自公政権がデジタル社会実現のため、「マイナンバーカード(マイナカード)」の取得を促進。
ポイント事業にはすでに2兆円超の予算が注ぎ込まれ、昨年10月には河野大臣が、
マイナカードと一体化した上で健康保険証の廃止を目指すと発表。
一般社団法人「情報システム学会」の八木晃二常務理事によれば、
「現行のマイナンバーカードには異なる目的を持つ機能が乱暴に放り込まれ、
“持ち歩いてよい機能”と“大切に管理すべき機能”とがごちゃ混ぜになってしまっています」と警報を鳴らす。
そもそもマイナンバー制度は、12年に当時の民主党政権が、
「社会保障と税の公平化・効率化」を掲げて法案を提出したのが始まり。
現在も、マイナンバー自体は「社会保障」「税」「災害」の分野でしか使うことができない。
だが、番号が記載されたマイナカードにはすでに「電子政府にアクセスするための国民ID」や、
「全国民共通の身元証明書」といった機能が盛り込まれ、今後も拡大されていく。
「『社会保障と税の改革』も『国民ID』も『身元証明』も、必要なのは“本人確認”ですから、
これらを一つのカードに組み込むことは一見合理的に思えます。
ただ、それぞれで求められる本人確認のレベルは、全く別物。
マイナンバー制度の設計関係者たちが、それを理解せずに制度設計を進めてしまったと思われます」と指摘。
「マイナンバーはヒトに付された番号で基本的には生涯不変。
しかし、身元確認の場合、必要なのはヒトに付された生涯不変の番号ではなく“券”、
すなわち証明書自体に付された“券面管理番号”です。
カードを紛失して再発行した場合、この券面管理番号が更新されることで古いカードは失効される。
事実、マイナンバーカードにも免許証やパスポートと同じく券面管理番号が振られており、
身元証明書として使う限りマイナンバーが書かれている必要はありません」
「マイナンバーは“本人しか知らない秘密の番号”ではありませんから、
当人確認のログインIDとして使用することは、あまり適切ではありません。
そこで“カードを所持しているか”と“4桁の暗証番号を知っているか”で当人確認をすることにしたのです。
マイナポータルにログインする際、カードをスマホやカードリーダーで読み取るのは、このためです」
つまり、身元確認も当人確認も、わざわざマイナンバーが記載されたカードを使用する必要はない。
言い換えれば、マイナンバーとこの二つの本人確認に使用するカードとの間には何の関係もない。
これは多くの国民も知らない話だ。
それでも“複数の本人確認が1枚のカードで済むのなら、やはり便利ではないか”と思う人がいるかもしれない。
ところが、そこには明確なリスクも存在する。
「印鑑を例に考えてみましょう。私たちは宅配便の受け取り程度であれば認印と呼ばれる三文判、
銀行口座を使う場合は銀行印、不動産などの取引では印鑑登録をした実印、と場面によって印鑑を使い分けます。
マイナンバーカードは、これを全て実印に統一しようと言っているのと同じです。
日常的に実印を常時携行して使用するのはあまりに不用意でしょう」
河野大臣は”カードが悪用されることはない”と胸を張る。
だが、「マイナポータルへのログインにはマイナンバーカードと4桁の暗証番号しか求められません。
暗証番号を書いたメモを一緒に持ち歩いていたり、誕生日など単純な暗証番号にしていたりすれば、
カードを盗まれた場合に簡単に突破されてしまう」
近年はオンラインバンクなどの民間サービスでも、使い捨ての暗証番号であるワンタイムパスワードなどを使用した多段階認証が常識になっている。
これを考えれば、マイナカードを使用した認証のセキュリティーレベルはあまりに脆弱だという。
「それに、防犯カメラのついたATMでしか使えないキャッシュカードの持つリスクと、
機器があれば誰のパソコンからでもログインできるマイナンバーカードの持つリスクは比べ物になりません。
暗証番号ロックや利用停止なども盗難やなりすましの予防効果としては限定的です。
むしろ、今後多くの民間サービスとひもづけられれば、ロックや利用停止で生活が立ち行かなくなってしまいます」
民間サービスとの連携が進めば、それだけ悪用のリスクも増加する。今一度、熟慮と検証が必要である。
「週刊新潮」2023年3月2日号抜粋