マイナンバー制度を「アーキテクト」目線から考える（４）

住所の問題

これまでのところで、コンビニ交付サービスでは、個人情報に対するアクセス許可の面で、少なくともサーバ上の処理プロセスに対しては何のアクセス制限もなく、日本全国のすべての住民の個人情報に対してアクセス許可を与えていた（というよりも、アクセス制御をしていなかった）ことがトラブルの根本原因と疑われることを示しました。その遠因となったのは、住基ネットの利用が厳しく制限されていることで、せっかく付け加えた個人を特定する番号は、住民票の「整理コード」に用途が限定されて、IDとしての役割を削ぎ、住民記録以外の場所ではほぼ使えないようにしてあることと考えられることについても検討しました。なぜそのような強い制約がかけられなければならなかったのでしょうか。これは少し歴史的な経緯を知らないと理解するのが難しいかもしれません。そのために、また回り道をします。急がば回れとはいえ、かなりの回り道に思われるかもしれません。しかし、ここを通過しなとマイナンバーの必要性は導けません。まずは、住所とは何かというところから入っていきます。

行政手続きのなかでは、まず住所があって、その住所に住むのは誰かという順番で住民を把握しています。まさに、「どこのだれなんだよ」です。人は定住するものであるからこそこのようなことも可能になるのですが、改めて考えてみると少し不思議な気もします。ホテル暮らしの人もいるわけですし、住所不定の人も世の中にはたくさんいます。行政システムの中ではそのような人々はいたって不利です。なぜ、人は住居と結びついているのが当然とされなければならないのか。おそらくかつての戸籍はまさにそうした手続きの原本であったはずです。人は、戸のなかにあり、そこに籍を置くものとして、行政手続きの中に登場します。自治体の行政システムの中では、「人」は、住民として表れます。その地に住んでいないものは、行政サービスの対象になりません。もちろん例外はいくらでもあるにせよ。

今では、居住する場所の管理は、住民基本台帳に役割を譲っています。しかし、家族関係などを証拠立てる元本はいまだに戸籍であり、「仮想の」住所（最初に戸籍を作成したときの住所を変更する義務がないため、一般的に住民票住所と異なっても問題ありません）の中に家族の歴史が刻まれていくことになります。したがって、相続においては必ず戸籍のつながり方を確認することになりますが、個人の住所の確認は住民記録でしかできません。そして、法的には、その住所こそ行政機関が連絡をする先であるということになります。メールでもSNSのアカウントでもなく、電話ですらありません。正式な連絡は必ず文書で、住んでいるところに届けられなければなりません。そのように法律は作られてきました。今はマイナンバー制度の下で、マイポータル経由、即ちネットでPCやスマートフォンに通知が出せるようになっていますが、あくまで住民の選択によってです。

行政機関からの通知は、基本的には郵便による送達です。郵便事業の民営化後でも公的な通知を送る正式な手段は郵便のまま変更されていません。クロネコヤマトがメール便を廃止したのは、この郵便事業を規定する郵便法に抵触する可能性があったことが影響していると言われています。郵便事業を民営化しても、郵便事業への民間参入は認めないというのは論理矛盾とも思われますが、明治時代から連綿として続く法制度は様々な公共事業に埋め込まれており変更するのは容易ではありません。法的な制約だけでなく公共サービスとしての責務の問題もあります。日本全国どんな辺鄙な場所でもサービス範囲に含めなければならない点、法的な問題に直接関係する責任態勢や信頼性の確立に関わる問題などを考えると、明治以降の歴史に裏付けられた郵便サービスを解体して民間に開放するためには、ものすごく多様な問題への対応が必要になるだろうということはなんとなく想像ができます。それくらい正しい住所の正しい相手に信書を届ける基盤事業は重要なものであり、単に届けばいいという問題ではなかったと理解するべきでしょう。

このことは、「どこに住んでいる誰なのか」ということが過去の法体系の中では本人を特定する唯一の手段であったことを示唆していると思われます。住民票がもつ意味もここにあります。住民票は、その氏名と住所を提示するものが、正しくその住所に住んでいることを証明するための文書であり、その氏名と住所、生年月日、性別の組み合わせの者が存在していることを役所が証明する文書でもあります。

