マイナンバーカード界隈が賑わっていますが、それとは別に、大きな誤解があるように見えるので情報セキュリティの観点から考えてみたいと思います。

まず、マイナンバーカードを常時持ち歩くようになれば個人情報漏洩に繋がるのではないかという指摘があります。確かに、カードに記載されている内容はマイナンバーを筆頭に住所・氏名・生年月日があります。しかしながら、それらはマイナンバーを個人を特定する番号とすると、運転免許証や保険証(住所を除く)にも記載されている事項になります。そう言った意味では紛失時のリスクは、それらと同等という事になります。また、ICチップに収容されているデータも券面記載情報(顔写真含む)と電子証明書のみですから、特別に危険だという事はありません。4桁のPIN(暗証番号)を3回間違えるとロックされチップの情報は読めなくなりますし、ロック解除には市町村役場へ行って手続きする必要がありますので安全性は高いと言えます。

あと、マイナンバーが漏れると個人のあらゆる情報が取得されてしまうのではと心配される方もおります。しかしながら、マイナンバーを知ったところで各省庁のサーバーにアクセスする手段はありませんので、知らぬ間に個人に関するあらゆる情報が取得されることはありません。使い道があるとすれば、各省庁のサーバーをハッキングして情報を取得するという事になりますが、省庁横断で一括取得できるわけではないので特別に危険であるという事はありません。マイナポータルにログインすると省庁横断であらゆる情報が取得できるように見える為勘違いされる方がいらっしゃるのもやむを得ないかと思いますが、マイナポータルはその名の通りポータルサイトであるので、各省庁のサーバーに個別にアクセスして情報を取得しているだけであって、横断的に取得できているわけではありません。また、マイナポータルにログインするにはマイナンバーカード内の電子証明書が必要ですので、マイナンバーが漏れたところでマイナポータルにはログインできません。

マイナンバーが出た当初、絶対に漏らしてはいけない番号だとされたことから誤解が生じていますが、漏れたところで悪用できる場所はないという事は覚えておいて損はないでしょう。では、何故、各企業が従業員のマイナンバーを取得するのに厳重な対策を求められるのかというと、全従業員のマイナンバー含む個人情報が束で取られると、それはそれでセキュリティリスクを生む可能性があるからですね。一人分であれば特別問題になることはなくても多数の情報が漏洩すると悪用できる機会が増える(例えば、身分証明書としてしか使えない偽のマイナンバーカードを作られたりする)可能性があるからなのです。

他には、マイナンバーカードを保険証として使う場合に「受付に提出しなければならない」と勘違いされている方も多いですね。実際には、端末のカードリーダー部に自分でカードを置いた上で顔認証するという仕組みですので、受付に提出する必要はありません。実際、病院や薬局に設置されている端末を見ると全て利用者側に向いて設置されています。これも運用上のセキュリティ確保の為にそうなっていると考えて良いでしょう。

では、絶対に安全なのか?と言うと、そうとは言えません。情報セキュリティには100%安全はあり得ないからです。しかしながら、それは運転免許証や保険証にも言えることですし、先にも書いたとおり省庁横断で一括取得が出来るわけではありませんので、セキュリティリスクという観点で考えると他の行政システムと同等もしくは、それよりも安全と言えるかもしれません。

そういう正しい情報を理解した上で、正しく怖がることが重要です。何事も、安全性(危険性)と利便性(不便性)のバランスの問題で、それは各個人が自分に照らし合わせて考えるべきと考えます。そして、それは企業のDXにも同じ事が言えるのです。それは、後日ブログの方に投稿したいと思います。