全2887文字
PR

 民間企業が開発し、約30の行政機関が採用する行政手続き用の本人認証用アプリに「違法」との指摘があり、行政機関が利用を一時停止する動きが広がっている。焦点は用途が厳格に制限されているマイナンバーの取り扱い方だ。

「マイナンバーはすぐ破棄するので合法」と主張

 問題が浮上したのは、行政分野のITベンチャーであるxID(クロスアイディー)が2020年4月に提供を開始した、本人識別サービスの「xID」だ。専用のスマートフォンアプリを用いて、マイナンバーカードに相当する本人認証の機能を実現したとしている。以下便宜上、法人をxID社、サービスをxIDアプリとする。

 違法性の指摘を受けているのは、サービスの初回登録時にアプリで利用者からマイナンバーの入力を求める点だ。xIDアプリは、利用者ごとにユニークなアプリ専用のIDを生成する手段としてマイナンバーを用いる。さらにマイナンバーカードから個人名や住所などを読み取る。固有のIDと個人情報の両方をアプリに登録することで、多くの手続きでマイナンバーカードを代替できる点を売り物にする。

xIDアプリの紹介
xIDアプリの紹介
(出所:xID)
[画像のクリックで拡大表示]

 xID社の日下光社長は自治体で本格採用が決まった2020年8月時点で、日経クロステックの取材に対して「マイナンバーはアプリ内ですぐに破棄し、収集や保管はしないため法令には抵触しない」と主張していた。関係省庁や顧問弁護士にも法的に問題がない点を確認しているとも発言していた。

関連記事: アプリで本人認証と電子署名 加賀市、行政デジタル化を推進

 サービス開始から1年以上たった2021年9月、セキュリティー専門家の高木浩光氏がxIDアプリの仕様について、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)を念頭に「法律違反だ」との見解をTwitterに投稿した。これにより、議論がまき起こり、石川県加賀市や愛媛県がxIDアプリの一時利用を停止したほか、採用を決めていた東京都渋谷区も対象の事業者公募での利用を撤回した。

 高木氏らの指摘を受け、xID社は対応に動いた。違法性の指摘を受けた点を自治体に説明しつつ、2021年9月24日には次期版で仕様を変える方針を示した。2021年10月6日には、個人情報保護委員会に対してxIDアプリの詳しい仕様や経緯を9月29日から説明しているところで、今後も同委員会や関係者に真摯(しんし)に対応すると公表した。

違法性の判断に2つの論点

 関係者の話を総合すると、xIDアプリがマイナンバー法に照らして適法か違法かを判断するには2つの論点がありそうだ。1つは初回登録時にアプリが利用者からマイナンバーの入力を求める点である。マイナンバー法はマイナンバーの提供を求めることができる法人や人を厳格に制限している。

 具体的には、市民からマイナンバーの提供を求めることができるのは、税・社会保障など特定の事務に携わる行政機関や、税務などで社員からマイナンバーを集める企業の担当部門や税理士、社会保険労務士などを想定した「個人番号関係事務実施者」などである。いずれも第19条で列挙している。

 そのほかは「何人も、第19条各号のいずれかに該当して(中略)場合を除き、他人に対し、個人番号(編集部注:マイナンバー)の提供を求めてはならない」(第15条)。つまり、xIDアプリはこのマイナンバー法第15条の「提供の求めの制限」に抵触する可能性がある。

 「(xIDアプリは)少なくとも提供の求めの制限には抵触している可能性が高い」。内閣官房番号制度推進室などでマイナンバー制度に長く携わったデジタル庁の幹部職員は「個人的な見解」としたうえでこう話す。個人情報保護委員会は「現在はxID社から仕様の説明を受けている段階」とするが、提供の求めの違反が論点の1つになると認める。