政府は、ポイントを付与する等して、マイナンバーカードを普及させようとしています。ポイントで国民を釣るってことは、なんか裏があるんじゃないですか? そもそもマイナンバーカードって安全なのですか?漏えいしたら大変なことになるんじゃないですか?
今日は、マイナンバーカードに関する疑問に回答していきたいと思います。随時更新予定です。また、これを基にいろいろPDF資料とかも作ろうかなと思っています。
消費税増税に伴うマイナンバーカードの全国ポイント付与についての、私の感想は既にブログで書きましたが、上記のような疑問を持つ方も多いのではないかと思います。
- マイナンバーカードって本当に安全なの?
- なんで、マイナンバーカードでポイントがたまるの?脱税を防ぐカードだったのでは?何か裏があるの?
- マイナンバーカードってあんまり誰も持ってないんでしょ?そんなの、何のためにあるの?税金の無駄だからやめた方がいいんじゃない?
- QRコード決済でも問題起きたし、大丈夫なの?
- 個人情報がダダ漏れになるんじゃないの?
- そもそも、マイナンバーって、大騒ぎした割に、使って無くない?
- マイナンバーカードって、なんか面倒だって聞いたけど?
- 住基ネットとか住基カードって昔あったけど、何が違うの?
- 日本って、個人情報に甘いよね。GDPRみたいにもっと厳しくした方がよくない?
などと、さまざまな疑問をお持ちなのではないかと思います。そこで、ブログ等で、マイナンバーカードに関する疑問に答えていきたいと思います。
今日はまず、マイナンバーカードの基本から解説したいと思います。
ポイントは以下の3点です。
- マイナンバーは社員番号、マイナンバーカードは社員証みたいなもの。
- 社員証は社員食堂の支払いや、プリンタでの印刷、入退館カード、出退勤カードとしてなど幅広く使えるが、マイナンバーカードもマイナンバーの範疇を超えていろいろ使えます。
2.マイナンバーカードを落とした場合は、社員証を落としたような事態に陥る
重要なことは、「マイナンバー」と「マイナンバーカード」は違うモノだということです。一般的には、「マイナンバー制度=マイナンバーカード」と理解されている向きもあるようですが、これらは別物です。
たとえると、以下のような感じです。
マイナンバーといえば、脱税防止などに使うものですが、なぜ政府は、マイナンバーカードをポイントカードにしようとするのでしょうか。
これは、社員証で考えるとイメージがつかみやすいと思います。
社員番号は、会社の手続で使います。会社の各種書類への記載、PCログイン、研修の受講時等に入力等するかと思います。
これに対して社員証は、というと、PCログイン、研修の受講チェック、出退勤管理(タイムカード)、社員であることの証明(福利厚生サービスを受ける時など)などのほか、ビルの入退館カード、社員食堂の支払、売店の支払、コピーやプリンタ出力、身分証明書としての利用など、さまざまな形で活用される場合があります。
社員番号は、平たくいうと、「あなたは誰か」ということを示すコードであって、Yahoo!IDやGoogle IDの会社版みたいなものですが、
社員証は、社員番号が書いてあるというだけではなくて、さらに社員番号の範疇を超えて、いろいろと使うことができます。社員食堂の支払いを社員証でピッとやればできたり、タイムカードの代わりになったり、プリンタにかざすことで印刷が可能になったり、重要な部屋に入る際の認証カードになったり、さらには会社とは別の場所でも身分証明書として使える場合もあります。
★マイナンバーカードを使うけど、実はマイナンバー自体を使ってない
マイナンバーに話を戻すと、
