マイナカード「落としても悪用されない」はうそ?
岸田政権がゴリ押しするマイナンバーカード
2月末には、最大\2万分のポイントをもらうための駆け込み申請で人々が役所に殺到
しかし専門家はそのセキュリティーの脆弱さを・・・
今年1月の時点でカードの申請件数は運転免許証の保有者数を上回り、普及率は70%近く
行政が効率化されるのは結構な話
マイナポータルを使ってオンラインで行政手続きが行なえる電子政府化の促進も喫緊の課題
個人情報が従来通り分散管理され、芋づる式に情報が漏洩する恐れがないのもいい
マイナカードと保険証の一体化により、今後多くの人がカードを常時携行することが考えられる
河野氏も自身のホームページ上で
(便利な)サービスを利用するために、マイナンバーカードを持ち歩きましょう
だが、その歯切れの良さとは裏腹に“常時携行”に一定のリスクが伴うことはあまり理解されていない
一般社団法人情報システム学会常務理事の八木晃二氏
「現行のマイナンバーカードには異なる目的を持つ機能が乱暴に放り込まれ、“持ち歩いてよい機能”と“大切に管理すべき機能”とがごちゃ混ぜになってしまっています」
マイナンバー制度は、12年に当時の民主党政権が
社会保障と税の公平化・効率化を掲げて法案を提出したのが始まり
現在も、マイナンバー自体は社会保障、税、災害の分野でしか使うことができない
だが番号が記載されたマイナカードにはすでに電子政府にアクセスするための国民ID
全国民共通の身元証明書といった機能が盛り込まれ、今後も拡大されていく見込み
八木氏
「『社会保障と税の改革』も『国民ID』も『身元証明』も、必要なのは“本人確認”ですから、これらを一つのカードに組み込むことは一見合理的に思えます。ただ、それぞれで求められる本人確認のレベルは、全く別物。マイナンバー制度の設計関係者たちが、それを理解せずに制度設計を進めてしまったと思われます」
デジタル社会には大きく分けて四つの本人確認がある
一つ目は身元確認と呼ばれる本人確認
信頼できる発行機関が発行した証明書上の顔写真などの形質情報と
目の前の人の形質を照合することにより、その人が証明書上の本人であると確認することを指す
警察官に「身分を確認できるものを」と言われ運転免許証やパスポートを提示する行為がまさにこれ
マイナカードの身元証明書としての機能もこの身元確認に含まれる
二つ目は当人確認または認証と呼ばれ
ログインIDと暗証番号の組み合わせなど、当人しか知り得ない情報を照合することによって、ログインしているのがユーザー登録を行なった当人であることを確認すること
現行のマイナカードではオンラインで行政手続きができるマイナポータルにログインする際
カードをカードリーダーで読み取った上で4桁の暗証番号を入力することになっている
つまりマイナカード自体を当人確認のツールとして使用している
三つ目と四つ目が真正性の確認と属性情報確認
真正性の確認で、申請者が提示した番号が本当にその申請者に付番されたものかを確認し
属性情報確認で、その番号にひもづくさまざまな情報を取得・確認する
マイナンバー制度の当初からの目的である行政の効率化、や社会保障と税の一体改革、は
この真正性の確認と属性情報確認によって行われる
マイナカードには、このようにレベルの異なる本人確認機能が一緒くたに盛り込まれている
だが、実はこれら四つの本人確認のうちマイナンバーが使われるのは三つ目と四つ目だけ
八木氏
「マイナンバーはヒトに付された番号で基本的には生涯不変。しかし、一つ目の身元確認の場合、必要なのはヒトに付された生涯不変の番号ではなく“券”すなわち証明書自体に付された“券面管理番号”です。カードを紛失して再発行した場合、この券面管理番号が更新されることで古いカードは失効される。事実、マイナンバーカードにも免許証やパスポートと同じく券面管理番号が振られており、身元証明書として使う限りマイナンバーが書かれている必要はありません」
では、二つ目の当人確認の場合はどうか
八木氏
「マイナンバーは“本人しか知らない秘密の番号”ではありませんから、当人確認のログインIDとして使用することは、あまり適切ではありません。そこで“カードを所持しているか”と“4桁の暗証番号を知っているか”で当人確認をすることにしたのです。マイナポータルにログインする際、カードをスマホやカードリーダーで読み取るのは、このためです」
つまり、身元確認も当人確認も、わざわざマイナンバーが記載されたカードを使用する必要はない
言い換えれば、マイナンバーとこの二つの本人確認に使用するカードとの間には何の関係もない
これは多くの国民にとって寝耳に水?
