さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか?
折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。
以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。
1. なりすましによる被害
「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないはず。前者に至っては、法律で明示的に禁止されております。一方、世の中を見渡すと、「ご本人確認のために、氏名と住所と生年月日を」などというのは世の中に溢れているわけでありまして、このSNS時代によくこれで事故が起きてないなと思うわけですが、この事のみを考えても、なりすましによる直接的な被害のリスクは「番号」<「住所・氏名・生年月日」であることがお分かりいただけるでしょう。
ちなみに、なりすましによる被害が生じる経路としては、
- 望まない情報、特に「付随する情報」の開示
- 取得した「付随する情報」を使った脅迫、意思への介入
- 金融取引をなりすまして行われることによる経済的被害
などがあります。
2. 変更による救済可能性
次に、漏れたものの変更による救済可能性を考えます。
漏れた「付随する情報」は回収は困難なわけで、「悪い人たち」はこれを集めてプロファイリングをやったりするわけです。この時に異なる「付随する情報」の名寄せを行いデータ集約(aggregation)を行うのに使うのが、「キー」となる情報~専門的には識別子/識別情報3と呼びます~です。「番号」も「住所・氏名・生年月日」も、どちらも識別情報です。ちなみに、インターネットでメジャーな識別情報はメールアドレスと携帯電話番号ですね。電話番号は、一般の商店などで識別情報として使うことも多いですね。
さて、「付随する情報」が漏れるときはこの「識別情報ー付随する情報」のペアで漏れることが多いわけです。「悪い人」は、「識別情報ー付随する情報A」「識別情報ー付随する情報B」を集約して、「識別情報ー付随する情報Aー付随する情報B」という情報を作って、その人の人となりを類推しようとします。これを「本人の望まないプロファイリング」と呼びます。プライバシー侵害の代表例です。
このような場合、識別情報を変更できるかどうかで、今後の事故に対する耐性が変わってくるのですね。
たとえば、ある時点で「識別情報Aー付随情報A」という情報が漏れたとします。その段階で、その人の「識別情報A」を「識別情報B」に切り替えたとします。すると、その後の付随情報で「識別情報A」に結びつくものはなくなるので、事故以降のデータと漏洩データの名寄せ・集約はできなくなります。これが、識別情報変更のメリットです。
「番号」は、現在漏洩した年金番号の変更が言われている通り変更可能です4。これに対して、生年月日は変更不能、氏名も変更極めて困難、住所も借家ならまだしも持ち家だとほとんど絶望的です。つまり、変更による、今後のデータ集約からの救済可能性という観点でも「番号」の方が「氏名・住所・生年月日」よりもはるかに優れており、プライバシーインパクトは「番号」<「住所・氏名・生年月日」となります。
3. 情報自体の価値
次に、情報自体の価値を考えましょう。「番号」は正しく運用されていれば、それ自体は、識別情報として他と区別するという使い方しかできませんから、本人と管理者以外には無価値なはずです。一方、「住所氏名」はいわゆる「到達性」があります。つまり、情報の価値は「番号」<<「住所・氏名・生年月日」であります。そして、それを悪用することも可能です。軽いところではダイレクトメールを送る、重いところでは、DV被害者を加害者が襲って殺す、などです。
同様に、情報の価値は「番号」<<「付随情報」です。「付随情報」がなければ、集約・プロファイリングしても意味ありませんからね。
4. 結論
上述の理由により、情報リスク的には「番号」はかなり低いものとなります。したがって、漏洩事件などの時には「番号」を騒ぐのではなく、「付随情報」の方を騒ぐべきです。この辺がずれているんですよね。年金機構の漏洩事件の報道でも「流出したとみられるのは基礎年金番号や氏名、生年月日、住所など」というのが多くて、ちょっとまて、その「など」が重要なんだよ、と思うわけです。
マイナンバーに関しても、技術サブワーキングで何度も「システム的には簡単に変更できるように準備すべき」と何度も言っているので、もちろんそうなんていると信じております。なってなかったら驚きますよ、本当に。
脚注
- 「不正アクセスで125万件の個人年金情報流出 日本年金機構」日本経済新聞(2015/6/1) http://www.nikkei.com/article/DGXLASDG01HB5_R00C15A6000000/ より 2015/6/9取得
- 米国社会保障番号(SSN)の民間利用制限なしという神話
- ISO/IEC 24760 などでは、識別情報という言葉を「識別子名:値」の名前:値ペアの「値」を指すのに使っていますので、ちょっと注意が必要です。
- マイナンバーは原則「生涯不変」だそうですが、以前から言っている通り気軽に変えられるようにしたほうが良いですね。システム的には大した話しじゃ無いので。
@_Nat Zoneをもっと見る
購読すると最新の投稿がメールで送信されます。
「「番号」は漏れると危ないのか?」への1件の返信