俺、実は今日が誕生日なんだ……。
僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。
先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。
これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決すべきことであって、本来は、利用者に重大な注意義務が課されるような社会は間違っている。私はそのように述べた。
類似の話は10年前、Webアプリの脆弱性を巡ってもあった。2002年1月に出版された「セキュリティマガジン」(翔泳社)第2号で、「危険なサイトから身を守れ 個人情報を漏洩するサイトを見極めるには」という記事が書かれたが、この中で私は、クロスサイト・スクリプティング(XSS)脆弱性を解説しつつ、「使用を終えたらログアウトするようにし、ログイン中に他のサイトを見に行かない」という、利用者側の対処策を示してる。しかし、今ではこんなアドバイスはしない。
当時はそう言わざるを得ない状況があった。事業者らの間に、脆弱性は直すのが当然という空気はなく、放置されっぱなしの状況であった。今ではそうではないだろう。脆弱性は直すものという文化は、この10年で醸成されてきたと思う。
この歴史を振り返ると、利用者側の自衛策が強調されすぎると、それを事業者側が脆弱性を直さない言い訳に使い出すという現象がしばしば見られた。例えば、10年前では、Internet Explorerに脆弱性が発見されたときに、Microsoftは、それを直さない理由として「怪しいサイトに行かなければいい」という主張をすることがあった。今はもうそんなことは言わないだろう。
ネットで生年月日を晒さないようにというアドバイス*4が出回るようになったのは、誰が始めたものなんだろうか。先日のPASMOの件でも、パスモ社の「停止センター」の係員*5は、生年月日や電話番号をFacebookなどに載せることについて、「それは申し訳ございませんが、もう、ご自身での個人情報の取り扱い責任となりますので」と言った。
パ: (略)パスモとしては、こういったマイページ、会員登録というサービスをご提供している以上、会員登録できてしまうような情報をすべて、お客様が皆様が閲覧できるような場所にお載せしてしまっている場合には、それ以降の他者に閲覧されてしまったことについて、私どもとしてはちょっと責任を負いかねてしまうんですけども。
ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか, 2012年2月26日の日記
まるで匿名主義者達のような言い草だ。
その後パスモはこのサービスを停止することになるが、これを伝えたINTERNET Watchの記事も、最後のところで、次のように利用者向けのアドバイスをしている。
なお、PASMO以外の他の地域で提供されている交通系ICカードでも、インターネットで履歴を照会できるサービスを提供しているところも多い*6。カード保有者は、使っているサービスの仕様を確認しておいたほうがいいだろう。また、カード番号を他人に知られることのリスクを認識し、自身のカードをしっかり管理する必要がある。
この手の記事では最後に利用者の自衛策を紹介するのが定石とはいえ、利用者の自衛策として隠すことを教えるというのは、事業者が利用者に責任を擦り付け、ずさんなサービスを続ける言い訳を許すことになる。カード記載のID番号を隠すのが当然という空気になれば、そういうずさんなサービスを今後もさらに増やすという事態になるだろう。
そんなふうにID番号を隠さなければならないというのは、そういう社会の方が間違っている。(ただしクレジットカードだけは別格。)
このことは、今まさに法案が提出されたばかりの、税と社会保障の番号制度で導入されようとしている「個人番号」にも共通することである。
同じ性質の番号として既に住民票コードがある*7わけだが、住基ネットが開始された2002年当時、住民票コードを本人に通知するための葉書について、番号が透けて見えるとする苦情が相次いだという報道があった。
住民基本台帳ネットワークシステム(住基ネット)で、住民票コードを通知するはがきの番号が透けて見えるとの苦情がやまない。隠したはずの番号が、光線にかざすと透けて見えるという通知はがきは、相当な数に上っているようだ。しかし、自治体の大半は「郵便局員しか見ない」と特別の対策を取らない方針で、個人情報保護をめぐる自治体の意識の低さを問う声も出ている。
住民票コードはこのように、隠さないと危ないという世論が先行したが、いったいなぜ隠さなければならないのか。
