第81回 マイナンバーでの年金情報管理は信頼性が高まる
マイナンバー制度が確立するきっかけになったのは07年の「消えた年金」だった。番号を共通化していなかったために対象の年金が変更されるごとに番号が変わり、同一人の特定ができず、支払い者の年金記録は分散して保管され、結局、年金番号の違う加入者の記録を結びつけることが難しかった。その反省から、共通番号制として税と社会保障に限って、まず、スタートしようというのがマイナンバー制度だった。「社会保障」が真っ先に入ったのは、マイナンバー制度制定の原動力になったのが、年金問題だったからだ。
それが、今回、肝心の年金事務を扱う機関のセキュリティ対策が脆弱であることが分かったということで、年金情報の取り扱いについて不安が生じている。実際、「このままではマイナンバーを適用して良いのかどうか」と、疑問を呈する向きも多くなっている。
もちろん、セキュリティ対策に欠陥を露呈した年金情報システムを放置しておけないので、セキュリティ強化の改修を行わなければならない。しかし、報道では、それがマイナンバー制度の脆弱性でもあるかのようにコメントしているケースもあるが、これはマイナンバー制度にいついての根本的な誤解である。
年金情報にマイナンバーが付けられているものが盗まれたとしても、マイナンバーが付けれていることで、付けられる以前と被害の程度が変わるものではない。「マイナンバーが付いていれば被害がもっと広がっていた」というような印象を持たせる解説はまったくの誤まりである。
仮にマイナンバーがついた個人の年金情報が洩れたとしても、マイナンバーがついていない状態で盗んだのと同じように悪用するしかない。個人になりすまして銀行口座番号を変更して、口座の預金を詐取するとしても、これはマイナンバーがあってもなくても同じことで、マイナンバーで事態が悪化するわけではない。
むしろ、マイナンバー制度が普及すれば、安心になる。マイナンバー制度の仕組みでは、年金情報に付けるマイナンバーが流出しても、これを使って、たとえば税金情報を引き出すようなことはできないからだ。年金情報を保管するシステムと税金情報を保管するシステムは全く別のシステムで、これを突合するには、情報提供センターという中継センターを介してしかできない。情報提供センターにアクセスするには、厳格なアクセス者の権限の証明が必要で、しかも、そのアクセスは記録される。それも突合するたびごとに中継するための接続情報は変更されるので、1度しか使えない。2重、3重に接続については厳重なカギがかかっているのである。
たとえば、税金情報にも同じマイナンバーが付いているが、マイナンバーをキーに税金情報にアクセスしようとしても、情報提供センターにアクセスしなければならないので、不可能である。アクセス権のない人物がアクセスしようとした痕跡が残るので、追跡して不審な行動を詰問されることになる。そこで本人以外のマイナンバーを所有し、行使しようとしたので、マイナンバー法では、厳重な処罰が科せられることになる。
個人情報保護法では、違反しても、個人情報を保管していた企業などの組織がまず、主務大臣から行政指導を受け、その指導に従わない時には初めて刑事罰が科せられる仕組みだ。情報を盗んだ側には、「情報窃盗罪」などの法律がないので、直接に罰せられることはない。ベネッセの事件でも、USBメモリーで会員情報を盗んだ協力会社の社員は、「営業妨害」で訴追されている。現在の個人情報保護法を含めて現在の法体系では、情報を盗んだこと自体は犯罪にならない。訴追する際には、犯罪に問える罪状を編み出してようやく裁判にもっていった。ただし、会員情報を盗んで名簿業者に売却したことが、ただちに「営業妨害」に結びつくかどうか、直接の因果関係を証明することは難しい。もしかすると、無罪になるかもしれない。
しかし、マイナンバー法では、マイナンバーを含む個人情報を社会保障と税、今後、法律で定める分野以外に利用するのは、盗んだ当人は直ちにマイナンバー法違反として刑事罰に処される。盗まれた法人も主務大臣の行政指導抜きで、直ちに処罰されることになる。個人情報保護の規定はマイナンバー制度の方がずっと厳重なのである。
刑事罰を含む、データベース窃盗罪も制定され、マイナンバー制度の施行とともに、個人情報を保護する仕組みは極めて厳重になったのである。
年金機構の事件がマイナンバー付きの情報を盗んだとしたら、犯人は厳罰を覚悟しなければならない。現在は、コンピューター不正アクセス禁止法でサイバー攻撃を罰することはできても、情報については処罰規定がない。早くマイナンバーを施行して、罰則規定がない状況から、罰則規定を適用できる状況に移行してもらいたい。
