日比谷の街角 弁護士 稲垣隆一 稲垣隆一法律事務所

稲垣隆一法律事務所 〒100-0006 東京都千代田区有楽町一丁目7番1号有楽町電気ビル南館9階956区 電話:03-6273-4351

2012年05月

マイナンバー法案の課題

知り合いの参議院議員によると,マイナンバー法案はあっという間に可決される可能性があるという。

マイナンバーは有用性がある以上,積極的にその採用を行うべきだ。

但し,プライバシーや個人情報保護のための,適切な不正行為の予防,権利救済措置が採用されること,そして,目的と手段の適切な関連が図られること,システムの最適化,コストの最小化が図られることが条件だ。

システムの詳細がわからないので誤りがあるかもしれないけれど,いくつかの疑問がある。

その第一は,データベースの串刺しのためのキーの生成に,なぜ本人の個別の同意を要件にしないかということだ。業務の流れからすると,データベースの串刺しは,特定の人(仮にAさんとしよう)に対する社会保障給付のためだ。それなら,キーの生成を住基番号とマイナンバーだけでなく,本人の同意をその都度とればいいのではないかと思うのだ。マイポータルを,この本人からの同意を得るために使えないのだろうか。

その第二は,生成されたデータベースの串刺しのキーを,なぜ,必要とされる事務処理の都度生成し,廃棄しないのかということだ。

こうしたことにこだわる理由は,プライバシー保護のための措置に不安があるからだ。

まずマイポータルの機能に不安がある。
これを使えない人はどうするのかというのは一般にいわれていることだから論じないとしても,マイポータルのマンマシンインタフェースは十分に使いやすい設計がなされることが強く期待される。
杞憂かもしれないけれど,電子納税や法務局の電子申請などのアプリですら十分に使いやすくはなっていない。マイポータルは,納税や登記申請,照会などとは比べものにならないほど容易でわかりやすいことが必要だ。
なにせ,マイポータルは,プライバシー保護,自己情報コントロールのために重要な鍵となるのだから。

次に第三者機関の機能に執行機能がないことが懸念される。
第三者機関には立入調査権限が付与されることが構想されている。
けれど,執行部隊の陣容や機能の要件は発表されていない。
いったいその権限の発動はどのようなときになされるのだろうか。

ちなみに,119番通報を受けた消防隊や救急隊の出動までのレスポンスタイムはどれほどか。
奈良県消防局の場合,目標値は1分30秒,出動から現場到着までの目標値は7分10秒。
http://www.city.nara.lg.jp/www/contents/1272157921764/index.html#07

火事や救急は人命や財産,社会の安全に関わる。プライバシーの大切さはそれほどでもないということか。

本人がマイポータルで検索して,おかしいと気づき,第三者機関に不正利用を訴え出て,第三者機関がそれを把握し,審議して,それから立入検査を準備して,立入検査して,勧告してというテンポを想定しているとしたら,
第三者機関は,政策形成機関であって,プライバシー保護機能を果たし得るのは,新たな制度構築や利用枠組みの構築や運用設計の場面に留まることになりはしまいか。
少なくとも,住民一人ひとりのプライバシー保護機能をはかれるのだろうか。

電子データが漏洩した場合,その移転は瞬時に行われる。移転の範囲は容易に地球規模だ。

第三者機関には,実際にデータ不正使用やデータ漏洩,マイナンバーの不正取得,保存,移転をシステム上把握し,その抑制,回復するシステムの運用と執行力が期待される。
いわば,プライバシー消防署が必要なのだ。

閑話休題

憲法を学ぶと,プライバシーは人格そのものであって,命と同じように大事なものなのだと教えられる。
しかし,その保護の仕組みは全く不十分だ。

今までの経験をもとに,マイナンバーが不正取得されてインターネット上に公開されたという事案を考えてみるとこんな具合だ。

警察に駆け込んでも,おいそれとは扱ってくれない。

プロバイダ保護法がある?
プロバイダ保護法の力は,実際に発信者情報の開示や削除要請を申し出てみればよくわかる。
裁判所の仮処分を進められるのがオチで,殆ど無力だ。

