2021年10月06日
■ 緊急速報:マイナンバー法の「裏番号」禁止規定、内閣法制局でまたもや大どんでん返しか
まえがき
個人番号(マイナンバー)を、法定された目的(税とか社会保障とか)以外で他人に対して提供を求めることが禁止されていることは、わりと広く知られており、みんな遵守してきたところだろう。だが、今、どう見ても目的外で提供を求めている(自社サービスの利用者登録の目的とされている)スマホアプリがあるということで、個人情報保護委員会の出方が問われているところ、宇賀説(宇賀克也『番号法の逐条解説』有斐閣)によれば合法ということになるのではないか?(おそらく弁護士らもそれを参考にしていたのでは?)という話が出ているのだが、これについて、番号法(行政手続における特定の個人を識別するための番号の利用等に関する法律、平成25年法律第27号)の立案過程で、内閣法制局で二転三転していたことが判明したので、至急、速報的に、ここに書き留めておく。
背景
番号法は、「個人番号」を2条5項で「第7条第1項又は第2項の規定により、住民票コード(略)を変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。」と定義した後、同条8項で、「個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第7条第1項及び第2項、第8条並びに第48条並びに附則第3条第1項から第3項まで及び第5項を除き、以下同じ。)」と、「個人番号」を再定義しており、これを、立案担当者の一人であった水町雅子弁護士(当時、内閣官房社会保障改革担当室参事官補佐、後に、特定個人情報保護委員会事務局上席政策調査員)は*1、「広義の個人番号」と呼んで、元の5項の定義の「狭義の個人番号」と区別している。
番号法の規定で、狭義の個人番号が対象となっているのは、個人番号の生成・指定・通知の部分だけで、それ以外の各規定で「個人番号」とあるのは、広義の個人番号のことであり、すなわち、個人番号の他に「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」を含めて規制の対象となっているのである。したがって、提供の求めの制限(15条)「何人も、第19条各号のいずれかに該当して特定個人情報の提供を受けることができる場合を除き、他人(自己と同一の世帯に属する者以外の者をいう。第20条において同じ。)に対し、個人番号の提供を求めてはならない。」のほか、罰則においても、「個人番号」とあるのは「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」を含めて捉えなければならない。「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」とは、典型例は、個人番号の一方向性関数によるハッシュ値(SHA-2等の暗号学的ハッシュ関数による変換結果)である。
このような規定が番号法に組み込まれたのは、10年前、番号制度の構想段階で、当時、内閣官房に設置された、「個人情報保護WG」での議論によるものであった。まず、この制度が「国民総背番号制」との誹りを受けることのないよう、また、住基ネット差止訴訟から続くであろう憲法訴訟に耐え得るよう、個人番号は法定された目的以外での利用を禁止し、民間においても勝手に使われないようにするという方向性が打ち出されていた。そこに、WGで委員から提案されたのは、裏番号を使えば同じことができてしまうから、裏番号も禁止しなければならないという指摘であった。
(新保委員)
はい、では、この要綱につきまして2点の質問がございます。(略)(3)の「業務により番号を知りえた事業者、またはその従業者等は当該「番号」を文書、図画又は電磁的記録に記録して保管してはならないこととする。」となっておりますけれども、この点につきまして、当該番号を、当該番号以外の他の番号に変換して記録する場合はどうなのかという問題について疑問を持っております。つまり、事業者側は、当該番号は記録しないけれども、その番号に置き換わる事業者独自あるいは一意の番号を割り当てて記録、保管する場合は、この、(3)の適用があるのかどうかという点です。(略)例として、1、2、3、4、という番号を、A、B、C、D、と置き換えることによって記録することは可能です。そうしますと、この場合に、事業者があくまでローカルな番号として利用する、またはローカルな記号として利用する、ということであればさほど問題はないと思われるわけではありますけれども、これを他の事業者と共同で利用する場合があったり、いわば、例えば「裏番号」というもので、共通番号のようなものを生成して利用し連携することについては何らかの手当てがなされるのか、という点が1点目の質問です。個人情報保護WG第4回(2011年4月1日)議事録
この提案に対して事務局は、その方向性に賛同するような回答をし、次々回に示された「大綱に盛り込むべき事項(案)」には、以下の記載が入った。
