デジタル庁の「デジタル認証アプリ」迷走…オンライン利用履歴、政府に集中するリスク
2024/04/24
https://img-s-msn-com.akamaized.net/tenant/amp/entityid/AA1ny3XO.img?w=534&h=300&m=6
実証事業の調達仕様書。将来的にはデジタル庁の認証アプリへに置き換えることを推奨している© 読売新聞
デジタル庁の「デジタル認証アプリ」計画が波紋を広げている。マイナンバーカードによる公的個人認証のためのアプリをデジタル庁が開発し、自らが認証業務を担う「署名検証者」になるという構想だ。計画の概要はパブリックコメントにかけられた段階で初めて公になり、とたんに多くの批判や疑問が寄せられた。なぜなのか。
■政府自ら認証
デジタル庁が公的個人認証法の施行規則改正案について意見公募を開始したのは1月下旬だった。
「なんだこれは」。一般社団法人マイデータ・ジャパンの理事長で、デジタルIDの技術や制度に詳しい崎村夏彦氏は目を疑った。
そこで提案されていたのは、現在は民間事業者が担う公的個人認証の認証業務を、政府が行えるように施行規則を改正するというもの。官民の様々なサービスで本人確認に使える「デジタル認証アプリ」も開発し、デジタル庁が自ら運用するという。
「これでは、国民がいつどんなオンラインサービスを使っているのか、政府が網羅的に把握できるおそれがある」と崎村氏は懸念する。
公的個人認証とは、地方公共団体情報システム機構(J―LIS)発行の電子証明書を使ったオンライン本人確認の仕組みである。署名検証者が、利用者のマイナンバーカードに内蔵された電子証明書を読み取って、その有効性や真正性を確認し、結果をサービス提供者に伝える。この際、署名検証者のサーバー内には、電子証明書の発行番号(シリアル番号)と、それにひも付けられたサービス利用履歴などが蓄積されることになる。
発行番号はカード保有者に一意に割り振られた識別子だ。カード取得は任意だが、既に普及率は78%を超えている。有効期限は5年だが、変更前と変更後の番号をひも付けできるため、長期の追跡も可能になる。「このような識別子は大量の情報の名寄せが可能で、プライバシーの観点から十分な配慮が求められるべきもの」と崎村氏は指摘する。
J―LISによると、発行番号の名寄せリスクは、2004年に公的個人認証サービスがスタートした当時から認識されてきた。公的個人認証法が署名検証者には発行番号などの目的外利用を禁じるなどの措置をとっているのもこのためだという。
当初は行政手続きのみが対象だったが、16年から民間サービスにも拡大、今では利用企業は500社以上に増えている。それでも、これまでは認証の担い手が自治体などの行政サービス提供者自身か、大臣認定を受けた民間の署名検証者(執筆時点で18社)などに分散され、結果的に名寄せリスクは一定程度回避されていた。だが、今後はデジタル庁に認証業務が集中していく可能性もある。
デジタル庁は「公的個人認証の裾野を広げたいだけ。国が一元的に認証することを目指したわけではない」と話す。
ただ、一元化の懸念はあながち杞憂とも言えないだろう。
新アプリの手数料は無料だ。認証サービスを提供している事業者は「無料でやられたら民間事業者は歯が立たない。デジタル庁の『独占』になるのでは」とぼやく。
デジタル庁自身、それを目指していた節もある。昨年5月以降行われてきた自治体への説明では、「マイナカードを用いた個人認証はできる限り新アプリに寄せていく」などと発言していた。
これらの発言は同12月中旬になって撤回され、「既存のアプリを利用している場合は、デジタル庁のアプリに変更する必要はない」と修正された。これはその直前、民間事業者の不満を耳にした自民党が、デジタル庁幹部を呼んで軌道修正を求めたからだとされる。
■「マイナカードでログイン」
マイナカードに内蔵のICチップには「署名用」と「利用者証明用」の2種類の電子証明書が搭載されている(表参照)。署名用には、発行番号のほか、氏名、住所、生年月日、性別(基本4情報)が記載され、その文書を送信した人物が「実在」する人であることなどを確認(身元確認)できる。一方、利用者証明用は、カード利用者が想定する人物と「同一」であることを確認(当人認証)するために使う。前者はe‐Taxでの納税申告や銀行口座の開設などに、後者はマイナポータルのログインなどに使われている。
今回の認証アプリで、デジタル庁が特に強調するのが、民間サービスへの利用者証明の導入促進効果だ。現在、利用者証明を活用するのはほとんどが行政機関で、民間サービスでの利用は3%。そこで、デジタル庁は自らが無償で認証サービスを提供することで民間の需要を掘り起こし、広く普及させたいというのだ。
