情報漏えい事件の数々とマイナンバ―
前回までマイナンバーを情報セキュリティの観点から解説しました。この短期間で、日本年金機構の事件を皮切りに、日本国内の組織をターゲットとした標的型攻撃と思われるさまざまな事件が連日報道されました。EMDIVI、CloudyOmega攻撃、BlueTermiteといったキーワードが飛び交っています。
こうした状況を受け、参議院の内閣委員会では、政府の原因究明や国民の不安解消を優先させるため、6月9日の理事懇談会にてマイナンバー法と個人情報保護法の改正案についての審議を、当面見送ることについて合意しました。この件だけが原因ではないにしても、今通常国会は9月27日までの95日間という、現行憲法下では最長期間の延長が決議されました。
マイナンバー法の改正案は、マイナンバー制度を平成30年から金融機関の預金口座や医療分野などにも適用するという内容が追加されたものです。こちらも議論されている個人情報保護法改正案とともに、6月中に成立させようと進められていました。この見送りのため、マイナンバーの適用範囲を拡大しようとする動きに影響、遅れが生じると予想されています。
とはいえ、10月から付番され、2016年1月から行政手続きの一部に導入されるというスケジュールについては既に決まっています。このフェーズに関して対応の準備を進めておかなくてはならないことに変わりはありません。
マイナンバ―の適応範囲が拡大するとどうなるか
ところで、先に挙げた「金融機関の預金口座」や「医療分野」などの範囲へ適用される予定である、という話をすると、マイナンバーのそのものの情報漏えいリスクについて、多少の勘違いがあると感じることがあります。
それは極端な話、これまでは自分の預金口座の取引履歴や残高情報といった属性情報だけを管理していた金融機関のデータベースが、例えば自分の病院での通院履歴や薬の処方履歴なども、行員からは見放題になるのでないかということです。
そしてマイナンバーが漏えいすれば、自分のマイナンバーを持っている人からは行政や金融、医療などそれぞれが管理する属性情報が(全て共有されているため)丸見えになるのでは、といったような漠然とした不安のようでした。
今後マイナンバーが金融機関を含めさまざまな方面にまで普及したとしても、地方自治体や役所、金融機関などが「マイナンバーにひも付けられたあらゆる属性情報を全て含んだ個人情報」を共有し、データベースに所持する、というわけではありません。基本的には、各々が所持するデータとしては「個人の基本4情報」と「その組織で管理している当該個人の属性情報」に「マイナンバー」が加わるだけです。