それでも“複数の本人確認が1枚のカードで済むのなら、やはり便利ではないか”
と思う人がいるかもしれないが、そこには明確なリスクも存在する
八木氏
「印鑑を例に考えてみましょう。私たちは宅配便の受け取り程度であれば認印と呼ばれる三文判、銀行口座を使う場合は銀行印、不動産などの取引では印鑑登録をした実印、と場面によって印鑑を使い分けます。マイナンバーカードは、これを全て実印に統一しようと言っているのと同じです。日常的に実印を常時携行して使用するのはあまりに不用意でしょう」
河野氏
〈キャッシュカードと同様、暗証番号が必要〉〈紛失・盗難時には利用停止ができる〉〈暗証番号を一定回数以上間違えるとロックされる〉などの理由で“カードが悪用されることはない”と胸を張る
・・・つまり
キャッシュカード程度のセキュリティー
八木氏
「マイナポータルへのログインにはマイナンバーカードと4桁の暗証番号しか求められません。暗証番号を書いたメモを一緒に持ち歩いていたり、誕生日など単純な暗証番号にしていたりすれば、カードを盗まれた場合に簡単に突破されてしまう」
近年はオンラインバンクなどの民間サービスでも、使い捨ての暗証番号であるワンタイムパスワードなどを使用した多段階認証が常識
これを考えれば、マイナカードを使用した認証のセキュリティーレベルはあまりに脆弱
・・・ちなみに〒は、とってもメンドクサイ
なんで安心?
八木氏
「それに、防犯カメラのついたATMでしか使えないキャッシュカードの持つリスクと、機器があれば誰のパソコンからでもログインできるマイナンバーカードの持つリスクは比べ物になりません。暗証番号ロックや利用停止なども盗難やなりすましの予防効果としては限定的です。むしろ、今後多くの民間サービスとひもづけられれば、ロックや利用停止で生活が立ち行かなくなってしまいます」
民間サービスとの連携が進めば、それだけ悪用のリスクも増加する
2021/3/5の記事
マイナンバーを含む個人の年金情報が中国に流失していたのではないかと、かつて大問題になった疑惑が真実味を帯びてきた
事の発端は、2/17の衆議院予算委員会
立憲民主党の長妻昭・元厚生労働相が質問に立って、厚労省から資料提出させた1本のメールを明らかにした
実はこれ、日本年金機構のホームページにある問い合わせの宛先に送られてきた匿名メール
長妻氏が厚労省から入手したコピーには
送信日時:2017年12月31日11:31
《最近中国のデータ入力業界では大騒ぎになっております。『平成30年分 公的年金等の受給者の扶養親族等申告書』の大量の個人情報が中国のネットで入力されています
誰が担当しているかはわかりませんが、国民の大事な個人情報を流出し、自由に見られても良いものでしょうか?(以下略)》
さらに同一人物が送った別のメール
流出しているとされる2人分のマイナンバーや、氏名、生年月日、配偶者の年間所得の見積額などが記載されていた
今回のコピーでは、その個人情報部分は黒塗りになっていた
厚労省関係者
「あのメールは厚労省がこれまでひた隠しにしてきたものです。さすがに元厚労大臣の長妻氏に『あるはずだ』と責められて、年金局も出さざるを得なくなったのでしょう」
国会質問では、長妻氏が日本年金機構の水島藤一郎理事長に黒塗り部分の真偽を問いただした
これに対して水島理事長
「このマイナンバーが正しいものであるかということに関しましては、私どもとしてはこれを確認させていただくことは差し控えたいと思います」
が
抗し切れないと思ったのか、2/26の衆議院予算委員会での長妻氏の再質問に
2人のマイナンバーについて
「本人のものである」
所得などの情報についても
「届出の内容通り」
そもそもこの問題は2018年に発覚
当時も国会で取り上げられるなど大騒ぎになった
