海外のマイナンバー≪4≫漏えい被害を限定的に防止するセクトラルモデルのオーストリア

オーストラリアでは、分野ごとに異なる番号を使用する「セクトラルモデル」と呼ばれる方式を導入しています。セクトラルモデルは、情報が漏えいした場合の被害を限定的に抑制できる反面、システム導入のコストが高いなどの問題点があります。

オーストリアのセクトラルモデル

オーストリアでは、税・社会保障分野では、従来から社会保険番号が両分野の共通番号として機能している。
社会保険番号は、社会保険組合の統括組織である社会保険機関中央連合が発行する。
税分野では納税者番号として活用されており、社会保障分野では、社会保障給付の不正受給を防止し、給付の適正化を図るために活用されている。

電子政府推進のために近年では様々な行政サービスがセクトラルモデルと呼ばれる方法で連携されるようになったが、税・社会保障分野では現在も、社会保険番号が利用されている。

その理由は、
①税分野における番号は「見える番号」であることが望ましいこと、

②社会保険番号が国民にとって既に馴染みのある番号となっていたこと、である。

なお、オーストリア政府は、今後、税・社会保障分野も、セクトラルモデルに移行する予定のようである。

住民登録番号をベースとした行政分野別番号により、国民の情報を管理(セクトラル方式)。

○ セクトラル方式による住民登録番号をベースとした住民情報の管理と、社会保障番号による住民の所得情報の管理は別系統のシステム。

所得情報を社会保障担当官庁等と共有する場合には、現在は社会保障番号を活用。

○ 今のところ、全地方自治体(約2400)の1/6が、政府の電子行政手続きのポータルサイトから行政手続きができるようになっており、地方政府にも開かれたシステムとなっている。

Happy Oktoberfest Lovers ベクトルアート | Getty Images (41064)
via www.gettyimages.co.jp

3つのレベルの国民ID番号を使用

オーストリアのセクトラルモデルと呼ばれる管理方式では、3つのレベルの国民ID番号(ZMR-Zahl、SourcePIN、ssPIN)を連携して使用します。
セクトラルモデルを採用したオーストリア

オーストリアでは、日本の住民票コードに相当するCRR番号から、第三者機関であるデータ保護委員会において、個人認証用の電子識別番号(ソースPIN)を作成し、さらに同番号から行政分野別番号(ssPIN)を作成するという3層制の分野別番号制(セクトラル・モデル)を採用しています。

オーストリアでは、セクトラルモデルが有名である。

オーストリアの国民番号は、ZMR-Zahlという全員についている番号だが、これを電子的認証用途に使うには、第三者機関であるデータ保護委員会にソースPINの発行を請求する。

データ保護委員会は、本人の持つICカード上にソースPINを書きこみ、これがクレデンシャルとして使われる。

国民登録番号(ZMR-Zahl)

•出生時に国民登録機関(CRR: Central Register of Residents)により採番され、全国民に付番される生涯丌変の番号であり、一意性、悉皆性を有す。
Der Liebling  ~蚤の市フリークの雑貨手帳~の画像|エキサイトブログ (blog) (41858)
via derlieb.exblog.jp

SourcePIN

出生時に付番された番号をそのまま行政サービスを利用する際のIDとして利用するのではなく、ZMR-Zahを暗号化したもの(SourcePIN)をICカードに格納して使用している点にある。

SourcePINは、本人のみが所持するICカード上に生成されるだけで、他には存在しない。

さらに行政サービスを利用する際には、行政サービス分野毎のサービスID(オーストリアでは「Sector ID」と呼ぶ)とSourcePINを連結し、そのハッシュ値をアクセスID(ssPIN)として使用する仕組みとなっている。

SourcePIN

ZMR-Zahlに対して暗号処理(Triple DES:共通鍵暗号方式である「DES」を三重に適用するようにした方式)を行うことにより、新たなID(SourcePIN:sPIN)を作成する。

このため、SourcePINからZMR-Zahlを推定することはできない。

この処理は大統領が任命する裁判官、公務員を含む6名からなるデータ保護委員会の管理のもとで、自然人(人間個人)については連邦内務省、その他については連邦財務省の業務として実施され、暗号の鍵はデータ保護委員会が管理する。

作成されたSourcePINは、非公開情報であり、作成後はeIDカードのみに格納され、本人以外は知ることはできない。

もし、SourcePINを作成後本人のeIDカード以外に保存した場合は罰則の対象となる。

ssPIN(Sector-specific IDs)

オーストリアでは、電子申請のために市民カード(Citizen Card)が用いられる。

市民カードを用いた電子申請では、分野別に異なるssPIN(sector specific Personal Identification Number)と呼ばれる番号が用いられる。

異なるssPINを用いる分野としては、2013年現在、労働、統計、教育研究等、26の分野が定められている。

市民カードの中には、ssPINを計算するための基になるソース、PIN・氏名・生年月日・電子証明書の公開鍵などから構成されるIdentity Linkと電子証明書、署名を作成するための秘密鍵などが保存されている。

オーストリア型セクトラルモデルは、漏えい被害が少ない!?

「分野ごとの異なる番号」を採用すべきと主張する識者は、オーストリアで採用されている方式、いわゆるセクトラルモデルが好ましいと考えている。

オーストリア方式が好ましく見えるのは、分野ごとに異なる番号を使っているため情報が漏洩しても番号でマッチングされないこと、および連携用番号の生成に複雑な手順や高度な暗号化技術を駆使していることで安全性が高いと見えること、による。

行政サービス単位や共通管理単位ごとにトランザクションID を異なるものにすることでトランザクションID の漏えいにともない発生する影響範囲を行政サービス単位や共通管理単位に限定することができる。

セクトラルモデルを採用しているオーストリアの事例にみられるように、行政サービス単位や共通管理単位ごとにセクターID を付番し、それぞれのセクターID とマスターID を組み合わせた数列(もしくは文字列)に対してトークナイゼーションを行うことで、セクターごとに異なったトランザクションID が生成される。

社会保障・税番号大綱案を読み解く(9)、情報連携基盤の運営機関は冷静に考えよう - Manaboo 電子政府・電子申請コラム  (41114)
via blog.goo.ne.jp

多額の費用と煩雑な手続き

セクトラルモデルは、情報が漏えいした場合の被害が限定される長所がある反面、システム構築に莫大な費用がかかり、情報の連携にも煩雑な法的手続きが必要になるなどの短所があります。
セクター定義のための全体最適化計画が必要

個人情報の連携には法的手続きが必要になる
(自らの裁量の情報連携は不可能にしている)

オーストリアのセクトラル方式を考えた場合、既存の分野・業務別番号にssPINを結びつける作業が発生する。

さらに1700以上の自治体もとなると費用も時間も運用負荷も大きくなる。