社会保障・税に関する番号制度についての基本方針(3)、情報連携基盤はシンプルに設計・構築して、実務で使えるもの・使いやすいものをの続きです。
社会保障改革に関する集中検討会議(第一回)の議事要旨(PDF)が公開されました。与謝野議長補佐からの発言で「次回からの審議は、可能であればテレビ、インターネットで中継したい」とあり、ネット中継がありそうです。日本の社会保障制度の将来像があってこその番号制度ですから、注目しておきたいと思います。
今回は、番号制度に必要な3つの仕組みとしての「本人確認」を見ていきましょう。
本人確認の説明では、
・個人や法人が「番号」を利用する際
・利用者が「番号」の持ち主本人であることを
・証明するための本人確認(公的認証)の仕組み
となっています。「付番」や「情報連携」と比べると記述も少なく、次のような説明があります。
・公的個人認証と住基カードを番号制度の導入に合わせて改良する
・改良した公的個人認証と住基カードを活用して、本人確認を行う
・改良される住基カードを「ICカード」と呼ぶ
・民-官、民-民の取引場面で求められる適切な認証の在り方について検討する
・認証のあり方は、電子署名法の認定認証業務の活用を含めて検討する
★作者コメント
ここで重要なのは、「番号を利用する際には、本人確認(公的認証)が必要になる」ということです。
「公的認証」という言葉はあまり一般的ではありませんが、ここでは「本人確認」と同じような意味を持つ言葉と理解しておけば良いでしょう。
番号の独り歩きを防ぎ、番号そのものに価値を与えないためにも、「番号を利用する際には、原則として本人確認が必要になる」ことを、国民や企業や行政職員に理解してもらう必要があります。
別の見方をすれば、「番号を利用する際に、適切な手段・方法で本人確認をしなかった場合、過失等を追求されて、そこから発生した損害等の賠償を請求されたり、刑事罰を課されたりするかもしれない」ということです。
これから必要になるのは、「どのような手段・方法であれば、適切に本人確認が行われたと認められて、過失が無かったと判断されやすくなるか」といったことでしょう。
もう一つ大切なことがあります。
それは、「いかに適切な手段・方法で、あるいはそれ以上に厳格な方法で本人確認をしても、成りすましや不正アクセス等を完全に防ぐことはできない」ということです。このことを、国民や企業や行政職員に対して説明して理解してもらう必要があります。
別の言い方をすれば、「適切な手段・方法で本人確認したにもかかわらず、何らかの被害が発生した場合、誰がどのような根拠と責任で、そうした被害に対応し救済するのか」という問題です。
オンライン手続におけるリスク評価及び電子署名・認証ガイドラインなどで見られるように、認証方式には「保証レベル」という考え方があります。同ガイドラインでは、「保証レベル」を4段階に分けており、1が最も簡易で信頼性が低く、4が最も厳格で信頼性も高いというものです。
実は、この「保証レベル」というのがクセモノです。「保証」という言葉は、「誰が誰に対して何を保証してくれるのか」を吟味することが大切です。
電子申請で言えば、
・誰が:認証方式を提供する事業者や関連法令等が
・誰に:行政に対して
・何を:本人確認(認証)について行政側に過失が無かったこと
を保証してくれるのが、この「保証レベル」なのです。
つまり、肝心の本人に対しては、認証方式の「保証レベル」は、何の保証もしてくれないのです。それどころか、保証レベルが高くなればなるほど、本人の責任は重くなり、その責任から逃れることが難しくなってしまうのです。
例えば、個人の納税情報を閲覧し修正申告もできるオンラインサービスがあったとしましょう。
サービスを利用するためには、「ICカード」が必要です。認証方式の「保証レベル」で言えば、レベル3です。
もし、本人の知らないところで、他人により「ICカード」が不正取得されて、勝手に修正申告された場合、本人がその行為を否定し証明することは、とても難しいでしょう。そして、住基カードの不正事件件数(PDF)を見てもわかるように、「ICカード」の不正取得を完全に防ぐことはできないのです。
番号制度は、「いかに適切な手段・方法で、あるいはそれ以上に厳格な方法で本人確認をしても、成りすましや不正アクセス等を完全に防ぐことはできない」ことを前提に制度設計することが大切です。
公的個人認証と住基カードの改良については、基本方針や内閣官房社会保障改革担当室による資料「番号制度で何ができるようになるか(PDF)」などを見る限り、次のようなものと推測できます。
・住基カードの券面に番号を記載する
・住基カードに健康保険証、介護保険証、年金手帳の機能を持たせる
・公的個人認証を(電子署名に加えて)認証用途で使えるようにする
「公的個人認証を認証用途で使える」というのは、
・ID・パスワード方式に代えて
・公的個人認証を格納した住基カード(とICカードリーダ)を使い
・オンラインサービスや窓口の端末等にアクセスできるようにする
ということです。
適切な認証の在り方については、オンラインにおける認証(本人確認)よりも、市町村や金融機関や病院等の窓口(対面、オフライン)における番号の利用と本人確認についての整理を優先した方が良いでしょう。
最終的には、オンラインおよびオフラインにおける本人確認について、政府としてのガイドライン等を整備して欲しいですね
関連>>Evidence of Identity Standard(ニュージーランド)|Evidence of Identity Standard(PDF:カナダ・ブリティッシュコロンビア州)
