Drafts

@cm3 の草稿置場 / 少々Wikiっぽく使っているので中身は適宜追記修正されます。

マイナンバーを公開してはいけない理由

マイナンバーを直接・間接に情報管理に用いている機関からの情報漏洩の被害を実質的に拡大することになるから。

というのがたぶん答え。それをわかりやすく解説しておく。


例えば、A「マイナンバー、氏名」とB「マイナンバー、体重」を別々のデータベースに入れて保存していたとしよう。Bが漏洩した場合に、マイナンバーを別のところで公開して人とマイナンバーの対応関係が結びついていれば、人と体重が結びついて、それが個人情報の漏洩として機能してしまうが、人とマイナンバーが結びついていなければ、ただの体重の分布情報しか得られない。

システム面の保護措置としては、個人情報を一元管理するのではなく、従来通り、年金の情報は年金事務所、税の情報は税務署といったように分散して管理します。

これは漏洩時の被害を最小限にとどめるという意味で大事。

また、例えば、「マイナンバー、病名、住所」というデータベースが漏洩すれば、マイナンバーと人との対応関係が未知でも、珍しい病気の人は病名と住所の組み合わせから特定されてしまい、個人情報の漏洩として機能する。だから、それぞれの特徴量データが分散しているという意味でも大事。

また、行政機関間で情報のやりとりをするときも、マイナンバーを直接使わないようにしたり、システムにアクセスできる人を制限したり、通信する場合は暗号化を行います。

マイナンバーを直接使わないというのも大事。だって、人間が情報として扱うのだから業務上とは言え知りうる人はいるし、氏名などの個人を特定できる情報(ありふれた名前ならば構わないが、僕の場合は下の名前の漢字と読みで僕一人に特定される)との組み合わせであるA「マイナンバー、氏名」が漏れることもあるのだから、そもそもに、A’「データベース内ID、氏名」B’「データベース内ID、体重」C「データベース内ID、マイナンバー」のようにしておけば、A’やB’の流出に対して問題が生じにくくなる。

実際はそのような形になっていて、Cに相当するものを機関横断で保持できるのは「情報提供ネットワークシステム」という特定のシステムに限られている。

f:id:cm3ak:20151115192759j:plain

from マイナンバー制度について(PDF) - 総務省

ここまでして、マイナンバーと他の情報との結びつきを管理しているのに、勝手に公開されると元も子もないということ。


余談:

脆弱なセキュリティ保護に依存することで、真の攻撃者に対して脆弱になるということはよくある。マイナンバー制度は制度面の保護措置とシステム面の保護措置の両面でカバーするとしているが、システム面の技術力や予算が低い場合に制度面に依存するとまさにそういう危険性が高くなるので、上の図のようなシステムをちゃんと運用するのが大事だと思う。それが出来ないのならば、初めから制度面とシステム面とそれぞれの運用面込みで総合的に最も良いセキュリティと利便を発揮するように設計すべきだったけど、それは日本の政治的に許されなかっただろうし、この高コストな制度とシステムを頑張って運用する以外に道はないと思う。

こういう各機関での運用面や社会での用いられ方といったことが薄くて、技術と制度だけが濃い、その結果の複雑重厚高コストなシステムという匂いは構造災の議論を思い出させる。災いがおこりませんように。

参考: