「社会基盤としてのPKI」「 PKIの10年」•ª号制度と情報セキュリティ20140825.pdf · Copyright © 2014 SECOM Co., Ltd. All rights reserved. 番号制度と情報セキュリティ

Copyright © 2014 SECOM Co., Ltd. All rights reserved. 1

番号制度と情報セキュリティ

201４年8月27日

セコム（株）ＩＳ研究所松本泰

明治大学先端数理科学インスティテュート【情報セキュリティの数理】


松本の自己紹介

• 所属セコム(株) IS研究所コミュニケーションプラットフォームディビジョンマネージャ

• 1984年 UNIX上のビデオテックス・パソコン通信システムの開発に従事 • 1994年各種インターネットサービスの設計、開発、運用に従事 • 1999年サイバーセキュリティ事業の立ち上げに従事 • 2003年-2007年

– 工学院大学「セキュアシステム設計技術者の育成」プログラム客員教授 • 2005年金融庁偽造カード問題に関するスタディーグループ・メンバー • 2007年経済産業省商務情報政策局長表彰「情報セキュリティ促進部門」受賞 • 2007年-2012年 IPA 情報セキュリティ分析ラボラトリー非常勤研究員 • 2011年-2012年

•社会保障・税に関わる番号制度情報連携基盤技術ＷＧ構成員 •社会保障・税に関わる番号制度社会保障分野サブＷＧ構成員

• 2014年８月現在 – NPO 日本ネットワークセキュリティ協会 PKI相互運用技術WGリーダ – 暗号技術検討会（CRYPTREC）構成員 – 暗号技術検討会（CRYPTREC）暗号技術評価委員会委員 – 内閣官房パーソナルデータに関する検討委員会・技術検討ワーキンググルー

プ構成員 – IEC/AAL（Ambient Assisted Living ) 国内委員会委員 – 日本データセンター協会セキュリティＷＧリーダ – 電子署名法研究会構成員

Copyright © 2014 SECOM Co., Ltd. All rights reserved.


• 2013年5月に番号法（正式名称「行政手続における特定の個人を識別するための番号の利用等に関する法律」）案及び関連法案が参議院本会議で可決され成立した。この法律の成立により、番号制度の導入のスケジュールが確定し、その導入に向けた様々な動きが活発化している。

• 番号制度の導入における大きな課題は、情報セキュリティの対応だとされてきた。この情報セキュリティに関しては番号法の成立までにも様々な議論がなされ、番号法自体にもその対策が盛り込まれている。しかし、番号制度の社会への実装という意味において、また、番号制度の様な制度が必要となっているこれからの社会において、同様の情報セキュリティの課題は極めて多く存在する。

• 本講義では、番号制度と番号制度が社会へ及ぼす変化に対して、情報セキュリティ関係者は何を考えるべきか等を念頭に置き、番号制度と番号制度に関わる情報セキュリティの課題、論点等を概説する。

3



•（１）「番号制度」が必要になった背景

•（２）現在の「番号制度」の概要

•（３）番号制度に関する情報セキュリティ

•（４）本人確認と個人番号カード

•（５）まとめと今後の議論

•付録


「番号制度」が必要になった背景

• 社会のパラダイムシフト

• 少子高齢化等の社会の変化

• 本格的なデジタル社会への移行

こうした社会の変化に対応するための情報セキュリティの在り方が本日のテーマ


2005年の経済産業省の情報経済・産業ビジョンプラットフォーム・ビジネスの形成と５つの戦略

• 「ステージ３」から「ステージ4」へ移行した場合のパーソナルデータの扱い

出典：情報経済・産業ビジョン産業構造審議会 www.meti.go.jp/policy/it_policy/it-strategy/050427hontai.pdf


行政サービス（電子政府）の場合申請主義からプッシュ型のサービスへ

納税証明書請求

ＸＸＸ電子

申請

ＸＸＸ申請

•「紙台帳」の延長上にある（現状の電子申請も含め）

•本人確認（識別、認証）も個別組織対応でも可能だった（ex. 税金を払った人に納税証明書を発行する）

•個人情報を、個人が収集し、紐付して提出（申請）する。

•本人確認は、組織の範囲を超えた「一意識別」と「認証」が要求される。

•個人情報が組織間で転送される。

通知

申請主義の仕組み

プッシュ型の仕組み（イベント・ドリブン）

台帳

オンライン

ＤＢ

オンライン

ＤＢ

台帳


ながいこと上方へ行っていた弟の半次郎

が舞い戻って来たとき、兄の新蔵は自

身番書記の万平に人別のことを訊ねに

くる。

「上方に行くとき大家さんに人別送

りという書付けを作ってもらったはず

です。

それがないと欠落ち者になる。今度は

向うの名主さんの出した人別送りを

こちらの自身番に届けてお前さんの人

別に入れてもらうわけです。」

藤沢周平「本所しぐれ町物語」

藤沢周平の「本所しぐれ町物語」に出てくる下の会話を読み替えると、現在の転出入手続と全く変わらない。日本の個人識別には役人から役人への人別送り、あるいは申し送りのDNAが江戸時代から連綿として引継がれているようだ。

江戸時代の行政サービス？

NPO法人東アジア国際ビジネス支援センター仙波専務理事のプレゼンより

人別、あるいは人別帳 → 住民基本台帳人別送り → 転出証明書自身番 → 市区役所、町村役場名主、あるいは大家 → 市区町村長欠落ち者 → ？？？


行政機関

関係機関・団体等

個人

【年金／健康保険／後期高齢者医療・給付】個人情報の関連と流れ

現住地

市区町村（住基）【住民基本台帳】

各種共済組合等

【加入者記録】

医療機関

国民/厚生年金

被保険者

広域連合（後医）【後期高齢者

被保険者台帳】

健保組合

協会けんぽ

本籍地

市区町村（戸籍）【戸籍簿】

年金事務所

【年金記録】

戸籍抄本（請求者分・配偶者および子分）

住民票の写し（全部）

年金または恩給証書の写し診

断書（子が障害者）

添付書類（戸籍抄本／住民票写し／年金証書写し等）

国民（厚生）年金保険老齢給付裁定請求

年金手帳／厚生年金被保険者証

年金裁定通知

年金裁定支給額変更通知／年金証書／年金振込通知

（65歳到達時）

（６０歳到達時以降）

医療機関

健保被保険者

社会保険

支払基金

国保被保険者

国保連合会

市区町村（国保）【被保険者台帳】

後期高齢者

医療被保険者

健保被保険者証

医療費領収書

（自己負担分）

医療費領収書（自己負担分）

医療費領収書（自己負担分）

国保被保険者証

後期高齢者医療被保険者証

診療報酬明細書高

額医療費支給申請書

高額医療費支給通知

診療報酬明細書

診療報酬明細書

高額医療費支給申請書

高額医療費支給申請書



住基ネット

本人確認情報

受給者現況確認

公共職業安定所高年齢雇用継続給付支給決定通知書

現状の仕組みのまま、電子申請を実現しようとすると多くの添付書類が必要になる。


海外におけるプッシュ型の行政サービスへの流れ

エストニアでは、電子データ交換レイヤーＸ－ｒｏａｄで出産時に病院が出生届を行政に送付して、母親（父親）が何もしなくても児童手当や出産給付金が銀行口座に振り込まれる。

