共通番号制度(旧:マイナンバー制)施行に合わせて、IT企業は何をすべきか | HATのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

HATのブログ

IT関係のニュースを中心に記事を掲載します。日経コンピュータで重要だと感じた記事とコメントを2010年9月1日号から書いています。
このブログは個人的なものです。ここで述べていることは私の個人的な意見に基づくものであり、私の雇用者には一切の関係はありません。

共通番号制度(旧:マイナンバー制)施行に合わせて、IT企業は何をすべきか

 第26回まっちゃ139勉強会に参加しました。
http://d.hatena.ne.jp/ripjyr/20130608/1368103570

 共通番号制度の法案が通過しました。調べてもなかなかわからなかったので情報収集のため参加しました。講師は、IT関係で超有名岡村久道弁護士です。単なるIT勉強会に岡村先生を呼べるというのは驚くべき事です。

 参加費500円なのですが、休み時間に500円ほどのケーキを頂けるという不思議な勉強会でした。参加者は100人ほど。高校生から50過ぎまで幅広い参加者。途中、「学生さんの交通費カンパをお願いします」と言われ数百円入れました。学生さんが交通費がないので行けないという事をなくしたいそうです。カンパしたお金は最後に学生で勝手に分けさせてました。これも不思議でした。

 漢字のまっちゃんは、セキュリティ関係で有名なネットエージェント(株)の大阪所属だそうです。6/9(日) 19:00~ 「たて×ほこ」の「どんなプログラムにも侵入できるハッカー VS 絶対に侵入させないセキュリティプログラム」に会社が出演されます。ロシアのハッカーと戦うようです。

 講義の内容は長すぎて全部は書けませんので、私が重要だと考えた3点に絞ります。
★をつけた3点が極めて重要です。今後法案や条例が次々に出される予定ですが、この3点が理解出来ていないと意味がわからないと思われます。

よくわかる共通番号法入門 ―社会保障・税番号のしくみ/商事法務
¥2,520
Amazon.co.jp



1.番号法の特徴

(1)民主党が出した「マイナンバー法」が自民党に変わり用語だけでなく組み立てまで変わったので難解な法案になっている。
 今年8月予定で教科書を書いているが文章だけで250ページにもなりそう。

(2)アクセルとブレーキが混在一体となった法案
 アクセル:統一番号をつけて情報を連携するという利便性
 ブレーキ:個人情報保護、セキュリティ

(3)個人と法人に番号を振ろうと言う基本はそのままだが、相当規制されている。
  個人番号:すべての国民/住民票を有する在留外国人にも付番
   →★使用目的を「税」「社会保障」「災害対策」だけに限定
   ※今後他の分野や民間にも広げて行きたいという方向性。
    経団連が民間でも使いたいと言っているが使う意味があるか疑問
  法人番号:少なくても登記されている法人すべてに導入
   →利用制限なし
  ※医療番号にまで広げるのか、別にふるのか検討中

(4)付番の方法
  市町村長 → 機構(地方自治情報センター) 番号の生成を依頼
  市町村長 → 個人  通知カード(紙)を送付
  個人   → 市町村長 ICカードの要求・発行

  住民基本台帳は市町村自治事務としたため、不参加訴訟などに発展した
  共通番号は国の業務の一部代行としているのでそういう混乱はない

(5)使い方
 3つに限定された使用目的は官だけが使うが、その申請は民間企業が行う

2.個人情報の管理の方法

 セキュリティ(なりすまし、大量流出の危険)の批判を避けるため、★一元管理でなく、分散管理となった。縦割り行政で各行政機関のコンセンサスがとれなかったという理由もある。

<番号制度における個人情報の管理の方法について>
http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/250409kanrihou.pdf


HATのブログ-個人情報の管理


 共通データベースを否定したところからこの法案がスタートしている。これをわかっていない一部の議員が「串刺し検索が出来ない」と批判しているが、出来ないように法案を作ってあるから当然。

次の図はややこしいが肝

<番号制度における>
http://www.mhlw.go.jp/stf/shingi/2r9852000002fy2a-att/2r9852000002fy74.pdf


HATのブログ-情報提供のイメージ


前提:情報保有機関Aでは、個人情報に符号Aを割り振っている
   情報保有機関Bでは、個人情報に符号Bを割り振っている
①情報保有機関A(例えば国税)から「符号A」の照会を情報提供ネットワークシステム(総務省)に行う
②情報提供ネットワークでは、照会理由の妥当性を判断し、OKなら符号Aから符号Bに変換し、情報提供機関B(例えば厚労省)に送信する
③情報保有機関Bは該当する特定個人情報を抽出し、直接照会元に送信する

 どの機関がどういう照会を行ったかを「マイポータル」で見せる事になっているが、スマホ対応はどうするかなど決まっていない事が多い。

3.罰則規定

 罰則規定が2つあるがどちらも厳しすぎて現実味がない。今後見直されると思われる

(1)特定個人情報の提供の制限等(19条)
 ・個人情報の提供の求めの禁止(15条)
 ・収集禁止(20条)
 ・保管の禁止(20条)
   ※家族など同一世帯間は除外されている

 ★企業が個人番号を収集/保管する事も出来ない。身分証明書として使えない

(2)特定個人情報保護評価
 システムを作る時と大きく変更する時は「特定個人情報保護委員会」の評価を受ける
 ・評価の必要性が特に高い時は全項目評価を実施することになっている。
 ・虚偽報告や報告懈怠は1年以下の懲役、命令違反は2年以下の懲役

<所感>

これだけレベルの高い勉強会は久しぶりでした。この法案は混乱して難しいという話を何度も聞きましたが、どこがどう混乱しているのかようやくわかりました。

運用が出来ないほど罰則が厳しいわりに、仕掛け自体セキュリティが強くなっているとは思いません。ただシステムは無駄に複雑になって無駄な税金が数百億、数千億単位で巨大ITゼネコンに流れて行くのだろうと思われます。欧米にもお隣の韓国にすら先行事例があるのに、この程度の法案しか作れない国なんだと改めて思ってしまいました。

上記の下側の図の真ん中の機関に「個人番号」が入っていないのはわざとだと思います。個人番号と符合との紐付けを情報提供ネットワークだけで行い、各機関は個人情報を持たないのなら煩雑ではあってもセキュリティは強くなります。こういう法案は、システムの要求定義ですから官僚主導でなく、国会議員がもっと大胆に規制緩和に舵を切って欲しかったと思います。

以上