何を当たり前のことを言っているのかと思われるかもしれません。確かに当たり前のことかもしれません。しかし、目の前にいるその人が、どこの誰なのかを確定するのはそれほど簡単なことではありません。まず、住民票は書類に書かれた四情報を持つ人が実際に存在していることを証明することができるだけで、その書類を持参した人がその当人であることを証明はしません。記載されている住所に郵送された書類を後日持参することで本人と確認するという簡易プロセスも広く普及していると思いますが、その書類はその家に住む人であれば誰でも入手できるものですから、これも本人確認としては不十分です。もちろん家族であっても、本人でないものが信書を開封することは（状況にもよると思いますが）法律違反です。それが「信書」と呼ぶ意味であり、持参方式が有効である根拠でもあるでしょう。しかし、現実の問題としてそれが本人以外の家族であるかどうかを判定する手段は役所の窓口には与えられていないと言ってよいでしょう。従って、どちらの場合も厳密に本人確認をするためには、本人を証明する証明書などが必要になります。

具体的に見てみましょう。マイナンバーカードの交付を例にとります。

（１）役所側から届く交付通知書の持参
（２）本人を証明するものとして公的機関が発行した写真付き証明書
　　　たとえば、住基カード、運転免許証、パスポート、在留カードや特別永住者証明書など
（３）いずれもない場合は保険証と年金手帳や社員証、学生証など、氏名と住所が分かるもの２点

社員証や学生証は民間発行のものが多いわけですが、多くの場合写真貼り付けで住所、氏名の記入があれば（社員証は最近では発行されず、ICチップ付きの入館証だけというケースも企業では増えているかもしれませんが）これに加えて公的機関が発行する年金手帳や保険組合が発行する保険証記載の住所、氏名が同じであることを確認することで、窓口にきた人がその証明書の本人である蓋然性はかなり高いといえます。しかし、写真が無い場合、他人の社員証と保険証をもってこられても見破りようがありません。そうでなくとも、年度途中で転居してこれらの証明書の住所を訂正していなければ齟齬が生じるでしょう。住所で認証するためには、住所が変更された際に確実に訂正されている必要がありますが、そうした運用が法的に義務付けられているわけでなければ、これらの証明書で住所を確認するのはあくまで次善の策と言えそうです。多要素認証になぞらえて考えれば、この複数の証明書を用いる方法は、その本人しか使えないはずの証明書を「持っている」ことと「持っている」ことをもって本人確認しようとしていることになるので多要素認証ではないと考えることもできます。学生証を盗み出せる人が保険証も盗み出せる可能性は決して低くないはずです。役所の側から見れば、それは当人の管理責任であると言って切り捨てることもできるかもしれませんが、それで問題が解決するわけでもありません。つまり、これだけでは成りすましのリスクは残ると考える他ありません。

通知書を予め当人の住所に送付しておいて、届いた通知書を持参してもらうステップを入れることで、少なくともその家に住む人が来ている可能性は高くなります。これも厳密に言えば郵便物を盗まれていたら判別しようがありませんが、通知書を持参できるのはその家の者だけだという前提の元で制度を設計しているということは言えそうです。おそらく、郵便業務の重要性はこうしたところにあります。役所の通知である信書を確実に宛先に届けているという前提がなければ、この方法を本人確認の手順に組み込むことすらできません。正しく受け取るべき人に郵便物を届けることがそれ自体非常に重要な業務であるというのはこうした意味でのことです。

単に二種類の証明書があるよりもだいぶましかもしれませんが、仮に、留守番をしている第三者や遊びに来ていた親戚などが通知書を入手してしまい、本人の留守中に保険証と年金手帳を持ち出して自分の写真で手続きをしてしまったとしたらどうでしようか。本来マイナンバーカードを受け取るべきだった人は、カードとともに、マイナンバーを行使することで得る権利をすべて喪失することにもなりかねません。後日その人が役所にマイナンバーカードの申請に出かけても、本人を証明する手段が奪われているわけなので、それ以外の写真つきの証明書が複数なければなりすまされたことを証明することもできません。