出展特別テーマ評価検討委員会（平成20年度第２回）井堀構成員提出資料「井堀構成員メモ」より

http://www.kantei.go.jp/jp/singi/it2/tokubetu/kaisai_h20/dai2/siryou3-1.pdf

エストニアにおいて、Ｘ－ｒｏａｄの整備は２００１年頃に決定されたらしい。

エストニアのX-Road （データ交換システム）

韓国の電子政府法（２００１年）

「行政機関は特別な理由がある場合を除き、行政機関の間で電子的に確認できる事項を国民に証明書など提出させることをさせてはならない（電子政府法2条）」

似た主旨の法制度は、欧州の多くの国々で制定されつつある


2001年頃の日本の電子政府の方針

（同時期のエストニアの電子政府の方針）

•世界最先端電子政府を目指し、既存の手続きを100％電子化する

•しかし、その後、電子申請率が低迷。その理由は、紙の添付書類だとされた。

エストニア日本

•制度と情報連携基盤を整備した上で電子政府のサービスを展開する出典: e-Government as customer

http://cs.ioc.ee/excs/kickoff/heidel

berg-slides.ppt


医療・介護・福祉分野の場合 AAL (Ambient Assisted Living)とは？

要介護者親族・後見人

自治体病院訪問看護訪問介護

見守りサービス提供者

①見守り ②通報

③サービス依頼 ④サービス提供

要介護者

親族・後見人

自治体

病院訪問看護

訪問介護

介護･看護

現状 AALで実現される社会

•特定の人間(介護・看護者)への負荷の集中

•労働力人口の減少に伴う介護要員の不足

•医療インフラへの需要過剰→パンク

•あまねく広がるシステムに支えられる生活 •介護要員の労力削減 •医療インフラへの過大な依存の低減

AAL環境

※但し、・人々の生活の質と尊厳と自立性を維持すること・社会の関与を促進するものであること・(雇用の)流動性を阻害しないものであること


番号制度に関する経過（税、社会保障、行政）

13

年月日事柄背景、その他

07/2/16 年金記録問題発覚

07/9/27 社会保障カード（仮称）の在り方に関する検討会医療分野のための健康ＩＴカードから社会保障分野全般のための社会保障カードへ

07/10/29 経団連「実効的な電子行政の実現に向けた推進体制と法制度のあり方について」

「行政機関間のデータ連携のための共通コードの導入」

「第三者機関の設置」

09/9/16 民主党INDEX2009 税・社会保共通の番号の導入政権交代民主党政権

選挙公約、歳入庁構想、総合合算制度

11/1/28 社会保障・税に関わる番号制度についての基本方針

11/6/30 社会保障・税番号大綱

12/9/18 医療等分野における情報の利活用と保護のための環境整備のあり方に関する報告書

個人情報保護法の医療等分野の特別法

12/12/26 政権交代第2次安倍内閣

13/5/31 番号法公布

14/1/06 特定個人情報保護委員会発足将来の個人情報保護委員会？

14/5/30 医療等分野における番号制度の活用等に関する研究会

14/6/24 パーソナルデータの利活用に関する制度改正大綱


現在の日本の置かれている状況とパラダイムシフト

• 現在の日本の置かれている状況

– 少子高齢化社会に向かって様々な課題が山積？

• パラダイムシフト - 社会の効率化や国際的な競争への要求

– （１）行政サービス、公共サービスのパラダイムシフト

•申請主義からプッシュ型の行政サービスへの転換

– （２）医療等分野のパラダイムシフト

•医療、介護、福祉分野の全体最適化へ

•「医療機関のＩＴ化」から「医療健康情報のＩＴによる利活用」へ

•先進国等における世界的なEHR/PHRの構築と進展

– （３）既存業界のイノベーション

•行政サービス、税サービス、社会保障サービスといった社会の基幹サービスの変化

•「紙文書前提」から「デジタルデータ前提」の社会へ

– その為の制度的な見直し(番号制度等も同じ）の議論

こうした社会の変化の中での「情報セキュリティ」の果たすべき役割


個人情報の「利活用」と「保護」とそのための情報セキュリティ（技術）

• 組織内や特定の分野内における最適化から、組織や分野を超えた最適化へ

– パーソナルデータの保護と利活用の観点

•1次利用「番号制度」等での議論 -- 本講義の話

– 明確な曖昧性のない識別子（個人番号等）による名寄せの重要性

– その一方、意図しない名寄せを如何に防ぐか

•2次利用パーソナルデータに関する検討会等での議論

– 「匿名性」等の議論 -- ビッグデータの利活用

– 分野を超えることの難さ -- たとえば、医療、介護、福祉の連携

•そのためのオムニバスな第3者機関（個人情報保護委員会）

• 紙文書、紙台帳前提ないし延長上の（制度の）時代から、デジタル技術、デジタルデータ前提のデジタル社会のための制度への流れ

– 紙文書の延長の電子化ではない、ボーンデジタルのための制度と技術


現在の「番号制度」の概要


番号制度を構成する３つの仕組み

出展：社会保障・税に関わる番号制度についての基本方針(2011年1月28日)

http://www.cas.go.jp/jp/seisaku/jouhouwg/renkei/dai1/siryou1_1.pdf より作図

付番

本人確認情報連携

番号制度

複数の機関において、それぞれの機関

ごとに｢番号｣やそれ以外の番号を付して

管理している同一人の情報を紐付けし、

紐つけられた情報を活用する仕組み

国民一人ひとりに唯一無二の

番号を、最新の住所情報と

関連付けて付番する仕組み

｢番号｣を利用する際に、

利用者が｢番号｣の持ち主

本人であることを証明する

本人確認の仕組み

http://www.cas.go.jp/jp/seisaku/jouhouwg/renkei/dai1/siryou1_1.pdf


番号制度に必要な３つの仕組みの

松本の拡大解釈版

付番・本人確認・情報連携・サービスのレイヤー構造

既存の本人確認「認証」「署名」など

情報連携基盤等

番号制度

情報連携

本人確認

Trsutが必要な様々なサービス（行政、公共、医療、福祉、その他の民間）

ＴＲＵＳＴが必要な様々なサービス（行政、公共、医療、福祉、その他の民間）

住民基本台帳制度、商業登記制度、etc..

付番

既存の仕組み新たな社会基盤デジタル時代のサービス

デジタル社会に相応しい社会基盤

としてのアイデンティティ管理

へ

デジタル社会の社会サービス


番号制度で何ができるのか（大綱での記述）

社会保障・税番号大綱 http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/110630/honbun.pdf より