もし、住民票コードが、パスモの今回のケースのように、本人確認の鍵として使われているサービスがあるのであれば、住民票コードを秘密に保って死守しないといけない(クレジットカード番号のように)が、そういうサービスが存在するのか否か。10年前に住民票コードが透けて見えると騒いでいた人たちは、なぜ隠す必要があると思ったのか。
このことは、これから始まろうとしている行政番号制度の「個人番号」にも問われることとなる。今回の「個人番号」は、納税者番号として用いるものであるため、「見える番号」とも言われる*8ように、本人が頻繁に紙に書いて使うことが想定されている。鍵として秘密に保つことは不可能なものである。
この行政番号制度の法案に「強く反対する」と会長声明を出した日本弁護士連合会は、その声明で、「「なりすまし」などのプライバシー侵害*9が多発する可能性が予想される」と非難している。日弁連は、昨年7月の「社会保障・税番号大綱に関する意見書」で次のように指摘していた。
「共通番号」制度が先行しているアメリカや韓国における共通番号制の弊害面(個人情報の統合やなりすまし被害など)について大綱においてようやく言及がなされたが(14〜15頁)、弊害が生じた理由やその対応策・実効性などについて、政府はいかなる調査・検討を行っているのか定かでない。大綱では、具体的な調査・検討の形跡が見られないが、そのような段階で「共通番号」制を検討することは、将来的に重大な被害をもたらすおそれが極めて高い。
セキュリティレベルを高めれば、アメリカや韓国のような弊害は起きないといった考えは、誤りである。
社会保障・税番号大綱に関する意見書, 日本弁護士連合会, 2011年7月29日
ここで指摘されている、アメリカや韓国のような弊害(なりすまし被害)というのは、ようするに、ID番号(Social Security number、住民登録番号)を今回の「PASMO履歴照会サービス」のように使うことによって起きたものである。
PASMOの乗車履歴程度であれば、必要とする誰かのために盗んだID番号を売買するといった事態にまでは至らないだろうが、社会保障や税の分野で用いるID番号となると、その用途によっては、なりすまし目的でのID番号の窃取やID番号の売買といったことが起きて、深刻な社会問題となるだろう。
そこで、今回国会に提出された法案「行政手続における特定の個人を識別するための番号の利用等に関する法律案」では、第12条で次のように規定することによって、そのようななりすましの発生を防止している。
(本人確認の措置)
第十二条 個人番号利用事務等実施者は、前条第一項の規定により本人から個人番号の提供を受けるときは、当該提供をする者から第五十六条第一項に規定する個人番号カードの提示を受けることその他その者が本人であることを確認するための措置として政令で定める措置をとらなければならない。
これは大綱では「「番号」のみで本人確認を行うことの禁止」と書かれていた部分(p.35)に対応したもので、私はこの大綱の記述に対して、昨年のパブリックコメントで以下の意見を提出していた。
意見5. 「「番号」のみで本人確認をしてはならない。」との記述は、「「番号」を本人確認の手段としてはならない。」と改めるべき
「何人も、著しく異常かつ激甚な非常災害への対応等特別の理由がある場合をのぞき、「番号」のみで本人確認をしてはならない。」とあるが、これは、「番号」は「見える番号」であり、広く様々な事業者で業務上取り扱われる符号であって、秘密情報とはならないことから、「番号」が正しいことをもって本人確認とすることは、米国におけるSSNや韓国における住民登録番号の利用形態の実情のように、なりすましの温床となる(p.15参照)ことから、このように書かれたものと推察する。
しかし、大綱のこの記述では、「「番号」のみで」となっていることから、例えば、「番号」と基本4情報のみを用いる方法(「番号」と対応する基本4情報が一致することをもって本人確認とする方法)は禁止されていない。これは、「番号」を本人確認に用いるものであり、従来において基本4情報の提示だけでは本人確認として足りない場面において、「番号」を追加することによって本人確認として足りるとするのであれば、それは、「番号」によるなりすましの温床を生むものとなる。
よって、「「番号」のみで本人確認をしてはならない。」との記述は、「「番号」を本人確認の手段としてはならない。」と改めるべきである。
社会保障・税番号大綱に対するパブリックコメント提出意見, 2011年8月7日の日記
これは、まさに、今回の「PASMO履歴照会サービス」のようなID番号の使い方が登場してくることを懸念したものであった。