(注1)「番号」を一定の法則等に従い変換し、新たな番号を生成した場合、当該法則等を知悉するなどして変換前の「番号」を復元できる者においては、変更後の番号も、「番号」に該当することとする。また、変換後の番号を提供する行為については、提供先においても変換前の「番号」を復元できる場合は、「番号」の提供に該当することとする。
個人情報保護WG第6回(2011年6月2日)資料1 社会保障・税番号制度における個人情報保護方策について大綱に盛り込むべき事項(案)
このように、事務局は「変換前の番号を復元できる」場合に限って問題となると誤解したようで、新保委員が指摘した問題が伝わっていないようだった。そこでこの回の会合で、新保委員は以下のように指摘したのであった。
(新保委員)
慶応大学の新保です。今回、新たに付け加えられた部分に関して2点ご質問させていただきたいと思います。まず、1点目につきましては、3ページの注1の「『番号』を一定の法則等に従い変換し、新たな番号を生成した場合」という追加部分の記述についてです。この件につきまして、以前、いわゆる裏番号を作成して、その裏番号を取り扱うことについてはどうかという質問をさせていただき、それに対応して、今回、この変換前の「番号」を復元できる者においては、変換後の番号も「番号」に該当するものとするという形での記述が新たに付け加えられたわけです。この復元できるということについて、罰則の適用との関係における問題に関して考える上でも、復元できない場合には反対解釈として、これは番号には該当しないと解釈できるわけですけれども、そうしますと復元できるという要件を満たしていない、例えば、意図的に満たさない方法として、これも以前申し上げた点として、例えばハッシュ関数であるとか一方向性の関数を使って変換する、つまり、不可逆な番号として新たな番号を生成して番号として取り扱うという場合には、その番号を復元できないという可能性の方が高いことになりますので、そうしますと復元できない場合にはこの番号は裏番号であっても、裏番号は番号に当たらないという解釈にならないかということが一点目の質問です。
(堀部座長)
すみません、1点ずつお願いします。今の点は如何ですか。それでは海野企画官、お願いします。(海野企画官)
先ほど、私の方からここに書いたことの注ということで2点ほど論点を提示をさせていただきましたが、1つは私どもが最初に書かせていただいた分類で、復元できるかどうかというところが正にポイントになりますので、今、先生がご指摘されたようなハッシュ関数等で復元ができないような番号が出てしまったというケースであれば、客観的に復元できないことになりますので、この注1のような問題は除かれてくるということになろうかと思います。ただ、そういったものを、やはり復元できるできないに関わらず、「番号」と同じような扱いをすべきだというのも一つの考えではないかと思いますので、そこはご議論いただければ、と思います。(堀部座長)
それについて、新保委員のご意見はどうですか。(新保委員)
はい、そのように回答をいただくということあれば、復元できない場合にはこの番号には、裏番号が作成された場合であっても、「番号」に当たらないという解釈ですね。その上で、それが良いかどうかということについて、次の2点目の質問に関係してまいります。(略)(篠原参事官)
まず3ページの番号の可逆か不可逆かの話でありますけれども、実は技術的に可逆か不可逆かということを意図していたわけではなく、復元というのが可逆暗号方式であってもテーブル方式であってもいずれかの方法で復元というかたちで個人というものに戻るということがあればそれは、ということでもあったのですが、ただ復元という言葉がひとつ、そういう誤解を招きやすいということと、もう一つは、例えその時に個人に対して特定の個人に戻るということがなくても、可逆、不可逆であれ、いずれかはそうなるという可能性を有するということもあり得るので、そのような点も含めて考慮する必要があると思います。ただもう1点危惧しておりますのは、明確に構成要件に書いておかないと既存の社員番号等に結び付くだけで新しい番号、「番号」と1対1で対応していると、そこで何らかの関係ができているという場合に、既存の番号を出しただけでそれも広く通用している社員番号が即対象になってしまうのはまずいだろうと思いますので、あくまで「番号」が何らかの新しい形で生成されて新しい変換コードの番号になっているという対応を取られる必要があると思っております。個人情報保護WG第6回(2011年6月2日)議事録
このときの事務局は、結局、言われていることの意味を理解できなかったようだ。「可逆か不可逆かということを意図していたわけではなく」と言いながらも、復元を前提に話をしており、不可逆の場合も「いずれかはそうなるという可能性」と、やはり復元を前提に話をしている。「ハッシュ関数であるとか一方向性の関数を使って変換」と指摘されたことの意味が通じていない。*2
