.
今月から運用が始まった「マイナンバー」に、個人情報保護の側面などから懸念の声も聞かれるが、「住民登録番号」を半世紀近く前から導入している韓国では、これまでどのような危険が発生したのか。また、それらにどのような防衛策があるかを考えてみよう。
韓国で後を絶たない
個人情報の不正流出
規制強化も流出は止まず 第1回では、韓国社会に住民登録番号が浸透し、それがITで管理されることで、行政や民間が提供するサービスの手続きが合理化され、国民生活に便宜を与えている現状について、いくつかの例を挙げながらお話しした。
しかし、今月からマイナンバー制度の運用が始まった日本では、制度導入前から「国の監視が強化され、プライバシーがなくなる」「番号が盗まれたら個人情報を全部見られる」など、国民の間では、どちらかというと「マイナンバーは怖い」という意見が、マスコミの報道でもネット上の書き込みなどでも目立っていたようだ。
たしかに、少なくとも「番号が盗まれたら……」という懸念に関しては、決して考え過ぎではないと思う。現実に韓国では、オンラインショッピングやオンラインコミュニティサイトで個人情報がハッキングされる事件が後を絶たないのだ。
住民登録番号は個人情報の最たるものであり、戸籍、住所、税金、社会保険、年金、出入国記録などと紐づけられている他、銀行口座の開設やクレジットカードの取得、不動産からインターネット、携帯電話の契約に至るまで、広い範囲で登録が求められる。住民登録番号が盗まれるということは、これらの重要な個人情報が危険に晒されるということにほかならない。
近年の大きな企業保有の個人情報漏えい事件といえば、2014年1月、KB国民カード、NH農協カード、ロッテカードの韓国大手クレジットカード3社で、のべおよそ1億400万人分の住民登録番号などが流出したケースがある。これはハッキングによるものではなく、3社のセキュリティシステム構築を請け負った会社の社員が、個人情報ブローカーへの売却目的で盗み出したものだ。
少し前の話だが、2011年7月、中国人ハッカーが韓国の大手ポータルサイト「NATE」と、同社のソーシャルメディア「Cyworld」をハッキングし、3500万人分の住民登録番号を含む個人情報を盗んだことがある。
しかし管理にも問題が
ここまで来ると、韓国人のほとんどが個人情報を盗まれた経験を持つと言ってよいかもしれない。かくいう筆者も、会員登録していたオンラインショッピングモールやコミュニティサイトがハッキングされたことで、個人情報が漏えいしてしまったことが何度かある。
ある時は、犯人が私の個人情報を消費者金融に売ったようで、やたらと「お金を借りませんか」という電話がかかってきたり、ある時は、私の家族構成を知り尽くした何者かから、振り込め詐欺電話がかかってきたりしたこともあった。
幸いにも私の場合は、実際に金銭的被害を被るまでには至らなかったが、ニュースを見れば、盗んだ住民登録番号と個人情報で身分証を偽造した犯人が被害者本人になりすまし、携帯電話を購入して振り込め詐欺を働いた……といった類の事件は、今でも少なからず起こっている。
もちろん、韓国政府も個人情報保護に関する規制を強化したり、民間企業もセキュリティ対策に力を入れているが、それでも住民登録番号が盗まれる事件は決してなくならない。ハッキング事件は犯人を捕まえること自体が難しい上、いくら事後対策を立てても手口はさらに巧妙化していくので、常に想定を超える事件が起きてしまうのだ。
その一方で、「これでは情報を盗まれても仕方ない」という、そもそもの個人情報管理の甘さが社会全体にあったことも事実である。
例えば、大手の金融機関が、顧客の住民登録番号を含む個人情報が盗まれていたこと自体に7カ月も気付かなかったという論外のケースから、とある大手企業の顧客データベースでは、サーバへのアクセス暗証番号が「1234567890」だったり、街中で売っている焼き芋の入った袋が、なぜか、保険会社の顧客の氏名、住民登録番号、住所などが書かれた用紙でできていたりと、およそ常識では考えられないずさんな管理がまかり通っていたのだ。
そんな状況に、政府もこれまでさまざまな対策を打ち出してきた。例えば、住民登録番号を入力せずに会員登録を行うための「i-PIN」(注1)の導入を主要な商用サイトに義務付けたり、「情報通信網利用促進ならびに情報保護等に関する法律」では、本人の同意なく不法に個人情報を収集するなどの行為に対して、5年以下の懲役または5000万ウォン(2016年1月7日時点で約490万円)以下の罰金を科している。
2014年1月には、「金融会社顧客情報流出再発防止対策」が出され、個人情報を流出させた金融機関には、最大50億ウォン(同約4億9000万円)の課徴金と、最大3カ月の営業停止処分などが課せられることになった。
また、同年8月には、個人情報保護法を改正し、全ての公共機関と民間事業者に、法的根拠なく住民登録番号を収集することが禁止された。 これにより、単に本人確認や会員管理がしやすいから、といった理由だけで住民登録番号を集めることができなくなった。
住民登録番号の「分かりやすさ」自体も問題視されている。13桁の住民登録番号の最初の6桁はその人の生年月日。これに性別、生まれた地域などを表す7桁の番号が並ぶ。日本のマイナンバーは、家族間でも統一性のない12桁の番号で構成されており、韓国では、このような方式に変えるべきだという議論が高まっている。
注1 i-PIN(アイピン):韓国政府(行政安全部)および、複数の民間発給機関が提供するネット上の本人認証番号
日本のマイナンバーは
韓国企業の商機!?
