どう考えても怖すぎるマイナ保険証「シンガポールでハッキング」「米国ではなりすまし被害が2年で2兆円」「英国は廃止に」どうする、日本

日本の番号制度は、行政分野をまたいだ情報連携が可能な「フラットモデル」が採用されている。この制度は「マイナンバーカード」のようなものを使うと、1つの番号で芋づる式に個人情報が引き出せるという弱点を持っているのだ。もし、情報が漏れたら…いったいどうなってしまうのか。実例を紹介する。『マイナ保険証の罠』 (文春新書)より、一部抜粋、再構成してお届けする。

#1
#3

情報先進国でも医療情報がハッキングに

心配なのが、やはりセキュリティです。

本格的にデジタル化が進むと、自分になりすました誰かに医療情報を盗み見られて悪用されたり、民間から情報が漏れ出したり、といったケースは飛躍的に増えるでしょう。ことに医療情報は高値で売れる情報なので、ハッカーに狙われやすいのです。

医療大国シンガポールは、医療のデジタル化でも日本のはるか先をいっています。シンガポールは、2014年から、情報通信技術（ICT）を活用し保健省管轄下で公的医療グループ・シングヘルスが医療情報を構築してきました。

患者やその家族がアプリを通して情報を共有するなど、デジタル技術で多くのものがつながる仕組みを構築しています。

このシステムに目をつけたハッカー集団が、2018年、シングヘルスに大規模なサイバー攻撃を仕掛け、リー・シェンロン首相をはじめ約150万人の医療情報が流出しました。首相がどんな薬を飲んでいるか、といった情報までが、ハッカーの手に渡ってしまったのです。

医療情報が国の元で一元管理されていたために、一度で大量の情報が盗まれたわけです。

日本の「マイナンバーカード」のように、公だけでなく民間などあらゆるところに接続していこうというシステムの場合、そのつなぎ目がもろいと、ハッキングだけでなく、ランサムウェアなどの悪質なウイルスを仕込まれる心配もあります。

ランサムウェアとは、「ランサム（Ransom＝身代金）」と「ソフトウェア（Soft-ware）」をつなげた造語で、システムを止めるなどの悪意あるウイルスを仕込み、解除する代わりに多額の身代金を要求する手口の犯罪です。

いったんシステムに入り込まれたら多くの情報が漏れ出すリスク

日本の番号制度は、図（11）のような「セパレートモデル」「フラットモデル」「セクトラルモデル」と分類されている中の「フラットモデル」にあたります。

行政分野をまたいだ情報連携が可能なので利便性が高いですが、その反面、「マイナンバーカード」のようなものを使うと、1つの番号で芋づる式に個人情報が引き出せるという弱点があります。

図11。『マイナ保険証の罠』より

いっぽう、ドイツやフランスなど個人情報の管理が厳しい国では、各行政分野で別々の異なる番号が使われる「セパレートモデル」になっています。

面倒ではありますが、個人情報が芋づる式に引き出されないという点で、「フラットモデル」よりも情報漏洩のリスクが低く、プライバシーを守りやすい。被害も「フラットモデル」に比べると低く抑えられているようです。

図を見てもらうとわかるように、フランスやドイツなど欧州の国々では、個人情報が一気に流出することを恐れて複数の社会保障番号で情報を管理していますが、アメリカ、韓国、シンガポールなどは、行政効率を優先して、1つの共通番号で情報を管理する仕組みになっています。

そのために、便利ではありますが、いったんシステムに入り込まれたら、多くの情報が漏れ出てしまう恐れがあるのです。

アメリカでは「なりすまし」の被害が2年で2兆円

実際に「フラットモデル」のアメリカでは、他人の社会保障番号を入手した人が、その社会保障番号の所有者になりすまして銀行預金を引き出したり、クレジットカードを使用したりする詐欺被害が多発しています。

このなりすましによる被害者は、アメリカ全体で、2006年から2008年までの2年間で、約1170万人。被害総額は日本円にして2兆円と言われる途方もない金額になっています。

そのため、アメリカでは、社会保障番号が利用できる分野を制限しようとする動きが始まっています。

韓国でも、利用範囲を拡大させる中で、住民登録番号が盗まれ、本人になりすましてシステムに侵入する事件が多発しています。そのため、当初よりも利用範囲を限定し、法律が認めた場合を除いて、民間事業者による住民登録番号の収集が禁止されるに至りました。