社会保障改革に関する集中検討会議(第一回)の議事要旨(PDF)が公開されました。与謝野議長補佐からの発言で「次回からの審議は、可能であればテレビ、インターネットで中継したい」とあり、ネット中継がありそうです。日本の社会保障制度の将来像があってこその番号制度ですから、注目しておきたいと思います。
今回は、番号制度に必要な3つの仕組みとしての「本人確認」を見ていきましょう。
本人確認の説明では、
・個人や法人が「番号」を利用する際
・利用者が「番号」の持ち主本人であることを
・証明するための本人確認(公的認証)の仕組み
となっています。「付番」や「情報連携」と比べると記述も少なく、次のような説明があります。
・公的個人認証と住基カードを番号制度の導入に合わせて改良する
・改良した公的個人認証と住基カードを活用して、本人確認を行う
・改良される住基カードを「ICカード」と呼ぶ
・民-官、民-民の取引場面で求められる適切な認証の在り方について検討する
・認証のあり方は、電子署名法の認定認証業務の活用を含めて検討する
★作者コメント
ここで重要なのは、「番号を利用する際には、本人確認(公的認証)が必要になる」ということです。
「公的認証」という言葉はあまり一般的ではありませんが、ここでは「本人確認」と同じような意味を持つ言葉と理解しておけば良いでしょう。
番号の独り歩きを防ぎ、番号そのものに価値を与えないためにも、「番号を利用する際には、原則として本人確認が必要になる」ことを、国民や企業や行政職員に理解してもらう必要があります。
別の見方をすれば、「番号を利用する際に、適切な手段・方法で本人確認をしなかった場合、過失等を追求されて、そこから発生した損害等の賠償を請求されたり、刑事罰を課されたりするかもしれない」ということです。
これから必要になるのは、「どのような手段・方法であれば、適切に本人確認が行われたと認められて、過失が無かったと判断されやすくなるか」といったことでしょう。
もう一つ大切なことがあります。
それは、「いかに適切な手段・方法で、あるいはそれ以上に厳格な方法で本人確認をしても、成りすましや不正アクセス等を完全に防ぐことはできない」ということです。このことを、国民や企業や行政職員に対して説明して理解してもらう必要があります。
別の言い方をすれば、「適切な手段・方法で本人確認したにもかかわらず、何らかの被害が発生した場合、誰がどのような根拠と責任で、そうした被害に対応し救済するのか」という問題です。
オンライン手続におけるリスク評価及び電子署名・認証ガイドラインなどで見られるように、認証方式には「保証レベル」という考え方があります。同ガイドラインでは、「保証レベル」を4段階に分けており、1が最も簡易で信頼性が低く、4が最も厳格で信頼性も高いというものです。
実は、この「保証レベル」というのがクセモノです。「保証」という言葉は、「誰が誰に対して何を保証してくれるのか」を吟味することが大切です。
電子申請で言えば、
・誰が:認証方式を提供する事業者や関連法令等が
・誰に:行政に対して
・何を:本人確認(認証)について行政側に過失が無かったこと
を保証してくれるのが、この「保証レベル」なのです。
つまり、肝心の本人に対しては、認証方式の「保証レベル」は、何の保証もしてくれないのです。それどころか、保証レベルが高くなればなるほど、本人の責任は重くなり、その責任から逃れることが難しくなってしまうのです。
例えば、個人の納税情報を閲覧し修正申告もできるオンラインサービスがあったとしましょう。
サービスを利用するためには、「ICカード」が必要です。認証方式の「保証レベル」で言えば、レベル3です。
もし、本人の知らないところで、他人により「ICカード」が不正取得されて、勝手に修正申告された場合、本人がその行為を否定し証明することは、とても難しいでしょう。そして、住基カードの不正事件件数(PDF)を見てもわかるように、「ICカード」の不正取得を完全に防ぐことはできないのです。
番号制度は、「いかに適切な手段・方法で、あるいはそれ以上に厳格な方法で本人確認をしても、成りすましや不正アクセス等を完全に防ぐことはできない」ことを前提に制度設計することが大切です。
公的個人認証と住基カードの改良については、基本方針や内閣官房社会保障改革担当室による資料「番号制度で何ができるようになるか(PDF)」などを見る限り、次のようなものと推測できます。
・住基カードの券面に番号を記載する
・住基カードに健康保険証、介護保険証、年金手帳の機能を持たせる
・公的個人認証を(電子署名に加えて)認証用途で使えるようにする
「公的個人認証を認証用途で使える」というのは、
・ID・パスワード方式に代えて
・公的個人認証を格納した住基カード(とICカードリーダ)を使い
・オンラインサービスや窓口の端末等にアクセスできるようにする
ということです。
適切な認証の在り方については、オンラインにおける認証(本人確認)よりも、市町村や金融機関や病院等の窓口(対面、オフライン)における番号の利用と本人確認についての整理を優先した方が良いでしょう。
最終的には、オンラインおよびオフラインにおける本人確認について、政府としてのガイドライン等を整備して欲しいですね
関連>>Evidence of Identity Standard(ニュージーランド)|Evidence of Identity Standard(PDF:カナダ・ブリティッシュコロンビア州)