想定しているのはECサイトやSNSでのログイン、ホテルやレストランの予約、酒の購入時の年齢確認などだ。
ユーザーはまずスマホに認証アプリをインストールする。暗証番号を入力するとアプリは、スマホのNFC(近距離無線通信)機能などを使ってカード内の氏名や住所、生年月日などの情報を読み取り、簡単にアカウントを登録。その後は、暗証番号入力と、マイナカードをかざすだけでログイン――といった使い方が一例という。
イメージとしては、私たちがグーグルやフェイスブック、LINEなどのIDを使って別のサービスにログインできる「○○でログイン」、そのマイナカード版というところか。グーグルのIDを使って別のサービスにログインすれば、そのサービス利用に関する情報がグーグルに提供されるのと同じように、「マイナカードでログイン」を使えば、デジタル庁にサービス利用履歴が蓄積されていくことになる。
「たしかにグーグルなどは既に我々についての膨大なデータを蓄積している。それと同じといえば同じ」。デジタルIDに関する技術標準化団体Open IDファウンデーション・ジャパンの富士榮尚寛代表理事はこう前置きした上で、「グーグルは我々のデータを『管理する』が、我々を『支配』はしない。だが、国家は『管理』に加えて『支配』できる力も持っている」と指摘する。
デジタル庁はその権力性を十分に認識しているのだろうか。グーグルはどんなデータを蓄積し、どうすれば削除できるのか説明しているが、デジタル庁は今回のアプリでどのくらいの粒度のデータを蓄積するのか、どのくらいの期間で削除するのかも説明していない。
■「必要最小限」考慮せず
もう一つ気になることがある。
民間サービスでマイナカードによる本人確認を普及させることは、利用目的を達成する上で「必要」な範囲を超えた過剰な情報提供を、私たちユーザーに強いる状況を生まないか――という点である。
本人確認に使われるのは、住民基本台帳と連携した正確な個人情報や、それと結びついた識別子である。政府の「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」では、マイナンバーカードを使った公的個人認証による本人確認の保証レベルは身元確認、当人認証のいずれも最高強度の「レベル3」に位置づけられている。日常的に利用する様々なサービスに、そこまでの厳密な本人確認は必要なのだろうか。
サービス事業者にとっては正確に顧客を把握することのメリットは大きいだろう。詐欺や誹謗中傷などの対策にも効果がある。まして独自のシステム開発や維持管理のコストもかからず、手数料無料で政府の認証スキームを使えるとなれば、広く普及する可能性もある。
幅広く普及した時、いくら「使う・使わないはユーザーの自由」といわれても、使わない選択肢は私たちに残っているだろうか。
デジタル庁は「高いリスクが生じるサービスに保障レベルの低い本人確認手法を使うことは危険だが、低リスクのサービスに高い保障レベルの確認手法を使ったからといって問題はない」と主張する。
だが、デジタル関連の制度に詳しい弁護士の水町雅子氏は「犯罪防止に必要な銀行口座の開設や携帯電話の契約などで強度の高い本人確認を求めることは合理性があるが、必要な範囲を超えて広がり、ネットサービス全体で強度の高い本人確認が求められる風潮となれば、ネット上での自由な意見表明や行動が委縮する可能性がある」と警告する。
■マーケティング
民間での利用拡大は、政府だけでなく、民間事業者にもサービス横断的な利用者の行動追跡を許すことにならないだろうか。
この懸念をデジタル庁は否定してみせる。認証アプリでは、サービス事業者には電子証明書の発行番号そのものは渡さず、事業者ごとに異なるPPID(Pairwise Pseudonymous Identifier・仮名識別子)と呼ばれる識別子を生成して送る仕組みだという。このため「サービス事業者間の名寄せを防ぐことができる」としてプライバシーへの配慮を強調するのだ。
ところが、デジタル庁は別の実証事業では、民間事業者によるマイナンバーカードを活用した名寄せと、収集した行動履歴のマーケティング利用を促進している。
「マイナンバーカードの利用シーン拡大に係る実証事業(てぶら観光)」。23年8月に公表されたその調達仕様書によると、実証事業では、地元企業などで作る団体がアプリを用意して顧客にインストールさせ、署名用電子証明書を使って本人確認し、氏名や住所、生年月日、性別をアプリのIDに登録する。そして顧客が地域の店舗などで物品を購入したりサービスを受けたりするたびにIDに利用履歴を紐づけて横断的に収集・管理し、ポイント付与や、個人向けにカスタマイズした情報をレコメンドするという。
調達仕様書ではさらに、行動履歴の収集・管理のシステムを将来的に「認証アプリに置き換え可能にする」との方向性も示している。
