マイナンバーはいらない

post by nonumber-tom at 2023.12.31 #363
総点検 デジタル庁 立入検査 ひも付け誤り マイナンバー制度の構造的欠陥 個人情報保護委員会 省庁ヒヤリング

個人情報保護委員会への再質問と回答
マイナンバー制度・カードに関する 省庁ヒアリング

 9月28日、福島みずほ事務所を通じて厚労省・総務省・デジタル庁・個人情報保護委員会に、マイナンバー制度やマイナカードについてヒアリングを行いました。
 その際、個人情報保護委員会がデジタル庁に対して行った調査と指導の中で、「特定個人情報保護評価」の実施について重要な事実経過が欠落しているのではないかと指摘し、同委員会に再質問したところ回答がありました。
 回答内容は、私たちの疑念を深めるものでした。

●個人情報保護委員会への再質問に対する同委員会の回答

 以下の記事中には今回の「再質問と回答」の全文は掲載していません。「再質問と回答」の全文は以下からダウンロードできますので、ご参照ください。

 » 個人情報保護委員会から届いた再質問への回答(質問全文付き)

●個人情報保護委員会への1回めのヒアリングの報告は、» こちら を参照ください。

個人情報保護委員会は、その役割を果たしているのだろうか?

 2023年9月28日の個人情報保護委員会に対するヒアリングで、2023年7月19日からデジタル庁に行った立入検査の報告1に、マイナンバー制度に対する重要な個人情報保護措置である「特定個人情報保護評価」2についての事実経過が漏れており、そのためにデジタル庁に対する監視監督が不十分になったのではないか、と問題になった3
 この点について、あらためて福島みずほ事務所を通して質問されれば回答するという扱いになっていたところ、個人情報保護委員会からは5点の質問に対する回答があった4
 回答を見ると、  
     
  • ・調査にあたり2022年10月のデジタル庁の特定個人情報保護評価書を見落としていたのではないか  
  • ・その結果、デジタル庁に対する監視監督が「指導」という軽いものになったのではないか  
  • ・誤登録が発生した原因に対する検討がされていないのではないか
などの疑念は払拭されていない。
 マイナンバー制度の危険性に対する保護措置として生まれた個人情報保護委員会5が、その役割を果たしているのか問われている。

 なお個人情報保護委員会が10月末までに回答するようデジタル庁に求めた指導事項に対し、改善状況報告が2023年12月6日にデジタル庁から公表され6、個人情報保護委員会からは同日、改善策を評価する「マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応について」7が公表されている。

個人情報保護委員会が報告した誤登録に対する特定個人情報保護評価の経過

 公金受取口座の誤登録は、市区町村の支援窓口の共用端末で操作ミス(ログアウト忘れ)等により、別人のマイナンバーと銀行口座情報がひも付いたことで発生したとされている。2023年9月20日に個人情報保護委員会が公表した公金受取口座の誤登録についての立入検査報告(前出1参照)では、以下の経過が書かれている(p.13~)。
1) 2021(令和3)年3月4日より、公金受取口座登録に関する特定個人情報保護評価の相談を開始
  評価書には「入手した特定個人情報が不正確であるリスク」の項目に、マイナポータルにおいてマイナンバーカードおよびパスワード入力により当該預貯金者の本人確認を行う旨記載して、当該リスクへの対策は十分であると記載してあった。
2) 2021(令和3)年10月20日、個人情報保護委員会はこの評価書を審査。リスク対策全般について、不断の見直し・検討を行うことが重要である等を指摘した上で、これを承認した。
3) 2022(令和4)年6月30日、マイナポイント第2弾とあわせ公金受取口座登録開始。
  前年の保護評価書では想定していなかった、市区町村の支援窓口の共用端末を用いて多数の者の公金受取口座登録手続を連続して行うことになった。
4) デジタル庁は6月24日、地方公共団体に対してログアウトの徹底を依頼する内容の手順書を送付しており、共用端末によってログアウト漏れによる誤登録の発生を予測していた。
5) 2022(令和4)年7月19日、誤登録が豊島区で発生。その後も立て続けに発生したことをデジル庁は認知したが、ログアウト漏れのリスクが顕在化した時点においても、デジタル庁はそのリスク対策等の見直しについて組織的な検討をしなかった。
 この経過に対して個人情報保護委員会は、共用端末の使用のようなリスクを変動させ得る事実関係の変更が生じた際などには、必要な特定個人情報保護評価を適時・適切に実施する体制を有効に機能させることが求められる、と、デジタル庁が改めて特定個人情報保護評価を実施していないことを指摘している。
 ところがデジタル庁は、誤登録発生後の2022年10月21日に「特定個人情報保護評価書」の見直しを提出し8、個人情報保護委員会はこれを2022年10月26日に承認している9。この経過がデジタル庁の調査報告には記載されていないのは調査の不備ではないかと、私たちは指摘した。