イギリスでは「マイナンバーカード」が廃止に

イギリスでは、「マイナンバーカード」にあたる「国民IDカード」を発行するための法律が2006年に成立しましたが、人権侵害への危険や、巨額な費用がかかること、さらには情報漏洩の危険が拭えないことから2010年に廃止しています。

その代わり、2016年に公共サービスの共通認証プラットフォームが導入され、利用者が望めば、政府の認証を受けたデジタルIDが発行され、オンラインで行政サービスが受けられるようになっています。

イギリスでは、デジタルIDをつくるサイトで、簡単にオンラインでIDを発行してもらうことができます。免許証などの身分証と一緒に写った写真を送り、自分しか知らない質問に答えたり、銀行口座にオンラインでサインアップするなどの方法で本人認証ができれば、簡単に発行してもらえます。

このIDで、政府のサービスなどへログインできますが、あくまで希望者のみに与えられるIDで、使う方も、自己責任であることを最初から心得ています。

マイナンバーカードの情報漏れ、政府は責任を負わない⁉

マイナンバーカードによる情報流出をめぐって、大きな議論を呼んだのは、デジタル庁の「免責」問題でした。

デジタル庁の「マイナポータル」利用規約を見ると、2022年3月時点では第23条に「免責事項」として、デジタル庁はマイナポータルの利用に当たり、「利用者又は他の第三者が被った損害について一切の責任を負わない」とされていたのです。

このことを問われた河野大臣が、「マイナポータルの利用規約は、民間のインターネットサービスの利用規約と比べて、極めて一般的なもので特殊な要素はない」と言い放ったために、「民間じゃなく、政府のサービスなのに、あまりに無責任だ」とクレームの嵐が起こりました。

これにあわてたデジタル庁は、今年になってこっそりと免責事項に「デジタル庁の故意又は重過失によるものである場合を除き」という文言を付け加えたのです。

マイナンバーは、流出したり悪用されたり、といったトラブルに関しては、100％、国が責任を持ってくれる制度になっています。これはマイナンバーが、政府が強制的に全国民に付けた番号であること、「法令で定められた利用できる主体」が国や自治体であることによるものです。

マイナンバーカードでも、裏面に記されたマイナンバーについては、国が責任を負います。問題はICチップで入れる個人情報です。こちらは「民間も含めて広く利用が可能」ですから、「国は必ずしも全責任を持つ必要はない」ということになっているのです。

しかし、誤登録などさまざまなトラブルが発覚するなか、いちどは「一切免責」で押し通そうとした政府の姿勢は、国民の信頼を減じるものだったことは確かでしょう。

「デジタル庁の故意又は重過失によるものである場合を除き」が加えられたのは、一歩前進とはいえますが、これでも責任の所在がはっきりしないと、プライバシー問題に詳しい東京弁護士会の水永誠二弁護士は指摘します。

「故意とは、わざとということ。重過失というのも、単なる過失ではなく著しく注意が欠如した過失ということで故意に近く、よほどのことでないと責任を問えません。しかも、どこまでが故意でどこまでが重過失なのかという判断は、誰がするのでしょうか」

デジタル化社会において、「絶対安全」はない以上、不測のトラブルに備え、責任の所在は明確に示してもらいたいものです。


文／荻原博子 写真／shutterstock

#1『こんなに恐ろしいマイバンバーカード…「女性なのに別人男性で顔認証」「人材派遣会社に丸投げ自治体」あなたは狙われている！』はこちらから

#3『国民に手間をかけさせ「マイナ保険証」を強制する岸田政権…メリットが乏しいのに「２万マイナポイント」だけで普及をはかる愚策』はこちらから

『マイナ保険証の罠』 (文春新書)

荻原 博子 (著)

2023/8/18

￥935

224ページ

ISBN：

978-4166614226

マイナンバーカードに、いったい何が起きているのか?
7000件以上の誤登録、医療現場でのシステム障害など、トラブル続きの「マイナ保険証」。さらに2024年秋には、現行の健康保険証は使えなくなる――。見切り発車、その場しのぎの続く政府の対応への不信感もつのる。このままの状態でマイナンバーカードの「拡充」が進めば、情報流出のリスク、情報弱者切り捨てなどの問題も増大するだろう。政府を挙げて暴走するDX政策の罠を、利用者の目線でわかりやすく解き明かす。