流のデータ流とは別のネットワークへの投資、自治体に置かれるという中間サーバーという名前の「自動応答」装置とそれを運用するために必要な自治体システムの大量のシステム変更、なにより情報連携ネットワークと中間サーバーという仕掛けがセキュリティ上の問題を深刻にするので、このために多大なセキュリティ投資が必要になる。これら全部を合わせれば数千億円の投資だろう。


これが問題意識の発端である。とても財政的に小さい国にできることではない。
(だから「貧乏国のマイナンバー」というわけだ)

前にも書いたけれど、住基ネットワークができるとき、反対派の人が「セキュリティに矮小化するな。求めているのは自己情報コントロール権である」と言うとともに、「どこでも住民票がとれるという程度のサービス向上なら、インターネットの暗号化通信で簡単に実現できる。数百億円の投資の合理性はどこにあるのか」と言っていたことが思い出される。


さて、私が言う「名寄番号」の原理は、伝統的な名前の他に、国がユニークな名前(番号)を付けるというものである。親が子供の名前を届けるときに、役所がこの子供はこういう名寄番号(名前)で識別されます、というだけである。

今でも、いろんな組織に自己情報を照会するときに、名前や住所、生年月日、性(以上、いわゆる4情報)などで照会するが、同姓同名や転居などでマッチングがうまくいかないことがある。手続きがややこしいのは住所が変わるとき(転居)、姓が変わるとき(結婚)などのときで、皮肉なことに、こうしたニーズが高い場合であればあるほど、4情報ではマッチングがうまくいかない。古い4情報を使って、マッチングして履歴を追うことになるなど、結局、その人の個人記録から推定することになり、大変煩わしい。これは提出を受ける機関だけでなく、その証明を求められる国民にとって大変煩わしい。これが名寄番号の価値である

金融機関などが一番欲しがるのは、結婚して姓が変わっても同一人を識別できる番号である。金融機関は役所じゃないから、改姓・転居などは顧客からの申し立てによる。結婚して口座の名義を変更しようとしたときの煩わしさを思い描けば良い。


名前であるから、当然、それは秘密ではない。
名寄番号の管理・保護の考え方は名前と同様に考えれば良い。

本人がネットに公開するのはちょっと微妙だけれど、隣の人に教えたからと言って、何ら問題はない。
ある個人情報について、名前を伏せてもらいたい場合は、名寄番号も伏せてもらいたい場合であると考えれば十分である。

たとえば給与明細を名前付きで公開されるのがイヤというのと、名寄番号付きで公開されるのがイヤというのは同等である。

今まで名前が入っている情報の取り扱いに払っていた注意と同等の注意をもって、名寄番号が入っている情報の取り扱いにも注意を払ってもらえば良い。それさえ守られれば、その組織が持つ個人情報が漏洩することはない。

他人の名寄番号を手に入れたとして、それを有効に利用できるのは名寄番号入りの個人情報を別途保有し、それと照合できる場合である。たしかに、「この名寄番号の人は○○です」という情報があれば、会社などが従業員がそこに含まれているかどうかを確認するなどの使い方はできるだろう。では、「名前が△△さんは○○です」という情報と、どの程度違うだろうか。名寄番号と異なり同姓同名もいるだろうけれど、その名前の従業員がいれば本人に確かめることもできるだろう。また、名前は、表札その他、周知の情報との照合ができる。確実に個人を特定できるわけではないにしても、推定は十分可能である。さて、どちらが危険だろう。

なお、事業者が個人情報を収集すれば、個人情報保護法の適用対象となるわけで、個人を特定できる名寄番号が入っていれば当然個人情報保護法の適用対象となるのは自明である。

また、マイナンバーでは、漏洩したとか間違って他人に渡ったとかで番号を変更するという話が頻繁に出ているが、私は変更の必要などないと考えている。変更は、名前と同じく、家庭裁判所で判断してもらえば可能ということにしておこう。


今まで、いろんな個人記録には名前が入っていたけれど、名前を隠すために巨額の追加投資をしたなどということは聞いたことがない。関係機関に照会する場合も、気軽にといっては言い過ぎだが、名前を言って電話やメールで照会していただろう。

名寄番号だけで、名前を使わずに個人情報を照会すれば、途中で照会情報が漏洩したとしても、その名寄番号の個人情報を持っている第三者でなければ意味を持たない。なお、番号の入力ミスをチェックするために名前を併せて送ることが多いが、私は番号は12桁でなく、16桁ぐらいにして、5桁分を符合の冗長化に使用した方が良いだろうと思っている。クレジットカードは、先頭4桁が事業者識別ではあるものの、トータル16桁だ。


マイナンバーには名寄番号とは違う、もっと深い意味があるのかもしれないけれど、税や年金の名寄程度なら、名寄番号で十分ではないだろうか。
以前から書いているように、マイナンバーは「大事なものだから他人に知られないように」というような広報がされていて、住民票に誤って番号が記載されて問題になって(番号も変更するらしい)、腫物に触るような扱いがされている。名寄番号はもっとおおらかに使おうというスタンスで考えているわけ。

プライバシーを守る、それ自体は否定する必要はないけれど、やみくもに匿すことで保護しようとし、そのために匿すことを徹底するためにセキュリティを徹底的に強化しようという発想は、制度の本質をはずれて、セキュリティが自己目的化しているのではないだろうか。
マイナンバーのコンセプトがもうひとつ曖昧であるため、リスク評価ができず、このためセキュリティ対策は、とにかく漏れないようにしろの一点張りで過剰な投資になっているのではないか。
これが4桁もの価格差を生んでいる原因だと、私は睨んでいる。

それに、マイナンバー制度では、おおっぴらに公開されることはないにしても、必要な相手には教えなければ制度が運営できないにもかかわらず、隠さない・隠せないのは犯罪だと言うわけだ。
教えなければならない相手は、公的機関以外では、今は源泉徴収義務者程度だが、今後、医療機関、金融機関へと、拡大されていくだろう。
医師には患者の病状等について守秘義務があるが、マイナンバーの守秘義務はそれより重いというのでは、やっぱり変じゃないだろうか。

関連記事

マイナンバーが届かない

IMG_20151122_143605.jpg 先日、書いたように、私にもマイナンバー通知が来た(写真右)

マイナンバーをブログに公開して問題視されたケースがあるので、良識ある六二郎としては、番号自体を秘密にする必要はないと個人的には考えているけれど、ここは、番号、名前、住所などには、モザイクをかけた。


私にはこうして無事配達され、11月末までにマイナンバーを記入して提出することを求められていた書類も無事に送付できたのだけれど、報道によると、マイナンバーの通知カードの配達が順調ではないらしい。
高市早苗総務相は24日の閣議後記者会見で、社会保障と税の共通番号(マイナンバー)を記載した個々人への通知カードの初回配達について、全国約5680万世帯の9%に当たる約510万通が12月にずれ込むことを明らかにした。
 最も遅い地域では12月20日ごろとなる見通し。
 政府は当初、11月中に不在世帯を除く全世帯への配達を終える計画だったが、郵便局への納入の遅れが響いた。総務相は来年1月に予定されるマイナンバー制度の本格運用に関しては、「年内に番号が届けば特に影響はない」と述べ、スケジュール変更の必要はないとの考えを強調した。

(時事通信 11月24日(火)12時36分配信)


前に、「マイナンバー通知の不達はそんなに問題か」と書いたけれど、私の考えは今も同じで、配達不調でもそんなに大問題とは思えない。
というか、不達の大量発生は事前に予測できていたはずだから、今頃慌てるのはみっともない。

政府は「年内に届けば問題ない」と言っているが、私みたいに11月末までにマイナンバーを記入した書類の提出を求められていたら問題あるわけで(通知がこなければマイナンバー記入は後日でも良いとは注意書きがあったけど)、書類提出先である共済組合にはちゃんと説明したんだろうか。


前にも書いた通り、これから公的手続をするにあたって、マイナンバーの記載が求められるものが出てくるから、そのときにマイナンバーが書ければ良いわけで、いついつまでに通知しなければならないと考える方がおかしく、通知はあくまで、一斉に問い合わせをされたら対応できないから、その混乱を避けるために行うものと割り切らなければならない。

それより、不達のときには、役所へ行けばすぐに教えてもらえる、マイナンバーを知るための住民票発行は無料で対応するなどの対応を充実させるべきである。
というか、「マイナンバーを知りたい人は・・・・・・」というのを一番というか主にして、次いで「問い合わせが殺到するのを防ぐために通知カードを送ります」という広報をするほうが良いのでは。

本当は、電話で役所に問い合わせても教えてもらえるのが良いと思う。コールバック、生年月日その他による本人確認手順をきちんと決める必要はあるだろうけど。

問題は不達にあるのではなく、それが予測されたのに、ひたすら配達の強化で対応しようとした制度立案者の想像力の欠如の方にあるのでは。

関連記事

マイナンバーがやってきた

我が家にも昨日、マイナンバーの通知がようやく届いた。
IMG_20151122_143410m.jpg

J-LISの通知カード発送状況案内では、私の居住市では11月17日に差出完了となっていたので、18日か19日には届くと思っていたのだけれど、土曜日にも届かなかった。テレビのニュースで、配達できなかった通知カードが多いこと、22日、23日に重点的に配達するというようなことが報道されていたので、そうなんだろうと思っていた。

前にも書いたけれど、11月末までにマイナンバ-を書いて提出しなければならない書類があるので、これ以上遅くなったらと、やきもきした。

また、早速、マイナンバーカードの申請も行った。
スマートフォンで写真を撮って出すというのもあるようだが、安易に撮った写真では受け付けてもらえないんじゃないかと思うので、デジカメで写真を撮って、適当なサイズにトリミングして出した。

で、めちゃくちゃ不親切だと思うのは、写真の規格について、紙の申請書に貼って出す写真については丁寧に書いてある(パスポート用と同じ)のだが、デジタル・データで出す写真については、チラシには全然案内がないし、ネットで調べても公式に案内しているページはなさそうである。
PCで申請していくと、写真の規格も案内されるのだが、ファイルサイズは20KB〜7MBで、jpeg形式である。私が出した写真は、1650×2121の1.55MBであるが、事前に規格を確認できなかったので、もし、ここで規格に合わなければ、あわててやり直さなければならない。もちろん、形式規格だけ通れば良いわけではない。ちゃんと受け付けてもらえるのか不安である。

以前に、パスポート写真で失敗している。電子データではなく、印刷したものだったけれど。

スマートフォンの申請の場合、トリミングなんてできるんだろうか。
顔画像を自動でチェックしてすぐに受付不可を返すようなシステムにはできないんだろうか。

この頃は、スマイル・シャッターとかいろいろあるから、顔として認識できて、変に歪んでないかなどをチェックするぐらいならできそうだが。もちろん、最終的には人の目でチェックするにしても。