デジタル庁の「評価書」の事実に反する記載が見過ごされている

 さらに問題なのはこの調査の不備によって、デジタル庁の特定個人情報保護評価書の事実に反する記載が見過ごされてしまったのではないか、という点を指摘した。
 デジタル庁が2022年10月に作成した「特定個人情報保護評価書」では、個人情報保護委員会が問題としている「入手した特定個人情報が不正確であるリスク」の項目について、若干の記載変更をしたうえで、対策は十分であると記載している(p.33)。
 しかしすでに2022年7月には誤登録が発生し、自治体からの連絡でデジタル庁は発生を知っていた。つまり「入手した特定個人情報が不正確であるリスク」が誤登録として顕在化しているにもかかわらず、10月に誤登録に触れずに「リスク対策は十分」と記載した評価書を提出していた。
 提出を受けた個人情報保護委員会は、「リスク及びリスク対策が具体的に記載されており、特段の問題は認められない」と、これを承認していた(p.47)。

 2023年7月に立入検査した個人情報保護委員会は、この一連の経過を把握できた。
 デジタル庁が保護評価書に意図的に誤登録発生を記載しなかったのか、それとも庁内の情報共有の不備で保護評価書を作成した部署に誤登録発生が伝わっていなかったのかは不明だが、それを個人情報保護委員会は調査すべきだった。
 またいずれであれ、個人情報保護委員会は誤った保護評価書が提出されていることへの対応を検討すべきだった。
 なおデジタル庁は12月6日公表の改善報告の中で、「環境変化に応じて特定個人情報保護評価書の見直しを行うことへの意識が必ずしも十分ではなかった」として、リスク事案等が発生した場合に情報共有する対策などを述べている6

やはり個人情報保護委員会は
デジタル庁の特定個人情報保護評価書の内容を見落としているのでは?

個人情報保護委員会による監視監督の機能不全が、再質問への回答4から見えてくる。

再質問1 について

 2022(令和4)年10月にデジタル庁が提出した特定個人情報保護評価書について、調査報告と指導文書になぜ記載していないのか質問した。
 回答は、保護評価の見直しを行った目的と今回の公金受取口座の誤登録とは直接関連しないから、というものだった。

 しかし前述したように、2022(令和4)年10月の保護評価書では、個人情報保護委員会が問題としている「(Ⅲ 2 リスク3)入手した特定個人情報が不正確であるリスク」の記載が、前年度から若干変更されている(p.51)。
 これに対して個人情報保護委員会は、適合性・妥当性審査9において「口座情報登録申請機能による入手は、あらかじめマイナポータルにおいて、マイナンバーカード及びパスワード入力による本人確認を了した後に行うため、対象者以外の情報を入手することはないこと」等が具体的に記載されていると評価し(p.6)、「リスク及びリスク対策が具体的に記載されており、特段の問題は認められないものと考えられる。」(p.13)と結論付けている。

 問題の箇所について改めて評価している以上、関連しないという説明は成り立たない。それとも審査の大部分は、前年度を単にコピペしているだけなのだろうか。

デジタル庁は誤登録発生後に、「リスク対策は十分」と記載

再質問2 について

 デジタル庁が2022(令和4)年7月以降、誤登録が発生していることを把握しながら、同年10月に提出した保護評価書で「リスク対策は十分と」記載していることをどう審査したのかを質問した。

 回答は「再質問1」と同様に保護評価の見直しを行った目的が違うと述べたあと、リスク対策を確実に実行することに加え、不断の見直し・検討を行うことが重要であると指摘した上で「承認している」としていて、見直しを実行しなかったデジタル庁の問題だと言いたげだ。