年金機構の危機意識の希薄な現状は早急に改めてもらわなければならないが、マイナンバーは危険であるという、見当はずれの議論になってはいけない。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization
それが、今回、肝心の年金事務を扱う機関のセキュリティ対策が脆弱であることが分かったということで、年金情報の取り扱いについて不安が生じている。実際、「このままではマイナンバーを適用して良いのかどうか」と、疑問を呈する向きも多くなっている。
もちろん、セキュリティ対策に欠陥を露呈した年金情報システムを放置しておけないので、セキュリティ強化の改修を行わなければならない。しかし、報道では、それがマイナンバー制度の脆弱性でもあるかのようにコメントしているケースもあるが、これはマイナンバー制度にいついての根本的な誤解である。
年金情報にマイナンバーが付けられているものが盗まれたとしても、マイナンバーが付けれていることで、付けられる以前と被害の程度が変わるものではない。「マイナンバーが付いていれば被害がもっと広がっていた」というような印象を持たせる解説はまったくの誤まりである。
仮にマイナンバーがついた個人の年金情報が洩れたとしても、マイナンバーがついていない状態で盗んだのと同じように悪用するしかない。個人になりすまして銀行口座番号を変更して、口座の預金を詐取するとしても、これはマイナンバーがあってもなくても同じことで、マイナンバーで事態が悪化するわけではない。
むしろ、マイナンバー制度が普及すれば、安心になる。マイナンバー制度の仕組みでは、年金情報に付けるマイナンバーが流出しても、これを使って、たとえば税金情報を引き出すようなことはできないからだ。年金情報を保管するシステムと税金情報を保管するシステムは全く別のシステムで、これを突合するには、情報提供センターという中継センターを介してしかできない。情報提供センターにアクセスするには、厳格なアクセス者の権限の証明が必要で、しかも、そのアクセスは記録される。それも突合するたびごとに中継するための接続情報は変更されるので、1度しか使えない。2重、3重に接続については厳重なカギがかかっているのである。
たとえば、税金情報にも同じマイナンバーが付いているが、マイナンバーをキーに税金情報にアクセスしようとしても、情報提供センターにアクセスしなければならないので、不可能である。アクセス権のない人物がアクセスしようとした痕跡が残るので、追跡して不審な行動を詰問されることになる。そこで本人以外のマイナンバーを所有し、行使しようとしたので、マイナンバー法では、厳重な処罰が科せられることになる。
個人情報保護法では、違反しても、個人情報を保管していた企業などの組織がまず、主務大臣から行政指導を受け、その指導に従わない時には初めて刑事罰が科せられる仕組みだ。情報を盗んだ側には、「情報窃盗罪」などの法律がないので、直接に罰せられることはない。ベネッセの事件でも、USBメモリーで会員情報を盗んだ協力会社の社員は、「営業妨害」で訴追されている。現在の個人情報保護法を含めて現在の法体系では、情報を盗んだこと自体は犯罪にならない。訴追する際には、犯罪に問える罪状を編み出してようやく裁判にもっていった。ただし、会員情報を盗んで名簿業者に売却したことが、ただちに「営業妨害」に結びつくかどうか、直接の因果関係を証明することは難しい。もしかすると、無罪になるかもしれない。
しかし、マイナンバー法では、マイナンバーを含む個人情報を社会保障と税、今後、法律で定める分野以外に利用するのは、盗んだ当人は直ちにマイナンバー法違反として刑事罰に処される。盗まれた法人も主務大臣の行政指導抜きで、直ちに処罰されることになる。個人情報保護の規定はマイナンバー制度の方がずっと厳重なのである。
刑事罰を含む、データベース窃盗罪も制定され、マイナンバー制度の施行とともに、個人情報を保護する仕組みは極めて厳重になったのである。
年金機構の事件がマイナンバー付きの情報を盗んだとしたら、犯人は厳罰を覚悟しなければならない。現在は、コンピューター不正アクセス禁止法でサイバー攻撃を罰することはできても、情報については処罰規定がない。早くマイナンバーを施行して、罰則規定がない状況から、罰則規定を適用できる状況に移行してもらいたい。
年金機構の危機意識の希薄な現状は早急に改めてもらわなければならないが、マイナンバーは危険であるという、見当はずれの議論になってはいけない。
【 筆者=JAPiCO理事長 中島洋 】
*本コラムは、個人情報管理士、認証企業・団体サポートの一環として配信されている「JAPiCO」メールマガジンからの抜粋です。
*Japan Foundation for Private Information Conservation Organization