読者です 読者をやめる 読者になる 読者になる

uzullaがブログ

uzullaがブログです。

私とマイナンバー

当方フリーランス的カツドーもしているしコヨー的なヤツもされているので、年末調整等でついにマイナンバーに触れはじめました。

ここ数日で思う所、感じる所があり、ちょっとしらべたので、主にメモとしてこのエントリを書いた。

オチ、あるいは正解情報

http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/260717bangouhou.pdf http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/chikujou.pdf https://www.nta.go.jp/mynumberinfo/pdf/kakunin.pdf

を読むと大体理解できる。ただし、上は平成27年12月18日(金)ひろってきたURLであり、将来には改正される可能性があるし、httpのURLは改竄されている可能性もないとはいえない。

DISCLAIMER

以下はウソが含まれるぞ!!

追記

共通の認識がないと「マイナンバーへのクレーマー!」としか読めないので(まあ今回は「あるASP」に対して結構クレーマーっぽいですけど)一応先に書いておきます。

  • 個人的にマイナンバーの設計が多少は微妙であると思っても、法律にしたがう気は十分。
  • マイナンバーを国、お客様、あるいはお客様の業務委託先に伝えることにも異存は無い。
  • ただ、マイナンバーに対して過剰な情報の紐付けはしたくない*1
  • 信用が十分できない(後述)巨大なDBに(そういった過剰な情報を)いれたくはない*2

とはいえ、現実はつらいので全部満たされないなら断る!ということはなくて、できる範囲でどうにかできればうれしいな、という感じです。

追記:後日談

お客様に懸念を説明した所、きちんとご理解をいただき、(細かい事は書きませんが)私の免許証画像は謎のDBに保存されない事になりました。

お客様とその担当者様には、このクソ面倒な人間の我が儘な主張に対してご配慮をいただいた事と、見解や運用のご説明をしていただいたことに深く感謝致します。良い会社です!

気になるトコロ

マイナンバーをどのように国家が利用し、どのように我々は監視され、どういう悪影響があって、税金が取り立てられ、未来の子供達にどんなデメリットがあるか…という方面はどうでもよく。

自分がマイナンバーをどう管理しなきゃいけなくて、相手にはどのようにマイナンバーを通知して、そして相手にはどのように管理させなければならないのか。そして濫用されないようにツッコむ最低限の知識と、自分がヤバい案件(闇だ)に関わらないための知識を法律とガイドラインから読んでおくことは重要。

最初から法律読むより、まずは省庁のガイドラインを読むべき

ウェッブ系ならしばしば気にする個人情報保護法とかもそうだが、法律は縦書きで非常によみづらいし実際の運用を想像しづらい。なのでガイドライン(省庁の「見解」)を見るのが早い。

ガイドラインはあくまで「解釈の見解」なので希にモヤモヤするが、「国税の見解ですから」と言えるし、怒られる可能性が減る。

赤丸注目ポイント第16条

http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/chikujou.pdf

の第16条

  • 発注者や雇用者など、自分のマイナンバーを必要とする事務(税処理など)をする組織からマイナンバーを要求された際、マイナンバーを提出しなければならない
  • マイナンバーを提出するには以下どちらかを行う
    • 「通知カード+身分証明(後述)」の提示(あるいは写し)
    • マイナンバーカード」の提示(あるいは写し)

(と、逐条ガイドラインには書いてある)

提示と写し

最低限提示する(事務処理担当者に通知カードと身分証明(後述)で差異がないことを確認させ、番号を写させる)だけでよいはずだが、事務処理の都合を鑑みて写しを渡す事も想定されている(っていうかこっちが多いだろう)。

「写しとかキモい」というパラノイア的な都合で写しの提出を(合法的に)拒否することはできそうだが、提示(証明)要求は拒否できない模様(罰則云々は別として)*3

「写し」とは

紙のコピーや画像ファイルでよいらしい。通知カードには有効期限がないので「撮影後○日以内」みたいなのも無いだろうから(個人番号カードには10年、子供だと5年の有効期限がある)、一度保存すれば(住所など記載に変更がない限り)つかいまわせる。特にフォーマット規定もないので文字がよめる最低限度の品質でよさそう。

(ところで、提出先によって、「すかし」を入れるとかそういうのはアリなのか?)