マイナンバー制度というのは、金をかけてる割りには、ユーザーサイドでの発想がなさすぎる。というか、どうでも良いことはしつこいくらいに宣伝するくせに、本当に知りたいことは何にも教えてくれない。
役人はともかく、ITの専門家もたくさんついているはずなのだが。

関連記事

自分のマイナンバーを公開した人がいる

2015-10-28_104229m.jpg 自分のマイナンバーを自身のブログで公開した人がいると報道されていた。
気になったので、件のブログらしきものを探し出した。

簡単に探せる。既にテレビ局も取材していて、本人の顔も名前もネットに出回っている。
なお、同ブログにはいくつかフォロー記事も出ている。

画像はブログのスクリーンショット。
私がマイナンバー漏洩者とならないよう、問題のマイナンバーはもとより、名前その他の個人属性にもモザイクをかけさせてもらった。ブログのアドレスも、漏洩幇助と言われないように敢えて掲載しないでおく。

市長名、市名、市長印(印影)などにもモザイクをかけたけれど、住民票の台紙に市名が入っているのでどこかはすぐわかるけど、このぐらいはいいでしょう。

住所欄が白く抜けているのは、本人がブログにアップする際に加工しているもの。住所がわかると直接的ないやがらせを受けることを怖れたためだろうと思う。

思うに、このことが、実は本質的なところで、公開された住民票の写しには名前が入っているから、おそらくこの人の住所を調べることは造作もないことだと思う。マイナンバーがあろうがなかろうが、本当に守りたいプライバシーとは関係がない。

もし、名前を伏せて、マイナンバーだけ公開していたらどうだろう、それでもし住所がバレたら、それこそ市役所、国税、年金機構から漏れたということになるだろうか。
これもそうはならない。ブログ・サービス業者は、通常は守秘義務があっても「犯罪捜査」となれば協力するだろうから、報道されているように、法律違反が疑われるなら、ブログ・サービス業者が名前、住所を当局に提供することになるだろう。あるいはブログの読者には知人も多いだろうから、そこから漏れるなんてこともありそうだ。
ことほどさように、こいつは誰だと調べて、本人を特定できないケースは、余程の場合だと思う。

報道では、法律違反の疑いがあるとされているが、これは法第十九条(提供制限)で、包括的に提供を禁止し、本人でも個人番号利用事務実施者以外には提供してはならないとなっているからだと思うが、そもそも本人が公開することは想定外の事態だっただろう。なお、違法だったとしても罰則規定はないと思う。
■行政手続における特定の個人を識別するための番号の利用等に関する法律
(特定個人情報の提供の制限)
第十九条  何人も、次の各号のいずれかに該当する場合を除き、特定個人情報の提供をしてはならない。
      <略>
三  本人又はその代理人が個人番号利用事務等実施者に対し、当該本人の個人番号を含む特定個人情報を提供するとき。
      <略>


私は、このブログ主の主張には全く与しない。マイナンバーは必要なものだと思っている。
それに、マイナンバーなどより、はるかに管理に気をつかわなければならない識別番号は、クレジット番号、銀行口座、年金番号、健康保険証番号、各種会員ID、メールアドレス、携帯電話番号など、身の回りに山ほどある。

気に入らないのは、前にも書いたけれど、流通してしまうことが不可避のマイナンバーを秘匿しろという無理な制度設計、そして、このために発生する多大の事務コスト、情報システムコスト。本当に、これしかやりようがなかったのか?
原理的には、どのような事務、情報システムも、今まで通り運用し、法で定められた名寄せ事務――

これらはマイナンバー制度の創設に伴って全く新しく行われるものではなく、別の根拠により、従来からいろんな方法で名寄せ・情報取得をしているが、それを正確かつ迅速・効率的に行えるようにするというのがマイナンバー法制の立法趣旨のはずである。

――に情報を提供する場合に、情報にマイナンバーを付加すれば良いだけのはずである。
マイナンバーと従業員コードの対応データを別に管理しておいて、もしこれが漏れても、他に漏れたものがなければ、従業員コードの方を変更しても、そう的外れな対応にはならない。(そのマイナンバーを持つ人が存在することを示す以上の情報は与えない)

繰り返しになるけど、守らなければならない個人情報はマイナンバーではない。マイナンバーが漏れたからといって個人情報が直ちに洩れるわけではない。そんなものを守るために金をかける値打ちはない。

そのくせ、法律に書きさえすれば良いと考えているようなフシがある。マイナンバーを使った個人情報利用(検索)について、その必要性、事務量、事務やシステムのコントロール方法など、コスト・ベネフィットなど、ちゃんと吟味しているのだろうか。


必要だからと言って、何をやっても、いくら経費を注ぎこんでも、どれほど国民に迷惑をかけても良いわけではない。そのうえ、本人が番号を漏らしたら犯罪者扱いなんて一体どういう了見だ。

事務負担が重くなるという声に対し、たとえば税当局は、本人に渡す源泉徴収票へはマイナンバーを記載しないことにしたらしい。マイナンバーが記載されていると法で規制される特定個人情報となり、給与支払者の事務負担が重くなることに配慮したそうだ。
ちょっと待った、マイナンバーが記載されていようといまいと、そこに記載されている給料、手当、税額、そっちの情報の方が遥かに知られたくないプライバシーだろう。これでほっとするようでは特定個人情報取扱者としての見識が疑われるんじゃないだろうか。議論が逆転してしまっていると思うのは私だけだろうか。


これほど注意し、法律で縛っているから安心しろと言うつもりだろうが、国民を脅かす結果にしかなっていない。政府への信頼を高めようとしたつもりが、逆に不信感を生んでいるように思う。
そして、マイナンバーがらみの詐欺事件は実際に起き、実害が出ている。
以下は某府が運営しているメールマガジンの引用である。政府が国民を脅かしてきた結果である。
 10月23日午前、右京区居住の高齢女性宅に男の声で「あなたの住所、氏名が流出している。」等の電話があり、その際、「あなたの個人番号です。」と番号を伝えられた。その後、別の男の声で電話があり、「流出していたあなたの個人情報を抹消しました。」等言われた後、個人番号を尋ねられたため、先の電話で聞いた個人番号を伝えた。再びはじめの男から電話があり「番号言ったでしょ。至急3000万円振り込んでもらわないと刑務所行ってもらいます。」等と言われ、その後に高齢女性宅に訪れた男にキャッシュカードを渡したところ、口座から約600万円を引き出されていた。
どうだろう、個人番号を他人に教えたら刑務所行きだと脅しているのだ。

私も家の表札にマイナンバーを表示してやろうかと思ったことがある。間違い郵便物が届かないように、マイナンバーで確認してください、というわけだが、残念ながら、郵便物のあて名にマイナンバーを書くような使い方は違法らしい。
あるいは、子供に名前を付けるときに、マイナンバーそのものを名前にしたらどうかとも考えたことがあるが、まず名前を付けないと出生届を受け付けてくれないだろうから、マイナンバーも付かないだろう。

ところで、この報道を見て思った。
マイナンバーって、アレみたいなものだったんだ。
  • みんな持っている。
  • 特定の相手に対して、正しく使わなければならない。
  • 見られたからどうというものではないが、積極的に見せるようなものでもない。
    (見せられた側が変に反応する危険はあるかもしれない)
  • 公共の場で見せたり、ネットに写真をアップしたらお咎めがある。
独りでいじっていても気持ち良くならないところがちと違う。


関連記事

物語 行政サービスゼロ地域 (1)住民

先日、「行政サービスゼロ地域」という思いつきを披歴させてもらった。
基本的なアイデアをまとめると、

行政サービスゼロ地域(消滅自治体)には、一銭の税金も投入しない代わり、収益も期待しない。
ただし国民としての保護・サービスは受け、国税は納める。

というものだが、その制度のもとでは、その地域がどんな姿になるのか、住民、地域の資産、(都市)インフラ、防災、医療、教育、産業など、いろんな物語がありそう(なので、タイトルに「物語」を付けた)。

今回は、この地域の住民の定義から。

自治体に属していないから、当然、通常の住民登録制度には入らない。
今のところ、あのマイナンバー制度でも対象外である。ではどうするのか。
shusshotodokeinusa.png
考えるヒントはある。
住民登録もマイナンバーも持たない日本人が沢山いる。海外居住者である。

ここで生まれたらどうなるか。海外居住者の場合は、次のようになっている。
日本人の子どもが外国で生まれたときも、日本の戸籍に生まれた子どもの記載をする必要がありますので、日本国内と同様、出生の届出をしなければなりません。
届出の期間は、日本国内で生まれた場合は子どもが生まれた日から14日以内ですが、外国で生まれた場合は3ヵ月以内です。
届出先は、その国に駐在する日本の大使、公使または領事(在外公館)か、夫婦の本籍地の市区町村になります。

国内に大使館を作れば良いのである。

今でも国内設置の大使館がある。関西担当大使である(関西担当大使の役割は、関西と海外の交流にあるわけなので、在外公館のサービスとは違うと思うけど)。

あるいは、どこか適当な市町村(行政サービスゼロ地域に最寄りの在来市町村)にその業務を委託する方法もある。

住民票の代わりに在留証明書を発行する。
印鑑登録証の代わりにサイン証明書を発行する。
厳密には自治体業務ではないけれど、パスポートもここが発行する。
転入転出手続きも、在外邦人のそれに倣って行う。


いかがだろう、住民登録そのものについては、特段、困ったことが起きるとは思えない。
そして、住民登録や印鑑登録にかかる事務コストは、役所がないわけだから当然、ゼロである

もちろんその情報コストは国が担うことになるわけだが、一方で、我々のフレームでは、日本国民としては納税負担をしているわけだから、コストの押しつけとは言えないし、国には国税を徴収するという実際的利益がある。

問題は、行政サービスゼロ地域が、地方税のタックス・ヘイブンになることである。実際には別の都市居住者が、行政サービスゼロ地域の住民と届けることで、当該都市の住民税を逃れるという問題だ。
だが、これは、行政サービスゼロ地域側が解決すべき問題ではない。
われわれの前提では、この地域には行政責任は全くないわけだから責任の問いようもなく、居住実態の確認は実際に居住している自治体の問題であるはずだ(これは今でも程度の多少はあるにしても同様の問題があると思う)。

なお、この地域に元から住んでいる人(先住民)は、地域の生活が成り立つうえでキーとなる人達だと思う。先住民の権利は別にまた考察することとして、この人達の住民登録は消滅前市町村にあったはずだから、それを新しい登録機関へ移すことになる。

