Comments
Description
Transcript
国民 ID 制度のグランドデザイン
平成 22 年度 経済産業省 デジタル市民プロジェクト 国民 ID 制度のグランドデザイン 国民中心の ID エコシステムとトラストフレームワークの実現 株式会社 野村総合研究所 2011/03/31 目次 背景と目的 .............................................................................................................. 3 基本理念 .............................................................................................................. 3 政府検討の現状との関係性.................................................................................. 5 『新たな情報通信技術戦略』と国民 ID 制度 ................................................... 5 『社会保障・税に関わる番号制度についての基本方針』 ................................ 9 「番号制度及び国民 ID 制度における情報連携基盤技術の骨格案」に関して 14 提言 ...................................................................................................................... 18 提言 1:競争導入による効率的な仕組み(官制民営)の担保............................ 18 提言 2:柔軟性の高い実施手段の採用 ............................................................... 19 提言 3:第三者機関の役割と国民プライバシー権の明確化 ............................... 20 提言 4:基本 4 情報に依存しない紐付け・名寄せ方法の検討 ........................... 22 提言 5:番号+IC カード+電子証明書の段階配布の実施................................... 24 提言 6:本人情報レジストリーの整備(長期的課題) ...................................... 25 制約条件 ............................................................................................................... 27 資源制約 ............................................................................................................ 27 脅威分析 ............................................................................................................ 28 提言の詳細 ............................................................................................................ 37 ①ルール ............................................................................................................ 38 R-1. 個人情報保護法のオムニバス化............................................................. 38 R-2. プライバシーの尊重と自己情報コントロール権の確保 ......................... 39 R-3. 同意フレームワーク .............................................................................. 42 R-4 . 分散型の情報管理 ................................................................................. 43 R-5. 本人確認基準の整備 .............................................................................. 44 R-6. 信頼形成の枠組み .................................................................................. 46 ②ツール ............................................................................................................ 49 T-1. 第三者機関による属性取得許可 ............................................................. 49 T-2. 分散アーキテクチャーによる情報連携 .................................................. 63 T-3. 識別子の形式 ......................................................................................... 67 T-4. 識別子の紐付け方法............................................................................... 70 T-5. 一般利用者のアクセシビリティ ............................................................. 72 T-6. 職員認証 ................................................................................................ 78 T-7. ログの管理............................................................................................. 79 T-9. 身元確認レジストリー ........................................................................... 80 ③教育 ............................................................................................................... 84 E-1. 法律の周知 ............................................................................................ 84 1 E-2. 番号やクレデンシャルに対するリテラシー ........................................... 84 E-3. 民間事業者の参画インセンティブ ......................................................... 85 実現までの道筋 ..................................................................................................... 87 国際的動向 ............................................................................................................ 90 信頼フレームワーク .......................................................................................... 90 ダボス会議 ”Personal Data Ecosystem” ....................................................... 90 各国の動向 ..................................................................................................... 98 レジストリー ................................................................................................... 109 プライバシー・コミッショナー....................................................................... 113 ユースケース(国民 ID 制度で実現したいこと) ............................................... 115 災害復興のための国民 ID 制度 ........................................................................... 116 要援護者情報とハザードマップの連携 ............................................................ 117 被災者レジストリーによる継続的かつプッシュ型の救援の実現 ..................... 118 情報連携による精緻・迅速な生活再建支援の実現 .......................................... 121 Incident Command System(ICS) .............................................................. 122 用語集 ................................................................................................................. 124 2 背景と目的 基本理念 昨今ネットワーク社会の到来により、利用者に関する情報の量や多様性は、世界的 に爆発的な増加を見せており、その経済的・社会的な価値は日々増してきている。一方、 わが国の情報経済は、ブロードバンド化、ユビキタスネットワーク化の進展により、世 界最先端のネットワーク・インフラを備えるに至っているが、その利活用においては、 随所に遅れが目立つ状況は変わっていない。複雑かつ変化の激しいグローバルな社会環 境において、利用者に関する情報の潜在的価値を顕在化し、最大化するためには、それ ら情報が組織・機関を超えて安全に取り扱われるように、制度的・技術的施策を国がリ ードしなくてはならない。 昨年 5 月、内閣官房 IT 戦略本部より打ち出された「新たな情報通信技術戦略」に おいては、国民本位の電子政府、地域の絆の再生、新市場の創出と国際展開という三本 の柱が立てられたが、「国民 ID 制度」の問題は、主として国民本位の電子政府の実現 の手段として取り上げられた。 一方、今年 1 月に決定された「社会保障・税に関わる 番号制度についての基本方針」では、本人確認と情報連携のための基盤を社会保障・税 分野に活用していくという方針が打ち出された。 しかしながら、国民 ID 制度の問題は、国民一人ひとりの「アイデンティティ」の 連携という側面に着目すると、電子政府分野や税と社会保障分野に留まらず、経済活性 化と国民の情報主権を希求する国家にとって、社会基盤的な重要性をもつものである。 つまり、「新たな情報通信技術戦略」においては、地域の絆の再生や新市場の創出、「共 通番号制度」にとっては、幅広い分野での情報連携(C 案)を実現する上でも、鍵とな るものである。 わが国の情報経済は、ユビキタスなネットワーク環境を実現したが、それはインタ ーネットの持つ不確かさの文化の上に立つものを中心に展開されており、必ずしも本人 性の伴わない利用を前提にして発展してきたと言えよう。しかしながら、「新たな情報 通信技術戦略」や「共通番号制度」が求めるものは、不確かで本人性の伴わないネット ワークだけではなく、「信頼性と本人性の高いネットワーク・インフラ」を、主権者で ある国民が、ニーズや利用サービスに応じて使い分けることで築かれる社会である。 この本人性の高いネットワーク・インフラについては、一部存在はするものの、産・ 官・学の個別の組織やサービスの縦割り構造のなかでタコツボ化し、横や斜めの連携が 困難な構造になっている。このため、インターネットの発展やユビキタスネットワーク 化の進行によってせっかく生み出された情報経済環境から、十分な価値を汲みだしてい ない状態にある。 今後の成長戦略と公平な社会保障に直接寄与するために重要なのは、国民 ID 制度 を、電子政府や税と社会保障の一部の活性化のための仕組みに閉じ込めるのでなく、わ 3 が国の社会システム全体の生産性向上と活性化に寄与する「信用性の高いアイデンティ ティを流通させる情報経済インフラ」として確立することである。 本提言は、このような「信用性の高いアイデンティティ流通インフラ」を確立すべ く、産・官・学・民の間の本人性の高い双方向のオンライン申請・届出・共有・交付・ 給付・経済取引等を、セキュリティやプライバシー、自己情報コントロール、ユーザビ リティ等に配慮し、真に国民本位で効率的な社会システムである「ID エコシステム」 (仮称)の実現に関わるものである。 この ID エコシステムの実現のためには、官民問わずオンラインでの情報流通の量 の増大と質の向上が必要であり、各組織・機関の信頼性や、流通する個人データの信頼 性の確保のための仕組みが求められる。この信頼性確保の一定の枠組み(「信頼フレー ムワーク」)の基準を整備することにより、多種多様な組織・機関の参画を促進し、企 業間での協調や競争が自由に行われる。それにより、サービスの向上、ひいては国民の 生活レベル(Quality of Life)を向上させることができる。 国民 ID 制度と共通番号制度の実現には、経済産業省の他に、内閣官房、総務省、 厚生労働相、法務省、財務省等が関与することとなっている。その中で、経済全体でア イデンティティ情報が流通できるような制度的枠組みを整備し、所要の技術開発を行い、 官民協働による永続的な情報生態系である「ID エコシステム」とそれを支える「信頼 フレームワーク」を構築することは、経済産業省の主要なミッションであると考えられ る。 おりしも、米国においても、同様な情報経済における信頼性の高い ID 制度の確立 に向けての動きがあり、オバマ政権により「National Strategy for Trusted Identities in Cyberspace」が本年 1 月に発表され、本格的な取組みへの動きが出てきているところ である。その後、世界経済フォーラム(ダボス会議)においても、パーソナル・データ 利活用のための信頼フレームワークが長期プロジェクトとして採択された。このような 動きと連携しながら、わが国の「ID エコシステム」の実現に向けて、まずはトータル な俯瞰図「グランドデザイン」を描き、そのために必要な実証実験を具体的に推進する 体制を、早急に整備することが必要である。 また、わが国の ID エコシステムの実現に向けたビジョンと戦略を構築するに際し ては、政府の主導が不可欠であるが、現下の財政の現状を鑑みれば、いたずらに大規模 情報システムの構築を追求するのでなく、制度と情報技術と利用者の参画を適切に設計 することによって、可能な限り経済的なプラットフォームを設計・構築できるようにす るべきである。そのためには、国民 ID に関連する、既存の民間のインフラを最大限、 利活用することが肝要である。 これらの現状認識や必要性を踏まえ、本提案では、「新たな情報通信技術戦略」と 「社会保障・税に関わる番号制度についての基本方針」に示された要件を満たした上で、 その他必須と思わる検討事項を補完した。国民 ID 制度のグランドデザインを描き、官 4 民協働の ID エコシステムの実現に向けた提言と基本要件の整理し、「ルール/ツール /啓蒙」の 3 つの手段による解決策を提案する。 政府検討の現状との関係性 『新たな情報通信技術戦略』と国民 ID 制度 2010 年 5 月 11 日、高度情報通信ネットワーク社会推進戦略本部(IT 戦略本部)か ら「新たな情報通信技術戦略」が発表された。国民 ID 制度はこの中で最初に規定され ているものであるため、その目的や要件についてはここから読み解く必要がある。 新たな情報通信技術戦略の構造は以下のようになっている。 新たな情報通信技術戦略の構造 I. 基本認識 II. 3つの柱と目標 1. 国民本位の電子行政の実現 2. 地域の絆の再生 3. 新市場の創出と国際展開 III. 分野別戦略 1. 国民本位の電子行政の実現 (1) 情報通信技術を活用した行政刷新と見える化 i) 電子行政推進の基本方針を策定 ii) 行政サービスのオンライン利用に関する計画の策定 iii) 行政ポータルの抜本的改革と行政サービスへのアクセス向上 iv) 国民 ID 制度の導入と国民による行政監視の仕組みの整備 v) 政府の情報システムの統合・集約化 vi) 全国共通の電子行政サービスの実現 vii) 「国と地方の協議の場」の活用 (出所)IT 戦略本部 新たな情報通信技術戦略より引用・要約 ここからまず読み取れるのは、国民 ID 制度は、「国民本位の電子行政の実現」の 特に「行政刷新と見える化」の文脈で定義されているものであるということである。こ この目的が忘れられ、社会保障と税の共通番号の目的と混乱した議論が展開されている ので整理される必要がある。その前に、まずは本戦略の「基本認識」(ビジョン)、「3 5 つの柱と目標」(大戦略)を見ることにする。この路線に乗らない手段はまず今回の議 論の対象外となるはずである。 新たな情報通信技術戦略の「基本認識」にみる「ビジョン」 新たな情報通信技術戦略において、「ビジョン」に類するものは「I.基本認識」の 中に書かれている。かなり感動的な文章なので、以下に引用する。(下線は新たに書き 加えたもの) Ⅰ. 基本認識 情報通信技術革命の本質は情報主権の革命である。政府・提供者が主導す る社会から納税者・消費者である国民が主導する社会への転換には、徹底的 な情報公開による透明性の向上が必要であり、そのために情報通信技術が果 たす役割は大きい。 国民が主導する社会では、市民レベルでの知識・情報の共有が行われ、新 たな「知識情報社会」への転換が実現し、国民の暮らしの質を飛躍的に向上 させることができる。 今回の情報通信技術戦略(IT戦略)は、過去のIT戦略の延長線上にあ るのではなく、新たな国民主権の社会を確立するための、非連続な飛躍を支 える重点戦略(3本柱)に絞り込んだ戦略である。また、これは、別途策定 される新成長戦略と相まって、我が国の持続的成長を支えるべきものでもあ る。 このため、戦略の実施に当たっては、これまでの関連政策が効果を上げて いない原因を徹底的に追求し、IT戦略以外の各政策との連携、関係府省間 の連携、政府と自治体との連携、政府と民間との連携等を具体的に進め、新 たな国民主権の社会が早期に確立されるよう、国を挙げて、強力に推進する。 (出所)IT 戦略本部 新たな情報通信技術戦略 以上を要約すると以下となる。 【ビジョン】 情報主権革命を通じ、情報主権を政府・提供者から納税者・消費者である国民へ転換、 市民レベルでの知識・情報の共有を通じた新たな「知識情報社会」への転換を実現し、 国民の暮らしの質を飛躍的に向上させる。 そして、これを実現するための基本的な手段が; 6 【戦略】 IT の活用による徹底的な情報公開による透明化 である。国民 ID 制度について考えるとき、上記を常に念頭において置かなければ ならない。つまり、国民 ID 制度は、「国民情報主権の確立」と、「知識情報社会への 転換に資する」ものでなければならない。 国民本位の電子行政の実現 さて、上記の実現のためにどうするかというのは、「II. 3つの柱と目標」に「「国 民主権」の観点から、まず政府内で情報通信技術革命を徹底し国民本位の電子行政を実 現する。」と記載してある。この「国民本位の電子行政の実現」だが、その内容として 記載されているのは以下の項目である。 ○ 2020 年までに国民が、 自宅やオフィス等の行政窓口以外の場所において、 国民生活に密接に関係する主要な申請手続や証明書入手を、必要に応じ、 週 7 日 24 時間、 ワンストップで行えるようにする。 この一環として、2013 年までに、コンビニエンスストア、行政機関、郵便局等に設置された行 政キオスク端末を通して、国民の 50%以上が、サービスを利用すること を可能とする。 ○ 2013 年までに政府において、また、2020 年までに 50%以上の地方自治 体において、国民が行政を監視し、自己に関する情報をコントロールで きる公平で利便性が高い電子行政を、無駄を省き効率的に実現すること により、国民が、行政の見える化や行政刷新を実感できるようにする。 ○ 2013 年までに、個人情報の保護に配慮した上で、2次利用可能な形で行 政情報を公開し、原則としてすべてインターネットで容易に入手するこ とを可能にし、国民がオープンガバメントを実感できるようにする。 (出所)IT 戦略本部 新たな情報通信技術戦略 そして、そのための重点施策として以下のことが記載されている。 III. 分野別戦略 1.国民本位の電子行政の実現 (1) 情報通信技術を活用した行政刷新と見える化 【重点施策】 7 ○ 行政サービスの中で、利用頻度が高く、週 7 日 24 時間入手できることに よる国民の便益が高いサービス(例:住民票、印鑑証明、戸籍謄抄本等の各 種証明書の入手等)を特定し、それらをオンライン又は民間との連携も含 めてオフライン(例:行政キオスク端末)で利用できるようにする。 ○ 社会保障の安心を高め、税と一体的に運用すべく、電子行政の共通基盤 として、官民サービスに汎用可能ないわゆる国民 ID 制度の整備を行うと ともに、自己に関する情報の活用については、政府及び自治体において、 本人が監視・コントロールできる制度及びシステムを整備する。 ○ 電子行政推進の実質的な権能を有する司令塔として政府 CIO を設置し、 行政刷新と連携して行政の効率化を推進する。その前提として、これま での政府による情報通信技術投資の費用対効果を総括し、教訓を整理す る。その教訓にもとづき、上記施策を含め、電子行政の推進に際しては、 費用対効果が高い領域について集中的に業務の見直し(行政刷新)を行っ た上で、共通の情報通信技術基盤の整備を行う。クラウドコンピューテ ィング等の活用や企業コードの連携等についても、その一環として行う。 (出所)IT 戦略本部 新たな情報通信技術戦略 ここでようやく「国民 ID 制度」という言葉が現れ、この「iv)国民 ID 制度の導入 と国民による行政監視の仕組みの整備」で詳細が語られる。 iv)国民 ID 制度の導入と国民による行政監視の仕組みの整備 社会保障・税の共通番号の検討と整合性を図りつつ、個人情報保護を確保し 府省・地方自治体間のデータ連携を可能とする電子行政の共通基盤として、 2013 年までに国民 ID 制度を導入する。 併せて、行政機関による運用やアク セスの状況を監視する第三者機関の創設、公的 IC カードの整理・合理化を行 う。また、インターネットを通じて利便性の高いサービスを提供するため、 民間 ID との連携可能性を検討する。 さらに、各種の行政手続の申請等に際 して、既に行政機関が保有している情報については、原則として記載・添付 が不要となるよう行政機関における適切な情報の活用を推進するとともに、 行政機関が保有する自己に関する情報について、国民が内容を確認できる仕 組みを整備する。 【内閣官房、総務省、財務省、文部科学省、厚生労働省、経 済 産業省等】 (出所)IT 戦略本部 新たな情報通信技術戦略 8 国民 ID 制度の 10 要件 上記から以下の「国民 ID 制度の要件」がわかる。 1. 国民 ID 制度は、政府・提供者が主導する社会から納税者・消費者である国民が主 導する社会へと情報主権を逆転させるもので、政府の徹底的な透明化に資するもの でなければならない。(基本ポリシー) 2. 国民 ID 制度は、官民サービスに汎用可能な制度であり、個人情報保護を確保し府 省・地方自治体間のデータ連携を可能とする電子行政の共通基盤である。 3. 国民 ID 制度は、個人情報の保護を徹底するものでなければならない。 4. 国民 ID 制度は、政府及び自治体における自己に関する情報の活用を本人が監視・ コントロールできる制度及びシステムでなければならない。 5. 国民 ID 制度の実施にあたっては、行政機関による運用やアクセスの状況を監視す る第三者機関の創設しなければならない。 6. 国民 ID 制度の実施にあたっては、公的 IC カードの整理・合理化を行う。 7. 国民 ID 制度の実施にあたっては、インターネットを通じて利便性の高いサービス を提供するため、民間 ID との連携可能性を検討しなければならない。 8. 国民 ID 制度では、各種の行政手続の申請等に際して、既に行政機関が保有してい る情報については、原則として記載・添付が不要となるよう行政機関における適切 な情報の活用を推進しなければならない。 9. 国民 ID 制度では、 行政機関が保有する自己に関する情報(アイデンティティ情報) について、国民が内容を確認できる仕組みを整備しなければならない。 10. 国民 ID 制度は 2013 年までに導入されなければならない。 以上の内容を国民 ID 制度の成立要件として以降の話を進めることとする。 『社会保障・税に関わる番号制度についての基本方針』 一方、「社会保障・税に関わる番号制度についての基本方針」は、2011 年 1 月 31 日に政府・与党社会保障改革検討本部にて決定された。 本基本方針では、まず課題として以下が挙げられている(以下、要約)。 国民の不満:納めた税金や保険料にふさわしい社会保障がきめ細やかに正確におこ なわれているかどうかが目で確認できない。 国民の損益:国民の行政手続において、重複した添付書類が求められるなど煩雑で 不便でコストがかかり、知らないがためにみすみす受給の機会を逃してしまう。 9 行政内のサービスレベル:正確な本人の特定ができず、真に手を差し伸べるべき人 に対してのセーフネットの提供が万全でなく、不正行為の防止や監視が行き届いて ない。 行政内の業務効率:各府省、各自治体の業務間の情報の連携が不足しており、数多 くの書類を審査し、結果人的ミスを誘発しやすい作業を繰り返している 民間サービスの負担:本人特定・本人確認のために多大なコスト・時間・労力を要 している。 これらの自体を招く根本的な要因として、 複数の機関に存在し、かつそれぞれに蓄積される個人の情報が同一人の情報であ るということの確認を行うための基盤が存在しないこと (出所)社会保障・税に関わる番号制度についての基本方針 が挙げられている。さらに、理念・実現すべき社会として、 2. 理念・実現すべき社会 複数の機関に存在する個人の情報が同一人のじょうほうであるということの確認を 行うための基盤は、情報化された社会には必要丌可欠なインフラであり、既に多くの 諸外国で整備されているものである。 「社会保障・税に関わる番号制度」(以下「番号制度」という)は、かかる基盤を提供 することにより、国民が公平・公正さを実感し、国民の負担が軽減され、国民の利便 性が向上し、国民の権利がより確実に守られるように、主権者たる国民の視点に立っ て、以下のような社会を実現することを理念とするものである。 ① より公平・公正な社会 ② 社会保障がきめ細やか且つ的確に行われる社会 ③ 行政に過誤や無駄のない社会 ④ 国民にとって利便性の高い社会 ⑤ 国民の権利を守り、国民が自己情報をコントロールできる社会 番号制度は、国や地方公共団体等が国民一人ひとりの情報をより的確に把握し、一 方、国民が国や地方公共団体等のサービスを利用するための必要丌可欠な手段と なるという、いわば国民と国・地方公共団体との間の新しい信頼関係を築く絆となる ものである。 10 (出所)社会保障・税に関わる番号制度についての基本方針 とある。また、番号制度の仕組みは、付番/情報連携/本人確認の 3 つの仕組みで 構成される社会基盤であるとされた。 (出所)社会保障・税に関わる番号制度についての基本方針 付番/情報連携/本人確認/個人情報保護方策など 以下、付番、情報連携、本人確認、個人情報保護方策の各章で記載された内容の内、 ポイントとなる部分を要約する。 【付番】 国民一人ひとりに付番される番号であり、唯一無二の「民-民-官」で利用可 能な見える番号である。番号は最新の住所情報に関連付けられる。 番号は、住基ネットを活用した新たな番号とし、住基カードを改良した IC カ ードの券面等に記載する。 付番機関は、「歳入省の創設」を検討しつつも、個人の付番と情報連携基盤の 所管は総務省とする。 付番の基礎となるデータは、住民基本台帳に記載されている 4 情報(住所、氏 名、生年月日、性別)とする。 