情報漏れ被害深刻に 
個人番号の用途拡大で  参議院総務委員会(議事録)

山下よしき 日本共産党の山下芳生です。
 おさらいになりますけれども、インターネット等を利用した電子商取引が急速に拡大する中、契約に関わる電子文書の作成者が確かに本人であること、契約内容が送信中に改ざんされていないことを証明する制度が必要となり、2000年、電子署名法によって電子署名制度が構築されました。
 さらに、法人間の電子商取引において、社長から契約の締結を委任された社員が確かに社長から権限を委任されていることを証明する制度が必要となってきました。そこで、法人の代表者が作成する電子委任状を保管し、必要に応じて電子商取引の相手方に送信する業務を行う電子委任状取扱事業者を公的に認定しようというのが本法案であります。
 私は、この電子委任状制度の要は電子委任状取扱事業者の信頼性にあると思います。総務大臣が認定することになるこの事業者の信頼性、どう確保するんでしょうか。

谷脇康彦(総務省情報通信国際戦略局長) お答え申し上げます。
 委員御指摘のとおり、認定事業者の信頼性が確保されることは、電子委任状を活用した手続の電子化を進めるため不可欠の前提であると考えております。このため、本法案におきましては、認定事業者が満たすべきセキュリティーの水準などを定めた基本指針を策定し、認定事業者の業務がこの基本指針に適合しているということを認定時及び認定の更新時に主務大臣が審査する仕組みを採用しております。
 また、認定事業者につきましては、基本指針で定める認定要件の一つといたしまして、定期的に外部機関の監査を受けることを義務付けることを想定をしております。さらに、認定事業者につきまして何か問題があった場合には報告徴収や立入検査を行うことや、問題が是正されない場合には認定事業者の認定を取り消すことも可能となっており、これらの手段を段階的に用いることで認定事業者に対する信頼の確保に万全を期してまいりたいと考えております。

山下よしき そこで、総務省としてどのぐらいの数の電子委任状取扱事業者を認定するつもりなのか、既に電子委任状取扱事業に関心を示している事業者はあるのか、あるとすればそれはどのような事業者か、お答えいただけますか。

谷脇局長 お答え申し上げます。
 現在、本法案の認定事業者になることに関心を持っておられる事業者といたしましては、電子署名法に基づく認定認証事業者、あるいは機密性の高い電子書類をセキュアに送受信するサービスを提供している事業者などが挙げられます。認定事業者の数といたしましては、当面でございますが、数社程度を見込んでいるところでございます。

山下よしき 電子委任状制度を信頼できるものとするためには、私は利用者の側の不正行為を防止することも重要となると思います。
 電子署名法では、認定認証事業者等に対し虚偽の申込みをして不実の証明をさせた者は3年以下の懲役又は200万円の罰金に処すると規定されております。しかし、本法案では、認定電子委任状取扱事業者に対し虚偽の申込みをした者に対する罰則規定がありません。大丈夫なのかと。
 そこで、想定される二つのケースの対応について聞きます。
 一つは、法人の代表者と偽った者が電子委任状取扱事業者に登録し、虚偽の電子委任状を保存させた場合の対応。例えば、有名会社の社長をかたって偽物の電子委任状を作成し、相手をだまそうとするケース。二つ目に、法人の正当な代表者が委任の事実がないにもかかわらず虚偽の電子委任状を保存させた場合の対応。例えば、社長から委任されたはずの社員と契約を交わしたのに、後から社長が委任した覚えはないなどとして契約無効を主張するケースなどがあると思われますが、それぞれどう対応されますでしょうか。

