高木浩光＠自宅の日記

■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する？

愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。

愛南町では今後、5月21日（予定）から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。

愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日

「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されている手続き（住民基本台帳法第30条の3）であるし*1、希望する者には応じると言っても、変更する必要性に理解が及ばない住民は希望を出すはずもない。

これはおかしいと思ったので、全部取り替える予定が本当にないのか、愛南町に確認すべく電話したところ、概ね*2以下のような内容のやりとりとなった。

私: Winnyへの流出事故で住民票コードも流出したとのこと。住民票コードを全部付け替える措置はとらないのですか？

町: 変更を希望する住民については変更を受け付けている。

私: 希望すれば変更してもらえるのは元々用意されている制度ですよね。希望のあった住民についてだけ変更するといっても、変更する必要性を住民が自発的に思い付けるかという疑問がある。

町: 総務省に相談したところ職権で取り替えるのは適切でないとのこと。全部取り替えると、住基カードを使用している住民の住基カードが全部無効になってしまう。住基カード利用者に対してまで職権で変更するのは適切でない。

私: しかし、報道で「住民票コードの変更を希望する場合は速やかに手続きする」と伝えられているように、住民票コード変更の必要性というものは存在するのですよね？ どのような危険性を想定して「速やかに応じる」としているのですか？

町: 住民票コードから個人が特定されることはない。

私: え？ 意味がわからないのですが、今回流出したことによって、住民票コードからの個人特定が可能になったのではありませんか？

町: 住民票コードだけからでは個人を特定することはできない。

私: いや、ですから、今回の流出では、住所氏名等と住民票コードとが一人毎にペアになった一覧表が漏れたのですよね？ まさか、住所は住所、氏名は氏名、住民票コードは住民票コードで別々に独立な塊のデータだったとか、そんなわけはないですよね。だから、住民票コードからの個人特定が誰にでも可能になったのではありませんか？

町: 住民票コードは行政機関以外では使われていないので、問題ない。不安に感じた住民については変更を希望してもらっているが、希望者はごく僅か。

私: いやちょっと待ってください。まずひとつひとつ論点を確認していきましょう。さきほど、「住民票コードから個人は特定されない」とおっしゃったのは誤りだった、取り消すということでよろしいですか？

町: ……。行政機関以外では住民票コードが使われることがないので、住民票コードがあっても意味を成さない。

私: 民間での利用は禁止されていますからね。それはわかりますよ。では、行政機関に対しての使用はどうですか？ 住民票コードは本人確認情報として取り扱われているわけですよね。住民票コードがなかった時代と比べて、住民票コードの記載を条件に手続きを簡略化した行政手続きがありますよね（後述）。住民票コードは言わばパスワードとして用いられているわけで、これが流出したということは、行政手続きに対するなりすましのセキュリティリスクが新たに生じているのではありませんか？

町: 明日もう一度総務省に確認する。

私: そのリスクについて住民が理解していると思いますか？ リスクを理解していなければ、自ら変更の請求を出すはずがないわけですが。

町: 今日はこれ以上答えない。

私: 住基カードを無効化して住民に不便をかけることが問題であるなら、「住基カード保有者のうち変更しないことを希望した人だけ変更しない」「それ以外は全部付け替える」という選択もあるはずで、そちらが正しい措置ではありませんか？

町: 今日はこれ以上答えない。

私: このような事態における対応の規定はないのですか？

町: 今日はこれ以上答えない。

念のため総務省自治行政局市町村課にも電話で取材した。担当の方とお話ししたところ、各市町村で判断することであって総務省が指導する立場にはないとのことで、総務省の見解はないとのことだった。規定もないということのようだ。

住民票コードの記載を条件に本人確認手続きを簡略化した行政手続きとしては、例えば以下などがある。

• 年金の裁定請求等における住民票コードの利用について, 社会保険庁, 2003年

  一部の手続きにおいて、住民票コードを記載していただくことで市町村長の証明書等の提出を省略できるようになりました。

  （略）これにより、一部の手続については、住民票コードをご記入いただくことで、本人確認情報を証明する市町村長の証明書等（戸籍抄本や住民票の写し等）の添付が省略できます。（略）