11 番号が利用できる分野は、年金、医療、福祉、介護、労働保険の各社会保障分 野と国税・地方税の各税務分野とする。各分野の既存の番号は併存する。 【情報連携】 複数の機関において、それぞれの機関ごとに「番号」やそれ以外の番号を付し て管理している同一人の情報を紐付けし、紐付けられた情報を相互に活用する 仕組みを「情報連携」とする。 各省庁や機関で管理されているデータベースは、制度導入後も引き続き分散管 理される。 当面の情報連携の範囲は、年金、医療、福祉、介護、労働保険の各社会保障分 野と国税・地方税の各税務分野とする。 番号制度の情報連携基盤がそのまま国民 ID 制度の情報連携基盤となり、将来 的に幅広い行政分野や、国民が自らの意志で同意した場合に限定して民間のサ ービス等に活用する場合においても情報連携が可能となるよう、システム設計 を行う。 【本人確認】 本人確認の仕組みを構築するために、既存の公的個人認証及び住基カードを改 良し、活用する。 民-官、民-民のそれぞれの取引の場面で求められる適切な認証のあり方につ いて認定認証業務の活用を含めて検討を行う。 【構築に関しての留意点】 業務のありかたの見直しと共に、システム最適化を行う。 バックアップ体制やバックアップシステムの整備を含め、不具合発生時に手作 業等を想定しつつ、制度設計を行う。システムが故障などで稼動しなくなった 場合に、その機能を代替するような体制やシステムを整備しておく。 自己情報へのアクセス記録を確認し、行政会館等からの情報提供によりサービ スが受けられるよう、インターネット上にマイ・ポータル(仮称)を設置する。 その際、民間サービスの活用も視野に入れる。 【個人情報保護の方策】 国民が自己情報へのアクセス記録の確認をできる制度を法的に担保する。 番号制度に係る個人情報保護法制の円滑な執行と適切な運用を担保するために 設置される第三者機関の在り方について、具体的検討を行う。 12 番号とそれに伴う個人情報の利用目的を明らかにし、目的外利用・提供の制限 を明示する。 不正な情報活用を防止するため、関係法令の罰則強化を検討する。 プライバシーに対する影響評価の実施とその結果の公表を行う仕組みを検討す る。 共通番号制度の 10 要件 以上の内容から、共通番号制度に求められる主だった基本要件を 10 つに纏める。 1. 「真に手を差し伸べるべき人」に対して、行政サービスが確実に行き届くようにす る。 2. 官及び民の業務において、正確な本人特定・本人確認を実現できるようにする。 3. 自己の情報の活用や機関間の連携については、国民が自らの意志による同意に基づ き、国民が自己情報をコントロールできるようにする。 4. 情報連携の範囲は、当面は税と社会保障の分野とし、将来的には幅広い利用範囲(い わゆる「C 案」)を視野に、情報連携基盤のシステム設計を行う。 5. データの管理は分散管理型方式とする。各省庁や関係機関、地方公共団体のデータ ベースは、番号制度導入後も引き続き各々で管理される。(集中管理はしない) 6. システムが故障などで稼動しなくなった場合に、その機能を代替するような体制や システムを整備しておく。(シングルポイントの欠陥がない仕組みにする) 7. 既存の公的個人認証及び住基カードを改良する一方で、民が絡む取引では適切な認 証の在り方について検討する。(民間サービスに公的認証を強要しない) 8. サービスの提供は窓口だけでなくインターネット上にマイ・ポータル(仮称)を設 置する。その際、民間サービスの活用も視野に入れる。(マイ・ポータルの運営主 体は民でも良い) 9. 行政機関への申請・申告をする場合に、添付書類が省略できるようにする。 10. 個人情報保護方策の一環として、第三者機関の設置、目的外利用の制限の明示、罰 則規定、プライバシーに対する影響評価の実施を検討する。 今後の進め方 なお、今後の検討に関しては、番号制度創設推進本部の設置、「番号法(仮称)」 の整備検討とともに、「個人情報保護ワーキンググループ」と「情報連携基盤技術ワー キンググループ」が設置され、前者にて法制度面も含めた個人情報保護方策を検討し、 13 後者においては、情報連携基盤で扱う情報の範囲や個人情報保護に留意した紐付けの具 体的手法等、システム設計の前提となる事項や進め方について検討・整理する。 (出所)社会保障・税に関わる番号制度についての基本方針 「番号制度及び国民 ID 制度における情報連携基盤技術の骨格案」に関して 3 月 4 日発表の骨格案では、「個人に対する付番、番号連携及び情報連携」につい て言及されており、「個人認証とマイポータル・ICカード等の活用」「法人に対する 付番」については未記載の状態である。 「個人に対する付番、番号連携及び情報連携」について、以下のような項目につい て言及されている。(以下、第2回 情報連携基盤技術ワーキンググループ提出資料「社 会保障・税に関わる番号制度及び国民ID制度における情報連携基盤技術の骨格案(そ の1)を元に記載」 1.基本的な考え方 2.情報連携の原則 3.付番と番号管理について 4.番号連携について 5.情報連携について 6.アクセスログの保存及び提供 7.情報保有機関の機能と既存システム・情報連携基盤間のインターフェイス 8.情報連携基盤・情報保有機関間等の回線 14 1.基本的な考え方 各情報保有機関のデータを連携する際には、情報連携基盤を通じて行うことと、また 連携のアクセス許可の仕組みや、ロギングの仕組みを情報連携基盤に持たせること、国 民がそのログを参照できるようにすることが記載されている。 また国民の情報を一元管理できる主体が存在しないことが住基ネット訴訟の合憲根 拠となったことから、情報連携基盤についても、個人情報を一元管理しない仕組みにす る必要があることを述べると同時に、データマッチング機能があるためにも、住基ネッ ト以上の安全性の確保が必要である旨が述べられている。 2.情報連携の原則 いわゆる「番号」は見える番号であり、「民-民-官」で広く利用されるものであ るため、システム的な情報の紐付けのキーには用いず、別途住民票コードから派生する 新しいコードである「ID コード」を用いることとしている。ただし、すべての情報保 有機関で同一の ID コードを利用すると、情報漏洩時の名寄せなどの危険があるために、 ID コードを元に、情報保有機関ごとに異なる「リンクコード」を作成、付番する方式 とし、これら ID コードとリンクコードを用いて情報を連携する方針を記載している。 3.付番と番号管理について 「番号」と ID コードは、悉皆性の観点からいずれも住民票コードをベースに発番 することが考えられているが、その発番の方式は「番号」と ID コードで別のものにす ることとなっている。 ID コードとリンクコードについては、可逆暗号で互いに変換できるようにし、テー ブルなどでのマッピング管理は行わない方針である。(ID コードからリンクコードを 発番する機関は、情報保有機関にリンクコードを渡した後、速やかにリンクコードを削 除する方針が述べられている) また骨子案では「番号」は見える番号であるために国民の申告により変更が可能で あり、ID コード、リンクコードは見えない番号であるがゆえに、国民に通知もされな いし変更申請もできないものとして位置づけている。 なお、リンクコードの付与先については、原則すべての情報保有機関であるが、既 存の制度で情報共有が定義されているものについてはこの限りではなく、情報連携基盤 とは異なる取り扱いを行う事を検討している(例:金融機関の国税への情報提供など)。 また社会保障分野については、保有機関の数が多いことからも、情報連携基盤と直接つ ながるのは分野別のハブとし、個別の情報保有機関についてはハブを通じて情報連携基 板とは異なる仕組みで連携することが検討されている。 15 4.番号連携について 基本的にデータ連携(突合)に用いる識別子は ID コード・リンクコードと位置づ け、「番号」はあくまで申告用の見える番号という位置づけである。よって、情報保有 機関が持つデータに紐付けられるのはリンクコードであり、そのために、情報保有機関 の持つ基本 4 情報(氏名、性別、生年月日、住所)を受けて、住基ネットの持つ 4 情報 と突合し、リンクコードを返却する機関の必要性が述べられている。そのため、情報保 有機関のもつ 4 情報は、住基ネットにあった形でクレンジングされる必要があるが、こ のクレンジングにあったっては、何らかの補助的な機能を用いて、情報保有機関側の責 務で実施される想定である旨が述べられている。 5.情報連携について 情報連携基盤を通じた情報の連携ができる機関をあらかじめ法で定義し、その法に 沿った連携が行われるように、情報連携基盤がアクセスコントロールを行う旨が記載さ れている。また、情報連携基盤を用いた連携ができる職員についても、何らかのシステ ム的なコントロールを行う事となっている。 なお、情報を実際に連携する際の、アクセスコントロール、リンクコード-ID コー ドの変換、そして送受信のコントロールも行うことも記載されている(情報保有機関か ら情報利用機関へのデータも情報連携基盤を通じて送られる想定)。 6.アクセスログの保存及び提供 5にて取得したログについて、ログ自体が機微情報となり、1に述べたような国民 の情報を一元管理する基盤とならないような考慮が必要であること、そのため、機微名 情報が含まれるような細かいログについては、情報保有機関側にて取得・保管する方式 が述べられている。また、マイポータルを通じて国民が直接確認できるログと、別途申 請をベースとして確認できるログ、監査機関が監査のために確認するログは、位置づけ を分けて整理する必要性について言及している。 7.情報保有機関の機能と既存システム・情報連携基盤間のインターフェイス 情報連携基盤の機能として、アクセスコントロールの機能、ログ保管の機能、情報 保有機関と情報利用期間の間のリンクコードの変換機能を挙げている。また、既存シス テムの改修を押さえるため、各システムの差異を吸収するインターフェイス機能の必要 性に言及している。 8.情報連携基盤・情報保有機関間等の回線 情報連携基盤、情報保有機関の間の回線については、LGWAN を改良して利用する 方針が述べられている。 16 これらの方針をまとめたものが下図である。 (出所)第 2 回 情報連携基盤技術ワーキンググループ提出資料「番号制度 番号連携 イメージ」 17 提言 以上の基本理念と要件を前提条件とし、国民 ID 制度及び共通番号制度の「あるべ き姿」を描くための 5 つの提言を、以下に述べる。 提言 1:競争導入による効率的な仕組み(官制民営)の担保 厚生経済学の第一基本定理に則り、民間に任せられるところはできるだけ民間 に任せ、政府はルールづくりに徹し、市場の失敗が生じる分野のみ介入する。 民間リソースの参画を促すことで競争が生じ、より多様で効率的なサービスが 提供可能になる。結果、利用者である国民の便益を高め、経済の活性化にも貢献す る社会システムが実現できる。 法律だけではなく政府自体が情報システムを構築し、かつその運営を担うというア プローチ(「官製官営」)は、競争が発生しないため、サービスの質や効率が高まるこ とは期待できない。番号制度・国民 ID 制度において、民間企業が既に提供しているサ ービス(もしくは、提供できるサービス)については、極力民間のサービスを活用する ようにすべきである。国の役割はルールやポリシーを取り決めることであり、それらに 準拠し、制度を具現化するシステムは、極力民間企業に任せるアプローチ(「官制民営」) こそが望ましいと思われる。国が、参画基準が明確なルールを整備することで、一部の プレーヤーによる独占を避け、様々な企業による自由な競争が生まれる。基準をクリア しているか否かについては、第三者による認定によって決定されるべきである。 以下は、今回の制度を構成する要素に対し、だれが提供するのかを現状の政府案と 本提言とで比したものである。 国民 ID 制度・共通番号制度に必要な要素とその担当機関 情 報 連 携 基 盤 情報連携基盤技術WG事務局案 本報告書の提言 ・データ連携GW 総務省 なし ・ディスカバリーサービス 総務省 官及び民間(オープンな参加基準) ・ログ収集 総務省 第三者機関 ・業務プロセス管理 総務省 各情報保有機関 (Access Manager / Policy Decision Point) ・情報保有機関 各府省、各地方自治体、各民間企業 ・情報利用機関 同上 ・マイポータル 未定(総務省+各府省) 官及び民間(オープンな参加基準) ・認証サービス 総務省 官及び民間(オープンな参加基準) ・付番センター 未定 未定 総務省 総務省 ・(既存システム)住基ネット (出所)野村総合研究所 18 特に、「マイポータル」や「認証サービス」などは、民間サービスのほうが利用者 にとって親しみやすく、使いやすいものが多く、ターゲット層に合わせて極め細やかな 対応ができるため、官製のものだけでなく民営のものを最大限活用することが望ましい。 前述した要件にある通り、民間サービスも含む幅広い分野に活用される基盤を目指すの であれば、なおさら民間活用を前提に制度設計をしたほうがいいだろう。(但し、サー ビスの公平さや公的保証が強く求められる場合、民間ビジネスとして成立しないため企 業が参入しない場合などは官営によるサービスが必要な場合があるため、民と官の得意 分野を上手く組み合わせることが現実解となろう。) 提言 2:柔軟性の高い実施手段の採用 要件を実装するための手段は、極力柔軟性の高いものを採用する。ある一点に ボトルネックを生じる可能性が高いもの、競争を阻害するもの、国際標準に則 さないもの、参加機関・企業の便益を損なうものは採用すべきではない。法律、 プライバシー、セキュリティ、システムの可用性、拡張性、コストの観点から、 より柔軟性の高い実施手段を選択するべきである。 具体例として、番号制度・国民 ID 制度の議論において、情報連携、情報提供、ユ ーザー認証の 3 つの主要な論点において、望ましくない方式と、あるべき方式(本報告 書の提言)を比したものを以下に図示した。 国民 ID 制度・共通番号制度を実現するシステム方式 1. 情報連携 (機関間での情報のやり取り に関する方式) 2. 情報提供 (利用者に情報を提供する方式) 3. ユーザー認証 (利用者を認証する方式) 望ましくない方式 あるべき方式(本報告書の提言) 集中ゲートウェイ方式 分散管理方式 個人情報のやり取りは必ず中央のゲー トウェイを通じて行われる アクセス許可の発行とデータの転送とを 機能分解し、個人情報のやり取りは機関 や事業者間で直結して行われる マイポータル方式 API方式 情報提供は国が用意した一つのポータ ルを通じて行われる 利用者ニーズに応じて事業者がUIを提 供できるようにし、APIを長期的な観点で 整備する 公的認証方式 信頼フレームワーク方式 行政自身が発行するICカード+公的電 子証明書に限定する 利用者や事業者が複数の認証方式や認 証事業者をニーズやセキュリティ要件に 応じて選択できる (出所)野村総合研究所 その根拠の詳細は後述するが、 19 国が中央ゲートウェイを設け、個人情報のやり取りはそこを介すこと 国が画一的なポータルを設け、そこへのアクセスを要求すること 国が利用者の認証手段を固定の方式に限定すること などは、利用者や事業者の便益、法律への準拠、プライバシーとセキュリティの確 保、システムの可用性、拡張性、投資対効果、など様々な観点から避けるべきと考える。 さらに、番号制度で言うならば、個別の技術に偏重した方式や実装を大綱や要綱のレベ ルで明示することを避けるべきであり、方式には多様性を持たせ、技術や実装に関して は、政府は中立的であるべきである。国際的なスタンダードに配慮せず、独自でクロー ズドな仕組みでシステムを構築し、民間分野や海外諸国で採用された技術やビジネスプ ロセスを無視すれば、それらとの相互運用性が取れなくなる。WTO/GP 協定への配慮 も必要であろう。 それらの観点からすると、あるべきアプローチは、 情報連携は、分散型で、第三者の許可に応じて機関・事業者間で直接やり取り する 情報提供は、多様なニーズに答えられるよう外部に任せ、国は API を提供する ユーザー認証は、ニーズやセキュリティレベルに応じて多様な認証手段を多様 な事業者が提供し、利用者はそれらから使いやすいものを選択する といった方式が望ましい。API 方式に関しては、長年責任分界やサービスレベル保 証の観点から、行政の考え方に馴染まないといった意見が散見されてきた。しかし、今 回行政や企業が、震災や停電に関する一次データを提供し、それらを一般の開発者が加 工し利用者に分かりやすい表現で届けたという Government 2.0 的な事例も出てきてい る。参画企業や開発者の信頼性確保のための認定の仕組みを取れば、責任分界の問題も 解決できるだろう。よって、このような時代の潮流に照らし合わせた方式を本制度検討 でも積極的に取り入れるべきである。限られた財源の中での、サービス開発を考えた場 合、最終的なユーザーインターフェースの提供は民に任せるという発想が、より効率的 である。 提言 3:第三者機関の役割と国民プライバシー権の明確化 現行個人情報保護法を、第三者機関の管轄に置き、現行法の課題や矛盾を解消 すると共に、国民のプライバシー権を明確化するべきである。その上で、関連 システムは設計段階で、独立性の高い第三者機関によるプライバシー影響評価 を受ける必要がある。 20 個人情報保護ワーキンググループでは、個人情報保護方策や第三者機関の組織や権 限に関する検討がなされ始めている。例えば、監視に関する権限は以下の案が提示され ている。 第三者機関の監視に関する機能権限 (出所)個人情報保護 WG「社会保障・税に関わる番号制度における個人情 報保護方策の概要」(座長試案) 憲法 13 条/個人情報保護法/番号の関係 憲法 第13条 「個人の尊厳」 → プライバシーの権利 13条から読み取れる「プライバシ-の権利」 と 「データ保護法」的個人情報保護法の関係整理 個人情報の保護に関する法律(基本法部分) (民間部門の 一般法部分) 行政機関 個人情報保護法 各分野でのガイドライン(主務大臣制) 独立行政法人 個人情報保護法 地方公共団体 地方公共団体 地方公共団体 個人情報保護条例 個人情報保護条例 個人情報保護条例 (1,800余) (1,800余) (1,800余) 「一般法」 と 「特別法」の関係整理 番号法(仮称) 21 (出所)野村総合研究所 上記のような関係を考慮すると、今後の検討すべき論点として、個人情報保護法の見直 しと管轄機関の変更が挙げられるであろう。 現行個人情報保護法と新設される番号法を共に第三者機関の主管に置く。 第三者機関が主導で、個人情報保護法の課題・矛盾の整理を行う。 個人情報保護法(一般法)と番号法(特別法)の関係整理を行う。 その上で、個人情報保護法を憲法 13 条に立脚した「データプライバシー保護基本 法」に組み替える。 上記のように法体系を整える必要があると考える。そして、その過程で、憲法 13 条の「個人の尊重」の理念に基づいた「プライバシーの尊重」の考え方を、これまでの 学説・判例やネットワーク社会の実態に即して体系的に整理していく必要がある。本来 であれば、その上で、本制度に関連してシステム上どのような対応が必要か検討してい くのが理想的である(PIA や Privacy by Design の考え方)。本グランドデザインにお いては、諸外国の動向を参考にしながら、インターネット時代におけるプライバシー保 護の技術的方策を汎用的なフレームワークとして示しているが、今後法制度面側からの 要件が固まることで、より具体的なソリューションとして提示することが可能になるで あろう。 提言 4:基本 4 情報に依存しない紐付け・名寄せ方法の検討 情報保有機関の業務フローやデータの保有形態に応じて、ケースバイケースで 様々な紐付け手段を検討しておくべきである。それにも関わらず、現状は情報 保有機関が、正確な基本 4 情報(氏名/性別/生年月日/住所)を既に持って いるという前提であり、その方式しか検討されていない。紐付け・名寄せに関 して、4 情報依存を減らしたほうがよいのではないか。 紐付け・名寄せの方法やその正確性確保は番号制度の最重要検討項目である。にも かかわらず、現状はその検討があまり深くなされていないようである。 各情報保有機関のデータに利用者のリンクコード(または「番号」)を紐付けてお かないと、データの連携はできない。 どのようにして、データにリンクコード(また は「番号」)を紐付けるのか、不明確である。そもそもそのようなことが出来るのであ れば、番号制を導入する必要はないと思われる。 現状の要件は以下の通りである。 22 リンクコードが情報保有機関の個人情報データベースに紐付けられるため には、情報保有機関が保有する4情報と、リンクコード、IDコードの基礎 となっている住民票コードに係る住基ネットの保有する最新の4情報とを突 合することが必要ではないか。そのため、情報保有機関の責任で、情報保有 機関が保有する4情報を最新のものとすることが不可欠であり、このために、 住基ネットを活用できるようにすることが求められるのではないか。 (出所)情報連携基盤技術 WG 第2回 資料1 主要な論点リスト) つまり、リンクコードの紐付けにあたり、まず各情報保有機関が保持する基本 4 情 報をクレンジングする。その基本 4 情報を住基ネットと突合(名寄せ)し、該当する住 基コードを用いてリンクコードを発番し、各情報保有機関に返却するわけである。 しかし、そもそも各情報保有機関でどうやって基本4情報をクレンジングするので あろうか。以下にその課題を挙げる。 基本 4 情報を保持していない情報保有機関もある。 住基ネットの基本 4 情報の持ち方や外字とあわせるためには、住基ネットを利 用する必要がある。 4 情報をクレンジングし、住基ネットと同じ情報の持ち方ができるのであれば、 「番号」がなくとも、基本 4 情報でデータの連携ができてしまう。 将来的に民間分野(銀行、証券、健保、年金/401K 等)が連携する際には、 紐付け・名寄せの制度、システムの立て付けや、コスト負担はどのように考え るべきか。 以上より、情報保有機関の形態にあわせて、さまざまな紐付け手段を検討しておく べきであると結論づける。 提供したいサービスの要件によっては、国民が「番号」を情報保有機関に提示 し、その「番号」をもとに、リンクコード発番機関からリンクコードを発行し てもらう方式でも良い。 そもそも必ずしも事前にリンクコードを紐付ける必要があるのか?提供したい サービスの要件によっては、コスト対効果をかんがみ、新規に作るデータにつ いてのみリンクコードを紐付ける方式も考えられる。 民間分野の場合、窓口がない事業者、ネットワークにつながっていない事業者 もいる。それぞれにあった仕組みを取れるようにしておく必要がある。 23 提言 5:番号+IC カード+電子証明書の段階配布の実施 番号(システム上の識別手段)と IC カード(対面での本人確認手段)、電子証 明書(オンラインでの本人確認手段)を混同すべきではない。2015 年までに国 民全員に配布を目指すのであれば、資源制約の関係上、番号+カード(写真無 し)のものを郵送するという方式が現実的である。(写真付き ID カードの配布 は長期の取組として、別に実施すべきである。) 現在の個人情報保護、情報連携基盤技術の両ワーキンググループの案において、番 号やそれが記載されている IC カード、さらには IC カードに格納されている電子証明 書の役割や機能を混同して提示されていることが議論の混乱を招いている。以下に整理 をしたい。 番号/IC カード/電子証明書の配布範囲とその方法 選択肢 案1 配布内容・媒体 1234567890 用途 共通番号 番号備忘 番号記載の ICカード (写真なし) 中程度の 本人確認レベル (レベル2) + 窓口での 身分証明書 ICカード (写真あり) 番号記載の 案4 郵送での 配布可 (他の本人確認書 類との組み合せ で身分証明書) 番号記載の 案3 本人確認 レベル 番号備忘 (媒体は紙やプラス チックカードで可) 案2 配布方法 窓口での 身分証明書 + オンラインの 認証手段 ICカード (写真なし/あり) + 電子証明書 対面窓口で の配布必須 高い 本人確認レベル (レベル4) (出所)野村総合研究所 番号は、複数のシステム上でのユニークな識別手段としては有効であるが、他人に も「見える番号」である以上、窓口での正確な本人確認やオンライン認証の手段と しては使うことはできない。 カードは、写真が付いていないものであれば、郵送で配布可能である。しかし、写 真付きのものであれば、正確な本人登録が必要なため窓口(対面)での配布が必要 になる。その場合、当然本人に窓口に来てもらう手間が発生する。 24 写真のないカードは、身分証明書(対面での本人確認手段)としては、有効性が低 いものになる(実質、金融機関の口座開設等の本人確認では利用できない)。身分 証明書として広く使うのであれば、写真付きの ID カードである必要がある。 写真付きの IC カードの配布には、発行機の数など資源制約(詳細は後述)がある ため、5 年以上の月日を要する。今回の共通番号制度のスケジュールには間に合わ ない。 よって、全国民に速やかに配布することを条件とすると、番号付きカード(紙やプ ラスチックカードでよい)を郵送で配布するのが、最も近道である。 本人確認レベルの高い身分証明書は本人情報レジストリー(後述)の整備と共に、 時間を掛けて配布するべきである。その場合は、必要とする人に限定するなど、全 国民に強制配布する必要はない。 また、高いセキュリティレベルの電子証明書(オンラインでの本人確認手段)は、 全ての国民が必要とするわけではないため、従来通り配布は任意になる。 以上の観点から、2015 年の番号制度開始時点では、(案 1)の紙やプラスチックカ ードに記載された備忘用番号カードを郵送で配布する案が現実的な解なのではないか と考える。 なお、IC カードを健康保険証の代替として配布するという案もあるようだが、この 場合は、ほとんどは雇用企業を通じて配布することになる。その場合、本人確認方法の 企業への教育などの手立てを講じる必要がある。 提言 6:本人情報レジストリーの整備(長期的課題) 長期的なテーマとして国民の属性情報を保有するレジストリーの整備を行う。 このレジストリーによって、本人確認や家族関係確認、資格確認など各行政手 続や民間企業で別個に行っている手間を省略する。100 年先を見据えた ICT 社 会対応の住民データベースの構築に取り組むことで、番号制によって実現した 効率化をさらに推し進め、プッシュ型電子行政や官民連携を完成させる。 東北関東大震災において被災地住民の戸籍や住民基本台帳などの本人確認インフラ が流出・消失し、行政機能が機能不全に陥った。被災者に迅速に確実に支援を行うこと が困難な非常事態において、以下のような問題が発生している。 市町村をまたがる広域避難者の迅速な安否確認(住所以外の連絡先の把握。メ ールアドレスや電話番号、SNS のアカウントなど) 25 二重登録の問題やなりすましへの懸念(異常事態における正確かつ迅速な本人 確認の方法) 義捐金や手当の公平かつ漏れのない提供(連絡先と銀行口座情報の把握。民間 金融機関との連携) 困難な罹災レベルの特定(被災家屋情報と本人情報のマッチング、被災者台帳 の作成) 困難な遺体の身元確認(遺族による目視以外の確認方法の必要性) 以上は、震災復興のような緊急・異常時の課題とニーズであるが、平時においても、 常日頃、行政サービスの非効率性により、本人確認や給付口座の確認が各行政手続き毎 に行われている。また、 非実在者への年金不正給付の問題についても、戸籍や住基の 更新管理が行き届いてないため、社会問題として露呈してきた。これら明治や戦後から 見直されていないレガシーな個人情報管理の仕組みを組み換え、ICT 技術を前提とした 現代的なデータスキーマを検討すべきである。 26 制約条件 共通番号制度において、堅実的な方策を導き出すためには、いくつかの物理的な制 約条件を前提に制度の設計を検討する必要がある。様々な制約条件が想定されるが、こ こでは、特に IC カードの配布に関する資源制約を検証したい。 資源制約 【要件】 全国民(1 億 2000 万人)に対し、 番号が記載されている IC カードを配布する。 IC カードは、身分証明書として使うため写真付きである。 IC カードの中には、電子証明書が格納されている。 配布期間は 6 ヶ月以内とする。(「社会保障・税に関わる番号制度についての基本 方針」に記載) 【資源制約 1】カード発行機の生産能力 IC カードの国内生産最大数は年間 2,000 万枚強と言われている。 よって、6 ヶ月で配布を完了するためには、準備期間として+6 ヶ月加えたとして も、6 倍以上の生産能力が必要となる(1 億 2000 枚 / 2000 万枚)。 よって新規の投資によって、カード発行機を現状の 6 倍の数生産する必要がある。 しかし、全国民分発行し終わった場合、残りの 5 年は発行機が遊休資産となり、そ の間原価償却が終了してしまう。 (但し、これらを国家戦略としてインフラ輸出し、 ニーズのありそうな海外政府に売り込むことで、稼動させることは可能?) 【資源制約 2】地方自治体の窓口の処理能力 一自治体でカード発行機を平均一台保有しているという前提とする。 役所の営業時間を(9:00~17:00)とし、一枚の発行に 20 分掛かるとする。 よって、一日あたりの発行枚数は、フル稼働で最大 24 枚。年間約 7200 枚 全国 1800 自治体とすると、7200 x 1800=1300 万枚が全国の年間発行枚数となる。 よって、現状のリソースでは全国民に配布するには約 9 年掛かる。 逆に、6 ヶ月で配布するとなると 18 倍の性能増強が必要であり、窓口、発行機な どの数を 18 倍にする必要がある。 カード登録時に一定基準の本人確認を行うために、自治体職員をトレーニングする 必要があるため、窓口の増強分のトレーニングコストと時間が発生する。(18 倍 の窓口要因のための雇用促進効果はあるが微々たるものである。) 