情報連携ネットワークにマイナンバーを流しちゃいけないのか
昨日は、通常の親が付ける名前と、役所が付ける名前(マイナンバー)があると考えて、公的手続にはマイナンバーを使ってもらえば良いと書いた。マイナンバーが流通することがイコール個人(属性)情報が漏洩することではないとも書いたつもり。しかし、国が考えているシステムはそう単純ではない。
システムを見てみよう。
情報連携のリクエストは各機関別の符号を使い、マイナンバーを使わないことになっている。つまり異なる機関間では使っている符号が違い、機関Aが機関Bに情報連携する場合は、機関Aの符号で要求が出され、それをコアシステムが機関Bの符号に変換(*1)してから、機関Bへ伝達することになる。
情報連携ネットワーク上はマイナンバーを流通させないというコンセプトで作られている
マイナンバーは個人を決定的に特定できるタテマエだから、特定個人情報(マイナンバー付き個人情報)は簡単に名寄せができる(というかそれがマイナンバーの目的)。
各機関はもとよりだが、民間企業でも従業員等のマイナンバーは捕捉しているからネットを流れる特定個人情報を取得したら名寄せはできる。それを防止するため、マイナンバー自体が流れないようにするという趣旨である。
マイナンバー自体は秘密じゃないとしても、属性情報にマイナンバーが付属することが危険、これはわかる。しかし、これは属性情報へのアクセスを止めれば良いことであって、マイナンバー自体を流通させないということまで必要だろうか。
この目的だったら、暗号化して送る方法も考えられる。
機関Aが機関Bにマイナンバー付きリクエストを発信する際、Bの公開鍵で暗号化して伝達する
というシンプルな方法ではだめなのだろうか。
当然、国も考えたようだ。単純な暗号化だけでは、暗号が解読されるとマイナンバーが見える。現在のシステムは、万一暗号が解読された場合でもマイナンバーが人目に曝されることがないようにしたというわけだ。(なお、本当に解読できるならネットワーク・セキュリティは根底から崩れ、公的個人認証なども破綻する。考えられるのは秘密鍵の漏洩だろう)
また、副次的効果として、機関AからBへの情報が機関Bにしか読めないよう暗号化されているなら、さらに各機関とコアシステムの間はマイナンバーでなく符号で送る(効果は暗号化と同様)、とすれば二重に保護される(二重封筒)ことになる。
(なお、二重封筒にするかどうかははっきりしない。しかしコアシステムが機関AからBへの情報を読めるとすると、マイナンバーのあるなしに関わらず、コアシステムとしては越権行為のように思う。)
思うに、これだけ凝ったことをするのは、「勝手な名寄せさせない」を説明するために、マイナンバーは流通させないと言う必要があったからだろう。
なるほど、たしかに、良くできている、大変技巧的。だけど、複雑すぎる仕掛けは破綻しやすいとも思うし、コアシステムが新たなセキュリティ・バイオレーションのターゲットになる可能性もあるのでは。
情報連携ネットワーク外では流通する可能性の高いマイナンバーが、このネットワーク上では流れないというのはものすごい逆説だ。
また、やはり、経費が高すぎるのではないだろうか。それにこのシステム、住基ネットワークの存在が前提になっており、住基の改修でさらに経費が必要となることはあっても、住基ネットワークを廃止することはできない。コストはマイナンバーだけではないのだ。(マイナンバーを流通させれば住基ネットワークが要らなくなる可能性が高いと思う)
昔、住民基本台帳ネットワーク反対グループの方が次のように話していたことを思い出す。
「われわれはネットワークのセキュリティを問題にしているのではない。専用ネットワークを使わなくても、暗号技術を使えばインターネットでも安全な通信はできるはずだ。このネットワークに何百億円もかける値打ちがあるのか。われわれが求めているのは自己情報コントロール権である。」
そもそも、ネットワークからの漏洩の危険より、各機関での漏洩の危険のほうが大きいとも思える。それに、もし情報連携でなにか問題が起こったとき、機関AとBの間で電話やメールで「マイナンバー○○○の人の情報ですが」といったやりとりが、権限ある範囲すなわち業務上必要な範囲でだが、ありそうな気がする(それはやっていいのでしょうか?)。
マイナンバーが無くても、名寄せはいろんなところで行われている、これは止めようがない。
米国SSNの失敗は、SSNを知っていることをもって本人認証したことが原因と分析されているようだが、そんな子供でもわかる話ではなく、SSNによる名寄せが起こした問題などの調査はないのだろうか。(ドラマにはありそう、CIAとかが使ってひどいことになるなど)
多くの場合、セキュリティの議論は、何を守るかを忘れたところで行われる。
なぜなら、何を守るかという本質的な部分を明らかにすることができない(あるいはしたくない)からだ。
システムを見てみよう。情報連携のリクエストは各機関別の符号を使い、マイナンバーを使わないことになっている。つまり異なる機関間では使っている符号が違い、機関Aが機関Bに情報連携する場合は、機関Aの符号で要求が出され、それをコアシステムが機関Bの符号に変換(*1)してから、機関Bへ伝達することになる。
情報連携ネットワーク上はマイナンバーを流通させないというコンセプトで作られている
マイナンバーは個人を決定的に特定できるタテマエだから、特定個人情報(マイナンバー付き個人情報)は簡単に名寄せができる(というかそれがマイナンバーの目的)。
