国境なきサイバー空間での信用性
日本で2016年にマイナンバー制度が施行されて今年で7年が経過する。現在、政府により健康保険証との一本化が急ピッチで進められているが、そもそもマイナンバー制度とはどのような目的のもと施行され現在に至っているのか、このことをきちんと理解している国民は少ないのではないだろうか。「マイナンバーを生かすも殺すも国民次第」。こう説くのは、マイナンバー制度の基盤となる電子認証技術の開発に2000年から携わり、現在はサイバー空間での信用性を保証するためのトラストサービスの普及に尽力している慶應義塾大学環境情報学部の手塚悟教授だ。
トラストサービスとは、サイバー空間において、そのデータが改ざんされていないことの証明やデータの信頼性チェックを技術的に行える、電子署名、eシール、タイムスタンプなどの電子認証サービスのことである。トラストサービスが普及することで、オンライン上でも重要な契約を締結することも可能となり、業務の効率化が見込めるようになるが、日本ではトラストサービスの普及が遅れている現状がある。
日本におけるIT戦略は、2001年に政府が「e-Japan戦略」を打ち出した頃から始まったが、紙文化やハンコ文化が根強くデジタル化がなかなか進まなかった。しかしコロナパンデミックを経て、ようやく政府もデジタル化とそこに欠かせないトラストサービスの普及に本腰を入れ始めた。
サイバー空間はなりすましやデータのすり替え、改ざんがされやすい空間であり、これを前提とした上でサービスを提供する必要があるという。日本人の思想にある性善説を前提に作られた今のシステムでは、国境のない信用ゼロのサイバー空間では通用しないとのことである。サイバー空間においても、信用できる相手と、信用できるデータをやり取りできる環境を確保するにはどうすればいいのか。長年、電子認証技術の開発と法整備に携わり、データと人の真正性を確保するトラストサービスの重要性を国に提言してきた手塚教授に今回お話を伺った。
(聞き手:鈴木)
手塚教授は義塾をご卒業後、日立製作所に研究職で入られ、2000年からは政府との官民プロジェクトである電子認証基盤の開発に携わられてきました。その辺りの経緯を教えていただけますか。
(手塚教授)
1993年頃からインターネットの商用化が始まりました。それ以前のインターネットは、学術分野での利用が進められてきましたが、次第に今のように商業の分野でも利用されるようになりました。その時に重要課題となったのが情報セキュリティ、今で言うサイバーセキュリティです。
私は大学では数学を学んできたので、暗号のアプローチから、インターネットを安全に利用するにはどうしたらいいかを長く研究してきました。当時、企業が国のシステムを作る動きがあり、2000年にマイナンバーの元になる仕組みである電子認証基盤を、国と私企業とが協力して開発するプロジェクトが始まりました。その頃は日立の研究者として関わっていましたが、大学の人間として関わる方がより視野を広くして中立的な立場で研究ができると思い、その後大学に移って研究を続けてきました。
(鈴木)
電子認証基盤の開発が始まったのは、マイナンバー制度実現のためだったのでしょうか。
(手塚教授)
マイナンバーは国民に対して振り分けられた番号ですが、電子認証というのは従来紙の書類上でされていたハンコの電子化のことです。2003年までに「電子政府」の実現を目指していた政府は、データのすり替えや改ざん、なりすましを防ぐ技術の開発を2000年から進めていました。当初は電子政府実現のためでしたが、その後電子認証基盤の技術を、国民に対して番号を割り振るマイナンバー制度にも利用することになりました。
当時私は主に技術面でこのプロジェクトに携わってきましたが、並行して法律面では電子署名法の制定に関わってきました。IT関連の法律の制定では、実際にどのような技術が使われ、それにより法律にどのように反映されるべきかをわからないといけないので、理系の人がもっと活躍していいと思います。私も法律制定に関わるのはその時が初めてでしたので、技術の法的な表現を勉強しました。理系の人は仕様書を作ってまとめますが、それをさらに法律としてはどう法文に落とし込むべきかを学ぶ良い機会になりました。
近年は、電子署名法やマイナンバー法を国際的に他国と相互連携できるよう、その実現のために動いています。国内でのこれらの法律は固まってきたので、次は国際間ということです。自国で署名された電子署名(*1)が、相手国でも有効とされるには、国際相互連携を図り、技術面でも法律面でも連携相手に認めてもらう必要があります。現状では、日本の電子署名が相手国で認められるかと言うと、それが法廷闘争にまで進んだ場合には有効になりません。それはあくまでも、契約者同士がお互いに「良い」と言えば成立する話で、有効性はそこまでです。