先日、日本のインターネット上のある書き込みを見ていたら、「自営業者はアルバイトのマイナンバーをどう管理したらよいのか」という投稿に出会った。「マイナンバー法」には、例えば、「正当な理由がない中、特定個人情報を第三者に提供した場合」には、4年以下の懲役もしくは200万円以下の罰金、または両方が適用されるなど厳しい罰則が規定されていて、仮に社員がこれを行った場合でも、企業は責任を問われるからだという。
日本政府が出した「特定個人情報の適切な取扱いに関するガイドライン(事業者編)」には、「中小規模事業者」の特例的対応が記載されていて、その中にマイナンバー管理の専門会社への委託の際の注意点なども書かれている。韓国の場合、自営業者は人事給料管理のクラウドサービスを利用して、社員の個人情報を管理するケースがほとんどだ。
一方、韓国には、日本のマイナンバー制度導入に際し、ナンバー管理などのサービス提供を自国のビジネスチャンスと捉える向きもある。大韓投資貿易振興公社(KOTRA)大阪支店は2015年3月、日本のマイナンバーに関する報告書を発表した。
そこには「(韓国のセキュリティ関連企業は、日本の)マイナンバー市場の成長可能性に注目して攻略する必要がある」「マイナンバー導入で日本企業は人事、給与システムをはじめ、社内システム全般を入れ替える可能性があるので、この分野も日本進出方案を探るべき」「日本の病院向けマイナンバー対応ソリューション需要が拡大する見込み」といった内容が書かれていた。
韓国国内でも個人情報漏えい被害がなくならないのに、はたして韓国製システムを輸出できるのか、という批判も受けそうだが、これまで韓国が住民登録番号に関わる不正を防しようと、政府やセキュリティ関連企業などがさまざまな試行錯誤をしてきた経緯については、ぜひ参考にしていただきたい。
日本政府の示した「マイナンバー制度利活用推進ロードマップ」によれば、日本でも近い将来、行政機関だけでなく銀行やカード会社など民間のサービスでもマイナンバーを用い、ゆくゆくは個人番号カードによる「ワンカード化」を目指すというからなおさらだ。
マイナンバーが生活者の
味方になるには?
韓国では、電子政府やネットバンキングのでのサービス利用の際に住民登録番号に加え、政府が認めた認証機関の発行する「公認認証書」という本人確認のための電子署名が必要であり、この署名がインストールされている端末からしかサービスにアクセスできない仕組みになっている。基本的にはネットバンキングの際に使うものなので、自分の口座のある銀行のサイト経由で無料で作成することができる(注2)。
ちなみに韓国の銀行は、ハッキング防止策の一環として、海外のIPアドレスによるネット経由での振り込みや、その他の手続きを利用できない仕組みを作っている。
こうしたITによるセキュリティ対策以前に、韓国で個人情報漏えいが絶えなかった大きな原因は、何といっても、単に本人確認や会員管理がしやすいという理由だけで、サービス提供者が当たり前のように住民登録番号を登録させている点にあったことは否めない。
前述のように、今では個人情報保護法の改正によって、法的根拠のない住民登録番号収集は禁止されたが、実はサービスを利用する側の国民にも、いつしか住民登録番号をオンライン上の登録欄に書き込むことに違和感がなくなっていたり、自分の番号が書かれた紙を人目につく場所に平気で放置したりということが行われていた。
韓国が経験したこのようなことは、もしかしたら将来日本でも起こり得るかもしれない。マイナンバーは原則として一生変更できないので、一度漏れてしまうと収集がつかないことにもなりかねないだけに、その利便性をうまく活用しながら、かつ、個人情報を保護するにはどうしたらよいか、その戦略を慎重に立ててほしい。
個人のレベルでも、最低限注意すべきことはいくつかある。例えば今後、企業の会員登録約款に「マイナンバーの活用に同意する」「マイナンバーを系列会社に提供することに同意する」といった項目が付されることもあるだろう。そんな時は、労を惜しまずしっかりと内容確認する必要がある。よく見ないで同意ボタンをクリックしてしまうと、マイナンバーがマーケティングに使用され、思いもよらぬ商品勧誘が来たり、その企業の系列会社からも、無用の広告が送られて来ることになるからだ。
私は前回、「マイナンバーは、普通に、まじめに、忙しく生活している人の味方である」と申し上げた。
さきほど、銀行の事例で、海外のIPアドレスによるネット経由の振り込みなどを受け付けない仕組みについて少し触れたが、実は、個人の出入国情報と口座情報が住民登録番号で紐づけられているがゆえに、口座の持ち主が海外に居ても、本人認証を経ればネット経由での振り込みや口座の開設・解約などは可能だ。
このように、個人情報漏えいの防止策によるサービス機能の制限に対し、便宜のため一時的に「味方にする」のがマイナンバーの有効な使い方といえるのかもしれない。とはいえ、特にネットの世界では、本人の確認に完璧なセキュリティ対策というものはない、という認識も私は持っている。
繰り返しになるが、「マイナンバー」の運用について、利便性と安全性の両立にさまざなま経験をしてきた韓国社会の経緯や、セキュリティ関連企業のサービスなども参考にしつつ、日本でもマイナンバーのメリットが最大に生かせるようにしてほしい。
注2 公認認証書の取得:政府が認めた公認認証書発行会社は6社あり、これらと銀行が提携し、銀行のサイト上で公認認証書が取得できる。
趙 章恩=(ITジャーナリスト)
ダイヤモンド online
「コリア・ITが暮らしと経済をつくる国」
2016.1.
-Original column
http://diamond.jp/articles/-/84000