「生年月日は秘密にしなくてはいけないのか?」と問えば、係員は「ID番号は他人に知られないはず」と答え、「ID番号は他人に知られ得る」と問えば、係員は「生年月日など個人情報の管理はお客様の責任」と返してくる。
行政番号制度においても同様の事態が起き得るわけで、法案はそれを防止するため、「その者が本人であることを確認するための措置として政令で定める措置をとらなければならない」と規定した。*10 *11
別途政令で定めることになっているので、政令がどのようなものとなるのかまだ不明であるが、パスモ社の係員のような言い訳を許さない規定を置くことが必要である。*12
ところで、以前から経団連が(経済同友会も?)、この行政番号制度に対し、個人番号の民間利用をさせろという意見を言い続けている。法案は、行政手続の目的での利用しか許しておらず、それ以外では、「何人も、他人に対し、個人番号の提供を求めてはならない」(13条)と定めているからだ。
しかし、彼らはいったいどういう民間利用を求めているのか、いまだに明らかにされない。この点について、日経新聞が2月26日の社説で次のように彼らの代弁をしていた。
この法案では一人ひとりの役に立つ番号制度ができるのか、心もとない。野田政権が国会に出した「個人を識別するための番号の利用に関する法案」のことだ。
(略)
民間の利用を当面、認めないのも問題だ。法案は、施行後の法見直し時に検討するとしている。それでは遅すぎないか。公共料金の支払い、引っ越しの手続き、金融取引などに番号をうまく活用する仕組みと、情報漏洩を防ぐための対策を合わせ技で確立するために、国会審議では海外の先進事例も参考に法案を修正してほしい。
公共料金や引っ越しの手続きになぜ「個人番号」が必要となるのか意味不明だが、もしや、今回の「PASMO履歴照会サービス」のようなやり方をしたいと言っているのだろうか。そんなのは言語道断であり、絶対に許してはならない。
ID番号を本人確認用途に使ってしまうというのは、パスモの事例に見られるように、放置しているとやってしまいがちなことである。米国や韓国の個人番号を用いたなりすましの被害(「identity theft」と呼ばれる)とはそうして起きたものであり、こうした歴史に学んで、日本では番号制度の実現をこれまで慎重にしてきたわけだし、今回の法案では行政手続き目的以外の使用を禁止して防止しているわけだ。
この点、日経新聞の社説は、「情報漏洩を防ぐための対策を合わせ技で確立」と条件付けしているが、これは、行政番号制度に伴って交付される予定のICカード(法56条の「個人番号カード」)を用いることを言っているのだろうか。
しかし、今回の法案では、個人番号の目的外利用は厳格に禁止される。何人も目的外での使用は無条件に禁止され、「個人番号の提供を求めてはならない」と規定される。*13
(提供の求めの制限)
第十三条 何人も、第十七条各号のいずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人(自己と同一の世帯に属する者以外の者を言う。第十八条において同じ。)に対し、個人番号の提供を求めてはならない。
個人番号(ID番号)は秘密情報でないという前提が理解され、法第12条が規定する本人確認措置が遵守されるならば、個人番号の提供を求めてもなりすましの被害は起きないはずなのに、なぜこの規定があるのか。
この規定をなりすましの防止をさらに強化するための二重規定(念のために追加された規定)と誤解する人が少なくないと予想するが、これはなりすまし防止の規定ではない。プライバシーの問題を引き起こさないという、なりすましとは別の問題を解決するために必要な規定である。
どういう問題のことかというと、スマホにおけるUDIDやIMEI、ガラケーにおけるケータイIDの問題と同じである。広範な用途で共通して使われる唯一無二のID番号は、名寄せやブラックリスト等のプライバシーの問題をひきおこす。
まだしも携帯電話のID番号であれば、電話を買い足すとか解約して再契約するといった方法で、複数の番号を使い分けることができるが、国家が住民に与えるID番号となると、そういったごまかしができなくなるという点で強力すぎる。
また、入店お断りのブラックリストの作成などに使われる懸念もあるところ、従来であれば、携帯電話を持っていない人がいる以上、分野によっては携帯電話のID番号を使ったブラックリスト運用が事実上できなかったところ、行政番号制度が始まれば、全ての住民が必ずこのID番号を持っていることになる(悉皆性)ので、それが可能になってしまい、やはり強力すぎる。