2017年、日本年金機構が個人情報のデータ入力をSAY企画という会社に発注し
そのSAY企画が人手不足を理由に、契約に違反して中国の会社に再委託していたことが明らかになっている
取材していた大手新聞社の記者
「SAY企画に委託したデータは500万人分を超えると言われ、マイナンバーや氏名、生年月日、住所、所得など個人情報が記載されていました。それをそのまま中国企業に渡していたのではないか、という疑惑が持ち上がったのです。
そのうえ、2018年1月6日に立ち入り監査が行われた直後の1月15日には、年金機構からSAY企画に委託手数料が期日より前倒しで支払われるなど不自然な点が判明、さらに機構からの支払額も2億円にのぼっていたことがわかりました。そして問題視する声が大きくなると、SAY企画はさっさと解散してしまい、今に至るまで真相は藪の中です」
・・・誰が甘い汁を・・・
厚労省関係者
「会計検査院からの指摘もあり、厚労省が調査を行ったものの、2019年4月に出された報告では『現時点で、該当契約に関する情報漏えいに関する情報提供等が寄せられていないことから、該当契約に関係する個人情報の不正持ち出しがあったことを窺わせる事実は見当たらなかったとの結論とするのが妥当と考えられる』という表現で、情報流出はなかったと結論づけられました。今回、国会で取り上げられた情報提供のメールはもみ消されていたということです」
SAY企画からの情報流出問題は、厚労省の社会保障審議会の年金事業管理部会(部会長・増田寛也日本郵政社長)に検証作業班が置かれ、いまだに調査が行われている
社会保障審議会に詳しい別の厚労省関係者
「検証作業班はメールの存在を1年以上前につかみ、それを記載した報告書をすでにまとめたようなのですが、厚労省が報告書として世に出るのを阻止してきたようで、2年たっても報告書は部会にすら提出されていませんでした」
しかし今回、厚労省は幻の報告書を長妻氏に提出
長妻氏は2/26の国会質問で、この報告書に次のように書かれている点を追及
《中国の事業者には、氏名・フリガナのみが開示されていたとされているが、実際には、その他の情報が開示されていた可能性がある》
《情報漏洩の可能性についての機構の説明は不十分である。客観的根拠を示したうえで、情報漏洩の可能性の有無について説明する必要があるとの意見があった》
長妻氏は田村憲久厚労相に新事実が出てきたのだから再調査すべきだ、と求めた
田村厚労相
「検証作業班の一部の方はそう言っておられるが、中間報告の案のまま、まとまっていない」
「再調査するつもりは今のところありません」
厚労省関係者
「検証作業班の中には厚労省から仕事を受注している人もいます。会合で、『こんな報告書を出したらもう仕事が来なくなる』と発言し、周囲を驚かせたこともあった。今でも厚労省の意向を忖度するメンバーと、情報漏洩の実態を明らかにすべきだとするメンバーの間で意見が割れています。
厚労省も年金機構も今後、外部から送られてきたメールに記載されていた個人情報は本物だがSAY企画が委託した中国企業から漏れたものではない、メールが送られてきた後、流出したデータがあるという情報は寄せられていないので、現在は流出していないと言い張るつもりです。もうこれ以上、新たな証拠は出てこないと高をくくっているわけですが、本当にこれでいいのかと省内にも疑問視している厚労官僚はいます」
・・・リテラシーって・・・
まあ
実際に痛い目をみないと・・・
あの時
何百人だろうと
臭い飯を喰わせていたら・・・
ヌルいなあ日本
今日は~
セツブンソウ /Shibateranthis pinnatifida
開花してきた
例によって
日が当たりやすい北側が早い
南はポッツ
まあ盛りの頃になれば南もワサワサになるんだろうけど
0 件のコメント:
コメントを投稿