センセーショナルなタイトルで申し訳ないのですが、AERAdot.の斎藤貴男氏の記事「マイナンバーが漏洩しても…政府は「さあ?」 筆者が絶望した無能ぶり」を読んで頭に浮かんだものです。
マイナンバーの12桁の数字が漏洩したとして、どのようなリスクがあるのか考えてみることにします。
よく言われている情報漏洩リスクですが、マイナンバーに紐付く情報は一元管理ではなく分散管理です。
例えば、金融機関の取引や口座残高は金融機関側で管理されていますし、健康保険証を使用した受診情報は医療保険機関です。
その情報にはマイナンバー12桁の数字があればアクセスできるというものではありません。
個人レベルではマイナポータルにログインしてから、各分散管理元に移動して情報を見ることになるのですが、必要なのはマイナンバー12桁の数字ではなく、マイナンバーカードと4桁の暗証番号になります。
4桁の暗証番号は心もとないような気もしますが、3回連続で間違えてしまうとロックがかかり、市区町村で顔写真とも目視確認の上でロック解除、再設定が必要です。
マイナンバーカードのセキュリティが心配であれば、オンラインでのロック解除、再設定を主張されることはないでしょう。
マイナポータル以外の方法で情報にアクセスするとしても、マイナンバー12桁の数字はログインのIDにすらなっていません。
それぞれの分散管理元から、マイナンバー12桁の数字と共に情報が漏洩してしまえばマイナンバーで名寄せされる危険性はありますが、名寄せにマイナンバー12桁は必須ではありません。
住所、氏名、生年月日といった情報だけで名寄せはできてしまいます。
また、住所、氏名、生年月日で名寄せされた情報は既に数多く出回っています。
分散管理元の職員なら何かできるとしても、そもそも分散管理元の職員はマイナンバーを知ることができるので、自分のマイナンバー12桁を他人に教えることによる漏洩リスクとは異なるものです。
では、他人のマイナンバー12桁だけを使い、なりすまして何かできるでしょうか?
例えば、どのようなメリットがあるのかわかりませんが、銀行口座を開設するときに他人のマイナンバー12桁を使う…、いや、しかし、本人確認にマイナンバーカードか別途通知カードと本人確認資料が必要です。
結局のところ、マイナンバー12桁の数字だけでは漏洩したとしても、さほど大きなリスクはないように思えます。
政府が自らが言っている「マイナンバーは他人に知られないようにしましょう」というのがマイナンバーカード普及の障害にもなっていますし、マイナンバーカードに健康保険証や免許証の機能を付加することに矛盾を感じてしまいます。
話題から外れますが…。
マイナンバーのセキュリティが心配だからマイナンバーカードは作らないというIT技術者にお目にかかることがあります。
残念ながら、そのような技術者に限ってマイナンバーシステムのセキュリティに関する知識を持っていません。
どのようなセキュリティ対策をしているか調べることなくセキュリティが心配というようなIT技術者に安心して仕事をお任せすることができるでしょうか?
最近では技術者の採用をするときにマイナンバーのセキュリティについてどう思うかを必須の質問事項しようかとも考えてしまいます。