これを読む限り、デジタル庁が、公的個人認証を使った名寄せを防ごうとしているようには見えない。むしろ、民間事業者のマーケティングのために公的個人認証というインフラを提供しようとしているといえるのではないか。
■シンガポール型
今回のアプリ開発にあたってデジタル庁が参考にしたのは、シンガポールの「Singpass」だという。
シンガポールが国主導で推進している公的認証システムで、デジタルIDに国民登録番号や基本情報、運転免許証、生体情報などの各種情報をひも付け、国民が単一のIDで官民の様々なサービスを利用することを目指している。
たしかに、簡単で正確、かつ低コストの本人確認が実現できれば、官民のサービスは効率的に行き渡り、様々な層の国民がデジタル化の恩恵を享受することになるだろう。だが、それはIDによる管理社会化やプライバシー上のリスクと背中合わせでもある。
利便性と人権のバランスをどうとるのか。世界ではシンガポールのような中央集権型のほか、分散型や、ユーザーが自分のIDを自ら管理しようという自己主権型など様々なモデルが模索されている。
どのようなIDスキームを選ぶかは、どんな社会を望むのかという問題だ。デジタル庁は、それをどこまで意識していたのだろう。
■外部と議論なし
事前の情報が乏しかったにもかかわらず、デジタル庁が1月から2月にかけて実施したパブコメには、29件の意見が寄せられた。プライバシー侵害のおそれのほか、民業圧迫との批判、実務の観点からの問題点の指摘もあった。数はそう多くないとはいえ、専門家からの厳しい指摘である。
デジタル庁は「批判とは無関係」というが、3月中に予定していた施行規則の改正はいったん見合わせ、4月に予定していたアプリのリリースも「数か月遅れる可能性がある」という。
「社会や専門家との情報共有を怠り、内部だけで進めてきたことが、今回のような批判を招いたのではないか」。関係者は反省を口にする。
アプリを巡っては昨年1月に開発仕様書が公示され、調達が行われたが、その前に有識者検討会などで課題を議論した形跡はない。その後もデジタル庁の会見などで簡単に触れることはあっても詳細の説明はなかった。輪郭が見えてきたのは今年1月、パブコメの際に添付された資料からだ。その資料からも漠然としたイメージしか伝わってこない。
崎村氏は「私はこの分野の専門家だが、この資料を見てもいまだに詳細がわからない」という。仕様や運用が分からなければ、セキュリティーやプライバシー上どのような危険があるのか外部からは検証のしようもない。海外では国民に影響のあるシステムを開発する際は事前にプライバシー影響評価を実施し、リポートを公開することが少なくないという。
デジタル庁の「透明度」はどうだろう。デジタル庁では21年9月の発足以来、有識者による38の検討会が設けられたが、このうち8割を超える32検討会は一般傍聴を認めていない(表参照)。非公開の32検討会のうち23検討会は、議事録さえ公開していない。発言者を匿名にした上で、概要だけかいつまんで記された議事要旨では、どのような問題点が話し合われたのかも外部には伝わってこないが、それすら公開していない検討会もある。
1999年に閣議決定された「審議会等の整理合理化に関する基本的計画」では、会議や議事録は公開を原則としている。非公開とする場合は理由を明示した上で議事要旨を公開することとなっている。当然、セキュリティー上の理由などで公開できない議論もあるだろう。だが、デジタル庁では何の理由も示さずに非公開としている検討会が少なくなかった。
「これまで多くの行政機関では政策形成の際、審議会や有識者検討会などでオープンに議論して、問題の所在を社会や専門家に共有しながら調整が進められてきた」。水町氏はこう指摘した上で、「本来、技術やサービスの変化が激しく、大きな政策転換も迫られうるデジタル分野こそ、議論を透明化し、社会との対話と調整が必要なはず」と苦言を呈する。
そもそも、制度の本質を変えるかもしれない大きな変更を施行規則の改正で進めていいのだろうか。
憲法学が専門の山本龍彦慶応大教授は「国家が包括的な署名検証者となることは立法時に想定されていたのか。そこで生じうる名寄せのリスクは検討されていたのか。まずはそこから確認する必要がある」と断った上で、「仮に今回の変更が立法時の想定を超えるものであるならば、本来は『開かれたアリーナ』である国会で議論すべきもの」と指摘する。
今回のデジタル庁の取り組みが法の想定を超えるものかどうかは、アプリの仕様や運用が分からなければ判断できない。オープンな議論もなく行政によるルール変更で済ませようとするのは、あまりに乱暴ではないだろうか。
「スピリチュアルグループ」脱会希望の女性に5人で暴行、主宰者の女ら逮捕
作業中に「助けて」の小さな声、50m先の用水路のぞくと女性が…4人でとっさの連係