27 【資源制約 3】利用者の訪問コストとインセンティブ 写真付きの ID カードと電子証明書を発行してもらう場合、申請時と取得時の合計 2 回窓口を訪問する必要がある。 (なお、電子証明書の推定効を働かせるためには、 対面での証明書発行が必須になる。) 片道 30 分の移動時間、30 分の申請・取得時間とすると一回につき 1.5 時間、2 回 で 3 時間の時間を要する。 一人当たりの平均時給を 2,000 円とすると、全国民で年間 7,200 億円の GDP 押し 下げ効果が発生してしまう。 さらに、全国民に必ず窓口を訪問してもらうためのインセンティブが必要になる。 訪問できない人には、別途、出張登録サービスなどの手立てが必要となる。 以上の内容から、IC カード(写真付き)と電子証明書を全国民に短期間で配布する ことは、非現実的であると結論付ける。今回の番号制度における番号の配布は、郵送で の配布が現実的であろう。高いレベルの身分証明書として使える ID カードの配布は、 中長期的な視野で時間を掛けて徐々に行うべきである。 脅威分析 「番号」制度にかかわるプライバシーに関する脅威分析の国レベルでの公開された 検討は、これまでのところ、個人情報ワーキンググループで公開された資料にいくつか がある。 まず、全体的なフレームワークを示しているものとして下図がある。 28 (出所)第 1 回個人情報保護ワーキンググループ (資料 12) 社会保障・税に関わる 番号制度及び国民 ID 制度の導入に伴う個人情報の保護に関する基本論点 これをさらにブレークダウンしたものとみられるものが、第2回個人情報保護ワー キンググループの(資料1)にまとめられている。 29 (出所)第2回個人情報保護ワーキンググループ資料 1-① (出所)第2回個人情報保護ワーキンググループ資料 1-② 30 ただし、これは過去事例のみについてまとめているので、今回のように新たな「番 号」やコードを導入によって生じるリスクなどについては論じられていない。また、海 外の事例に関しては、そもそも不適切な記載もあり、信頼性が疑わしい(例:アメリカ の The Real ID Act of 2005 は基本的に廃止されてしまっている。社会保障番号に関し ては、連邦機関での利用を制限する大統領指令が出ているが、それが記載されていない など)。そこで、「本節では上記に加えて」のリスクについて考慮することにする。 国家管理への懸念(国家による国民の監視・監督についての懸念) 上記資料(第2回個人情報保護ワーキンググループ資料 1-①)では、「○国民の 勤務先や家族の状況、各種納税・社会保険料支払いに関する情報、社会保障給付に関す る情報、各種経済取引活動・消費活動に関する情報、更に制度設計によっては消費の嗜 好が国家により一元管理されるのではないか。」という、いわゆる情報集中による「管 理」へ懸念が述べられているが、情報を管理しなくても当該個人の行動を「意図的な信 用毀損」を行うことを匂わせることによって規制することが番号によって容易になる。 意図的な信用毀損 リスクカテゴリー:不便、苦痛もしくは地位または評判に対する打撃、財務上 の損失、機密情報の無許可の公開 影響度:壊滅的 【概要】 政府にとって望ましくない人物(例:批判勢力の中心人物)を社会的に抹殺するた めに、「番号」に本人の信用を傷つける情報を添付して各種メディア(例:インターネ ット)に流す。 本人から番号変更の依頼が来ても拒否する。 実名で実施した場合も似 た効果は得られるが、実名よりも一意性が高く、検索性も高いので、より大きな脅威に なりうる。また、一旦各種メディアに流れたデータは回収が難しいため、長期的に効果 を持ちうることにも注意が必要である。 非民主主義国家において、当該個人の実名を上げて犯罪者として報道したりするこ とによってその人物の社会的信用を毀損したり、あるいはそうすることを匂わせること によって言論を封殺することは、比較的多く行われていると思われる。 【対策】 31 番号変更申請があった場合に、速やかに変えなければならないように法を制定 する。 番号自体に構造を持たせて、検索エンジンなどがフィルタリングしやすくする。 名誉回復を容易にするために、「ウソ情報データベース」を公開する。 目的外利用のリスク 名寄せによる新たな情報の生成 リスクカテゴリー:機密情報の無許可の公開、不便、苦痛もしくは地位または 評判に対する打撃、財務上の損失 影響度:場合によっては壊滅的になりうる 【概要】 個人情報保護ワーキンググループで検討されているプライバシーリスクは、「個人 情報の直接的漏洩」によるものがほとんどである。名寄せによる新たな情報の生成は、 これとは異なり、複数の情報を突合することによって、新たな情報を抽出することであ る。 プライバシーのモデルでも述べたように、同意されたコンテキストの外に情報を取 り出すことがプライバシーの侵害の本質であると考えれば、本人が意図していないかた ちでこのような「個人に関わる情報を生成」することは、プライバシーの侵害になる。 このような侵害は従前から随所に見られたが、長期的に利用される識別子を導入す ることで、それがより容易に起きるようになる。 名寄せ自体は、同時点の名寄せ、異時点の名寄せと、二つのタイプがあり得る。 同時点の名寄せは、二つの機関が持っているデータを名寄せして新たな情報を生成 することである。これに対して、異時点の名寄せは、同一個人の(望まない)過去と現 在を結びつけることによって、現在の生活を毀損するようなことである。たとえば、崎 村夏彦『無情社会と番号制度~ビクトル・ユーゴー「ああ無情」に見る名寄せの危険性』 (技術評論社)1で論じられているのは、このような脅威についてである。 【対策】 (技術)広く使われる識別子は、比較的短期間で変更してゆく(異時点名寄せ 対応)。 1 http://gihyo.jp/lifestyle/column/newyear/2011/national-id-prospect 32 (技術)長く使う識別子は、利用場面を狭く制限するとともに、必要があれば 変更できるようにしておく。 (制度)一定期間経過したネガティブ情報は削除し、削除したことを第三者に よって確認する。 (技術)識別子にユニークな構造を導入して、必要があれば付随した情報毎に フィルタリングできるようにする。 (教育)マスコミ等を通じたユーザー教育。 不正行為のリスク 錯誤署名攻撃 リスクカテゴリー:財務上の損失 影響度:壊滅的 概要 実印相当の効力を持つものとしての IC カードと公的個人認証証明書を配布し、こ れを「大は小を兼ねる」として汎用的に使う状況を想定。 通常の認印のように使われ 始めることによって、大量の署名を施すことになり、結果的に文章の中身を検討もしな いで適当に承認の署名を実施することが増えてくる。この中に、財産譲渡の合意を忍び 込ませておき、本人の署名を取得してしまう。 対策 最初から実印相当の証明書を全ての人に配るなどしない。常に、適切なレベル のものを使い分けるようにする(実印、銀行印、認印アナロジー)。 取得する人には、その危険性を十分に理解させる。 番号登録詐欺 リスクカテゴリー:財務上の損失 影響度:壊滅的 概要 特に老人などの情報弱者にターゲットを絞り、「今度銀行口座は全部番号を登録し なければならなくなって、そうしないと凍結されちゃうんだよ。登録しておいてあげる 33 から。」などといって IC カードと PIN、キャッシュカードと PIN を詐取。全財産を 奪う。 対策 (制度)金融機関側で社会的弱者と想定される人々を事前に識別しておき、口 座の異常な動きなどを監視する。 (制度)リテラシーの低い個人には、保証レベルの高いオンラインクレデンシ ャルとしては利用できなくしておく。 脅威分析論考 ここであげた脅威分析は、まだまだ端緒についたばかりのものである。 このような大きな制度を作るときには、いろいろと「穴」が出てくる。あらゆるケ ースを想定してやるのは、非常に大きな作業になる。専用線を引いて法律定義すれば解 決するというような単純な問題ではない。上記のケースにもあるが、例えば利用者リテ ラシーの程度なども脅威になりうる。したがって、今回のように個人情報保護ワーキン ググループの分類に従って分析をするのもよいが、前の脅威分析を行うための海外のフ レームワークも参考にすべきである。 たとえば、今回「リスクカテゴリー」として扱ったような分類で整理しなおしてみ ることも重要であると考えられる。このようなリスクカテゴリーとしては、以下のよう なものが考えられるであろう。これは、米国の OMB M04-04 に従っている。 不便、苦痛もしくは地位または評判に対する打撃 財務上の損失 政府機関の活動計画または公共の利益に対する害 機密情報の無許可の公開 名寄せによるプライバシー情報の望まれない生成 身の安全 民事上または刑事上の法律違反 (出所)OMB M04-04 を参考に野村総合研究所 また、リスク源としては、以下のようなものが考えられる。 脅威源 動機 脅威行動 ハッカー、クラッカー 挑戦、自己顕示、反抗 ハッキング、ソーシャルエ 34 ンジニアリング、システム 侵入・侵害、不正なシステ ムアクセス コンピュータ犯罪者 情報破壊、不法な情報開示、 コンピュータ犯罪(例えば、 金銭取得、不当なデータ改 サイバーストーキングな ざん ど)、詐欺行為(例えば、 なりすまし、傍受、リプレ イ攻撃など)、情報の贈収 賄、スプーフィング、シス テム侵入 テロリスト 脅迫、破壊、攻略、復讐 爆弾/テロリズム、情報戦 争、システム攻撃(例えば、 DDoS など)、システム侵 入、システム改ざん 産業スパイ(企業、外国政 競争優位性、経済的スパイ 経済的攻略、情報窃盗、個 府、その他の政府関連) 行為 人プライバシー侵害、ソー シャルエンジニアリング、 システム侵入、不当なシス テムアクセス インサイダー(訓練の不足 好奇心、自己満足、自己顕 従業員に対する攻撃、脅迫 した/不満を持つ/悪意の 示、金銭取得、復讐、不作 状、知財情報の参照、コン ある/不注意な/解雇され 為の誤り及び怠慢(例えば、 ピュータの不正使用、詐 た従業員) データ入力ミス、プログラ 欺・窃盗、情報の贈収賄、 ミングミスなど) 偽造・変造されたデータの 入力、傍受、悪意のコード (例えば、ウイルス、論理 爆弾、トロイの木馬など)、 個人情報販売、システムの バグ、システム侵入、シス テム損傷、不正なシステム アクセス (出所)オンライン手続におけるリスク評価及び電子署名・認証ガイドライン(NIST SP800-30 ベース) 35 同時に、海外の事例を細かく調査することも必要である。これは、内閣官房より「国 民ID制度等に関する諸外国の事例調査」(期間:2011/1/11~3/31)として IBM 殿に 発注が出ているので、この成果が待たれるところである。 なお、インターネットが普及した現代は、1968 年のアメリカや韓国の社会環境とは 前提が全く違っており、脅威を防ぐのも格段に難しくなっている。脅威が発生した場合 の事後対処もきちんと計画しておくことが肝要である。 36 提言の詳細 国民 ID 制度が、多様なユースケースに対し汎用的に応用でき、また想定される脅 威に対する対策を十分行うために必要な要素を、ここでは整理したい。制度目的や要件 に対して、法律だけで全てを対処しようと規定したり、情報技術だけによって完全に対 処したりすることは、現実的ではなく、柔軟性を欠く制度となる可能性が高い。各要件 に対して、以下のルール/ツール/教育の 3 つの観点で、いずれによって対処すべきか バランスよく施策を検討・整理する必要がある。 ①ルール(法令を含む制度的な枠組み) ②ツール(技術や情報システムなどの手段) ③教育(一般利用者に対するリテラシー向上策や参加企業への啓蒙活動) 国民ID制度の「あるべきモデル」に求められる要素 ルール 参加者間の信頼関係構築 ■信頼付与の枠組みと責任分担の明確化 ■プライバシー確保と第三者監視・管理制度 クラウド 国民が主導する、 知識・情報共有社会 教育 ネットワーク 信頼性確保の手段の整備 利用者の教育 ■利用者教育とマーケティング ■使いやすいアクセス手段と同意のフレームワーク ■事業者へのインセンティブ ■属性取得許可証をベースとした情報連携システム ツール ■プ ロファイル管理システムとフォーマット統一 現状 IDエコシステム (出所)野村総合研究所 また、①ルールと②ツールを混同してまとめたものを法律化しようとしないことが 肝要である。つまり、法律の条文上で、個別の方策や特定の手段まで事細かに決めすぎ ないようにする。法律上では方針(ポリシー)を定義するに留まるべきであって、法律 の方針に則った基準(ガイドライン)や枠組み(フレームワーク)に従い、その法律を 根拠とする機関が、個別ケースの是非を判断する柔軟なアプローチが望ましい。特に今 回の番号制度のように対象となる分野・業務が省庁横断、官民横断と広範に渡ることが 確実であり、プライバシー情報など予めその定義を明確にできないものを保護すること を視野に入れた制度を設計する場合においては、法律は、目的や方針、機関の権限等の 記述に留まる必要がある。 さらに、ツール採用の際には、技術的中立性が担保される必要がある。 以下、ルール/ツール/教育のそれぞれの要素を示す。 37 ①ルール R-1. 個人情報保護法のオムニバス化 政府・自治体・民間でセグメント化された個人情報保護法体系を見直し、オム ニバス化(一括法化)を採用する 現行の個人情報保護法は、基本法部分は共通部分としてあるものの、民間企業、行政 機関、独立行政法人等、地方公共団体等ごとに、法律・条例を分けたセグメント方式の 法体系を採用している。 地方自治体においては、1800 もの自治体が、個別に個人情報保護条例や情報セ キュリティ基準を規定しており、それらを順守していくことは各自治体にとって 負担となり、場合によっては条例そのものの運用が形骸化していると予想される。 それぞれの事業分野ごとに主務大臣制によるガイドラインが乱立することで、一 つの企業や機関に対して複数の官庁が管轄する法律やガイドラインが適用され、 現場に対して多大な負担とコストを強いている。 行政機関の個人情報保護法においては、直罰規定を有している一方で、民間部門 の個人情報保護法においては、事業者社員への直罰規定がない。行政機関におい ては、本人の具体的請求権(情報開示権)が認められている一方で、民間部門の ほうは実質上認められていないなどの差異が存在する。 取得された個人情報の「目的外利用の制限」が個別の事務を取り締まる業法で定 義されてしまっているため、本人の同意があっても情報を開示したり外部へ提供 したりすることができないケースがある。個別法が個人情報保護法より優先され てしまうことがある。 以上のような現行個人情報保護法に伴う状況は、官-官及び官-民間の個人情報の連携 に非効率を及ぼし、その結果、社会全体のコストを増大させると懸念される。 よって、個人情報保護法のオムニバス化(民間部門と公的部門を包括的に規律する方 式)によって、上記の複数から成る個人情報保護関連法を共通化し、社会的コストを低 減させることを目指す。特に、全ての地方公共団体が今回の番号法によって新たな対応 を迫られるという観点から、1800 存在する自治体の個人情報保護条例は、その負担を 極力軽減するために、地方自治の理念に配慮しながらも、一括法へ速やかに統合すべき であると思われる。 さらに、第三者機関が個人情報保護法を管轄することも前提とする。個人情報保護法 のオムニバス化は、法解釈に関する差異やグレーゾーンをある程度減尐させるが、これ 38 により第三者機関により法の実効的な運用が可能になり、個別ケースに対して一定基準 に基づく判断が可能になる。 R-2. プライバシーの尊重と自己情報コントロール権の確保 アイデンティティやプライバシーの権利を定義し、その保護施策を整理する R-1. に記載された個人情報保護法の見直しの中で、積極的な改正を行うとなると、 プライバシーの権利をどうのように扱うか検討する必要がある。ここでは、アイデンテ ィティやプライバシーの尊重、さらには自己情報コントロール権についてまとめる。 アイデンティティとは 人は、社会生活の過程において、多くの他者や集団と関わる。そして、他者や集団 が期待する価値観・規範・役割などを取得し、それぞれの他者・集団・社会に対する複 数の「~としての自分」を形成させる。 「アイデンティティ」とは アイデンティティ=相手との関係性(コンテキスト)の中で定義され る「~としての自分」「~として見られたい自分」 対職場 Identity 対恋人 Identity 対取引先 Identity 対サーフィン仲間 Identity 対子供 Identity 自我(Ego) 「~としての自分」は、意識的・無意識的に、どのような情報を相 手と共有するかを選んでいる。 アイデンティティとは、「立場」 (出所)野村総合研究所 上記の図のように、「アイデンティティ」とは、相手との関係性やコンテキスト(文 脈)の中で定義される「~としての自分」「~として見られたい自分」のことである。 39 プライバシーの尊重とは 「~としての自分」は、意識的・無意識的に、どのような情報を相手と共有するか、 共有しないかを選んでいる。データや情報の共有は、相手との関係性の中のような、あ るコンテキストの中で行われている。 つまり、プライバシーを尊重するということは、この個人が保とうとしている関係 性・コンテキストを尊重するということである。 一方、往々にして、このコンテキストの中からデータ・情報を外に取り出すと、そ の関係性は阻害される。 たとえば、自分は、プライベートではお気に入りのミンクのコートを持っている。一 方で、所属企業の取引先に動物愛護主義者がいたとしよう。その取引先担当者は、毛皮 の採取を非人道的だと思っており、毛皮を着る人間に不信感を持っている。当然自分は このことをその取引先に知られたくはない。しかし、ひょんなことから自分がそのお気 に入りのコートを来ている写真が SNS から転載され、取引先に見られてしまい関係性 が悪化した。これは、明らかにプライバシーの侵害であろう。 同意なしにコンテキスト外へデータを共有=プライバシーの侵害 (出所)野村総合研究所 このように、あるコンテキストから、本人の同意なしにデータ・情報を取り出し、そ の関係性を損なうことをプライバシーの侵害という。 したがって、あるデータ・情報自体がプライバシーデータだというような主張は成 り立たない。例えば、住所情報をとってみよう。自宅でビジネスをしている人にとって は、そのビジネスに伴って住所を広く知ってもらうことはメリットがあり、それを伝え ることはプライバシーの侵害にはならない。一方、DV の被害者にとっては、住所を元 の夫に知られることは死活問題になる。したがって、彼女にとっては住所を公開される ことはプライバシーの侵害となる。 40 このように、あるデータ・情報がプライバシー情報であるか否かは、その情報の種 類によって規定されるのではなく、その情報が開示・共有されたコンテキストによって 規定される。 プライバシー保護法の必要性 現在の日本の個人情報保護法を含む多くの個人情報保護法・条例は、どちらかとい うとデータ保護法としての側面が強く、プライバシー保護にはなっていない。プライバ シー保護という側面は、データの種類によって決まる話ではなく、ケースバイケースで 判断されなければならないことも多々ある。そのため、紛争時にはプライバシー・コミ ッショナー(第三者機関)による裁定のようなものが求められることが多く想定される。 このように、プライバシー保護法制の制定と共にコミッショナー制度の制定は組みであ ると考えられる。 自己情報コントロール権とは 以上のような観点から、「自己情報コントロール権」を積極的なプライバシーの権 利として定義すると以下のような表現になる。 他人が自己についてのどの情報を持ちえるのか、持ちえないのか本人自ら開示 範囲を選択し、コントロールできること。 社会的関係のコンテキストごとに成立している自己の役割・イメージを、別の コンテキストに持ち込む際には、本人自らの許可を必要とすること。 よって、「自己情報コントロール権」という概念を、共通番号制度や国民ID制度 において検討する場合、「自己情報へのアクセス記録の確認できる制度」(「社会保障・ 税に係わる番号制度についての基本方針」13頁)や「行政マイポータルにおける自己情 報へのアクセスログの確認機能」という程度では不十分であろう。自身に係わるデータ を、行政機関や事業者に預ける際や、ある保存場所から別の場所に移そうとする際には、 自己による開示範囲の選択や同意が必要になるだろう。それらを実現する「同意フレー ムワーク」については、R-3 にて後述する。 諸外国との整合性 その他の検討事項としては、以下が挙げられる。 EU データ指令や OECD プライバシー8 原則などのガイドラインやその他国際 動向との整合性を取るべきである。 各国コミッショナーや専門家との調整権限は第三者機関に持たせるべきである。 41 本人の要求によってデータを消去してもらう権利(忘れられる権利:Rights to be forgotten)や、データの連携先や取得内容は最低限にする(ミニマム取得の 原則)などの新しい考え方も取り入れるべきである。 R-3. 同意フレームワーク 情報連携のための同意の取得を、「社会的同意」と「個人の同意」の 2 つ方式に分類 し整備する 個人情報を情報保有機関から情報利用期間に提供し、データ連携させるには、何らかの 方法でその本人の同意を取得することが原則になる。個人情報の連携範囲(機関)やそ の内容、利用目的等を決定する「同意」の取得方法は大きく以下に分類される。 社会的同意 I. 法律で予め規定する方式 連携してもよい範囲の方針や基準を予め法律に明記しておく。 II. 第三者機関が決定する方式 第三者機関の判断によって発行する個人情報の取得許可証に従って、機関間の情報 連携を行う。(具体的な方法は、T-1. 第三者機関による属性取得許可や別紙のフ ィージビリティ実証報告書を参照) 個人の同意 III. 約款等で予め規定する方式 個別の情報保有機関が、サービスの利用時に提示し、利用者が同意を行う。 IV. アドホックな本人同意方式 個人情報を連携させるタイミングで利用者が情報保有機関に対して同意を行う これまでの制度検討においては、「I. 法律で予め規定する方式」に議論が終始して おり、「Ⅱ. 第三者機関が決定する方式」「Ⅳ. アドホックな本人同意方式」について は、ほとんど語られる機会がなかった。制度を汎用的なものにし、柔軟な情報連携を実 現するためには、提供される業務やサービスに応じて、上記のどの同意取得方法(の組 み合わせ)が最適か選択することが望ましい。 しかも、現在の制度検討では、情報の連携範囲(対象分野や事務)を法律に明記す ることで規制することを主眼として置いている。これは、連携先や利用目的が増加した 42 場合には、その都度法改正が必要になることを意味する(現行の住民基本台帳法はこの アプローチを採用している)。このようなアプローチでは、連携範囲が広がる度に法律 の改正が必要となり、著しく機動性を欠く制度となりかねない。法律では、データ連携 先となる対象事務を個別具体的に記述することは避け、第三者機関の権限や判断基準を 定義することにとどめ、個別の判断は第三者機関に委ねるのが、社会環境の変化に柔軟 に対応するという観点から望ましい。 さらに、同意フレームワークとは、先に記述したように、「情報をあるコンテキス トから他のコンテキストに移動する許可を本人から得るための技術的フレームワーク」 である。よって、同意を得る際には、その同意が何を意味しているのかを本人が理解し ていることが重要であるが、この理解が十分でなく、誤解に基づいて同意してしまうこ とが往々にある。同意フレームワークにおいては、「錯誤に基づく同意」ものでないこ とを確認することが重要である。よって、同意を得る際には、本人の理解が得られてい ることを確認し、それを後に証明できるような形で記録することが重要である一方、錯 誤無効を主張されないために、どのようなユーザーインターフェースを持っているべき か同意フレームワークの検討の中で決定していくべきである。 R-4 . 分散型の情報管理 政府による国民情報の管理や連携に関しては、分散型の体制を取る(憲法 13 条 対応) 最高裁判決(最判平成 20 年 3 月 6 日)において、住基ネットは合憲であるとされ た。その判決に即して、共通番号及び国民 ID 制度の情報管理体制を取る必要がある。 以下に、その判決から伺える要件は以下の通りである。 I. 基本 4 情報(氏名、性別、生年月日、住所)は一定の範囲内で公開されることが法 律で想定されており、秘匿性の高い情報ではない。 II. 住民票番号も基本 4 情報に準ずる(秘匿性は高くない)。 以上により、住基ネットのデータベース自体は合憲である。さらに; III. 情報漏洩対策は、システム的な観点で十分されている。また、情報漏洩は職員に対 する懲戒処分または刑罰をもって禁止されている。 IV. 住基ネット内の個人情報は、行政機関のコンピュータに残らない。よって、そこか ら情報は引き出されない。 V. 4 情報に紐付くデータマッチングは目的外利用にあたり、違法とする。 VI. 4 情報や番号で管理されるその他の個人情報(属性情報)は一元管理されない。 43 以上により、法(刑罰)と技術(分散管理)によって適切にリスクコントロールさ れることで、住基ネットを利用した国民情報の「一元管理」及び「個人に関する情報を みだりに第三者に開示される自由の侵害」の具体的危険性は無い、とされた。 よって、今回の制度においても、情報連携の仕組みは、中央集権的なものではなく、分 散型の管理体制やアプローチを取るべきと考えられる。その要件として以下が挙げられ る。 1. 全国民の共通番号を管理するデータベースはあって良い。(「見える」共通番号の 秘匿性は低いと考える) 2. サービス用データ(番号で管理される個人の属性情報)は分散している必要がある。 (分散管理) 3. サービス間のデータ転送は、法で認められた目的に合致している必要がある。(ア クセスコントロール) 4. データの転送経路は、中央のゲートウェイを通して行わずに、事業者間の直接通信 とする(一元管理リスクの低減) 5. 個人情報にアクセスした記録(ログ)に関しても、マッチングがなされないような 対策を施す必要がある。 R-5. 本人確認基準の整備 統一的な本人(身元)確認基準やプロセス、レジストリーを整備し、それらが行政・民 間で汎用的に利用できるようにする 現状、行政側の課題として、それぞれの業務やサービスごとに基準を決めて、個別 に身元確認や身分証明を行っている。個別の業務ごとに本人確認基準を設定し、成りす まし等の犯罪を引き起こないよう対策をすることによる不都合は大きくなっている。ま た、身分証明や資格証明などのための添付書類の増大は、オンライン化の阻害となる要 因の一つとなっている。 一方、民間企業においては、住民票や身分証明証の提示相当の機能を提供するサー ビスをオンラインで提供してほしいというニーズは非常に高いものの、情報の信頼性や 法制度などの制限から実現は出来ていない。 例えば、金融機関が自らのサービスを提 供する上で、必要とする情報は主に以下がある。 本人確認(契約・口座開設時等の身元確認情報) 実在確認(年金支払い時等の生死に関する情報) 44 所在確認(税務上の住所、住居としている住所など複数に分類される) 関係性確認(家族や相続者等に関する情報) これらの情報を官のデータベースに依拠し、オンラインで本人確認できるものとす ると、行政で行う本人確認と民間で行う本人確認の基準を合わせる必要がある。 ちなみに、民間において、金融機関の口座開設・契約時の本人確認基準は、「犯罪 収益移転防止法」で規定されている。一方、法律で本人確認が必要な事業者として、携 帯電話事業者がある(携帯電話不正利用防止法)。いずれの本人確認基準は似通ってい るものの、監督省庁が個別に監督しており、相互運用性(一方で本人確認した情報が一 方で流用可能であること)がない。 国民 ID 制度の長期的なゴールとして、利用者の身元確認基準とそのプロセスと、その 情報を管理するレジストリーの整備をすべきである。 「保証レベル」に応じた身元確認方法 レジストリーのスキーマ(必要となる属性) ライフサイクル管理(利用者情報の登録、変更、停止・削除) 利用者情報の外部サービスへの提供方法と提供条件 法関連(民間及び行政の身元確認関連法、及び住基法・戸籍法などとの整合性、情 報提供時の保証や免責など) 保証レベルと本人確認について なお、本人確認の保証レベルに関しては、様々な標準化の動きが進んでいる。サー ビスに対する脅威やリスクの度合いに応じて、ID 登録時の「身元確認」と、認証時の 「当人確認」のそれぞれ 4 つの方式を選択する。下記にあるとおり、レベル 1 の保証レ ベルが最低であり、対応するサービス例は、Web ディスカッションサイトのため、認 証も ID 登録も低い強度しか求められない。逆に、保証レベル 4 では、認証、ID 登録 共々非常に厳密な手立てを必要とする。その ID は、権限のある司法当局が犯罪歴 DB にアクセスするような最高レベルの機密性と求める特殊なケースである。 