(鈴木)
現在、日本で電子署名はどの程度普及しているのでしょうか。
(手塚教授)
ここ数年でようやく普及率が上がってきましたが、日本は紙文化が根強く、普及には時間がかかっています。日本は世界一の紙文化を作ったと言ってもいいほどで、紙であることへの問題意識を持ちませんでした。そのため、強制的に紙からデジタルに切り替えなさいと言わない限り、いくらデジタルのプラットフォームを作っても移行しませんでした。
しかし2019年以降のコロナパンデミックにより、電子署名の普及は加速しました。押印のためだけに出社するのはおかしいという気風が生まれたためです。パンデミックの影響で、電子署名だけでなくあらゆるDX化が急速に進みました。これくらい大きな事態が起きないと日本人の場合、紙文化から離れがたい体質がありました。
(鈴木)
私は普段リモート勤務ですが、いまだに押印のためだけに三田キャンパスに出勤することがあります。
(手塚教授)
それは組織母体としてのルールがまだ定まっていないためです。一般企業ではオールデジタル化の方向へ急速に変化しています。ただ国内全体で見ると、日本では政府がデジタル化を進める際も、従来の制度を残しつつ進めるのでやり方がマイルドです。
一方、隣の国の韓国は反対で、デジタル化を推し進めた際、紙の文化はやめろと国が半ば強制的に進めました。そのため、国民間でデジタルデバイド(情報格差)が生じ、デジタルに弱い人は社会的弱者になりその中から大きな不満が生まれました。日本はそういった大きな不満や問題が起こらないよう、従来のやり方も残しながら慎重に新しいやり方を進める国です。現在、マイナンバーカードを健康保険証と一体化させる動きを国は推し進めていますが、そこにはマイナンバーカードを国民に常時携行させたい意図もあります。
(鈴木)
なぜマイナンバーカードを常時携行させたいのでしょうか。
(手塚教授)
マイナンバーカードが全国民共通の顔写真付きの身分証明書となるからです。今は身分を証明する際は運転免許証を提示する人が多いですが、免許証を持っているのは国民全員ではありません。日本は安全な国であり、同一民族系が多いため、顔写真付きの身分証明書を常時携行する必要性を感じる人が多くありませんでした。しかし、国際化とそれに伴う外国人の流入が今後も進むことを考えると、身分証明書の携行を習慣化させる必要性が国として出てくるわけです。
(鈴木)
私もマイナンバーカードを持っているのですが、万一落とした場合のことを考えてしまい、普段携行はしていません。マイナンバーカードをもし落として悪い人に拾われた場合、自分の全個人情報が漏れてしまう危険性はないのでしょうか。
(手塚教授)
カードに記載されているマイナンバーはマイナンバーを作る際に設定したパスワードとセットで専用のシステムに入力しなければ中の情報は見ることができません。扶養控除申告書や年金の種別切り替え時にマイナンバーを書く欄がありますが、担当職員の中でもマイナンバーを専用システムに入れて確認できる人は限定されており、閲覧できる情報も限られています。これらは全てマイナンバー法で定められています。
(鈴木)
国がマイナンバーを国民に割り振った目的はどこにあるのでしょうか。不正受給や脱税の防止のためでしょうか。
(手塚教授)
そこが主目的ではありません。マイナンバーができるまでは、基本四情報で本人を特定していました。基本四情報とは、氏名、生年月日、性別、住所です。しかし、氏名には外字のある人もいるため、自治体のシステムが違うと外字のコードが違ってしまって、コードのコンペアができませんでした。データベースをやっている人はわかると思いますが、データを整理できるようインデックス(見出し)をつけます。マイナンバーはどの省庁・自治体でも共通の、国民というデータベースのインデックスであり、横串を刺すためのものです。これにより、どこの省庁・自治体にその人の情報が入っていようと情報連携ができるわけです。例えば本人が年金の状況を知りたい場合は、年金事務所へ行かなくても近くの役所へ行けばわかるようになりました。
(鈴木)
国がマイナンバーカードを保険証と一体化する理由は、常時携行させたいため以外にもあるのでしょうか。
(手塚教授)
それ以上の目的が別にあります。転職などをして健康保険の種類が変わると健康保険証の番号も変わりますよね。その切り替えの際に番号間違えのケアレスミスが生じると、年金受給の際に問題が起こります。つまり消える年金問題です。これを防ぐために、生まれてから死ぬまで変わらない番号としてマイナンバーが作られました。保険証との一体化は、消える年金問題を防ぐことが、より重要な目的と私は見ています。
(鈴木)
最近は、マイナンバーカードを作るとポイントがもらえることを大きく打ち出して、カード保持者を増やしていますよね。ただ、マイナンバーカードの本来のメリットや国の意図を国民は理解していないように思えます。
