PR

 「またか」。11月20日の朝刊を見て筆者は思わずつぶやいてしまった。また振り込め詐欺である。 

 静岡市駿河区の66歳の女性が,長男を名乗る男に電話で金を振り込むよう指示され,わずか1週間で1795万円もの大金を詐取されてしまった。一人暮らしをしているその女性は,東京都内に住んでいる長男のことがよほど心配だったのだろう,犯人に指定された6口座に12回にわたって合計1795万円を振り込んだのである。

 振り込め詐欺事件では,他人名義の預金口座を悪用するケースが後を絶たない。国は口座の不正利用を防止するため,2004年12月に預貯金通帳の譲渡や売買に罰則規定を設ける法改正を実施した。しかし,どれだけ効果があっただろうか。

 2004年に振り込め詐欺の認知件数は2万5667件,被害総額283億7866万円だった。2005年は同2万1612件,251億円5186万円とやや減少したものの,2006年は9月末までに同1万3717件,180億1523万円の被害が発生し,今年も200億円を突破するのは確実。罰則規定だけでは抜本的な対策にはならないのである。

 金融犯罪の対策として,三菱東京UFJ銀行など多くの金融機関は,手のひら静脈認証方式を採用したICキャッシュカードの発行に力を入れている。これは,カードを紛失した場合や偽造キャッシュカードによる犯罪(被害額は2005年度に69億円)の対策になるだろうが,振り込め詐欺のように他人の口座に振り込んでしまうような犯罪の防止策にはならない。

 問題は,簡単に口座を開設できてしまう日本の金融システムにあるが,金融機関だけに解決を委ねられるほど事は簡単ではない。カード偽造,振り込め詐欺,ハッキングなどの「なりすまし」金融犯罪は,情報技術が進むにつれてますます複雑・巧妙になっていく。一日も早く,こうしたIT社会の影の部分にどう立ち向かうかという国の明確なビジョンが欲しい。

官主導でPKIを導入した韓国

 金融犯罪抑止の根本には,「電子的(個人)認証(Authentication)をどうするか」という政策ビジョンが必要だ。電子的な本人確認手段を確立し,適正に管理された認証システムを経ることで,行政サービスを受けたり,民間の金融サービスや商取引などにも利用できる仕組みを早急に立ち上げるべきである。

 2001年に電子署名法が施行され,公共事業などでは強制もあって電子署名を使った電子入札が行われるようになったが,民間企業同士の取引にはほとんど使われていない。また,個人が電子申請を行うときは,公的個人認証サービス(JPKI)による電子証明書を使うことになっているが,住民基本台帳カードに格納されている情報をICカードリーダがないと読み込めないことがネックで,これも普及していない。施行から5年を経てこの有様である。

 これに対し,今や世界有数のIT立国になった韓国では,現在政府主導で導入された6つのPKI(公開鍵基盤)システムが行政や金融などで稼働している。

 この国は,政府と国民との間に高い緊張関係があり,国民すべてに住民登録番号が割り当てられ,住民登録番号と連動した形で個人情報が管理されている。行政自治部の行政情報共有化委員会で決議されれば,自治体も含めたすべての行政機関で個人情報が共有されるという。

 韓国の電子認証システムへの取り組みは,1999年の電子署名法の成立から始まる。同年,インターネットバンキングが開始され,2004年には登録顧客数が2309万人に達した。国民の約半数が口座を持つほど急速に普及したわけである。これで民間レベルでもセキュリティへの関心が高まり,公的機関や金融企業を中心にPKIの導入が進んだ。政府はCA(認証局)の運営や整備に積極的に関わっている。

 かくして住民登録番号と公認認証書をベースにした電子認証システムという社会基盤が作られ,オンラインゲームやショッピング,その他もろもろのユニークな(少額)サービスがインターネット上に蔓延していった。

 韓国と日本ではプライバシーに関する考え方がかなり違う。日韓IT経営協会副会長の高橋生宗氏は,「韓国で口座を開こうとしたとき,面白いサービスを勧められた」と話す。

 ある顧客が複数の金融機関に口座を持っていたとすると,メインバンクに他行の口座情報にアクセスするIDやパスワードをすべて預けてしまう。するとメインバンクは,顧客の資産状況を見ながら,どの投資信託を買った方がいいとか,どの不動産に投資するとよいとか,逐一,資産形成のアドバイスをしてくれるというのだ。日本であれば,いかにメインバンクとは言え,自分の懐具合をすべてさらけ出すには相当勇気がいる。

 では,韓国には個人情報保護の動きがないのか,というとそうでもない。韓国の情報通信部(日本の総務省にほぼ相当)では,個人認証手段として一般的な「住民登録番号」の情報が漏えいし,犯罪に悪用されるケースが増えていることから,仮想住民登録番号,公認認証書,個人ID認証などの5つの代替手段を提案し,この10月に認証サービスを開始した。代替手段の名称は「i-PIN(Internet Personal Identification Number)」に統合され,5つのうちどれを使用してもよいという。

 インターネットを利用するユーザーは,韓国信用評価情報,ソウル信用評価情報など5つの本人確認機関での手続きを経て「i-PIN」の発給を受ける。実名と住民登録番号でWebサイトに会員登録している場合,「i-PIN」で再登録すれば,実名と住民登録番号の削除を要請できる。注目すべきは,そのスピードだ。情報漏えいが問題になり,インターネット・サービス事業者に対して住民登録番号の代替え手段の利用を促すガイドラインが出たのは2005年11月。それからわずか1年で,新しい認証サービスを始めたわけである。

電子認証の社会基盤をどう作るか

 「韓国はサービス指向でとりあえずシステムを作り,問題が起きればどんどん変えていく。日本は時間をかけて重厚長大なシステムを作り,運用でつまずいてしまう」。韓国情報通信部の下部組織で,IT産業政策を支援する「韓国ソフトウェア振興院」の日本事務所iPark東京の小玉哲博所長は,両国のシステム開発のやり方についてこう評する。それぞれ長所があり,短所があるだろうが,この5年ほどの間にITインフラとサービスの双方で,日本が韓国に大きく水を開けられたのは事実である。

 IT政策のビジョン,戦略,システム開発,運用のすべてで日本が克服すべき課題は多い。その端的な例が,多額の税金をつぎ込んだ果てに,8月に利用停止となったパスポート電子申請システムだろう。長期的なビジョン,全国自治体に導入を促す戦略,従来の申請プロセスを見直す柔軟な運用姿勢が現場にあれば,今回のような失敗は起きなかったのではないか。

 「e-パスポート自体はICチップを搭載し,ユーザーの氏名,生年月日,出生地などの基本情報や,顔画像などの生体情報も記録され,電子的な本人確認手段として精緻かつ確実な仕組みである。住民基本台帳カードなどに代わる正式な公的個人認証として,より実際的な電子的本人確認の有力なツールにするというシナリオは描けなかったか」。EABuS(東アジア国際ビジネス支援センター)理事の安達和夫氏はこう語り,パスポート電子申請は“廃止”すべきではなかったと主張する。

 IT社会で求められるサービスは,ますます多様化していく。それらがすべて別々の電子認証をやっていたのではリスクは増すばかりだ。政府は早急に,統合的な電子認証の社会基盤をどう作るかの議論を始めてほしい。