「行政サービスゼロ地域」という妄想は、ゼロベースで行政を考える思考実験の道具にはなるだろう。これからもときどきこの物語を書き足していくつもりなので、今回は(1)とした。(1だけで終わるかもしれないけど)。

関連記事

この住民票は受け取れません

マイナンバー法が施行されてすぐ、マイナンバーにかこつけた詐欺(未遂)事件とか、マイナンバーの情報システムにかかる贈収賄とか、賑やかである。

shoumeishokofuseikyuakashi-crop.png そして、今度は、ある自治体で、住民票自動交付機のミスで、希望していないにもかかわらず、住民票にマイナンバーが印字された状態で発行されたという事件があった。市町村のこういうシステムはメーカーのパッケージだろうから、同じようなミスは他自治体でも出てくる可能性があったと思う。(右の申請書様式の自治体ではない。念のため)

なお、逆パターン、マイナンバー印字を求めたが出なかったというバグが別自治体で起こっている。

報道の基調は「早くもマイナンバーが漏洩」というもの。しかし、私は前から言っているように、マイナンバーが漏洩しても、それで個人情報が漏洩する危険が、著しく―これほどばか騒ぎをするほど高くなるとは思っていない。

マイナンバーは基本的に名寄せのツールであるから、マイナンバー付きの個人情報が複数の情報源から漏洩したときに問題になる。そしてこれはそれこそ大々的に名寄せが必要で、機械的にそれを行うニーズを持っている者、つまり税当局とか、年金機構とかにとっての便益であって、名簿屋がマイナンバーが付いていないからといって名寄せを諦めることなどあるだろうか。

そして、今回の事件は、本人と推定される人が操作する自動交付機で起こったわけだから、その前提で考えれば本人にマイナンバーが示されたわけで、本当の意味で漏洩にはあたらないだろう。

ところが問題は別のところにある。
個人番号を使える場面は、法で制限されている。
だから、住民票の提出を求めたところが、法によって認められたものでなければ、この住民票を受け取ってはいけない。
提出時に消せば良いというかもしれないが、消すということは証明書の改ざんになるおそれがある。つまり証明効力が失われるという理屈になる。

実際、この点をホームページで注意している自治体がある。
  • 個人番号は、番号法に定められた事務に限り利用することができます。
  • よって、番号法に定められた事務以外の用途で個人番号入りの住民票を提出する場合、使用できない場合があります。
  • その場合は、再度、個人番号を省略した住民票を請求してください。
  • なお、個人番号入りの住民票を提出したことによるトラブル等について、多摩市では、一切その責は負いかねますので、ご了承願います。

しかし、住民票の証明事項は、従来から続柄とか戸籍とか、いくつか選択項目があり、必要な場合はこれらが付いた証明書が交付されるが、交付申請をする人は、提出先から求められている証明事項が載っていなければならないとは考えるだろうが、不要な項目が載っていてはならないと考えることはあまりなさそうだ。

マイナンバーそのものが重大な個人情報と錯覚し、それを守るために厳しい流通制限を加えた制度の異様さ、それによって事務、システムの負担を増大させ、さらに理不尽な利権を生み出す温床を作ってしまった、とまで言っては言い過ぎだろうか。

プライバシーは大丈夫かと聞かれて、反射的にマイナンバーは秘匿しますと返すというような、プライバシーの本質も、マイナンバーの本質も忘れた浅はかな対応をしているんじゃないかと心配になる。


マイナンバー制度のまずい点だが、この稚拙さは実は制度の本質とは別のものだと思う。
マイナンバーは政府が与えた名前である、その取り扱いについては名前と同等の注意を払いましょう、それで何か問題が起こるんだろうか。

関連記事

マイナンバーの申告

nenkinfuyomynumbers.jpg まだマイナンバー通知は来ないのだけれど、マイナンバーを記入して提出することを求める書類が到着。

11月末までに提出すれば良いのだけれど、それまでにマイナンバーが届かない場合は未記入で提出しても良いとのこと(後から照会が来るらしい)。

しかし、年金機構は、私の住基コードは保有しているはずである。
そして、住基コードがわかればマイナンバーもわかるはず。

(注)今回の書類の発信元は機構ではなくて、基金側だけど、基礎年金番号で名寄せできる。

koutekinenkinmynumbers.jpg 面倒なことだ。
それにしても私を特定する番号って、いったいどれだけ流通しているんだ。

クレジットカードとかメールアドレスとかもいれたら結構な量。で、クレジットカードの番号が漏れる方がマイナンバーよりはるかに危険だけど。


ところで、マイナンバー通知が始まって、あちこちでマイナンバーにかこつけた詐欺まがいの事件が起こっているようだ。
人の無知につけこんだひどい話である。
前にも書いたが、マイナンバーが知られても、それだけで個人情報が漏れることはない。
マイナンバーのついた記録(特定個人情報)を管理している人・情報システムが、「マイナンバーは何々ですが、私の何々はどうなってますか」という問い合わせなどに本人確認もせずに安易に答えたりしなければそれで済む話である。

マイナンバーは他人に知られないようにというのは、特定個人情報の管理者が信用できないということなんだろう。

はるかに危険なクレジットカード番号は名前とセットで、あんまり信用できそうにない人にも渡すわけだけど。


関連記事

マイナンバー通知の不達はそんなに問題か

20150927-OYT1I50036-L.jpg 新聞社の調査で、マイナンバーの通知が不達になるおそれがあると報道されていた。
来月5日以降、全国5200万世帯に郵送される共通番号(マイナンバー)の「通知カード」について、99の政令指定都市、特別区、中核市、県庁所在地のうち、3分の1に当たる35自治体で、1割以上が宛先に届かずに戻ってくると予測していることが、読売新聞の調査でわかった。
"マイナンバー 通知 不達" でググると、あちこちの新聞が同様の報道をしていることがわかる。

記事は、これが大きな問題だと報じているわけだが、私には不達がそんなに大きな問題だとは思えない。
「通知が届かない」というクレームの発生や、窓口にマイナンバーを教えてくれという住民が殺到するなど、市役所に混乱が生じると問題はあるけれど、10月の早い時期に、全住民にマイナンバーが伝わらなくても、困ることはないだろう。

【補足】 受取人不在-持ち帰り郵便物は、7日間配達局が預かるので、郵便局にも殺到が予想される。


早期にマイナンバーが必要になるのは、給与や報酬を受け取る人が、支払元からマイナンバーの提示を求められる場合だろう。これらの会社は、1月からの源泉徴収手続きでマイナンバーを付す必要があるから、その準備のために、早いうちから従業員等のマイナンバーを収集するだろう。
それに次いで、年明けからの税の諸手続きで、いざ申告しようとしてマイナンバーがわからなかったら困るだろう。

つまり、マイナンバーが必要となる場面に至る前に、本人がそれを知れば良いわけで、いついつまでに全住民に知らせなければならないなどと考える必要はない。必要になれば市役所に聴く、原理的にはそれで良いはずである。完全な通知を目的とするのではなく、必要になったときに本人に通知するのでは一斉に利用開始されたときに照会が殺到するから、それを回避するための準備作業というのが通知の本質であろう。

不達が発生したとしても、マイナンバーが届いていないという申し出に対し、市役所が不達返送された通知郵便物の山から該当通知を探して確認できるなら、それを渡せば良いだけのように思う。
一方、返送された通知が見当たらない場合だが、通知は簡易書留で送付されるから、受取人を確認する(受領印も押す)はずなので、そうそう誤配はおきないと思うが、返送されていないし、本人にも届いていない場合は(本人の思い違いとか、来てたけどなくしてしまったとか、いろいろバリエーションがあるだろう)、マイナンバーが漏洩した怖れがあるから、番号を振り直すということになるのだろうか(年金番号の流出事件でとられた対応に準じるならそうではないか)。


こういう問題は、マイナンバー自体をまるで機密情報のように考え、権限のある人以外に知らせないことを原則としたために起こっているもので、その原則を遵守することは困難だと思う。また、その原則を守ったからと言ってプライバシー侵害の危険が著しく下がるほどの効果があるのかも疑わしい。

マイナンバーが漏洩したといっても、本人がうっかり漏らしてしまった場合に、番号を振り直すなんてことしてたら、制度が崩壊してしまう。当然、そういうことは認められないはずだが、そうすると、「あれほど他人に知られてはいけないといっておいて、うっかり漏らしてしまった時には対応してくれないのか、私のプライバシーはどうしてくれるんだ」というクレームも予測される。


現在のルールを遵守しようとすれば、従業員のマイナンバーを収集する企業等は、マイナンバー記載書類(給与支払い明細など)・情報システムを、ちゃんと鍵のかかるところで、厳重なアクセス・コントロールの下に置かなければならず、そのために新たな投資が強いられるし、運用負担も大きくなる。

しかし、普通に考えて、会社の給与担当者がそんな面倒なことを本当に遵守するのか、小さな会社で徹底できるか、大きな会社なら逆に関与する社員が多くて全員に徹底できるか、一人ひとりの社員の認識はどうなのか、疑問はいっぱいである。しかも、マイナンバーが漏れるより、その人の住所や電話番号が漏れる方が、ずっと現実的被害を引き起こすおそれが大きいのではないだろうか。本当はそっちに気を遣ってくるべきだっただろう。

私は以前から、マイナンバーは役所が付けた名前と考えて、名前と同様の情報管理を行えば十分であると考えている。米国のSSNのように番号を知っていることを本人確認にする愚を犯さず、守るべき個人情報の実態の方(マイナンバーは漏れたとしても、住所も電話番号も、性別も生年月日も推測されない。名前だったら性別が推測されるだろうけど)をきちんとすることを考えるべきだと思う。

マイナンバーが付いた状態で個人情報が流通すると名寄せの危険が発生するということは理解できるけれど、マイナンバーなどついていなくても名簿屋は名寄せによって付加価値を高めた個人情報を販売しているという。
住民一人一人が自己のマイナンバーの流通をコントロールする意識を持つこと、法律で認められた場合を除き、他人のマイナンバーを収集してはならない、収集者には情報管理責任が発生する(罰則がある)ことで十分ではないだろうか。
無暗に重たい保護対策をする前に、何のために保護するのか、その理解が先だろう。

政府は、個人情報保護に細心の注意を払ったのだろうが、それがむしろ仇となって、マイナンバーを何かこわいものであるかのような雰囲気を作り出してしまったのではないだろうか。

ちなみに、政府だから信用するという人は少ない。政府に国民のプライバシーを守らせるのは「猫に魚の番をさせる」に等しいことであるというのも、国民総背番号制反対の理屈だったのではないだろうか。


