うさぎ

マイナンバーとプライバシー:識別子に対する要件

ここのところ、各種メディアでマイナンバーが取り上げられることが増えてきているように思われます[1]。遅すぎだろう、というのはおいておいて、何も取り上げられないよりは良いことだと思います。

本来は、各条文について指摘事項があれば指摘してゆくべきなのでしょうが、あいにくとっても忙しいのでその時間がとれません。そこで、これらに関して論じる方に、一般論として抑えておいていただきたいことを幾つか書いておきます。

識別子の定義

ある集団の中で、その個人(やモノ)を一意に他と区別(識別)うることができる属性の組み合わせを「識別子」といいます。

いわゆるマイナンバーも識別子の一種です。

マイナンバー・個人番号という名称からして、個人を識別するのに使われるのは数字の羅列であるという前提があるようですが、識別子は数字である必要あありませんし、ひとつの文字列である必要もありません。

たとえば、代表的な識別子の例として、いわゆる基本4情報があります。住所+氏名+生年月日+性別ですね。これは、一部例外事例を除き、十分に識別子として機能します。(ただし、これを識別子として利用するのは、不必要に他の情報を開示してしまうため、プライバシー的に望ましくありません。)

基本4情報を連絡先として意識されることが多く、殆どの場合明示的に識別子としては意識されていないと思われますが、これを使うときには、今、連絡先/識別子どちらの意味で使っているのかを意識することが本来は必要です。

また、マイナンバーも、その番号がマイナンバーであるという情報をあわせて使い、かつ、母集団を、当該時点のマイナンバー配布者に限らないと、識別子としては機能しないことを認識することも重要です。

識別子の望ましい性質

識別子には、その用途によって異なる性質が望まれます。

例えば、人間が使うものに関しては、

  • 覚えやすい文字列であること
  • 読み上げることができること
などがあります。多くの email アドレスは、この要件を満たしています。
これらの要件は多岐にわたります。例えば、こんなものがあげられるでしょう。
  • [要件1]ある一定期間安定的であること
  • [要件2]ある一定の利用目的を持つ取扱者間で安定的であること
  • [要件3]これらの利用によって、個人情報の望まない抽出が起きないこと
などなど。要件1,2は、その業務を遂行するのに必要なものです。これに対して、要件3は、プライバシー要件です。これらのさじ加減は利用目的に応じて異なってきます。例えば、年金などの場合は、要件1の「ある一定期間」は、ひょっとすると人の一生を超える期間かもしれません。それに対して、政治的意見を受け付ける掲示板などは匿名性が必要になりますから、「一定期間」は極端に短く、例えばブラウザを閉じるまで、などのようになるでしょう。
なので、なんのために使うのかを明確にすることが、識別子の設計には欠かせないことになります。

プライバシーの観点〜データ最小化の法則

プライバシーの保護の観点からは、一般的に「一定期間」「一定の目的を持つ取扱者間」を出来るだけ 小さく取ることが求められます。これは、米国のFIPPSや欧州のデータ保護指令で言われる「データ最小化」要求を識別子に当てはめた場合に当たります。これに文句をいう人は、自由主義を否定する人くらいしかいないと思われるほど広く受け入れられている原則です。(もっとも、日本にはこれを否定する人が結構いますが。やはり、自由主義を自ら獲得したのではなく、単に与えられたからそうなっているのかもしれません。)

いろいろな「番号」への要件

さて、準備が整ったので、いろいろな番号の要件を考えてみましょう。

銀行口座番号

銀行口座番号は、銀行の口座への振込、引き出しなどを通じた残高を正確に管理するためにあります。ここでの「期間」は、口座開設から口座閉塞までになります。また、「利用目的を共有する人・機関」は、「口座への入出金を行う人」になるでしょう。これをいたずらに広く取ることはおすすめできないということになります。

基礎年金番号

基礎年金番号は、その人の年金掛金の管理および年金の管理に使われます。したがって、その人の一生、安定的であることが求められます。つまり、期間は「一生」です。一方、これを取り扱う人は、年金機構とある一定の期間を超えて雇用関係を結ぶ雇用者に限られます。

納税者番号

納税者番号は、その人の所得を正確に把握し適切な課税を行うための番号です。徴税側の事務負担の削減の目的も担っています。累進課税を取る以上、これらは金融機関における残高や不動産などの資産や、給与その他の収入元を広くカバーして名寄せ出来る必要があります。したがって、単純にやった場合、共有する範囲はその人に対するすべての支払者になります。所得を把握となると、コストも把握する必要がありますから、経費性の支出先もまた、共有者になります。つまり、共有者の範囲はかなり広くなります。
一方、課税は単年度ですから、期間は前後数年で構わないはずです。ですから、期間は比較的短くて良いということになります。

税と社会保障(含む年金)の共通番号は筋が悪い

次に、仮想例として、税と社会保障(含む年金)の共通番号というものを考えてみましょう。これは、基礎年金番号と納税者番号双方の要件を満たす必要が出ます。つまり、年金管理が要求する「長い期間」と、税が要求する「広い範囲」の掛け算が必要になります。つまり「長い期間広い範囲で安定的」な識別子が必要になります。これは、要件3を満たしませんので、筋の悪い組み合わせだと言えます。代表例が、米国の社会保障番号(SSN)や、韓国の住民登録番号で、多くの問題を産んでいます。これらは紙の世界しか無かった頃に設計されたのでこうなってしまいました。しかし、現在はコンピュータを使うことができますから、これを回避できます。オーストリアのセクトラルモデルなどはその代表例と言えましょう。

翻ってマイナンバーは?

というわけで、簡単にですが、識別子に対する要件というものを若干ご紹介いたしました。読者の皆様におかれましては、上記を念頭に置いて、通称マイナンバー法案(行政手続における特定の個人を識別するための番号の利用等に関する法律 )の各条文を読み込んで、現状で良いのか、はたまた何をどう修正したら良いのか、考えて発言していっていただければと思います[2]。
ご参考までに、国会提出資料のリンクを下に載せておきます。
行政手続における特定の個人を識別するための番号の利用等に関する法律案(マイナンバー法案)
H24.02.14
社会保障改革担当室 概要
要綱
法律案・理由
参照条文
行政手続における特定の個人を識別するための番号の利用等に関する法律案の施行に伴う関係法律の整備等に関する法律案
H24.02.14
社会保障改革担当室 概要
要綱
法律案・理由
新旧対照表
参照条文
(出所)国会提出法案 http://www.cas.go.jp/jp/houan/index.html 2012/8/9

[1] 例:肥大化するマイナンバー制度、不要な機能を盛り込む“愚策”  村上憲郎のグローバル羅針盤(44) 2012/7/31 7:00日本経済新聞

[2] 私?時間がありません。それに、多くの識者がこの問題を取り上げてくださっているようですから、私はより基礎的な部分(例:本人確認の国際標準、技術的な国際標準プロトコル開発など)に集中したいと思います。なお、もし共通番号ができてしまったら、許されるならば、私は5年おきくらいに番号を変更してゆきたいと思ってはいます。知人にもそれを薦めます。それが最低限の自衛ですから。国や地方自治体としては、そういう動きが広がることを念頭に置いたコスト試算も必要でしょうね。

「マイナンバーとプライバシー:識別子に対する要件」への1件の返信

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください