マイナンバー対応について~セキュリティの観点から~ 第4回 マイナンバー漏えい時の想定被害について

第3回では、マイナンバーの記載帳票とセキュリティ対策の概要をお伝えしました。
それでは、マイナンバーが漏えいすると、どのような被害が考えられるのでしょうか?第4回では、マイナンバー漏えい時に本人がこうむる想定被害について、ご説明します。

1. 海外における被害の事例は?

マイナンバー先進国の米国や韓国では、日本と異なり保護規制が厳しくなく、なりすましによる被害が発生しています。
米国では、連邦取引委員会によると、なりすまし被害は2006年~2008年の3年間で1,170万人、損害額が毎年約5兆円と報告されています。

社会保障番号の不正利用により

  • 年金および医療給付金などの不正受給
  • 失業給付金の二重受給
  • 他人の社会保障番号による銀行口座の開設

といった被害が発生しています。

また、韓国では、民間でのマイナンバー収集の弊害として、大規模な住民登録番号の漏えい、クレジットカードの不正使用が発生しています。(新規のID番号の導入を検討中)
これらの事例では、マイナンバーのみで本人確認を行うことや、用途制限の少ない環境でのマイナンバーの民間利用が、問題とされています。

2. マイナンバー漏えいによる被害とは?

マイナンバーは、住民票コードを変換した12ケタの番号でしかないため、それ単体では、使い道はほとんどありません。しかし、マイナンバーを含んだ形で個人情報が漏えいした場合は話が違ってきます。
マイナンバーの本来の役割は「名寄せ」です。特定個人の別々の情報を結合し、確実に利用しやすくすることに意味があります。また、第1回でも触れましたが、日本における本人確認では、基本的にマイナンバーの記載書類の確認(番号確認)と写真付き身分証明書などの確認(身元確認)が必要です。マイナンバーカード(個人番号カード)があれば、一枚で番号確認と身元確認が行えます。
マイナンバーが漏えいすると、そのケースによって主に以下の被害が発生する可能性があります。

  • ① マイナンバーが個人情報の不正な名寄せに利用され、個人情報の不正売買が行われてしまう。(結果的に電話、DM、電子メールなどによる不正な本人アクセスが行われる。)
  • ② 他人のマイナンバーを使用したなりすましにより、不正な行政手続きが行われてしまう。
  • ③ 将来、マイナンバーを本人確認に利用する民間事業者とのやり取りが、不正に行われてしまう。(民間利用の詳細は未定)
  • ④ 2017年以降、マイナンバーカード内の認証情報などを用いて、マイナポータルに不正ログインされ、より多くの個人情報が盗難されてしまう。(マイナポータルの詳細は未定)
  • マイナンバー漏洩図

    3. マイナンバーの行政利用と想定被害は?

    マイナンバー制度導入以前から存在するリスクでもありますが、マイナンバーを悪用したなりすましにより、本人確認をパスできれば、正規の手続きの振りをして、行政手続きが不正に行われる可能性があります。今後、マイナンバーカードが免許証やパスポートなどと同等に身分証明に活用されていくと、マイナンバーそのものよりも、むしろ「マイナンバーカード」が盗用されることの方が、新たなリスクと考えられます。

    例えば、マイナンバーカードの顔写真欄に偽の顔写真を貼り付けることにより、マイナンバーカードの信頼性を悪用して、本人になりすました不正な住民票の入手や書き換え、印鑑登録の変更、婚姻届や死亡届などの行政手続きが行われてしまう可能性もあります。もし、偽の顔写真の貼り付けが難しい場合であっても、マイナンバーカードの情報を手掛かりに、本人確認が困難な手続きにおいて、代理人になりすましをされるリスクも考えられます。

    また、2017年以降は、マイナポータル(情報提供等記録開示システム)の利用により、一部の行政手続きがインターネット上でできるようになる方向ですが、ログインに必要な認証情報の一部は、マイナンバーカードのICチップ内に格納されているため、認証上のリスクがあります。現時点(2015年7月現在)で詳細は不明ですが、ICカードリーダーやスマートフォンにかざして読み取らせ、認証を行う方式も想定されます。そのため、マイナンバーカードが盗用されると、不正アクセスによりマイナポータル経由で不正な行政手続きが行われ、さらには非常にプライバシー性の高い機微な個人情報にアクセスされる恐れもあります。

    4. マイナンバーの民間利用と想定被害

    マイナンバーの民間分野の利用は、現在は行わないことになっていますが、将来的には拡大していくものと想定されます。
    例えば、免許証や健康保険証、パスポートなどの身分証明に代わって民間企業が顧客の本人確認などにマイナンバーカードを利用し始めると、マイナンバーカード悪用の価値が高まり、盗難リスクが生じます。特に、インターネット通販や、自販機の成人認証などの本人確認が必要とされるシーンでのマイナンバーカードの悪用も懸念されます。

    5. まとめ

    マイナンバーのみの漏えいについては、今後1、2年の間での大規模な被害は想定しづらいですが、通知カードやマイナンバーカードそのものが盗用された場合は、影響が大きいと考えられます。もちろん、通知カードやマイナンバーカードを紛失し、不正に使用される恐れがある場合は、クレジットカードと同じように利用停止の手続きが行えますが、再発行(有料)が必要ですし、一度決まったマイナンバーは一生変更できないのが原則ですから、大切に扱わなければなりません。

    今後、マイナンバーの行政および民間両方の利用が拡充してくると、悪用のパターンも増えてくると考えられます。そのため、番号法は個人情報保護法よりも重い罰則を設けていますし、事業者だけでなく個人も罰則の対象にしています。安心安全な社会の実現のため、企業においても個人においても、マイナンバー保護のための対応は必須といえます。

    Writer Profile

    セキュリティ事業部
    セキュリティコンサルティング担当 チーフコンサルタント
    平井 功治、戸田 勝之



マイナンバー対応について~セキュリティの観点から~ 第4回 マイナンバー漏えい時の想定被害について