問題として想定されているのは、変換された個人番号の提供が同じ変換方法によって複数回行われる事態である。図1左のように、同じ一方向性関数で変換した結果は複数回に渡って同じ結果になるから、変換結果が「裏番号」として使えてしまう(国家的唯一無二性・悉皆性の性質を維持したままで)わけである。事務局は、図1右のように1回の提供しか想定できなかったのか、復元が問題となるのだとしか想像が及ばなかったのであろう。*3
とはいえ、事務局も次のようにも述べており、「裏番号」まで禁止する趣旨は理解されているようでもあった。
(篠原参事官)
これから番号制度が入ってくるとどういう社会になっていくのかということによると思いますけれども、番号というのは、国民の皆さんに付けられて且つ唯一無二であるということで非常に使い勝手が良いということも一面ではあるわけです。そうなりますと場合によっては、番号のみで本人確認が可能となることも想定され、番号だけで通用する社会が出てくるかもしれない。そうするといつの間にかそれが進むと個人情報がつかなくても番号だけ提供されていくという話が出てくるのではないか。このような脅威に対して何らかの措置をする必要があるだろうと、そのような観点でここに書いてあるわけであります。社会保障・税番号大綱(2011年6月30日決定)
結局このときは、WG外で事務局方面に説得がなされて、最終的な「大綱」では以下のように記載されたのであった。
(注2)「番号」を一定の関数、手順等を用いて変換することで(複数回にわたって変換することを含む。)、新たに符号を生成した場合であって、生成した符号が「番号」と一対一に対応する関係にあるときは、生成した符号についても、「番号」に該当することとする。
社会保障・税番号大綱(2011年6月30日決定)
これで一応の一件落着であったが、この「一対一に対応する」との書き振りでは、「一対一対応でなきゃいいんだろ?」と潜脱する者が現れそうなので、大綱のパブコメに際して、以下の意見を提出していた。
意見4. 一対一に対応するものに限らず、多対一対応のものも同様に「番号」に該当するものとするべき (p.34 「(注2)」)
「「番号」を一定の関数、手順等を用いて変換することで(複数回にわたって変換することを含む。)、新たに符号を生成した場合であって、生成した符号が「番号」と一対一に対応する関係にあるときは、生成した符号についても、「番号」に該当することとする。」とあるが、「番号」と多対一対応の生成符号であっても、「番号」と一対一に対応する生成符号と同様に、プライバシー上のリスクを生じさせるものであるところ、このままの記述では、「多々一対応であるから一対一対応ではない」として、法の抜け穴となりかねない。よって、多対一対応のものも同様に「番号」に該当するものとするべきである。
例:「番号」が「12345」であるときの、MD5関数値は d577273ff885c3f84dadb8578bb41399 であるが、これに数字等を付け加えた d577273ff885c3f84dadb8578bb413990 や d577273ff885c3f84dadb8578bb413991、d577273ff885c3f84dadb8578bb413992、d577273ff885c3f84dadb8578bb413993、d577273ff885c3f84dadb8578bb413994 といった符号は、「番号」である「12345」に多対1対応する符号である。これらの符号が、「番号」に対応する「裏番号」として用いられる可能性がある。
そうしていたところ、閣議決定されて国会に提出された法案では、前掲のように、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって……を含む。」との条文に改善されていたわけで、なるほど素晴らしい、これなら潜脱されようがないぞと、さすがは内閣法制局を通じた法制的検討は有能なのだなあ、と感心したのであった。
宇賀説
ところが、今回の騒動で、宇賀克也『番号法の逐条解説』(有斐閣)を確認したところ、なんと、復元できる場合に限る旨のことが書かれていたのを知った。
(16)「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む」(8項かっこ書)
個人番号自体ではなくても、個人番号に代わって用いられる番号、記号その他の符号で個人番号を識別しうるものである場合、個人番号と同様に保護する必要がある。符号(リンクコード)や情報提供を許可し符号同士を紐付けるIDコードのみならず、脱法的に個人番号を変換したもので可逆的に個人番号を識別できるものを含む。たとえば、すべての個人番号の最後に0を付すだけで個人番号、特定個人情報に係る規制を潜脱できてしまうことは不合理である。そのため、これらを含むものとして個人番号を定義している。
宇賀克也『番号法の逐条解説[第2版]』(有斐閣、2016)25頁、同第1版24頁
これはひどい。条文上どこにも「個人番号を識別しうるものである場合」なんて要件は微塵もないのに!