マイナンバーは、国が、「あなたは誰か」ということを把握するためのコードです。マイナンバーは、税・社会保障・災害対策・預貯金付番でしか基本的に使えません。もし、これら以外で使えば、違法になってしまい、訴えれば国や自治体、会社を敗訴に追い込むことが可能です。
これに対し、マイナンバーカードは、
のです。
給与や報酬、保険金の支払いを受ける会社などから、「マイナンバーカードか通知カードを出してください」といわれるのは、このうち1の使い方をしているのです。
これに対して、マイナンバーカードをポイントカードとして使うときとか、保険証として使うとき、カジノ入場で使うときなどは、2の使い方をするのです。
マイナンバーカードは、マイナンバーが書いてあるけど、マイナンバーが書いてあってもなくても、ICカードなので、便利にいろんな場面で使うことができます。しかも、公的機関の発行したカードで、一人必ず一枚で、重複付与がありません。だから、IDと違って、一人が複数個を使い分けることはできません。また実在が確認された人にしか配られないカードなので、他人名義のなりすましの危険性を低く抑えることができます。
マイナンバーカードに対して、例えば身分証提示を求められない会員登録であったり、ID付与の場合、偽名での登録も可能です。身分証提示を求められる会員登録でも、その提示された身分証が古いかもしれません。それに対してマイナンバーカードの場合、今、住民票に記載されている人にしか発行されません。しかも住民票住所と氏名・生年月日等が一致していることを、自治体窓口で目で見て確認します。もちろん、受け取りの際になりすましたり、正規に発行・受け取られたカードを偽造したりされる危険性というのはゼロではありませんが、通常の会員登録やID付与よりも、なりすましリスクが低いということが言えます。
SuicaやPasmoといった交通系ICカードも、電車の乗り降りだけではなくて、コンビニの買い物や、自動販売機のお買い物、駅とは関係ないショップでのポイント付与などにも使えます。
マイナンバーカードもICカードなので、SuicaやPasmoみたいに、いろいろと便利に使えるよ、さらにいうと、SuicaやPasmoと違って、必ず一人一枚しかもらえず、かつ住民票を確認して発行されているカードであるということで、厳しく本人確認しなければならない場面などでも、活用できるカードです。
例えば、銀行口座を作る時って、3カ月以内に発行された住民票を持ってきてくださいとか言われたりしますよね? マイナンバーカードの場合は、住民票に記載のあるその人に発行されるカードなので、銀行口座開設、オンラインバンキングのログインなど、本人確認を厳格にやらないといけない場面でも、本当は活用できます。銀行、証券、保険、クレジットカードなどをネットでやろうとしても、本人確認書類を郵送してくださいっていうのが、結構手間だったりしますよね。本当はマイナンバーカードがあれば、紙を郵送する手間はいらずに、パソコンでピッとやれば済むのです。
また、マイナンバーカードの場合、受け取ったときと、氏名や住所が変わったかどうかも、すぐ確認できます。役所の手続とか保険の手続とかで、「現住所が変わってないですか?」とか毎年お手紙が来て面倒なものがありますが、これらも本当はマイナンバーカードをピッとやれば、氏名・住所が変わってないこともさっと確認することができるのです。
というように、実は便利なマイナンバーカード。しかし、なんだかこれを使うのは怖いな、という方も多いのではないでしょうか。
★マイナンバーカードを落とした場合は、社員証を落としたような事態に陥る
マイナンバーカードを使うと、もし落としちゃった場合に、個人情報がダダ漏れになったり、なにが起こるかわからなくて怖いよ!と思う方も多いかと思います。
マイナンバーカードを落とすと、どんな事態が起こりうるでしょうか?
社員証を落としたような事態が起こります。
つまり、社員証に書いてある情報は他人にばれてしまいますよね?どこの部署とか顔写真とか生年月日とかです。また社員証をつかえる機能を悪用されて、自分になりすまされて、社員食堂で何か食べて自分に支払わさせる悪人がいるかもしれませんし、自分になりすまされて、ビルに入り込む人がいるかもしれません。
マイナンバーカードを落としても同じです。マイナンバーカードに書いてある情報は他人にばれてしまいます。氏名、顔写真、住所、生年月日などです。またマイナンバーカードで使える機能を悪用される可能性があります。例えば、eTaxやマイナポータルのログイン、住民票自動発行などです。落としたら、すぐに停止の連絡をしましょう。
問題は、マイナンバーカードの場合は、裏にマイナンバーが書いてあるということです。しかしこのマイナンバーを基に、個人情報がダダ漏れになることはありません。
社員番号が書かれた社員証を落としても、社員番号と紐づいた情報がダダ漏れにはならないのと同じです。会社のITシステムでは、社員番号と給与額・賞与額・毎年の評価(上司からの評価・部下からの評価等)・扶養家族の情報などが紐づいている可能性があります。しかし、社員番号が他人に知られたとしても、これらの情報がダダ漏れになることはありません。なぜなら、社員番号でこれを調べようと思ったら、これらの情報が置いてある場所に入り込むしかないからです。そしてこれらの情報が置いてある場所に入り込めるなら、それはもう社員番号なんかいらずに、氏名などで検索もできるでしょうし、全件見ることすら可能です。
同じように、マイナンバーが書かれたマイナンバーカードを落としても、マイナンバーと紐づいた所得額・年金保険料額・年金未納かどうか・家族情報などの情報がダダ漏れになることはありません。マイナンバーでぐぐっても、それらの情報は出てきません。所得や年金情報、家族情報等が置かれている場所に入り込まなければ、情報は見られません。
所得や年金情報、家族情報等はどこに置かれているでしょうか。勤務先や国税庁、日本年金機構、自治体などです。これらの場所は、紙で情報管理している場合でも、侵入されないよう入退室管理・施錠管理等をしているでしょうし、ITで情報管理している場合でも、侵入されないような対策を講じています。もちろん、ニュースを見ているとサイバー攻撃のニュースや個人情報漏えいのニュースなどがあり、怖いですが、マイナンバーとは関係なく、サイバー攻撃は起こりうるわけです。マイナンバーがあることによって、サイバー攻撃されやすくなる、というわけではありません。
また、所得や年金情報、家族情報等を見る権限がある人、つまり税務署職員、自治体職員、勤務先の給与担当者などが不正をする可能性を考えます。これらの人にとってみれば、マイナンバーがあろうがなかろうが、すでにいろんな人の所得情報を見ることができます。マイナンバーで検索することもできるでしょうが、氏名などでも検索できますし、そもそも全件見ることができるでしょう。つまり、内部不正者にとって、マイナンバーがあることで、より情報が盗みやすくなるかというと、そういうわけではありません。
ここまで長文を読んでくださった方は、「では、なんでそんなんだったら、あんなにマイナンバーは怖い、マイナンバーは大事ですと言ったのか?嘘くさくないか?」とお思いかもしれません。
マイナンバーの怖さは、何なのでしょうか。マイナンバー自体がわかったところで、ただの数字の羅列ですから、「え?あの人って、マイナンバーが123番なの?恥ずかしいね」などと人に言われることはありません。これに対して、給与額が分かってしまうと、「え?あの人って、年収〇万円なの?」などといわれてしまうかもしれません。
つまり、その情報単体での価値はありません。
マイナンバーの危険性は、「紐づけの危険性」「索引情報としての危険性」です。マイナンバーを鍵にして、いろいろな情報をくっつけることができるよ、という怖さです。
話がちょっと変わりますが、ネット炎上事例などで、特定の人のハンドルネーム、IDなどを頼りに、Facebook, Twitter, Blog, Instagram, 掲示板での書き込みなど、その人が過去にさまざまな場所で書きこんだ内容が特定されることがあります。これは、ハンドルネームやIDなどで検索して、さまざまな情報を調べることができた事例と言えるでしょう。
また、氏名でGoogle検索すると、さまざまな情報を見つけられる場合があります。自分が知っているその人は、〇会社のなんとかさんという情報だけなのに、Google検索したら、前職の情報が出てきたので、以前▲会社のこのポジションについていたのだな、などの情報を得られたりします。また仕事と全然関係ない趣味のマラソン大会の成績などがヒットすることもあります。これは、氏名で検索して、さまざまな情報をしらべることができた事例と言えるでしょう。
しかし、ハンドルネームやID、氏名の場合、おんなじものを使っている他人がいる場合があります。氏名なんかは同姓同名者がいます。ハンドルネームなどもそうです。なので検索だけでは、同じ人物のものなのか判然としない場合があります。
これに対し、マイナンバーは一人一個なのです。同姓同名の他人ならず、同マイナンバーの他人というのはいないのです。
そうすると、その人の情報を正確に名寄せすることができます(=紐づけることができます)。
同姓同名がいないからこそ、年金や税金などの処理に効果を発揮します。脱税疑いの人の収支を調べる際に、同姓同名者の収入が混ざってしまうと大変です。また脱税疑いの人が途中で姓を変えたとしても、マイナンバーで調べれば一発でわかります。
しかし、同姓同名、同マイナンバーがいないからこそ、さまざまな情報を正確に紐づけることができてしまうという危険性があります。
例えば、グーグル検索で氏名で検索すると、いろんな情報が今でも出てきますが、何か知られたくない情報が仮に表示されたとしても、「いや、これは同姓同名の別人だよ」と言えるかもしれません。またそもそも有名人で自分と同姓同名の人がいたりすると、自分の情報は上位に表示されません。また、大変ではありますが、氏名は変更することも可能ではあります。
これが、もし例えばグーグル検索でマイナンバーを入力すると、さまざまな情報が出てきてしまったとすると、「いや、これは同マイナンバーの別人だよ」ということはできません。有名人で自分と同マイナンバーの人も絶対にいません。
そこで、グーグルでマイナンバー検索すればいろんな情報が出てしまえば、マイナンバーさえ他人に知られてしまうと、さまざまな情報を人に知られてしまう危険性があります。
これが、マイナンバーの危険性です。
そのために、マイナンバー法では、マイナンバーに対し様々な規制をかけているのです。Googleでマイナンバー検索していろいろな情報が表示できないように法規制されています。マイナンバーは基本的に公的機関がメインで使います。民間企業が使うのは、公的機関に対する手続(税務手続、社会保障手続など)です。マイナンバーとがっつり所得情報や脱税疑い情報、年金未納情報などを紐づけて管理するのは、公的機関だけです。
また、公的機関全体でも、国版Googleのようなものは作らせません。公務員がもし誰かのマイナンバーがわかれば、公的機関の持つ情報がいっぱい表示されるような、そんな機能はありません。
税務署なら税務署の情報だけしか見られません。自治体もそうです。年金機構もそうです。しかも、自分の担当の仕事の情報しか見られません。
もっとも、他自治体や、他保険者から情報をもらう場合などもありますが、それも法令で許可された場合だけ可能です。例えば、港区から千代田区に引っ越してきた人が、千代田区で区営住宅に申し込んだけど、その人の前年所得を知るためには、千代田区が港区に問合せする、などは、法令で許可されています。
このように、Google検索みたいに、何かをキーワードに、マイナンバーをキーワードにいろいろな公的機関が持っている情報を全部調べるような機能は許されていません(=法律違反で違法となり、訴えれば勝てるし、仮に国が隠れてこういう違法行為をしないように第三者機関も設置され日々監視している)。
また、マイナンバーが漏えいした場合は、マイナンバーの変更が可能です。
だいぶ長くなってきましたが、あと重要なのは、マイナンバーカードの中身を盗み見ることはできません。社員証を落としても、社員食堂で何食べたか等はわからないし、給与額がわからないように、マイナンバーカードを落としても、所得額などはわかりません(これらの情報はマイナンバーカードの中には入っていません)。そしてマイナンバーカードは耐タンパ性があり、中身を盗み取ることもできません。
