人口比で9.6%――。2017年8月末時点のマイナンバーカードの普及率だ。申請すれば無償でもらえるにもかかわらず、交付枚数は約1230万枚と低調である。

 マイナンバーカードの普及状況はマイナンバー制度が定着するかどうかを左右する。しかし仮に広く普及したとしても、現在のマイナンバーカードにはプライバシーの侵害につながりかねない仕様上の「欠陥」がある。根本的な問題が普及率とは別にあるわけだ。それを放置したままでは、マイナンバー制度の先行きはおぼつかない。

住んでいる自治体が漏れる恐れ

 マイナンバーカードの内蔵ICチップはマイナンバーをいずれも含まない「電子署名」と「利用者証明」の2種類の電子証明書を搭載する。電子署名は実印相当の効力があるとされる。三菱東京UFJ銀行は2017年4月から、実印の代わりにマイナンバーカードを使って住宅ローンの契約ができるシステムの運用を始めている。

 カード所有者がパソコンに接続したICカードリーダーやマイナンバーカードに対応したスマートフォンのNFC(近距離無線通信)を使って企業のオンラインサービスを利用し、6~16桁の英数字からなるパスワードを入力すると、カード所有者が電子署名を付した電子書面を送れる。

 もう1つの電子証明書である利用者証明はインターネットでIDとパスワードの代わりに使える。ログイン作業の際にICカードリーダーに同カードをかざして4桁の暗証番号(PIN)を入力することで、マイナポータルを利用したり、自治体によってはコンビニエンスストアで住民票の写しなどを取得できたりする。

 ところが利用者証明にはPINを入力しなくてもICカードリーダーなどにかざすだけで読み取れるデータ項目がある。電子証明書の有効期限である発行から5回目の誕生日の日付や、発行元の自治体の市町村コードなどだ。

 問題はNFCを使ってこれらのデータを読み取れることだ。技術的知識があれば、カード所有者に近寄ってデータを盗み見ることができる。「満員電車で知らない人にデータを読み取られてしまう恐れがある」(電子署名に詳しいオープンソース・ソリューション・テクノロジの濱野司氏)。

PINで保護されていない情報が見られる恐れ
PINで保護されていない情報が見られる恐れ
マイナンバーカードの電子証明書の内容イメージ
[画像のクリックで拡大表示]

 カードの発行を担う地方公共団体情報システム機構(J-LIS)は「発行した自治体やカードの有効期限が分かるようにするための措置」と説明する。しかし濱野氏は「誕生日を期限としたのは運転免許証などを参考にしたのだろうが、免許証はPINで保護されている」と述べて、セキュリティを改善する必要性を指摘する。