デジタル庁「デジタル認証アプリ」の危険性

国民をデジタル管理・監視するシステムが具体的になってきました。

日経XTECH(2024/2/26)
マイナカード利用「認証アプリ」、個人の利用状況を国が一元管理のプライバシーリスク

デジタル庁が2024年4月から提供開始予定の、マイナンバーカードを使って本人確認をする「デジタル認証アプリ」に、プライバシーリスクの指摘が相次いでいる。個人が行政や民間企業のサービスのログインなどで同アプリを使って認証することで、その本人の様々なサービスの利用状況をデジタル庁のサーバーに蓄積するためだ。

デジタル庁の狙い通りに、同アプリが多数のサービスでの本人確認に利用されるようになると、国家が個人について広範囲に情報を把握することとなり、不当なプロファイリングなどにつながるリスクがある。しかも同アプリの運用に当たり、プライバシー保護のための特段の規律は公表されておらず、ガバナンスが不十分との指摘がある。

デジタル庁が開発を進めるデジタル認証アプリとは、マイナンバーカードの内蔵ICチップに搭載する電子証明書を読み取り、オンラインで本人確認を行うためのアプリである。主にオンラインサービスのログインなどで、本人確認のために利用する用途を想定している。


 
デジタル庁が運用するデジタル認証アプリのサーバーに、「電子証明書発行番号」「事業者別リンクコード」「認証状況」などの情報が残る。
電子証明書発行番号は個人のマイナンバーカードと1対1でひも付き、事業者別リンクコードはサービス事業者と1対1でひも付くため、誰がどのサービス事業者のサービス利用において認証を行ったかといった情報がデジタル庁のサーバーに蓄積されるわけだ。

デジタル庁幹部は、日経クロステックの取材に対し「サーバーに保有する記録の中には氏名、住所、生年月日、性別といった個人情報は含まずプライバシーインパクトは大きくないため、特段の法制度上の対応は必要ないと考えている」と話す。



e-Govパブリックコメント資料

デジタル庁が開発を進めてきた「デジタル認証アプリ」ですが、これはもう、国家が国民をデジタル管理・監視するためのツールといってもいいのではないでしょうか。

デジタル庁の幹部は、
「特段の法制度上の対応は必要ないと考えている」
と述べたそうですが、国民の個人情報とプライバシーと人権を厳格に守る気は、全くないようです。

 
例えば、「デジタル認証アプリサーバー」に保存されている情報と、「JPKIサーバー」の情報を両方参照できる人であれば、いつ、誰が、どのサービスを利用したかを把握することができます。


e-Govパブリックコメント資料(赤字は筆者が追記)

また、「デジタル認証アプリサーバー」と「サービス事業者サーバー」の両方の情報を参照できる人は、そのサービスを利用した人が、他のどのサービスをいつ利用したかを把握することができます。

おそらく、表向きは、それぞれのサーバーにアクセスできる人や組織は異なっているかもしれませんが、実際の担当者同士が連携していたり、請負先の担当者が同じという場合はありそうです。
そのような内部の担当者から情報が漏えいする可能性は、否定できないと思います。

さらに警戒すべきことは、認証の結果をどう出すかは、「デジタル認証アプリサーバー」次第だということです。
上の「システム連携想定イメージ」の図を見ると、マイナンバーカードから読み取った情報も、JPKIサーバーから取得した電子証明書の有効性確認結果も、すべて「デジタル認証アプリサーバー」を経由して、「サービス事業者サーバー」に渡すようになっています。
つまり、サービスを利用する人の認証結果は、デジタル庁(デジタル認証アプリサーバー)が最終的に決めるということです。
特定の人を恣意的に認証しないといったことも、「デジタル認証アプリサーバー」の情報を操作できる人であれば、やろうと思えばできてしまいます。

「デジタル認証アプリサーバー」に記録された情報が、いつまで保存されて、将来どこでどのように使われるのか分からないという懸念もあります。
子供の時に利用したサービスの記録が、何十年後かに誰かに知られたことがきっかけで、就職や結婚が上手くいかなくなる等、絶対ないとは言えないと思います。

 
本来なら、それぞれのサーバーの情報と情報にアクセスできる人を厳格に管理・監視するためのシステムと法制度が必要になると思いますが、デジタル庁はその必要はないと言っています。

まあ、厳格にやってしまうと、国民をデジタル管理・監視することがやりにくくなるからでしょう。

いずれにせよ、マイナンバーカードとデジタル認証アプリの取扱いには注意した方がよさそうです・・

 
<関連記事>
マイナンバーカードの電子証明書で個人を特定する方法
マイナンバーカード、やっぱり持ち歩かない方がよさそうだ
マイナンバーカード、情報流出より警戒すべき事