マイナンバーを哲学してみた

社会をエンジニア視点で紐解いてみるシリーズ。
今回は、マイナンバーについて。
（マイナンバーのイラストは、↓こちらを利用させてもらいました。
　イラストレーション・アイコン素材｜デジタル庁）

少し前に朝日新聞デジタルで、こんな記事を見つけた。

「マイナの哲学、理解不足」　識者が指摘する「家族口座」問題の根源：朝日新聞デジタル

公金受取口座に本人ではない家族口座が登録されたケースが約13万件確認された問題について、

『個人』に着目したマイナンバーに対して、家族口座が登録できてしまうシステムに設計されているのは、その哲学を理解できておらず、根深い問題だ

朝日新聞デジタル本文より

という識者の指摘。

少し前に、哲学とシステムエンジニアリングがリンクすることに気が付いて、社会システムをエンジニアリングの視点で整理することがmyブームになっている私には、おぉっ！とツボる記事だった。

なるほどね。
クリーンアーキテクチャの中心部分、概念モデル部分の問題ということね。

クリーンアーキテクチャ

→図の見方の詳細は、「哲学×システム設計」で社会を説明してみるを参照

口座とマイナンバーの関係が、１対１であるべきところが、
１対ｎとして設計されてしまっていることが問題で、
きちんと１対１でシステム設計されて作られていれば、
人的ミスは発生することなく、この問題は起こらなかった。
ってことか。

マイナンバーと公金受取口座の概念設計

概念モデル部分を修正すると、システム全体に影響が出るから、
確かに大変な問題だねー。

と思いながら、この記事に対するTwitterのコメントを眺めていると、
「マイナンバーには家族口座を利用した不正なお金のやり取りをチェックしたい目的も含まれていて、敢えて家族口座を登録できるように作っていた可能性もあるのでは？」
というようなコメントを見つけた。

なるほど。
実際にどうかはわからないけれど、その可能性はあるかもね。
ただ、
「やりたいことを実現するために、本来の概念と異なる設計にする」
のはNGで、
「本来の概念に則った上で、やりたいことを実現できるように設計する」
のが正解なので、
じゃあ、そういうことも実現可能にした上で、そもそもどういう設計が適切なのか？
を考えてみよう。
と思い、システム概念設計図を書き始めてみた。

マイナンバーなんて定義はシンプルなんだから、
私にかかれば朝飯前よ。
と思いながら書き進めていった途中で、
……ん？マイナンバーって、いったい何なんだ？？
よくわからなくなり、手が止まった。

「マイナンバーとは何か」

うむ。まさしく、マイナンバーの哲学の問題だ。

一人でマイナンバーについて調べながら紐解いてもいいけれど、
せっかくだし…、と
最近、お金のリファクタリングについて語り合っているメンバーたちと一緒に紐解いてみることにした。

みんなでマイナンバーを哲学してみた

「今日はちょっと寄り道して、マイナンバーについて哲学してみたいんですけど、いいですか？」
とメンバーに確認して、いいよー、と返ってきたので、
じゃあ早速…と、個人とマイナンバーの関係を描く。

一人が言う。
「マイナンバーとマイナンバーカードは、別物だよね」

おぉ。確かに！
というわけで、マイナンバーカードの概念を書き足す。

マイナンバーとマイナンバーカードは別の概念

ここで、私の疑問。
「マイナンバーと個人って１対１の関係？生まれた瞬間に付与されるの？」

国民全員が必ず1つのマイナンバーを持つことが保障されるならば、
１対１の関係ということになるけれど、
例えばもしも、マイナンバーの発行手続きをするまではマイナンバーが発行されない、
というのであれば、１対０..１の関係ということになる。

「出生届のタイミングで付与されるのかどうかはわからないけれど、
　マイナンバーカードを持っていなくても、マイナンバーにあたるものは国民全員が持っているはずだよ。マイナンバー制度が始まった時に、会社員は会社に、マイナンバーか、通知書の番号を届け出たよね」

マイナンバーはそもそも、税金のとりっぱぐれを防ぐ目的で始まったので、
会社はあの時に集めた番号と共に、年末に税務署に社員の給与額を申告してるのだ。
だから、マイナンバーカードを持っていようが持っていなかろうが、
マイナンバーにあたる情報は国民全員が持っているということだ。