認証方式の保証レベルに係る対策基準表 保証レベル レベルの定義 要求事項(具体例のみ) (サービス例) 当人確認(認証) 身元確認 (ID 登録) レベル1 身元識別情報の信用度 4 桁以上の無作為パス 電子メールへの認証情報送付、またはオンライン手続 (低い保証) がほとんどない(Web ワード、3 回連続失敗 きの過程で本人が認証情報をダウンロード ディスカッション) 時は1日間パスワード 45 入力不可、有効期限 10 年 レベル2 身元識別情報の信用度 5 桁以上の無作為パス 認証情報が以下いずれかの方法で配布される (中程度の がある程度ある(社会保 ワード、3 回連続失敗 1:窓口で直接手渡し 保証) 障サービスの住所変更 時は1日間パスワード 2:ID またはパスワードのいずれかを、本人住所に 等) 入力不可、有効期限 10 普通郵便に送付 年 3:電子メールにて入手サイト情報を通知、本人が当 該サイトから認証情報をダウンロード レベル3 身元識別情報の信用度 ・PIN あり OTP トー 認証情報が以下いずれかの方法で配布される (高い保証) が相当程度ある(弁理士 クン 1:窓口で直接手渡し による特許手続き、大規 ・PIN ありソフトトー 2:本人住所に書留郵便または本人限定受取郵便で送 模政府調達) クン 付 ・PIN ありハードウェ 3:本人住所に書留郵便または本人限定受取郵便でパ アワンタイムパスワー スワードが送付され、パスワードによる認証の上で本 ドトークン 人がサイトよりダウンロードする 4:申請者が電子署名を付与した申請を行ったうえで のダウンロード レベル 4 身元識別情報の信用度 ・パスワード付ハード 認証情報およびトークンはち窓口で直接手渡しされ (かなり高 が非常に高い(司法当局 トークン (耐タンパ性 る(本人限定受取郵便による身元確認は対面として扱 い保証) による犯罪歴 DB アク を有するもの:IC カー う) セス、規制医薬品の調 ドや USB トークンな 剤) ど) (出所)オンライン手続におけるリスク評価及び電子署名・認証ガイドラインにもとづき野村総合研究所作成 なお、アイデンティ情報をバイオメトリックス情報に紐付けて登録するような、レ ベルの高い身元確認情報(レベル 4)の取得・登録はコストと時間が掛かる。数年から 十数年掛けて全人口をカバーしていくような長期的な取組みとして位置づけられるべ きである。また、登録に関しては運転免許証やパスポートなどの既存の身元確認窓口の 利活用も視野に入れるべきである。 R-6. 信頼形成の枠組み 個人情報のやり取りを行う機関間の信頼形成の枠組み(トラストフレームワーク)を整 備する 46 共通番号や個人情報の利用先が多岐の分野や機関に広がる可能性があるため、情報連携 先を法制度で限定するのではなく、情報連携先機関や情報の内容を、第三者機関による 認定や許可によるものにするべきと思われる。それにより、セキュリティプライバシー などのリスク度合いに応じた柔軟で拡張性の高い情 報連携が機関間で実現可能になる。 民間では、情報保有機関(IdP:ID プロバイダー、もしくは AP:属性プロバイダー) の発行する ID をユーザーが使い、情報利用機関(RP:リライングパーティ)に対しア クセス を行い、IdP から RP に対し個人のアイデンティティ情報を提供するという利 用モデル(「第三者提供アイデンティティ・モデル」)が普及しつつある。しかし、以 下のような問題が残る。 I. 情報の非対称性 IdP が提供する認証や属性情報がどの程度信頼できるのか RP 側は知らない。一方、 RP が受け取った情報を本当に適切に取り扱うかは IdP もユーザー自身も知ること はできない。 II. 事業者間の責任分界 また、認証サービスや属性情報の提供や取り扱いに関して、IdP と RP 間で責任分 界点を明示的に決定するための取り決め(契約)が必要になる。双方の責任範囲を 定め、その範囲での賠償責任があることを認め、実行しなければならない。 III. 膨大な契約処理 さらに、IdP や RP の数が増えた場合、契約を個別に行うと、膨大な契約が必要に なってしまう(対象の主体が N いると、N(N-1)/2 個の契約が必要)。 以上のような課題を解決するために、第三者提供アイデンティティ・モデルの「情報の 非対称性」、「責任分界点の決定」、「契約処理のスケーラビリティ」などの課題を解 決するための「審査・認 定」「統一契約」「紛争解決手段」を備えた枠組みをトラス フレームワークと呼ぶ。また、それを第三者として提供する主体を、トラスフレームワ ーク・プロバイダーと呼ぶ。トラストフレームワークの機能と実現までのプロセスを以 下に挙げる。 1. ポリシーの定義: IdP と RP 間の認証強度や属性情報連携、プライバシー保護に関する基本ポリシー を策定する。ポリシー策定者は、RP の団体もしくは代表者か、IdP の団体もしく は代表者が望ましい。(US 政府のポリシーを例示保証レベル:策定されるポリシ ーは複数の保証レベルを対象とする。) 保証レベルとは、IdP が提供する認証情報や属性情報の信憑性(確からしさ)のこ とであり、一般的にはレベル 1(最も低い)~レベル 4(最も高い)の 4 つのレベ ルに区分され、ユーザー登録時の身元確認方法や、アクセス時の認証方式などによ 47 って 決定される。RP が必要とする保証レベルも標準化されており、ユーザーが利 用する RP の業務やサービスの内容(リスクレベル)によって変わる。(NIST SP 800-63 の基準を例示) 2. トラストフレームワークの規定と信頼付与機関の設置: 規定されたポリシーに基づいて、トラスフレームワークを規定する。トラストフレ ームワークの中身は、 IdP(及び RP)を審査し認定するための監査基準、監査人 の認定、IdP や RP との責任分界点を明確化する契約の雛形、事故発生時の ADR を定義したものである。トラストフレームワークを決定する主題であるトラストフ レームワーク・プロバイダ(TFP)は、フレームワークの適応分野を多様にし、民 民・官民連携を速やかに実現するために民間の第三者の団体が担うことが望ましい。 3. 認定監査人による監査プロセス: TFP によって認定された監査人によって IdP を監査する。監査人はその監査結果 を TFP に登録する。 4. ID 提供事業者と受入事業者間の契約仲介: IdP と RP 間の契約を TFP が仲介する。 5. 紛争発生時の ADR: 各ステークホルダー間で紛争が発生した場合の裁判外紛争解決機能が必要となる。 48 ②ツール T-1. 第三者機関による属性取得許可 現時点(3 月末)の個人情報保護ワーキンググループにおける検討では、個人情報 の連携は法令で指定するとされている。この際に、第三者機関がプライバシー・インパ クト・アセスメント(Privacy Impact Assessment, PIA)を実施し、必要に応じて勧告 を行うことになっている。しかし、目下の検討では、内閣府の外局として設置される第 三者機関は、内閣に対して命令を出すことができないため、その実効性に関してはやや 疑問がもたれている。言葉を変えて言えば、現行の日本法のもとでは、当面この制約は 止む終えないものである可能性が高い。このように、制度(ルール)による制御が難し い場合、技術的対策を政府調達時の「標準」ないし「要件」とすることでカバーするの が適当であろう。 この点の取り組みとしては、ドイツの取り組みが参考になる。詳細を省いて一言で 書くならば、「第三者機関の許可により、認定機関が署名した、どのデータをどの目的 のために取得して良いかを記した『許可証』を発行し、その『許可証』の提示なくては 情報が取得できないように府省のシステムを作る。当該システムは、そのように組まれ ていることの認定を受けなければいけないことにする。」ということである。 この関係を図に表すと以下のようになる。 (出所)野村総合研究所 49 ドイツの場合に扱われるデータは全て IC カードに格納されており、その内容は決 まっている。 Data Group Content FID SFID ASN.1 type DG 1 Document type 0x0101 0x01 DocumentType DG 2 Issuing state 0x0102 0x02 IssuingState DG 3 Date of expiry 0x0103 0x03 DateOfExpiry DG 4 Given names 0x0104 0x04 GivenNames DG 5 Family names 0x0105 0x05 FamilyNames DG 6 Religous / Artistic name 0x0106 0x06 ArtisticName DG 7 Academic title 0x0107 0x07 AcademicTitle DG 8 Date of birth 0x0108 0x08 DateOfBirth DG 9 Place of birth 0x0109 0x09 PlaceOfBirth DG 10 Nationality 0x010A 0x0A Nationality DG 11 Sex 0x010B 0x0B Sex DG 12 Optional data 0x010C 0x0C OptionalDataR DG 13 - 0x010D 0x0D RFU DG 14 - 0x010E 0x0E RFU DG 15 - 0x010F 0x0F RFU DG 16 - 0x0110 0x10 RFU DG 17 Normal place of residence 0x0111 0x11 PlaceOfResidence DG 18 Community ID 0x0112 0x12 CommunityID DG 19 Residence permit I 0x0113 0x13 ResidencePermitI DG 20 Residence permit II 0x0114 0x14 ResidencePermitII DG 21 Optional data 0x0115 0x15 OptionalDataW (出所)「Der Bürgerclient」Armin Lunkeit, OpenLimit 2010-01-28 各サービスは、情報を取得するために「Terminal Certificate」という「許可証」を 認定認証局より取得する。この証明書の中には、当該サービスの役割(ロール)どの項 目を取得することが許されているか、どの項目を書き込むことができるか、どのような 行為を行うことができるかなどの情報が記されている 40bit の拡張項目がある。 50 39 38 37 … 33 32 … 29 28 … 8 7 6 5 4 3 2 1 0 Description x x - - - - - - - - - - - - - - - - - Role 1 1 - - - - - - - - - - - - - - - - - CVCA 1 0 - - - - - - - - - - - - - - - - - DV (official domestic) 0 1 - - - - - - - - - - - - - - - - - DV (non-official / foreign) 0 0 - - - - - - - - - - - - - - - - - Authentication Terminal - - x x x - - - - - - - - - - - - - - Write Access (eID) - - 1 - - - - - - - - - - - - - - - - DG 17 - - - … - - - - - - - - - - - - - - - … - - - - 1 - - - - - - - - - - - - - - DG 21 - - - - - x x x - - - - - - - - - - - RFU: R / W Access - - - - - - - - x x x - - - - - - - - Read Access (eID) - - - - - - - - 1 - - - - - - - - - - DG 21 - - - - - - - - - … - - - - - - - - - … - - - - - - - - - - 1 - - - - - - - - DG 1 - - - - - - - - - - - x x x x x x x x Special functions - - - - - - - - - - - 1 - - - - - - - Install qualified certificate - - - - - - - - - - - - 1 - - - - - - Install certificate - - - - - - - - - - - - - 1 - - - - - PIN Management - - - - - - - - - - - - - - 1 - - - - CAN allowed - - - - - - - - - - - - - - - 0 - - - RFU - - - - - - - - - - - - - - - - 1 - - Restricted identification - - - - - - - - - - - - - - - - - 1 - Community ID verfication - - - - - - - - - - - - - - - - - - 1 Age verification (出所)「Der Bürgerclient」Armin Lunkeit, OpenLimit 2010-01-28 この「許された項目リスト」よりさらにピックアップしたものを、情報取得機関は 以下のような SAML の AuthN Request として送信し、情報を取得する。 51 (出所)「Der Bürgerclient」Armin Lunkeit, OpenLimit 2010-01-28 なお、ドイツの場合、現在日本で検討されている形とは異なり、必ずユーザーの明 示的同意を取得する。そのため、一般的な流れは以下のようになっている。 52 (出所)「Der Bürgerclient」Armin Lunkeit, OpenLimit 2010-01-28 を元に NRI で英文に翻訳 この③の過程で Terminal Cerficate が eID service に提示され、その結果、利用 者には次の図のような画面が提示され、属性の提供許可を行う形になる。 53 (出所)「Der Bürgerclient」Armin Lunkeit, OpenLimit 2010-01-28 したがって、Terminal Certificate の意味合いは、「そのサービスが取得すること が許されている最大限度を記載したもの」であって、「自動的に取得して良い」という 社会的合意を表したものではないことに注意が必要である。 日本への示唆 ドイツと異なり、日本では各情報保有機関の情報が IC カードに記録されているわ けではなく、今後適用領域も拡張してゆくということになると、項目を自由に拡張でき るようにしておくことが重要である。そのためには、ドイツのように ASN.1 エンコー ディングされた X.509 証明書の一拡張項目にビット列で記入するというのは適してい ない。そこで、独における Terminal Certificate が行っていることを、XML や JSON のような拡張可能な形式で表現することが考えられる。 また、情報連携基盤においては、利用者の明示的許可無く、法令に依拠してデータ を転送するとされているため、Terminal Certificate の持つ意味合いを、「許可された 最大限」から「社会的合意」と読み替える必要がある。 54 このような読み替えがあるため、今回検討しているものをドイツと同様に Terminal Certificate と呼ぶことは適切でない。そこで、Terminal Certificate 相当のものを JSON 化し、かつ、それに対する第三者機関(ないしは第三者機関が認定した機関)の 署名をして、「社会的合意」を実装したものを、以後「Transport Permit (TP)」と呼 ぶことにする。 Transport Permit によるサービス認証とデータ転送 ドイツの Terminal Certificate がやっていることを書きだすと以下のようになる。 1. サービスの認証 2. サービスが取得することを許されている項目一覧の提供 そこで、本事業においては、同様のことをより拡張性高く行うために、JSON 形式 の「Transport Permit」を作成して実際にシステムとして稼動させた。システムの構成 は、前掲のとおり以下のようになっている。 (出所)野村総合研究所 55 ここでのプロセスは以下のとおりである。 第三者機関が、当該情報利用機関の当該業務(情報利用サービス) に対するプライバシー・インパクト・アセスメント(PIA) を行い、 許可を出す。 この許可のもとに、 認定発行局が Transport Permit を発行する。 この Transport Permit には以下の項目が記載される。 誰が サービス ID サービスの公開鍵 何のために どの情報を いつまで取得して良いか。 発行日 有効期限 証明書 ID 証明書タイプ 発行者 ID 発行者署名 情報利用サービスはこれに以下のパラメータを加え、署名し、認 可サーバーに送信する。 要求日時 要求項目 署名 認可サービスは、当該 TP が失効していないかチェックを行う。 認可サービスは、要求者の署名を確認し、その要求が TP が許可 している内容であるかのチェックを行い、OK であれば回答を作 成し署名+暗号化する。回答には以下のものが入る。 許可日時 有効期間 データ取得元(情報保有機関の API の場所) アクセストークン 認可サービスは情報利用サービスに回答を送付 情報利用サービスは、取得した「データ取得元」にアクセストー クンを送信。情報保有機関はアクセストークンの有効性を確認、 アクセストークン内から以下の情報を取り出し、回答を作成。 56 当該ユーザーの識別子 要求されているデータ項目 情報利用サービスの公開鍵 情報保有機関は回答を作成し、署名+暗号化(セッションキーで 暗号化、セッションキーを利用機関の公開鍵で暗号化)を行い、 回答する。 [ToDo] 例としての実際のデータフォーマット挿入 [ToDo] パフォーマンスデータ挿入 Transport Permit を利用したアーキテクチャーのメリット 以上が Transport Permit を利用したシステムの概要であるが、このようなアーキ テクチャーにするメリットの最大のものは、「制度的に定められた規制や勧告を、実際 の効果を持つものとして実装可能になる」ということである。また、上記では以下のよ うなメリットも享受しているが、これは、ID-WSF2.0 や OpenID ABC2などの近代的 なプロトコル共通のメリットである。 1. データソースの分散が可能になる。 2. 当該個人のデータの在り処自身が機微情報であるような場合(例:病院のカル テの場所など)、許可を受けたものしかその場所を知ることができてはならな い。 3. 複数の情報保有機関が、あるユーザーのデータの共通識別子を使った突合をす ることが困難。 なお、TP を既存プロトコルに対して適用するのは比較的容易であると考える。今 回は OpenID ABC に対して適用したが、ID-FF の SAML AuthnRequest を拡張するこ とで、同様に ID-WSF にも適用可能と考えられる。 本人同意に基づく自己情報コントロール 上記までは、法および第三者機関による社会的合意に基づく情報連携の仕組みを解 説してきた。一方で包括的な同意フレームワークを実現するためには、利用者本人自身 の同意に基づく連携についても言及する必要がある。 この本人による同意は、対面(口頭)や書面でとることも可能であるが、インター ネット上では、コンピュータや携帯電話上のユーザーインターフェースを通して取得す ることが有効である。この同意をとるためのフレームワークの具体例として、OpenID® や ID-WSF がある。ここでは、OpenID®を例にとって解説する。 今回は、自主実施プロジェクトの中で OpenID ABC のプロトタイピングを行って いたため、実際の検証は OpenID ABC にて行った。 2 57 インターネット上で同意をとり、データを転送するためには、以下のプロセスを経 なければならない。 1. 今まさに同意をしようとしているユーザーが、同意を与えうる本人であること の確認(本人確認、「認証」、Authentication) 2. データの内容、転送先、条件の、上記ユーザーによる確認(同意確認、認可、 許可、Authorization) 3. データの転送(許可した相手を正しく識別子、その相手だけがうけとれるよう な形で)3 (属性転送、Attribute Sharing、Sending Claims) 上記の 1. を「認証」、2. を「許可」と呼ぶことも多い。有効な本人同意は 1、 2、 3 のすべてを持っていることが条件である。 OpenID®における本人同意の流れは以下の図のようになる。 図 OpenID®のフロー 許諾確認 サイト:http://www.XXX.jpが 以下の情報を求めています ログインしてください http://www.XXX.jp ID □住所 □電話番号 □氏名 □誕生日 □クレジットカード 【ID発行サイト】 パスワードを入力ください 公的個人認証 サービス User ID P assword 利用サイトはIDサービスの 選択ボタンを設けるのみ 1. 行政サービスのサイト にアクセス soumu 123234 2.IDサービスのログイン 画面へ遷移 ○○さん こんにちは 情報提供を許可しますか? はい 認証 のみ いいえ 3. 利用者の認証情報・ 属性情報の提供承諾 m y _id123 4. 行政サービスへの ログイン成功 以下の図は、日本航空において実際に利用されているホテル予約の画面である。こ れは、OpenID®を使って、ホテル予約に必要な情報を実際に転送するにあたって、ユー ザーに同意を求めている画面である。 相手を正しく識別し、その相手だけが情報をうけとれるようにすることを Audience Restriction という。公開鍵暗号を利用するのが簡便である。 3 58 図 日本航空における認証画面 図 日本航空の OpenID®でのデータ提供同意画面の例 このようにしてデータの提供が行われた際、誰に、どのような条件で、いつ提供さ れたのかが記録されるべきである。(個人のレベルではほとんど管理不能であることが 分かっている。) 59 図 提供情報管理画面 提供の停止 60 下の図は OpenID ABC の動作フロー概略である。 図 OpenID ABC フロー概略 (出所)野村総合研究所 (2-2)がいわゆる本人同意である。これと下の図に示した社会的合意(法による規 定)としての第三者機関の同意と対比すると、実は同意している主体が違うだけである ことがわかる。 61 図 OpenID ABC フロー概略(第三者機関合意版) この場合、ユーザー合意とは異なり、第三者機関は(2-2)の問い合わせ時には、自動 応答となっていることに注意されたい。 62 T-2. 分散アーキテクチャーによる情報連携 情報連携を行う際には、2 種類の方式が考えられる。一つ目が、ゲートウェイ方式 であり、もう一つが分散連携方式である。前者では、アクセス許可とともにデータ自身 がゲートウェイサーバーを通過するのに対して、後者ではアクセス許可のための「トー クン」と呼ばれる小さなデータだけがまず発行されて、実際のデータのやりとりは、そ のトークンを使って情報利用サービスと情報提供サービスの間で直接やりとりされる 形をとる。 ゲートウェイ方式 この方式では、情報利用機関 A が情報保有機関 B から、ゲートウェイであるところ の連携基盤 R を通してデータを取得する。2011 年 3 月中旪の段階で情報連携基盤技術 ワーキンググループにおいて検討されているものは、この方式であると思われる。 この方式においては、概ね以下のような流れになると思われる。 A: データ要求機関(データ保有機関) B: データ提供機関(データ保有機関) R: 情報連携基盤 Lc1a: ユーザー1 の A におけるリンクコード c1: ユーザー1の ID コード Lc1b: ユーザー1の B におけるリンクコード 63 (出所)野村総合研究所 この方式の特徴は、すべてのデータがRを通ると同時に、Rにおいて、データセット 内のリンクコード置き換え処理が起きるところにある。その結果、単純に実装すると以 下のような課題が出現する。 P1. BからのResponseはA向けに暗号化することは出来ない。 → 暗号化する場合は R向け → あるいは、識別子はヘッダに、データはボディにと振り分けてその関係 を表す中間識別子を用意し、ボディ部のみをA向けに暗号化する。 P2. Rではすべてのデータを見ることができてしまう。 64 → 最高裁判決違反のおそれがある。住基ネットでは扱う情報が「秘匿性が 高いとは言えない」4情報のみであり、それ以外のデータを合わせて扱う 機関はなかったのに対して、Rは、データは保存しないと言っても、通過 する様々なデータを記録しようと思えば記録してデータマッチングを行う ことができる機関である。 → 上記のようにヘッダとボディに分けることによって解決可能だが、複雑 化すると共に、下記P6.のような問題を産む。 P3. データの置き換え処理が起きるので、BからのResponseのIntegrity保障が出来 ない。 → Rがすべてのデータに対する責任主体になる。 P4. Request に関しても書き換えが起きているため、Bは、本当にAからのリクエス トなのかわからない → Rがすべてのリクエストに対する責任主体になる。 また、R におけるセッションが非常に長いのも特徴である。そのため、 P5. スケーラビリティ上の課題が生じる。RはBからのデータを取得して、Aに返す までずっとポートを開けていることになる。 多数のAからのリクエスト受けると、ボトルネックになる。この手のシステ ムでボトルネックになるのは、暗号化の処理もあるが、ポートが占有され てしまうことによって起きるボトルネックが多い。 → あるいは、Callback registration / Async通信などの複雑化が起きる また、データ自体の複合・暗号を行うため、その意味の処理負荷も高く、スケーラ ビリティに難がある。 P6. Rの暗号負荷が高い。 さらに、A はリクエストするにあたって、予め B にデータが有ることを知らなけれ ばならない。 しかし、健康情報など多くのデータは4情報でその保有機関が分かるものではなく、 また、4情報を正確に同期して維持するのは難しい。 P7. 情報の正確性を同期して維持しなければならないが、これは困難である。 P8. データの場所は4情報だけではわからず、各情報保有機関・各個人ごとにデー タの場所を管理しなければならず、 65 運用負荷が高い。 P9. Rに対する可用性要求が極めて高い。通信には、常にRが稼動している必要があ る。 分散連携方式 一方、分散連携方式では、上記のとおりフェーズが「データ場所と許可の取得」と 「データの取得」の2つのフェーズに分かれる。これは、ID-WSFでもIMIでもOpenID ABCでも若干の差はあれ同様になっている。 (出所)野村総合研究所 ゲートウェイ方式との大きな違いは、ゲートウェイ方式ではRがゲートウェイとし てデータの中継を行っているのに対し、分散連携方式では純然たるDiscovery Service 66 として、endpoint と token を返すこと、そのログを取ることに特化していることであ る。 この結果、上記P1〜P9の課題はこちらでは生じない一方、ゲートウェイ方式で満た そうとしていた要件はすべて満たしている。たとえば、分散連携方式では、ある程度の 期間有効なtokenを発行(例:TTL=2h)しておけば、Rが落ちても多くのデータ連携は そのまま続行することができるが、ゲートウェイ方式ではRが落ちた瞬間にすべてのデ ータ通信が停止する。 これらの理由により、ゲートウェイ方式ではなく、分散連携方式を取るべきと考え る。 T-3. 識別子の形式 識別子を論じるとき、本来はその目的・用途によってどのような形式を持つべきか が論じられるべきである。ところが、共通番号制度の検討においては、どのようにして 識別子を生成するかの議論は行われているが、どのような性質を識別子が持つべきかは あまり論じられていない。そこで、本節では識別子の持つことが望ましい声質について 論考する。 識別子の分類 識別子には一般的に、人間可読識別子(Human Readable Identifier)と呼ばれる ものと機械可読識別子(Machine Readable Identifier)と呼ばれるものが存在する。 前者は人間の記憶メカニズムや利用形態にそって使いやすいものが志向され、後者は機 械にとって正確かつ高速に処理しやすい形式が志向される。 人間可読識別子と機械可読識別子は、セットで扱われることも多い。たとえば、完 全修飾ドメイン名(例:www.example.com)と IP アドレス(例:192.168.0.1、 [2001:db8:85a3:8d3:1319:8a2e:370:7348])はこうしたセットの一例である。OpenID の識別子も、実際にはユーザー入力識別子と主張識別子(例:=nat と =!E18C.3B56.889D.850B)に分かれている。OpenID の場合は、前者は再利用される ことがあるが、後者は再利用されることがない識別子である。 識別子の分類には他にも種類ある。「変更可能識別子」と「変更不能(恒久)識別 子」である。たとえば、住民票番号は変更可能識別子の例である。 もうひとつの分類方法に、関係性に着目した分類がある。ある主体と主体の関係性 に基づいて振られる識別子をプライベート仮名識別子(Private Pseudonymous Identifier, PPID)、使われる相手に依存しない識別子を全方位識別子 67 (Omni-directional Identifier)という。なお、これらが紐づく中心的識別子のことを、 正準化識別子(Canonical Identifier)と特別に呼ぶことがある。 現在の番号制度における検討では、「番号」、ID コード、リンクコードと三種類の 識別子が登場するが、それぞれの性質を整理すると以下のようになると考えられる。 (表 中「?」が記されているものは、明確な方向性が執筆段階で出ていないものである。) 「番号」 ID コード リンクコード 参考)住民票コード 人間可読識別子 機械可読識別子 機械可読識別子 機械可読識別子 変更可能識別子? 変更不能識別子? 変更可能識別子? 変更可能識別子 全方位識別子? プライベート仮名 プライベート仮名 全方位識別子 識別子 正準化識別子 識別子 正準化識別子 (出所)野村総合研究所 識別子への要件 まず、それぞれの分類の識別子に対する基礎的なな要件の主要なものを纏めると以 下のようになる。 識別子の分類 基礎的な要件(主要なもの) 人間可読識別子 人が目で読むことができること。その際、誤認が尐ない文字 セットを使うこと。 機械可読識別子 変更可能識別子 人が発音できること。 人が手で書くことができること。 人がコンピュータ入力することができること。 (人が暗記することができること。)4 コンピュータが安定的に読み取ることができること。 コンピュータの処理が効率的であること。 変更可能であること。 旧識別子と新識別子を必要に応じて置き換えるための手段 を持っていること。 4 必須要件ではない。だが、この要件が満たされないと、著しく利便性が下がる。 68 変更不能識別子 ある主体に割り当てられたものが決して他に再割当てされ ないように管理されていること。 プライベート仮名識 別子 異なる関係に対して同一の識別子が割り当てられないよう に管理されていること。 全方位識別子 異なる主体に対して同一の識別子が割り当てられないよう に管理されていること。 (出所)野村総合研究所 これらの基礎要件に追加して、各種脅威に対抗するための要件が挙げられる。 不当な同時点名寄せ 不正な突合を法令で禁止し、罰則をつけ、これを周知徹底運用すること。 可能なかぎりプライベート仮名識別子を利用すること。 (過失他により)漏洩したデータを利用した突合をより難しくするために、識 別子に一定の形式を導入して、インターネット他でフィルタリングしやすくす ること。 識別子に付随するデータに対するアクセス管理を徹底すること。 不当な異時点名寄せ 不正な突合を法令で禁止し、罰則をつけ、これを周知徹底運用すること。 ネガティブ情報の一定期間後の削除を義務付けること。 一定期間後に識別子を変更すること。 (過失他により)漏洩したデータを利用した突合をより難しくするために、識 別子に一定の形式を導入して、インターネット他でフィルタリングしやすくす ること。 識別子に付随するデータに対するアクセス管理を徹底すること。 なりすまし 識別子だけでは本人確認出来ていないことを教育徹底する。 識別子だけで本人確認できたかのごとく業務を行ったものには、なりすましの 結果生じた全損害を負わせる。 入力ミス チェックサムをつける、ないしは、存在確認 API を公開する。 69 T-4. 識別子の紐付け方法 前述のように、「識別子」を使うことで、機関をまたがるデータの突合、過去データと 現在データの突合等が用意になり、行政効率をあげることができる。しかしながら、そ のためには事前に各情報に「識別子」が紐づいていることが必須である。ここでは、 「情 報への識別子の紐付け」 「識別子の変更・失効」について、検討すべき課題を記載する。 情報への識別子の紐付け 情報への識別子の紐付け方式を検討する際、以下の様な要素を考慮する必要がある。 紐付ける識別子が見える「番号」なのか、見えない「リンクコード」なのか 情報の紐付けを情報保有機関側で行う「みなし紐付け」か、本人の番号申告を 元に紐付けを行う「本人申告紐付け」か 新規にデータを作成する際に識別子を紐付けるのか、既存の情報にも識別子を 紐付けるのか(紐付ける情報の範囲はどうするのか) 見えない「リンクコード」を情報に紐付けるためには、情報保有機関がリンクコード付 番機関とオンラインで接続されている必要がある。そのため現状では、民間金融機関、 医療機関など、国との専用線接続が必ずしも行われていない情報保有機関については、 保有情報に紐付ける識別子は見える「番号」となる方向で検討されている。しかしなが ら、情報に見える「番号」を一貫して付けてしまうと、情報が流出した際に容易に名寄 せされ、機微情報が結びついた状態で個人が特定されてしまうのではないかという恐れ があり、自治体、国などの行政機関の保有情報については、見えない「リンクコード」 を情報に紐付ける方向となっている。ただし、この「リンクコード」をどの単位に振る のか(情報保有機関単位か、分野単位か)については検討中である。いずれにせよこの モデルを利用する場合には性能的な懸念が発生する(例えば全国民のデータをバッチで 突合するのはかなり困難)であるため、「リンクコードを使う」ことを前提に提供可能 な行政サービスを設計するのか、提供したい行政サービスに対して、セキュリティと性 能が担保される識別子を検討するのか、まず進め方の方針を立てる必要があるのではな いだろうか。 紐付け方式については、現在の議論では、まず情報保有機関側の基本4情報(氏名、性 別、生年月日、住所)をクレンジングし、その後住基ネットと付け合せることで、住基 コードをベースに作成されることになっている「番号」 「リンクコード」と結びつける、 という整理がなされている。しかしながら、そもそも情報保有機関側で基本4情報をク レンジングするのか、しかも、その形式をどうやって住基ネットのものとあわせるのか、 70 といったことについてはまだ議論がなされていない。あわせて外字の問題や、住基ネッ トの住所が正しいのかといった問題もある。この基本4情報を元にした紐付け方式だけ でよいのか、例えば国民が窓口や書面で申告する「番号」を元に「リンクコード」を振 る方式も採用できるのではないかなど、更なる検討が求められる。 識別子の紐付け範囲についても、現時点では検討は行われていない。既存情報に対して 識別子を振る場合、上記のように情報のクレンジングが必要だったり、国民が番号を申 告するなどの手間が必要だったりする可能性が高い。年金問題でデータのクレンジング を行った際にもかなりの費用がかかっており、同様のことを他の機関でも行う場合には、 莫大なコストがかかるのではないだろうか。識別子を利用して提供したいサービスの要 件によっては、コスト対効果をかんがみ、新規に作るデータについてのみ識別子を紐付 ける、といったことも検討すべきである。 (出所)野村総合研究所 識別子の変更・失効 現在検討されている 識別子は「番号」、ID コード、リンクコードであるが、このうち ID コード、リンクコードについては、国民の申請により変更することのできない識別 子という整理がされつつある。だが、“国民が変更できない”ということと、“今後変 更する必要がない”ということは同義ではない。いずれも住基コードから作られるとは いえ、作られた後は住基コードの管理からは切り離され、住基コードを変更したとして も、これらの識別子を変更する必要はない。しかしながら、例えば暗号方式の危殆化(陳 腐化)、鍵の流出、ID コード、リンクコードの流出などがあった場合には、振りなお しが必要になってくると思われる。よって、どのような脅威があった場合に、どんな対 応(変更)を行う必要があるのかを分析すること(脅威分析)を実施する必要がある。 71 失効については、そのトリガーとして死亡、国籍変更、詐称により取得されたコードの 廃止などが考えられる。場面に応じて、コードそのものを廃止するのか、失効リストと して管理するのかを検討する必要がある。 上記のように、変更・失効については識別子の振りなおしや、廃止が発生する可能性が あるが、こういった変更・失効情報を提供する方法についても検討が必要である。例え ば識別子を保有する各情報保有機関にプッシュ型で提供するのか、情報保有機関が特定 のタイミングで取りに来るのか、といったことを、複数の想定シナリオに沿って具体的 に検討する必要があるのではないだろうか。 T-5. 一般利用者のアクセシビリティ 行政コストの削減のためには、行政の窓口利用の割合を減らし、電子行政サービス を通じたサービス利用の割合を増やしていく必要がある。電子行政サービスの利用が閾 値を超え、窓口コストの削減が、電子行政サービスへの投資額を上回って初めて、行政 コストが削減したといえる。よって、行政コストの削減という意味でも、電子行政サー ビスの利用率向上は必須要件であり、国民の利便性はもちろん、政府の財政改善のため にも、アクセシビリティは非常に重要な論点となる。 電子行政サービスへのアクセシビリティを考える際の検討事項としては、以下の3 つの要素が考えられる。 電子行政サービスを利用するための認証手段 電子行政サービスを利用するための媒体 電子行政サービスを利用するためのサイト(サービス提供サイト) それぞれの要素について、現状の課題と対応方法(どうあるべきか)を記載する。 電子行政サービスを利用するための認証手段 【現状の課題】 電子行政サービスにアクセスする際、IC カードおよび電子証明書(公的個人認 証)を利用することを前提としている。しかしながら、利用者が IC カードおよ び電子証明書の取得のためには、2回程度市町村役場に出向く必要があること、 カードリーダーを購入し、インストールをしなければならないことなどから、 一般国民にとっては非常にハードルが高く、そうであればどうせ市役所にいく のだからそこで手続きをすればよいか、と考える人が多い。実際、国の行政サ 72 ービスはほとんどオンライン化されているが、公的個人認証の取得割合は 1%程 度であり、一般国民に使いやすい(アクセスしやすい)状態とはいえない状況 である。 この状況を打破するため、IC カード、公的個人認証で利用できるサービスを広 げようという動きがあるが、認証手段を普及させるためにその認証手段を使わ せるサービスを増やす、というのは本末転倒である。サービスにあった認証手 段を使えるようにすることが、行政サービスの利用率向上のためには必須であ る。 行政サービスには、秘匿性が高いもの、低いもの、金銭に関するもの、関しな いものなど、様々なものがあるが、すべて一律に高セキュリティを要求してし まうと、ユーザーの利便性を損ねるだけではなく、返ってセキュリティの穴を 生んでしまう可能性がある。 【対応方法】 紙の世界で、実印、銀行員、認印を使い分けるように、電子行政サービスの認 証手段も、様々なレベルのクレデンシャルを使い分けられるようにするべきで ある。高いセキュリティを要求するサービスに対しては、IC カード/電子証明 書を使い、それほどでもない場合には ID/パスワードを使うなど、使い分けを できるようにすることで、例えば国からの通知情報参照はオンライン発行した ID/パスワードを利用し、転入は IC カードを利用する、または、窓口に直接出 向くなど、利用者の選択を可能とする。これにより国民の利便性を向上するだ けでなく、トータルで見たセキュリティを向上することができる。 米国の企画標準化団体である NIST や、内閣官房情報セキュリティセンターで ある NISC においても、上記の「サービスにあった認証手段」という考え方は すでに標準化されている。これらの標準では、業務のリスクレベルに応じて使 えるクレデンシャルを 4 つの保証レベルに分類し、そのレベルに応じて認証手 段を使い分けるようにすることで、セキュリティレベルが低いサービスに対し て、過度な保証レベルのクレデンシャルを要求しないことで、利便性を損なわ ないように対処し、同時にレベルが高いサービスについてはセキュリティが担 保された認証手段を使わせるように定義している。 上記のような、「サービスのレベルにあった認証手段を利用できる」という仕 組みは非常に重要であるが、これだけでは電子行政サービスを受けるために新 たに認証用の ID/クレデンシャルを発行しなければならないという手間がのこ る。そこで海外の各国政府では、さらにこの考え方を発展させ「サービスのレ ベルにあった認証手段であれば、サービス提供者(国)が発行したものでなく とも利用可能とする」という仕組みが検討されている(後述の OITF など)。 73 この仕組みを用いて、国民が普段使っている銀行等の ID/クレデンシャルを用い て、電子行政サービスにアクセスできるようにすることで、利用者の利便性を 大幅に向上することができる。詳細は後述するが、OITF では利用可能な IdP は認定機関によりレベル別に認定されたものに限られ、サービスのレベルに応 じた認定レベルの IdP のみが利用できる仕組みになっている。この仕組みによ り、利便性とセキュリティ的を両立することを実現している。なお、対象とな る IdP は、政府による認証サービスや民間の金融機関、携帯電話事業者、大手 ポータ ル、大学などの教育研究機関などが考えられている。 この仕組みは、RP にとっても、ID の登録・配布・管理の手間を IdP に委任し、 そのコストを省くことができるというメリットがあり、同時に IdP、RP 間の契 約の手間を大幅に減らすことができるため、利用者の利便性向上とあわせ、情 報流通を安全かつ飛躍的に増大させ、ひいては経済効果(事業創出効果)を生 み出すものと期待されている。 図:The open identity trust framework model (出所)Open Identity Trust Framework 電子行政サービスを利用するための媒体 【現状の課題】 74 現在の電子行政サービスはパソコンからの利用に限られており、パソコンを所 持していない国民には利用ができない。総務省調査による「インターネット利 用動向調査」によると、国民のインターネット利用は国民の80%近くにまで 達してはいるが、裏を返せばそもそもインターネットを利用していないユーザ ーが20%程度存在し、また、インターネット利用者の中でも携帯からのみ利 用しているユーザーも10%程度存在する。いわば国民の30%程度はそもそ も現在の電子行政サービスが利用できない状態であり、こういったユーザーに 対して、これまでどおり窓口でのサービス提供とするのか、携帯対応すること で尐しでも間口を広げるのかなど、今後どのような形で行政サービスを提供す るのかを検討する必要がある。 昨今では、パソコンでのインターネットも利用可能だが、通常はモバイル媒体 でインターネットを利用する国民も多く、スマートフォンやタブレットの普及 をかんがみれば、今後もモバイル媒体をメインに利用する層は増え続けると考 えられる。しかしながら、現時点では電子証明書(公的個人認証)をモバイル 端末で利用することができないため、何らかの代替手段を検討する必要がある。 【対応方法】 電子行政サービス利用率の向上には、認証手段同様、利用媒体についても、利 用者の選択の自由を確保することは非常に重要である。特定の媒体、特定の技 術に依存することは、行政の平等性の観点からだけではなく、BCP や利用率向 上の面から考えても避けるべきである。 様々な媒体をサポートするためにも、複数の認証手段や、後に述べる様に複数 のサービスサイトを利用できるようにすべきである。そのためにも、前述の OITF のような仕組みを利用し、認証手段、サービスサイトを柔軟に組み合わせ られるようにすべきである。 電子行政サービスを利用するためのサイト(サービス提供サイト) 【現状の課題】 現状で国民が電子行政サービスを利用する流れは、①受けたい行政サービスの 認知、②クレデンシャル(IC カードと電子署名)の発行、③電子行政ポータル サイトの検索、④ポータルサイト内から対象サービスの検索、⑤IC カードと電 子署名を使ってログイン、⑥サービスの利用、という順である。つまり、ある 行政サービスを使いたいという明確な目的があるユーザーしか利用しないシス 75 テムとなっており、もし事前にクレデンシャルを発行していたとしても、利用 までのステップが非常に長い。 また、電子行政ポータルのメニューは、以前のサービスの入り口がばらばらだ った状態に比べれば改善されたとはいえ、まだまだ一般のサイトに比べて使い やすい状態とはいえない。 【対応方法】 真に国民中心の電子行政を実現するためには、国民一人一人が普段から利用し ているサイトから、行政サービスを利用できるようにするべきである。例えば 育児関係の給付申請であれば、普段利用している民間の育児情報交換サイトが、 ユーザーが ID を作成する際に入力した地域情報や子供の年齢情報を利用して、 利用者に対して給付受けられるかもしれない旨を画面表示し、そのままその育 児サイトから、自治体が提供している API を通じて給付の申請を行うことが考 えられる。この場合、事前に明確に行政サービスのことを把握していない人で もサービスを利用することになるため、利用率は大きく向上すると思われる わが国のモデルである「サービスのメニューを集約したポータルを作るのでそ こに来てください」というモデルは gov1.0 と呼ばれている。これでは真にユー ザー中心ではなく、利用率が伸びないという反省から、上記のようにユーザー が普段利用しているサイトを窓口とし、関連する行政サービスを API 経由で利 用するモデルを gov2.0 と呼び、海外においても導入を検討、または、一部実施 されている。もちろんこの際には、各行政サービス API や、そこから得ること ができる情報について、標準化を行う必要がある。 図 現在のモデルと Gov2.0 モデル 76 (出所)野村総合研究所 民間のサイトを窓口とするもうひとつの利点は「競争」である。民間サービス は、以下に利用者を増やすか、そのために、如何に使いやすいサービスとする かに日々腐心しており、アクセシビリティ向上に関するモチベーションは電子 行政サイトとは比較にならない。民間に入り口を任せられる部分は民間に任せ るほうが、ユーザー利便性・投資対効果の両面において優れていると考えら得 る。 77 まとめ これまでに述べてきたように、認証手段の問題、媒体の問題、利用サイトの問題に ついては、常にユーザーを中心に考え、ユーザーに選択の自由を与えることで、セキュ リティの向上とアクセシビリティの向上を両立することができる。これにより、ユーザ ー中心の行政を確立するだけではなく、行政コストの削減にもつなげていくことができ る。 (出所)野村総合研究所 T-6. 職員認証 職員認証の仕組みを拡充することで、だれがどの情報にアクセスしたか追跡可能にする 方式ではなく、なぜこれを検討すべきかを書く。 一般利用者の引き起こせるリスク・脅威より、職員のほうが大きいから。 アシュアランスレベルの考え方を引用すれば、明らか。 78 第三者機関の監督や監査の効率性・正確性向上のため。 国民に対する説明のため。心理的嫌悪をなくす。 個人情報の照会、利用、共有に際し、アクセスした人を特定する仕組みが必要。 (第三者機関及び利用者本人が参照可能にするために何かしらの方法でログ取 得を行うため。) 現状ある職員認証(GIMA:基盤職員等利用者共通認証基盤)で対応できるか。 現状の仕組みでの落とし所(短期的対応)、あるべき姿(長期的対応)を検討 すべき。 T-7. ログの管理 「番号」導入にあたって、国民の情報主権を守り、安心を提供するため、“国民が自 分の情報へのアクセスログを確認できること”が必須要件として考えられている。国民 がこのログで確認できる項目としては、「いつ」「誰が」「何のために」「誰の」「ど んな情報を」「どのように利用したか」といったことが考えられる。また、ログの取得 箇所、保管場所、参照箇所をそれぞれどことするか、といったことも論点である。 (出所)野村総合研究所 79 現在の検討では、上図のように整理されている。これらの検討にあるとおり、ログの 取得・運用コストと、開示請求頻度などをもとに、バランスをとった設計を行う必要が ある。また、あくまでログであるにもかかわらず、あまりに機微な情報を載せてしまう と、全国民の機微情報を集中管理するデータベース化してしまう恐れがあるため、ログ 自体はある程度粒度の大きい形で内容を提示する必要があるだろう(例:○○さんの○ ○年度の源泉徴収情報が、○○自治体の○○により、○○サービスのために参照されま した、など)。 しかしながら上記の流れにはいくつか指摘点もある。 ① 前述のように、情報連携基盤中にデータを流すことは考えにくい。代わりに、アク セスマネージャーによる情報連携許可証の発行についてログをとることで、同等の アクセスログ確認が可能である。 ② 情報連携基盤のログ、各情報保有機関のログについては、内部の人間により改ざん の恐れがある。例えば、前行のログのハッシュをログに含め、次行のログはこのハ ッシュ部分を含めてハッシュをとることで、ログを 1 行改ざんするためには、さか のぼってすべてのログを改ざんしなければならなくなる。こういった改ざん防止の 仕組みの組み入れを検討する必要があるのではないか。 ③ ログがそれほど機微な情報ではないのであれば、参照箇所・手段をマイポータルや 公的個人認証に制限する必要はないのではないか これらのことも考慮に入れつつ、ニーズと費用のバランスの取れた仕組みを構築する 必要があると思われる。 T-9. 身元確認レジストリー 現在の日本の身元情報の台帳(身元確認レジストリー)で代表的なものは、「住民基 本台帳」と「戸籍」であるが、いずれも制度設立はかなり古く、住民基本台帳が約 60 年前、戸籍にいたっては 100 年以上前である。いずれも基本的な項目としては、基本 4情報と呼ばれる、氏名、性別、生年月日、住所をベースに構成されているが、IT が 発展した現代においては、再度必要な項目を整備しなおすことも必要なのではないかと 思われる。 新たな身元確認レジストリーの項目としては、以下のようなものが候補として上げら れる。(*印は必須項目) 1. 氏名* 2. 性別* 80 3. 生年月日* 4. 住所(+郵便番号)* 5. 「番号」またはリンクコード* 6. バイオメトリクス(顔写真など)* 7. 連絡先(メールアドレス、携帯番号、自宅電話番号) 8. 口座番号 9. 登録時の身元確認内容 10. 世帯情報 11. 後見人 12. 最終確認日 1.氏名、2.性別、3.生年月日、4.住所(+郵便番号) これらはいわゆる基本4情報と呼ばれる情報で、現在は個人を一意に示す情報として 利用されているものである。「番号」はあくまで他のデータベースと紐付けを行うため に利用できる属性であるので、この4情報は新レジストリーになったとしても必要と思 われる。 5.「番号」 またはリンクコード 新レジストリーは国民の情報の台帳、いわゆるマスタとして自治体業務などで利用され るものである以上、国民に「番号」が振られるのであれば、新レジストリーについても、 名寄せのための識別子として「番号」またはリンクコードを保持するべきである。論理 的にはリンクコードで名寄せは効率化可能であるが、例外的な業務が発生しうることを 考えると、見える「番号」も保持するか、または、職員は「番号」を紐付けて参照でき る仕組みが必要と思われる。 6. バイオメトリクス(顔写真など) 現在の住民基本台帳では、いわゆるバイオメトリクスが存在しないため、ある人が住 民基本台帳上のある人物であると主張した場合には、提示する身分証明書(とその身分 証発行時の本人確認方法)を信じるしかない。例えば運転免許は住民票の写しと自動車 学校の卒業証明書があれば取得できるため、他人の協力や、委任状の偽造による取得、 写しそのものの偽造を行えば、取得できてしまう。なりすまし防止のレベルを上げるた めには、例えば 16 歳になった段階で親や後見人とともに市町村役場に出向き、顔写真 を登録、以降 5 年ごとに更新する、といったことも考えられる。 81 バイオメトリクスの登録は成りすましの防止が主な目的だが、例えば大規模災害の際 にすべての身分証明書や身寄りを失った人が、自分はこの人間であると主張する場合の、 自己証明の最後の手段となりうる可能性がある。 プライバシーの観点については、たとえば顔写真は別データベースで管理し、通常は 第三者機関の持つ鍵で暗号化しておき、成りすましの懸念発生時や、大規模災害発生時 のみ復号化する事で、対応することも可能なのではないだろうか。 7. 連絡先(メールアドレス、携帯番号、自宅電話番号) プッシュ型の行政サービスの提供のためには、住民にリーチできる連絡先情報が必 要である。住民基本台帳の設計が行われた時代と異なり、多数の国民がメールアドレス、 携帯電話を持っている現代、これを利用するのは自然な選択である。マイポータルへ通 知ということも考えられるが、現在のマイポータルはインターネットにつながるパソコ ンと公的個人認証が必要であり、ほとんどの国民が参照しないか、または年に数回しか 利用しないサービスとなる可能性があり、プッシュ型でリアルタイム性のある連絡手段 という意味では、これらメールアドレス、電話番号のほうが適していると考えられる。 また、現在本人確認手段の一つとして、住民票住所への書類送付という方法をとってい る場合があるが、これについても登録済みのメールアドレス、電話番号を代替手段とし て使えれば、コスト面/利便性共に向上すると思われる。 8. 口座番号 社会保障・税の還付などの際のために、本人の同意を元に、口座番号を記載しておく ことが考えられる。今後税と社会保障を一体化し、かつ、プッシュ型のサービスの割合 を増やしていくのであれば、給付とその通知の手段についても一体化・プッシュ型にで きれば国民の利便性が高まる可能性がある。 9. 登録時の身元確認内容 レジストリーに登録する際には基本的には厳密な身元確認を行う必要があるが、個々 人の事情によっては、例外的な対応としてまずは登録をすませ、あとから情報を積み重 ねて身元を確認するような状況も考えられる(大規模災害など)。また、身元確認に利 用した身分証明書について、後から脆弱性が判明した際には、その証明書を用いて身元 確認を行った人については、身元確認レベルを一段階低く考える必要が出てくる場合も ありうる。このようなことも考え合わせると、レジストリーに登録した際の、身元確認 手段、身元確認者を記載しておく必要があると思われる。 10. 世帯情報 82 新レジストリーを住民基本台帳の新しいものとして位置づける場合は、住民基本台帳 と同等の理由で、世帯情報が必要である。 11. 後見人 自分では判断がつかない未成年、老人については、行政からの通知などを行う際に、 後見人を介して情報を提供する必要がある。 12. 最終確認日 新レジストリーに保管するデータの身元確認レベル(保証レベル)を上げるためには、 定期的なレジストリーの確認が必要である。例えばパスポートや運転免許証について数 年に一度の更新が求められるように、高いレベルのレジストリーを維持するためには、 定期的な身元確認(現況確認)が必要であり、最終確認日が古いレコードについては信 頼性が低いものとして扱うなどの対応が必要である。 83 ③教育 E-1. 法律の周知 国民一般や民間事業者を含む各主体が混乱をきたさず、番号法に基づいて番号 やクレデンシャルの適切な取扱いを実践することができるよう、周知広報等の 徹底を図ることが重要である。 政府や自治体、マスコミは、放送番組による積極的な周知、広報誌等への番号 法に関する記事の掲載、ホームページ掲載、分かりやすく解説したパンフレッ ト、チラシ等の国民への配布・回覧、ポスターの掲出、番号法説明会・講演会 の開催等の周知活動を、番号法施行の数年前から計画的かつ効果的に実施する 必要がある。 また、番号法は、各主体や各用途・利用範囲ごとに個別・専門的な対応が求め られる場面が多いと考えられることから、相談・支援体制の充実強化を図るこ とが重要である。 各地域に相談窓口を設置し、相談対応に取り組むとともに、自治体等の協力を 得て、地域住民や地場の企業のニーズへの適確な対応や個別相談の充実、高齢 者・障がい者等へのサポートの強化を図る必要がある。 こうした相談機能を介して収集された国民からの苦情相談事例や、よくある Q&A をホームページ上で公開し共有することも必要である。 さらに、番号やクレデンシャルに関して、故意であるか否かに関わらず、不適 切な取り扱いがなされる機会が増えることが懸念される。 このため、番号法上で規定されていない番号やクレデンシャルの不適切な取り 扱いについて、十分な情報開示や注意喚起を推進することが重要である。 E-2. 番号やクレデンシャルに対するリテラシー 番号やクレデンシャルに関して、関係者における正しい理解の醸成と、個人情 報保護の観点から番号やクレデンシャルの利用を必要以上に制限する、いわゆ る「過剰反応」の抑制が重要である。 国民一般向けには、学校教育、社会教育、ターゲット教育が重要である。学校 教育においては、番号やクレデンシャルがどのようなものか、何の用途でどの ような使い方をすれば安全(危険)であるか等の知識を幼い頃から身に付ける ことが重要であるため、児童・生徒への効果的な教育手法や学校教員への教育 研修の実施方策を確立することが必要である。 84 社会教育においては、番号法に関わる様々な問題の共有や解決を図る上で、多 様な主体の参加による情報交換や意見交換の場が重要であることから、地域に おける関係団体や行政による学習会や交流会の開催、地域で番号やクレデンシ ャルの問題に取り組むリーダー、サポーターの養成等が必要である。 高齢者や障がい者を中心に、番号やクレデンシャルの利用から取り残される国 民が出てくるものと考えられることから、特定層に重点化した教育啓発や障が いに配慮した他種類の教材開発といったターゲット教育が重要となる。 民間事業者や行政機関には、従業員・職員一人ひとりが法定事務とそれ以外の 事務の区別や、法定事務における番号やクレデンシャルの利用範囲等を正しく 理解し、適切な行動を選択できるようになることが重要である。 また、情報保護や情報連携等に対するシステム的な対応も必要となり、そのよ うな対応に一定の期間とコストが必要となることから、番号法への対応準備の 呼びかけを行うことが必要である。 知識習得のための研修や、番号やクレデンシャルの適切な取り扱いに関するノ ウハウの講習等の活動は必要不可欠である。また、こうしたシステム対応や教 育啓発活動を政府や自治体が積極的に支援していくことも必要である。 E-3. 民間事業者の参画インセンティブ 国民 ID 制度に参画する民間事業者において、番号やクレデンシャルの適切な取 り扱いが可能となるためには、各主体や各用途・利用範囲ごとに、番号法の運 用に関するガイドラインの策定が重要である。 また、ID エコシステムやトラストフレームワークの実現に向けては、民間事業 者がそれらに参画するビジネス的なインセンティブを付与できるかどうかが重 要である。認証サービスや属性提供サービスを提供する IdP の場合、課金や決 済といった付加的ビジネスが可能であるか否かが参画に大きく影響する。 収益面のメリットに加えて、費用面の負担の大きさも参画を判断する重要な要 素である。費用面については、トラストフレームワークの認定基準が規定する 認証や属性提供に関する安全性・信頼性と、それにかかる費用負担がトレード オフの関係にあるため、双方の適正なバランスを確保することが重要となる。 