経済同友会・玉塚元一さんが取りまとめた『マイナンバー制度に関する提言』が物議
経済同友会で玉塚元一さんの取りまとめにより『マイナンバー制度に関する提言』が先日発表されましたが、あまりに内容以前の前提に間違いが多いため、法曹クラスタ、セキュリティクラスタともに物議になっています。
デジタル政府・行革PTにおいて委員長を務める玉塚元一さんがマイナンバー政策について大いに熱く語るという事態が発生しておりました。
その内容が非常にマズいということで、セキュリティ界隈で騒ぎになっていたため見物に行ったのですが、さすがにこれはちょっと、ということでピックアップしてみます。
20180803:提言発表:経済同友会:デジタル政府・行革PT(YouTube 経済同友会広報チャンネル)
同氏が語った提言については資料が経済同友会のウェブサイトにおいて「マイナンバー制度をわが国のデジタル化の基盤として 今こそ抜本改革せよ」という強気のスローガンと共に公開されています。まあ、意気込みは良いんだと思います。
マイナンバー制度に関する提言―マイナンバー制度をわが国のデジタル化の基盤として 今こそ抜本改革せよ―(経済同友会)
提言では色々と細かいことが挙げられていますが、書かれていることを乱暴にまとめれば「民間でも個人番号(つまり、マイナンバー)を簡単かつ低コストで運用したり活用したりできるようにしろ」ということであるようです。ウェブサイトにリンクされているPDF資料には冒頭から相当に興味深い記述があります。
マイナンバー制度は、今後のわが国のデジタル化社会において重要なインフラである。しかしながら、平成29年に開始された情報連携は、対象となる業務が限定されており、マイナンバーカードの普及率は10.7%と低く、マイナンバー制度が目標とする「行政の効率化」、「国民の利便性の向上」および「公平・公正な社会の実現」は、国民が実感できる水準には至っていない。2018年度 デジタル政府・行革PT 提言明らかにマイナンバーとマイナンバーカードについてちょっとした混同があるようにも読み取れるのですが、我が国の経済を牽引する立場にある優秀な方々が集まる経済同友会の皆さんがまさかそんな初歩的な間違いをするわけがなく、当然ながらなんらかの意図や思惑があって書かれた文と解釈すべきでしょうか。そこにどんな思惑があるのかはよく分かりませんが、経済同友会の事務局各位には深いご同情を申し上げたくなる気分です。
経済団体が提言を行うからには、正しい知識に基づいて効果的な内容にしてほしいと思うのですが、大丈夫なのでしょうか。
ちなみに、マイナンバーについては「行政手続における特定の個人を識別するための番号の利用等に関する法律」に則って厳密に運用されることが義務付けられており、同法の第一条では「行政機関、地方公共団体その他の行政事務を処理する者」が「行政事務」においてのみ「個人番号及び法人番号」を活用することができると定義されています。
つまり、現行の法律に従えば民間がマイナンバーを利用することは最初から考慮されていないわけでして、もし今回の経済同友会が提言するようなことを実現したいとすれば、法律そのものを第一条から根本的に作りかえる必要があります。取りまとめ役である玉塚さんとしては「法律改正という領域まで踏み込んでマイナンバーを民間で活用できるようにしてほしい」という強い思いを持って今回の提言に臨んだということなのかもしれませんが。
経済同友会による提言については、セキュリティ問題に詳しい上原哲太郎さんがTwitterにおいてコメントされておりまして大変参考になります。
OFF|OFF]]" target="_blank">[[twitter:https://twitter.com/tetsutalow/status/1026607669342130176|OFF|OFF]
まあ、そうですよね。これまで政府や関係省庁の中で多くの人々がいかに国民のプライバシーを危険に晒すことなく個人番号というシステムを構築するかに苦心してきた事実をすべてちゃぶ台返しするようにドヤ顔で“提言”されても、何業者側が都合よく名寄せの具にしとるんじゃという話にしか見えません。
そういえば海外でも某巨大名寄せ業者が似たようなニュアンスの素晴らしい提言をしているようでして、世の中どこも同じなんだなという感慨しか浮かんできません。
Facebook、「Messenger」で銀行口座をチェックできる機能を検討か(CNET Japan 18/8/7)
ある大手銀行は、プライバシーに関する懸念を理由に、この協議から離脱したという何しろ、提言の冒頭に本件とは全く関係のない欧州のデータ法制やGDPR(EU一般データ保護規則)まで持ち出してきていて、意味が分かりません。もっと言えば、国民が自らの意思で自らの情報をコントロールできることと、経済同友会が提言する業界に有利な名寄せによる民間活用とは根本的に相容れず利害関係が一致しませんし、マイナンバーとマイナンバーカードをごっちゃに理解したうえでどちらもGDPRとは無関係の内容ですので、何を提言したいのか分からないというのが正直なところです。
(中略)
「要するに、銀行に電話をかけて待たされるより、銀行とメッセージをやり取りできるほうがいいということだ。しかも、(この機能は)オプトイン方式なのだ。われわれがこの情報を、そうした機能を実現する以外の目的で、つまり広告やその他の目的に使うことはない」(同広報担当者)CNET Japan