マイナンバーは国民全員が持っている

「マイナンバーカードを紛失したら、番号を変えて再発行できるって話を聞いた気がする」
一人が言う。

へーー。
ていうことは、マイナンバーは一意だけど、きっと主キーは別にあるんだろうな。
もしかしたら、連番キーが振られていたりしてね。
決して知ることのない本当のID。なんか、真名みたいだな。

実は別にIDが存在するかもね

さて、じゃあ、家族口座を辿れるように概念を追加していきたいけど、
「そもそも、家族を紐づける概念って何？」

クレジットカードの家族会員というのもあるよね、
あれはカード会社が家族と認めれば家族ってことだね。
なんて話も挙がりつつ、
法的な紐づけで考えるなら、住民票と戸籍じゃない？となる。

住民票は同居人を紐づけて、
戸籍は戸籍に登録された家族を紐づける。

マイナンバーカードで住民票を発行できるわけだから、
マイナンバー制度が出来た時点で、
マイナンバーと戸籍や住民票の紐づけは、既にされているってことだ。

戸籍や住民票は既に紐づいている

※マイナンバーから見て、住民票や戸籍は1つに特定されるけれど、1つの住民票や戸籍に紐づくマイナンバーは家族の人数分だけあるので、１対ｎの関係になる。

そういえば最近、マイナンバーと連携させようっていう話になっている健康保険証も、扶養家族は保険料を支払っている人の保険に紐づいているんだよね？

個人と健康保険は１対ｎの関係

じゃあ、今度は銀行口座の話になるけど、
個人と銀行口座って、１対ｎ（n≧0）の関係だよね？
大体の人は複数の口座を持っていると思うけど、
赤ちゃんとかは口座を持ってないよね？

個人と銀行口座は１対ｎ（n≧0）の関係

じゃあ、問題になっている、個人と１対１で紐づくべき口座って、いったい何の口座ってことになるんだろう？
と、疑問を口にすると、
「要は、年金とかの、政府が個人に対してお金を振り込みたい時に使用する口座ってことじゃない？年金の不正受給とか、子供本人が受け取るべきものを親が受け取ってしまうことを防ぐために、個々人で別の口座を登録させたいってことじゃない？」
という話に。

なるほど。
政府が個人とやり取りする際に使用する振込用口座ってことね。

公金受取口座

そんな風に話をしながら、概念モデル図を書いていき、
最後、俯瞰して眺めながら、
じゃあ、もしもある個人を起点に、その家族の口座に辿りたいとしたら…
と、線を辿ってみて、
ん？ 元々マイナンバーがなくても個人を経由して辿れるよなぁ…？

マイナンバーがなくても辿れる…？

しばらく首を傾げて考えて。
………あぁ、なるほど、そういうことか！

家族口座にしても何にしても、元々、個人を経由すれば辿れる情報だけど、
人を特定するための情報って、結構あいまいで、
よくある苗字、よくある名前の人なんて、
住所や生年月日まで付与してようやく特定できたりするものなので、
従来の個人に紐づく情報は、厳密には辿りづらい線だったんだな。

個人を特定する情報はあいまい

そのアナログであいまいな個人という存在を、
マイナンバーというデジタルデータに１対１で紐づけることで、
個人と個人に紐づく情報を、デジタルで厳密に管理できるようにするためのもの。
デジタル管理上での個人。
それがマイナンバーなんだな。

マイナンバー＝デジタル管理上での個人

セキュリティについて

「マイナンバー制度が始まったばかりの頃は、『マイナンバーは超厳重に管理しましょう』っていう話だったのに、最近は『そんなに危ないものではないので、マイナンバーカードは持ち歩いて活用してください』ってなってるよね」
「たしかに、健康保険証として使えっていう時点で、持ち歩けってことだしね」
と、マイナンバーのセキュリティに関する話も途中で上がった。

「『分散管理しているから、セキュリティとして安全です』って話を以前に聞いたな」
「でも、データとしてはマイナンバーに色々な情報は紐づいているよね？ マイナンバーが悪意のある人に渡ったら、そこに紐づく情報が洩れる可能性は実質的にあるよね？」

どういうことだろうね？？
というわけで、総務省が公開しているマイナンバーのセキュリティに関する資料をみんなで見てみる。

『持ち歩いても大丈夫！マイナンバーカードの安全性』
https://www.mhlw.go.jp/content/10200000/000577627.pdf

「これは、実装レベルの層でセキュリティ対策してます、という話で、やっぱりデータ的には紐づいているってことだよね」

マイナンバーのセキュリティ対策

「担当者の権限で見れる範囲が制限されるってことだけど、全部見れる権限の人もきっといるよね」
「昔に比べて管理方針が緩くなっていることを考えると、秘密保持契約書1枚だけで派遣さんが見ることだってありえそうだよね」
「システムに脆弱性があったら、そこから漏れる可能性もあるよね」
そんな会話をする。