では人権の最後の砦,裁判所に駆け込んでみるとどうか。
今の裁判所は親切だ。貸金の督促なら, 督促手続オンラインシステムがある。
http://www.courts.go.jp/online/
しかし,この手続はプライバシー侵害による損害賠償には使えない。

では法テラスか?弁護士か?
熱い弁護士が一生懸命になってくれても,相手が特定できなければ,交渉すらできない。
特定できたとしても,損害賠償の額はいくらか?
500円?1万円?10万円?30万円?
弁護士が断る前に,相談者のほうが,「もういいです。結局は泣き寝入りなんですね」と断るだろう。

いくらプライバシーは人格そのものだとか,自己情報コントロール権だとか,デジタル化されない権利,放置しておりてもらう権利だとか,個人情報は大切だ,第三者機関がある。と言ったところで,保護の手続が,プライバシー侵害を受けた,人間のやわらかさ,弱さ,に寄り添った十分なものでなければ,ストーリーテリングに終わってしまう。

プライバシー消防署と同じように,簡単に権利救済を図れるプライバシー保護訴訟手続がなければ,紡ぎ出された権利概念も現実にならない。こうした訴訟手続が必要だ。

そして最後に,クラスアクションが必要だ。

日本で個人情報漏えいを起こしても,リーガルリスクは問題にならないほど小さい。
なぜか。
それは,述べてきた権利救済の手続が,被害者一人ひとりに分断されているからだ。
たとえ個人データを100万の規模で漏洩したところで,訴える人が数名なら,数十万の負担にしかならない。
これが国,自治体,企業のセキュリティ対策の内容や責任を甘いものにしている。
PマークやISMS,セキュリティ監査やセキュリティガバナンス制度などをいくら準備しても,脅威が小さいことを前提に全体が動いているために十分な機能が上げられないでいる。

権利の主体は一人ひとりでも,電子データ化された個人情報やプライバシー侵害は容易に数十万,数百万の桁で行われる。

権利救済もこれに対応して,一人の訴えが被害者全体に及ぶ仕組みがなければ片手おちというべきだろう。

長くなったので,コストの問題に触れておこう。
マイナンバーの開発,保守,運用コストをどの範囲で把握するかは重要だ。
マイナンバーは,国のシステムだけれど,その利用のためには,国のみならず,自治体,民家のシステム,セキュリティ,個人情報保護の取り組みが必要だ。
だから,コストは,国だけでなく,自治体,民間すべてに及ぶシステムの構築,保守,運用とセキュリティ対策,個人情報保護対策で発生する。
したがって,マイナンバーのコストは,官民にわたるシステム,セキュリティ,個人情報保護のコストを把握した上で論じられるのがスジというべきだろう。

プライバシー消防署,プライバシー訴訟手続,集団訴訟,コスト把握などなど,夢のまた夢を,帰宅したホッとした勢いで語ってしまった。

どうかお許しのほど。



































マイナンバーのRFI

マイナンバーのRFIがここに掲載されています。
http://www.soumu.go.jp/main_sosiki/jichi_gyousei/daityo/mynumber_rfi.html

