ITをめぐる法律問題について考える

弁護士水町雅子のIT情報法ブログ

講演時の反省

今日、とある方の講演を拝聴しました。とてもわかりやすかったです。

そこで、自分の講演の反省。

  • しゃべりたいことが多すぎて、しゃべりまくってしまう
    →ゆっくり落ち着いて話すようにしなければならない。早口になりすぎず、落ち着いてゆっくり話すことを心がける。
  • パワポの説明文章から、発散気味に話したいことが膨らんで、話す量が多くなりすぎてしまう
    パワポの説明文章をまずは起点にする。そのうえで補足という形で話さないとわかりづらい。私の場合、自由に話し過ぎてしまうので、情報量が異常に多くなりすぎるきらい。

 

先週金曜日、Webinarで講演させていただきましたが、ご参加者の方のお顔が見えず、ちょっと不安でした。リアル講演だと、自分の説明が分かりにくいかどうかが、反応からわかって、そうすると、さらに追加説明をする、言い直す等の対応ができるのですが、Webinarだとなかなかそれができない。あと、自分の話がうざいというか、飽きる感じというのも、参加者の反応でわかるので、そういう場合は端折って、次の話に行くとかやれるのですが、Webinarだと難しいなあと。

 

今週金曜日も、情報銀行さんの方で講演しますので、ゆっくり落ち着いてポイントを話すよう、頑張っていきたいと思います。

 

今週の講演はこちら

https://www.tpdms.jp/seminar/ethic.html

クイックアクセス

どうでもいい話です。

本屋さんに行ったときに、なぜかCSSの本とWordの本を買ってきてしまいました。本当はそういう本を買いに行ったはずではないのに、なんとなくほしくなってしまい。

 

Wordの本はコチラ。

www.amazon.co.jp

 

これ、よかったです。

特に「クイックアクセス」。

よく使う機能を、メニューバーの最上部に出して置けるというもの。Wordでは特によく使う機能はないかな(まあ、ナビゲーションウィンドウの表示ぐらいは追加しておこうかなというぐらい)と思ったのですが、

Excelでは、シートをよくPDFにしているので、それをクイックアクセスにしてみました。ものすごく楽ですよね。今まで5クリックぐらいかかったところが1クリックで済むわけですから。知らなかった、こんな機能。

 

書名が「もう1秒も無題にしない」。笑ってしまいますね。1秒ぐらい無駄にしてもいいのではと思いつつ、毎月何回も同じことをやるなら、毎回の時短は10秒だったとしても、それがつもりつもって積算されると、かなりの時短になりますからね。

 

WordとかExcelも、すごい機能が大量にありますよね。多分、私、その2割ぐらいしか使ってないのではないかと。

新規ご相談が多い11月

謎です。

今年は本当にコロナで、4月から8月ぐらいまで時間的余裕がありました。

9月にはいったん忙しくなったものの、10月は暇で、不安に思うぐらいの余裕でしたので、執筆活動をそこそこやりました。

そして11月に入ったら、連日連日新規ご相談があり、あまりに連日なので、もう「A社様の日程調整」「B社様宛の見積」「C社様へのメール返信」みたいなのを、出来る限り早く打ち返していかないと、溜まってしまうので、やっていったところ、「〇〇の件、お願いします」みたいな連絡が来て、「あれ、なんだったっけなあ?ああ、そういえば2週間前に電話した件か」みたいに、1~2週間前のことすら、もう打ち返すのに必死で、あまり記憶にないレベルになってしまっています。

なぜ、こんなに密集するのか、謎です。

 

新規ご相談なんて、4月から8月までは1~2件しかなかったような。ほかは全部継続クライアントからの相談でした。

それがなぜ11月に新規ご相談がこんなに密集するのか。謎です。

 

9月に忙しくなった時は、コロナも落ち着いたからかなとか勝手に思ってましたが、11月は第3派報道で騒がしいというのに、コロナとは関係がないのかな? ただ単にタイミングの問題なのか? 年度末に向けて、新規事業が立ち上がりやすい時期なのか? いろいろ謎です。

匿名介護情報

https://www.mhlw.go.jp/content/12301000/000693058.pdf

 

匿名介護情報として、複数情報を連結できる状態で匿名化を行っているようである。

NDBも同じなのか?