「番号制度で何ができるのか」（大綱の記述）背景（松本の理解）

1 きめ細やかな社会保障給付の実現「歳入庁」構想、総合合算制度等からの流れ

消費税率アップの対応。再配分の仕組み

2 所得把握の精度の向上等納税者番号等、昔からの議論

税収アップと公正な社会。

3 災害時の活用 3.11以降の議論

4 自分に関する情報や必要なお知らせ等の情報を自宅のパソコンなどから簡単に入手

「電子行政」等の議論

自己情報コントロール権等の議論

エストニアの情報連携基盤等からの影響

5 各種事務・手続の簡素化、負担軽減「電子行政」等の議論

行政サービスを中心とした効率的な社会

6 医療・介護等のサービスの質の向上「健康ITカード」等の頃からの議論

少子高齢化、増大する社会保障費等の問題

（民間を含む）社会保障分野関係の効率化

http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/110630/honbun.pdf


番号法での用語

•個人番号（マイナンバー）

•特定個人情報

•個人番号カード任意取得

•通知カード全員に配布

•特定個人情報保護委員会（第３者委員会）

•特定個人情報保護評価（ＰＩＡ）

•情報提供ネットワークシステム（情報連携基盤）

•情報提供記録開示システム（マイ・ポータル）

•個人番号利用事務（実施者）自治体、健保組合等

•個人番号関係事務（実施者）

– 一般の企業（従業員の源泉徴収等）も含まれる


「個人番号」と「情報提供ネットワークシステム」

のイメージ

情報提供

ネットワークシステム

個人番号利用事務実施者

特定個人情報保護

委員会

特定個人情報

個人番号

個人番号カード

個人番号

監視、監査、評価



個人番号関係事務実施者


裏面


番号制度に関する情報セキュリティ

•（１）国家管理への懸念

•（２）個人情報の追跡・突合に対する懸念

•（３）財産的被害への懸念


国民の懸念の類型（情報セキュリティの課題）

懸念の類型制度上の保護措置

システム上の安全措置

松本メモ

①国家管理への懸念

・第三者機関による監視・自己情報へのアクセス記録の確認

・個人情報の分散管理・「番号」を用いない情報連携

・第３者機関以前に全体のガバナスが重要・個人の意思に関係なく個人情報が蓄積される行政機関、公共機関はより透明性が求められる。

②個人情報の追跡・突合に対する懸念

・法令上の規制等措置・第三者機関による監視・罰則強化

・「番号」を用いない情報連携・アクセス制御・個人情報及び通信の暗号化

・番号に係わる個人情報の不正な扱い・不正なブラックリストの作成・個人の意思に反するトラッキング

③財産的被害への懸念

・法令上の規制等措置・罰則強化

・アクセス制御・公的個人認証等

・ID詐称（典型的には米国のSSNの被害）・番号のみによる本人確認の禁止

出展：番号制度の大綱


国民の懸念の類型（情報セキュリティの課題）

情報提供

ネットワークシステム

特定個人情報





①国家管理への懸念 ②個人情報の

追跡・突合に対する懸念

個人番号


裏面

③財産的被害

に関する懸念

個人番号



「①国家管理への懸念」の対応？？住基訴訟対応？？

25 出典：公的個人認証サービスの民間活用への期待 http://asist.ssr.titech.ac.jp/wp-content/uploads/1a9d87c4ed394be166ed3234bdc79804.pdf


番号法としての情報セキュリティの対応

• (1) 本人確認 (16条)

• (2) 特定個人情報保護委員会の設置 (6章)

• (3) 特定個人情報保護評価の実施 (26条から28条)

• (4) 特定個人情報等の取り扱いについての罰則（67条か

ら77条）


番号法の「特定個人情報保護委員会」関連する1999年頃の議論 • 我が国における個人情報保護システムの在り方について（中間報告）

• 平成11年11月

• 高度情報通信社会推進本部

• 個人情報保護検討部会

• http://www.kantei.go.jp/jp/it/privacy/991119tyukan.html

• ※１監督機関について

• ＥＵにおける「データ保護庁」のようなあらゆる分野を通じた規制権限を有する監督機関の

創設は、一般多数の事業者に対する規制措置によって本来自由であるべき事業活動を大

幅に制約することとなるなど、我が国の現状にかんがみると適切ではなく、また、行政改革や

規制緩和の流れにも反するところである。

• また、ＥＵ各国においても、データ保護庁は、まだ十分に機能、定着していないとの指摘もあ

り、このようなことから、我が国においては、基本的方向として、これを代替し得る全体として

実効性ある事後救済システムの構築等を目指すことがむしろ適切であると考えられる。

• ２０１3年成立の番号法では、情報連携を円滑に進めるために、（また行政改革のため？）「第３者機関」が必要という結論になった。

• 「分野」や「国」「地域」と超えるために「第３者機関」が必要になっているという側面も大きい

• パーソナルデータの利活用≒規制緩和といった単純な構図は、あり得ない

http://www.kantei.go.jp/jp/it/privacy/991119tyukan.html


番号法の特定個人情報保護委員会の役割 • 第六章特定個人情報保護委員会

– (任務) – 第三十七条

•委員会は、国民生活にとっての個人番号その他の特定個人情報の有用性に配慮しつつ、その適正な取扱いを確保するために必要な個人番号利用事務等実施者に対する指導及び助言その他の措置を講ずることを任務とする。

– (所掌事務) – 第三十八条

•委員会は、前条の任務を達成するため、次に掲げる事務をつかさどる。

•一特定個人情報の取扱いに関する監視又は監督及び苦情の申出についての必要なあっせんに関すること。

•二特定個人情報保護評価に関すること。 •三特定個人情報の保護についての広報及び啓発に関すること。 •四前三号に掲げる事務を行うために必要な調査及び研究に関するこ

と。 •五所掌事務に係る国際協力に関すること。 •六前各号に掲げるもののほか、法律(法律に基づく命令を含む。)に

基づき委員会に属させられた事務


特定個人情報保護評価（制度） • 類似の制度は「環境影響評価制度」

• 個人情報の扱いのパラダイムシフト

– 現状

•人が「曖昧な情報」（曖昧な識別情報、紙イメージの情報等）を目

で見て判断

– ＃年金記録問題では、「手書きの名前等が記述された記録文書

」を世界最先端の画像認識技術？を駆使して名寄した？

•人をコントロールするための現状の個人情報保護法関連の制度

– 今後？（松本の理解）

•「情報システム」が、ルール（制度）に従って、曖昧性の無い「特

定個人情報ファイル」を自動処理する。

•この「情報システム」の事前評価のための制度

•「プライバシー・バイ・デザイン」で設計された「情報システム」

•技術的な基準等も制度に組み入れらことが重要になる


情報セキュリティの観点からだけでは分からないトレードオフ・バランスが見えない

セキュリティ＆

プライバシー

利便性コスト

トレードオフ・

バランスが

見えない

ICカードは使いにくい。利用率をあげるため、利便性の高いユーザID、パスワードに変更すべき。

技術は解らないけどともかく第３者機関は必要。ついでにPIA（情報保護評価）も

よく分からんが。。情報連携基盤は、ITゼネコンの策略じゃないのか？

住基ネット訴訟の最高裁判決に従った設計、訴訟リスクを極力避ける設計にしなければならない。

•制度と技術の噛み合わない議論

•様々な誤解、様々な思惑、技術的に対する不理解、Etc…

番号は広く民間でも利用可能にして利便性の高いものにすべき。


情報セキュリティの観点からだけでは分からない番号法、個人番号、個人番号カードの利用範囲

自治行政局

的な視点

国税的な視点厚生労働省

的な視点

トレードオフ・

バランスが

見えない

(2) 所得把握の精度の向上等の実現

＃関係者の悲願？？

(5) 事務・手続の簡素化、負担軽減＃本当は??このままでは自治体の行政サービスはもたない？？

(6) 医療・介護等のサービスの質の向上 #本当は??増大する社会保障費の対応を迫られている？？

「ICカード」とか「情報連携基盤」の予算には限りがあるからね。財務省

•各分野での「番号制度」に関する主張は、分野内での課題の解決であり、分野間では対立構造？にもある。＃日本の制度は、複雑過ぎて他省庁の管轄の事など分からない??