  住民票コードについては、申請書・届書の余白部分にご記入いただくか、住民票コードをご記入いただいた用紙を申請書・届書に添付していただくようお願いします。

  なお、住民基本台帳カードをお持ちいただいても、住民票コードが券面表記されておらず、社会保険事務所等では住民票コードを確認することができませんので、市町村長から通知された住民票コードのご記入をお願いします。

朝日新聞報道によると、町長が次のように述べたとされている。

• 全住民の情報流出、２万８千人約１４万件に 愛媛・愛南, 朝日新聞, 2007年5月18日

  谷口長治町長は「住民の不安を解消するため、職員を全戸に説明に回らせる。町民が住民票コードの変更を希望する場合は速やかに手続きし、流出させた業者への法的措置も検討したい」と述べた。

「住民の不安を解消するため」に職員がして回る説明とは、ようするに、「住民票コードから個人が特定されることはありません」だとか、「住民票コードは行政機関以外では使われていないので問題ありません」とかいう説明なのだろうか。

説明しても理解しない住民が「不安がる住民」であり、そういう人達についてだけ変更を受け付けておけばいいと。そういうことだろうか。

■ 追記

上の電話のやりとりの記録は脚注にも書いたように表現のニュアンスまで再現したものではない。先方がこのような口調で述べたわけではなく、このような内容の発言があったという程度の意味である。「住民票コードから個人が特定されることはない」という趣旨の発言はあったし、「行政機関以外の手に住民票コードが渡っても意味を成さない」という趣旨の発言も確かにあった。

なぜこのような誤った思考を招いてしまうのか。

憶測するに、櫻井よしこ氏に代表される住基ネット反対運動の「牛は10桁、人は11桁」といった情緒的なやり口に辟易させられ続けたために、反射的に「住民票コードから個人が特定されることはない」「住民票コードは行政機関以外では使われないので問題ない」と反応するシナプスが出来上がってしまっているためではなかろうか。つまり、「住民票コードが漏れたくらいで不安がる住民 ＝ 櫻井よしこレベル」という図式が出来上がっているのではないか。

さて、改めて考えてみるに、行政機関に対して住民票コードを本人確認情報（パスワード）として使用する手続きの存在が、この漏洩事故の危険度をどの程度のものにしているだろうか。

上に挙げた社会保険庁の例では、本人確認情報を証明する市町村長の証明書等の添付を省略できる手続きは、一部の手続きに限定されているようだ。これが何のために限定されているのかは知らない。つまり、仮になりすまし申請が行われても住民に大した被害が出ないような手続きに限定されているのかどうかだ。

もし、現状で、そのような省略が認められた手続きがごく僅かしか存在せず、いずれも大した実害のないものであるのならば、役所の方が言うように、「住民票コードが流出しても問題ない」という理屈を立てることが可能なのかもしれない。

たしかに、Web検索で調べた限り、住民票コードで本人確認とする手続きは他に見当たらなかった。おそらく、電波系サヨク運動家らの住基ネット反対運動のせいで、住民票コードの利活用を拡大することが抑制され、限定的なものに止められているためではないだろうか。

そうすると次のことが重要となる。

もし、今回の事故で、住民票コードの全取替えを行わないのが妥当とする判断（他の行政機関手続きに対するリスクは十分に小さいという理由による判断）が確定するならば、今後、新たに住民票コードを利活用する手続きをどこかの行政機関が追加する際には、愛媛県愛南町の住民（および元住民等）の住民票コードは公開状態にあることを前提にしなければならない。

つまり、住民票コード利活用の発展はもう見込めないということだ。電波系サヨク運動家の思う壺ではないか。それを避けるためには今回流出した住民票コードを全部付け替えるしかない。