(手塚教授)
国はこうしたメリットを伝えようと広報を頑張っていますが、実際のところマイナンバーカードについて誤解している人は少なくありません。マイナンバーの数字だけで個人情報が他人にわかってしまうのではないか、芋づる式で全ての情報がわかってしまうのではないかといった質問はよくされるのですが、そのようなことはありません。そんな安易なシステムを国が作るわけがないのですが、あとは「政府を信じるか」によります。何をやるにおいても、政府を信じない人は政府が行う制度や提案に応じません。日本人は政府を信じない傾向がまだ強いです。
(鈴木)
先生はトラストサービスの普及にも長く取り組んでいらっしゃいますが、こちらについて教えていただけますか。
(手塚教授)
みなさんはGAFAなどのサービスを利用する際、まず自分のアカウントを作るために情報登録しますよね。あれは私から言うとトラストサービスに欠けていると言えます。嘘の情報でも登録できてしまうからです。つまり悪用者にとってはおいしい市場なわけです。簡単になりすましができてしまいます。こうしたなりすましやデータの改ざんを防ぐために、国境のないサイバー空間でも、そこでやりとりされるデータと、やりとりする相手の真正性を技術的に確保するサービスがトラストサービスです。日本ではトラストサービスを実現できる技術はほぼ揃っているのですが、法整備がまだ追いついていません。欧米とのトラストサービスにおける国際連携も目指していますが、法整備が整っていないことが足枷となっています。
国家安全保障におけるトラストサービスに関して、サプライチェーンの場合を挙げてみます。ここではバックドア(悪用者が仕込む裏口)が仕込まれていない製品を作らないといけないわけですが、バックドアのない製品であることをどう保証するか。今後は国際的にも認められるレベルでの製品保証をしていく必要があります。製造の各過程における仕様書、つまりデータの改ざんやすり替えがなされていないことを保証しなければいけません。
また、人の問題もあります。身元保証された、信用のできる人が製造しているということです。極端に言えば、雇用されて製造に携わっている人がスパイではないことを保証しないといけない、ということです。アメリカでは防衛産業において、セキュリティクリアランス(*2)によってこうした厳格なチェックがなされています。今後は防衛産業だけではなく、重要インフラ産業、例えば電力、鉄道、通信、金融産業などにおいて、安全に運用されているか、運用している人たちが信用できる人であるかどうか、ということを今まで以上にきめ細かくチェックしていかないといけません。
日本でアメリカのセキュリティクリアランスのようなものをそのまま導入するのは難しいと思いますが、アメリカに近いレベルで、製造に関わる「データ」とそこに携わる「人」の信頼性の保証を今後していかないと交易がしづらくなってきます。この「データと人の真正性」を確保するための技術として利用されるのがトラストサービスです。トラストサービスはグローバルサプライチェーンにも大きく関わってくるので、法整備は喫緊の課題です。
(鈴木)
これからのグローバルマーケットで日本が取引相手国として認められるためには、自国の製品が、改ざんのないデータのもと、信用された人間の手によって製造されたものであることを、他国に対してきちんと保証できる制度を国として整えなければいけないということですね。
(聞き手/文章 鈴木薫)
*1電子署名:その電子文書が正式なものであり、かつ改ざんされていないことを証明するもので、紙文書におけるサインや押印と同様の効力を持つ。電子署名を行うには電子証明書を発行する必要があり、 民間の事業者や登記所に申請することで取得できる。
*2 セキュリティ・クリアランス:国家機密等の機密情報を扱う職員に対して、その適格性を審査・確認すること。 従事するポジションのランクが上がるほど、必要とされるクリアランスレベルも上がる。
手塚悟教授 Profile
1984年慶應義塾大学工学部数理工学科卒。同年(株)日立製作所入社,2009年度より東京工科大学コンピュータサイエンス学部教授、2016年度より慶應義塾大学大学院政策・メディア研究科特任教授、2019年9月より慶應義塾大学環境情報学部教授、現在に至る。
デジタルトラスト協議会代表、トラストサービス推進フォーラム代表、日本トラストテクノロジー協議会代表、日本セキュリティ監査協会会長、第5世代モバイル推進フォーラムセキュリティ調査研究委員会委員長、情報ネットワーク法学会理事長、日本セキュリティ・マネジメント学会常任理事、デジタル・フォレンジック研究会理事、情報処理学会コンピュータセキュリティ研究会専門委員、日独シンポジウムプログラム委員等。