(1) よりきめ細やかな社会保障給付の実現歳入庁構想？

悲願？

悲願？悲願？

公約？(政権交代前の）


本人確認と個人番号カード

先送りにされた課題の多い本人確認


「本人確認」の難しさ

• 様々なトレードオフ

– セキュリティ vs. 利便性 vs. コスト

• 「国民の懸念」との関係

– 「③財産的被害への懸念」－なりすましの防止

•「個人番号」と「本人」の関係を確実に証明したい

– 「②個人情報の追跡・突合に対する懸念」

•「個人番号」を拡散させたくない

• 本人確認を行う側の問題

– 情報連携の世界（マルチステークホルダーの世界？）における本人確認を行う側のインセンティブ

– 本人確認の「責任」や「証跡」が重要

• 様々な場面での「本人確認」

– 対面

– 非対面

•郵送

•オンライン

– マイ・ポータル（情報提供記録開示システム）

– マイ・ポータル以外

これらの

整合の

難しさ

全体最適の

問題

誰がコスト

負担するのか


個人番号カード、通知カード、本人確認

• 個人番号カード－任意取得

– 個人番号の記載＋現状の住基カード（顔写真付き）＋ＪＰＫI ＋ α

• 通知カード－全員配布

– 個人番号の記載＋住基４情報 -- 有効期限なし―＞not 身分証明書

• 対面での本人確認

– ＃「個人番号」のみで本人確認してはいけない！！

– (1) 「個人番号カード」

– (2) 「通知カード」と運転免許書等の写真付きの本人確認書類

• マイ・ポータル（情報提供記録開示システム）での本人確認

– 「行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律」（整備法）の中の「電子署名に係る地方公共団体の認証業務に関する法律の一部改正」

– 公的個人認証サービスの従来からの「署名用電子証明書」以外に「利用者証明用電子証明書」を番号カードに格納して利用することが示されている。

– 公的なＩＤカードに二つの証明書（認証用、署名用）を格納するのは、欧州の事例（eID）では良く見かける－エストニア、ベルギー等


本人確認関係の課題等

• 非対面の郵送の本人確認

– ＃よい方法はないと思うけど

– ＃支払調書等クロスチェックが可能な領域での利用？

• 非対面でオンラインの本人確認

– 現状では、「個人番号」をオンラインで「個人番号」を伝える手段が用意されていない

– 欧州の事例（eID）では、電子証明書に「番号」が格納されている事例が多い（エストニア、ベルギー等）

•-> 国民の懸念：個人情報の追跡・突合に対する懸念

– 「個人番号」と1対多の関係にある「識別子」を証明書に格納している事例も多い

•デンマークのDanID/NemID等

•「番号」を法的に利用できる組織には変換サービスを提供する

– 韓国の「公認証明書 ( accredit certificate )」も参考になるかも

•-> 付録・参考スライド

• 対面での本人確認の責任や証跡

– ToBe的には、「非対面でオンラインの本人確認」と同じにしてしまえばよい？


失効等の課題クレデンシャル等の技術的課題に失効処理があるが、検討が不十分に見える（思える）

• 電子証明書の失効（利用者証明用電子証明書）

– #技術的には、一番、確立しているが、、、、

– 「個人番号」と「電子証明書（シリアル番号）」は、1対多の関係

– 失効状況を本人確認の検証者にどうのように知らせるのか

•現在のＪＰＫＩは、（失効情報を）民間に開放していない

– #民間に開放する方向で検討されているらしいが

– （民間サービス利用における）失効時のサービス継続の問題

•証明書に「個人番号」等、明確に定義されている情報が格納されていないので、期限切れ/失効時の再発行で、単純にサービスを継続できない。

– 証明書の「シリアル番号」の利用

•明示的に「識別子」を定義して、利用範囲、失効処理も明確にするべき

• 個人番号カード、通知カード等の盗難や紛失時の失効処理

– 個人番号カードの失効（個人番号以外に「個人番号カード」）を特定するものはない？

– 通知カードの失効？？（通知カードは、有効期限もない）

– 番号の失効？？？

•番号を失効させ新たな番号を割り振った場合の全体（社会全体）のコストが分からない 36


番号法の付則（附則第6条4項）

•政府は、第十四条第一項の規定により本人から個人番号の

提供を受ける者が、当該提供をする者が本人であることを

確認するための措置として選択することができる措置の内

容を拡充するため、適時に必要な技術的事項について検

討を加え、必要があると認めるときは、その結果に基づい

て所要の措置を講ずるものとする

個人番号利用事務等実施者は、個人番号利用事務等を処理するために必要があるときは、本人又は他の個人番号利用事務等実施者に対し個人番号の提供を求めることができる。

第十四条

「本人確認」に関しては、議論が収束せず、課題解決を先延ばしにした面がある。


個人番号カード、健康保険証の機能追加を自民が提言

• 自民党は２日、社会保障給付と納税を１つの個人番号で管理する「マイナンバー制度」に関する提言をまとめた。2016年１月から希望者に配る個人番号カードに、健康保険証の機能を加えるよう提起した。利便性を高めてカードの普及を後押しし、18年度までに国民の３分の２にあたる8700万人分を配布する目標を掲げた。

• 党ＩＴ戦略特命委員会（平井卓也委員長）がまとめた。マイナンバーを使ってインターネットの専用サイトで自分の所得や年金情報を確認したり、添付書類なしでも税の確定申告ができたりするようになる。

• 提言の柱は個人番号カードの利便性を高めることだ。健康保険証のほか、国や自治体が発行する印鑑登録カードや施設使用カードを順次、個人番号カードに置き換えるよう促す。自動車の運転免許証も中長期的課題として検討すべきだとした。

• カード交付の費用は当面、国が全額負担するよう求めた。実際の交付は本人確認の徹底を前提に、市町村が保険者などに委託したりすることも認めるべきだとの考えも示した。

38

出典：日本経済新聞 http://www.nikkei.com/article/DGXNASFS0202B_S4A700C1PP8000/


個人番号カードの仕組み？

39

• 券面事項入力補助AP

– カード保持者の個人番号と4情報 (氏名・住所・生年月日・性別) をテキストデータで利用者に提供する。利用者とは、個人番号を取り扱う事業者、カード保持者の本人確認を必要とする事業者等である。

• 住基AP

– 住基ネットシステムにおける住民基本台帳カード (住基カード) と同一の機能を提供する。

• 公的個人認証AP

– カード保持者の電子申請に使用する署名用証明書、カード保持者の電子認証に使用する電子証明書 (利用者証明用証明書) を発行する。

• 券面事項確認AP

– カード券面に印刷された4情報 (氏名・住所・生年月日・性別) 、個人番号、顔写真、有効期限を提供する

• 条例利用AP 出典：個人番号カードプロテクションプロファイル http://www.ipa.go.jp/security/jisec/certified_pps/c0431/c0431_pp.pdf


適用箇所利用者権限

プラットフォームプラットフォーム管理者データ設定・変更、SSD生成・削除

条例利用ＡＰ管理者条例利用AP生成・削除

券面事項入力補助 AP

券面事項入力補助ＡＰ管理者データ設定・変更

カード保持者個人番号・4情報の読出、自身のPW変更

個人番号・4情報を扱うシステム個人番号・4情報の読出

住基AP

住基ＡＰ管理者データ設定・変更

カード保持者住民票コード読出、自身のPW変更

住基データを扱うシステム住民票コード読出

公的個人認証 AP

公的個人認証ＡＰ管理者データ設定・変更

カード保持者署名機能/利用者証明機能の利用、自身のPW変更

証明書データを扱うシステム利用者証明機能の利用

券面事項確認 AP

券面事項確認AP 管理者データ設定・変更

カード保持者券面事項情報読出し

券面事項情報を扱うシステム券面事項情報の読出し、カード保持者PWの変更

個人番号を扱うシステム個人番号の読出し

成年月日を扱うシステム生年月日の読出し

プラットフォームと基本APIに共通

外部端末セッションキー暗号化用公開鍵読出し(券面事項確認APを除く) 内部認証用公開鍵読出し

出典：個人番号カードプロテクションプロファイル http://www.ipa.go.jp/security/jisec/certified_pps/c0431/c0431_pp.pdf


