- シンクタンクならニッセイ基礎研究所 >
- 社会保障制度 >
- 社会保障全般・財源 >
- マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのか
マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのか
総合政策研究部 研究員 河岸 秀叔
1――「あ、マイナンバーカードがない!」
警察庁の遺失物取扱状況によると、証明書類は日本で最も多く遺失届が受理されている(図表1)。また、マイナンバーカードの交付数も増えつづけており、既に国民の約7割が交付を受けた(図表2)。交付の増加とともに、今後、健康保険証との一体化でマイナンバーカードを持ち出す機会が増えれば、カード紛失の増加は避けられないだろう。そこで本稿では、マイナンバーカード紛失時の情報漏洩リスクや、取るべき行動について整理し、マイナンバーカードを持ち歩く際に注意すべき点を考えたい。
2――マイナンバーカードには、どのような個人情報が含まれているのか
マイナンバーとマイナンバーカードの違いについても説明したい。マイナンバーは住民票コードを変換した12桁の数字だ。社会保障・税・災害の3分野における手続や情報連携の際、行政や公的性格を有する機関(健康保険組合など)、一部の事業者によって、主に個人の正確な識別のために用いられる。言うなれば国民一人一人に与えられた背番号だ。一方で、マイナンバーカードはマイナンバーを記載した顔写真付き証明書(プラスチックカード)で、対面・オンライン上での本人確認が主な機能だ。まとめると、マイナンバーは個人の識別を、マイナンバーカードはその個人の本人確認を可能にするツールである。
1 その他、(1)電子証明書の有効期限(2)セキュリティコード(3)サインパネル領域(改姓など、新情報記載欄)(4)臓器提供意思表示欄がある。
3――マイナンバーカードを落としたら
マイナンバーカードを紛失すれば、取得者には(1)表面と(2)裏面の情報が漏洩する。つまり、(1)顔や名前、住所が割れる上に、(2)「〇〇(紛失者)さんのマイナンバーは××(数字12桁)である」、とマイナンバーも特定される。では、(1)(2)のケースでは、どのようなリスクが生じうるのだろうか。
(1)表面には、主に基本4情報及び顔写真が記載されている。漏洩すれば、他の顔写真付き公的証明書の紛失と同様に、ストーキング被害を受ける可能性などが考えられる。また、対面でのなりすましも想像される。
対面でのなりすましについて、総務省は「顔写真入りのため対面での悪用は困難」と指摘する2が、これは目視が間違わないという前提に立ったものだ。事実、逮捕された被疑者が他人名義のマイナンバーカードを提示し、なりすまされた人物を誤認起訴した例がある3。顔が似ていたこと、カード記載情報を正確に説明できたことで誤認したという。同様の事態は他の顔写真付き公的証明書でも発生しうる。マイナンバーカードが特別に対面でのなりすましに弱いわけではないが、いずれにしてもリスク自体は否定できないだろう。
2 マイナポイントの仕組みとマイナンバーカードのセキュリティ対策. 総務省HP. https://mynumbercard.point.soumu.go.jp/flow/mnp-get/security_measures/ . (2023-06-20閲覧)
3 古川幸奈・三上健太郎・安元久美子.なりすまし:タイ人少女、日本人の身分証でなりすまし 見抜けず逮捕、起訴 大阪府警・地検 確認不十分. 毎日新聞大阪朝刊.2023-04-13
次に、(2)裏面の情報、特にマイナンバーを用いた悪用のリスクを考えたい。先ず、マイナンバーカードが第三者に拾得されると個人のマイナンバーが特定されてしまう。そこで問題となるのが、そのマイナンバーと紐づけた他の個人情報が拾得した第三者に漏洩するのかどうかという点だ。年金記録や口座情報などの情報が第三者に不正に閲覧されれば、マイナンバーカードの紛失は大きなリスクになりうる。
