第5回 マイナンバーについて考えてみた

今週は、マイナンバーについて書きました。

[1] マイナンバー（個人番号）に関する一考察

マイナンバー（社会保障・税番号）の通知カードの発送が、平成27年10月23日からスタートしました。全世帯への配達が完了するのは11月末となっています。自分のところにいつごろ配達されるのかを知りたければ、以下のサイトで知ることができます。

　出典：　https://www.kojinbango-card.go.jp/cgi-bin/tsuchicard/jokyo.cgi#pref13-7

ところで、今回のマイナンバー（正式には、個人番号）について、インターネットで調べられる情報をここに書いてもつまらないので、トリビア的なことを中心に書いてみたいと思います（理解に問題ない範囲で技術的な厳密さを犠牲にしています）。

① マイナンバーは、ランダムに生成される。
実はマイナンバーは、2002年に開始された住民基本台帳の住民票コードをもとに、ランダムに生成されます。そもそも、住民票コードも、住所や家族などから類推できる番号ではなく、個人ごとに重複しないランダムな11桁の数字が割り当てられていました。その11桁の数字から生成するランダムな12桁の数字が、マイナンバーになります。
そして、マイナンバーから住民票コードを知ることはできない変換方式が使われています。（いわゆるハッシュですね）。

②マイナンバーは、個人だけでなく法人にも割り当てられる。マイナンバーという名前からすると個人だけに割り当てられそうですが、実は、法人にも法人番号という13桁のマイナンバーが割り当てられます（ランダムではありません）。日本で登記した法人だけでなく、各省庁などの国の機関、地方公共団体（県や市町村など）、そして登記をしていなくても税に関する処理をする法人格の組織の場合には、この番号が割り振られます。そして、法人番号が個人番号と扱いが大きく変わるのが、その番号が法人の名称や所在地とともに国税庁のホームページで公開される点です。

この法人番号をチェックすることで、うその会社名や住所を騙る詐欺行為を防ぐ手段にできますね。

③個人番号は使用用途が決められているが、法人番号は何に使ってもよい。
 個人番号については、最初に通知カードが郵送されて、その後手続きをすることで写真付きの個人番号カードを入手できます。その際、通知カードは返却します。

この個人番号カードは、運転免許証のように身分証明書として使うことができると定義されています。しかし通知カードだけでは、たとえ番号が記入されていても写真等の認証がされていないので身分証明書として使えません。カードに記入されている個人番号そのものは、社会保障と税、災害対策のみに使用することが決められています。そのため、それ以外の用途で管理のために番号を利用することもできませんし、番号が書かれている裏面のコピーをとることも許されません。

ところが、法人番号については、この制限がありません。この番号を使ってデータベースを作ることも自由です。逆に、法人番号をホームページで公開していない法人は、怪しい法人と思われるかもしれませんね。

④ 個人番号カードには、有効期限がある。
 顔写真付のカードですので、経年変化を考えれば当然ですね。現時点では、20歳以上は10年、20歳未満は5年になっています。個人番号カードを発行せずに、通知カードだけ持っている場合には、期限はありません。ただし、個人番号カードに電子証明書をつけた場合(無料)は、有効期限が変わる可能性があります（5年になる予定らしい）。

[2] マイナンバーのセキュリティー

私の周りにもマイナンバー通知カードが届いたという話を聞くようになりました。新聞等で、郵便局からの配達間違いや、再配達の手間を省くために、簡易書留の受け取りサインを配達員自らが署名するといった事件が報道されています。

私の知り合いの郵便局の方と2回ほどプライベートで話をする機会があり、その際に本来局にとどく予定日が次々に後ろにずれているにもかかわらず、配り終わりの11月末は厳守といわれ、大変困惑していると聞きました。。不在の場合の再配達や書留への受領サインのことを考えると、通常の配達をやりながらできるものではないといっていました。また、会社あての法人番号の通知が普通郵便で配達されていることに対して大丈夫かなと言っていました。法人番号は公開されるから秘密ではないので普通郵便で配達しても問題ないはず、と言ったら納得していました。このようにいろいろ混乱があるようです。

肝心のマイナンバーのセキュリティーについてですが、マイナンバーと、税や社会保障の個人情報を扱う行政機関のデータベースが直接リンクしていないことによって安全性が高いことを強調しています。わかりやすく言えば、行政機関のデータベースには、マイナンバーをキーにして直接アクセスできないということです。ではどのようにアクセスするかというと、行政機関ごとにマイナンバーから変換したアクセスキーが中継システム（これが今回の目玉の機能です）により割り当てられ、そのキーがデータベースで使用されます。この方式により、もしマイナンバーが漏えいして行政機関のデータベースに侵入されても、中継システムのサーバーも同時に侵入されなければ、個人情報にはアクセスできない工夫がされています。

私も、この方式であれば、中継システムも同時に破られない限り、個人の利用に限っては安全だと思いました。
しかし、マイナンバーの政府資料に書かれている利用範囲の民間への拡大の際に、セキュリティー上の問題は、発生する可能性があると思います。 インターネットバンキングやショッピングを利用する場合に、この中継システムを利用することになれば、中継システムへのアクセスが必要になるので、侵入などの危険性ははるかに増大するでしょう。

将来的には、銀行口座にマイナンバーが連動し、口座から引き出した紙幣の番号もマイナンバーと一時的に関連付けられるかもしれません。そうすると、オレオレ詐欺（もう古いのかな）で、現金を搾取しても、それを口座に入金する際に足がつくといった漫画のような世界になるのでしょうか。