個人番号カードで技術的に検討されるべきこと

• 失効処理の明確化

• 少ないAP(カードアプリケーション)による実装

– たぶん、ＡＰ毎にパースワードが必要になる

• 外部認証の環境の整備

– カード内部に格納された公開鍵により外部装置等を認証(Authentication)して「カード」（カードAP)が信頼できる外部装置等を識別できる仕組み

– 外部装置が持つ秘密鍵（Private Key)の管理が難しい

– SAM(Secure Application Module)の利用

• 2枚指し

– 欧州の医療等分野では、患者のカードと医師のカードの「2枚指し」の事例がよくある。

•たとえば、患者の医療記録の転送時等に利用される

41

セキュリティ情報


AP

セキュリティ情報

外部装置

SAM ＴＲＵＳＴ


まとめと今後の議論


まとめ

• 現在の日本の置かれている状況

– 少子高齢化社会に向かって様々な課題が山積？

• パラダイムシフト - 社会の効率化や国際的な競争への要求

– （１) 行政サービス、公共サービスのパラダイムシフト

– （２）医療等分野のパラダイムシフト

– （３）既存業界のイノベーション

• 組織内や特定の分野内における最適化から、組織や分野を超えた最適化へ

– パーソナルデータの保護と利活用の観点

•1次利用「番号制度」等での議論 -- 本講義の話

•2次利用パーソナルデータに関する検討会等での議論等

• 「番号制度」の課題

– 様々なトレードオフ

– 番号制度に限らず、これからの社会の課題


今後の議論

• 成長戦略との関係 -- もっと将来ビジョンの議論が欲しい

– 「個人番号の民間利活用」「ビッグデータによる成長戦略」といった意見は多いが、ビジネスモデル等は必ずしも見えておらずビジョン不在にも見える

– 「ビジョン不在??」の中で「ルールの明確化」されることの危惧

•規制強化、ルールの明確化、利用目的を明確化等で、ビッグデータによるイノベーションは、可能なのか？

– 英米法的な、グレーな領域でのイノベーション

– 大陸法的な、ビジョン先行のイノベーション

• 技術と制度の噛み合わせの困難さ -- デジタル社会で克服すべき課題

– 例えば

•1次利用プライバシ保護技術を組み込んだ「IDカード」等

•2次利用狭義の匿名技術以外の技術の取り込み（ＰＰＤＭ等）

– 技術的解決策は色々とある。しかし制度と噛み合わせることが難しい。

– 技術の理解なしにデジタル社会の制度は作れない？？


付録

• 医療等分野に関する議論

• 小回り国家エストニアの電子認証の事例

• その他参考スライド

45


医療等分野に関する論点

厚労省の長い名前の検討会での議論

「社会保障分野サブワーキンググループ及び医療機関等における個人情報保護の

あり方に関する検討会合同開催」


医療等分野の議論

•社会保障分野サブワーキンググループ及び医療機関等における個人情報保護のあり方に関する検討会の合同開催

– 第1回 2012年4月12日- 第9回 2012年9月12

– 医療等分野における情報の利活用と保護のための環境整備のあり方に関する報告書(2012年9月12日に発行)

•医療等分野における番号制度の活用等に関する研究会

– 第１回 2014年5月30 - 第３回 2014年7月24日

47


検討会での議論された特別法の位置付・論点現在の状況 • 医療等分野の特別法の位置づけ

– 「番号法」に対する医療等分野としての特別法

•「医療等ID」の議論

•健康保険の資格確認、地域医療連携、PHR

•医療等情報の個人情報の連携

•個人のための利活用に関する同意

– 「個人情報保護法」の医療等分野としての特別法

•医療情報の２次利用、同意の在り方

•匿名化、連結可能匿名化、連結不可能匿名化など扱い

•個人情報保護法の不整合？

– 医療等分野の範囲（特別法の範囲）

•範囲（連携の範囲、刑事罰の範囲）

• 2013年10月時点の状況

– 番号制度のロードマップから「医療等分野の特別法」のスケジュールは削除

– その一方－「日本再興戦略-JAPAN is BACK」 2013年６月14日

– 「個人一人ひとりが自分の医療・健康でータを利活用できる環境を整備・促進し、適正な情報の活用により適切な健康産業の振興につなげるべく検討を進め、国民的理解を得た上で、医療情報の番号制度の導入を図る」


番号法と医療等分野の特別法の違い

番号法医療等分野の特別法

情報保有機関

（個人番号利用事務実施者）

自治体等の公的機関が多い。

民間利用は想定していない（修正議論はある？）

病院、介護事業者等など民間の事業者が多く含まれる。 **

情報連携に対する同意

明示的な同意を必要としない法令で示された範囲

基本的には同意が必要

付番個人番号医療等分野ＩＤ（仮称）

情報連携基盤番号法の「情報提供ネットワークシステム」

医療等分野に閉じた情報連携基盤***

本人確認個人番号カード等（議論なし）

*** 検討会のメンバーが、医療等分野のステークホルダーが多いこともあり、他の分野と分離した医療等分野に閉じた議論が多くなる傾向にある。

医療等分野の特別法は、番号法に比べ、通常の民間ビジネスの話に近い？？


検討会のメンバーとその視点

• 医療等分野のステークホルダー

– ３師会（医師会、歯科医師会、薬剤師会）

– 看護、介護、福祉関係者

– 健康保険組合

– 医療情報（山本隆一先生*２）

– 法学者（宇賀克也先生*１、鈴木正朝先生*２)