ちょっと長すぎて息切れしてきましたので、そのほかのマイナンバーに関しての疑問については、別の日に改めたいと思います。マイナンバーに関して聞きたいことがあれば教えてください。
マイナンバーの課題等についてまとめた水町作成資料にも、リンクを貼っておきます。
2024.8.2以下のみ追記
上記は2019年に記載したブログですが、2019年から状況の変化がありました。マイナポータルで見られる情報が多くなっていることと、マイナ保険証です。今日は、マイナポータルについて書きたいと思います。
上記でも、マイナンバーカードでできることは、マイナンバーカードを落としたら他人にやられてしまう危険があることは記載しました。マイナンバーカードを落として、パスワードを誕生日など推測しやすいものに設定していたりすると、マイナポータルにログインされて、所得額などを見られてしまうリスクがあります。推測しにくいパスワードでもプロにかかれば突破されてしまう可能性があります。なので、大事なことは、パスワードを複雑なものにして推測されにくいものにすること、そしてマイナンバーカードを落としたらすぐにコールセンターに電話してカードを停止することです。
当初、マイナポータルには、所得額などは掲載されていませんでした。最近はなぜかマイナポータルから見られる情報が増えてしまい、リスクが生じています。マイナポータルから所得額が見えて便利な場面は限られるのに、マイナポータルに不正ログインされて所得額が見られたら大変嫌なので、効果とリスクが釣り合っていないように思い、政策として問題があると考えます。ただ、今の国は、私が正しいことを言っても改善してくれず、私の言ったことを劣化版コピーして都合よく使ったりしているので、私にはこの政策を修正させる力はありません。なので、自分のブログに書くとか、人から意見を求められた際にコメントを出すなどしかできません。
政策を考える際は、効果とリスクが釣り合いがとれているものなのかをしっかり検討する必要があり、そもそも効果が乏しい場合はやる必要もないですし、リスクが高すぎる場合はいくら効果があってもやるべきではないので、効果とリスクは必ず考えるべきです。所得証明書を取得しやすくするニーズはあるとは思いますが、マイナポータルログインですぐに見られるというよりは、複数段階の認証を踏ませるとか、コンビニで取得させるとか、やりようはあると思いますし、そもそもニーズがどれぐらいあるのかを事前に見積もる必要もあるのに、それが行われているのか疑問です。
話が長くなりましたが、2019年から状況の変化があり、マイナポータルで見られる情報が多くなっているので、マイナンバーカード紛失リスクに備えて、パスワード管理をしっかりして、あとは紛失時に速やかにカード停止することが必要です。
なお、マイナポータルから所得や年金、健康保険証情報が見られることをもって「情報の一元管理」という方がいますが、国でいう「一元管理/分散管理」とは言葉の定義が異なるように思います。マイナポータルから見られる情報の数百倍から数千倍以上の情報を国や自治体等は保有しているわけです。所得額が決まるためには、確定申告書情報だけでなく、法定調書情報とか大量にあるはずですよね。保険証情報も月々どこの病院でいくら医療費がかかったという情報が大量にやり取りされているわけです。マイナポータルに表示される情報は、これら大量保有情報のエッセンス部分に過ぎず、国が言っている「一元管理」とは、国や自治体の情報を一つのところにまとめて管理することです。例えば、国税庁と年金機構と保険者と支払基金と地方自治体の情報を全て一つ所にまとめて、マイナンバーで横ぐし検索できるようにするなどの管理方法のことであって、そのようなことはしないというのが「一元管理しない」ということです。マイナポータルに他分野のエッセンス情報が表示されていることと、この国が言う一元管理では、リスクの度合いが異なります。後者の一元管理は、そこを攻撃されたり悪用されたら、公的機関等の持っている情報を一発で全て集約することができ、非常に危険です。「一元管理/分散管理」という言葉の表面上の響きにとらわれるよりも、どこにどんな情報があればどんなリスクがあるのか、マイナンバーによってそのリスクが上がるのかを考える必要があります。