マス・メディアも、いたずらに危機感を煽るような報道をせず、マイナンバーの正しい理解を促進するような報道をすべきだと思う。そうしないのは、センセーショナルでないと記事にならないからだろうか、それとも、記者自身がマイナンバーを本当には理解していないからだろうか。

関連記事

マイナンバーお買いものカード(その2)

AS20150907004768_comm.jpg 冗談じゃないみたい。
消費税増税における軽減税率をマイナンバー・カードを利用した事後還付方式で進める方向が固まったと報道されている。
では、真面目に考えよう。

この原稿を用意しているときに、2017年度中の導入は困難というニュースが流れたが、せっかく用意したし、もう一つはっきりしないので投稿。

テレビなどの報道では「買物の中身がみんな知られるのではないか」とか、「マイナンバーに不安」という意見が伝えられているが、本当にそんなことになるのかも含めて考えよう。

ところで、カードを持ち歩くのがイヤという意見に対し、「みんなクレジット・カードを持ち歩いているじゃないか、1枚増えてどうだというのだ、イヤならカードを持たずに買い物をして、減税を受けなければ良い」という人がいるが、こういう発言は真面目に制度を考えて国民に理解を求めようという人のものとは思えない。「そんなに戦争がイヤなら、外国に攻められたら殺されれば良い」と言うのと同じ発想ではないか。

そう言えばこの人「2つ税率があったらややこしいでしょ」なんてもっともらしく言ってたけど、お店での複数税率対応の負担は、取引時点でも事後還付でも本質的に違いはない(還付の方がカード対応の分余分に面倒なだけ。消費者は価格を税込み表示にしてもらえば別にややこしくない)。本当にそう思ってるなら状況を理解していないし、議論を逸らせる意図があるなら不誠実ですね。

推測だが、この人に、小さな個人店でも対応しなければならないんですかと聞いたら、こう答えるだろう、「対応しなくてもいいんだよ、それで客が逃げたら、それはその店の判断だ。それがいやなら、導入するんですな。」


現時点で報道されている内容は次のようなものだ。
  • 買物をしたらその場で10%の税を納め、それがマイナンバー・カードに記録され、その記録に基づいて後日還付を受ける。
  • 還付手続きは、一定の還付額があれば、いつでも何度でも手続きでき、指定の金融機関口座への振込により還付される。
  • 還付額には上限(年4,000円で検討中)が設けられ、これを超えた還付は行わない。

ということは、還付の消込・年間上限額チェックが必要になる。
個人単位の上限額チェックなら簡単だが、生活実態からすれば食料品の購入は主婦が行うことが多いと推定されるから、世帯での上限チェックでなければ受け入れられないだろう。(マイナンバー・カードを使う前提であれば、上限に達したら家族のカードを使えということはできない。)
なお、以前は還付には所得制限を設ける案があったが、それは還付上限額の設定に変わり、所得情報は使われない(つまり税当局が持つ情報との名寄せは行われない)と考えて良いと思う。

さて、こうした情報処理をするのにどんな情報が、店、消費者、税当局の間でやりとりされるだろう

今日の記事は、ちょちょこ書き足しているうちに、かなり長いものになってしまった。強調文字の拾い読みで結構です。



スタートは店がカードに書き込む納税情報である。

記録の書き込みはカード上のアプリが行うだろう。データ域への汎用的な書込みでは店のプログラムミスで記録が破壊されるおそれがある。つまり、アプリを呼出し、データを引き渡すインターフェイスが決められ、店のレジのシステムがこれに従ってカードと通信する形になると思われる。


まず還付額計算の方法だが、申請時に品目情報から税務署側が計算する方法と、取引時に計算してカードに還付額を記録する方法を考えることができる。 後者の場合、POSレジで税額を品目別に計算することになるけれど、実際には商品データベース(外部から入手のものと、店独自に設定するものが混在する)さえあれば、計算自体は自動である。
前者の方法はPOSレジではすべて10%で計算するから簡単そうに見えるが、カードには品目を記録し、店独自の品目については税率も記録することになる(でないなら税当局に都度、品目登録が必要)から、結局、商品データベースの用意は同様に行わなければならないだろう。

【追記】 「その他の食料品」という品目群を設ければ良い。店独自品目はその品目群のコードを充てる方法。

以上から、店側の事務負担は、即時徴税でも、事後還付でもあまりかわらないだろうと思う。(外部データベースの入手費用の差はあるかもしれないが、カード取扱設備の費用とどちらがどうかは難しい)

プライバシー問題も考えて、前者の方法をとることとして、最低限必要なのは納税額のうち2%分の還付額だが、今後の税率変更や軽減対象品の変更などを考えると、もう少し考える必要がある。(還元額を「ポイント」にするとそれだけで良いかもしれない。最後の囲み参照

それと年間上限額のチェックのため買物をした年が必要だが、日付を記録するのが無難だろう。

【追記】 ポイント制度をモデルにするなら、年次別累積ポイントで十分だと思う。


次に「取引番号」。このカードに記録される情報を識別するためのもの。これは還付手続きをするときに同じ情報を2度読み込まないようにするもの。なので、一番良いのはカード上のアプリが生成する方法だと思う。なお、このときカードID(後述)も付随させるのが良い。(ICカードにはカード固有の識別情報があるから、これを取り込んでも良い)

考えておかなければならないのは、レジの打ち間違いや返品時の対応
もっとも単純で店にとってもわかりやすいのは、マイナスの取引として扱うことで、元のレシートを見て同じカードであることを確認してマイナス取引を記録する。これは還付申請で重要な意味がある。

前の記録を確認して訂正するなどの方法もあるだろうけれど、おそらくそういう操作をレジで行うことは難しいと思う。今でもポイント制を導入している店では、返品・返金があるとポイントも引くはずで、レジ係にもわかりやすい。


店識別情報は必要だろうか。還付そのものには不要だけれど、何か別の意図があれば、ということだろう。


次に還付手続きである。

還付は自宅のPCにICカード・リーダー/ライター(以下、R/W)が付属していなければ、しかるべき税関連施設で行うことになるだろう。
一部で報道されているようだが、申請行為自体は、マイナ・ポータルかなにかで、マイナンバー・カードによる本人認証(さらには電子署名?)の下で行われることになるが、読ませるカードは世帯合算を考えると本人カードだけではないと思われる。


事を難しくしているのは、随時還付手続きができること、世帯単位で手続きできなければならないと考えられることと、前述のマイナス取引の存在。
随時還付と世帯単位還付は、還付根拠情報の消込ロジックを構築すれば同一の手法で解決できるだろう。

世帯単位で還付するためには、1回の還付申請で異なる(複数の)カードを読めるようにする必要がある。仮に、1申請は1カードだとしても、申請者のマイナンバー・カード以外も読める(このときPINを要求するか?)ようにしなければならないだろう。
というのは、家族それぞれが申請する場合、同一世帯であることを確認する必要があるのだが、世帯情報というのは実はかなりとらえがたいからだ。

現在、住民基本台帳ネットワークでは世帯情報は持っていないし、マイナンバーも制度そのものには世帯情報はない。それ以前に世帯概念は事務によって違い、税であれば、遠隔地の扶養親族というのは把握していても、同居していてもマスオさんは捕捉していないだろう。今回の税還付における世帯というのは、まさに生計を一にする集団であろうから、マスオさんを捕捉しなければ意味がない。

そこで、発想は逆になる。つまり、還付申請時に複数のカードが読み込まれたら、そのカードの持ち主がとりもなおさず世帯構成員であると推定するのである。

さて、考えられる手順であるけれど、還付申請をその年の最初に行う時、申請者のカードのID(後述)をキーとして、申請情報が新しく起される。
新しく起される申請情報には、届出者が指定する金融機関口座、届出者の氏名、住所などが書き込まれる。
還付対象となる取引情報は、申請者自身のカードかもしれないし、家族のカードかもしれないが、これを順番にR/Wに読ませてゆき、すべてのカードを読ませた時点でカードの読み取りは終了となる。

マイナスの取引が無ければ、還付額はこれらの取引情報を適当に選んで還付根拠とすれば良いわけだが、マイナス取引の存在を前提とするとそうはならない。マイナス取引を選択的に除外できないようにしなければならない。

前述した、マイナスの取引はそれに先立つ取引で使用されたのと同じカードに記録するのは、マイナス取引だけを記録するカードを作ってこれを読み込ませないという不正が行われないようにするためである。

結論からいうと、申請者がカードを読み込ませた時点で、全取引情報が取り込まれサーバーに転送されるようにする。これでマイナス取引を除外することはできなくなる。

さらに買物をして追加で申請する場合、前述の取引番号により、既に取込済の取引かどうかが判断される。これは1申請や同一人申請だけではなく、全申請との照合となるだろう(でないと赤の他人が申請できてしまう)。

二重取込を防止するためにカード上の取引情報にマークするという方法もあるが、システムに何らかの不具合があると、カード内の取引情報にマークされているのに、申請情報としては届いていないということも起こりうる。

また、一旦読み込まれたカードのIDは、他の申請では拒否するロジックも入れられるだろう(他人に貸さない)。
ただし、これで問題がすべて解決するわけではない。家族の誰かのカードを使わなくても上限に達している場合、そのカードを他人に貸して還付を受けさせるという不正も考えられる。これを防ぐには上限設定を世帯単位ではなく、個人単位にすることになる。
個人単位で良いのであれば、レジはカード本人を券面写真で確認でき、マイナス取引もレシート持参人を本人とみなして行うことになるから、レシートへのカードIDの書込みは省略できるだろう。

税当局からすれば、個人が還付される額であれば誰に譲ろうが関係ないが、本来世帯単位では還付対象にならないものを他の世帯に還付すると損をするから、こちらは認められない。(胴元の論理



さて、ここまで読んでいただいてお気づきと思うが、品目情報、数量なんて還付には不要だから、買物の中身が細かく知られることなどない。(これもポイント制度なら少し考え方が違う)
恣意的に品目・数量を記録させるシステムにしようとしても、一般に目的合理性のない個人情報の収集は禁止される(これを審議できなかったら個人情報保護法・行政機関個人情報保護法の存在価値がない)。もし、マイナンバーを使うならPIA審査になり、審査はさらに厳しいはず。

また、上述の方法だとマイナンバー自体を使う必要はないこともわかる。
カードIDとしてマイナンバーを使うことは不可能ではないが、厳格な取り扱いが求められているマイナンバーだと、

  • カードから読みだすときにPINが要求されたりするとレジが混乱する
    本人が別の端末で操作する方法も考えられているらしいが、レジでカードを読んでいなければ、買物をした本人が操作していることをどうやって確認するつもりだろう、あるいは、確認しないで記録するつもりだろうか。
  • マイナス取引を想定すればレシートにカードIDを印刷する必要があるが、それをマイナンバーにすることは今までの国の説明からは容認されない(ただし還付上限が個人単位ならカードID印刷は不要)