谷脇局長 お答え申し上げます。
 今委員から二つの事例についてお尋ねがございました。そのうち、法人の代表者と偽った者が認定電子委任状取扱事業者に虚偽の登録をし、虚偽の委任状を保存させた場合でございますけれども、事案の具体的な内容にもよりますけれども、基本的には刑法第161条の二に規定をいたします電磁的記録不正作出罪の適用があり得ると考えております。
 また、お尋ねの第二の事案でございますが、正当な代表者が委任の事実がないにもかかわらず虚偽の委任状を認定電子委任状取扱事業者に保存させた場合につきましては、これも事案の具体的な内容によりますけれども、民法第109条に定めます表見代理の規定の適用によりまして民事的に解決が図られる場合があると考えております。

山下よしき 次に、電子委任状制度が広く利用されるためには利用コストが重要となってくると思います。総務省としてどの程度の利用料金を想定しているでしょうか。

谷脇局長 お答え申し上げます。
 電子委任状を利用する場合、利用者の方は認定事業者に対し所定の利用料金を支払うこととなります。この認定事業者の利用料金につきましては、システムの運営に要する費用などを勘案し、それぞれの認定事業者が個別に設定することとなるため、一概には申し上げることはできないところでございます。
 また、実際に電子委任状の利用には電子署名のそのものの利用も必要となることから、電子委任状の利用者は電子署名に必要なコストも併せて負担をすることとなります。この電子署名の手段として民間認証事業者の電子証明書を用いる場合、おおむね利用者1人当たり年間1万数千円程度の料金が発生いたします。
 政府といたしましては、認証業務と電子委任状取扱業務、このいずれにつきましても複数の事業者を認定し、事業者間の競争を促すことを通じて料金水準の適正化を図ってまいりたいと考えております。

山下よしき 確定的なことは今言えないということだったんですが、私は、これ紙の委任状なら、たとえ遠隔地であっても郵送すれば委任状としての効力は発揮できるので、郵送料と紙代ぐらいで済むわけですね。ですから、それよりも低額な利用料でなければこの電子委任状制度というものがなかなか普及できないのではないかと思っております。
 電子委任状取扱事業に手を挙げている事業者に直接聞いてみました。既に実施している電子契約書保存サービスというサービスの利用料は、初期料金20万円、月額料金4万円だそうでして、この電子契約書保存サービスのオプションとして電子委任状サービスの導入が予定されているということでありました。つまり、電子契約書保存サービスの利用料、初期20万円、月額4万円の上に、新たに電子委任状サービスの利用料が掛かることが想定されます。
 となりますと、それなりの規模の企業なら利用メリットはあると思います。例えば大企業でしたら、年間数千から数万の契約を締結するでしょうし、この電子契約書保存サービスを利用することによって、紙の契約だと掛かってくる印紙税あるいは契約書保管コストなど、かなりの額を節約することができます。先ほどの利用料金を支払っても十分お釣りが来ると思われるんですが、しかし小規模事業者や個人にとっては、初期20万、月額4万プラスアルファの料金を払っても、それほどコスト的なメリットはないと思われます。
 そう考えると、私は、小規模事業者や個人は電子委任状制度を利用しなくてもいいと、今までどおり紙の委任状を郵送すればいいという制度設計なのかと思わざるを得ないんですが、いかがでしょうか。

谷脇局長 お答え申し上げます。
 先ほど申し上げましたように、認定事業者の利用料金につきましては、システムの運営に要する費用などを勘案してそれぞれの事業者が設定することとなるわけでございます。
 現行、例えば電子商取引につきましてはまだ20数%の普及でございます。これが普及していくことによってシステムの共通的な経費の言わば割り勘をしていただく利用者の方が増えてまいりますので、私どもといたしましては、電子商取引の普及ということを通じてより裾野を拡大することによって電子委任状の利用の料金についても可能な限り引下げを図っていくという方針で臨みたいと思っております。