このように、国民が自らの意思で、自らの情報をコントロールするという考え方は、EU で導入された GDPR(General Data Protection Regulation:一般データ保護規則)における考え方とも合致するものであり、今後のデジタル化されたグローバル社会において、必要な考え方・手続である。そもそもGDPR87条では日本のマイナンバーに限らず国家が一般に利用している識別子その他の取り扱いがきちんと定義されており、国家による個人識別番号を特別扱いしているものであって、経済同友会が出てきて何かを言うべき次元の話ではありません。誤解のないようわざわざ仮和訳まで用意されているのに、何を考えているのか良く分かりません。
2018 年度 デジタル政府・行革 PT 提言 マイナンバー制度に関する提言
個人データの取扱いと関連する自然人の保護に関する、及び、そのデータの自由な移転に関する、並びに、指令95/46/EC を廃止する欧州議会及び理事会の2016 年4 月27 日の規則(EU) 2016/679(一般データ保護規則)
Article 87 Processing of the national identification numberさらには、「内閣官房番号制度推進室と内閣官房情報通信技術(IT)総合戦略室等を統合する形で新たな組織を組成すべき」とまで書かれていて、本件に深くかかわってきた政府CIO補佐官の楠正憲さんにもDISられる始末です。
第87 条 国民識別番号の取扱い
Member States may further determine the specific conditions for the processing of a national identification number or any
other identifier of general application. In that case the national identification number or any other identifier of general
application shall be used only under appropriate safeguards for the rights and freedoms of the data subject pursuant to this
Regulation.
加盟国は、国民識別番号又はそれ以外の一般に利用されている識別子の取扱いのための特別の条件を別に定めることができる。その場合、国民識別番号又はそれ以外の一般に利用されている識別子は、本規則によるデータ主体の権利及び自由のための適切な保護措置の下においてのみ、これを用いることができる。
REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)
[[twitterOFF|OFF]]
あくまで経済同友会での活動は個人ベースのものであるとのことですが、玉塚元一さんは現在代表取締役をしているデジタルハーツ・ホールディングスではセキュリティ事業を育成する目的でホワイトハッカーの育成にまで言及しています。
「ホワイトハッカー集団育てる」玉塚社長:日本経済新聞(日本経済新聞 18/7/27)
厳しいことを言うようですが、玉塚さん本人が大変な勉強家であることは周囲の誰もが知っているとしても、本件の経済同友会の提言の取りまとめ内容を見る限り、個人情報を取り巻く組織や法制度に関する知識が十全に揃っているとはとても言えません。相応に優れた人材の揃っているはずの経済同友会事務局も止められないほど(マイナンバーとマイナンバーカードの違いも明確でなく、法律第1条から趣旨を理解していない状況で提言をしてしまうほど)、思い込みが強い状態なのではないかとすら思います。
要は、国が定めた法律に則って整備されているマイナンバーを使って個人に関する情報を名寄せしたいというレベルの提言にすぎないわけで、何らかの形で行政事務の一部じゃないとそもそも使えないマイナンバーをどうにかしようと思っても使えるのは登録者の最新住所ぐらいのものです。これらを銀行や保険会社など金融機関がなぜ利活用できるのかと言えば、納税のための源泉徴収の手続きをしたり、保険の払い忘れを避けるための確認業務で必要だからであって、民間が国民の「通し番号」的な代物を利活用したいといっても、結局は玉塚さん以下民間企業各社がその「通し番号」に銀行口座や取引履歴などの情報をいちから蓄積しなければなりません。
マイナンバーを自由に使えるようになれば、納税情報や住所などの情報とセットで他の個人に関する情報もセットで落ちてくるようになる仕組みがあるわけもなく、その辺の仕組みも経済同友会にはきちんとレクされているはずです。しかしながら、個人情報やマイナンバーといったホットな分野でリーガル関連もセキュリティ関連もほとんど情報が出揃っているこの状況なのに、ここまで出鱈目な内容が経済団体の政策提言として堂々と出てきてしまうのはさすがに問題です。
組織の中に偉い人の認識の間違いを指摘し改める機能を強化したほうが意味のある活動になるのではないか、と提言いたしたいと存じます。