厳格な認定基準を強く求めることで、費用負担が過重となり、IdP が認証サー ビスや属性提供サービスを提供できなくなる事態は避けるべきであると考えら れる。 こうした事態を回避するため、番号法に関連する各法定事務やトランザクショ ンごとに、どの保証レベルが要求されるか対応関係を明確化することや、官民 85 の多様なステークホルダーの連携・協働のもと実効性のある現実的な認定基準 づくりを行うことが必要である。 また、認定マークの付与とウェブサイトへの掲載、認定事業者の一覧表の公表 等によって、認定を受けた民間事業者が競争上優位になるようにインセンティ ブを付与することも必要である。 利用者がクレデンシャルの適切な選択を行う 際にも、クレデンシャルの安全性・信頼性に関する情報を入手できることが必 要となる。 86 実現までの道筋 「番号」を用いた情報連携による行政効率化、国民への公平・公正な行政サービス の提供に必要なマイルストーンを整理する前提として、以下の要素が挙げられる。 「番号」等の識別子がふられることで効率化する、または、新たに実現が可能 になる行政サービスは、分野間で情報を連携するサービスだけではなく、分野 内に閉じたサービスも存在する(税分野など)。 上記どちらのサービスについても、必要なのは「番号」等の識別子と、その識 別子の情報への紐付けであり、IC カードや電子証明書などのオンラインクレデ ンシャルは必須ではない。 分野間を連携するサービスについては、情報連携基盤のような情報を連携する 仕組みが必要だが、分野内に閉じたサービスについては、その限りではない。 「番号記載」IC カードを、保証レベル3以上のオンラインクレデンシャルや、 ICAO 準拠の身分証明書として利用する場合には、窓口での身元確認の上でカ ードを配布することが必須であり、配布後の定期更新も必要である。しかしな がら、現在の窓口のキャパシティでは、国民全員に電子証明書入り IC カード を配布するのには非常に長い期間を必要とすると思われる。IC カードの配布が 終わらないと、「番号」を利用できないのでは本末転倒であること、レベル3 以上の IC カードの配布については、長期的視野で実施するものとする。 いわゆる“マイポータル”のようなサービスで直接確認できるログは、機微情 報が含まれないログを想定しているため、オンラインクレデンシャルの保証レ ベルは2で十分である。 この仕組み・制度のフィージビリティをあげるためにも、できる部分から段階 的にサービスをスタートするべきである。 これらのことを踏まえると、大まかなマイルストーンの依存関係は以下のようにな る。 87 (出所)野村総合研究所 なおこのマイルストーンでは、分野関連携を行うサービスのアクセスログの確認に は、保証レベル2相当の ID/クレデンシャル(例えば銀行 ID や、郵送送付で身元を家 確認した ID/パスワードなど)を利用する想定である。また、窓口での番号利用につい ては、新しい IC カード身分証を配り終えるまでは、郵送送付した番号記載のプラスチ ックカードと、既存の身分証明書を両方提示することを想定している。 上記の依存関係を踏まえた上で、サービス要件定義や制度設計の時間、番号の紐付 けにかかる時間も考慮したスケジュールは以下のようになる。 88 (出所)野村総合研究所 なお、上記スケジュールの中にあげた制度検討・基盤検討に当たっては、「どんな 技術で実施するのか」ではなく、「どんな理念に従って、どんなサービスを国民に提供 したいのか」というスタンスが重要である。またこの制度の性格上、議論は広く一般に 公開し、適宜フィードバックを受け付ける形式(Ustream 中継など)を実施すること が求められる。 89 国際的動向 各国の国民 ID 制度は、第一世代(紙と総背番号による管理)、第二世代(IC カードと電子証明書による本人確認と認証)、第三世代(携帯電話や OTP トー クンなどの代替手段による本人確認)、第四世代(官民協働のエコシステムを 創出し本人確認や認証手段の相互運用を認める方式)と変遷しつつある。 米国やオランダでは、第四世代の ID 制度を国家戦略として発表しており、官民 を問わない汎用的な「エコシステム」や参加者の認定を行うための「トラスト フレームワーク」を推進し始めている。 o 米国 NSTIC (National Strategy for Trusted Identity in Cyberspace) o オランダ Network Approach to E-Identification さらに、世界経済フォーラム(ダボス会議)や国際的な技術標準化団体である ISO や ITU-T においても、このトラストフレームワークが、利用者中心主義に よる個人情報流通の標準的な枠組みとして採択され、議論が進行中である。 信頼フレームワーク ダボス会議 ”Personal Data Ecosystem” 世界経済フォーラム年次総会であるダボス会議では、一定の原則に基づいた協調的 で、かつバランスの取れた ID エコシステム(Personal Data Ecosystem)について、 世の中の理解を深めることを目的として、2010 年に「個人情報の再考(Rethinking Personal Data)」を題材としたプロジェクトを立ち上げている。 このプロジェクトには、民間企業、行政機関、プライバシー保護や人権保護に関す る市民団体、大学、専門家等の関係者が参画している。 このプロジェクトが目指している方向性は、以下の3点である。 ①個人情報の利用における、機会やリスク、協調的な対応関係を特定するためのユ ーザー中心のフレームワークを構築すること ②事例研究やパイロット実証において、豊かで協力的な知識の交換を育むこと ③バランスの取れた ID エコシステムを進化させるために、目安となる世界の原則 を示すこと ユーザー中心という概念に関しては、サービスや経験を共同で創出し、価値を交換 する上で、ユーザーが重要かつ独立した当事者であることを認識するものであり、以下 の4つの原則に基づき達成されるものであるとされている。 ①透明性(ユーザーが、自分のデータのうち、収集されたデータの種類、収集方法、 用途、データにアクセスした人物を知ることができること) 90 ②信頼性(個人情報にアクセス可能なアプリケーション、システム、プロバイダー に関して、可用性、信頼性、完全性、安全性が担保されることに対して、ユーザ ーが信用できること) ③コントロール(ユーザーが、個人情報を共有する範囲や程度を効率よく管理でき ること) ④価値(ユーザーが自らのデータを利用することによる創出される価値と、それに 対して支払われる報酬について理解できるようになること) 他方、フレームワークに関しては、ID エコシステムの参加者同士の個人情報のやり とりを管理することを目的として、法律や契約、ID エコシステムの構築のために選出 された技術を管理できるようにする信頼フレームワークが必要であるとされている。 このような信頼フレームワークの例としては、後述する OITF(Open Identity Trust Framework)と呼ばれる米国の信頼フレームワークや、Kantara Initiative が作成して いる IAF(Identity Assurance Framework)などが存在する。 しかしながら、大規模な信頼フレームワークの利用は実現されていないのが現状で あり、当事者のニーズが反映された個人情報の活用方法については、具体化がまだまだ 不十分である。具体化に向けては、①当事者を信頼フレームワークに参加させるための 動機付けは何か、②どのようなビジネスモデルを構築できるか、③ID 提供事業者のサ ービスに誰が費用を支払うか、といった問題を解決することが求められている。 当事者の信頼を向上するため、ユーザーがこのような信頼フレームワークの開発や 実験に積極的に携わること、個人情報の活用方法に関して、透明性を拡大すること、信 頼フレームワークの利用によりユーザーにもたらされるメリットについて、ユーザーの 理解を深めることが重要であるとされている。 以下では、検討されている信頼フレームワークのモデルや個人情報サービスについ て概説する。 信頼フレームワークのモデル OITF(Open Identity Trust Framework)のモデルは、インターネット環境へ の適用を想定しており、ID 受入れサイトとユーザーとの間でシングルサインオ ン環境を実現し、信頼性を確保している。ユーザーと ID 受入れサイトが現在イ ンターネットでやり取りする方法に関しては、下記のような2つの問題が指摘 されており、当該モデルは、これらの問題に対応している。 ・ユーザー名およびパスワードが拡散する問題 ・ID 受入れサイトが他のエンティティの ID を検証できない問題 91 1 つ目の問題に関しては、ほぼすべての ID 受入れサイトにおいて、アクセス してきたユーザーにユーザー名とパスワードを設定させ、氏名や住所、クレジ ットカード情報などの個人情報の登録・共有を求めている。これはユーザーに とって不便なだけではなく、やり取りを行う各サーバーに個人情報を送信する ため、個人情報が漏えいする確率が高くなり、危険でもある。 2 つ目の問題に関しては、現在のインターネット取引では、ユーザーも ID 受 入れサイトもお互いの ID を完全に把握していない場合がほとんどである。その ため、個人情報の窃盗や詐欺が横行しがちである。2009 年には、米国の個人消 費者による金銭損失 5 億 5,000 万ドルを含む、30 億ドル以上の損失が、このよ うな詐欺等により発生している5 6。 図:The open identity trust framework model (出所)Open Identity Trust Framework 当該モデルでは、下記に示す役割を規定することにより、インターネット環 境での ID 管理を支援している。 ・政策立案者(Policy maker)は、自らの ID 情報を管理・交換する際の技術 要件、運用要件、法的要件を決定する。 CyberSource. 第 11 回年次 “Online Fraud Report”(2010 年) 2009 年“Internet Crime Report.” 米国司法省インターネット犯罪苦情センター(Internet Crime Complaint Center)(2010 年) 5 6 92 ・信頼フレームワークプロバイダー(Trust framework provider)が、これ らの要求事項を信頼フレームワークの構成要素として規定する。次に、信 頼フレームワークの認定基準に沿って ID 管理サービスを提供する ID 提供 事業者を認定する。最後に、信頼フレームワークの参加者が認定基準を遵 守していることを審査、保証する監査人(Assessor)を採用する。 ・ID 提供事業者(Identity service provider)は、個人ユーザー向けオンライ ン証明書を発行し、その有効性を検証する。ID 受入れサイト(Relying party) は、この証明書を受け取ることにより、ID 提供事業者によって分析、検証 された個人ユーザーであることが確実に保証される。 ・監査人は ID 提供事業者および ID 受入れサイトを評価し、信頼フレームワ ークプロバイダーが規定する信頼フレームワークの構成要素に従うことが できることを証明する。 信頼フレームワークモデル内では、ユーザーは ID 提供事業者から発行された 単一のクレデンシャルが 1 つあれば、それを使って複数のサイト(ID 受入れサ イト)にアクセスできるようになる。ユーザーにとっては、このようなサイト で自らの ID が保証されるため、安心できるメリットがある。 また、信頼フレームワークでは、ユーザーは ID 受入れサイトとセンシティブ な個人情報を共有しなくても済む。これにより、ユーザーはウェブサービスを 購入する際に、氏名や住所、クレジットカード情報を入力する必要がなくなる。 信頼フレームワークを適用すると、ユーザーはトランザクションが完了するま でに、最低限のデータだけ共有すればよくなる。 個人情報サービス 個人情報サービスは、ユーザーが自らの個人情報を保存、管理、共有し、ま た個人情報から利益を得ることができる安全な方法を提供する。このような個 人情報は、個人の嗜好や関心事のような自己主張された属性から、個人の年齢 やクレジットカードの支払いのような管理・検証された属性まで、幅広い範囲 を含む。 個人情報サービスは、エンドユーザーのデジタルアイデンティティを統合し、 ユーザーがどの第三者機関に対し、いつ、どのような方法で、いくらでアクセ ス権限を与えるか管理できるようにする。 93 図:個人情報サービスでは、エンドユーザーのデータを保存し、ユーザーが自 らの個人情報を管理、共有でき、個人情報から対価を得られるようなアプリケ ーションを提供している7 (出所)The Eclipse Foundation このような新しい概念は、ステークホルダー間の信頼関係を構築し、エンド ユーザーや ID 受入れサイト等が享受する付加的利益の先触れをする。現在、有 望なトライアルが進行中であるが、それでも、このような概念の実現性につい ては疑問を持たれることから、解決に向けてさらに検証が必要である。 信頼フレームワークが抱える主なリスクと不確定要素 前述した信頼フレームワークと個人情報サービスは、米国や英国でパイロッ ト実証が推進されているものの、更なる改良や検証が必要である。現時点では、 ブログやニュースコンテンツの投稿など、比較的低い保証レベルのサイトにお いて導入されているが、このような信頼フレームワークや個人情報サービスが、 インターネット環境で実現可能であるかを判断するためには、銀行口座へのロ グインなど、リスクのより高いトランザクションが含まれる環境において適用 する必要がある。 リスクや不確定要素は、ID 提供事業者および ID 受入れサイトのビジネスモ デルにも存在する。 民間企業の多く(Acxiom、AOL、 Citibank、 Equifax、 Google、 PayPal)がこの領域で事業を開始する一方で、経済状態は不明である8。 Higgins Open Source Identity Framework は、The Eclipse Foundation のプロジェクトである。カナダ・オン タリオ州オタワ。http://www.eclipse.org/higgins/faq.php 7 94 ID 受入れサイトからみると、ユーザー中心のモデルへ移行するメリットが見 えにくい。このような新たな手法では、ID 受入れサイトは、無料でデータを収 集する行為が制約を受ける。また、エンドユーザーのデータに代金を支払わな ければならないようになる。集められた個人の意見は今後さらに貴重になると 考えられている一方、どのようなバランスでもって、ID 受入れサイトが共有し ようとするデータと、ユーザー中心の視点により得られる効果を取引できるか どうかは明らかではない。 しかし、オンライン詐欺やリスクにかかる費用を減額できれば、ID 受入れサ イトは当該モデルへの参加に協力的になると考えられる。 最後に、エンドユーザーの認識を高められるか否かも不確定要素である。企 業はユーザーの個人情報を管理する利点を、どのような形で各個人に説明する ことができるか。まず、企業自身が利便性や提案すべき価値、文脈上のニュア ンス、個人情報ダッシュボードの有用性について、よく理解しなければならな い。エンドユーザーが自身のデータを便利、適切かつ簡単に管理できるように なるアプリケ―ションやサービスについて、詳細な調査が必要となる。 ISO/ITU-T この分野では、以下のような標準案が検討されている。 番号 タイトル Stage 2011/3 月の状況 code9 ISO/IEC FCD A framework for identity management 40.60 2010/10 の会議で。WD から FCD に進 むことに。ただし、現ドラフトの位置 づけが不明との理由で、米国とカナダ 24760-1 が反対。 ISO/IEC Privacy framework 40.60 FCD に進んだ。 Privacy reference architecture 30.60 アドホックが作られ、日本オラクルの FCD 29100 ISO/IEC CD 29101 鈴木俊博氏が参加することに。シナリ Kreizman, Gregg, Ray Wagner and Earl Perkins. “Open Identity Pilot Advances the Maturity of User-Centric Identity, but Business Models Are Still Needed.” Gartner(2009 年 11 月 9 日) http://www.gartner.com/DisplayDocument?id=1223830 8 9 http://www.iso.org/iso/standards_development/processes_and_procedures/stages_description/st ages_table.htm 参照 95 オベースで議論し、ユースケースを考 え、プレーヤーを同定してゆくという 流れになる方向。次は 2nd CD に。 ISO/IEC CD 29115 Entity authentication assurance framework 30.60 与えられたトランザクションにおい て、エンティティ(主体)の身元を保 証するためのライフサイクルに関する フレームワークを提供するもの。この フレームワークには、ID の登録、検査、 審査から発行、資格付与、管理、使用、 監査、失効に至る一連の ID のライフサ イクル管理に関わるプロセスや手順が 示されている。 TAS コメントにおいて提案された 3 パ ートへの分割は議論されたものの、 ITU-T との共同プロジェクトとして進 めている等の理由で分割は避ける方向 に。ITU-T とは、collaborative interchange の形で連携。Identity proofing の内容に関しては、アドホッ クグループを作成することに。 ISO/IEC WD 29146 ISO/IEC WD 29190 ISO/IEC CD 29191 A framework for access management 20.20 IPA 宮川氏が co-editor に。4th WD へ。 Proposal on Privacy capability assessment model 20.20 29101 の Annex として吸収か。 Proposal on requirements on 30.60 賛成が多く、2011/4 の会合で FCD に 行く予定。 relative anonymity with identity escrow model for authentication and authorization using group signatures ITU-T X.oitf Open Identity Trust Framework 認証連携の「トラスト・フレームワー ク」に関する標準案。 96 (出所) http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_tc_browse.htm?commid=45306&developm ent=on と情報技術標準 No.89 SC27 総会報告を元に NRI 作成 97 各国の動向 米国:OITF と NSTIC 米国連邦政府の国土安全保障省が 2010 年 6 月に発表した「National Strategy for Trusted Identities in Cyberspace:NSTIC」(サイバースペースにおける信頼できる アイデンティティのための国家戦略)では、個人・組織が安心して簡単にオンラインサ ービスを利用できるための、ユーザー中心の持続的な仕組みを実現する「Identity Ecosystem」の構築に向けて、官民合わせ国全体で取り組む必要があることが謳われて いる。 ユーザー中心の Identity Ecosystem では、 「プライバシー保護と参加の自由」と「相 互運用性(Interoperability)」といった2つを実現することにより、ユーザーはサー ビスの内容に応じたセキュリティに見合う適切なクレデンシャル(パスワード、電子証 明書、指紋など自分であることを証明する手段)を選択して利用できるようになるため、 リスクを最小限に抑えることができる。また、どの ID 情報を連携させるかを自分自身 でコントロールできるようになる。さらに、サービス提供者による個人情報やクレデン シャルの不適切な名寄せを禁止することができるようになる。 ユーザー中心主義のIdentity Ecosystem プライバシー保護と参加の自由 相互運用性(Interoperability) トランザクションに必要な最低限の情報のみを 連携させ、その他の情報は漏らさない。 強力で相互運用性のある技術とプロセスにより、 ステークホルダー(利害関係者)間の「適切な信 頼レベル」を実現する。 厳密なアクセスコントロールにより、情報の不 正利用リスクを減らす。 1つのアイデンティティをさまざまなWebサイトで 利用できるようにする。また、サービス提供者が さまざまなクレデンシャルや認証メディアを受け 入れられるようにする。 Identity Ecosystemを利用するかどうかは、個 人・組織ともに自由選択とする。 さまざま官・民のアイデンティティから自分の好 きなものを利用できるようにする。 ユーザー中心主義のIdentity Ecosystemにより、ユーザーは・・・ サービスの性質に応じて適切な(かつ相互運用可能な)クレデンシャルを選択して利用できる。 ユーザーは必要な情報以外を連携しないようコントロールできる。 サービス提供者による個人情報やクレデンシャルの名寄せを禁止することができる。 (出所)野村総合研究所 Identity Ecosystem は、Identity Ecosystem に必要とされるルールを作成する「統 制レイヤー」、Identity Ecosystem の参加者に対し、ルールを適用・施行する「管理 98 レイヤー」、Identity Ecosystem のルールに従い、オンライントランザクションを実 施する「実行レイヤー」の3つのレイヤーから構成される。 統制レイヤーでは、提携していない個人・組織が互いのデジタルアイデンティティ を信頼できるようにするため、IdP(Identity Provider:ユーザーの ID 情報を提供す る事業者)、RP(Relying Party:IdP が提供する ID 情報を利用してサービスを提供 する事業者)、AP(Attribute Provider:ユーザーの属性情報を保管・提供する事業者) の三者のサービスを信頼付与機関が監査し、各事業者に監査レベルに応じたトラストマ ーク(信頼マーク)を付与する。統制機関はトラストマーク(信頼マーク)を付与する ためのルールを決め、信頼付与機関の認定を行う。このような仕組みは信頼フレームワ ークと呼ばれる。 (出所)野村総合研究所 管理レイヤーでは、オンライントランザクションに先立ち、ユーザーがインターネ ット上のサービスの利用者登録を行う際に、ユーザーの身元確認を行い、ID やクレデ ンシャルを発行する。 99 (出所)野村総合研究所 実行レイヤーでは、ユーザーがサービスを利用する際に、各サービスの間での情報 連携の可否や、やり取りされる情報の内容をユーザーが決定する。連携できるのは、サ ービスの利用に必要な最低限の情報のみである。 (出所)野村総合研究所 Identity Ecosystem は、上記3つのレイヤーから構成されることで、個人・組織が 安心して簡単にオンラインサービスを利用できるようになるとともに、各サービス提供 者にとっても、信頼フレームワークによって信頼レベルが認定されているので、他の事 業者との連携可否を機械的に判断することができ、オンラインサービスの利便性を高め られる。 Open Identity Trust Framework と呼ばれる米国の信頼フレームワークは、IdP (Identity Provider:ユーザーの ID 情報を提供する事業者)と RP(Relying Party: IdP が提供する ID 情報を利用してサービスを提供する事業者)との間の信頼関係を確 100 立し、相互に契約を締結するためのコストを、信頼付与機関(TFP:Trust Framework Provider)が仲介することにより低減し、さらに、信頼付与機関が認定する監査人が IdP、 RP それぞれの組織の信頼性や、業務・システム・実装技術の信頼性を監査する枠組み となっている。信頼付与機関は、ID 情報の連携に関するポリシー決定者(Policy Maker) により認定される。 OITF ポリシー決定者 (Policy Maker) Open Identity Trust Framework 認定 信頼付与機関 (Trust Framework Provider) 認定 契約 監査 認定監査人 契約 監査 IdP (Relying Party) サービス提供 サービス提供 サービス 利用申請 RP データ連携 (Identity Service Provider) 利用者 サービス 利用申請 (出所)野村総合研究所 米国の信頼フレームワークの場合、ID 情報の連携に関するポリシー立案者は、米 国連邦政府の一般調達局の ICAM(Identity, Credential, &Access Management)、信 頼付与機関は、OIX(Open Identity Exchange)、Kantara Initiative 等が担っている。 また、Google や Paypal、Equifax 等といった IdP の ID が、国立衛生研究所(NIH) や国立医学図書館(NLM)、米国議会図書館(LOC)等といった RP のサイトのログ イン認証において利用可能となっている。 信頼付与機関では、IAF(Identity Assurance Framework)と呼ばれる認定監査人 が監査に用いる監査フレームワークの作成を行っている。Kantara Initiative が作成し た IAF は、「組織に対する監査」、「ID 発行プロセスに対する監査」、「クレデンシ ャル管理プロセスに対する監査」の3つから構成されている。保証レベル2を対象とし た、それぞれの監査の項目を以下に示す。 101 大項目 中項目 小項目 企業に対す る評価 サービスに 対する評価 企業・サー コンプライア ビスの成熟 ンス 性 財務規定 データ保護 終了規定 特記事項お よびユーザ 情報/契約 サービス定 義 サービス定 義 通知 企業に対 しての監 査項目 ユーザの受 け入れ ユーザ受け 入れの記録 加入者情報 の変更 文書化され たポリシーと 手続き ポリシー管 理と責任 リスクマネジ メント 業務計画の 継続 概要 法的に認められた企業であること。 申告通りのサービスを行える運営体制にあること。 サービス提供の可能性がある全ての地域に関して、操作や配信に関連した法的要件に 準拠していること。 サービスを継続的に提供できるための財源の記録と、負債責任を問われた際に適切に 責任を負う手順を示していること。 個人情報保護法に準拠していること。 サービス加入者の秘密鍵と個人情報の保護の実施要項を定義していること。また、サー ビスの利用にあたって、法的に必要な形式で、セキュリティが保持されていること。 サービスを利用する全てのユーザコミュニティに対して、①適用条件、②契約条件、③手 数料、④仕様方法の制限条項を含むサービスの定義を行っていること。特定の意図や解 釈を有する任意の用語は定義していること。 利用可能なサービスとして、以下の項目がユーザコミュニティに対して明確に定義されて いること。 ①サービス内容の特定 ②サービスを運営する国および地域 ③②の国以外に対してサービスが提供される場合、その国および地域 ④サービスが準拠して適用される法律 ⑤クレデンシャル・サービス・プロバイダーに課せられる義務 ⑥サービス加入者に課せられる義務 ⑦リライング・パーティのための通知と指導 ⑧保証文 ⑨クレデンシャル・サービス・プロバイダーとリライング・パーティの貸借対照表(債務責 任) ⑩契約条件変更を通知するための手順 ⑪クレデンシャル・サービス・プロバイダーがサービスを終了させる際に必要な手順 ⑫申告したサービスの可用性とヘルプデスクの用意 サービスの定義や適用条件、利用料金、プライバシーポリシーなどが変更された際に、タ イムリーかつ信頼性の高い方法で、サービス加入者に通知することを保証していること。 また、サービス加入者がその変更を受け入れるかどうか選択できる手段を明確に提供し ていること。 ユーザに対して下記を要求していること。 ①ユーザがサービスを利用する前に、契約条項を読んだことへの合意。 ②定期的な間隔(IDの発行・再発行・更新等、重要なサービス提供時およびそれがない 場合は最低でも5年に1度)での、サービスに対しての理解と遵守の再確認。 ③サービス提供者の情報の要求に対しての、正確な情報提供。 サービス加入者が契約条件を合意した記録を紙もしくは電子データで残していること。 (契約変更時およびそれがない場合は最低でも5年に1度) サービス加入者の情報変更があった場合に、正確な変更記録をタイムリーに要求して、 サービス加入者に提供させていること。また、その手順を示していること。 全てのセキュリティ関連の管理、技術的な方針及び手順が文書化されているか。また、 それを遵守していること。 事業のセキュリティポリシーのレビューや承認、関連する手順の交付等に関して、明確な 責任所在を持つ管理者をおいていること。 サービスと利用するユーザコミュニティに関連するリスクを識別し、軽減するためのリスク 管理の方法論を実証していること。 災害復旧やサービス復旧において、業務継続計画を最新状態に保っていること。 尐なくとも以下の項目を含む構成管理システムがあることを実証していること。 ソフトウェア ①ソフトウェアのバージョン管理 の構成管理 ②バージョンアップにおける、バッチ処理の最新情報管理 情報セキュ 品質管理 サービスに適した品質管理システムがあることを実証すしていること。 