実際にどうかはわからないけれど、「そういう可能性は存在しうる」ということは念頭に置いておくのがいいだろうね。

マイナンバーカード問題についての個人的見解

というわけで、知人たちとあれこれ話しながら整理していくことで、マイナンバーの理解が深まった気がする。

今回、「マイナンバーについて整理してみよう」という動機となった家族口座の話。

冒頭に紹介した記事では、
「『個人』に着目したマイナンバーに対して、家族口座が登録できてしまうのは、マイナンバーの哲学が理解できていないということ」
とあったけれど、今回整理してみた結果、
あくまで「個人に紐づく情報をマイナンバーと紐づける」ということであって、
その紐づく情報は、１対１の関係であることもあれば、１対ｎの関係であることもある。
健康保険証とか、最初から紐づけされている住民票や戸籍は、１対ｎの関係だしね。

だから、家族口座の件の何が問題かというと、
「公的受取口座をマイナンバーに紐づける」
ということを決定した際に、
「公的受取口座とマイナンバーは、１対１の関係か？１対ｎの関係か？」
という検討・議論をおそらく行わなかっただろうこと。

私自身は、最初に「誤って家族口座が登録されたケースが13万件ある」というニュースを聞いた時、
「あれ？家族口座を登録しちゃダメだったの？？」
と思った。
だって、赤ちゃんは口座なんて持ってないだろうし。

実際、今回、整理してみて、

• マイナンバーはマイナンバーカードの取得有無に関わらず、国民全員が持っている

• 銀行口座を持っていない国民は、成人未成人に関わらず存在する

ということに照らすと、もしも全国民に口座を登録することを促すなら、
家族口座を許容するか、
国民全員が銀行口座を最低１つは持つことを法令化するか、
のどちらかが必要になる。

あるいは、

• 家族口座で問題ないケースの公金受取口座と、個人口座でないといけないケースの公金受取口座を、マイナンバーのシステムとして別々に用意する。

とか。

こういったことを整理して検討して方針決めをしていたならば、
問題として取り沙汰された時に、
「公金受取口座に家族口座が登録されることが、本当に問題なのか？」
という話や、
「こういう議論を経て、こうなりまして…」
という話が、関係者から上がったはずなのに、
そうならなかったということは、
そもそも、検討そのものをすっ飛ばしたんだろうな、と。

検討そのものをすっ飛ばして、"何となく"１対ｎで作ったから、
「マイナンバーに紐づける口座は、個人口座じゃないとダメでしょ！」
と指摘が入ったところで、ただ慌てて沈黙してしまったのだろうな、と。
そこが問題だろう、と。

今回整理してみたことを受けて、システムエンジニアの視点で、今回の問題から次に活かせることを考えると、

• マイナンバーに紐づけるものを増やす際には、紐づける対象が何なのか、それはマイナンバーとどういう関係性で紐づけるのか、を毎回きちんと検討して定義すること。

• マイナンバーと紐づける情報の関係各所（今回なら、年金機構や税務署等）を上流設計レベルから必ず巻き込んで仕様を検討すること。関係各所が協力してくれないなら、いっそ、やらない。（入札案件としてSIerが請け負う従来の方式だと、主体的に関係各所と交渉することはしないから、おそらくそこがデジタル庁の役割として期待されるところ）

かな。
現在、マイナンバーに紐づけるものを増やしていこうとしている感じだけれど、ひとつひとつ、丁寧に議論して設計していこうね、と。

そして、マイナンバーカード利用者としての視点では、

• マイナンバーカードを返納したところで、カード紛失or盗難リスク以外のリスクは変わらない。
  （ちょうど、こんな記事も出ましたね↓）

河野氏「むしろカード利用して確認を」　マイナカード返納続出めぐり：朝日新聞デジタル

• 何かを新たに紐づける際には、それによって、何と何がマイナンバーを介して繋がることになるのか、その繋がりが誰かに知られた場合に困る可能性があるかどうか、を考えたた上で紐づける。

「正しく恐れる」というのは、きっとこういうことだろうね。

ちなみに私自身は、開業届や確定申告の時にマイナンバーカードを便利に使わせてもらってます。