山下よしき それは推移を見ていきたいと思います。
 次に、電子委任状の利用には電子署名が必要となります。そのために、電子署名を格納しているマイナンバーカードの活用が促進されると思われます。そこで、マイナンバーカードに関わって質問します。
 アメリカでは、日本のマイナンバーに当たる社会保障番号、SSN、ソーシャルセキュリティーナンバーを、福祉の補助金や税金の納税申告及び還付などの行政手続、あるいは進学、就職、銀行口座の開設、クレジットカードの取得の際の身分証明としても使用してきました。現在、そのSSNの漏えいによる成り済まし被害が深刻になっております。2014年には、アメリカの16歳以上の人口の7%に当たる延べ1760万人がSSNに関する被害に遭いました。最も多いのは、他人に成り済ましてクレジットカードを発行し、買物をするケースであります。成り済ましによる銀行口座開設も起きているとのことであります。
 ここには、私はアメリカのSSN固有の問題にとどまらない重要な教訓があると思います。第一に、共通番号はその用途が拡大すればするほど被害も大きくなるということであります。SSNも、創立当初の福祉から、先ほど述べたように用途が次々と拡大されてきました。そのことが、漏えいしたときの被害を多方面に拡大することになっております。利便性の増大がリスクの増大を招いている。
 高市大臣、共通番号制度にとって私これは重要な教訓だと思いますが、大臣の御認識いかがでしょうか。大臣どうぞ。

高市早苗総務大臣 アメリカでは、従来、ソーシャルセキュリティー番号が利用制限なく、官民問わず幅広く利用されてきました。そして、厳格な本人確認がなされずソーシャルセキュリティー番号だけで事務処理が行われてきたということなどが、漏えいや成り済ましなど御指摘のような事例の発生に影響したんじゃないかと考えております。
 我が国のマイナンバー法では、アメリカなど諸外国の教訓も踏まえまして、マイナンバーの利用や提供の範囲を法律又は地方公共団体の条例に限定的に規定しています。そして、マイナンバーの取扱者には安全管理措置義務を課しています。本人からマイナンバーの提供を受けるに当たっては、マイナンバーカードなどで本人確認を行います。こういった情報漏えいや成り済まし被害の防止に必要な様々な措置を講じており、アメリカとは状況が異なると考えています。
 また、マイナンバーカードの利活用につきましては、マイナンバーそのものを利用するのではなくて、マイナンバーカードの電子証明機能などを本人確認、本人認証の手段として利用するものですから、むしろ厳格に本人確認が行われるようになるということで、それほど先生がおっしゃるような御懸念には当たらないと考えております。

山下よしき アメリカのSSNと日本のマイナンバーあるいはマイナンバーカードの違いはもちろん承知しております。ただ、そういうことを聞いているんじゃないんですね。一つの番号でその用途をどんどん広げていけば、落とすことだってあるわけですよ、その場合の被害はどんどんどんどん拡大する、盗まれたり紛失したりした場合ですね。ですから、共通番号の用途が拡大すればするほど被害も大きくなるということを、私はこれは他山の石として日本でも教訓としなければならないと思うわけですが。
 日本でもマイナンバーカードの普及促進のために、先ほどの質疑でもありましたロードマップでこれからいろいろな用途が拡大されようとしておりますので、そのリスクをしっかり考える必要があるんじゃないかということを、私はアメリカのこの今の事例からつかむ必要があるんじゃないかということを提起しているわけであります。
 それから、このアメリカのSSN、ソーシャルセキュリティーナンバーの漏えいでは、税金の還付金をだまし取る成り済まし犯罪が非常に目に余る形で広がっているようです。アラバマ州では、以前勤めていた雇用主のデータベースから多数の氏名とSSNを入手し、不正な納税申告書を提出し、税金の還付金をだまし取った事例があります。テネシー州の事例では、インターネットの地下ウエブサイトからSSNなどの身分確認情報を多人数分得て、多額の税の還付金を詐取する事件も起こりました。
 ここからが大事なんですけれども、こういうことが続発して、対応に苦慮したアメリカの内国歳入庁、IRSは、2011年、不正申告の被害者向けに別途、身元保護個人納税者番号を交付し、その利用に踏み切っております。それから、国防総省も、2012年、共通番号として長く使用してきたSSNの使用をやめて、新たに国防総省本人確認番号を使用することを決めました。アメリカでは共通番号をやめて分野別番号への転換が始まった、ここに私は第二の教訓があると考えますが、大臣の認識いかがでしょうか。