こうしたことが発生するリスクは紙の手続きではゼロにはなりません。これは言い換えると、違法とされていることの予防策まで含めて厳密を期そうとしても限界があるということであり、法律的には郵便の通知が出ていることで必要な手続きがなされたという解釈をせざるをえないということでもあります。もっと言えば、どこにいようとも探し出してしかるべき相手に伝えるべきことを伝える責任が国にあるのか、それとも、住民サービスを受ける以上は国（自治体でも同じです）の通知を受けられるように正しい住所を届けるともに、受け取った通知は正しく本人に手渡す責任が家族にはむあると考えるのかといえば法律的には後者だと考えると言ってよいのです。国が身元を抑えるということの意味は権力論との関係でもう少し掘り下げられそうな気もしますがこのくらいにしておきます。

つまり、国側に際限なく責任が生じてしまいかね無い箇所ではきちんと国民、住民側の責任が接続されており、一方的に公共サービスが提供されるだけでなくその前提として国民、住民は一定の責任を果たすことが当然と考えられていると言ってもいいでしょう。一定の線引きをするために、郵便により宛先に届けたということをもって役所の責任をいったん果たしたことにするという法的な整理がなされているものと解釈すべきでしょう。それが宛先住所に通知を出すということの意味だと考えて差支えないと思います。従って、このマイナンバーカードの交付手順の中では、こうした通知書を持参するステップを設けることで、たとえ公的機関の発行する証明書であっても偽造のリスクが皆無ではないことは一応考慮されているということにはなるでしょうか。

しかし、現実の問題として、公的証明書の偽造の問題は少なからず存在します。世界的にみても、公的給付に対する不正は問題化しており、fraudというキーワードで検索してみると、国によっては詐欺事件の1/4は公的機関に対するものといった統計がみつかると思います。このことは、紙の証明書による本人確認の限界を明瞭に物語っています。つまり、住所、氏名、写真による手作業の本人確認だけでは、一定程度この種の不正は起こりえるし、それを前提とした制度設計が求められるということにもなるわけです。ただの紙に印刷しただけの証明書では偽造対策には限界があるでしょうし、紙による抜けの多い手順をそのままにして各発行機関で偽造対策を高度化していくことは、社会全体で見た本人確認コストをいたずらに押し上げてしまうことでもあります。

蛇足ですが、そもそも、出生届の時点から、本人の住民登録の不正リスクはゼロではないのです。出生の登録は、いわばマイナンバーの初期登録に相当します。この時、当然ですが本人のマイナンバーカードも公的機関の発行する写真付きの証明書も存在しません。住民記録は出生時の届けに基づいて最初のエントリーが作成されるわけですが、この際に本人確認をする方法は現状では存在しません。存在するのは、医師や助産師の出生証書と両親の記入する出生届という書類上の手続きのみです。時々、新生児の取り違えの問題をドラマで見ることがありますが、複数人の証言と届けに基づいて判断する他、届けられた新生児が確かにその新生児であることを役所側で確認する手だてはありません。両親も、出産したわが子と対面してこの子だと教えられて初めてその子を認識するわけで、その過程で取り違えがあっても気づきようがありません。このプロセスは一種の信頼関係によって成り立っており、医師や助産師の職業倫理と両親のわが子に対する確信だけが根拠であると言ってもよいのです。もしも、医師、助産師と両親が嘘か誤りの証言をしてしまったら誤ったエントリーが作成されることは十分にありえます

さて、話を元に戻します。紙だけでは、そもそも本人確認の方法としては不十分です。では、住基カードや運転免許証などの写真貼り付けの証明書はどうでしょうか。まず、こうした紙の証明書の場合、写真が貼り付けられていたとも、社員証や学生証などと同様に常に偽造のリスクが付きまといます。証明書そのものの偽造も摘発された事例が現にありますし、偽の免許証によって他人の住基カードを取得した事件なども報じられています。この場合、偽の証明書に基づいて発行されてしまっていても、住基カードそのものは正規に発行されたものですから「本物」として流通してしまいます。上で説明した例のように他人の権利は侵害しないかもしれませんが、詐欺には違いありません。

これまで、多くの場合、公的な機関の発行する写真付きの証明書として運転免許証が使われてきました。私が学生の頃、もうだいぶ前のことですが、その頃は身分証明書代わりにもなるという理由で免許をとる友人が多くいました。もちろん、パスポートや保険証もそうした確認に用いることができる場合が多いと思いますが、免許証の場合は転居時には変更届けを提出することが義務になっているのに対し、パスポートも保健証も住所は手書きで記入してそのままという場合があり、住所の厳密な確認が必要な場面では問題になります。