こうした強力すぎるID番号であるからこそ、今回の法案は、第13条で、何人も他人に対し個人番号の提供を求めてはならないと規定することで、この問題を回避しているわけだ。*14
同様の規定は、住民票コードにもあり、これまでも住民基本台帳法で次のように定められてきた。*15
(住民票コードの利用制限等)
第三十条の四十三 市町村長その他の市町村の執行機関、都道府県知事その他の都道府県の執行機関、指定情報処理機関又は別表第一の上欄に掲げる国の機関若しくは法人(以下この条において「市町村長等」という。)以外の者は、何人も、自己と同一の世帯に属する者以外の者(以下この条において「第三者」という。)に対し、当該第三者又は当該第三者以外の者に係る住民票に記載された住民票コードを告知することを求めてはならない。2 (略)
3 (略)
4 都道府県知事は、前二項の規定に違反する行為が行われた場合において、当該行為をした者が更に反復してこれらの規定に違反する行為をするおそれがあると認めるときは、当該行為をした者に対し、当該行為を中止することを勧告し、又は当該行為が中止されることを確保するために必要な措置を講ずることを勧告することができる。
5 都道府県知事は、前項の規定による勧告を受けた者がその勧告に従わないときは、都道府県の審議会の意見を聴いて、その者に対し、期限を定めて、当該勧告に従うべきことを命ずることができる。
住民基本台帳法(昭和四十二年七月二十五日法律第八十一号)
個人番号の「提供の求めの制限」もこれと同等であり、いわゆる第三者機関であるところの「個人番号情報保護委員会」に勧告、命令の権限が与えられ、命令に違反すると2年以下の懲役又は50万円以下の罰金となっている。
(勧告及び命令)
第四十六条 委員会は、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、特定個人情報の適正な取扱いの確保のために必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。2 委員会は、前項の規定による勧告を受けた者が、正当な理由がなくてその勧告に係る措置をとらなかったときは、その者に対し、期限を定めて、その勧告に係る措置をとるべきことを命ずることができる。
3 委員会は、前二項の規定に関わらず、特定個人情報の取扱いに関して法令の規定に違反する行為が行われた場合において、個人の重大な権利利益を害する事実があるため緊急に措置をとる必要があると認めるときは、当該違反行為をした者に対し、期限を定めて、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を命ずることができる。
罰則
第六十八条 第四十六条第二項又は第三項の規定による命令に違反した者は、二年以下の懲役又は五十万円以下の罰金に処する。
日弁連の会長声明は、「なりすましなどのプライバシー侵害」などと奇妙な表現を使っていたが、なりすましはセキュリティの問題であって、番号制度で生じかねないプライバシーの問題はなりすましとは別のところにある。そのことを日弁連の声明や意見書は書けておらず、いまだにこの問題の理解が乏しいことを示しており、遺憾である。(もっとも、国会提出法案ではこの問題は解決済みであるが。)
マスコミの報道や社説も、いまだに番号制度に対する懸念として情報漏洩のことを挙げるしか能がなく*16、周回遅れも甚だしい。
というわけで、ID番号は秘密にすべき情報ではない。他人に知られるとなりすましの被害に遭う番号ではない。そのように社会の側が構成されているべきである。しかし、ID番号が目的外で使用されたり、事業者をまたがって広範に共通して用いられる場合には、プライバシーの問題が生じてくる。そのため、消費者は、安易にID番号を提供することは避けるよう注意した方がいい。*17
我々が、ネットに自分のID番号を含む写真やログデータなどを掲載するときは、ID番号部分を隠す処置を施すことが多い。例えば、MACアドレスやUDID、IMEIを含むデータを掲載する場合などだ。実際のところこの処置は必須ではないのだが、たいていそうしている。そうする理由は、(1)万が一どこかにそのID番号でなりすましを許してしまう欠陥サービスがあった場合に備えた、念のための警戒として、(2)万が一どこかでそのID番号でトラッキングされている場合に、それが自分だとバレないようにするため、この2点である。
特に、他人のID番号を掲載する場合は、隠す処置を施すのは必須であろう。どこかで、そのID番号が誰のものであるか知っている者(本人以外の)がいる可能性があるからだ。
