マイナンバーのセキュリティ対策について、向井氏は「制度面、システム面で安全管理対策を講じている」とコメント。前述の通り、制度面ではマイナンバーの利用範囲の制限や情報連携の範囲の制限を法律で定めているほか、マイナンバー単体では機能しないような制度設計をしている。
システム面では情報を分散管理する点、個人番号を直接利用せずシステム内のみで機能する符号を使用する点、アクセス制御や通信の暗号化などをする点などをセキュリティ対策に挙げている。また前述の通り、マイナンバーカードはICチップに高度なセキュリティ対策をしているという。
ちなみに海外では、社会保険番号を不正に利用して年金の給付や税金の還付を受ける“なりすまし”の事例や、住民票番号を不正に利用してオンラインゲームに登録した事例などがあるという。ただし、これらの事例は番号の利用に制限がなく、また利用にあたって本人確認が行われていない可能性があると説明。マイナンバー制度では、こうした事例を踏まえて利用範囲の制限や本人確認を厳格にしていくとしている。
ところで、日本年金機構は、2015年にサイバー攻撃による大規模な情報流出事件を起こしている。それを受けて年金機構はセキュリティ対策を講じており、マイナンバーの利用開始はその対策の進捗を受けて決定するとしている。「マイナンバーの開始により情報漏えいリスクが高まることはないが、サイバー攻撃の可能性も否定できない。それを想定した備えが必要であり、たとえば外部ネットワークと接続したシステムでマイナンバー付きの個人情報を扱わないなど、セキュリティ対策を強化している」(向井氏)。
希望者に交付されるマイナンバーカードは、さまざまな行政手続きの際に利用したり、身分証明書として利用したりすることを目的としているが、一方でこのカードに搭載されたICチップには、民間企業による利用も想定した拡張性を備えているという。マイナンバーカードの中でマイナンバーそのものは情報の一部にすぎず、その主な機能は幅広いシーンにおける本人確認のためのツールというイメージだ。
このICチップには、個人認証のための電子証明書、券面事項を確認したり入力を補助したりするためのアプリ、住民基本台帳ネットワークのアプリが搭載されている。これらを活用することで、行政サービスを受ける際に必要な紙の書類を削減でき、手続きの手間を省いたり、手続きの電子化を推進したりできる。また、このICチップに登録された電子証明書は、市区町村の証明書コンビニ交付や確定申告の電子納税(e-TAX)で利用できるほか、インターネットバンキングの本人確認など総務大臣が認可すれば民間事業者も利用できるという。
この電子証明書はあくまで本人確認のために使われるもので、そこでマイナンバーは一切やりとりされない。総務省の担当者によると、この電子証明書の民間事業者向け利用ガイドラインはウェブサイトに公開しており、すでに金融機関などから導入に向けた問合せが寄せられているという。「問合せや相談は多い。今年度内には導入第1号が生まれるのではないか」(総務省担当者)。
これに加え、マイナンバーカードのICチップには「空き領域」があり、そこには印鑑登録証、図書館やスポーツ施設など市区町村の行政サービスの利用カード、民間企業の社員証、金融機関のキャッシュカード、クレジットカードなどの機能を追加できる設計になっているという。これらの機能を使用する際にカード内のマイナンバーがやりとりされることはないが、利用できる条件や範囲などは地方自治体の条例や総務大臣により決められるとのこと。総務省の担当者は、民間事業者による利用ガイドラインの策定などを2016年度中に詰めていくとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
住環境に求められる「安心、安全、快適」
を可視化するための“ものさし”とは?
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス