ペンタセキュリティシステムズは10月1日、「マイナンバーは安全なのか」と題するセキュリティコラムを公開した。コラムでは、韓国で実施されている住民登録番号と比較して、日本のマイナンバーの安全性を解説している。

住民登録番号は1968年から韓国で実施されている制度。生年月日、性別、出生地、検証番号などが個人に対し13ケタの数字で割り当てられ、番号で個人を特定できる設計となっている。

開始当初はセキュリティ上の問題は起きなかったものの、近年は多数の情報漏洩事故が発覚し、社会問題になっている。問題となった理由について、コンピューターシステムで個人情報を取り扱うようになったからと指摘している。

コンピューターで使われる個人番号の機能は「識別(Identification)」と「認証(Authentication)」に大別され、個人番号を通じて当該個人が誰なのかを「識別」し、その人が番号に当たる人であるかどうかを「認証」する仕組みになっている。

住民登録番号の情報漏洩事故の多くは、住民登録番号を「識別」と「認証」の機能を区分せず混用したこと、個人番号の暗号化を行っていなかったことが主な原因となっている。住民登録番号に個人を特定できる情報が盛り込まれていたため、さらに問題は深刻化した。

「識別」と「認証」機能の混用する危険性は、住民登録番号を通じて個人の身分を確認したり、入力者が個人番号保有者の本人であることを証明したりしてしまうこと。さらに、他人の住民登録番号がわかれば、その人になりすますことも可能である。

問題が起きた経緯を受け、韓国政府は現在、個人情報関連法の改正を進めている。方向性は「識別」と「認証」の完全な分離と安全な保管を目指すのが妥当と同社は分析している。

一方の日本国内のマイナンバー制度において住民登録番号と大きく異なるのが、個人情報が盛り込まれていない点だ。また、現時点での政府の発表によると、個人を「識別」するためにのみ使われ「認証」には使われない方針になっている。

マイナンバーの仕組みは、任意の人が誰なのかを「識別」して特定し、その後本当にその人なのかをマイナンバーとは別の「認証情報」を通じて確認する。「認証情報」とは、その人のみが知っている知識、その人のみが持っている所有物など。同社は、住民登録番号関連問題を見てきた経緯からマイナンバーを分析すると、現時点で一応「安全」だと判断できるという。

同社は、マイナンバーが安全だと見なすポイントとして以下を挙げている。

  • マイナンバーは「識別」のためにのみ使われるべき。「認証」には使ってはいけない。

  • 暗証番号、生体情報などの認証情報は、識別者のマイナンバーとは別のものでなければならない。

  • 個人情報と認証情報は、それぞれ暗号化して安全に管理しなければならない。

  • 両情報は物理的に分離された場所に保管することを推奨する。

  • 暗号化する場合、暗号鍵を徹底管理することによりセキュリティを高めなければならない。

なお、改正に向かう韓国の個人情報関連法では、個人情報と認証情報を分離し、暗号化して保管。住民登録番号に代わる他の識別者番号制度を作り、細心の注意を払って住民登録番号を収集するようになる。この点を踏まえ、住民登録番号はマイナンバーと類似した方向性になると見られている。