また、写真貼り付けのない保険証ではそもそも持参した人が当人かどうかを判断する方法がありません。学生証とか社員証とかであれば、それなりに権威ある証明書として捉えられるかもしれませんが、ただそれも直接的に本人確認をしているわけではなく、その証明の目的からしても、そうした団体等に所属ないし加入しているそのような住所情報を提供している者がいるということが証明されるだけで、その人物がその住所に現に住んでいる証明としてはやはり弱いと言わざるを得ません。定期券を購入するには十分でも、もっと厳格な本人確認、住所の確認が必要な場合はどうでしょうか。発行元もそこまでは保証しかねると言うのではありませんか。つまり、厳密に言えば、運転免許証を持たないものにとっては自己を証明する直接的な手段はこれまで無かったことになります。

ただ、その免許証も、その人物が運転資格を持っていることを示すだけで、当人の存在を直接証明しているわけではありません。これはすべての資格証明書に当てはまります。免許証を本人確認のために使うということは、免許証を発行する団体がその人物が本人であると確認した結果を信用しているわけですので、間接的な証明に過ぎないと言えば言えるのです。本人の証明という意味では、運転免許証は二次情報に過ぎません。まして、自分で住所を書き入れる保険証やパスポートでは本人確認のための証明書としては住所の証明に係る要素を欠いていると言わざるを得ないでしよう。

以前、知り合いに誘われて米軍基地に立ち入る機会があった際、IDカードとして使えたのは住基カードとパスポートだけでした。パスポートの住所は確かに自分で書いているかもしれませんが、そのものが日本国籍であることを確認できれば十分な場合、これ以上確かなものはありません。これらは、国が本人を証明する直接的なエビデンスであることを明白に物語っています。ドライバーズライセンスはそうした用途には本来適さないといってかまわないでしょう。

すなわち、住基カードの導入は、国が個人の証明を直接に行う証明書を公式に導入したという意味を持っていました。住民票が取れるとかいうのは、本来の意味からすれば当然で、それが本質ではなかったはずです。もともと制度的に不備だった点を補正したという評価がなされるべきだったと言ってもよいのです。もちろん、住基ネットの導入によって、届けさえ適切に行われていればこれらの住民を特定する情報が日本全国で大きな負担削減とともに整備され、様々な行政事務においてサービスの対象となる住民を一意に把握できるようになるわけですから役所の手間も減りますが、住民にとってもサービス面で様々なメリットがあったはずです。

住基ネットが無かったころ、あるいは、住基ネットの導入後もその利用を制限されている官庁などでは、独自に住民情報を整備しなければなりません。これは、住民側が住所を届ける機会を不可避的に増加させ、何度も住所を書かされる結果を生むだけで何もいいことはありません。事務効率の点からだけいえば住基ネットと住基カードの導入は、両者にとって利益しかないと言ってよいでしょう。

ところが、住基ネットは、住民のプライバシーへの脅威と受け止められて、世論の大変な抵抗にあいました。私も、当時、テレビで激しい討論を何度か見た記憶があります。国側は、ともかく24時間いつでも、あるいは役所に出頭しなくとも住民票が取得できるサービスが実現すると説明するだけで、言ってみれば、その程度のメリットのためになぜ巨大な予算を使って開発を行わなければならないか、きちんとした説明がなされたという記憶がありません。住基ネットが扱うのは住民票の情報ですので、この論争当時では、だれでも閲覧できていたほどで（平成20年に法改正されて閲覧が制限されています）、それをネットワーク化したからといって何が問題になるのか、プライバシー懸念を声高に叫ぶ側の理屈も当時の私にはよく理解できませんでした。まあ、無知だったんですが。

ごく普通に考えて、住民情報をデータベースで管理するのなら、データベースの仕組み上、住民を一意に表すコードが無いということはありえませんから、どんなシステムでも既にそれまでに個人に対してなんらかのコードを付してシステム処理していたのは確実なわけです。しかし、たとえば、基礎年金番号を返上したいとか、雇用保険番号は危険だとか、税務署の整理番号に反対するといった議論は聞いたことがありません。世論はこれらのより機微な情報を含むシステムの個人情報管理にではなく、四情報と住民票コードを中心とした住基ネットにだけ反発したわけです。それは、なぜなのでしょうか。これはそのIDが「共通」IDであるかどうかということと大きく関係しています。