だが、それを見て勘違いしてもらっては困る。パスモの係員のように、「ID番号は隠すのが当然」と勘違いして、ID番号でプライバシー情報を閲覧できるような欠陥サービスを生み出してはならない。
*1 旧GREEのこと。今のGREEのことではない。
*2 生年月日の登録を求める目的がパスワード忘れの際の本人確認のためとされているこの種のサービスでは、自分の生年月日を偽って登録しても、電磁的記録不正作出や業務妨害にはならない。
*3 その成果として既に発表されたものの一つは、日経コミュニケーション2012年3月号「[特集]スマホ、ビッグデータで揺れるプライバシー保護」。
*4 私は、生年月日を隠せとアドバイスしたことはない。
*5 この対応をした人は、一般的な消費者向けお客様センターの電話オペレータではなく、「マイページ停止」の受付専業の人で、その手続きのプロの人だった点に注意。
*6 「多い」というのは事実でない。PASMO、nimoca、SAPICA、PiTaPaの4つであり、少数派と言える。
*7 他にも基礎年金番号が該当する。
*8 社会保障・税番号大綱参照。
*9 「なりすまし」はプライバシーの問題ではなく、セキュリティの問題である。セキュリティの問題によって起きる被害の一つとしてプライバシー侵害があるのであって、「なりすましなどのプライバシー侵害」という表現はおかしい。
*10 住民票コードでは、こうした規定がなく、住民票コードを使用する手続きにおいてそれを本人確認用の鍵として使う場合があるのかないのかがはっきりしなかった。2007年5月26日の日記では、(A)なのか(B)なのか不明だとしている。住民票コードでは、行政機関でしか使用しないものであったため(B)の道もあり得たのに対し、今度の行政番号制度では、個人番号は民間にも流通する(ただし行政手続きの用途に限られる)「見える番号」であることから、そうはいかないことがはっきりした。
*11 法案には「機構保存本人確認情報」なる語が出てくるが、これは、住民基本台帳法第4章の2の「本人確認情報」のことを指し、それは、同法第30条の5で「住民票に記載されている同条(第7条)第一号から第三号まで、第七号及び第十三号に掲げる事項並びに住民票の記載等に関する事項で政令で定めるものをいう」と規定されていて、要するに、氏名、生年月日、性別、住所(基本4情報)と住民票コードのことなのだが、そこで言う「本人確認」というのは、今ここで言っている「その者が本人であることを確認するための措置」のための本人確認とは別の概念ではないかと思われる。そうでない(基本4情報が揃ったことをもって本人確認とする)のなら、それはまずい。
*12 その具体的な手段は様々考えられるところだが、少なくとも、日弁連ら反対派の批判するところの「番号の弊害」を防止するという意味では、本人確認にID番号を一切使わずに、従来通りの本人確認手段を用いればよい。(たとえ現状の本人確認手段が不十分であるにしても、行政番号制度によって悪くなることは避けられる。)
*13 大綱では「不当な目的で」という要件が付いていたが、「告知を求めてはならない」が「提供を求めてはならない」に変更された代わりに、「不当な目的で」が撤廃された。「社会保障・税番号大綱に対するパブリックコメント提出意見」(2011年8月7日の日記)の「意見6」の主張が通った。
*14 このことは、大綱では「本人が意図しない形の個人像が構築されたり、特定の個人が選別されて差別的に取り扱われたりするのではないかといった懸念」として示され、これを解決するとされていた。
*15 基礎年金番号も同じ性質を持つID番号であるため、国民年金法第108条の4(基礎年金番号の利用制限等)で、「基礎年金番号については、住民基本台帳法第三十条の四十二第一項 、第二項及び第四項、第三十条の四十三並びに第三十四条の二の規定を準用する。」と規定されている。
*16 Wikipediaのidentity theftのエントリの日本語版ページが「個人情報漏洩」のエントリになっていて、全く別のことが書かれており、もう、嗤うしかない。これほどまでに、日本ではプライバシーのことが理解されていない。
*17 ID番号を単独で提供したり単に公開状態にすること自体は問題を生じさせない。しかし、何らかプライバシーに関わり得ることと併せてID番号を提供すると、問題が生じ始める。それも1回だけ、1事業者だけならば問題は生じないか問題が十分に小さい。これを複数回、複数事業者にしてしまうと問題が無視できないレベルに拡大していく。そうした提供をしないのであれば、ブログやFacebookにID番号を掲載しても問題が生じないのだから、その行為を咎める(パスモの係員のように)のは筋違いである。