マイナンバーは安全性が2重にも3重にも保証されている。まず、マイナンバーそのものは「名前」と同じでそのものは危険がない。次いで情報連携は「情報提供ネットワークシステム」を介してしか行われないので、統合されていろいろなデータから個人情報が浮き彫りになることはあり得ない。「分散管理」による安全性だ。また、個人情報にアクセスできる権限が制限されて管理され、だれが自分の情報にアクセスしたかを確認できる「自己コントロール」の仕組みができている。さらに、この秩序を破るものには刑事罰を含む厳罰を用意した「厳罰主義」である。

まず、マイナンバーは、使用される領域が極めて狭い範囲に限定されている。

社会保障と税、そして災害関係である。マイナンバーカードには、住民基本台帳の4情報の「氏名」「住所」「生年月日」「性別」も記録されて身分証明書代わりになる。住基カードと似ているが、全く違うのは、番号の扱いである。住基カードでは住基番号はカードのどこにも印字されていないが、マイナンバーは裏面に印字されている。そして、税の申告や健康保険、年金事務のために、企業や行政機関に番号を届け出る必要がある。

考え方は、マイナンバーの数字は、氏名と同じである。氏名は隠すべきものではなく、明示して使うものである。マイナンバーそのものは、危険なものでも何でもない。氏名と一緒に税務データや医療の受診データが記載されているファイルがあれば、これは機微にあたる個人情報として厳重に保護しなければならない。マイナンバーも同じで、マイナンバーと税務データや医療の受信データがセットになっていれば、それは厳重に保護しなければならない個人情報になる。マイナンバーは氏名と同じで、それ自体は隠すべきものではないし、危険なものでもない。

マイナンバーを利用する事務は税務、保険、年金や災害時に緊急に必要になる諸業務だが、これらは一元的に管理されるものではない。それぞれの業務はそれぞれのシステムの中で単独に運用される。所得額に応じて年金の条件が変わるような場合には、双方の情報を連携させる必要があるが、その場合には、たとえば年金機構の側が国税庁や地方自治体の当該データベースに直接アクセスして情報を取得する、というようなことはできない。いったん、情報提供ネットワークシステムにアクセスして、このシステムから国税庁や地方自治体のデータベースを呼び出してデータを取得し、必要な処理をする。

アクセスする正当な理由が必要なので、アクセスできる権限を持つ人以外はデータを要求できないし、業務に関係ない理由ではデータ提供を要求できない。また、だれが、いつ、どの番号のデータをどういう理由で取得したか、電子的な記録が残る。この記録を、個人個人に準備される「マイナ・ポータル」で確認できるので、自分のデータがどのように利用されたかを確認できる。不当な取得があればクレームをして、適切な対応をさせることができる。自分の情報を自分で監視し、不当な利用を排除できる、つまり、自己コントロール権が確立する。

また、税や社会保障、災害関係以外でマイナンバーを取得することは法律で禁じられており、違法行為には個人に対して厳罰（直罰）が課せられることになった。マイナンバーとセットになった個人情報（特定個人情報と呼ぶ）を複製したり、流出させればその当事者には厳罰が待っている。企業の管理が不十分ならば企業にも厳罰が科せられる。マイナンバーとセットになった特定個人情報については、流出を防ぐために罰則規定を用意している。

個人情報保護法では、情報を盗んだり、流出させても、直接に処罰する規定はない。昨年のベネッセの事件でも情報を持ち出した技術者は「不正競争防止法違反（営業秘密の複製）」で逮捕されたが、「情報流出罪」「情報窃盗罪」などがないために苦肉の策で立件せざるを得なかったが、マイナンバー制と同時に、マイナンバーとセットになる情報には「情報流出」や「情報複製」はそれだけで刑事罰に処せられることになる。個人情報保護法よりはるかに強い制度でマイナンバーは守られるのである。


【筆者＝JAPiCO理事長　中島洋】
＊本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
＊Japan Foundation for Private Information Conservation Organization