長妻議員が指摘した年金機構に寄せられた情報漏洩メール

17日の衆院予算委員会で、立憲民主党の長妻昭議員が年金機構の法令等違反窓口に具体的な個人のマイナンバー番号と配偶者の氏名・年間所得額が漏洩しているとのメールが寄せられたという問題について、年金機構理事長である水島 藤一郎(みずしま とういちろう)氏に質問した件について、大きな話題になっているようですので、マイナンバー情報の流出の危険性や想定被害について確認しておきます。

年金機構理事長の回答

メールで寄せられた情報は実データなのか?そして、情報の流出経路は?の問いに対して、水島年金機構理事長は以下のよう回答しました。

「メールが来たのは事実」

「流出経路しているかは、確認していない。」

「盗まれたのかも、わからない。」

「(メールで送られてきた)情報の内容は正しいです。」

メールで送られてきた情報が正しいと言うことですので、外部から指摘のあった情報は外部に漏洩している。情報漏洩があったと考えるのが妥当なようです。

過去に発生したマイナンバー情報漏洩事件

マイナンバー情報は過去にも情報漏洩事件を起こしています。

まだ記憶に新しい2018年12月14 日、国税局は源泉徴収票等のデータ入力業務委託先である某JASDAQスタンダード上場会社に業務委託したところ、再委託した会社からマイナンバー情報を含む個人情報が約70万件流出した事件です。

2020年6月にマイナンバーと銀行口座の紐づけ義務化に向けて取り組む総務省

総務省は、2020年6月にマイナンバーと銀行口座の紐づけ義務化に向けて取り組むことを明らかにしています。

また、同月には自民・公明・維新の共同提案により、「特別給付金等の迅速かつ確実な給付のための給付名簿等の作成等に関する法律案」が国会に提出されています。これもマイナンバーと銀行口座の紐づけを推進する為の法整備のひとつです。

さらに、政府はマイナンバーと運転免許証の一体化を当初予定していた2026年中の開始から2024年度末の一体化実現を目標とすることを発表しました。菅総理はマイナンバーカードを柱に据えたデジタル改革を掲げているようですね。

今後は、マイナンバーには住民票コードを変換した12桁の番号に加え、氏名や配偶者の収入?などの個人情報、銀行口座情報、そして自動車運転免許など巨大な個人情報の固まりが集約されてくることになります。

マイナンバーは便利なの?安全なの?

マイナンバーカードには賛否両論があり、様々な意見が飛び交っていますが、個人的には、運転免許も銀行カードもクレジットカードも財布の中に収納されていますので、それが別々のカードになり嵩張っている現状が一枚のカードになりすっきりすることは非常に有難いと思っいつつ、マイナンバーカードの発行が手間がかかるということで未だマイナンバーカードは発行していません。(;^ω^)

また、今回問題になったようにマイナンバーカードの管理・取り扱いによるセキュリティの甘さから情報漏洩されるリスクがあることも承知していますし、そもそも情報漏洩は頂けません。

マイナンバー情報漏洩による想定被害

では、マイナンバーに集約された情報が漏洩した場合、どれだけの被害が想定されるのか、リスクがあるのかを想定する為に被害を考えてみます。

マイナンバーは、そもそもの目的が「名寄せ」である為、もともとある12桁の番号が仮に流出しただけは被害が発生することはありません。但し、そこに個人を特定することができる身分証明書としての効力が発生することで、「個人情報の売買」「マイナンバーカード所有者へのなりすまし」といったリスクが発生することになります。

名寄せ(なよせ)とは

名寄せ(なよせ)とは、もともとは金融機関業務の通称で、複数の口座を持つ人々の情報を統合し、同一顧客の口座情報を一元管理することでしたが、いつしかITの世界では、いくつもあるシステム上に存在するデータを統合する意味で使われるようになりました。レプリ、レプリで重複データが大量に肥大化してしまったデータは重大なミスを引き起こす要員になってしまいますので、名寄せしましょうということになります。

なりすましによって想定される被害は様々です。マイナンバーカードとそれに含まれる個人情報を不正に利用することで悪意ある第三者が様々な行政手続きを行えるようになってしまいますし、また、個人の身分証明書に紐づけられた銀行情報は、不正な送金等の被害につながってしまうことあるでしょう。

その他、住民票や戸籍の入手・変更、背乗り(はいのり)、印鑑登録の実印の変更、婚姻届け、銀行口座開設、ECサイトでのショッピング、金融機関からの借り入れ等々、様々な被害が考えられます。

一度決まったら一生変更できないマイナンバー

以前、何者かによって私が所有するクレジットカードで十数万円の決済がいつの間にか行われていたということがありました。

使った記憶の無い金額と会社名が記載されたクレジット明細を見て、不審に思い、クレジットカード会社に連絡をしたところ、同会社のクレジットカードを所有している第三者が誤って私のクレジットカード番号を保険契約の支払いをネット経由で行う際に入力してしまい、そのままクレジット決済が通ってしまったということでした。

「セキュリティコードの入力で防ぐことができるのでは?」とクレジットカード会社の窓口の方に尋ねたところ、「当社のクレジットカード決済はセキュリティコードの入力を行わなくても決済が通ってしまうのです。。」と言われて仰天したことがあります。。

結局、そのままにしておくのも気持ちが悪いので、再発を防ぐ意味でクレジットカードの番号を変更してもらうことで決着したのですが、、何とも気持ちの悪い思い出となってしまいました。

さて、クレジットカードの番号は、何かあれば変更してもらうことができますが、マイナンバーは原則一度決まってしまった番号を変更することはできません。ということは万が一、紛失や情報漏洩によって第三者にカード情報が渡ってしまう場合は、一生そのリスクと付き合い続けなければならないことを意味しています。

一枚のカードに統合するのが良いのか、複数のカードで分散管理するのが良いのか、今のところマイナンバーカードにすべてが集約される訳ではありませんので、発行しつつ政府・省庁の対応をマイナンバーを利用する一員として、しっかりと意見しつつも見守っていくのがベストなのかもしれません。

さて、外国企業への委託やデジタル庁への外国人採用など情報の取り扱いやセキュリティリテラシーに問題があるのでは?と指摘されている日本国のDX。。さて、この問題はどこに落ちていくのでしょうか。今後の行く末の見守りたいと思います。

今日も一日頑張りましょう!