– 自治体関係者

– 情報セキュリティ分野（ＨＰ佐藤慶浩氏*3、松本*3）

• 検討会の委員に足りない観点

– 医療等分野を越えた範囲、国全体の最適化の観点

– コスト的、ビジネス的な観点？？

•＃「医療等分野」は、国民皆保険制度、診療報酬制度等の影響が大きい

＊1 パーソナルデータに関する検討会座長代理

＊2 パーソナルデータに関する検討会構成員

＊3 パーソナルデータに関する検討会・技術検討ＷＧ構成員


制度的の大枠的な議論 • 医療等分野の範囲

– 狭い -- 医師会、歯科医師会等

– 広い -- 介護・福祉分野の関係者

– 医療等ＩＤを利用する範囲？ or 刑事罰等の適用範囲？

• 刑事罰等 - 議論が交錯しており整理されてない。

– 必要vs.必要ではない（直罰規定vs.間接罰）

– 刑事罰による保護の促進

•米国のHIPPA/HITECH法等の事例

– 萎縮を防ぐ -- 多分ルールの明確化以外にない？

• 刑事罰などの対象者

– 「現在の刑法にある医療従事者等の守秘義務」等に対して

– 「有資格者（医師等）」から「情報取扱い者」へ

– 医療->介護->福祉範囲が広まる程に責任が曖昧になる

• 課題？

– 医療等分野と医療等分野外の分断or架け橋？


特別法の「範囲」？？

つながる時代のビジネスモデルと制度設計慶應義塾大学. 國領二郎

http://www.it-yugo.jp/program/PDF/4-2_kokuryo.pdf


噛み合わない議論？？？

•医師会等の関係者が念頭に置いている個人情報連携？？

•病院間連系等

•職業的な範囲は狭い

•在宅医療、看護、介護、福祉、自治体関係者が念頭においてる個人情報連携？？

•高齢者等を支える幅広いスーテクホルダー（職業的な範囲が広い）が、地理的範囲は狭い？（地域コミュニティ）

在宅医療、看護、介護、福祉、自治体関係者の思い？？？

・（広い）情報連携は必要、

・（狭い）医療分野の厳しい刑事罰まで含めた範囲に中に入ると現場が回らない？


同意に関する議論

• ２次利用に対する同意

– 公益と個益のバランス

– 公益のために、同意を如何に現場の負担のないようにするかと言う観点

• 病院間連携、PHR等における同意

– PHRに関しては、そもそもPHRに否定的な立場の人もいて議論は少ない。

– （松本の意見としては）個人の「同意」「意思」により、より多くのステークホルダーに第３者提供可能なスキーム、フレームワークが重要

• 代諾

– 代理、家族、etc… 社会の変化

– 現状においても、現場は、すごく困っている。

後、、議論はなかったが「同意」の扱いが曖昧だと「故意」と「過失」の区分も曖昧になる（刑事罰等に関して）


マイナンバーシンポジウム資料「プライバシーの権利と個人情報保護法」

新潟大学大学院実務法学研究科・法学部教授鈴木正朝

http://www.cas.go.jp/jp/seisaku/mynumber/symposium/iwate/siryou5.pdf

医療等分野の個人情報の「利活用（連携）」と「保護」を阻害するポリシ、制度の不整合？？


日医ニュース 2012/10/20 石川常任理事に聞く -個人情報保護のため医療分野に関する個別法の早期の制定を-

私ども医師には，ヒポクラテスの時代から，患者の秘密を守るという職業倫理の順守が求められていますが，この職業倫理は現在でも，刑法や医療関係法規に反映されています．

出展： http://www.med.or.jp/nichinews/n241020b.html

「患者の秘密が漏示されない」点を重視しなければならず，医療情報を扱う全ての者に対し罰則を科すこと等も検討しなければなりません．また，診療目的以外で患者の医療情報を扱う場合は，原則として，患者自身の同意を得るべきだと主張しています．

医療者側としては，まず個人情報の保護のルールをきちんと確立してから、次に利活用を検討すべきと考えています．


松本の発言と意見

• 情報連携基盤に同意の扱いを取り込む - 松本の提出した意見書より – 現在の「合同開催」では、「医療等の提供のために必要な場合における本人

同意」の議論があり、この「同意」の扱いが様々な課題に結びついている。 – 「医療等分野情報連携基盤」のあるべき方向性としては、同意されたものが

同意された範囲にしか転送されないといったシステムであるべきである。また、オンラインでの同意確認、同意の状態管理を積極的に行うことにより、情報連携の制御も「同意」に基づいて行えるような仕組みが望ましいと考える。その他、医療等分野においては、代理、委任の仕組みなども重要になる。

• 特別法の範囲 - 検討会での松本の発言（議事録より） – 医療・介護等のサービスの質の向上に寄与できるステークホルダー全般をな

るべく取り込む。ただし、ここで何の制約も働かないというのはまずいというのは勿論ありまして、それを何らかの形で特別法の枠組みで制御する。特にこれから制度が明確になれば出てくるであろうPHR事業者等、そういったところの参入はやはり促すべきだと考えておりますが、そういったところに対しての許認可制度、認定制度、そういったものをセットでやると良いのではないかと個人的には思っております。

• 通知義務（情報漏えい、データ侵害） – 検討会における、法制度の議論は、刑事罰の扱いのみ。情報漏えいに関する

「通知義務」の扱いを明確にするべき。その際、何が「情報漏えい」なのかを明確にすべき。


厚労省の診療データ約８割が活用できず（出典：2013年11月3日のＮＨＫのニュース）

• 厚生労働省が４年前からデータベースに蓄積している診療報酬明細書のおよそ５８億件のデータのおよそ８０％が、特定健診のデータと突合できず、糖尿病など生活習慣病の対策に活用できなくなっていることが分かりました。厚生労働省は研究班を作って原因の調査を始めました。このデータベースは、生活習慣病の対策に役立てようと、特定健診でメタボリックシンドロームと診断された人が、その後どのような病気になりいくら医療費がかかっているかなどを分析するため、厚生労働省が、４年前に５億円余りをかけて導入しました。

• これまでに、４０歳以上が受ける特定健診などのデータがおよそ９０００万件、その後どのような医療を受けいくらかかったかが分かる診療報酬明細書のデータが５８億件余り、名前や生年月日を暗号化して登録されています。しかし、厚生労働省が去年、同じ人について健診と明細書のデータを突合して分析しようとしたところ、明細書のおよそ８０％のデータが突合できなかったことが分かりました。

• 厚生労働省は、名前のデータが健診ではカタカナだったのに、明細書では漢字だったことなどから、暗号化する際、違う記号になった可能性があるとみて、専門家による研究班を作って原因の調査を始めました。厚生労働省は「想定外のことで、原因を突き止めて、何とか突合できるようにしたい」としています。

• 専門家「共通番号制度利用すべき」

• 医療経済学が専門で東京医科歯科大学の川渕孝一教授は「８割が突合できないのであれば、客観的で中立的な研究事業もできず、ゆゆしき問題だ。手書きから始まった明細書とデジタル化した特定健診を突合させるのは難しく、今後導入される社会保障や税の情報を一元化するため国民一人一人に番号を割りふる共通番号制度を、医療にも利用すべきだ」と話しています。


小回り国家エストニアの電子認証の事例

国がコンパクトで、かつ、既存の「インフラ、法制度、慣習、権益」等のしがらみが少なく中で、整備されてきたエストニアの電子認証の紹介


Complexity transformations 1. Idea from the beginning

3 slides from 2001

出典: e-Government as customer http://cs.ioc.ee/excs/kickoff/heidelberg-slides.ppt


Complexity transformations 2.

Idea from the beginning

3 slides from 2001



Complexity transformations 3.

Idea from the beginning

3 slides from 2001

2001年当時のエストニアのX-ROADのコンセプト


「行政中心のサービではない国民中心の行政サービス」


エストニアの電子政府の背景

• エストニアにおける先進的な電子政府の背景

– 国策としてICＴによる経済発展を目指している

• トップダウンなICＴ施策をぶれなく続けてきた

– 既存の「インフラ、法制度、慣習、権益」等のしがらみが少ない

• 1991年に独立回復、2004年ＥＵ加盟

• （時代的にも）ＩＣＴを前提に国つくりが行われてきた

• 柔軟な法制度

– 国がコンパクト

• 人口 135万人

• エストニアは、欧州における「ＩＣＴ特区」の様に思える。

– エストニアの電子政府に関連する最近のプロジェクトの多くは、欧州の公的な基金を利用している。

• 「柔軟な法制度」もまた、こうした基金を獲得するため？


エストニア国民IDカード(eID)

• エストニア国民IDカード(eID)

– エストニア市民権・移民委員会（CMB）が11桁の国民IDを発行

– IDカードは、券面、および、電子証明書により、名前と国民IDを証明

• (電子）証明書にも11桁の国民IDが記載されている

– 全面導入(強制)

– 民間も含め電子的な「実在性確認」「同一性確認」が可能（利用の制約がない）

• IDカードを利用したサービスとX-ROAD

– X-ROADに接続された市民向けポータル、企業向けポータルから利用

– 誰が自らの個人情報に対してアクセスしたか確認可能

– 民間のサービスでも利用できる（ex. 金融機関のネットバンク）

– 運転免許証、健康保険証の代替

• つまり、運転免許や健康保険等の資格は、「識別された個人の属性」

サービス

住民登録機関

認証局個人サービス

住民登録

共通 ID 共通 ID 共通 ID

共通 ID


エストニアのモバイル-ID

Internet Voting in Estonia

http://www.lastenparlamentti.fi/slp_kunnissa/opetusmateriaalit/videot/videot/files/eh-overiview-2008-10.ppt