リティ管理 システムイン システム開発、調達、インストール操作、セキュリティ保護、及びシステム環境、ハード ストール及 ウェア、ソフトウェア、通信の整合性を管理していること。 び操作管理 サービスの効果的な提供の為に、独立した内部監査機能を保有し、尐なくとも12カ月ごと 内部サービ に監査を受けていること。または、12か月ごとに受けなくてもいい明確な理由を示してい ス監査 ること。 セキュリティ関係の業務が法律とSACに遵守していること、尐なくとも24カ月以内に外部 独立監査 の独立監査人の監査を受けていること。 内部及び独立の監査による記録を保持しているか、監査を延期している場合は36カ月以 監査記録 内の記録を保持していること。 サービス加入者の秘密鍵と個人情報の保護の実施要項を定義していること。また、サー 終了規定 ビスの利用にあたって、法的に必要な形式でセキュリティが保持されていること。 102 大項目 中項目 小項目 セキュリティ イベントの記 録 技術的セ キュリティ 定義済のセ キュリティの 役割 セキュリティ 人員補充 関連のイベ ント(監査) 人材スキル 記録 人材のリ ソース 概要 サービス運営が危機にさらされた時の正確な記録と対応記録を取り、維持していること。 政府や専門組織によって認証されたリスクアセスメントおよびISMSの規定を守る技術的 なセキュリティ管理を保持していることを実証できること。 ジョブ記述書によってそれぞれのサービスのセキュリティに関連しているタスクに対する 役割と責任を定義していること。 サービスに関わる人員の雇用手順を定義していること。 サービスを提供する上で十分な資格、経験、訓練を従業員が受けているか確認できるこ と。 ポリシーと手続きに基づき、サービスが動作するための十分な人材のリソースを保有して いること。 物理的なアクセス制御のメカニズムを適用していること。 物理的なア ①機密性の高いエリアへのアクセスは、許可された者に制限されている。 クセス制御 ②全ての機密情報を含む紙文書や持ち運び可能な情報は、セキュリティで保護された形 で格納されている。 論理的なア 論理的なアクセス制限機能を定義していること。 クセス制御 特定のパッケージ化されたコンポーネントの操作等に関して外部業者を利用する場合、 契約の方針 方針、手順を規定する適切な契約上の取り決めを介し、下請け業者の履行を確認してい 外部サービ と手続き ること。 スとコンポー 企業に対 特定のパッケージ化されたコンポーネントの操作等に関して外部業者を利用する場合、 ネント 契約当事者 しての監 契約ポリシーと手順はIAFサービスの評価基準を満たしているか監査し、その後必要に の可視性 査項目 応じて監視していること。 セキュアなリ 特定のサービスコンポーネントがリモート通信されている場合、通信はセッショントークン モート通信 を含む暗号化された認証方法であること。 検証/認証 緩く規定されたクレデンシャルが有効であるか、もしくは厳密に規定されたクレデンシャル の確認メッ が取り消されていないかということに関して、任意の検証/認証メッセージを確認している セージ こと。 失効したクレデンシャルの通知を受け、検証/認証リクエストを行っていること。 失効クレデ ①確認メッセージにタイムスタンプをしなければならない。 ンシャルの ②セッションキーが失効リストに適用されなくなる有効期限を定めなければならない。 検証 ③タイムスタンプ付きのメッセージ、バインディング、クレデンシャルは全てのサービスが 署名付きでなければならない セキュアな ①共有秘密鍵へのアクセスは、要求するロール/アプリケーションで任意のコントロール 通信 に従わなければならない。 共有秘密鍵 ②十分な物理的または論理的な保護を指定されない限り、保存される共有秘密は平文 への限られ 形式で保持されていない。 たアクセス ③いくらかの長い期間の共有秘密は加入者、またはクレデンシャル・サービス・プロバイ ダーのダイレクトエージェントに明示されなければならない。 共有秘密鍵において、以下のどれかの論理的保護を実施していること。 ①秘密鍵が盗まれて解析された場合でも、他のパスワードが解析されないように違う秘 共有秘密鍵 密鍵を利用している。 の論理的保 ②承認されたアルゴリズムとモードを使用した暗号化と認証のために必要な唯一の共有 護 秘密鍵復号化を実施している。 ③セキュリティ管理レばルは、レベル3またはレベル4で共有秘密を保護する。 一意的な 特定のサービスの発行するクレデンシャルが、同じ事業者の運用サービスを含めた、そ サービスの の他サービスの発行するクレデンシャルと識別できるものとなるよう、一意識別が特定の アイデンティ サービスの属性となるようにすること。 ティ 一意的な主 各申請者のアイデンティティが、主体の属するサービス・コミュニティ内で一意的なもので 体のアイデ あり、かつ、当該のアイデンティティに向けて発行されたトークンおよび/またはクレデン ID発行 ポリシー ンティティ シャルと一意的に関連付けられたものとなるようにすること。 提供する各サービスに対して、アイデンティティ証明ポリシーを公開すること。このポリ 証明ポリ シー に基づいて、宣言されたユーザー・コミュニティがアクセスできるフォーム、言語、メ シーの公開 ディアを介して、申請者のアイデンティティが確認される。 証明ポリ 公開するアイデンティティ証明ポリシーに従って、アイデンティティ証明を厳密に実行する シーの順守 こと。 103 大項目 中項目 小項目 概要 ①サービス定義として、アイデンティティ証明サービスに関する以下のクラスを、尐なくと も1つは含めること。 ②選択するアイデンティティ証明サービスに関する追加クラスであれば、関与するCSP (クレデンシャル・サービス・プロバイダー)の特性と権利に従って、いかなるクラスを提供 アイデン アイデンティ してもかまわない。 ティティの ティ証明クラ ③アイデンティティ証明サービスの選択に応じて、適用される評価基準を達成すること。 確認 ス つまりは、以下に定義された基準セットの中から、尐なくとも1つを順守すること。 i) § 3.6.2.2.1 対面公的検証 ii) § 3.6.2.2.2 遠隔公的検証 iii) § 3.6.2.2.3 現状関係の検証 iv) § 3.6.2.2.4, 所属の検証 ID発行 必要とされる 申請者は、政府の発行する主要な写真入りID文書であって、所持者の写真画像が掲載 証拠 された文書を所持していること。 提出された文書が以下のとおりであることを確認するプロセスを確立し、かつ、それを適 対面公的検 用すること。 証 エビデンス・ ①主張される発行機関によって発行され、かつ、申請の時期に有効である、真正の文書 チェック に間違いなく見えること。 ②申請者の写真画像と一致する所持者の画像が掲載されていること。 ③アイデンティティが存在し、かつ、申請者を一意的に確認できること。 申請者が政府の発行する主要な写真入りID文書、および以下のいずれかを現在所持し ていることを証明する資料を提出すること。 ①第二の政府ID ②従業員、または学生ID番号 ③金融口座番号(当座預金口座、普通預金口座、ローンカード、クレジットカード等) 必要とされる ④住所が主要文書の住所と一致していることが確認できる、ユーティリティ・サービスの 証拠 使用番号(電気、ガス、水道等) 申請者が、尐なくとも以下を含む、確認可能な追加の個人情報を提供することとする。 ①参照されている写真入りIDと一致する氏名 ②誕生日 ③現住所、または個人電話番号 以下に関し、特定の発行機関もしくは組織、または同様のデータベースを通じて、提出さ れたアイデンティティ資料に対して、記録の検証と分析を行うこと。 ①氏名と参照番号の一致する、当該の記録が存在すること。 遠隔公的検 ②記録に記載の誕生日、現住所、および一意識別を保証するのに十分な、その他の個 証 人情報が裏付けられること。 尐なくとも以下のいずれかの手段により、記録に記載の住所を確認すること。 ①RA(登録機関)が記録チェックで確認された記録の住所宛に通知を送付し、申請者か ら電子メール、または電話による返答を受ける。 エビデンス・ ②申請者が提出した記録の住所を確認する形で、RAがクレデンシャルを発行する。たと チェック えば、申請者に送付した通知の中から、一部の情報をオンライン入力するよう申請者に 求めるなど。 ③記録中の申請者に関する電話番号への通話、または電子メールアドレス宛てのメー ルに申請者が応答できるどうかを確認する形で、RAがクレデンシャルを発行する。保護さ れていない経路を介して送付されたいかなる機密も、最初の使用時にリセットすること。 主張されるアイデンティティの一意性を確認する目的で、追加のチェックを実行すること。 事業者が尐なくとも同程度の確実性を得られることが明らかである場合は、代替のチェッ クを実行することもできる。 必要とされる これまでに申請者との間で、AL2(またはそれ以上)のエントロピー要件 に合致する共有 証拠 機密(暗証番号、またはパスワード等)のやり取りがあったことを確認すること。 以下を確認すること。 現状関係の ①対面公的検証、または遠隔公的検証に関するAL2(またはそれ以上)の要件に従って 検証 エビデンス・ 必要とされるのと同等の厳密度により、必ず当初に申請者のアイデンティティを確認して チェック から、共有機密の発行を行っていること。 ②申請者の継続的な共有機密の個人的な保持に関して、事業者の満足に値する継続 的な取引関係があること。 104 大項目 中項目 所属の検証 二次検証 小項目 概要 申請者が以下を所有していることを確認すること。 必要とされる ①所属が主張されている組織の身分証明書 証拠 ②申請者に対して、所属の存在を示すクレデンシャルを発行してもよいとする組織の同 意書 提出された各文書が以下のとおりであることを確認するプロセスを確立し、かつ、それを 適用すること。 ①各文書が主張される発行機関によって発行され、かつ、申請の時期に有効である、真 エビデンス・ 正の文書に間違いなく見えること。 チェック ②連絡先を有する既存の組織に言及していること。 ③申請者が当該の組織に、何らかの目に見える形で所属していることが明らかであるこ と。 ④組織への所属を示すクレデンシャルを得る資格が、申請者にあると思われること。 十分に予測はできるが、異例の状況(記録の住所の確認がまだ終了していない時点で の、最近における住所の合法的な変更等)に対処する目的で、追加策を設けること(追 二次チェック 加の文書的証拠を求める、想定外のチェックを実施するにあたって、完了を延期する 等)。 すべての適用される法令と方針義務を考慮し、検証プロセスに関する参照資料、ならび に検証の日付と時間を含め、検証プロセスの事実に関する記録を残すこと。 【指針】 検証プロセスの事実とは、申請者のアイデンティティの確認にあたって使用された特定の 個人申請者 記録情報(情報源、特定の参照資料、数値データもしくはコンテンツ)を含むものであり、 の検証記録 かつ、使用する具体的なプロセス、およびCSPが受領する文書に応じて異なるものであ る。CSPは、かかる記録を安全に保持し、必要に応じてかかる記録にアクセスできる第三 者サービスを利用するのであれば、かかる記録そのものを保持する必要はなく、このよう な場合には、検証サービスを実施する第三者サービスのアイデンティティ、または(組織 内で)検証が実施された場所に関する記録を保持する必要がある。 ID発行 検証記録 上記に加えて、すべての適用される法令と方針義務を考慮し、実施すべき検証プロセス の追加事実に関する記録をすること。尐なくとも、アイデンティティ情報に関する記録に は、以下を含めること。 関連申請者 ①加入者のフルネーム に関する検 ②記録に記載された加入者の現住所 証記録 ③記録に記載された加入者の現在の電話番号、または電子メールアドレス ④主体へのクレデンシャル発行に関する加入者の承認 ⑤アイデンティティ証明プロセスにおいてチェックを行った全ての文書の種類、発行機関、 および参照番号 加入者のアカウント期間中、およびその後7.5年間は検証プロセスに関する記録を安全 記録の保持 に保持するか、あるいは、必要な期間、またはそれ以上の期間にわたる記録の保持を引 き受けた、クライアントCSPにかかる記録を提出すること。 クレデン シャルの 管理 サービス定義として、クレデンシャルを発行するポリシー、および、クレデンシャルの管理 に適用されるそれに対応した実践に関する記述を含めること。尐なくとも、クレデンシャ ル・ポリシーおよび実践に関する声明では、以下を規定すること。 ①該当する場合は、実践およびポリシーに関する声明にかかわるOID(オブジェクトID)に ついて。 クレデンシャ ②ユーザーのサービスへの加入方法、クレデンシャルの申請方法、およびユーザーへの ル・ポリシー クレデンシャルの提供方法について。 および実践 クレデンシャ ③加入者のトークン、およびクレデンシャルの受領に関する通知方法、および通知にあ に関する声 ル・ポリシー たって、加入者が引き受ける義務(クレデンシャル・ステータス・ディレクトリへの詳細の 明 および実践 公開に同意するかどうか等)について。 ④依頼者の認証方法、またはそのアイデンティティの再証明方法をはじめとする、クレデ ンシャルの更新、修正、無効化、および停止方法について。 ⑤加入を終了するにあたって、加入者が取るべき行動について。 ⑥記録の保持、および保管方法について。 管理機関 クレデンシャル・ポリシーおよび実践に関する声明の承認、およびその実施に関する権限 と責任を有した、所定の管理機関を設けること。 105 大項目 中項目 小項目 概要 プロトコル脅 威に関する リスク評価お よび管理 リスク評価において、尐なくとも、以下のプロトコル脅威に関して考慮し、かつ、それを許 容できるリスク水準まで低減するような管理を行うこと。 a) パスワード推測、選ばれたユーザー、もしくはパスワードに対するオンライン推測攻撃 に対して、尐なくとも、2の14乗(16,384)回に1回の耐性を備えること。 b) メッセージ再送、実行不可能であることを証明すること。 c) 盗聴、実行不可能であることを証明すること。 以下の認証プロトコルのみを許可すること。 認証プロトコ ①トンネル・パスワード ルの許可 ②零知識ベースのパスワード ③SAMLアサーション 以下のワンタイム・パスワードのみを使用すること。 ①承認されたブロック暗号、またはハッシュ機能を用いて生成されるもので、デバイスに ワンタイム・ 保存された対称鍵とノンス(nonce)を組み合わせるもの。 パスワード ②日付と時刻、または、デバイス上に生成されたカウンターに基づいたノンスに由来する もの。 ③分刻みで、有効期間の限られたもの。 クレデン シャルの 管理 機密管理 リスク評価において、以下のシステム脅威に関して考慮し、かつ、それを許容できるリス ク水準まで低減するような管理[省略]を行うこと。 システム脅 ①悪質なコードの導入 威に関する ②内部の行動から生じる認証の危殆化 リスク評価お ③ユーザーとシステム運用者による想定外の攻撃(ショルダーハッキングの横行等) よび管理 ④システム要素、またはアプリケーションに対するスプーフィング(なりすまし) ⑤加入者および主体の側の不正行為 ⑥情報窃盗に至る侵入 特定サービスのアサーション、およびその他公開情報の保護に使用する固有の暗号化 鍵を生成し、保管し、かつ、破棄するための手順、およびプロセスを規定し、かつ、それを 監視すること。尐なくとも、以下に対処すること。 ①環境の物理的安全 ②アクセスを最小限の関係者に制限する、アクセス制御手順。 特定サービ ③公開鍵の公開メカニズム スの鍵管理 ④サービスのリスク評価の結果として、必要と考えられる管理アプリケーション ⑤期限切れ、もしくは危殆化した私有鍵の、検索できない形による破棄、または再利用 できない形による保管 ⑥該当する暗号モジュール・セキュリティ要件、例えば、FIPS 140-2、または公認された 国の技術機関により確立された同等のもの オランダ:Identity Scheme オランダ政府の経済省において、銀行のトークンや e-ID カード、デジタル証明書の ような既存の認証手段を再利用することを目的とした、「e-ID scheme」が考案されて いる。 このスキームは、ユーザーがネットワーク内に存在するあらゆるオンラインサービ ス事業者のサイトにアクセスする際に既存の認証手段を利用可能にするとともに、オン ラインサービス事業者においても、ユーザーの身元確認のために、ネットワーク内で発 行されたあらゆる認証手段の受入れを可能にする。 このスキームは、ネットワークアプローチという新しい形式を採用しており、「ユ ーザーオンラインサービス事業者」、「オンラインサービス事業者-ルーティングサー ビス」、「ルーティングサービス-認証事業者」、「認証事業者-ユーザー」の当事者 106 間を接続する4つのネットワークにより構成されているのが特徴となっている。それぞ れのネットワークは、以下のような機能を担っている。 ユーザー ユーザ認証 オンラインサービス事業者 認証手段の利用 E-ID Scheme ネットワークインフラ へのアクセス 認証事業者 リアルタイムでの メッセージ・データ交換 ルーティングサービス (End User) (Authentication Provider) (E-service Provider) (Routing Service) 認証に関わる トランザクションの受入 認証手段に関わる プロビジョニング (出所)Network Approach to E-identification 「ユーザーオンラインサービス事業者」間のネットワークでは、ユーザー認証が行 われる。ユーザーは自らの認証を要求するオンラインサービス事業者に同意するととも に、その認証はセキュアなログインやデジタル署名といった様々な目的・用途に利用さ れる。 「オンラインサービス事業者-ルーティングサービス」間のネットワークでは、オ ンラインサービス事業者がユーザー認証結果を取得できるようにするために、ルーティ ングサービスがネットワークへの接続を提供する。 「ルーティングサービス-認証事業者」間のネットワークでは、ルーティングサー ビスと認証事業者が、認証プロセスにおいて、リアルタイムでメッセージとデータを交 換する。ネットワーク内に存在するあらゆるルーティングサービスとあらゆる認証事業 者が接続される。 「認証事業者-ユーザー」間のネットワークでは、ユーザーによる認証事業者のア カウント取得が行われる。ユーザーは自分が使う認証事業者を選択できるようになる。 認証事業者は認証プロセスを処理し、その結果をルーティングサービスに対して送信す る。 このようなスキームの管理や統制は、ルールや規則の一般的な管理や、ルーティン グサービスや認証事業者の認証・認可等に対して責任を負う e-ID scheme 管理組織が 担うこととなっている。 107 フィンランド フィンランドでは、電子政府の認証手段として、TUPAS と呼ばれる銀行が発行す るワンタイムパスワードトークンや、Telcos と呼ばれる民間のモバイル証明書発行サー ビスを利用できる。 その他、フィンランドの電子政府では、既に「国民向けの手続き(C2G)」、「企 業向けの手続き(B2G)」、「公務員向けの手続き(Civil servants)」、「教育関係 の手続き(Education)」の各分野において、民間のアイデンティティサービスが利用 可能である。 国民向けの手続きにおいては、Tunnistus.fi と呼ばれるウェブシングルサインオン (WebSSO)と、Vetuma と呼ばれる認証・決済ゲートウェイが利用されている。 Tunnistus.fi と Vetuma は共に、SAML2.0 のプロトコル、プロプライエタリをベー スとした方式を採用している。 企業向けの手続きにおいては、KATSO と呼ばれる認証・認可サービスが利用可能 である。認証手段としては、ワンタイムパスワード、パスワード(ユーザー名とパスワ ード)の2方式を有する。ワンタイムパスワードの場合の利用者登録は、銀行の保証(前 述した TUPAS 利用者の場合)または対面をベースとしている。KATSO は、リバティ アライアンスの ID-WSF2.0 をベースとした方式を採用している。 公務員向けの手続きにおいては、VIRTU と呼ばれる CSC(株式会社科学 IT センタ ー)が提供する認証サービスが利用可能である。 教育関係の手続きにおいては、HAKA と呼ばれる CSC (株式会社科学 IT センター) が提供する、SAML2.0 のプロトコルをベースとした ID 連携サービスが利用可能であ る。 フィンランド電子政府で利用可能なアイデンティティサービス 国民向けの手続き (C2G) Tunnistus.fi (ウェブシングル サインオン (WebSSO)) 企業向けの手続き (B2G) 公務員向けの手続き (Civil servants) 教育関係の手続き (Education) KATSO (認証・認可 サービス) VIRTU (認証サービス) HAKA (ID連携 サービス) Vetuma (認証・決済 ゲートウェイ) 108 (出所)C2G and B2G AuthN and AuthZ in Finland (http://kantarainitiative.org/confluence/display/eGov/Special+Meeting+-+Presentation+by+Keith+Uber+-+ C2G+and+B2G+AuthN+and+AuthZ+in+Finland) 韓国:公認認証局 韓国の電子政府においては、行政安全部(MOPAS:Ministry of Public Administration and Security)が認定する以下の5つの官民の認証局が発行する公認 認証書の利用が可能である。ルート認証局は、金融監督院(FSS)と韓国情報保護振興 院(KISA)の2局である。 ○株式会社コスコム(SIGN KOREA) ○金融決済院(yes sign) ○韓国情報認証株式会社(SG:Sign Gate) ○韓国電子認証株式会社(CROSS CERT) ○韓国貿易情報通信(TRADE Sign) 金融監督委員会 (FSC) 相互認証 行政安全部 (MOPAS) 【ルート認証局】 【ルート認証局】 金融監督院 (FSS) 情報保護振興院 (KISA) 認証書交付・管理 認証書交付・管理 認証書交付・管理 認証書交付・管理 認証書交付 ・管理 【認定認証局】 【認定認証局】 株式会社コスコム (SIGN KOREA) 金融決済院 (yes sign) 【認定認証局】 【認定認証局】 韓国情報認証株式会社 韓国電子認証株式会社 (SG:Sign Gate) (CROSS CERT) 【認定認証局】 韓国貿易情報通信 (TRADE Sign) (出所)「電子署名認証管理の紹介」、韓国情報保護振興院内の電子署名認証管理 センター レジストリー エストニア エストニアでは、身分証明書に関する法律(Identity Documents Act)が 2000 年 1月に施行され、2002 年1月には 15 歳以上の国民に対し、身分証明カード(ID カー 109 ド)の保持が義務付けられている。さらに、2000 年に電子署名法(Digital Signatures Act)も制定され、IC チップ内蔵の身分証明カード(ID カード)によって電子署名が 利用可能となっている。 身分証明カード(ID カード)は、電子パスポートの国際標準である ICAO (International Civil Aviation Organization)基準のデータ読み取りフォーマットを 採用しており、券面に顔写真、サイン、カード保有者の氏名、生年月日、性別、国民 ID 番号、市民権、カード番号、カード有効期限といった情報が記載されている。また、 裏面には、カード保有者の出生地、カードの発効日、居住許可等に関する情報が記載さ れている。 住民登録に関する法律(Population Register Act)に基づき、登録されている住民 の属性情報を以下に示す。 ①名前(性) ②名前 ③性別 ④生年月日 ⑤生誕地 ⑥個人識別番号(PIC:Personal Identification Code) ⑦市民権 ⑧長期滞在外国人の在留許可、就労許可、居住権 ⑨居住地 ⑩結婚歴 ⑪両親、後見人 ⑫配偶者 ⑬法的な能力(例えば、運転免許など) ⑭死亡情報 ⑮廃止 ⑯両親、配偶者、子ども、後見人の個人識別番号(PIC:Personal Identification Code) ⑰廃止 ⑱国籍、言語、教育、活動領域 また、住民登録情報に基づいて発行可能な証明書等について、以下に示す。 ①身分証明書カード ②旅券 ③廃止 ④外交旅券 ⑤廃止 110 ⑥船員の業務登録書 ⑦エストニア市民権証明書 ⑧外国人旅券 ⑨難民旅券 ⑩出生証明書 ⑪結婚証明書 ⑫離婚証明書 ⑬廃止 ⑭死亡証明書 ⑮廃止 ⑯運転免許証 ⑰結婚可能証明書 ⑱住民登録からのデータの引き出し ニュージーランド ニュージーランドの電子政府においては、オンラインサービスを利用する際に現在 ユーザー名とパスワードを使ってログインを行っている利用者が、前回ログインを行っ た人物と同一の人物であるかどうかを確認するログオンサービス(GLS:Government Logon Service)や、オンラインサービスを提供する政府側からの要求に応じて、氏名、 性別、生年月日、出生地といった身元確認情報のうち、必要となる情報を提供できる身 元検証サービス(IVS:Identity Verification Service)が提供されている。このような 情報提供は利用者本人の同意のもとで実施される。 身元検証サービスを利用するにあたっては、登録時に利用者は本人確認書類として パスポートあるいは5年以内に取得された市民権証明書(Citizenship Certificate)を 提示することが必要である。 身元検証のために、身元検証サービス(IVS)を利用するシーケンスを以下に示す。 111 ユーザー IVS (User) サービス 提供主体 鍵提供主体 GLS (Key Provider) サービスへのアクセス 認証要求 認証要求 ログオン要求 ログオン(鍵) 認証(鍵) 認証 リターン (IVSとフェデェレートさ れたログオン符号) リターン(鍵識別子) ID記録の発見 (IVSとフェデレートされたログオン符号) 同意要求 リターン(同意) リターン (サービス提供主体とフェデレートされたID符号、ID情報) 記録 (サービス提 供主体とフェ デレートされ たID符号、ID 情報) (出所)Preliminary Security Specification for New Zealand's igovt System (http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.153.4557&rep=rep1&type=pdf) 韓国 韓国では、これまでの戸籍制度に代わって、家族関係登記制度が 2008 年1月に施 行され、住民登録番号を識別子として、個人単位で、本人の登録地、氏名、性別、本籍、 生年月日、出生・婚姻・死亡等の家族関係の発生及び変動に関する事項といった国民の 身分事項に関する情報が登録されている。これまでの戸籍制度では、国民の身分事項に 関する情報は戸籍単位で、本籍地がある各自治体で分散管理されていたが、登録データ ベースは、法院行政処中央管理所において集中管理されている。 また、当該制度に基づいて、①家族関係証明書(父母、養父母、配偶者等を証明)、 ②基本証明書(本人の出生、死亡、国籍取得・喪失・回復等を証明)、③婚姻関係証明 書(婚姻、離婚等を証明)、④入養関係証明書(養子、入養・罷養等を証明)、⑤親養 子入養関係証明書(親生父母、養父母、親養子等を証明)の5種類の証明書が発行され ている。 112 パキスタン パキスタンでは、パキスタン政府の国家データベース登録局(NADR:National Database & Registration Authority)が 18 歳以上の国民に対して身分証明カード (CNIC:Computerized National Identity Card)を発行している。身分証明カードの 発行を受ける際には、申込者は本人確認書類として、出生証明書、古い身分証明カード、 大学の入学許可証、申込者の親族あるいは血縁関係のある者が保有する身分証明カード、 内務省(MOI)により発行された市民権証明書(Citizenship Certificate)のいずれか を提示することが必要である。 また、身分証明カードを発行する際には、電子パスポートの国際標準である ICAO (International Civil Aviation Organization)基準のデータ読み取りフォーマットを 採用して、顔写真のキャプチャーや親指の指紋データのキャプチャーを行っている。 9,600 万人以上の国民が、このような複数のバイオメトリクス情報を持つ身分証明カー ドの登録を行っており、うち 6,800 万枚以上のカードが発行された。 さらに、国家データベース登録局は、2010 年にパキスタンが大規模な洪水被害を被 った際に、 被災者 200 万世帯に対して義援金を給付するため、Visa inc.(Visa) や United Bank Limited(UBL)と提携して、被災地にてデビッドカードを迅速に配布し、電子 決済による義援金の給付等の被災者への支援活動を円滑に展開した。 プライバシー・コミッショナー 個人情報保護法制の運用面において重要な役割を担う第三者機関の設置が、諸外国 で進んでいる。なかでも特に、欧州では、1995 年に EU(欧州連合)により「EU デー タ保護指令」が発出されたことから、各構成国においてデータ保護法の制定と同法の執 行を監督する第三者機関の設置の動きが拡大していった。 英国では、1984 年に「情報コミッショナー(Information Commissioner)」と呼 ばれる、民間部門、公的部門の双方における個人情報保護の運用を監督する第三者機関 が設置された。