実際、マイナンバーカードだけでは、マイナンバーと紐づいた情報へのアクセスは困難だと考えられる。カードを拾得した第三者が落とし主のマイナンバーを特定できたとしても、マイナンバーは個人を識別する番号に過ぎないため、検索性を持つマイナンバーと個人情報のまとまり(「特定個人情報ファイル」という)にアクセスできなければ、基本的に他の情報を引き出しようがないからだ。以上から、マイナンバーカードを紛失した場合、それを拾得した第三者が特定個人情報ファイルにアクセスできるか否かが、(2)の被害を考える上で重要な鍵を握ることになる。そこで、どのような人物が特定個人情報ファイルにアクセスできるのか考えたい。
マイナンバーは、個人情報保護法令4(一般法)に優先する番号法5(特別法)で保護されており、その主な特徴として、マイナンバーの利用範囲や利用者を厳格に限定することが挙げられる。
マイナンバーを利用できる範囲は、個人番号利用事務又は、個人番号関係事務に指定された事務に限定されている。個人番号利用事務は、税・社会保障・災害に関する行政手続のことを指す(2023年6月時点6)。その主たる事務実施者は行政や公的性格を有する機関(健康保こと合など)で、児童手当や年金給付事務など、マイナンバーを扱う行政手続全般の事務が該当する。一方、個人番号関係事務は、個人番号利用事務に関連して行う補助的な事務を指し、主に民間事業者が事務実施者になる。事務の例には、自社の従業員に関して、企業が税務署に提出する法定調書へのマイナンバーの記入などが挙げられる。
番号法では、2つの事務に該当する業務を個別具体的に定めた上で、その利用対象者を指定している。つまり、番号法上、特定個人情報ファイルにアクセスできる人物は、こうした個人番号利用事務実施者・個人番号関係事務実施者に限られる。例えば、税務署なら所得・経費情報、自治体福祉課なら福祉情報を閲覧することができる。また、民間企業者でも給与担当者ならマイナンバーをもとに自社の社員の給与・扶養家族の状況などを調べることができる(水町 2015)。
4 個人情報保護法・行政機関個人情報保護法・独立法人等個人情報保護法、その他地方公共団体が定める個人情報保護条例
5 「行政手続における特定の個人を識別するための番号の利用に関する法律(平成二十五年法律第二十七号)」のことを指す。
6 23年6月に改正番号法が成立し、税・社会保障・税の利用範囲の拡大が決まった。ただし、具体的な利用事務の追加は、従来通り法律改正を要するため、誰もが好き勝手利用できるようになるわけではない。
事務実施者に該当する人物にマイナンバーカードを取得されれば、特定個人情報ファイルから落とし主を特定し、マイナンバーに紐づく情報が漏れ出る可能性がある。一部の例外7を除き、事務実施者によるマイナンバーの目的外利用は認められていない。不正な利用を排除する対策として、番号法はマイナンバーの管理について厳しい制限を課している。本稿では、特に関連性の高い規定について述べる。
不正を排除するための規定の代表例として、安全管理措置の実施と、個人情報保護委員会(以下、委員会)の存在が挙げられる。事務事業者は、マイナンバーの管理について、「個人番号上、滅失又は毀損の防止、その他の個人番号の安全管理ために必要かつ適切な措置」(安全管理措置)を講じなければならない8。その運用方法については、委員会の「ガイドライン9」が補足しており、例えば事務実施者は、システムログの記録など、マイナンバーの利用状況が適切か検証可能な環境などを整える必要がある。
また、委員会が監視の目を光らせている。委員会は、事務実施者に指導・勧告・立ち入り検査を行う権限を有し、マイナンバーの取扱を監視している。その上、国や地方公共団体10は、原則として特定個人情報ファイルの管理方法やリスク対策を自己評価する情報保護評価を実施し、委員会の承認を得なければならない。以上のように、点検可能な管理と監視により、悪用の防止・対応策が整備されている。
7 「人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意があるか又は本人の同意を得ることが困難であるとき」又は、「激震災害時であって一定の要件を満たす場合」
8 個人情報保護令でも安全管理措置は義務付けられているが、同令では後述の利用状況記録が義務ではないなど一部の規定に違いがある。
9 個人情報保護委員会「特定個人情報の適正な取扱いに関するガイドライン(事業者編/行政機関編)」
10 後述の情報提供ネットワークシステムを利用する場合は、事業者も情報保護評価を実施する必要がある。