Personal Identification and Authentication with a Mobile Telephone

http://www.id.ee/10995

PIN1 認証用証明書の鍵に対応したPIN

PIN2 署名用証明書の鍵に対応したPIN

•携帯電話に（エストニア国民IDカードと同様な）電子証明書を格納したＳＩＭカードを利用することにより、リーダ・ライターを使わずに電子政府ポータルのログインや電子文書への電子署名ができる。

•2007年にサービス開始 http://www.id.ee/public/Mobiil_ID_animation/

http://www.id.ee/?id=11053

http://mobiiltelefonid.emt.ee/images.php?PID=300









エストニアの電子政府ポータルへのログイン

http://www.eesti.ee/portaal/portaal.sisene?level=25&loc=

•電子政府ポータル

•市民向け

•企業向け

•公務員向け

•ログイン手段

•ＩＤカード

•モバイル-ID

•ネットバンク等のアカウントから

ネットバンク等のアカウントから電子政府ポータルにログインできる。


エストニアのネットバンクのログイン（ＩＤカード、モバイル-IDの民間での利用）

https://www.swedbank.ee/private/home/start

•ネットバンクのログイン手段

•ＩＤカード

•モバイル-ID

•パスワードカード -- 取引限度額が、他のトークンよりも低い

•PIN計算機( ワンタイムパスワードトークン)

ネットバンクのログイン手段としてモバイル-IDを選択している。そのため電話番号の入力を行っている。


エストニアの個人情報保護法（ 2003年）

情報区別情報内容データ収集

個人情報名前、ID

等

特になし(名前、IDは公開されている？）

私的個人情報 private personal data

1) 家庭生活の詳細を明らかにする情報、

2) 社会扶助または社会福祉の給付申請を示す情報

Etc…

情報保護監察局へ通知する必要がある。

機密個人情報 sensitive personal data

1) 政治的意見または宗教的もしくは哲学的信条を示す情報（ただし、法律で規定された手続きに基づいて登録された私法上の法人の構成員であることに関する情報はこの限りでない）

2) 民族的または人種的起源を示す情報

Etc…

情報保護監察局の許可が必要

•米国のSSN（Social Security Number）の場合、SSNと個人の関係を証明する手段がプアーなため、SSN自体を秘密にし、ＳＳＮが示せることが本人確認手段のひとつになっている。そのためSSNの漏えいが大きな被害をもたらしている。 •エストニアの場合、国民IDカードを必須とし（民間も含め）ID（番号）の証明手段を提供している。 •ID自体は公共財的に扱われ、IDと名前に関連付けられた情報（私的個人情報、機密個人情報）をいかに守るかという観点で制度や情報システムが設計されている。


エストニアの個人情報保護法（ 2003年）

• 第16条個人識別コードの処理に対する許可

– 個人識別コードの処理が国際協定、法律または規則により規定される場合は、情報主体の同意を得ることなく、かかる個人識別コードを処理することが認められる。

Personal Data Protection Act

http://www.legaltext.ee/text/en/X70030.htm

•個人情報保護法において常に議論となるものに「自己情報コントロール権」の扱いの問題がある。

•「個人識別コード」の扱い自体が曖昧であるとか、「個人識別コード」自体が「自己情報コントロール権」の対象になると、「自己情報コントロール権」の効率のよい実装自体が困難になるのではないだろうか？


個人情報保護法

Personal Data

Protection Act

Public Information Act

（旧データベース法?）

電子署名法

Digital Signatures Act

Etc…

エストニアの電子政府の概観

Ｘ－ＲＯＡＤバックオフィスの連携

エストニアのeID

法的な枠組み

監視

サービス対象者識別、認証、署名のためのフロントエンドツール

情報保護監察局

（個人情報保護

法に基づく第３者

機関）

フロントオフィス


エストニアの住民登録制度 Population Register Act 身分証明書制度 Identity Documents Act

(1)名前（姓）(2)名前(3)性別(4)生年月日(5)生誕地(6)個人識別番号(PIC)(7)市民権(8)居住地(10)結婚歴(11)両親、後見人(12)配偶者(13)法的な能力（ex.運転免許）(14)死亡情報(15)廃止(16) 両親、配偶者、子供、後見人の個人識別番号(PIC)(17) 廃止(18) 国籍、言語

参照されたデータの情報転送されたデータの情報Etc..

(1) 身分証明書カード(2) 旅券(3) 廃止(4) 外交旅券(5) 廃止(6) 船員？(7) エストニア市民権証明書(8) 外国人旅券(9) 難民旅券(10) 出生証明書(11) 結婚証明書(12) 離婚証明書(13) 廃止(14) 死亡証明書(15) 廃止(16) 運転免許証(17) 結婚可能証明書(18) 住民登録からの離脱？

登録される情報発行される証明書等

Population Register Act Identity Documents Act

(1) 名前(2) 生年月日(3) 個人識別番号(PIC)(4) 顔写真(5) 性別(6) 市民権(7) 指紋 or 筆跡(8) 髪と目の色


インターネット投票の検討？？自民、ネット投票検討に着手年明け与野党協議へ

• 自民党は自宅のパソコンなどから国政選挙の投票ができる「インターネット投票」導入の検討に乗り出した。世界で唯一の実施国とされるヨーロッパ北東部のエストニアを参考に年明け以降、与野党で協議する方針。党幹部が２８日明らかにした。実現すれば投票率アップが期待できるものの、本人を装う「成り済まし投票」の防止策など講じるべき課題は多い。

• 自民党は１２月上旬、党本部にエストニアの政府情報化統括責任者らを招き、投票の仕組みなどの説明を受けた。党幹部は「日本でも転用できる」と意気込んでいる。

出典： 2013/12/28 17:34 【共同通信】


エストニアのインターネット投票(2005年～）

• インターネット投票の手順

– 投票サイトにおいてIDカードに格納された「認証用証明書」を使い行いログインする。

• 投票サイトにおいて「認証」されることにより有権者としての「資格」等が確認される。

• これにより、投票可能な立候補者が表示される。

– 投票

• 候補者等の「投票内容」を「選挙委員会」の公開鍵証明書の公開鍵で暗号化する

• 「暗号化された投票内容」に対して、IDカードに格納された「電子署名用証明書」を使い署名を付与し送付する。

– 開票

• インターネット投票（電子署名付きの投票）と投票所での投票の付き合せが行われる（投票所での投票が優先）。

• 「署名」付きの「暗号化された投票内容」から「署名」が取り除かれ「暗号化された投票内容」（これは「匿名化された投票内容」になる）だけが集められる。

• 「暗号化された投票内容」を選挙委員会の公開鍵証明書のプライベート鍵で復号し投票結果を集計

• これまでの経過

– 2005年地方政府選挙全投票者数の1.9%がネット投票

– 2007年国政選挙

– 2009年欧州議会議員選挙

– 2011年国政選挙全投票者数の24.3.%がネット投票。モバイルＩＤでのネット投票開始

– 2013年地方政府選挙（マルウェアによる不正も見つかった）

http://www.vvk.ee/engindex.html


その他参考スライド


各国の制度の比較エストニアデンマーク韓国日本・番号法以前

制度を横断する識別子等

PIC: Personal Identification Code

中央住民登録番号（ CPR番号）

住民登録番号

基本４情報を利用？

対面としての

クレデンシャル

・国民IDカード

・名前、ＰＩＣを証明

・医療保障カード

・名前、CPR番号を証明

・住民登録証

・名前、住民登録番号を証明

・運転免許証、

印鑑登録証他

・住基４情報等を証明

オンラインとしての

クレデンシャル

・国民IDカード

・ＰＩＣを証明

・（その他バンクＩＤ，モバイルＩＤ）

・ DanID/NemID

・ PIDを証明

・間接的にCPR番号を証明

・公認証明書

・ VIDを証明

・間接的に住民登録番号を証明

・JPKI等

・住基４情報を証明

個人情報保護法・ EU準拠

オムニバス方式

・第３者機関あり

・ EU準拠

オムニバス方式

・第３者機関あり

・(要調査)