通知カードとは

先日とどいたマイナンバー(正式名称「個人番号」)が書かれた紙の「通知カード」は通知であって、単体での証明書としての効力はない。

しかし、紛失したら直ちに届けて再発行する必要があるし、引越などで住民票情報が変われば返却して更新するし、要求されたら提示しないといけないので、大事に現物を保存しなければならないっぽい。

通知カードには(前述したが)身分証明書としての効力がないので相手に確認させる場合は身分証明(後述)が同時に必要*4マイナンバーはなりすましを防ぐために厳格な運用が定められているらしい。

なるほど面倒だ、ホントにこんなの運用できんのか?

身分証明

身分証明自体は普通の場合運転免許あるいはパスポートの提示(あるいは写しの提出)が主要な方法として想定されているらしい

ただし、以下資料の第4の例6を読むと、

https://www.nta.go.jp/mynumberinfo/pdf/kakunin.pdf

すでに社員が会社に対して身分証明の届け出をしていて「担当者が本人だと「知覚」できれば」それでOKとある。まあそんなもんだな。ほかにも色々あるのでみておくとよさそう。

また、身分証明の写しを保存するとは特に書いていない。

マイナンバーカード(正式名称「個人番号カード」)」の意義

前述の通り、マイナンバーカードがなくても通知カードでマイナンバーの提示はできる。

ただ、顔写真付きの身分証明書であるマイナンバーカードは「身分+マイナンバー」が同時に提示できる。

なので、それを出せばマイナンバーの通知(提示)が別途の証明なく一発でできる。なるほど便利これは欲しくなる!(まだ出荷されてないっぽいが)

「罰則」について

話題になったが、マイナンバー(特定個人情報)が含まれた個人情報を漏洩あるいは提供した場合に罰則がある。以下の第九章。

http://www.cas.go.jp/jp/seisaku/bangoseido/pdf/260717bangouhou.pdf

簡単にいえばマイナンバーでやらかすと「3〜4年以下の懲役、あるいは最大2〜300万円の罰金、もしくは併科」となる。

対象に「特定個人情報の事務処理に従事するもの、あるいはしていたもの」と26条に記されているので、マイナンバーを自前で管理する会社も関連するということですね。うっかりで懲役とかついてほしくないのでマジで扱いたくない。

特定個人情報取り扱い者のマイナンバーの保管について

「そのマイナンバーが正しい」ことを確認したら、事務担当者はその個人とひも付いたマイナンバー情報を(一般的には)電子あるいは紙の帳簿に記載し保管する。そして、帳簿は特別個人情報として厳重に保管する義務がある(前述の通り、漏洩すると罰則がつく位厳重な管理を要求されている)。

保存する帳簿には、番号(と、その個人の名前など紐付け)があればよく、証明に用いたエビデンスを残す必要は法律上ない模様。

つまり正しい帳簿ができれば、身分証明につかったなにかは勿論、通知カードの写しも不要(各種ガイドラインや、いくつかの所に聞いたかぎり)。そういったものは安全性をかんがえれば即時の破棄が最善なのは間違いない。

とはいえ、マイナンバーは事務処理者が目視で転記するしかないので*5、間違って転記することもあるだろうし、そうなればもう一度確認するのは大変だから、しばらくの間通知カードの写しを厳重に保管するのは理解できる。

(だが流石に身分証明書の写し保管は不要だろ(個人的な感想です))

保管された帳簿の使われ方

事務担当者は年末調整などマイナンバーが必要な法律や条例で定められた社会保障、税、災害対策の手続きなどの事務処理が発生したら、再度の提示を要求することなくその帳簿を元に記入できる。(あるいは、もし本人が記入してしまった(?)場合番号の確認に使う)

逆にいえば、(現在は)それ以外の用途にはそのマイナンバーをつかってはいけない。

余談(特に個人の見解です)

当たり前のようだが「12桁の数字」単体では個人情報ではない。なんらかマイナンバーだと知覚させない限りそれはマイナンバーと言えないし、その識別子に連結可能性がなく誰のものかわからなければ個人情報にならない。