情報コミッショナーは、中央政府に対して事前通告による立ち入り検査 を行う権限を持つとともに、苦情処理、立法、新規事業への意見表明、普及啓発、教育 等の業務を担う。独立性の担保に関しては、①公募後に政府が候補者を選出して議会に よって承認を受けて任命されること、②予算面で行政機関の査定を受けることがないこ と(自主財源を確保していること)、によって確保している。 フランスでは、1978 年に、個人情報保護の運用を監督する第三者機関として、上院・ 下院の議員、裁判官、有識者など総勢 17 名で構成される「情報処理及び自由に関する 国家委員会(CNIL)」が設置された。CNIL は、民間部門、公的部門の双方を対象と して、立ち入り検査や違反行為に対する制裁を行う権限を持つとともに、苦情処理、違 法行為についての告発、調査及び物件収集、政府及び民間団体への助言等の業務を担う。 113 ドイツでは、「データ保護監察官」と呼ばれる、民間部門、公的部門の双方におけ る個人情報保護の運用を監督する第三者機関が設置された。ドイツは連邦制を採用して いることから、連邦、州の各レベルごとに、「連邦データ保護監察官」、「州データ保 護監察官」が設置されている。連邦データ保護監察官は、内務省のもとに位置付けられ るものの、①議会により選出されること、②連邦データ保護法上で「独立して職権を行 い、この法律にのみ従う」との規定されていること、により独立性の担保を保証してい る。 米国では、一般法としての個人情報保護法は存在しないが、個別法としては、金融 や医療等の分野において個人情報の取扱いが規定されており、各分野の所管官庁が関係 事業者を監督している。個人情報全般を所管する統一的な第三者機関は存在しない。 消費者保護という観点からの個人情報保護に関しては、連邦取引委員会(FTC: Federal Trade Commission)の消費者保護局が、第三者機関の機能を担っている。FTC は、個人情報の不適切取扱事業者に対する是正勧告や、必要に応じて民事制裁金の徴収 を行う権限を有している。 114 ユースケース(国民 ID 制度で実現したいこと) 利用者にとっての便益や目的(自身の情報を出すインセンティブ)を明確にしたユ ースケースを検討する 災害対策 政府の保有する住民情報の質が上がる。消えた年金などの事故がなくなる o 住民票と戸籍の附票との紐付けの機械化 o 自治体内のシステム間連携 政府のサービスの質や使いやすさが上がる。書類を取りに行く必要がなくなる 申請主義からの転換(プッシュ型の行政サービスへ) 遠隔医療の質が格段に上がる(町医者から大都市の大学病院への病症情報の提 供) 税の申告が簡単になる 年齢認証 以上の実現すべきユースケースを総括すると、その本質は、 組織・機関間で相互に、個人に関する情報の利活用や共有がしやすくなること が基本的なゴールであり、そのためには、 利用者の便益が明確で、使い勝手が良く、利活用される内容や目的が透明性を もっていること 情報保有機関(Identity Provider/Attribute Provider)及び情報利用機関 (Relying Party)自体とそれらが取り扱うデータの信頼性を担保すること が求められる。 115 災害復興のための国民 ID 制度 大規模災害に対する被災者支援のフェーズは、大きく救命・救援・生活支援の 3 つ のフェーズに分かれる。それぞれのフェーズで被災者支援として求められる要素は異な っている。 救命(Response)フェーズ 被災者の安否確認や避難誘導を行い、災害そのものからの救命を行うフェーズ。IT を用いた被災者救済としては、災害発生時の安否確認や避難誘導を直接的に行う仕組み に加え、事前に適切な避難計画を立てるための支援を行うシステムが考えられる。 救援(Relief)フェーズ 被災者が一時避難所に移動した後、行政などからの支援物資を受けながら、命をつ なぐフェーズ。IT を用いた被災者救済としては、避難所の運営支援を行うシステム、 どの避難所にどういった救援物資(食料、薬品、ミルクなど)を送る必要があるのかを 導出するシステムや、被災者に対して必要な情報(炊き出し日時・場所)などの案内を 提供するシステムが考えられる。 生活再建(Recovery)フェーズ 被災者が通常の生活に戻るためのフェーズ。IT を用いた被災者救済としては、被災 者向けの緊急融資システム、職業斡旋システムや、被災者向けの社会保障給付・減税を 行うシステムが考えられる。通常、このフェーズのサービスは、被災者認定を受けたも のに対して提供されることが多い。 本報告書では、これら 3 つのフェーズについて、国民 ID 制度の観点から、どうい った被災者支援システムが考えられるのかについて述べていく。救命フェーズではハザ ードマップと要援護者情報をマッピングすることによる避難計画策定支援システムを、 救援フェーズでは被災者レジストリーとこれを利用した救援の方式を、生活再建フェー ズでは前フェーズで作成した被災者レジストリーを様々な関係機関と連携することで 精緻・迅速な生活再建支援を行うための方式について記述する。 116 被災者支援における3つのフェーズ (出所)平成 20 年度 首都直下地震 防災・減災特別プロジェクト 「被災者台帳を用 いた統合的な生活再建支援」を一部改変 要援護者情報とハザードマップの連携 各自治体の防災部局は、災害が起きた場合にどの地域がどの程度の被害をこうむる かについて、過去の実績などを元に起こした地図(ハザードマップ)を、作成・公開し ている。しかしながら、マップ上で被害が想定される地域について、どのような人が住 んでいるのかは連携されていないため、災害避難計画を立てる際はマクロなレベルでし か建てることができない。このハザードマップと施設の情報、または、個々の人々の情 報を重ね合わせることで、より精緻な避難・誘導計画を立てることができ、実際の災害 発生時にも迅速で適切な行動を取れる可能性が高まる。 (出所)野村総合研究所 117 これを実現するためには、防災部局と保健、福祉、医療関係部局の情報共有が必要 だが、システム的にはデータの名寄せが、制度的には個人情報保護条例が大きな壁とな っている。 制度課題 マップ作りの際に個人の情報を利用することになるが、利用用途を郵送し、了 解してもらえた人の情報のみ利用する「手上げ方式」では、要援護者と考えら れる方の2割程度しか情報連携の同意は得られない。「民生委員による訪問・ 同意取得」でも8割程度の同意にとどまる。10割の連携のためには、 職権で の名寄せがひつようとなるが、各自治体とも職権での名寄せ(オプトアウト) 方式は及び腰なのが実情である。このようなケースについては情報連携を行っ ても問題ないということについて、国が一括して法制度を整備するか、法定の 第三者機関が基準作りをする必要があると思われる。 システム課題 住基情報、課税台帳、医療情報を重ね合わせるための「キー」が存在しないた め、重ね合わせに労力がかかる。当制度でも検討している「識別子」を用いた オプトアウト連携を行うことで、マップ作りの労力を大幅に削減できる可能性 がある。そのためには、連携する各情報について「番号」、リンクコードなど の識別子を紐付けておく必要がある。(連携する情報が自治体内部にとどまる のであれば、情報連携基盤は必要ない) 被災者レジストリーによる継続的かつプッシュ型の救援の実現 大規模災害で住居を失った被災者は、一次避難所に避難した後、生活が再建される までさまざまな施設や自治体を渡り歩くことになる。このように被災者が様々な場所に 分散していくと、継続的な援助の提供が困難になっていくことが考えられる。また、被 災者はどこまで行政の支援が受け入れられるのかがわからない人も多く、せっかくの制 度があってもそれを知らないなどの理由で、サービスを受けられない被災者が出てくる 可能性がある。 118 (出所)新潟大学災害復興科学センター 助教 井ノ口宗成氏 平成 20 年度 首都直 下地震 防災・減災特別プロジェクト 「被災者台帳を用いた統合的な生活再建支援」 にコメントを追加 そこで、被災者が日本全国の自治体に分散する前、一次避難所にいる段階で、「被 災者レジストリー」を作成し、このレジストリーをベースとしたプッシュ型サービスを 行うことで、より多くの方の救援ができるようになると考えられる。また、このレジス トリーに顔写真を登録しておけば、身一つで他の自治体に移った際にも、被災者である ことの証明ができることになる。(現段階では 4 情報が一致すればその人として転入を 受け入れている自治体もあるが、安否確認のため行方不明者の 4 情報を張り出している 避難所もあり、悪意があれば成りすましができてしまう現実がある) 119 (出所)野村総合研究所 この被災者レジストリーとしては、前述の「身元確認レジストリー」の項目がほぼ そのまま利用できるが、これに加えて避難先の履歴や、必要な救援につながる内容(妊 婦である、透析が必要、など)の記載があれば、よりスムーズな支援につなげられる可 能性がある。すでに「身元確認レジストリー」が構築され、「番号」や顔写真が登録さ れた後であれば、これらの救援に必要な情報は、医療・介護分野の情報保有機関から取 得することも可能であるため、現地で必要な作業は被災者の認定と、どのように認定し たかを記録しておくだけでよくなる。(例えば完全に身寄りを失い、身分証も所持して いない場合は、まずは本人の申告でレジストリーとのマッピングを行い、ある程度状況 が落ち着いた後で、より精緻な身元確認(遠方の親戚による保証など)を行う事が考え られる) なお、前述の「身元確認レジストリー」を被災者レジストリーとして利用する場合、 「連絡先」「口座番号」「後見人」は非常に重要な項目となる。「連絡先」については、 大災害の場合まず郵便は使えないため、電子メールやソーシャルネットワーク、電話な どが、被災者に最もリーチしやすい連絡手段となる(インフラの耐障害性の強さ・復旧 の速さは、郵便<電話<インターネットである)。被災者レジストリー・身元確認レジ ストリーが実現しないとしても、国民のいのちを守るという意味では、尐なくとも電話 120 番号やメールアドレスを希望者が登録できる仕組みがあったほうが良いのではないか と思われる。 「口座番号」については、支援金、給付金の交付に用いるために必要となる。ただ し、事前に口座を登録できておらず、かつ、口座を証明する書類や身分証をすべてなく した人も存在すると思われるため、銀行に対してそういった方の本人性の担保を提供す る仕組みも必要となると考えられる。 「後見人」としては、上記のように身分証をすべてなくした人について、近所の人 が身分を保証するケースがあるため、非常に重要となる。一次避難所であれば、知り合 いも多いと思われるため、なるべく一次避難所の時点で被災者レジストリーを作成する ことが、被災者の利便性にとっても、行政負担の軽減にとっても重要である。 「後見人」 のもうひとつの役割としては、プッシュ型サービスの通知先の代理人である。携帯もイ ンターネットも利用していない、利用できない人については、郵送通知が期待できない 以上、代理人への連絡が必要になると思われる。 ところで、東北地方太平洋沖地震において、民間事業者が非常に迅速に安否確認な どのサービスを立ち上げた例や、計画停電情報の提供を PDF からデータに変えたとた んに、様々な情報提供支援アプリケーションが生み出された例を私たちは実体験した。 この様な例をかんがみるに、国民 ID 制度の仕組みを使って、この被災者レジストリー を認定された民間機関にも連携許可することができれば、様々な被災者支援サービスを 民間が立ち上げることが予想できる。例えば被災者が生活の拠点を移動するたびに、自 分の居場所を登録しなくても、携帯 GPS 情報から自動的にレジストリーに避難箇所を 連動してくれるサービスなどが考えられる。 被災者救援システムの場合は特に、サービス提供までの速度は非常に重要である。 そのため、連携可能な機関や連携可能な情報は必ずしも法で定義しなければならないと するのではなく、プライバシー・コミッショナーなどの裁定により決定できる仕組みも 必要となるのではないだろうか。 情報連携による精緻・迅速な生活再建支援の実現 生活再建フェーズにおいても、被災者レジストリー(身元確認レジストリー)と国民 ID 制度は威力を発揮する。例えば住宅の「り災証明」の発行の際には課税台帳が必要 となるが、「番号」等の識別子を用いて被災者レジストリー(身元確認レジストリー) と課税台帳を付け合せることができれば、番号がない状態に比べ、スムーズにり災証明 121 を発行できる。また、被災者向けの社会保障・減税などの支援策の提供に際して、「番 号」等の識別子を用いて必要な情報を連携することで、どのような支援が最も効果的な のかを事前に計画できる上、あらかじめ登録した連絡先・口座にプッシュ型の案内送 付・給付を行うことで、支援提供対象者の抜け漏れを防ぎ、支援カバー率を上げること ができる。 (出所)野村総合研究所 Incident Command System(ICS) これまでに述べてきた「被災者支援」とは尐し毛色が異なるが、災害への対応に国 民 ID 制度を用いる事例としては、Incident Command System への適用が考えられる。 Incident Command System とは、事実上世界の標準となっている災害対策の基本 システムである。どのような規模の、どのような原因で発生する危機に対しても、一元 的・包括的に対応することを可能とするような仕組みとなっており、日本の内閣官房危 機管理監設置の際も、この仕組みを参考としている。 この ICS においては、各組織レイヤーの意思決定者が適切な判断を下すために、情 報の収集計画、収集、処理、分析、共有という 5 つのサイクルを通じて、情報を適切に 加工、優先順位付けをし、意思決定者に報告する、という流れが必要となる。そのため、 情報をその信頼度や、情報登録者の資格に応じて分類し、かつ、参照に当たっても、情 報参照者の資格に応じて閲覧できる情報を制限できる必要がある。 122 このような他の機関からの情報の収集については、外部情報保有機関との連携が必 要になる。また、情報の信頼度判定や、参照者の資格判定については、外部の認証機関 との連携が必要となる。こういった連携を可能にするためにも、国民 ID 制度は国際標 準に対応した制度とする必要があると考えられる。 (出所)野村総合研究所 123 用語集 用語 解説 加入者のトークンを取得する試み。または、検証者 攻撃(Attack) をだまし、権限のない個人が認証要求者のトークン を所持していると信じ込ませる試み。 検証者から、その検証者に依拠する当事者に対して 送られる、加入者に関する身元識別情報を収めた表 アサーション 明。アサーションには検証済みの属性が含まれるこ (Assertion) とがある。アサーションは、ディジタル署名された オブジェクトであったり、セキュアなプロトコルを 通じて信頼できる情報源から取得できたりする。 認証(Authentication) 信憑性(Authenticity) ビット(Bit) ユーザの身元識別情報に関する信用を確立するプロ セス。 データがしかるべき発生源から発生したものである ことを示す性質。 2 進数の 1 桁。0 または 1。 個人の識別に使用することができる可能性のある、 バイオメトリクス (Biometric) 生理学的な属性(指紋など)の画像またはテンプレ ート。本文書では、認証トークンのロックの解除お よび登録の否認防止に、生体認証を使用することが ある。 認証局(Certification 公開鍵証明書の発行および失効を行う、信頼のおけ Authority、CA) る機関。 証明書失効リスト 認証局によって作成されディジタル署名されたあと (Certificate で失効した公開鍵証明書のリスト。[RFC 3280]を参 Revocation List、CRL) 照のこと。 クレデンシャル (Credential) クレデンシャルサービ スプロバイダ (Credentials Service Provider、CSP) 身元識別情報(および場合によってはそのほかの属 性)と、特定の人物が所持し管理しているトークン とを公的に結び付けるオブジェクト。 加入者トークンの発行または登録を行い、電子的ク レデンシャルを加入者に発行する、信頼のおける機 関。CSP が、登録機関と、登録機関が運営する検証 者を兼務することがある。CSP は、独立の第三者機 関である場合がある。また、独自に使用するクレデ 124 ンシャルを発行する場合がある。 暗号処理(復号、暗号化、署名の生成、署名の検証 など)の制御に使用される値。本文書で扱う暗号鍵 は、尐なくとも 80 ビットの保護を提供する必要が 暗号鍵(Cryptographic ある。つまり、たとえ情報が認証を通じて盗聴者に key) 漏えいしたとしても、未知の鍵の発見やメッセージ の復号が、80 ビットの乱数を推測する難しさと同等 である必要がある。「非対称鍵(Asymmetric keys)」、 「対称鍵(Symmetric key)」も参照のこと。 暗号トークン (Cryptographic 暗号鍵を秘密情報とするトークン。 token) プライベート鍵を使用して電子文書に電子的に署名 デジタル署名(Digital する非対称鍵の操作。その署名の検証には、公開鍵 Signature) を使用する。デジタル署名により、認証と完全性の 保護が実現する。 任意の長さのビット文字列を固定長のビット文字列 に対応付ける関数。承認されたハッシュ関数は次の ハッシュ関数(Hash function) 性質を満足する。1. (一方向)あらかじめ指定さ れた出力に対応する入力を計算によって求めるのが 不可能であり、かつ、2. (衝突への耐性)同じ出 力に対応する 2 つの異なる入力を計算によって求 めるのが極めて困難である。 中間者攻撃 認証プロトコル実行に対する攻撃で、攻撃者が認証 (Man-in-the-middle 要求者と検証者のあいだに介入し、両者を往来する attack、MitM) データを横取りして改ざんする。 セキュリティプロトコルで使用され、同じ鍵で繰り 返されることが決してない値。たとえば、 ノンス(一時的な使い challenge-response 認証プロトコルで使用される 捨ての値)(Nonce) challenge は通常、認証鍵が変更されるか、リプレ イ攻撃のおそれがある限り、繰り返されてはならな い。ノンスを challenge として使用するという要求 125 事項は、ランダムな challenge を使用することとは 異なる。これは、ノンスは必ずしも予測不可能とは 限らないからである。 パスワード(Password) 公開鍵(Public key) 仮名(Pseudonym) 認証要求者が自身の身元を証明するために記憶し使 用する秘密情報。通常、パスワードは文字列である。 非対称鍵ペアのうちの公開の部分で、通常は署名の 検証やデータの暗号化に使用される。 加入者によって選択され、身元識別情報の検証によ って意味のあるものとして確認されない加入者名。 当事者が CSP の加入者となるために申請を行い、RA 登録(Registration) が CSP に代わってその当事者の身元を確認するま でのプロセス。 暗号化処理のなかで使用される、秘密でない値。通 salt 常、特定の計算結果が攻撃者によって再利用されな いようにするために使う。 SAML (Security XML マークアップ言語を使用してセキュリティアサ Assertion Markup ーションをエンコードするための仕様。 Language、セキュリテ http://www.oasisopen.org/committees/tc_home.ph ィアサーションマーク p?wg_abbrev=security を参照のこと。セキュリティ アップ言語) アサーションマークアップ言語) 共有秘密(Shared 認証の中で使用され、認証要求者と検証者が知って secret) いる秘密情報。 認証要求者が所持し管理しているなんらかの情報 トークン(Token) (通常は鍵またはパスワード)。認証要求者の身元 識別情報の認証に使用される。 保護されたチャネルを通じてパスワードが送信され トンネル通過パスワー ドプロトコル (Tunneled password protocol) るプロトコル。たとえば、TLS プロトコルでは多く の場合、検証者の公開鍵証明書を使用して次のこと を行う。(1)認証要求者に対して検証者を認証する、 (2)検証者と認証要求者とのあいだに暗号化された セッションを確立する、および(3)認証要求者のパス ワードを検証者に送信する。暗号化された TLS セッ 126 ションにより、認証要求者のパスワードが盗聴から 保護される。 社会保障・税の番号制 度 金や医療、介護などの社会保障サービスと納税や減 税などの手続きに利用する番号を国民一人ひとりに 割り当てる 資金洗浄防止(マネーロンダリング防止)やテロ資 本人確認関連法 金対策の為に金融機関に対して、特定取引を行う顧 客の素性を公的な証明書を落ちいて確認し、記録を 作成・保存する義務を負わせる法律 コンピュータネットワークにおいて、プロトコルの ゲートウェイ 異なるネットワークと接続するためのネットワーク ノード。 電子署名とその認証に関する規定を定め、電子署名 電子署名及び認証業務 に関する法律 が手書き署名や押印同様に通用する法的基盤を整備 することで、情報流通の円滑化を図った法律。 2000(平成 12)年 5 月に成立し、翌年 4 月から施行さ れた。 身元識別情報(および場合によってはそのほかの属 クレデンシャル 性)と、特定の人物が所持し管理しているトークン とを公的に結び付けるオブジェクト。 WTO/GP 協定 WTO 加盟国の政府調達品における国際的な公的標準。 住民の居住関係の公証、選挙人名簿の登録その他の 住民に関する事務の処理の基礎となる住民基本台帳 制度の根拠となる法律。住民基本台帳法は 1967 年(昭 住民基本台帳法 和 42 年)に公布、1972 年(昭和 47 年)に施行され、1999 年には、「高度情報化社会などにおける住民サービ スの向上や行政の簡素化効率化などを実現するた め」に改正された。 住民基本台帳ネットワ ーク 各地方自治体が管理する住民基本台帳の4情報(氏 名/住所/性別/生年月日)を電子化し、コンピュ ータネットワークを介して共有するシステム。 127 住民基本台帳ネットワークシステムでの本人確認に 住民基本台帳カード 利用するために、住民票に記載された氏名及び住民 票コード等が記録された IC カード。 金融機関等の本人確認、取引記録保存及び疑わしい 取引の届出等の義務を定める、マネー・ローンダリ 犯罪収益移転防止法 ング対策をする法律。2007 年 4 月 1 日に一部施行さ れ、翌年 3 月 1 日の全面施行により「本人確認法」 と「組織犯罪処罰法」を置き換える形となった。 携帯電話不正利用防止 携帯電話や PHS の不正契約を防止(振り込め詐欺対 法 策)のために 1997 年に施行された法律。 身体的な特徴(指紋、掌紋、声紋、網膜パターン) バイオメトリックス や筆跡やキータイプの際の癖によって、確実に個人 を識別する方法。 オープンガバメント インターネットを活用し、政府を国民に開かれたも のにしていく取り組み。 ネットワークを最大限に活用するコンピュータ利用 クラウドコンピューテ ィング 形態の一つ。インターネット上にグローバルに拡散 したコンピューティングリソースを使って、ユーザ に情報サービスやアプリケーションサービスを提供 する。 企業コード 一般に企業及び事業所を一意に識別するために付与 されるコード番号。 オンラインで行政手続などを行う際に、他人による 公的個人認証サービス 「なりすまし」やデータの改ざんを防ぐために用い られる本人確認の認証手段。 自治体が制定する、個人情報保護に関する条例。多 くの場合、保護の対象としているのは行政が扱う電 個人情報保護条例 子化された住民データで、職員や外注先企業などが 横流しや漏洩を行うことを防止する目的で制定され ている。 主務大臣制 主務官庁の行政事務の遂行について主管権限を持つ 大臣を設ける制度。 128 Web サーバの動作を記録したもの。記録するログは Web サーバによって異なるが、アクセス元の IP アド レス、アクセス元のドメイン名、アクセスされた日 アクセスログ 付と時刻、アクセスされたファイル名、リンク元の ページの URL、訪問者の Web ブラウザ名や OS 名、処 理にかかった時間、受信バイト数、送信バイト数、 サービス状態コードなどがある。 OECD(経済協力開発機構)が 1980(昭和 55)年 9 月 に「プライバシー保護に関する OECD の 8 原則」にま とめたもの。具体的な内容は以下の通り。 ①収集制限の原則 : 個人データの収集は、適法・ 公正な手段により、かつ情報主体に通知または同意 を得て収集されるべきである。 ②データ内容の原則 : 収集するデータは、利用目 的に沿ったもので、かつ、正確・完全・最新である べきである。 ③目的明確化の原則 : 収集目的を明確にし、デー タ利用は収集目的に合致するべきである。 OECD のプライバシー8 原則 ④利用制限の原則 : データ主体の同意がある場合 や法律の規定による場合を除いて、収集したデータ を目的以外に利用してはならない。 ⑤安全保護の原則 : 合理的安全保護措置により、 紛失・破壊・使用・修正・開示等から保護すべきで ある。 ⑥公開の原則 : データ収集の実施方針等を公開し、 データの存在、利用目的、管理者等を明示するべき である。 ⑦個人参加の原則 : データ主体に対して、自己に 関するデータの所在及び内容を確認させ、または異 議申立を保証するべきである。 ⑧責任の原則 : データの管理者は諸原則実施の責 任を有する。 ADR(Alternative Dispute Resolution) 訴訟手続きによらない形で、中立的な第三者が介入 して紛争を解決する方法。裁判所による民事調停や 弁護士会、業界団体による解決策の提案など。 129 プライバシー・インパ クト・アセスメント (Privacy Impact Assessment, PIA) 行政情報システムにおける個人情報の適正な取扱い を確保し、個人のプライバシーを保護するために最 適な方策を講ずるために実施する評価手法のこと。 インターネットの普及に伴い公開鍵暗号方式は必須 X.509 証明書 の技術となってきた。公開鍵暗号方式を利用する際 には、暗号化・署名の検証などを行うために事前に 正しい公開鍵が配布されていることが前提となる。 NIST(National Institute of Standards and Technology) 「(米国)標準技術局」の略で、工業技術の標準化を 支援している連邦政府の機関。1988 年に NBS(National Bureau of Standards)が改組して誕生 した。連邦政府の標準暗号を制定する機関として有 名。 企業が自然災害、大火災、テロ攻撃などの予期せぬ 出来事の発生において、事業資産の損害を最小限に BCP(business とどめつつ、中核となる事業の継続ないしは早期復 continuity plan) 旧を可能とするために、平常時に行うべき活動や緊 急時における事業継続のための方法、手段などを取 り決めておく計画。 VRM(Voltage Regulator コンピュータの部品(おもに CPU)に決められた電圧 Module) の電流を送り込む部品。 NSTIC(ational Strategy for Trusted サイバースペースにおける信頼できるアイデンティ Identities in ティのための国家戦略。 Cyberspace) 国際連合の専門機関の一つ。1944 年に締結された国 ICAO(International 際民間航空条約に基づいて、1947 年に発足。第 2 次 Civil Aviation 世界大戦中に民間航空機産業が成長したことを受 Organization) け、空港施設や航空規則などを定め、民間航空輸送 の安全を確保するため設立された。 企業内のビジネス活動をモデル化及び体系化し、常 ビジネスプロセス管理 機能 に現状を把握して、ビジネス効率の向上を図ること。 2004 年 3 月に、IBM など 8 社がビジネス・プロセス 管理を推進する業界団体「BPM Standards Group」を 設立。 130 ①OpenID、②SAML(security assertion markup Kantara Initiative language)、③Information Card の三つの ID 管理技 術の相互運用を目指す業界団体。2009 年 6 月 17 日に 米国で設置された。 回限りの「使い捨てパスワード」。リモートからコ ワンタイムパスワード ンピュータシステムの内部リソースにアクセスする トークン 際によく用いられており、繰り返し利用できず、「な りすまし」による不正利用が防ぎやすい。 国家行政組織法三条に基づいて設置される行政委員 3 条委員会 会で、公正中立性や専門性が必要な問題を扱うとし て、内閣からある程度独立している。 JIPDEC(Japan Information Processing Development Corporation) 日本情報処理開発協会の略。総務省、経産省所管の 公益法人で、ISMS(情報セキュリティマネジメントシ ステム)適合性評価制度や、P マーク(プライバシーマ ーク)等を担う機関。 企業の情報システムのうち、業務内容と直接に関わ 基幹システム る販売や在庫管理、財務などを扱うもの。あるいは、 単に、業務やサービスの中核となる重要なシステム。 ネットワークからの攻撃や、不正アクセスから組織 ファイアウォール 内のコンピュータネットワークを保護するシステ ム。 Pマーク(プライバシ ーマーク) ISMS(Information Security Management System) 個人情報保護に関して一定の要件を満たした事業者 に対し、財団法人日本情報処理開発協会(JIPDEC)に より認証を付与する制度 組織が情報セキュリティを管理するために、セキュ リティポリシーに基づいたセキュリティレベルの設 定やリスクアセスメントの実施などを継続的に運用 する仕組み 131