マイナンバーと欧州のeIDでわかる政府の視点の違い

あるツイートを読んで、行政に携わる人の考え方が気に入らないと思った。

個々の公務員は、業務上の必要があって個人情報にアクセスする。必要があれば、堂々とアクセスすれば良く「誰が」何の目的でアクセスしたかは、記録が残って本人はそのログにアクセスし疑義があれば問い合わせたり糾弾したりする権利があって当たり前だと思う。公務員に匿名性が保証されてなければ具合が悪いとしたら、それは後ろ暗いことをやることがあり隠せないと困るからとしか思えない。

逆に公務員の立場で考えると、できるだけ個人情報にアクセスせずに業務が進められたほうが良い。例えば、文京スポーツセンターの職員は利用者が文京区に住民票があるか、職場があることがわかれば良いのであれば、住所を知らなくて済むほうが都合が良い。知らなければ、漏洩のポイントになる可能性もないからだ。本来マイナンバーカードのICチップに住所データが含まれている必要もなく、そのIDで文京区に照会を電子的にかけてOKかNGを返してもらえばよいだけだ。電話番号もスポーツセンターで収集する必要はなく、緊急連絡先が文京区に登録されていればそれで良い。もちろん、合意の上で収集しても良いが、収集してしまうとその管理責任が生じるので、面倒なことこの上ないのである。漏洩すれば信用も金も失うから、私が責任者なら、可能な限り集めずに進められる方法を模索する。

成熟度の低い行政は、情報をたくさん集める、あるいは管理できるのが偉い、あるいは強いと勘違いしている。主権者は個人側であり、行政はその情報を「預かっている」という考えに立っていないと、デジタル時代を乗り切ることは困難である。情報収集主体が多くなれば重複し矛盾する情報が増えるし、脆弱性も高まってしまう。

EUのページにeID for Youがある。国境を超えたサービスを提供しますよということを主張するページで、例えばeIDを持っている人はhost countryでその国のIDを取得すること無く納税が可能になるとか、求職時に犯罪歴(が無いこと)を照会可能にできる。host countryは受入国という意味で対応する概念にhome country=母国がある。母国はその個人の公的情報を預かって正確性を保証する義務を負い、受入国はその情報を信用して重複して個人情報を管理しなくて良い。

マイナンバーは、「行政手続における特定の個人を識別するための番号の利用等に関する法律」には、

この法律は、行政機関、地方公共団体その他の行政事務を処理する者が、個人番号及び法人番号の有する特定の個人及び法人その他の団体を識別する機能を活用し、並びに当該機能によって異なる分野に属する情報を照合してこれらが同一の者に係るものであるかどうかを確認することができるものとして整備された情報システムを運用して、効率的な情報の管理及び利用並びに他の行政事務を処理する者との間における迅速な情報の授受を行うことができるようにするとともに、これにより、行政運営の効率化及び行政分野におけるより公正な給付と負担の確保を図り、かつ、これらの者に対し申請、届出その他の手続を行い、又はこれらの者から便益の提供を受ける国民が、手続の簡素化による負担の軽減、本人確認の簡易な手段その他の利便性の向上を得られるようにするために必要な事項を定める

とある。目的の第一は、行政運営の効率化であって、個人の権利の確立ではない。やや悪意をもって言い換えれば、お上が下々の者を管理する仕組みである。それによって民は利便性が向上するので感謝せよと読める。

一方、欧州のeIDは、

eID is a set of services provided by the European Commission to enable the mutual recognition of national electronic identification schemes (eID) across borders. It allows European citizens to use their national eIDs when accessing online services from other European countries.

とある。欧州市民が母国のeIDで他の欧州諸国のオンラインサービスを可能にする欧州委員会によって提供されるサービス群と書かれていて、市民の権利の拡大に主眼をおいた仕組みになっている。初手から考え方が違う。

お上の視点で考えれえば、お上は下々のものの管理者で外側に位置づけるので、「各省庁の職員も、国民の個人情報にアクセスする時にはデジタルIDを使う必要があり、すべてのログが残るため閲覧された国民側に開示されます」など百害あって一利なしということになるのだろうが、eID視点で見れば、IDに結び付けられた個人情報は、個人のもので行政はそれを預かっているのだから、それにアクセスするには職員であるか否かに関わらず記録を残すのは当たり前ということになる。私は、日本のマイナンバーは法基盤自身が誤りをおかしていると思う。情報システム的視点で見る技術では欧州のeIDと大きく違うところはないが、制度は根本的に違うと考えたほうが良い。

欧州では、eIDAS(Electronic Identification and Trust Services Regulation)が規則として制定されていて、電子署名の法的効力が規定されている。気になって調べてみると、エストニアのe-Residency Digi-IDはeIDAS準拠になっている。発行者はエストニアだから、欧州規則視点ではe-Residentとして電子署名した契約の法的効力を保証しているhome countryはエストニアということになる。その法的効力の委細は考え始めると結構複雑なので本稿では触れないが、改めて欧州のeIDが権利として機能していることがよく分かる。

やさしくはないが、主権者はデジタル時代の最も重要な基盤となるeIDについて理解し、立法府に見直しを迫るべきだと強く思っている。今の法基盤の上にデジタル・ガバメントを構築しようとすれば破綻は必定だろう。eIDは憲法で国民の基本的人権の一つとして明記されて良いことだと私は思っている。