 

匿名加工情報の作成にも参考になる加工であると思うので、匿名加工情報でいうところの、内部IDの削除・置換をやっていないということなのか、時間のある時に検討してみたい。

東京都震災復興検討会議委員を拝命しました

東京都震災復興検討会議委員を拝命しました。

委嘱期間は令和2年10月1日から令和4年9月30日までです。

マイナンバーが真に私たちみんなの役に立つ仕組みになるために、例えば災害対策分野で具体的にどういう活用ができるのかなどを個人的に検討しようと思っていたところ、震災復興関連の委員を拝命しましたので、この会議ではもちろん私にできることでお役に立てるようにしたいと思いますが、この会議で得たことを基に、マイナンバーを活用した防災・災害対策なども個人的に検討していきたいと思ってます。

本人確認~住民票交付と犯収法~をめぐる雑感

対面以外での本人確認(なりすまし防止)はどうあるべきかについての雑感。大した意見があるわけではなく、現時点での感想レベルのブログです。

 

犯収法施行規則が平成30年11月30日に改正され、令和2年4月施行されたとのこと。

犯収法はマネロン対策等のために、銀行等に対して顧客等の本人特定事項等の確認を義務付けている。犯罪でお金を得るために、架空名義口座や違法売買口座等を悪用する例があるわけで、きちんと確認しておくことで、大きく捉えれば犯罪の抑止にもつながるわけである。

非常に重要な目的です。とはいえ、「厳格な本人確認をしなければいけず、対面で不審者かどうかをチェックします。全部、銀行窓口で手続してください、本人確認に大変長い時間をかけて丁寧にチェックしますよ。」では、普通の一般ピープルは、「なんでこんなに銀行の手続は面倒なんだ」「ただ口座開設するだけなのになんなんだ」となってしまって、顧客も銀行も大変。そこできちんと確認するも現実的な確認方法はどうあるべきかという議論になるわけです。

 

これは、銀行等だけではなくて、どんな手続でも同じようなことが言えるかと思います。なりすましで別人が手続をしてしまうと、それによって犯罪等が生じる可能性がある。かといって、顧客の利便性、手続を受け付ける側の業務効率を考えないと、現実の社会で、遵法が期待できない可能性もある。

どうあるべきか。

 

LINEを使った住民票交付申請に対する雑感でも、ブログで書きましたが、行政サービスが、住民の本人確認をするときも同じような話が出てきます。行政サービスといっても様々なものがありますが、中でも住民票交付、戸籍交付、印鑑証明交付のようなものは、本人確認書類等を渡すわけですから、ここでなりすましが行われてしまうと、不正になりすまして得た本人確認書類を元に、さらなるなりすましがどんどん発生してしまうおそれがあるわけで。

cyberlawissues.hatenablog.com

 

あとは、電話の契約、インターネットプロバイダへの加入等も、同じかなと。ネットを介して犯罪が行われた、違法な書き込みがなされたというときに、誰による行為かを明らかにするわけで(ここも現在進行形で発信者情報開示請求の改善検討がなされているところですが)、そもそもが架空名義で契約していると、それもわからなくなってしまう。電話やインターネットが犯罪の手段に使われることもあるわけですし。

 

楽天Amazon、メルカリ、Yahoo!ショッピングなんかの出品者なんかもそうですよね。架空名義で登録されてしまうと、違法出品物対策等が困るわけで。出品者だけではなく購入者側にしても、不払いとかもあるから、プラットフォーマー側では出品者のみならず購入者を実名で把握しておかないといけないですよね(出品者-購入者間で実名を教えあう必要があるかは別問題ですが)。