この文章はどこから出てきたのだろうか。もしや、情報公開請求すると出てくる部内資料に、このような文章があるのであろうか。これまでにも、宇賀説はおかしいぞと思っていたら、内閣法制局での予備審査の過程でボツになった古い案の説明文をほとんどそのままコピペされていた事実(出典を明らかにすることもなく)が発見されたことがあった(これについては、2017年10月22日の日記「宇賀克也「個人情報保護法の逐条解説」第5版を読む・中編(保護法改正はどうなった その9)」の「匿名加工情報は識別非特定情報?」で立証している。)だけに、今回もその類いの事象であろうかとの疑いが湧く。
内閣法制局での審査過程
そこで、既にJILISで情報公開請求して開示されていた、番号法の法律案審議録(内閣法制局保有)を確認したところ、以下の通り、衝撃の事実が判明した。
日付不明の文書が多いため、紙の前後関係で時期を推定するしかないが、大綱の決定直後あたりで、最初に立案当局(内閣官房社会保障改革担当室)が法制局に提出したものと思われる案が、図2である。
このように、「一定の関数を又は手順を用いて変換することにより生成され、番号と一対一に対応する関係にある新たな数字、記号、符号」とあり、概ね大綱の記述をそのまま条文にした感じの案となっている。
ところが、この次の回と思われる版では大幅に変更されており、図3のように、「一定の規則に従って変換した数字、記号又は符号であって個人識別番号に復元することができるもの」に変更されてしまっていた。しかも、めちゃくちゃなことに、変換された符号を含むこととするのが、罰則においてに限られており、大綱で取りまとめられた趣旨が根底から覆されてしまっている。
どのような理由でこのように変更されたかは不明だが、大綱の趣旨を完全に逸脱していることからして、法制局参事官の独断的な指摘によるものではなかろうか。こういうとき、立案担当部局側の出席者は、法制局参事官の指摘を押し返さなくてはならないが、何分にも、下っ端が参事官の相手をするわけであるから、困難が伴うのであろう。
この案がそのまましばらく続き、10月12日案まで続いたようである。10月12日案(図3)に対しては、若干の文言修正が入っているが、内容的には変わっていない。
そして、次の10月25日案では、罰則から離れて、告知要求の禁止規定のところに移されていた。根底から覆されていた大綱の趣旨は元に戻された。しかし依然として、「復元することができるもの」のままとなっている。
ここからなぜかだいぶ飛んで(この間の資料がない)次の12月2日案では、「当該符号の提供又は告知を受けた者が当該符号によりその本人の個人番号を特定することができるものに限る」となっていた。これが再び「復元することができるもの」に修正されている様子が見える(図5)。
12月5日案では図6のように、「一定の規則に従って個人番号に復元することができる番号、記号その他の符号に変換したもの」となっている。
この後、連日のように修正版が作られているが、この部分の修正はなく、年が明けた1月4日版まで変わらなかった。それが1月5日版で、「番号、記号その他の符号(当該符号により当該個人番号を特定することができるものに限る。)」に変更されている(図7)。これはいかにも拙い条文であるが、立案当局側が元の大綱の「一対一に対応」の趣旨に戻そうとしていた形跡であろうか。しかし、無残にも「元に戻す」と、法制局参事官コメントが書き込まれている。
図8がその戻された1月6日案の様子である。
この後も連日修正版が作られ、2月1日案までに、問題の箇所の位置が「特定個人情報」定義(2条)に移動(成案と同じ)していた。しかし依然として「復元することができるもの」となっている。
そして、次の次の回である2月6日案でこうなっていた。これは次長と長官による最終審査の段階のようで、「個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号」に修正するよう手書きコメント(次長・長官の指摘を参事官がメモしたものと思われる)が書かれている。
なんと、番号法でも最後の最後での長官(次長?)の大どんでん返し*4があったのだ。これによって、大綱で整理した本来の「裏番号」禁止の趣旨に戻されたのであった。すごい。それにしても、長官(次長?)は、最後に読んだだけであろうに、なぜわかったのだろうか? 属人的すぎて震える。
