5000万件もの年金記録が宙に浮いてしまった社会保険庁の「年金記録問題」を契機に、「1億人以上の日本国民に関する各種記録を、より効率的に(使いやすく、低いコストで)管理する方法の必要性」に対する関心が高まってきた。日本の将来を考える上で、市民が信頼し安心して使える効率的なコンピュータ・システムの導入は必須であろう。個人情報保護には十分留意しつつも、導入を前提に検討を進めていく必要があると筆者は考える。特に、技術面だけではなく、運用に関する制度、法律についても活発な議論を行い、検討を進めていく必要がある。
国の基本となるこのようなシステムの課題に対しては、日本だけではなく多くの国が検討を進めている。既にEUのいくつかの国では、議論の段階を経て実際に国民ID番号を用いたシステムが導入され稼働している。その中で、オーストリアは「セクトラルモデル」と名づけた新たな国民ID管理方式を開発・導入している。その運用管理、罰則についての法律「電子政府法(E-Government Gesetz:The Austrian E-Government Act)」は2004年に制定している。
以下、オーストリアの新たな国民ID管理方式を中心に紹介する。
オーストリアが採用した「セクトラルモデル」
オーストリアの産官学によるITセキュリティセンター、A-SITでは、図1に示すとおり国民ID番号の運用モデルを以下の3つに分類している(「eID in Austria-THE CITIZEN CARD」より)。
 |
| 図1●3つの国民ID番号運用モデル |
(1)フラットモデル(FLAT MODEL)
複数のアプリケーション(APP1、APP2、APP3)に同じID番号(ID1)を使う方法である。欧州のいくつかの国はこのモデルを採用している。エストニアを例にとって紹介する。エストニアでは生まれると性別、生年月日、4桁の番号からなる11桁の国民ID番号がつけられる。個人のデータはこの国民ID番号に関連付けられて記録されるためサービス間で個人情報を共有することができる。このため、電子政府サービスにおいてすでに登録した情報は入力画面に表示され、新たに入力が必要な情報だけを入力すればよい。エストニアでは個人情報のアクセスには公開鍵基盤による認証とアクセスコントロールが厳密に行われていて、かつ、個人情報へのアクセスログは管理され、本人のみが確認することができる仕組みがあり、不正アクセスがあった場合の摘発を容易にしている(関連記事)。
(2)分離モデル(SEPARATED MODEL)
アプリケーション(APP1、APP2、APP3)ごとに全く関連の無い異なるID番号(ID1、ID2、ID3)をつける方法である。組織間で連携がない場合、それぞれの組織のサービスは分離モデルになる可能性が高い。アプリケーション間のID番号の連携は無いため、ひとつのアプリケーションで利用されるID番号が知られても各アプリケーションの情報をアクセスできない反面、ユーザはアプリケーションごとに必要な情報を入力する必要があり、ユーザに負担がかかる。
(3)セクトラルモデル(SECTORAL MODEL)
アプリケーション(APP1、APP2、APP3)ごとに異なるID番号(ID1、ID2、ID3)を使うが、それらのID番号は一つの基本となるID番号(ID)から発生させる方式である。したがって、アプリケーションで使われるひとつのID番号(例えばID1)を手に入れただけでは他のサービスで使われている個人情報を収集することはできない。このため、情報漏えいの被害が発生しても、アプリケーションの単位内に抑えることができる(フラットモデルのID番号制度と比べて、被害は限定的といえる)。また、サービス間の個人情報の共有は基本となるID番号(ID)を介して行うことができる。この場合、基本となるID番号(ID)の管理には、十分な注意を払う必要がある。
オーストリアでは、よりセキュリティを高めるため、このセクトラルモデルを複雑な形で実現して運用している。以下、その実現方式について紹介する。
オーストリアにおける国民ID番号の運用
オーストリアの国民ID管理方式の特徴は3つのレベルの国民ID番号(ZMR-Zahl、SourcePIN、ssPIN)を連携して使うことであり、個々で使われる技術、運営体制、罰則などは、すべて「電子政府法」に明記されている。この3つのレベルの国民ID番号とその役割は以下の通りである。
(1)国民登録番号(ZMR-Zahl)
オーストリアでは、出生後すぐに国民登録機関(CRR:Central Register of Residents)に登録される。登録時点で、CRRの内部ルールに従った番号(ZMR-Zah)がつけられる。この番号は公開される番号であり一生変わらない。このほかに、会社を登録する商業登記機関(CR:Commercial Register)、団体登録機関(RA:Register of Associations)、それに、在オーストリア外国人はその他登録機関(supR:Supplemental Registers)に登録される。これらの機関でも、CRRと同様に、登録された企業や団体、外国人に対してID番号が発行される。
(2)SourcePIN
ZMR-Zahlに対して暗号処理(Triple DES:共通鍵暗号方式である「DES」を三重に適用するようにした方式)を行うことにより、新たなID(SourcePIN:sPIN)を作成する。このため、SourcePINからZMR-Zahlを推定することはできない。この処理は大統領が任命する裁判官、公務員を含む6名からなるデータ保護委員会の管理のもとで、自然人(人間個人)については連邦内務省、その他については連邦財務省の業務として実施され、暗号の鍵はデータ保護委員会が管理する。作成されたSourcePINは、非公開情報であり、作成後はeIDカードのみに格納され、本人以外は知ることはできない。もし、SourcePINを作成後本人のeIDカード以外に保存した場合は罰則の対象となる。
 |
| 図2●sourcePIN作成の流れ |
(3)ssPIN(Sector-specific IDs)
ssPINは実際にアプリケーションで使われる国民ID番号である。各アプリケーションあるいはアプリケーションを提供するセクターにあらかじめSectorIDが振られている。SourcePINとこのSectorIDをつなぎ合わせた値に対して、ハッシュ処理を行い、得られた固定長の数値列(ハッシュ値)がssPINである。ハッシュ関数としてSha-1を使っていて、ハッシュ値は 160ビットで表される。もちろん、ssPINからSourcePINを推定することはできない。法律では、ssPINはssPINの使用が許される管理者を除いて、どこかに記録/保存することができないことになっており、使う都度作成してサービスを受ける必要がある(使う都度に入力→サービスを受ける→消去という手順を踏む)。法律に沿ったssPINの運用をしなかった場合は罰金が科せられる。
 |
| 図3●ssPIN作成の流れ |
このような仕組みにすることにより、市民はアプリケーションごとに異なるID番号を利用することができ、万が一、ひとつのアプリケーションのID番号が盗まれたとしても、そのひとつのID番号を用いてその個人の他の情報を収集することはできない。
また、データ保護委員会の許可を得る必要があるが、政府は、個人のZMR-ZahlからsPINを発生させ、次に必要なサービス機関の複数のssPINを発生させ、必要な個人情報を収集することができる。例えば納税申告の場合など、このような方法によって、個人の納税処理に関連する情報を統合利用することができ、把握した情報を納税者に提示するサービスを行うことができる。