ああ、あとBtoBのクラウドワークスとかランサーズとかも、架空名義だと困りますよね。架空名義の人と契約するわけにはいきませんからね。万一紛争になった際に、訴訟もできませんよね。

 

このように、ネット上での本人確認の必要性というのは、非常に様々な場面で出てくる話かなと思います。

 

で、話を犯収法施行規則改正に戻すと、令和2年施行分では、

  • オンラインで完結する自然人の本人特定事項の確認方法の追加
  • 郵便等での確認方法の厳格化

がなされていて。

 

オンラインだけで完結する本人確認が認められ、

かつ、郵便での本人確認はこれまでより厳しくなった、と。

 

LINEの住民票の時も思いましたけど、オンラインについては、「なりすましが怖い!」っていう話になりがちですけど(某市町村の審議会でもオンラインの本人確認で紛糾したが郵送請求となぜ比較しないのかと私は思ってしまった)、だったらなんで郵送請求は比較的緩くていいんですか? 今まで悪用があまりなかったからなんですか? オンラインは比較的新しめの手段だから怖い怖いちゃんとやろう論になりがちだけど、郵便は飛脚の時代からあったし役所に行くのは大変だったりするし今までもやってきたから比較的緩いのですか? みたいに感じてしまいます。

 

それを論理的に考えると、オンラインでも郵便でもリスクはあるわけで、そうなるとやっぱり郵送請求の厳格化みたいになりますよね、となんとなく思ってしまいました。みんなオンラインは厳格化に傾けがちだけど、オンラインと郵送とで、それぞれリスクを洗い出してみると、郵送だって、コピーの悪用、写真・対面なしの悪用ってあるわけであって。

 

犯収法だと、郵送請求の際に、運転免許証でもマイナンバーカードでも1種類じゃだめで、もう1種類の計2種類が必要で、かつ、書留郵便等により転送不要郵便物等として送信するわけです(犯収法4条1項・犯収則6条1号リ)。

 

原本と写しを分けて考えていて、運転免許証でもマイナンバーカードでも原本を銀行に個人顧客が送るわけにはいかないわけで、コピーだと本人確認書類がいくら写真付きでも1種類じゃだめよ、と。まあコピーだと画像粗くて、孫コピー、ひ孫コピーとかを装って、偽造して貼りつけた部分をうまくごまかす悪用とかってできなくはないですからね、たしかに。

で、住民票の写しの場合はコピーでは なく、市役所等から交付された住民票の写し原本であれば、これ1種類だけでよく、あとは書留郵便等により転送不要郵便物等として送信すればよいこととされています(犯収法4条1項・犯収則6条1号チ)。 

 

これなら、住民票の写しの方が楽じゃないか。まあ写しという名称が悪いけれども、これは原本でコピーじゃないから、画像粗くして孫コピーを装った偽造とかが難しいですからね。

 

金融庁の解説図↓

https://www.fsa.go.jp/news/30/sonota/20181130/02.pdf

 

 

マイナンバー怖い論と、オンラインのなりすまし怖い論はある意味似ているところがあるというか、なんとなく新しい感じのものだと未知というと言い過ぎかもしれませんが、得体のしれないことが起こるのではないか、厳格な対処が必要だ、そもそもやらない方がいいのではという話になりやすいですが、そうはいっても、オンライン請求も識別子も、そこまで未知の話ではなくて、現実生活の中ではかなり使っていっているものなので、これを一切止めるというのは現実的ではなく。

どういうリスクがあるのかを具体的に挙げていって、ではどういう本人確認手段が適切なのかっていうのを検討していくべきではないかと思います。

署名・押印の有無で分けるという考えをする人もいますが、結局、署名・押印でもなりすましがどこまで防げるのかっていう話になってくるので。

様々なリスクを想定して、それへの対策として、では具体的にどういう本人確認方法ならなりすましリスクを許容可能なレベルまで極度に低減させることができるのかっていう検討の在り方がいいのかなと思います。