そして、2月8日に「であって、住民票コード以外のもの」が挿入*5されて、2月9日付で「次長了」となっている。
そういえば、前掲注1の水町『逐条解説マイナンバー法』には次のことが書かれていた。
なお、連携符号は、公開されず、あくまで情報提供ネットワークシステム又は中間サーバ内で情報管理・情報連携に用いられるものであり、個人番号そのもののような名寄せの危険性が低いとも考えられるため、立案作業中は、個人番号と同等の法的規制は不要であり、通常の個人情報と同等の法的規制で足りるとの強い指摘も、内閣法制局から受け、一時の条文案では、広義の個人番号の定義規定が現状とは異なっていた。しかし、連携符号は、個人番号と同等の効果を持つものである。民—民—官との流通性及び視認可能性は欠くものの、悉皆性、唯一無二性、住所との紐付きを有しているものであり、これを通常の個人情報と同じ法的規制下に置くのは、番号制度で充実した個人情報保護を、との趣旨に反すると考えられたため、結局、最終的な条文では、連携符号も狭義*6の個人番号と同等の法的規制下に置かれることとなった。
水町雅子『逐条解説マイナンバー法』(商事法務、2017)86頁
これが上の件だったということであろうか。リンクコード(連携符号)の話かと思っていたら、根本からの話で、想像していたよりはるかに重大な事案ではないか。
さて問題は、なぜ宇賀説があのようになったのかである。法律案審議録の中には、立案担当部局が提出する説明資料(通常「内閣法制局説明資料」などと題される)が、本件の場合(他の法律の場合と比べて)あまり含まれていなかった。一つだけそれらしき文書があるのだが、日付が記載されておらず、どの時点のものか不明であるが、以下のように、途中段階の条文に沿った説明がなされている。
閣議決定の直前で、次長・長官に大どんでん返しされているので、この説明資料は成立した法律の説明として読んではいけないものである。
これが宇賀説の拠り所となっているのかははっきりしない。少なくとも、文章に同一性は見られない。しかし、他にも「内閣法制局説明資料」が立案担当部局の部内資料の中にあると考えられる。さらなる情報公開請求を行って、分析し、JILISレポートとしていずれ報告しようと思う。
*1 水町雅子『逐条解説マイナンバー法』(商事法務、2017)85頁、水町雅子『Q&A番号法』(有斐閣、2014)56頁。
*2 これに続く議論は、ますますピント外れになっていた。そういう話じゃないんだってば。こうやって話の腰が折られていったのであった。
(小向委員)
これは、どちらかというと、可逆のものは含むということで出てきたものです。不可逆のものを外すかどうかというのは新しく出てきた論点で、どこから不可逆になるのかというのは意見の分かれるところだと私は思っています。どのくらいの強度を持っていればどのくらいの期間安全かということは、どんな暗号方式でも議論のあるところです。暗号化すれば個人情報ではなくなるわけではないというのは、根底のところは、もしかしたら復号化されるかもしれないからだと私は理解しています。そこは意見の分かれるところかと思います。番号制度で番号そのものを提供する場合を規制から外すというのは、番号制度における厳しい規制の対象外とするということで、論理的にはこれが個人情報保護になるのかどうかというのは、もしかしたら別の議論になるのかもしれないという気が致しました。番号法の規制から外れても論理的には個人情報保護法にあたるかもしれないという気が致しました。個人情報保護WG第6回(2011年6月2日)議事録
*3 この問題の性質については、2012年3月3日の日記「ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。」で述べている。また、利用が禁止されている番号をハッシュ化することで潜脱するという事例は、ちょうど同じ時期、スマホアプリでUDIDやMACアドレスの使用が問題視されるようになっていた2012年2月、medibaが実際にやらかしており(2012年4月29日の日記「オプトアウト不履行の責任はどう問えるか(と書こうと思ったら終了していた)」参照)、「MACアドレスがダメならハッシュ化すればいいじゃない」バリに、まさに予見されていた通りの潜脱行為そのものであった。