 デジタル庁の対応が問題であることはいうまでもない。
 しかし私たちが問うているのは、2022(令和4)年7月以降に誤登録が発生しデジタル庁がそれを認知していたことを立入検査によって確認しながら、同年10月にデジタル庁が「リスク対策は十分」とした評価書を提出したことを、個人情報保護委員会がどう評価しているのかだ。
 調査報告でも指導文書でもそれにまったく触れていないということは、評価書に事実に反する記載があってもかまわないと思っているか、2022(令和4)年10月の評価書の存在を見落としていたか、いずれかと思わざるを得ない。

再質問3 について

 事実と異なる評価書をデジタル庁が提出していたことについて、記載内容が事実かどうかをどのように審査しているのかをたずねた。

 回答は評価実施機関(今回はデジタル庁)が記載した評価書の内容に基づいて審査しているというものだった。つまり書面上で問題がないかを審査しているだけで、それが事実かどうかは審査の対象外ということのようだ。

 それで特定個人情報保護評価の目的(事前対応による個人のプライバシー等の権利利益の侵害の未然防止及び国民・住民の信頼の確保を目的とする)が達成できるのだろうか。

事実と異なる評価書に対し、なぜ「勧告」しないのか

再質問4 について

 実施機関が事実と異なる評価書を提出しているのに、個人情報保護委員会が「勧告」などの措置をとらず、今後「特定個人情報保護評価を適時・適切に実施する体制を、有効に機能させることが求められる」という緩やかな「指導」にとどめているのはなぜか、是正されるまで事務の実施を認めるべきではないのではないかをたずねた。

 回答は「事案の内容等を総合的に判断し、指導を行うこととした」と、指導にとどめた理由を明らかにしなかった。「総合的に判断」した中に、2022年10月にデジタル庁が保護評価書を提出していたという事実がふまえられているかも不明だ。

 特定個人情報保護評価の違反に対しては、情報連携を行うことを禁止するという厳しい措置が規定されている(番号法第28条第6項、第21条第2項第2号)10。特定個人情報ファイルの適正な取扱いの確保のための措置が、適切に講じられていないおそれがあるためだ。
 公金受取口座登録は情報提供ネットワークシステムによる情報連携ではないものの同様に利用を禁止すべきであり、実際に誤登録によって2023年7月には所沢市で他人の口座に振り込まれる事態もおきている11
 少なくとも、デジタル庁から改善策が提出され個人情報保護委員会がその審査をした12月6日までは、公金受取口座登録の運用を停止させるべきではなかったのか。自治体では利用を見合わせる動きも起きていた12

誤登録の発生原因への分析が欠けている

再質問5 について

 誤登録の発生原因についてデジタル庁は国会で、当初は手続きの最後にマイナンバーカードをかざして終了する仕組みにしていたが、自治体からマイナンバーカードをかざす回数が多すぎるとの批判を受けて、最後にかざすことをやめる改修をしたことで、別人の登録が発生してしまったため、2023年4月に再びマイナンバーカードをかざす仕組みに改修したと説明していた13
このような誤登録の発生原因についての分析・記載が、個人情報保護委員会の調査報告書に記載されていないのはなぜかを質問した。

 回答は、マイナポータル経由での公金受取口座の登録に関して、「令和4年(2022年)6月以前に、ログアウト時にもマイナンバーカードをかざして本人確認を行うこととなっていたという事実は承知していない」というもので、国会での質疑はマイナポイントアプリに関するものと思われるのでデジタル庁に尋ねるように、というものだった。

 この回答は論点をスリカエている。公金受取口座登録はマイナポイント申請後にセットで行われ、その日の国会質疑でも河野大臣は「公金受取口座の誤登録とマイナポイントのひも付けの誤り、これは支援窓口で共用の端末でやっていただいたときにログアウトをし忘れたということで、前の方のものを上書きをすることになってしまったということ」と説明している14
 マイナポータル経由の公金受取口座登録は2022年6月30日からスタートしており、それ以前の事実がないのは当たり前だ。

