第25回 「社会への提言」最優秀賞受賞
政府は、毎年2月2日を「情報セキュリティの日」とし、「情報セキュリティの向上への気運を全国的に波及・浸透させるとともに、広く官民における意識と理解を深めることを目的に、政府機関はもとより、広く他の関係機関、団体の協力の下に、国民各層の幅広い参加を得た取組みを集中的に実施すること」と定めています。
私が所属する日本セキュリティ・マネジメント学会(JSSM)でも情報セキュリティの日にちなんだイベントとして2月26日に東洋大学白山第2キャンパスにおいて「第5回JSSMセキュリティ公開討論会」を開催しました。学会員はもとより一般の方を含め130名以上の方々が参加されました。
今回の大会はJSSMの設立25周年に当たることから、その記念事業として「社会への提言」コンテストが催されました。参加者全員による投票の結果、私がリーダーを務めさせていただいた「国民ID検討会」からの提言が、最優秀賞に選ばれました。
「情報セキュリティとプライバシー保護の観点からの国民ID に関する提言」と題して発表させていただいた内容は、要約すると次の3点です。
1.国民IDは漏えいすることを前提に設計されるべきである。
2.漏えいすることを前提とするならば、「マスターID」と「トランザクションID」を識別すべきである。
3.国民ID以外の情報による名寄せにも配慮し、民間業者を含めた情報分散を考慮すべきである。
国民IDは漏えいする
電子政府を実現するためには、国民IDや共通番号の付番は避けて通れないだろうと思います。一方で、過去から「国民総背番号制度」には、プライバシーの侵害や国家による監視、いわゆる「ビッグブラザー」に対する懸念が根強くあります。政府における国民IDや共通番号に関するこれまでの議論では、当然、これらの懸念に対する考慮が必要であるとの認識は、十分に行われています。
私たち「国民ID検討会」が着目した点は、そもそも国民IDは、漏えいという事態を想定しているのかという点でした。漏えいした場合を想定して「如何に被害を極少化するか」、「如何に素早く漏えい事態を収束させるか」は、セキュリティ・マネジメントの基本ですが、過去の議論においてそうした観点から考察された形跡が見当たりません。サイバー空間上では、IDそのものが人格であり、IDの漏えいは、プライバシーの侵害や成りすましによる社会保障の不正受給に繋がる可能性があります。したがって、IDが漏えいした場合は、速やかに漏えいしたIDを無効とする宣言を行い、政府の責任で新たなIDを付番する必要があります。制度設計、技術設計の両面からこの点について明確に定められる必要があるというのが提言の第一のポイントです。
不可欠なマスターIDとトランザクションIDの識別
漏えいすることを前提にした場合は、マスターIDとトランザクションIDという概念でIDが設計される必要があるというのが提言の第二のポイントです。
マスターIDとは、原則として生涯変わらない番号を指します。トランザクションIDとは、マスターIDから生成される使い捨ての番号です。マスターIDとは、原則として生涯変わらない番号ですから、トランザクションIDの生成のためにのみ使用され、普段は、厳重に管理します。トランザクションIDは、普段のサービス提供に使用されるIDですから、フィッシング詐欺や盗聴、内部犯行など日々、様々な脅威にさらされます。国民IDや共通番号にマスターとトランザクションという概念がない場合は、マスターID=トランザクションIDですから、再付番するには、本人確認を行うために役所に出頭しなければならないといった厄介な手続きが必要となるはずです。1件や2件の漏えいならば、それも可能でしょうが、昨今のデータ漏えいは数十万件、数百万件規模で起こることもあり得ます。最悪の場合は、全件漏えいですから、大勢の国民が役所に押しかけ、大混乱となることは目に見えていますし、再付番に数年を要するでしょうから、その間にIDの不正使用事件が多発する恐れもあります。
オーストリアの国民番号制度では、マスターIDは本人が所有するICカードにのみ存在する仕組みをとっています。したがって、本人がICカードを紛失した、盗まれた場合に限って役所に出頭し、再付番を受けることになりますので、一度に多量の再付番を行う可能性は排除されます。
このほかマスターIDからトランザクションIDを生成する方法としてトークナイゼーションという新しい技術を使用することや行政サービス毎に異なるトランザクションIDを付番して、漏えい被害を局所化することなどを合わせて提言しています。
名寄せは国民IDに限らない
第三の重要な提言のポイントは、国民IDや共通番号以外のデータ項目による名寄せを不可能にする必要があるということです。「国民総背番号制度」に対するアレルギーの一つに、個人に関する様々な情報が「国民総背番号」をキーにして名寄せされ、集積されることによるプライバシーの侵害の問題があります。したがって、行政サービス毎に異なる番号を付番すべきだという考えに至るわけですが、プッシュ型の行政サービス、例えば「あなたの受給資格が来月から有効になりますので、下記手続きを行って下さい。」などの案内が電子メールで通知されることを期待した場合、各省庁が国民のメールアドレスを保有することになります。その場合、結局、全ての省庁が同一人物の同じメールアドレスを記録していれば、メールアドレスという名の「国民総背番号」が付番されたことに他なりません。国民IDや共通番号の運用にだけ気を取られていてはいけないわけです。こうした課題を解決するために政府、第三者、民間といった複数の組織に情報を分散させ、民間のインフラであるOpen IDやメールアドレスのエイリアスサービスを活用するなどの検討があっても良いのではないでしょうか。
十分な議論が尽くされ、将来を見据えた、ローコストで安心、安全な仕組みが構築されることを期待したいと思います。