佐藤 信行 【略歴】
佐藤 信行/中央大学法科大学院教授
専門分野 公法、英米カナダ法、情報法
2012年2月14日、政府は「行政手続における特定の個人を識別するための番号の利用等に関する法律案」(マイナンバー法案)を国会に提出した。この法案は、全住民(中長期滞在外国人や特別永住者も含む。)に対して、それぞれ異なる番号(マイナンバー)を付与し、この番号を、税・社会保障・防災等で共通番号として利用する制度(マイナンバー制度)を導入するものである(法人についても同様の番号を導入する)。今時の第180国会で法が成立すれば、2015年から制度が稼働することになる。
マイナンバー制度は、政府が保有する個人情報の名寄せ制度としては、確かに効率的なものであって、たとえば政府が想定している「医療・介護・保育・障害に関する自己負担の合計額に上限を設定する『総合合算制度』の導入」の基盤として利用することができることは疑いない。しかし他方では、名寄せ(データマッチング)を強力に推進すること自体への原理的疑問や、想定される利便性に比して万が一のリスクが大きいとの懸念も指摘されているところである。
筆者は、社会的分業とコンピュータ化が高度に進んでいる現代社会において、公的サービス等の基盤として個人番号制度を拡大すること自体はもはや不可避であるが、今般の法案が予定する制度には、なお検討すべき点、とりわけ技術的・制度的安全性を高めることが可能な点があると考えている。そこで、本稿では、マイナンバー制度をめぐる技術と法の交錯について考えてみたい。
今日、私たちは、様々な「個人番号」をもっている。この中には、住民票コード・基礎年金番号・健康保険証番号など公的なものもあれば、銀行口座番号や中央大学学籍番号のように私的なものもあるが、いずれにせよ私たちは、これらを用いることで、最小限の個人情報開示によって、自らを特定できるというメリットを享受している。
もっとも、これまでの社会システムにおいては、これら個人番号は、目的や組織ごとに異なるものとして設計することが基本であった。その背景には、単一の個人番号を複数の目的や組織で利用すると、それを鍵として情報の名寄せが生じ、結果として本人が望まないプライバシー侵害が生じることへの懸念がある。しかし、今回のマイナンバー法案は、一言でいえば、税・社会保障等の分野について、名寄せのメリットを認めて、共通番号を導入するものである。そして、このメリットは、一方では政府にとってのもの(所得の正確な把握による課税・徴税など)であると同時に、上記の「総合合算制度」のように国民のものでもあるとされている。
なお、税との関係での名寄せについては、1980年代に「少額貯蓄等利用者カード制度」という番号制導入法が公布されたものの、その施行前に廃止されたという経緯があり、今回は30年ぶりの提案ということになる。
マイナンバー法に対する批判として、名寄せ自体に内在するプライバシー侵害の危険性を指摘するものがある。これは、確かに重要なものである。しかし、たとえば、累進課税による課税の公平を是とするならば、個人の経済活動や生活に関する情報について、一定範囲での名寄せを行うことが不可避であることも、また事実である。全ての政府財源を消費税化すれば、個人の経済活動を政府に知らせる必要はなくなるが、そのような税制をもつ社会は、決して公平・公正なものとはいえないであろう。
そこで、名寄せの目的と手段の双方について、その必要性や合理性・安全性等を慎重に検討することが重要となる。ここではマイナンバー制度の安全性に着目して、1つだけ問題を指摘しておきたい。
マイナンバーは、複数の行政目的のために用いる共通番号であるが、こうした番号は既に多くの国で用いられている。その中で最も安全性が高いと考えられているのが、オーストリアが採用している技術・制度モデルである。
このモデルは、概ね、次のようなものである。
(1)政府は、国民に対して公開個人IDを附番する。このIDは、政府も当該個人も保有している。
(2)政府は、公開個人IDから、暗号技術を用いて非公開個人IDを生成し、本人に渡すICカードのみに記録する。非公開個人IDから公開個人IDを復元することは、暗号鍵がない限り、技術的に不可能である。また、この暗号鍵は、高度に独立した政府機関であるデータ保護委員会だけが保有する。つまり、政府は、非公開個人IDを恒常的に保有するものではない。
(3)政府機関等が個別のデータベース(たとえば、個人課税データベース)を構築し、そこに個人情報を登録するに際しては、データベース管理主体ごとに割り当てられるコードと非公開個人IDを元に、第3の個人IDを生成し、これを利用する。このとき必要な非公開個人IDは、法に基づくデータ保護委員会の許可を得て公開個人IDからその都度生成するか、本人が提示するICカードから読み出すか、のいずれかの方法で取得するが、非公開個人ID及び公開個人ID自体を個別のデータベースに記録することは禁止される。
以上を簡単にいえば、オーストリア方式とは、全国民に共通番号を付与しているものの、通常はそれから生成されるデータベース管理主体ごとに異なる孫番号を利用するものであって、かつ、政府自身も孫番号から共通番号を自由に復元することができない技術と制度に支えられているものといえる。
この結果、オーストリア方式では、2重の意味で安全性が確保される。第1に、万が一あるシステムから情報が流失しても、そこに記録されている個人IDは、他のシステムでは使われていないものであるから、これを使って個人情報を名寄せされることはない。第2に、複数のシステムを横断して名寄せをするためには、その都度、データ保護委員会が管理する暗号鍵の提供を受け、名寄せ対象システムごとの個人IDを生成することが必要になるから、政府や公務員が法律外で名寄せを行うことは、技術的・制度的に不可能である。
他方、今回の法案が予定するマイナンバー制度では、(1)の公開個人IDにあたるものとして住民票コードを利用するから、(2)の非公開個人IDにあたるものがマイナンバーということになるが、これは非公開ではなく、政府自身も保有する。また、個別データベースの中では、マイナンバーを利用せず、(3)の個人IDにあたるものを利用することになっているが、その双方を記録し双方向変換を行う「情報提供ネットワークシステム」は、国(総務省)が運用することになっている。このため、第1のリスクは軽減されているが、第2のリスクに対しては懸念が残ることは否めない。ジョージ・オーウェルの『1984』の悪夢は杞憂であるとしても、「正規のデータベース・アクセス権限を有する者による不正アクセス」(たとえば、ストーキング行為を行っていた駅員が交通系ICカード記録を読み出した事件が記憶に新しい)のリスクは目の前に存在している。
以上みたように、マイナンバー制度をめぐる問題の1つは、情報技術をどのように法制度に組み込むか、という技術と法の交錯にあり、このことが議論を分かりにくいものとしている原因でもあろう。しかし、政策選択に際しては、安全性、利便性、コスト等を総合的に判断することが欠かせない。その意味で、利用する技術基盤の変更を含めた議論を深めることが必要である。