＃行政安全部が大きな役割を果たしている？

・セグメント方式

・第３者機関なし

制度を横断する

情報交換基盤

情報交換方法

同意確認？

・ X-ROAD

・オンラインデータ交換

・（要調査）・行政情報共同利用センター

・オンラインデータ交換

・なし？

・書面、電話？


韓国の国民ID制度－公認証明書

• 公認証明書 ( accredit certificate )

– 韓国の電子署名法に基づく民間が発行する「公認証明書」

• 「公認認証局」が発行する「公認証明書」による「公認署名」

– 毎年2000万枚以上の公認証明書の発行（有効期間１年）

• 記載内容

– 氏名と仮想識別番号(VID)が記載

– 仮想識別番号(VID) RFC 4696

• ＶＩＤは、住民登録番号等から生成

– #やはり住所等は記載されない

• RFC 4696 Subject Identification Method (SIM)

– PEPSI = H(H( P || R || SIItype || SII))

– PEPSI - Privacy-Enhanced Protected Subject Information

– SII - Sensitive Identification Information (e.g., Social Security Number).

IETF/PKIXでの標準化 - KISAのメンバーによる標準化活動

RFC 4683 Subject Identification Method (SIM)

韓国の「公認証明書」で実際に使われている＃ＶＩＤから住民登録番号を証明など

RFC 5636 Traceable Anonymous Certificate (TAC)

インターネット投票で利用することが念頭にあるらしい


韓国の国民ID制度公認証明書の利用

公認証明書サービス

Ｒ

(1) サービス側が「住民登録番号(ID)を知っている場合」　一般の行政サービス？

・公認証明書からVIDを取得・VID=ｈ(ｈ(ＩＤ，Ｒ））を検証

(２) サービス側が「住民登録番号(ID)を必要とする場合」


Ｒ

ID

・公認証明書からVIDを取得・VID=ｈ(ｈ(ＩＤ，Ｒ））を検証

(3) サービス側が「住民登録番号(ID)」必要としない場合　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　（リンカビリティは証明できる）


演算結果を送付・公認証明書からVIDを取得

・VID=ｈ( ）を検証

Ｒ ID

ID 住民登録番号Ｒ公認証明書発行時に生成する乱数署名鍵プライベート鍵

ID

h(ＩＤ，Ｒ) h(ＩＤ，Ｒ)


民事訴訟法は228条4項「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立。。」

２０１４年現在の状況？

技術標準

法制度等から

ニュートラルな

技術標準・既存のレガシー

な法制度

・様々な管轄官庁

の様々な業法

ギャップ

デファクト標準

としての実装紙前提の制度

（の電子化）対極の実装

噛み合わない会話

共有されないビジョン

？？？

「光の道」で医療問題も教育問題も解決する？

現在の医療の問題点は、デジタル化以前の問題

番外編

"Rough consensus

and running code"

現実の実務からの

乖離という問題

既存の慣習、権益が強すぎる問題

「電子署名法」、「e文書法」、「電子公証人制度」、「商業登記に基づく電子認証制度」、「住民基本台帳制度」、etc….

強い影響


社会基盤としてのPKI Big Picture 効率的で、透明性があり

競争力のある社会？

デジタル時代の

日本の社会？


社会サービス Trust が必要な様々なサービス（行政、民間）

認証基盤、アイデンティティ管理基盤（行政、民間）デジタル時代の

社会基盤


（信頼のための）

フレームワーク

•今後の社会？

デジタル社会を

支える技術


法制度

デジタル時代のビジョンの共有


「番号制度」に関連する経緯

民主党政策集　ＩＮＤＥＸ２００9税・社会保障共通の番号の導入

2009年8月

2007 2008 2009 2010

健康ＩＴカード構想

社会保障カード（年金、福祉、医療、介護）

年金問題

電子私書箱構想社会保障カード実証実験

納税者番号の議論

社会保障番号の議論

番号制度の議論

社会保障・税に関わる番号制度に関する検討会第１回会合

2010年2月8日

経団連　- 実効的な電子行政の実現に向けた推進体制と法制度のあり方について　「ワンストップ・サービスを実現するための共通コードの導入」「第三者機関を設置」２００８年１１月１８日

国民ID制度の議論

電子政府に関連する議論　　行政のバックオフィスの連携等

民主党の歳入庁構想等

厚生労働省

財務省

内閣官房IT室

議論の統合？？

社会保障改革検討本部

国家戦略室

医療分野健康保険証の統合EHR/PHR

社会保障・税に関わる番号

国民IDコード連携コード

総務省経済産業省

医療福祉分野の連携

情報連携基盤

個人情報保護法の議論消費者庁

総務省（行政管理局）

2007 2008 2009 2010政権交代

2009年9月17日


•（出展）長期使用に耐える電子政府の基盤を目的とする個人、家族関係登録システムに関する要求分析--日本

型家族関係登録法を仮定したデータベース設計の試み

•山崎重一郎（近畿大）

世帯、扶養、戸籍、代理、成年後見人等

•根本的な問題として、明治時代からの「戸籍制度」がある。

•個人を識別できるだけでなく、個人と個人の関係を合理的に証明できる仕組み。

•現状は、紙の証明の目視が必要ものばかり

•「世帯」の定義は、制度毎に異なる等、現在の制度自体の課題が大きい。


JPKIの署名用証明書東京都CAから発行されるEE証明書

発行者 OU = the Governor of Tokyo-to 省略

有効期限 2004年1月30日 13:30:29 - 2007年1月29日 23:59:59

サブジェクト

CN = 2004013xxxxxxxx #発行年月日+??

L = Mitaka-shi

L = Tokyo-to

C = JP

サブジェクト

の別名

#住基基本４情報が入る..

証明書ポリシ

[1]Certificate Policy:

Policy Identifier=1.2.392.200149.8.5.1.1.10

省略

鍵使用方法 Digital Signature, Non-Repudiation (c0)

鍵長 RSA 1024 bit


ベルギーのBELPICと公的個人認証サービスの比較

比較項目 BELPIC 公的個人認証サービス

配布対象 12歳以上の全国民 15歳以上の希望者

配布枚数 450万枚(2007年3月現在） 18.3万枚（2006年10月末現在）

プラットフォーム対応 Windows,Mac,Linuxに対応 Windowsのみ。Macの対応が一部なされている。

ミドルウェアとユーティリティ

オープンソースが多く利用されており、専用ソフトのソースコードも数多く公開されている

バイナリコードを無償で配布

カードエッジI/F カードエッジI/F 公開 7816-4,8に準拠

非公開

カード内のデータモデル公開 PKCS#15に基づく

非公開

格納されるEE証明書

否認防止用の証明書認証用の証明書

否認防止用の証明書のみ

Documents

「社会基盤としてのPKI」 「 PKIの10年」•ª号制度と情報セキュリティ20140825.pdf · Copyright © 2014 SECOM Co., Ltd. All rights reserved. 番号制度と情報セキュリティ

「社会基盤としてのPKI」「 PKIの10年」•ª号制度と情報セキュリティ20140825.pdf · Copyright © 2014 SECOM Co., Ltd. All rights reserved. 番号制度と情報セキュリティ