 

 

ただ、他方で思ったのが、犯収法で、オンラインの口座開設で画像送信が認められているから、じゃあどんな手続でも犯収法に倣えばいいじゃん、というわけではないと思います。住民票の請求でも画像送信で良いかはまた別の論点かなとも思います。

犯収法でも画像情報を送信すればいいというわけではなくて、画像情報は、厚み等が確認できる必要があり(施行規則6条1項1号ホ)。

さらに、犯収法でも、その本人確認の基礎となる住民票の写しなわけで。そこの住民票の写しがなりすまし請求されてしまうと、つまり、本人確認書類自体を不正に取得できちゃうと、どんどんいろんなことができてしまいますよね。なりすましのまさに温床たりうるわけで。そこの重みをどう考えるのかという話があるので、犯収法に倣えばいいというわけでもない。

 

ただ、犯収法の本人確認だとこう、マイナンバー法だとこう、何々法だとこうとか、もうあまりに法律ごとにバリエーションが多すぎるのも、遵法可能性・期待性が下がると思うのです。役人は自分の所管法令を見ていればいいわけですが、民間事業者は自分に適用される法律を全て守る必要があって、A法だとこう、B法だとこう、C法だとこう、D法だとこう、法だとこうって無限に本人確認方法がバリエーション増えていかれると本当に困わけで。

 

対面・非対面ともに、各法律や実務上の本人確認方法を精査して、あるべき姿に統一化を一定程度図っていく必要はあるだろうと思います。ただ、全部を一緒にするというのは無理なんで、リスクレベルごとにABCとかわけて、リスクレベルAだとこういう方法、Bだとこういう方法みたいな感じがいいのではないかと思います。

 

日本IT団体連盟 情報銀行認定委員会 委員

ブログでご報告しそびれておりましたが、情報銀行認定委員会の委員を拝命しました。個人情報保護を大前提としてのユーザ側の利便性向上・ビジネス遂行に向けて、これからも一生懸命頑張ってまいりたいと思いますので、どうぞよろしくお願いいたします。私は個人情報保護が大好きなので、このように個人情報関連の様々な取り組みにかかわらせていただき、どのように個人情報保護があるべきなのかを考えられるというのは、大変ありがたいことです。

 

コロナでいろいろあり、いつのタイミングでオープンにして良いのかわからず、会議が開催されたタイミングなどでブログでお伝えしようと思っておりましたが、IT団体連盟にて講演をさせていただく際の広告チラシに、私の肩書として既に情報銀行認定委員会委員と書いてあったので、これは広告にも出ているのだからブログにも書いていいのだろう、そしてものすごく前に承諾書を送ったのだから、と思い、ブログに書いております。

 

これとは別に以前から、別の団体のプライバシーマーク(Pマーク)の認定委員もやっておりますが、やはり認定実務というのを知ることで、より一層個人情報保護法の在り方、法解釈、いかに委託先を管理するか、自社内でビジネス活用しつつ個人情報保護を徹底するかなどの検討に、参考になるなと思っているところです。

 

あと、このほかにも、実はかなりの委員を拝命しております。第1回会議が開催されたタイミングなどでブログでもご報告する予定ですが、調子に乗って受けすぎてしまったような気がして、既に若干の後悔が…。これら以外に、3個受けてしまったのですよね。まあでも、港区の採点会議は今月完了したし、都のアドバイザリー会議も発展的解消になったので、まあ、大丈夫ではないかなと楽観的に考えているところです。コロナでかなり会議も減って仕事量も減って、時間に余裕がある感覚に陥ってしまっていて、調子に乗って受けすぎてしまった後に仕事が増えたりしていますが、きっとなんとかなるはず。

 

そして、某会議の別の委員の方が、20年前?15年前?ぐらいに少しお話させていただいた方のようにお見受けされ、そんなこともあるんだなあとなつかしく、そして不思議な感覚になりました。