各機関はもとよりだが、民間企業でも従業員等のマイナンバーは捕捉しているからネットを流れる特定個人情報を取得したら名寄せはできる。それを防止するため、マイナンバー自体が流れないようにするという趣旨である。
マイナンバー自体は秘密じゃないとしても、属性情報にマイナンバーが付属することが危険、これはわかる。しかし、これは属性情報へのアクセスを止めれば良いことであって、マイナンバー自体を流通させないということまで必要だろうか。
この目的だったら、暗号化して送る方法も考えられる。
機関Aが機関Bにマイナンバー付きリクエストを発信する際、Bの公開鍵で暗号化して伝達する
というシンプルな方法ではだめなのだろうか。
当然、国も考えたようだ。単純な暗号化だけでは、暗号が解読されるとマイナンバーが見える。現在のシステムは、万一暗号が解読された場合でもマイナンバーが人目に曝されることがないようにしたというわけだ。(なお、本当に解読できるならネットワーク・セキュリティは根底から崩れ、公的個人認証なども破綻する。考えられるのは秘密鍵の漏洩だろう)
また、副次的効果として、機関AからBへの情報が機関Bにしか読めないよう暗号化されているなら、さらに各機関とコアシステムの間はマイナンバーでなく符号で送る(効果は暗号化と同様)、とすれば二重に保護される(二重封筒)ことになる。
(なお、二重封筒にするかどうかははっきりしない。しかしコアシステムが機関AからBへの情報を読めるとすると、マイナンバーのあるなしに関わらず、コアシステムとしては越権行為のように思う。)
思うに、これだけ凝ったことをするのは、「勝手な名寄せさせない」を説明するために、マイナンバーは流通させないと言う必要があったからだろう。
なるほど、たしかに、良くできている、大変技巧的。だけど、複雑すぎる仕掛けは破綻しやすいとも思うし、コアシステムが新たなセキュリティ・バイオレーションのターゲットになる可能性もあるのでは。
情報連携ネットワーク外では流通する可能性の高いマイナンバーが、このネットワーク上では流れないというのはものすごい逆説だ。
また、やはり、経費が高すぎるのではないだろうか。それにこのシステム、住基ネットワークの存在が前提になっており、住基の改修でさらに経費が必要となることはあっても、住基ネットワークを廃止することはできない。コストはマイナンバーだけではないのだ。(マイナンバーを流通させれば住基ネットワークが要らなくなる可能性が高いと思う)
昔、住民基本台帳ネットワーク反対グループの方が次のように話していたことを思い出す。
「われわれはネットワークのセキュリティを問題にしているのではない。専用ネットワークを使わなくても、暗号技術を使えばインターネットでも安全な通信はできるはずだ。このネットワークに何百億円もかける値打ちがあるのか。われわれが求めているのは自己情報コントロール権である。」
そもそも、ネットワークからの漏洩の危険より、各機関での漏洩の危険のほうが大きいとも思える。それに、もし情報連携でなにか問題が起こったとき、機関AとBの間で電話やメールで「マイナンバー○○○の人の情報ですが」といったやりとりが、権限ある範囲すなわち業務上必要な範囲でだが、ありそうな気がする(それはやっていいのでしょうか?)。
マイナンバーが無くても、名寄せはいろんなところで行われている、これは止めようがない。
米国SSNの失敗は、SSNを知っていることをもって本人認証したことが原因と分析されているようだが、そんな子供でもわかる話ではなく、SSNによる名寄せが起こした問題などの調査はないのだろうか。(ドラマにはありそう、CIAとかが使ってひどいことになるなど)
多くの場合、セキュリティの議論は、何を守るかを忘れたところで行われる。
なぜなら、何を守るかという本質的な部分を明らかにすることができない(あるいはしたくない)からだ。
(*1) 符号変換
符号変換はコアシステムが各機関それぞれの符号に対応する「統一コード」を持っていないと難しい(統一コードが無いと、相対で変換することになる。2000機関あるとして、2000×2000=400万種類の対応関係)。この統一コードには住基コードが使われるようだ。
素直に考えればこれをマイナンバーにすれば良いのだが、マイナンバーは流通させないという縛りがあるから、住基コードを使うのだろう。住基コードは社会一般には流通しないタテマエだから万一漏洩しても、民間企業等はこれを使って名寄せすることはできないという理屈。
なお、住基コードを使う場合、直接、情報連携に参加する(すなわち符号をもらえる)機関は住基コードを持っていなければならない(法改正)。通常の組織はマイナンバーは持っていても住基コードは持っていないから、今後、情報連携を民間等へ拡大する場合、マイナンバーと住基コードを対応させる機関を介することになるだろう。
- 関連記事
-
- SoftBankの4Gサービス (2014/10/04)
- 2045年問題 (2014/10/01)
- 住基コード取得済通知 (2014/07/31)
- AKB48.tokyo (2014/07/30)
- SIMロック解除義務化 (2014/07/01)
- 地理的名称トップレベルドメイン (2014/06/30)
- 情報連携ネットワークにマイナンバーを流しちゃいけないのか (2014/06/27)
- マイナンバーとSSN (2014/06/26)
- 電子証明書の有効性 (2014/06/04)
六二郎。