*4 法制局長官の大どんでん返しは、個人情報保護法平成27年改正時と、行政機関個人情報保護法平成28年改正時にもあった。このことについては、2017年5月5日の日記「匿名加工情報が非識別加工情報へと無用に改名した事情(パーソナルデータ保護法制の行方 その30)」の「内閣法制局長官の大どんでん返し」、2017年6月4日の日記「匿名加工情報は何でないか・後編(保護法改正はどうなった その7)」の「内閣法制局長官がこの案を拒絶して現在の形に変更」、2017年7月22日の日記「匿名加工情報は何でないか・後編の2(保護法改正はどうなった その8)」に詳しく書いている。噂によれば、不正アクセス禁止法平成24年改正でも長官のどんでん返しがあったらしい。毎度そんな調子なんだろうか。ちょうどどれも同じ時期だから、もしかして同じ人が関わっている? これも時間に余裕ができたら調べてみたい。
*5 これは、立案担当者によれば、「広義の個人番号の趣旨を踏まえると、住民票コードもこれに該当すると考えられるが、住民票コードは住民基本台帳法で規制されるべきものであるため、番号法上の広義の個人番号からは除外されている。」(前掲注1水町『逐条解説マイナンバー法』86頁)からとのこと。なお、前掲の宇賀『番号法の逐条解説』は、この部分について、独自の見解を述べている。
*6 「広義」の誤記でではないか。
- はてなキーワード [内閣法制局] ×3 : 2, 1 (2024-08-27)
- スラド ×930 : 565, 329, 32, 3, 1 (2024-01-27)
- https://statics.teams.cdn.office.net/ ×5 (2023-02-02)
- https://www.naka2656-b.site/archives/31730196.html ×5 (2022-01-24)
- https://www.naka2656-b.site/archives/31655136.html ×27 (2022-01-03)
- スラドarticle [21/10/13/1918223] ×54 : 46, 6, 2 (2021-12-17)
- https://zaikei.co.jp/ ×16 (2021-10-16)
- https://duckduckgo.com/ ×62 (2021-10-15)
- https://www.zaikei.co.jp/article/20211015/643223.html ×4 (2021-10-15)
- https://www.zaikei.co.jp/ ×44 (2021-10-15)
- https://talk.worksmobile.com/ ×6 (2021-10-08)
- https://www.bing.com/ ×81 (2021-10-08)
- https://garoon.int.city.hakodate.hokkaido.jp/ ×7 (2021-10-07)
- https://www.naka2656-b.site/ ×18 (2021-10-07)
- https://www.naka2656-b.site/archives/30609966.html ×323 (2021-10-07)
- https://www.yammer.com/ ×14 (2021-10-07)
- https://www.google.com ×13 (2021-10-07)
- はてなブックマークコメント ×2263 : 2261, 2 (2021-10-07)
- http://childs.squares.net/murahatebu/progress.html ×5 (2021-10-07)
- egone.org ×9 (2021-10-07)
- https://flipboard.com/ ×4 (2021-10-06)
- https://www.hatena.ne.jp/ ×1608 (2021-10-06)