など、さまざまな問題を引き起こす。

媒体としてマイナンバー・カードを使っても良いけれど、マイナンバーを使うのはやめた方が良いと私は思う
カードIDは、前述のように物理的媒体たるICカードに付されている個別の識別コードを使うか、新たにユニークなものを生成することになる。なお、IDはカード券面で視認できるほうが良いが、なければレジのリーダーでID表示をする操作が必要となる。
となれば、ICカードとして同じ仕様であれば、マイナンバー・カードでなく、スーパーの会員カードをハイブリッド・カードにしても良いわけだ。


心配なことは、カードへの不正な書込みである。システムがハッキングされ、ICカードに架空取引(つまり還付金詐欺)が記録される心配である。これにはカードに書き込める機器の認証、その機器へのアクセスの認証などを厳格にすることが必要だろう。

本当は携帯のSIMカードのような技術を使って、ネットで認証すればセキュリティが強化されると思うのだけれど、小さな店にそれを強要できないだろうとか、ネットに接続したらセキュリティが低くなると考える人がまだ多いようだ。


それでも、店が悪意をもって架空取引を記録することは避けられない。これを抑止する一つの方法は、上でペンディングにしていた店識別情報である。消費者から上がってくる納税情報と、店からあがってくる納税情報を照合して、益税なり脱税なりを摘発することである。

以上は、もし実施するならこうなるんじゃないか、こうしないとうまくいかないんじゃないかといろいろ妄想した結果だけど、他の制度・システムに過度に依存したり、干渉するシステムはそれ自身が高コスト、高負担になったり、社会システム全体が硬直する原因になるおそれがあるから、マイナンバー制度とは一定独立性を保つべきという方向で、出来る限りシンプルで運用可能なものを考えたつもりである。

なお、一部で心配されているマイナンバーへの紐づけだけれど、前記のような買物履歴をネットへ送信して国が保持するというようなやり方は多分、やらないだろうと思う。それをするためには、各店舗がネットワーク接続していなければならないが、マイナンバーをそんなネットで流すことは禁止されている(法改正するなら別だが、そんなことができるなら―私はやっても良いと思うけど―無駄にバカ高いマイナンバー関連システム投資のほとんどは不要になって、国の財政支出の馬鹿さ加減が白日の下にさらされる)。

ところで、こういうシステムができたら、やろうと思えば円未満の納税もできる。
税額に端数が出たら、端数を切り上げて支払ってもらい、後日、本来額との差額を還付してもらうということができる。多くの店は切り捨てていたと思うから、その分、お店は助かると思う。


こんなに長々と書いてきたけど、これは実施方法の話。そこで、はたと気がついた。
通販の食料品はどうするんだ?
マイナンバー・カードへネットから書き込む?
通販は軽減税率対象外?
それとも通販は、10%、8%をきちんと計算して請求する?
(それができるんならそもそも還付方式やる意味ってどこにあるんだ?)

制度のねらいは、きっちりちょうどの税をとることではなくて、多めに徴収しておいて、返してくれと言ってきた人にだけ返すというものなので、通販だけはきっちり8%というのは認めがたいだろう。

これの解決策の一つは通販会社から、購入者へポイントをプレゼントするという、やりかた。ただし、通常の民間のポイントとは違い、年の上限があるから、単純加算はされない。
購入者はポイント・プレゼントのトークン(URLなど)を、「還付」申請時に指定するなどにより、カードに記録されていない購入記録を申請に取り込めるようにする。もちろん、このとき年のチェックも行われる。トークンとするのは、申請者本人だけでなく、世帯員の購入でも取り込めるようにするためである。(URLが漏洩したら他人に使用される)。
ただし、赤の他人へのプレゼントが行われないようにするには、やはり購入時にカードを提示するようにするかもしれない。(対応できない通販会社はポイント還元ができないと割り切る)

個人商店など小規模店舗はどうしたらよいか
はじめに、ある政治家の発言の推測で書いたように、対応はその店の責任だということになったとしよう。そうすると国レベルがそうでも、地域としてはなんとかしろという話になり、まず間違いなく、市町村が小規模店舗対策を求められる。
とはいうものの、小規模店舗に無理に対応させるのはあまり現実的ではなさそうだから(売上管理に情報システムを使ってるかも怪しい)、たとえば、こんなことも考えられるのではないだろうか。

未対応店舗で買物をした人は、レシートにカードID(この場合はマイナンバーかもしれない)を手書きして、市役所や商工会のしかるべき場所へ行って、店舗の代わりに購入記録を書き込んでもらう。
レシートもないような店だったら、買ったものをその場所へ持って行って、いくらだったか口頭で……(ムリか)


けっきょく国の制度の歪って、自治体にくるんだよな。

■納税ポイント制度

税制として考えるなら、レシートでも還付できるのが本道だと思うけれど、そうではないから、今回の「軽減」制度は、税制と考えないほうが良いようだ。
税率は全品10%である、ただし食料品については希望者には2%分を還元(恵与)するという新たな制度と理解する、要するに税率は10%で、お店も売り上げの10%(ただし、それから仕入れ時の税を控除して)を税務署に納めるというのが制度のキモであろう。(税務署はポイント還元を受ける人が少ない方がありがたい。ただし、外資の通販はどうなるのの問題はあるけれど。

つまり税の還付ではなく、ポイント還元である。
そう割り切ったら、もっと簡単で、しかも面白いことができそうな気がしてくる。

  • カードへの記録は、税率別納税額でなくて、単純にポイントだけにする
  • 何にどれだけポイントを付けるかは、政省令などで決めることができるようにする
    (例えばICカード・リーダー/ライターを買ったら3000ポイントとか。ただし、こういう特別なボーナス・ポイントは上限とは無関係にしないと意味がないだろうし、品目もデータとして記録することになるから、プライバシーへの配慮も必要だろう)
  • 面倒な還付申請などしなくても、ポイントで買物ができる。
  • 国民への表彰とかはポイントで出す。
  • 前述のとおり、通販でもポイント・プレゼントというような形で取り込める。

ポイント制度なら、消費者も、お店もよくなじんでいて理解されやすい。
情報システムも十分ノウハウを蓄積している。
何か問題でもある?
(発行済ポイントの○割は準備金を用意しないと財務省に怒られるとか、政府のバランスシートがややこしくなるとか)


最初に書いたように、マイナンバー・カードを利用した還付制度は導入が先送りになるかもしれない。
見送り理由は、マイナンバー・カードの普及見込みがもうひとつ思わしくないこと、低所得者がカードを使うのか、申請に必要な機器を持つのか、高齢者などは対応できるのか、などという環境条件に関するもののようだ。

制度導入のニュースを聴いてからあまり日もたたないが、私の職場でも、ちょっと考えても問題・疑問が多く、本当にやるのかという懐疑的な感想が多かった。
さて、先送りか、見送りか、どっちだろう。

関連記事

マイナンバーお買いものカード

「鶏手羽先 320円、ピーマン 180円、ワイン 1,500円、以上3点で、合計2,000円、税が200円(*)になります。
マイナンバー・カードをお持ちでしたら確定申告で10円が還付されますが、カードはお持ちですか?」

(*)酒類は軽減税率適用外

近い将来、スーパーのレジでこんな会話が交わされるようになるかもしれない。

報道によると、

財務省は、消費税の軽減税率に代わる負担軽減策として検討している給付金について、酒類を除く飲食料品すべてを対象にする一方、もらえる人に所得制限を設け、還元するお金を増税分の一部にとどめる案をまとめた。国民一人一人に番号を割り振るマイナンバー制度を使って、支払った消費税額を記録し、給付額を算出することも検討している。(毎日新聞 2015年09月05日)


はじめこの報道を見たとき、お店の方に購入(納税)履歴がマイナンバーとともに記録されるのだろうか、そうだとしたらプライバシー議論とともに、各店舗のシステムがみんな変わってしまって大変なことになるだろうと思ったのだが、どうやらそうではなくて、納税金額がマイナンバー・カードそのものに記録されるもののようだ。
ということは、当然、マイナンバー・カードが日本に住む人みんなに普及していることが前提になる(還付不要という人は別だけど)。
食料品店はみんなマイナンバー・カードへの書き込み機械を用意しなければならない。還付対象になる税額を記録するわけだが、手で打つのはめんどうだし、間違いも起こる。お酒も売ってて税率は一様じゃないから、8%適用の商品の分だけとなると、それだけ取り出して額を入れるには、しかるべきレシートやレジなりの表示がいるだろうし、カードに記録したことをレシートにも表示しないと二重記録とかの問題も起こる。
結局、レジと連動したマイナンバー・カード・リーダー/ライターが設置されることになるだろう。

小さな食料品店のおかみさんの話。

shohizeimynumber.jpg うちみたいな小さな店でもレジ全部入換よ。だって、還付対応できなかったらお客さん来なくなるもの。お酒だけ売ってればいいんだけれど。
レジの交換とかの費用は控除するっていうけど、どんな機械を入れても控除はあるわ。還付事務委託料とかなんとか名目つけて、お店にも還元してもらいたいわ。

それにね、お客さんがマイナンバー・カードを持ってきてないとレジでもめるの。
カードを忘れた人からは、「今度持ってくるから」と言われたりするんだけど、そんな簡単なわけにはゆかないでしょ。

それより気の毒なのは、足腰の弱いお年寄りとかよ。今まで隣の人とかに買い物を頼んでたのに、マイナンバー・カードって、人に貸しちゃいけないんでしょう。だから、買い物を頼まれた人は、10%の税金を払って、頼んだ人からは8%分の代金をもらうとか、結構面倒なことになってるようよ。
それと、子供のお使いは全滅ね。子供ってもともと税金を納めてないから、還付のしようがないわね。親のマイナンバー・カードを借りてくるっていうわけにもいかないしね。

主義としてマイナンバー・カードを持たない人もいそうだが、他人に貸しても良い納税カードみたいなのを作ったらどうかと思ったりする。(細かいことだけど、レジでPINの入力とか求められるんだろうか?)


