【これは約 7 分の記事です】
マイナンバーカード(個人番号カード)のおもての写真の下には、16桁と4桁のコードが刻まれています。
この番号は何なのでしょうか。
Contents
政府のマイナンバーカード総合サイト
政府のマイナンバーカード総合サイトに情報がないかと思って、確認してみました。
ところが、この投稿を行った時点では情報がありません。
マイナンバーカード総合サイト
https://www.kojinbango-card.go.jp/
製造番号とセキュリティコード
調べたところ、
- 16桁・・・製造番号
- 4桁・・・セキュリティコード
と呼ぶそうです。マイナンバーカードの問い合わせ窓口で確認しました。
これの役割ですが、
16桁の製造番号は、カードの製造番号です。つまり、これでカードを識別します。カード一つ一つによって違い、同一人物がマイナンバーカードを再発行すれば、異なる製造番号のカードが発行されます。
4桁のセキュリティコードは、役所内で電子証明を使った業務をする際に使うそうです。役所内では
- 券面アプリ
- 券面事項入力補助アプリ
と言うものを使用するらしいのですが、その際に使用するものとのことです。
この券面アプリが何をするものなのかは、残念ながらわかりませんでした。
マイナンバーカードおもて面は見せても良い情報
マイナンバーカードのおもて面は見せても良い情報です。従って、写真の下の番号も見せても良い情報。マイナンバーが記載されている裏面は、社会保障、税、災害対策にかかわらない限り利用できない、つまり見せてはいけませんが、表面にはそのような制限はありません。
製造番号とセキュリティコードは見られて良い情報か
ただ、おもて面は裏面ほどの制約はありませんが、表面の情報もみだりに利用していい情報ではありません。おもてめんには「名前」「住所」「性別」「生年月日」と個人情報が記載され、顔写真があります。
製造番号はカードに一意的に付与される番号ですので、製造番号から個人の特定が容易にできます。従って、
- マイナンバーカードの製造番号は個人情報
です。なので、取扱には注意すべき情報です。
セキュリティコードは、役所内だけで使用するコードで、個人の特定をするのが目的のコードではない、とのこと。その情報を聞く限りでは、セキュリティコードは個人情報には該当しません。
製造番号は特定個人情報にならないのか
特定個人情報とは「個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第四十八条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。)をその内容に含む個人情報をいう」
平成二十五年法律第二十七号
行政手続における特定の個人を識別するための番号の利用等に関する法律
http://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/viewContents?lawId=425AC0000000027_20180101
となっています。
ここで厄介なのは、「個人番号に対応し」というところです。
マイナンバーカードと、個人番号の対応は
N対1
です。マイナンバー(個人番号)からカードの製造番号はわかりませんが、製造番号からマイナンバーはわかります。
つまり、製造番号は個人番号に対応しています。そうなると、「製造番号は特定個人情報になりうる」と考えられます。
製造番号と個人番号の間に法則としての対応はない
ただ、製造番号と個人番号の間には法則的な対応はありません。
「個人番号を暗号化して復号できる前提で別の記号に置き換えたものは特定個人情報になるか」と聞かれた時、これは特定個人情報になります。なぜなら、元の個人番号に戻せるからです。
では、製造番号から個人情報を戻すにはどうすればいいでしょう。これは、
- 製造番号と個人番号の対応表を作る
ことになります。製造番号の選び方が個人番号と関連しているのであれば話は変わりますが、そうでなければ、対応表がなければ製造番号から個人番号を復元することはできません。
なので、
- 法で定められた利用目的以外でマイナンバー裏面を利用してはいけない
が徹底されていれば、マイナンバー裏面を使用しない社会においては、個人番号がわかることはありません。
全住民にマイナンバーカードを発行し、一般企業や地方行政団体には製造番号を管理させるほうが安全ではないか
特定個人情報は漏洩してはいけない情報となっているので、個人番号の機密性を守るために、一般企業や地方行政団体に非常に負荷の高いマイナンバー運用を強いられます。経理業務を行う際の大きな負担になっています。
これが、「マイナンバーカードの製造番号を控える」ことにするとどうでしょう。前提としては
- 全住民にマイナンバーカードを交付する
- 一人あたりのマイナンバーカードの複数発行を許容する
- 製造番号と個人番号の名寄せは税務管理する行政担当者しかできない
が必要ですが、これなら管理負荷の高いマイナンバー情報を一般企業が取り扱う必要はありません。
税務署だけは製造番号と個人番号の対応表を取り扱う必要があるので、高い機密性を保った運用が必要ですが、マイナンバー制度は、税務署の都合優先で作られた制度です。一般住民や地方公共団体に運用負荷を押し付けることなく、これくらいは自分たちで責任を持って機密性を守って欲しいものです。
マイナンバーカードは本人確認の方法として安全か
現時点(2018年3月)では、マイナンバーカードは、1枚しか持つことができません。その状態でも本人認証方法として安全か、という点について考えます。
私は
「運転免許証を本人認証方法として使うより、マイナンバーカードのおもて面を使うほうが相対的に安全」
と考えます。なぜかについては、こちらのブログで続きを呼んでいただければ幸いです。
運転免許証よりマイナンバーカードおもて面を提示するほうが本人確認方法として安全
防災SNSアドバイザー。情報処理安全確保支援士第5338号。ネットワークスペシャリスト。ITコーディネータ
東北大学大学情報科学研究科第2期生。1994年からインターネットに携わる。システムベンダーの総務社内SEとして、社内システムの構築運用やBCP策定、従業員教育に関与。2015年情報セキュリティ専門法人「まるおかディジタル株式会社」を福井県坂井市丸岡町に設立し現在に至る。研修では基本的に防災のお話以外では着物でお話させていただいております。
情報セキュリティ・IT関連資格取得・企業防災(BCP)の組織内教育・コンサルティング・支援・取材のお問い合わせなどございましたら、こちらからご連絡ください。
メール・お電話・FAX・Facebook
https://www.maruoka-digital.jp/contact/form/