向井治紀(内閣官房内閣審官) お答えいたします。
 我が国のマイナンバー法では、マイナンバーは法律又は条例に規定する社会保障、税、災害対策の各分野の事務に利用を限定してございます。また、先ほど大臣から御答弁がありましたとおり、厳格な本人確認措置を実施するなど、すなわちマイナンバーそのものは本人確認としては使っていないということでございます。米国とは制度と運用が異なるといった状況でございます。
 我が国のマイナンバー制度は、より公平公正な社会保障制度や税制の基盤であり、また、情報社会のインフラとして国民の皆さんの利便性の向上、行政の効率化に資するものとして導入されたものでございます。
 政府といたしましては、この理念に沿って、制度の適切な運用と充実に努めてまいりたいと考えております。

山下よしき もう何回聞いても、日本のマイナンバーは大丈夫だ、カードも大丈夫だという答えしか返ってこないんですが、私、日本年金機構から125万人分の個人情報が流出した問題を内閣委員会で取り上げた際に、内外の個人情報大量流出事件から共通して酌み出すべき四つの教訓ということを提起させていただきました。
 一つは、個人情報の漏えいを100%防ぐシステムの構築は不可能だと。これ、どんなシステムをつくっても必ず破ってくる勢力があるということです。
 それから二つ目に、組織の内部に意図的に情報を盗み、売る人間が一人でもいれば、そこから大量の個人情報が流出する危険があるということ。
 そして第三に、一度漏れた情報は取り返しが付かない、流通し、売買されると。これは日本でも起こりました。教育関係の個人情報が大量に流出したことが教育関係のダイレクトメールなんかに利用された例があります。
 それから、四つ目に、情報は集まれば集まるほど利用価値が高くなって逆に攻撃されやすいということでありまして、この四点は菅官房長官も全部それは同意されました、そういうリスクはどんどんどんどん高まってくるであろうと。
 紹介したアメリカの例もこの四つの教訓に当てはまる部分がかなりあると思っております。そこで、アメリカは教訓を踏まえて共通番号から分野別番号へと転換を始めたわけです。
 高市大臣に伺いますが、私はマイナンバーとマイナンバーカードを所管する高市大臣には、こうした教訓を、今日挙げたアメリカの例だけではありません、もう世界中で個人情報の大量流出が起こっておりますから、やはりそういう教訓を踏まえた対応が求められると思いますが、いかがでしょうか。

高市総務相 まず、マイナンバーカードについての説明をしたいんですけれども、まず、個人情報が一元管理されるわけじゃございません。分散管理をしています。それから、マイナンバーを直接用いるというのではなくて、符号を用いた情報連携を実施するということになっています。また、アクセス制御でアクセスできる人の制限管理も実施します。それから、通信の暗号化も実施いたします。そして、カードそのものはもう相当工夫されており、偽造などができない、こういうカードになっております。それから、番号そのものだけが漏れたからといって芋づる式に個人情報が引き出されるということにはなっておりません。
 アメリカが分散的なものにしていくということですが、そもそものソーシャルセキュリティー番号で起きた様々な事象を捉えて、同じ轍を踏まぬように十分議論をして今のマイナンバー制度及びマイナンバーカードというものの制度設計をいたしております。

山下よしき 次々と起こっている個人情報の大量流出からしっかり教訓を酌み取る必要があるということを提起したわけで、今のマイナンバーカードそのものがアメリカのSSNと違うというのはもう承知した上で言っているわけですね。
 ですから、これは、これからどんどんどんどん利用拡大し、普及し、用途も拡大しようとしているときだけに、こういう問題が、リスクが高まる危険性ありますよということもしっかり受け止めなければならないということをあえて申し上げて、時間が参りましたので、終わります。