もともと消費税の税率が上がるときに、生活必需品は対象からはずせと言う意見があったからこんなことになったんだって言うけど、そもそも、うちでもお肉は100gが300円のものから、3,000円のものまで扱っているわ。3,000円のなんか、どう考えても生活必需品じゃないわ。このあたりはどう考えているんでしょう。うちでもトリュフは扱ってないけど、秋には松茸も扱うわよ。
生活必需品って、食料品だけじゃないわ。トイレットペーパーとか、普通の衣料、電気製品だって消耗するし。そう言えば、あなた副業で貸家もやってるそうだけど、住宅の家賃って非課税なんでしょ、うらやましいわ。
それに、生活必需品とか贅沢品って、人によって違うじゃない。プロの画家が買う絵の具と、素人が買う絵の具じゃ、必需品かどうか違うんじゃない。昔、物品税があったころ、ピアノには物品税がかかってたけれど、音大生は在学中2台まで、免税で買えてたって聞いたわ。

そうそう、うちの店には、近所の食堂の人も買物にくるの。この人たちはマイナンバー・カードなんか使わないわ。業務用だから。それで食堂の人に聞いたの、10%でいいんですかって。そしたら、税を納めるときに仕入れ時の税金で控除するから、店としては同じなんだって。でも、それって、お客さんが余計に払ってることになるんじゃないのって思うの。
それにね、昔、100円バーガーってあったじゃない、お金のない人がそれで暮らしてたって話も聞いたわ。でも外食だから10%なんでしょ。それとか、アメリカなんかでは、食材を買って家で料理するのはお金持ちで、貧乏人は電子レンジでチンしたらできあがるようなものばっかり食べてるそうよ。何が贅沢かなんてわからないわね。

以上は、あくまで憶測にすぎないことをおことわりしておくが、妄想は果てしない。

以前、ベーシック・インカムという議論があった。
ベーシック・インカムは、税、控除、給付、その他が入り乱れてわかりにくく、不公正がまかり通っているのではないか、財政が制度疲労しているのではないか、という問題意識があって、国民一人一人の実態に合わせた生活保障を、公正かつ効率的に行うという趣旨だったと理解している。そのために所得の一元的把握が検討され、国民総背番号制が欠かせないという話があったと思う。
そういう議論であれば、大いにマイナンバーの活用を議論すれば良いと思う。

しかし、またまたとってつけたような制度が一つ増えることになるようだ。
官僚連中は、事務コスト、システム・コストはちゃんと考えているのだろうか。
(そういうセンスがあれば情報セキュリティ問題も正しく対処できるだろうけどね)

関連記事

マイナンバーの未来

昨日のFIDOの記事中でマイナンバーカードに触れたところだけれど、雑誌を読んでいたら、先般閣議決定された「日本再興戦略」改訂2015でのマイナンバー制度の活用が書かれているという記事があった。

seicho2015mynumber1.png あらためて、その戦略なるものを見ると「世界最高水準のIT社会の実現」という節があって、マイナンバー制度の活用という項がある。
制度の活用事務の拡大としては、戸籍や旅券事務、医療分野の利用とかいろいろ書いてある。
戸籍や旅券事務は行政のすることだから今の延長だと思うけれど、医療分野となると主として民間サービスだから、今の異様にうるさい法律(マイナンバーは大事な番号だから、人に知られないようにしましょう)というわけにはゆかないと思うけれど、どうするんだろう。

あと、在外邦人も対象にするよう拡大するつもりらしい。というか、電子政府の恩恵が一番強く意識されるのは在外邦人だと思うのだけれど、なぜ最初からそうしなかったのが不思議である。住基に基礎を置いたために対象にするのが難しかったという事情があるのかもしれないが、それで制度を歪めるというのは本末転倒である。
制度の立ち上がりは住基を利用して円滑にスタートするにしても、住基とは別の番号制度として設計し、制度が定着すれば住基ネットワークの方を廃止するのが制度もシステムも簡素化されるはず。一体、どうやって在外邦人を取り込むのか見ものである。(一番簡単なのは在外公館を市町村に見立てることなのだろうけど)

seicho2015mynumber.png この「戦略」ではマイナンバーの制度面だけでなく、それとは切り離してカードの利用についてもいろいろ書かれている。
ふうんと思ったのは、「来年1月から国家公務員身分証との一体化を進め」とある。え、でもマイナンバーカードのどこに身分の記載をするんだろう。そもそもマイナンバーカードにそんな記載が許されるんだろうか。同様の利用方法を自治体や民間企業にも検討してもらうとも書いてあるのだけれど、企業等の身分証って、入室時の認証機能(ICチップなど)も持たせているのが多いと思うのだが、マイナンバーカードにその機能を持たせられるの? 昨日書いたFIDOのような仕掛けなら原理的に可能だとは思うけど。

すごいのは、キャッシュカードやクレジットカードとしての利用も検討するとある。いやこれは便利だと思う。それにマイナンバーカードの常時携帯が期待できる。
しかし、キャッシュカードって、いまだに磁気ストライプを使ってるんだけれど? ICチップの仕様もマイナンバーカードとは違う。そういう技術面はどうするんだろう。複数の銀行を使ってる場合、ATMでどの銀行との取引か指定するんだろうな。
クレジットカードもICチップの仕様が違う。それより、クレジットカードの裏には署名することになってるけど、これなんかどうしようもない。
つまり、どちらもカードとして携帯してATMや店舗で使うのではなく、ネットで使うということしかできなさそうだ。

JPKIのことも考えている。スマートフォンで電子申請をするために、マイナンバーカード内の署名用電子証明書が読めるようにもしたいという。さすがにカード内の証明書をスマートフォンに格納することは避けたようだけれど(エクスポート不可能が前提)、こういう細かいところは配慮されているのね。

なんだかすごく否定的なトーンになってしまったけれど、私はマイナンバー制度(国民総背番号制)には賛成だし、身分証明書を国民が持つことにも肯定的。しかし、なぜ、こんな歪んだシステムになってしまったのか、そしてまた、こんな突っ込みどころ満載の「活用」策なるものを無理やり書かなきゃいけないのか、そこが不思議である。
関連業界の人たちは何も言わないのだろうか? (できないことがあきらかだから?)

実現困難な「活用」策をたくさん並べるより、マイナンバー制度の本質に即した利用に違う部分の改善とコストダウンを考えるほうが良いと思うのだが。

関連記事

マイナンバーへの対応

マイナンバーで何かと騒がしい。
私もときどき本やネットなどでマイナンバーのことを見聞きするけれど、多くのものは「対応は大丈夫か」というようなもの。特に酷いのは定期購読している「日経コンピュータ」などのIT専門誌というやつで、まだまだ対応していない、問題だらけ、誤解がまかりとおる、というセンセーショナルというか、不安を掻き立てるような記事。

そんな中で、ようやく真っ当な記事に出会った。
"迫るマイナンバー開始 企業は何をすればいい?"というITmediaの記事である。
注目すべきくだりを抜き出しておく。
mynumberappjimu.jpg
野村総合研究所 未来創発センター 制度戦略研究室長の梅屋真一郎氏は、「とてもシンプルな話。マイナンバーの導入で企業が実施すべきことを突き詰めれば『行政機関に提出する必要な書類にマイナンバーを漏れなく書く』の一言に尽きる」と説明する。「必要な書類に番号を漏れなく書くだけであり、新たな提出物が増えるといった追加の業務が発生するわけではない」(梅屋氏)とも付け加える。

もちろん、これで安心して良いというものではもちろんない。しかし、制度・システムをどう理解したらよいのかという核心をきちんと記述しないで、大変だ、問題だ、そして企業の大半が未対応などと書かれると、不安が煽られるのではないだろうかと苦々しく思っていた
そんなふうにいわれたら、何か難しいことをさせられるのだろうかとか、対応していない企業が多い(自分のところも)というのが問題の難しさを著していると誤解するではないか。一般に、問題の所在を確かめることなく、あいまいな状態であるから不安が増幅される。その状況のキモを見定めて、狙いどころを明らかにすることが必要だ。

ITmediaの記事は、その点、まず単純明快な制度の本質(提出書類にマイナンバーを加えるだけ)を確認して、事務が増えるわけでもなんでもなく、単に項目としてマイナンバーが増えるだけと安心させてくれる。

だいたい税務関係書類って、しょっちゅう制度改正で書き方が変わるのでは。それにくらべればずっと簡単だろう。

その上で、対応について書くと、決して、あわてふためかせるような記事にはならない。
もちろん、法律で重たい罰則もついているから気はつかうだろうけど、真っ当な企業なら、この種の個人情報の管理は今までもきちんとされていたと思う。それを確認するだけだろう。

だいたい、危険を吹聴するのは簡単にでき、安全を宣言するのは根拠にくわえて度胸もいるのだ。


そもそも、この制度で一番の利用者であり、恩恵を受けるはずの国税庁は、そんなに慌てていないのではないだろうか。

関連記事

年金機構の個人情報流出

nenkinkikoryushutsu.jpg 日本年金機構で個人情報125万件が流出したと伝えられていた。
ネットでは、管理の手落ちを責める意見はもちろん、こんなことでマイナンバー制度は大丈夫かという意見が多くみられる。

機構の説明では、基幹システムへの不正アクセスはないようで、職員の端末から漏れたというから、個人情報をそうした職員端末に保存(たまたまあったという一時的なものかもしれないが)していたという状況のようだ。

それにしては量が多い。Excelで処理するような量ではなさそう。
端末にダウンロードするときはパスワード保護することになっていたそうだが、不便で使えないものになっていたのかもしれない。
cloudfoggerのようなものではなかったのだろうか。

基幹システムのセキュリティをいくら高めても、データのコピーが持てるような運用をしていたら、そちらから漏れてしまうということだろう。

で、ネットでも心配する声が上がるマイナンバーだけど、およそ給与を払っているような事業者は従業員のマイナンバーを収集・管理し、税や年金・保険の当局へ提供することになるが、同じように基幹システムがしっかりしていても、従業員のマイナンバーが書かれた書類とかは人の眼に触れる形、結構、アバウトに取り扱われるのではないだろうか。

法では、特定個人情報取扱者には、特定個人情報ファイルを漏洩したら4年以下の懲役または200万円以下の罰金(併科あり)、 知り得たマイナンバーを不正な利益を図る目的で提供・盗用したら3年以下の懲役または150万円以下の罰金(併科あり)と厳しい罰則が定められているけれど、管理不行届きだったらどうなるんだろう。


私はマイナンバー自体は、名前と同じものであって、流通させても何の問題もないと思っている。問題はそれとセットになる個人情報の漏洩である。たしかにあらゆる情報にマイナンバーが紐付けられたら、名寄せが簡単になるわけだが、そもそも名寄せをすることが制度の目的であるから、名寄せを否定してもしかたがないわけで、それぞれの機関が持つ個人情報のアクセスを厳格にすることが基本でなければならない。

今回の年金機構の情報流出事件での報道発表で気になることが書いてあった。
今回の流出の対象となったお客様についてシステム上確認できる体制を確立し、該当するお 客様から年金の手続きがあった際にはご、本人であることを確認した上で手続きを行います。
おいおい、そもそも本人確認せずにやろうとしてたのか?
思えば、私が年金の手続きをしたとき、本人確認は職場が行うことで、機構が行うことではなかったと思う。職場を通さない手続きは、本人あて郵送照会への回答は本人であろうと推測するというものだったのではないだろうか。
形式的には、基礎年金番号と名前などが矛盾していなければ本人からの手続きと認定しているだろう。