 2020年9月から2021年4月まで行われたマイナポイント第1弾で、市区町村は短期間に大量のマイナンバーカードとマイナポイントの申請を処理しなければならなかった。第2弾にあたり臨時で職員を配置したり非常勤職員を雇用したりしてなんとか対応しようとしたが、第1弾を上回る申請が予想され、新たにマイナ保険証や公金受取口座の申請にも対応するために、すこしでも操作手順を簡略化してスムーズに対応しようと、申請終了時のマイナンバーカードをかざす手順の省略を希望したと思われる。
 無理なマイナンバーカードの普及策が誤登録発生の背景にあり、そのことを指摘しない調査では問題の解決にならない。

 なお2023年12月6日に公表されたデジタル庁の改善報告書6では、「地方公共団体における支援窓口でのログアウト忘れ防止のための対策が必ずしも十分ではなかった」と認め、公金受取口座登録について「令和5年6月23日にログアウト忘れ防止機能を搭載することで、システム面での所要の対応をした」(p.1)と、仕組みの改修をしたことが報告されている。

再質問に対する個人情報保護委員会の回答を受けて

 マイナンバー制度に、マイナンバーを用いた個人情報の追跡・名寄せ・突合や集積・集約された個人情報の漏えい、成りすましなどの不正利用による財産等の被害、国家による個人情報の一元管理などの危険性があることを政府は認めてきた。その危険性を現実化させないための保護措置として、個人情報保護委員会による監視監督や特定個人情報保護評価制度があると政府は説明してきた5。これらの保護措置が機能しなければ、危険性は現実となる。

 今回個人情報保護委員会は、指導文書だけでなくデジタル庁に対する立入検査やコンビニ交付の誤りについての富士通Japanにたいする調査の報告書を公表した。これが異例の対応であることを個人情報保護委員会はヒアリングで述べ、事案の重要性を認識していることを強調した。
 私たちも立入検査の実施や調査内容を公表したことは評価したい。しかしその調査報告によって、特定個人情報保護評価制度や個人情報保護委員会の監視監督が十分に機能しているのか疑問を感じることとなった。

 政府は12月12日にマイナンバー情報総点検の結果報告を発表し、岸田首相は国民の不安払拭ができたとして健康保険証の廃止を表明した。しかし一連の経過は、むしろ市民の不安を深めている。
 2023年6月の番号法改正でマイナンバー制度の利用拡大が本格化しようとしている今、保護措置である特定個人情報保護評価制度や個人情報保護委員会が機能しているのか、厳しく見ていかなければならない。

Note

*1 » 「デジタル庁に対する特定の個人を識別するための番号の利用等に関する法律及び個人情報の保護に関する法律に基づく行政上の対応について」(2023/9/20)

*2 » 個人情報保護委員会「特定個人情報保護評価の概要」

*3 共通番号いらないネットWeb » 個人情報保護委員会からの回答 マイナンバー制度・カードに関する 省庁ヒアリング

*4 » 個人情報保護委員会による、再質問に対する回答文書

*5 » 「マイナンバー制度における安心・安全の確保」(デジタル庁)

*6 » 『「特定個人情報及び個人情報等の取扱いについて(指導及び報告等の求め)」における指導事項の改善状況報告書』(デジタル庁令和5年10月31日付 公開日:2023年12月6日)

*7 » 「マイナンバーカード等に係る各種事案に対する個人情報保護委員会の対応について」

*8 » 「口座登録法に基づく公金受取口座の登録等に関する事務及び預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する事務 特定個人情報保護評価書(全項目評価書)」(内閣総理大臣 2022年10月26日)

*9 » 「特定個人情報保護評価書の特定個人情報保護評価指針への適合性・妥当性の審査」(2022年10月26日第221回個人情報保護委員会 資料2-2)

*10 » 「特定個人情報保護評価の概要」(p.18、個人情報保護委員会 2022年4月最終改訂)

*11 » 「マイナンバー誤登録 別人の公金受取口座に振り込み 埼玉 所沢」(2023年7月19日 NHK)

*12 » 「マイナンバー公金受取口座 台東区も一部利用せず 他自治体は」(2023年6月16日NHK 首都圏 NEWS WEB)

*13 » 第 211 回国会参議院地方創生及びデジタル社会の形成等に関する特別委員会(参議院会議録 第12号 2023.5.29)

*14 » 第211回国会 参議院 地方創生及びデジタル社会の形成等に関する特別委員会(参議院会議録 第12号 2023.5.29)

twitter@iranai_mynumber facebook@bango-iranai
次の記事 « » 前の記事