「マイナンバー」とは？ 統一番号の試みた歴史：萩原栄幸の情報セキュリティ相談室（1/2 ページ）

最近様々なところで話題になっている「マイナンバー」だが、こうした試みは古くからあり、筆者も現場で様々な経験をしてきた。「マイナンバー」にまつわる経緯を紐解いてみたい。

[萩原栄幸，ITmedia]

マイナンバーとは何だ？

　簡単にいえば、「国民一人一人について固有の12桁の番号を割り当て、原則一生涯変わることのないもの」である。法律としては「行政手続における特定の個人を識別するための番号の利用等に関する法律」がこれに該当する。「マイナンバー法」と呼ばれている。PDFでダウンロードすると200ページにもなるもので、正直、読むのはつらい。筆者も仕事として読んでいるが、興味本位で読むには相当の覚悟がいるだろう。

　マイナンバー制度そのものは、いたるところで特集や記事が掲載されているのでそちらに譲るとして、本稿では筆者なりの視点で述べてみたい。

　読者の皆さんはたくさんの「識別番号」に囲まれている。例えば30代の会社員なら、会社の社員番号、年金基礎番号、運転免許証番号、多種のクレジット番号、銀行の口座番号――多分きちんと調べれば50種類程度の番号が出てくるはずだ。こうした様々な番号は現在そのほとんどが“リンク”されていない。「山田一郎」という個人を特定しようとするなら、その作業は想像する以上に難しい。同姓同名も多ければ数百人以上もいる。名前だけで個人を特定することなど、とてもできない。

　マイナンバーのメリットに「個人を一意に特定できる」とある。これだけ聞くと、とても良いものにとらえてしまう方が多い。筆者も以前はそうだった。だが個人情報保護の“大家”である堀部政男先生（一橋大学名誉教授）と議論したり、学識経験者と学会の研究会などで意見交換をしたりしていると、デメリットも多いと気が付かされる。

　この制度が良い、悪いというにはあまり多角的な分析がなされておらず、論評は難しい。筆者としては「多数の管理番号が徘徊して困る」という政府の気持ちも、「番号でまとめられてしまうのは怖い」という市民の気持ちも理解できる。ここでのキーワードである「個人特定」「共通番号」について筆者は、いくつか苦い経験をしてきた。今回はその経験を紹介したい。

35年以上昔に苦労した「個人特定」

　筆者がプログラマー兼システムエンジニアの見習いだった新人の頃、大阪の病院で「ガン登録システム」の構築に携わった。月曜日に大阪へ行き、1週間ビジネスホテルに泊まり込んで作業し、金曜日の夜に東京へ帰宅するという日々が続いた。

　そのシステムは、医者がガンの情報を病院に郵送するというものだが、郵便代金を節約するために、なんとハガキで送ることになった。そのこと自体は筆者がプロジェクトに入る前から決まっており、いつも深夜までデバッグで追われながら、「なぜハガキなんだ？　封書にすれば個人特定の問題はすんなり解決するのに！」と思っていた。小さな費用を倹約するために巨額なシステムを構築するというのは本末転倒だと新人ながらに感じていたのだ。

　その時代はメールも携帯電話もインターネットもない。「山田一郎さんが肺ガンであり、ステージIIIである」なんていう究極の個人情報をハガキで送るのだ。これで第三者に本人が特定されると極めてまずい。だから、ハガキのあて名は「山○一〇」と伏せ字にして、後は住所コードや生年月日などの情報からシステムで「本人特定」をする予定になっていた。極めて重要な情報をハガキに記載しながら、そのハガキを見ても特定されないようにしつつ、情報をホストコンピュータへ入力すれば、本人特定と「5年の生存率」とかいう情報が導き出せるというものだ。

　そもそも、氏名で本人特定をしようにも同姓同名という問題がある。とある集落なら、何人も同じ氏名の人がいるといったこともあり得るだろう。しかし病院側は、「システムによる特定成功率は99％では全くダメ。100％にして」と要求していた。何とも不可能に近い目標だったのだ。どうグルーピングを工夫しても、台帳に存在しない患者のデータが送られてくる可能性を排除できず、そういう前提で「特定を100％成功させる」というには無理がある。当時そう思っていたら、案の定システムは動かなかった。

　成功率が95％以上程度なら、何とかなったのかもしれない。だが、そのプロジェクトの仕組みでは100％という究極の“お客様のニーズ”に応えるのは不可能だったわけだ。そもそも「ハガキで送る」といった業務フローから変えていかないと解決できない問題だったのである。