これ自体は悪いことではない。情報の信憑性は複数の情報内容から判断するほうが良いに決まっている。

重要なことは、本人確認という行為を対象化して考察し、その意味・意義を自覚し、効用とリスク―固いだけのセキュリティで人間が使いにくいと結局人間がセキュリティホールになる―を評価する、さらに、事務に応じたレベルのセキュリティ対策(本人確認が不要なものもある)を行っていくべきだと思う。


また、こんなことも書かれていた。
該当するお客様には、基礎年金番号を変更させていただき、万全の対処を期す方針です。
こんなこと言ってよいのだろうか?
マイナンバーは変更できない番号だが、漏洩したら変更できることになっている。
今回の事件が、同様の番号変更として前例になったら自治体の事務はもたないかもしれない。

今年10月からはじまる番号通知だが、この通知カードが不着や紛失の場合、漏洩のおそれのある状態となるんだったら、いきなり大量の番号変更が発生してしまうおそれがある。


ある人の番号は誰でも知っている、だから、本人確認はきちんとやりましょう、というのが健全な制度設計だと私は思う。名乗っただけでは相手を信用しないのと同じことだ。
番号を隠さなければならないと考えるのでなく、番号は流通してしまうということを前提として制度設計をすべきだったのではないか。(無理に隠そうとするから犯罪者を作るような法律になり、システムが高価になるのでは。)

もっとも、そういう制度だから、従業員のマイナンバーを預かるサービスが成り立つわけだけれど。


ところで、事件が起こったのは28日、公表されたのは1日だが、報道によると、2chにウィルス感染のことや機構内が大慌てである様子などが28日から随時書きこまれていたという。職員教育も心配だ。


【追記】
こんなことにも気づいた。気にいらない番号が付けられたら、番号通知カードを捨てて、役所には通知カードが見当たらない、私のマイナンバーが人に知られてしまったかもしれないので、番号を変えてほしい、と申し出る。

関連記事

公的個人認証の民間利用

テレビCMもはじまったマイナンバー制度だが、この制度によれば「個人番号カード」が希望者に発行される。これにともない、従来の住民基本台帳カードは廃止される。

住民基本台帳カードは私も持っているし、公的個人認証(JPKI)の電子証明書も取得している(既に有効期限切れ)。遊びで自分のパソコンで電子署名を付けてみたことはあるが、結局、一度も使ったことはない。
理念的には、ネット社会で個人を特定するインフラであるのだが、税の電子申告専用というイメージだった。

そのJPKIが、マイナンバー導入で拡張されるかもしれない。
「公的個人認証サービスの民間活用への期待」(平成26年4月15日 総務省自治行政局住民制度課)という資料によると、個人番号カードには2つの電子証明書が納められるらしい。一つは従来のJPKIと同じ署名用電子証明書だが、もう一つ「利用者証明用電子証明書」というのを新設するという。
この利用者証明用電子証明書というのは、カード本人にかかる基本情報を全く含まない証明書だという。つまり、何も証明事項がない電子証明書というわけだ。

MyNumber-JPKI-crop.jpg

これはなかなかの発想、役所らしくない発想、キーペアだけあげましょう、というわけだ。
何も証明事項はないから、この証明書の機能は、同一人(カード)が利用しているということの保証だけということになる。

ネット・サービスを利用する場合、なりすましの防止が重要なわけだが、ID/パスワード方式は破られる危険を常にはらんでいる。これの代わりとして、ずっと安全性の高い手段になるわけだ。

実装方法はいろいろあるだろうが、サービス提供者がこのカードの公開鍵を使って暗号化したメッセージを利用者に送り、それを利用者がカード内の秘密鍵で復号化することで、利用者を認証するという原理である。
当然、カード内の秘密鍵はカードの外へはエクスポートできない仕様で作られるだろうから、カードをもっていなければ認証できないわけで、かなり確実な本人認証が行える。


ただ、問題もある。
この方法がネット社会で受け入れられるか、デファクトをとれるかである。
サービス提供側は、カードを持っていない人のために従来のID/パスワード方式を捨てることはできないから、単純に追加投資となる。

次に、利用者の公開鍵がサービス提供者に保持されるわけだから、これを使って名寄せができることになる。いろんなサービスに同じIDを使っているのと同じわけだ。

それではということで、シングル・サインオンを別事業者がサービスするというアイデアもある。
つまり、

各サービスは従来どおり、ID/パスワード認証を行うが、そのID/パスワードはシングル・サインオン・サービスから提供する。
ユーザーはシングル・サインオン・サービスの利用にあたって、電子証明書を使った本人認証を受ける。

という仕掛けである。公開鍵がシングル・サインオン事業者に集まることにはなるが、実体サービスにおいてはユーザーの名前やクレジットカード番号といった実社会にリンクした情報が管理されるのに対し、公開鍵だけを集めてもそうした実社会にリンクした情報はないという点が違うわけだ。

もっとも、シングル・サインオン事業者は、ID/パスワードを全部知っているわけだから、ID/パスワードをそれぞれのサービス提供者の鍵で暗号化したうえで預けるとか、パスワードは別管理にするとかしたほうが良いかもしれない。あるいは、シングル・サインオンだけに頼らず、実体サービス側が、自身が保有するユーザー情報(シングル・サインオン事業者が持っていない)を使って利用者確認するなども考えられる。


しかし、良く考えるとなんのことはない、私が使っているパスワード管理ソフト(無料)のように、自分が全ID/パスワードを管理するのとたいして違わないから、サービスとしてあまり魅力はない。それに、カード利用前提だと、スマホでは使えないし。

やっぱり絵に描いた餅か。
関連記事

住基コード取得済通知

nenkin1R.jpg筆者宛てに日本年金機構から住基コード取得済の通知が送られてきた。

年金機構のホームページで確認すると、「年金記録確認のお願い・住民票コード登録のお願い」というのがあって、年金機構が既に住基コードを取得している人は「取得済」のお知らせ、そうでない人には住民票コードの登録を求める内容。

筆者のように住基コードやマイナンバー法制について多少知識があれば、この意義は理解できるが、そうでなければ「一体、何のこと???」となるだろう。そもそも住基コードって何だろう、という人だっているに違いない。

nenkin2R.jpgと思ったところ、機構のホームページによると「※原則としとて、平成25年3月末時点において年金加入履歴を有する60歳以上の方で年金受給者でない方にお送りします。」となっている(たまたま、筆者はその比較的少数の対象者になったわけ)。

それより、事前知識がないと、まるで「おまえの居所はわかっているのだぞ」と突然言われたようで、気持ち悪さを感じる人もいるかもしれない。
はじめから住基データは年金機構にも提供されることを承知していれば良いが、「いつの間にか」法改正でそういうことになったわけで、本人同意なしでも法律さえつくれば良いのか、と「後出しジャンケン」に疑問を持つかもしれない。


文面を見る限り、既に受給している人なら当面、住基コードを取得しなくても、今まで通り事務を続けることができるのだろう。しかし、未取得者に住基コード登録を依頼していることでもわかるように(住所変更を機構に届ける必要がなくなるというのがメリットだそうだ)、既受給者であっても今後は住基コードを取得していくと思われる。

今回の住基コード取得は、住基コードで名寄せをする新しい仕組みが動き出す準備だろう。
(拙稿「情報連携ネットワークにマイナンバーを流しちゃいけないのか」参照)

機構は、おそらく捕捉している加入者の4情報(名前、性、生年月日、住所)を用いて、住基ネット(おそらく住基全国センター=J-LIS)が保有している住民票情報と照合し、マッチした加入者について住基コードを付加したものと考えられる。今後、加入者異動等が発生したとき、住基コードをベースにした機関符号により、情報連携ネットワークを使って、それを把握することになる。

ところで、年金機構はマイナンバーも使うはずだが、それはどこから取得するのだろうか。
情報連携ネットワーク上、マイナンバーを流してはいけないことになっているが、本人から取得するのだろうか。
単純な本人申告だと書き間違いとかも大量に発生しそうだ。これではマイナンバーの意義が全く失われる。
マイナンバー通知カード(希望者はマイナンバーカード)が全員(全国民、外国人登録者)に送られるから、本人がこのカードを持って年金事務所に行くのだろうか。それともカード券面をコピー(ただし名前などのある表だけでなく、マイナンバーが記載された裏も!)したものの郵送で良いのだろうか。

最も簡単で確実なのは、既に同定が済んでいる住基コードを利用して、情報連携ネットワークを使って市町村から収集することだ。
マイナンバーは情報連携ネットワーク上は流さないというが、名寄せのためには流さないと狭く解釈すれば、マイナンバーを名寄せに使うのでなく、住基コードで名寄せして、マイナンバーはその属性情報であるという詭弁もある。そしてこの詭弁を認めるほうが、国民の負担も、機構の負担も、はるかに低くなると思う。

いずれにせよ、市町村以外に、マイナンバーと住基コードを対応づけることができる組織が一つ増えたわけだ。国がマイナンバーは連携ネット上で流通させないとか、住基コードは門外不出と言おうが、どちらをつかっても個人を特定できるようになった。年金機構は基礎年金番号ももってるから、3つの個人特定番号を持った。これなら、まさか年金記録が消えたりしないですよね。

筆者は国民総背番号制には賛成だが、住基ネット、マイナンバーはその目的・本質(国民総背番号)を隠したいためか、常識的な設計から外れた無理なシステムになっていると思う。きちんと正面から議論して、コンセプトを明確にして、姑息なシステム(マイナンバーは連携ネットワーク上で流通させない)は撤回したらどうか。

マイナンバーカードは、表が名前や住所・顔写真、裏にマイナンバーが記載される仕様になったらしい。マイナンバーが簡単にコピーされないように配慮したのだそうだ。とすると、コピーが必要になったとき、表と裏が同じカードのものだということを示すために、たとえばカードのIDのようなものを表裏に印刷しておく必要があるだろう。(書類に記載する人、それを確認する人が、カードを何回も裏返す姿が目に浮かぶ)

ところで、クレジット・カードでは署名欄はカードの裏にある。これは店員がカードをわざわざ裏返すことにより署名を確認するという手順を励行させることと、他人のカードを使う人がカードの裏の署名を模倣しながら書くのを防止する(店員は署名確認のためカード裏面をみており、署名者にはカードの署名欄が見えないようにする)ことが理由だと聞いたことがある。
マイナンバーカードでは、裏面の本人には見えないマイナンバーを暗唱させて本人確認でもするつもり?(米SSNの失敗だからありえないでしょうけど)

