前回までは、個人番号カードの目玉機能である公的個人認証サービスについて、その機能と技術仕様を解説した。今回は、法規制やセキュリティ、プライバシーなどを踏まえた、民間企業による個人番号カードの適正な扱い方について考えてみたい。
第1回で述べた通り、仮に民間企業が個人番号カードから得られたデータを不適切に扱えば、個人番号カード自体の信頼が失墜し、誰もカード交付を申請しなくなるだろう。
このため政府は、個人番号カードが提供する公的個人認証サービスについて、法律などで取得データの活用に縛りを設けているほか、データを扱う情報システムに一定水準のセキュリティを求めている。
まず、法制度からみていこう。個人を認証する要となる電子証明書シリアル番号(法律上は「電子証明書の発行の番号」)は、法的にはマイナンバーのような特定個人情報には該当しない。発行が任意であり、番号の変更も容易だからだ。ただ、個人に対して実質的に長期にひもづく番号であり、さらに行政機関や自治体であればシリアル番号から本人を特定できる。このため、番号の取り扱いについて、いくつかの規制がある。
まず、2016年1月に施行される改正公的個人認証法では、総務大臣の認定を受けていない民間事業者(名簿屋など)に対し、同番号を含んだ外部提供用データベースの作成を禁じている。
加えて、2015年9月18日に総務省が公表した「認証業務及びこれに附帯する業務の実施に関する技術的基準」の中で、このシリアル番号を個人認証以外の業務で顧客IDとして使わないよう(別の符号を用いるよう)求めているほか、シリアル番号の外部提供を禁じている。もし違反すれば総務大臣による認定取り消しの可能性もあり、一定の強制力は見込めるだろう。
