「eKYC」について
LINEで送られた顔写真で本人確認し、住民票を交付するサービスを提供していたIT企業「Bot Express」(東京・港)がサービスが適法であることの確認を国に求めた訴訟で、東京地裁は、「交付請求の手続きは厳格な本人確認手続きを貫徹すべきだ」として会社側の請求を退ける判決を言い渡したのだという。
「eKYC」と呼ばれるオンライン上での本人確認を巡り、民間技術を行政手続きに使えるように求めた訴訟であったが、裁判所の判断は「ノー」という話である。
「Bot Express」では、スマホで撮影した顔写真と運転免許証等の本人確認書類をAI、自治体職員が照合して本人確認するシステムを開発、それを渋谷区が20年4月から採用していた。ところが、総務省がオンライン申請ではマイナンバーカードでの手続きを求める通知を出して、21年9月に省令を改正した結果、渋谷区はサービスをやめたという。
判決理由では、同社の本人確認について、「偽造された本人確認書類でも通過する可能性がある。(マイナカードに比べ)本人確認の強度が劣っている」という判断を示した。
だが、同社がやっているような「eKYC」の手続き自体は、銀行・証券会社等の金融機関のネットでの口座開設等で普通に使われている。従来は紙の書類を郵送でやり取りしていたものであるが、最近はそういうのは見かけなくなった。つまり、世間では「大丈夫」と認知され、実務的に日常で使われている手続きが否定された(少なくとも行政手続きでは)ということになる。
たしかに、マイナンバーカードによる「eKYC」は「公的個人認証サービス(JPKI)」と呼ばれており、国際基準に照らしても本人確認手続きとしては最高レベルであるという。つまり、お国とすれば、「マイナンバーカードがあるんだから、マイナンバーカードを使えよ」と言いたいのであろう。
であれば、本人確認手続きの「入口」として、民間のさまざまなサービスでも自由に使えるように、「マイナポータル」を開放すれば良いのだろう。そうなれば、「最高レベル」の本人確認手続きがもっと広く活用されるようになるであろうし、民間企業が「より劣った」サービスを提供する必然性もなくなるということになる。
尤も、「eKYC」を苦労して開発して提供していた「Bot Express」のような企業は存在意義を失うことになるが、それはまあ仕方ないとしよう。お国の推奨する標準的な手続きの方が優れていて、それを民間にも開放してくれるのであれば、それと張り合っても無駄である。
つまり、「マイナポータル」が汎用性のあるインフラとして行き渡るのであれば、そこはもう「お任せ」にして、そこから先のサービスの開発に注力すれば良いということになる。
一方で、日経の記事にも書いてあるように、アナログな郵送でのやり取りによる各種書類の申請手続きの方が厳格性に欠けており、デジタルの手続きに比べてハードルを下げ過ぎであるという指摘は正しい。スタンスの整合性を保つのであれば、郵送での申請手続きは全廃して、マイナンバーカードによる手続きに統一するべきだろう。
だが、そうなるとマイナンバーカードを保有していない人たち(約半分くらい)から苦情が殺到して、役所としては袋叩きにあうだろう。でも、それくらい手荒なことをやれば、世の中の老人と赤ん坊以外はマイナンバーカードを取得せざるを得なくなるに違いない。
マイナンバーカードに紐づくデータは、あくまで本人確認手続きに関するものだけである。カード内に記録されている情報は、氏名や住所、生年月日等の本人確認に必要なデータのみであり、それ以外の個人情報についてはカード内のチップに保存されているわけではない。個人情報漏洩に対してナーバスになっている人たちは、その辺のことを十分に理解せず、やみくもに怖がっているような気がする。
論点になるとすれば、マイナンバーカードによる本人確認手続きという「入口」を通過した後の問題、つまりさまざまな個人情報をどこにどうやって保管するか、それら個々に対するアクセス権限を誰がどうやって承認するのかといった問題であろう。
現在の健康保険証が24年の秋にも廃止となり、マイナンバーカードに一体化されるとあるが、個人の医療情報についてのアクセス権限については、それとは切り離して厳格な対応が必要であろう。
ドイツでは、「資格確認」(健康保険証の有効性)と「医療記録」へのアクセスを明確に切り離した制度設計であるという。「資格確認」はカードを窓口で読み取るだけ、一方で「医療記録」にアクセスする際は暗証番号の入力など厳格な認証を求める。さらに患者自身がデータごとに誰にアクセスを許可するか設定できる仕組みであるという。
「医療記録」はプライバシーそのものである。近所のかかりつけの医者に、過去の病歴や処方歴の全部は見られたくないと思っても、その判断を自分自身で行えないとなれば、やはり抵抗があると思う。
あと、他の個人情報についても、そのすべてを国や自治体といった公的機関に委ねても大丈夫なのかというのは議論する価値がある。「WEB3.0」の世界では、情報をどこかに集中するのではなくて分散するべきだという考え方もあるからだ。
繰り返すが、マイナンバーカード、マイナポータルは、あくまで本人確認手続きのインフラであるべきであって、そこの先の個人情報の保管方法であったり、アクセス権限の管理方法については、別途、いろいろな議論が必要であろう。
この記事が気に入ったらサポートをしてみませんか?