関連記事

情報連携ネットワークにマイナンバーを流しちゃいけないのか

昨日は、通常の親が付ける名前と、役所が付ける名前(マイナンバー)があると考えて、公的手続にはマイナンバーを使ってもらえば良いと書いた。マイナンバーが流通することがイコール個人(属性)情報が漏洩することではないとも書いたつもり。しかし、国が考えているシステムはそう単純ではない。

mynum01.jpgシステムを見てみよう。
情報連携のリクエストは各機関別の符号を使い、マイナンバーを使わないことになっている。つまり異なる機関間では使っている符号が違い、機関Aが機関Bに情報連携する場合は、機関Aの符号で要求が出され、それをコアシステムが機関Bの符号に変換(*1)してから、機関Bへ伝達することになる。

情報連携ネットワーク上はマイナンバーを流通させないというコンセプトで作られている
マイナンバーは個人を決定的に特定できるタテマエだから、特定個人情報(マイナンバー付き個人情報)は簡単に名寄せができる(というかそれがマイナンバーの目的)。
各機関はもとよりだが、民間企業でも従業員等のマイナンバーは捕捉しているからネットを流れる特定個人情報を取得したら名寄せはできる。それを防止するため、マイナンバー自体が流れないようにするという趣旨である。

マイナンバー自体は秘密じゃないとしても、属性情報にマイナンバーが付属することが危険、これはわかる。しかし、これは属性情報へのアクセスを止めれば良いことであって、マイナンバー自体を流通させないということまで必要だろうか。

この目的だったら、暗号化して送る方法も考えられる。
機関Aが機関Bにマイナンバー付きリクエストを発信する際、Bの公開鍵で暗号化して伝達する
というシンプルな方法ではだめなのだろうか。

当然、国も考えたようだ。単純な暗号化だけでは、暗号が解読されるとマイナンバーが見える。現在のシステムは、万一暗号が解読された場合でもマイナンバーが人目に曝されることがないようにしたというわけだ。(なお、本当に解読できるならネットワーク・セキュリティは根底から崩れ、公的個人認証なども破綻する。考えられるのは秘密鍵の漏洩だろう)

また、副次的効果として、機関AからBへの情報が機関Bにしか読めないよう暗号化されているなら、さらに各機関とコアシステムの間はマイナンバーでなく符号で送る(効果は暗号化と同様)、とすれば二重に保護される(二重封筒)ことになる。
(なお、二重封筒にするかどうかははっきりしない。しかしコアシステムが機関AからBへの情報を読めるとすると、マイナンバーのあるなしに関わらず、コアシステムとしては越権行為のように思う。)
思うに、これだけ凝ったことをするのは、「勝手な名寄せさせない」を説明するために、マイナンバーは流通させないと言う必要があったからだろう。

なるほど、たしかに、良くできている、大変技巧的。だけど、複雑すぎる仕掛けは破綻しやすいとも思うし、コアシステムが新たなセキュリティ・バイオレーションのターゲットになる可能性もあるのでは。
情報連携ネットワーク外では流通する可能性の高いマイナンバーが、このネットワーク上では流れないというのはものすごい逆説だ。

また、やはり、経費が高すぎるのではないだろうか。それにこのシステム、住基ネットワークの存在が前提になっており、住基の改修でさらに経費が必要となることはあっても、住基ネットワークを廃止することはできない。コストはマイナンバーだけではないのだ。(マイナンバーを流通させれば住基ネットワークが要らなくなる可能性が高いと思う)

昔、住民基本台帳ネットワーク反対グループの方が次のように話していたことを思い出す。
「われわれはネットワークのセキュリティを問題にしているのではない。専用ネットワークを使わなくても、暗号技術を使えばインターネットでも安全な通信はできるはずだ。このネットワークに何百億円もかける値打ちがあるのか。われわれが求めているのは自己情報コントロール権である。」

そもそも、ネットワークからの漏洩の危険より、各機関での漏洩の危険のほうが大きいとも思える。それに、もし情報連携でなにか問題が起こったとき、機関AとBの間で電話やメールで「マイナンバー○○○の人の情報ですが」といったやりとりが、権限ある範囲すなわち業務上必要な範囲でだが、ありそうな気がする(それはやっていいのでしょうか?)。

マイナンバーが無くても、名寄せはいろんなところで行われている、これは止めようがない。
米国SSNの失敗は、SSNを知っていることをもって本人認証したことが原因と分析されているようだが、そんな子供でもわかる話ではなく、SSNによる名寄せが起こした問題などの調査はないのだろうか。(ドラマにはありそう、CIAとかが使ってひどいことになるなど)

多くの場合、セキュリティの議論は、何を守るかを忘れたところで行われる。
なぜなら、何を守るかという本質的な部分を明らかにすることができない(あるいはしたくない)からだ。

(*1) 符号変換
符号変換はコアシステムが各機関それぞれの符号に対応する「統一コード」を持っていないと難しい(統一コードが無いと、相対で変換することになる。2000機関あるとして、2000×2000=400万種類の対応関係)。この統一コードには住基コードが使われるようだ。
素直に考えればこれをマイナンバーにすれば良いのだが、マイナンバーは流通させないという縛りがあるから、住基コードを使うのだろう。住基コードは社会一般には流通しないタテマエだから万一漏洩しても、民間企業等はこれを使って名寄せすることはできないという理屈。

なお、住基コードを使う場合、直接、情報連携に参加する(すなわち符号をもらえる)機関は住基コードを持っていなければならない(法改正)。通常の組織はマイナンバーは持っていても住基コードは持っていないから、今後、情報連携を民間等へ拡大する場合、マイナンバーと住基コードを対応させる機関を介することになるだろう。

関連記事

マイナンバーとSSN

018_02.jpg混んでいるレストランでは、入口付近に用意してある順番待ちリストに名前を書いて待つところがある。このとき本名を書かず、歴史上の人物や、アニメの主人公の名前を書く人がいるそうだ。こういう場では偽名を使っても問題は起きない。その名前で呼ばれた人が自分のことであると認識できれば良い。
普通の店の取引は、店が提供する財と客が支払う代価は即時交換される匿名取引だからである。

問題になるとしたらリスト中に同じ名前がある場合。リスト上位の名前を騙って私ですと言って先に入るという悪質なやり口―行列に割り込むのと同じ―も考えられないことはない。だからといって、リストには携帯している身分証明になるものの名前を記入することと言うと、きっとやり過ぎと言われるだろう。
まして、そのリストにマイナンバーを記入しろということはありえない。

しかし、私は思う、国民一人一人に与えられるマイナンバーは流通させればいいじゃないか。親が付けた名前と、役所が付けた名前(マイナンバー)があり、公的・公共的手続きは間違いがないように役所が付けた名前を併記してください、それで何か問題があるだろうか。

佐村河内なんて珍しい名前だと、みんなその姓の人を色眼鏡で見るだろう、個人を特定できるだろう。田中や鈴木だったらいいのか。

一方で「名前の神秘性」という感覚があることも良くいわれる。
中国では、諱(忌み名)は通常使ってはならず字(あざな)を使わなければならない。
名前を知られたら魔力を失う・行使できなくなる民話(ルンペルシュティルツヒェン[グリム]、トム・ティット・トット[イギリス])も世界各地にある。
また、キャッシュカードでは、口座番号がわかれば簡単にカードの再発行ができてしまい実際それによって犯罪が行われたこともあるから、口座番号は隠せと言われる。

たしかに、そういう配慮も必要かもしれない。
しかし、神秘性はともかく、後者の例は、本人確認がきちんとできれば防げる話である。


遅ればせながら最近「マイナンバーがやってくる」という本(*1)を読んだ(Kindle電子書籍で)。そこには米国のSSNの失敗が分析されていた。(以下その引用)
h_220700.jpg「 番号制度の批判でよく引き合いに出されるのが、米国の社会保障番号(SSN)制度である。SSN 制度において「なりすまし」が多発した原因の一つは、SSN を提示することを本人確認に代えてしまったことである。SSN が普及する前は、SSN を知っているのは本人だけだと考えることに合理性があった。そこで、SSN を提示できることをもって、本人であると判断してしまった。つまり、単純にSSN を提示できることを本人確認手段としてしまったのである。(*2)
 しかし、SSN が広く普及すると、本人から開示を受けた第三者がSSN を知り得る状況が飛躍的に増加した。すると、本人しか知らないはずという前提が崩れ、なりすましが多発する状況となったのだ。
 マイナンバー制度では、SSN 制度のような運用は否定されている。第三者がマイナンバーを目に見える番号として取得する機会は少なくない。このため、本人のみが知ると考えて本人確認に利用するのは危険だ。マイナンバーを知っていることを本人である根拠とすることは間違っている。」


本書ではこれに続けて本人認証手段について書かれているわけだが、この分析を裏読みすると、番号自体が公開されていたとしても、その番号で個人情報へアクセスする場合、本人であることを確認すればSSNの犯した失敗は防止できるということであり、番号の流通を止める必要はないとも考えられる。実際、マイナンバーは税の源泉徴収や年金掛け金の天引きのために雇用主に知らせなければならず、番号が公的機関以外の他人に知られることは当然である。取扱事務者がそれを漏らしちゃいけないといっても、多分、徹底はされず、闇マーケットに流れることだろう。

ユニークネスが保証されている名前、それがマイナンバーだと言って良いのではないか。そしてそのコンセプトでシステムを作ればシステムコストは大幅に下げることができるだろう。(メーカーはそれがイヤなのか?)

以前、住民基本台帳ネットワークが導入されたとき、政府は、これは国民総背番号制とは違うと苦しい説明をし、それに対するクレームが市町村に多く寄せられたと聞いている。解釈で改憲できるぐらいだから、総背番号制だというぐらいたかが知れてる。正々堂々とマイナンバーは総背番号だと言えばいいのではないか。

(*1) 「マイナンバーがやってくる 改訂版」市民が主役の地域情報化推進協議会番号制度研究会 日経BP

(*2) 昔、アメリカのTVドラマなどで、登場人物が電話でクレジット番号を言うだけでホテルや飛行機の予約ができるシーンがあって、なんでそんなのでいいのか、と疑問に思ったことがある。また、私が20年以上も前、アメリカに行った時、KDD(当時)のカードを持っていって、そのカード番号を交換に伝えるだけで国際電話ができたことも覚えている。事前に難しいシステムを作るより、問題が起こったときの解決コストの方が安かった時代だと思う。その後、データマイニング技術などで悪質な利用パターンを選び出して取引を停止するなどが行われるようになったと聞いている。


(続く。 明日はマイナンバーの情報システムについて書く予定)
関連記事
Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

現在の閲覧者数
聞いたもん