提案に含める内容は

① 提案に当たっての前提事項
② 機能の実現方法
③ 適用可能な技術及び当該技術の動向
④ 想定される構築条件及びリスク等
⑤ 調達仕様書提示要件に対する提言(機能要件及び非機能要件等)
⑥ 詳細作業項目分類(WBS:Work Breakdown Structure)
詳細な作業項目分類(WBS:Work Breakdown Structure)及び概算見積を提案に含めることとする。なお、運用・保守(年間)に関しては、作業内容と時期・工数等の説明可能な記述でも可とする。
⑦ 開発手法及び想定スケジュール
前述の詳細作業項目分類(WBS:Work Breakdown Structure)に従い、システム構築のスケジュールを提案すること。
⑧ 標準的なネットワーク構成やインフラ構成、関係機関との接続方式
⑨ 導入費用と年間運用経費(運用・保守)、機器にかかる費用のその内訳(明細)
機器については、可能な限り、主要製品の型番等の詳細情報も提供する こと。
⑩ 業務継続措置
大規模災害時や、重大な機器等の故障等が発生した場合においても業務を継続することができる機能等
⑪ 関係機関の支援事項
システム構築・運用・保守等を実施するに当たって、関係機関に期待する作業等
⑫ その他、システム構築・運用・保守等に必要と考えられる事項

結果はここ
http://www.cas.go.jp/jp/seisaku/jouhouwg/renkei/dai8/gijisidai.html
の配付資料「RFI(情報提供依頼)の結果について」

国民番号法案 

いよいよ提出されましたね。

行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律案

http://www.shugiin.go.jp/index.nsf/html/index_gian.htm


ここから入って 閣法33です。

クラウドサービス調達のベストプラクティス

社団法人行政情報システム研究所が,2012年5月15日「政府におけるクラウドサービス調達のベストプラクティス」と題して米国政府がとりまとめたクラウド調達のベストプラクティスの概要を発表しています。

http://www.iais.or.jp/ja/information/government/%e6%94%bf%e5%ba%9c%e3%81%ab%e3%81%8a%e3%81%91%e3%82%8b%e3%82%af%e3%83%a9%e3%82%a6%e3%83%89%e3%82%b5%e3%83%bc%e3%83%93%e3%82%b9%e8%aa%bf%e9%81%94%e3%81%ae%e3%83%99%e3%82%b9%e3%83%88%e3%83%97%e3%83%a9-7/

法的に見て優れていると思うのは,クラウド契約を下敷きに,クラウド消費者,クラウドの提供者,クラウド仲介業者,クラウド監査人,クラウドキャリアという主体をたてて,それぞれの役割と責任範囲を明確化することが特に重要だとしている点です。

「何をすべきか」を示すだけでなく,誰が関わるべきか,それぞれが何をすべきかを示すという構造は,とても実践的だと思います。

特に,監査人をベストプラクティスの実現に必要な関係者としている点,監査テーマを,セキュリティ監査,プライバシーインパクト,パフォーマンス監査に及ぼしている点は,学ぶべき点だと思います。

日本でいうとシステム監査とセキュリティ監査が求められるということでしょうか。

署名及び認証業務に関する法律施行規則の改正

出入国管理及び難民認定法及び日本国との平和条約に基づき日本の国籍を離脱した者等の出入国管理に関する特例法の一部を改正する等の法律(平成21年法律第79号。以下「改正法」という。)第4条によって,外国人登録法が廃止されます。
これに伴い,新しい在留管理制度の導入及び特別永住者制度の見直しが行われる予定です。

そのため,これまで外国人登録法に基づく証明書の提出又は提示を定めていた電子署名及び認証
業務に関する法律施行規則の一部が,概要以下のとおり改正されます。

(1) 利用者の真偽の確認方法の見直し等
利用申込者の提出又は提示書類の一つである外国人登録法に基づく外国人登録原票記載事項証明書及び外国人登録証明書を削除し,新たな在留管理制度において交付される在留カード及び特別永住者の制度において交付される特別永住者証明書を新たに規定する。

(2) 経過措置
改正後の電子署名及び認証業務に関する法律施行規則の適用において,改正法附則に定める期間,外国人登録証明書は在留カード又は特別永住者証明書とみなす。

3 施行期日は平成24年7月9日です。

現在パブコメの募集中です。
http://search.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=300080094&Mode=0

QRコード
QRコード
  • ライブドアブログ