それでも、事務実施者による悪用の余地は存在する。実際に、岩手県釜石市では市職員がマイナンバーを含む住基データを私用端末に持ち出し、市民の保育料の減免申請や離婚歴、市職員の診断書などの閲覧が発覚した。毎日新聞の報道などによると11、釜石市では情報が適切に管理されず、全職員が住基データにアクセスできたという。その他にも、民間事業者から、営業活動で不正使用する目的で、マイナンバーや給与情報が不正に持ち出された例もある12。結局は人間のやることで、情報漏洩リスク自体は否定できない。
なお、こうしたリスクはマイナンバーに特有でない。旧来の行政記録情報でも、同様に個人の氏名・住所などの特定が可能だ。ただし、マイナンバーがあれば極めて正確に個人を識別できるという点のみ、従来と異なる。
11 釜石市個人情報漏えい調査委員会報告書. 釜石市HP. 2023-05-01
奥田伸一.全住民3万人超の個人情報持ち出し 釜石市職員が簡単にできたワケ. 毎日オンライン. 2022-06-19
市職員、個人情報盗み見 「ちゃっかり減免申請」「相当がめつい」岩手・釜石.朝日新聞デジタル.2023-05-02
12 顧客のマイナンバー情報、元勤務先から不正に持ち出す…税理士ら2人逮捕.読売オンライン.2022-01-19
マイナンバーカード特有の問題として、マイナンバーが漏洩すると紐づけた情報が芋づる式に全て漏洩する、という誤解がある。例えば、政府の共通データベースには紐づいた情報が集められ、ここに不正アクセスすれば、特定人物の情報を全て抜き出すことができるという具合だ。
これまで見てきたように、マイナンバーが漏洩した場合、情報管理の仕組み上では芋づる式に漏洩しない建付けになっている。ただし、それでも広範囲な個人情報が一気に漏れるリスクは存在する。これについては、後述(3.2節)で詳しく述べる。
(2023年07月14日「研究員の眼」)
03-3512-1835
- 【職歴】
2021年 日本生命保険相互会社入社
2022年 ニッセイ基礎研究所へ
河岸 秀叔のレポート
日付 | タイトル | 執筆者 | 媒体 |
---|---|---|---|
2024/09/03 | 内定辞退の理由と現状から内定者フォローの重要性を考える | 河岸 秀叔 | 研究員の眼 |
2024/04/05 | 配偶者手当を廃止する企業が増えていることを知っていますか。 | 河岸 秀叔 | 基礎研マンスリー |
2024/03/26 | マイナンバーカードの携行率が約半分という現実に向き合う | 河岸 秀叔 | 研究員の眼 |
2024/03/15 | 見直しが求められる転勤制度 | 河岸 秀叔 | 研究員の眼 |
公式SNSアカウント
新着レポートを随時お届け!日々の情報収集にぜひご活用ください。
新着記事
-
2024年10月04日
気候変動への耐久力を強化するために、保険を活用すること-欧州委員会における検討会の最終報告書の紹介 -
2024年10月04日
再保険に関する監督・規制を巡る最近の動向-資産集約型再保険の拡大とPE会社の保険セクターへの関与- -
2024年10月03日
暑さ指数(WBGT)と熱中症による搬送者数の関係 -
2024年10月03日
公的年金の制度見直しは一日にしてならず -
2024年10月03日
市場参加者の国債保有余力に関する論点
レポート紹介
-
研究領域
-
経済
-
金融・為替
-
資産運用・資産形成
-
年金
-
社会保障制度
-
保険
-
不動産
-
経営・ビジネス
-
暮らし
-
ジェロントロジー(高齢社会総合研究)
-
医療・介護・健康・ヘルスケア
-
政策提言
-
-
注目テーマ・キーワード
-
統計・指標・重要イベント
-
媒体
- アクセスランキング
お知らせ
-
2024年07月01日
News Release
-
2024年04月02日
News Release
-
2024年02月19日
News Release
【マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのか】【シンクタンク】ニッセイ基礎研究所は、保険・年金・社会保障、経済・金融・不動産、暮らし・高齢社会、経営・ビジネスなどの各専門領域の研究員を抱え、様々な情報提供を行っています。
マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのかのレポート Topへ