偶然マイナンバーのチェックディジットがvalidになる12桁の数字を大量に公開し、いくつかが実際にだれかとマッチしていたとしても偶然の識別子(数字)の一致は個人情報にならない(違法素数だ)。*6

ただ、「これはマイナンバーです!」とかかいてやったら別の迷惑行為として取り締まられる気がする。

(個人の特定につながる「連結可能」という概念、本当に色々面倒であるが、このブログにくる皆さんはウェッブ系が多いだろうから個人情報関連は詳しいだろうし特に説明しない。知らない方はこちらをどうぞ。 http://www.soumu.go.jp/main_sosiki/gyoukan/kanri/question03.html

以上がメモです

結構長かった。

個人的に今直面してること

以上をふまえ、私は取引先からマイナンバー提示の依頼をうけている。これは当然な要求なので速やかに回答したい。

しかし、ちょっとモヤモヤしている、以下に箇条書きした。

  • マイナンバーは事務処理の効率化のために必要
    • わかる、書類が1枚でも減るならじゃんじゃんやってくれ
  • マイナンバーは厳重に管理しないといけないので(罰則があるので)お客さんは自社であつかいたくない
    • わかる、同情する
  • しかし、マイナンバーを税処理時に記入しないときの罰則は無いらしいとはいえ必須である(税理士が要求する)
    • わかる、同情する
  • だから、取り扱う税理士等が、最近ASPとしてサービスを提供しはじめた
    • わかる
  • お客さんはそれを利用することにした!
    • 勿論わかる
  • そのASPサービスはメールアドレスを保存している
    • えっ、でもまあパスワード再発行をかんがえるとまあわかるか
  • サービスの初期パスワードはメールでおくられてきた
    • カジュアルだ、でもまあ普通かな、使う事になったらさっさと変更しよう
  • 証明として、通知カードの写しのアップロードを要求している
    • わかる
  • 身分証明として、免許証等の写しのアップロードを要求している
    • わかる
  • 通知カード、あるいはマイナンバーカードの写し画像ファイルの保存・破棄について触れられていない
    • まあ、文字情報としてはすでに保存されてるんだけど
  • 規約にて「身分証明書の画像はずっと保存するよ!だってズットモだもん!」
    • えっ、それ別にいらないのでは…一度確認したら保存の必要あるの?いちいち規約にかいてるってことは不要なのでは?
  • 「頂いたあらゆる情報はこちらの裁量で、退職しても、絶縁しても、無限に保存しておくからね!だってズットモだもん!」
    • 削除したら削除してよ、申立先もかいてないよ…。
  • 「規約変更したら同意しなくても10日くらいで適用することに同意してね!」
    • 柔軟すぎるだろ…
  • 「規約や取り決めが他にもあるかもしれないんだけど、もしこの規約と違う事が書いてあったら、どっちを優先するかは全部まかせてね!」
    • まじか、そんな規約便利すぎるだろ…ここにかいてあること全部ウソかもしれないのかよ…
  • 「省名(証明)します」的な誤記がある、っていうか主体の名前もなければ、日付もない。
    • そもそも大丈夫かこの規約
  • プライバシーポリシーが一切規約に記載されておらず、めっちゃ探したら規約画面からのリンクでたどれないページのフッターにしか無く、しかもリンク先はなんかちがうドメインだし社名もちがう
    • 適当すぎるだろ、粗品を送るためのメールフォームでももうちょっとシッカリしてるぞ
  • (技術的な話だが、なにげなくそのサービスを数分見てまわったら、https強制ではないし、Cookieにsecure属性ついてないし、Directory Listが見えたりした)
    • (そのサービスに対して信用を失った)
  • (まあ他にも色々ある
    • ((略))

なにこのサービス、超つかいたくない。

ちなみに今現在まだ規約には同意していないので中は見ていないのだが、ログイン前でこんなに見つかるとさすがにウンザリする。

わかるが…

まあ100歩ゆずって、このサービサーが雑なのは目をつぶろう、規約が適当すぎて(俺の感覚では)規約たりえてない気もするし弁護士はいないのかと思うがそれも他所にする。

セキュリティ的な造りがビミョウな気がするのもブーメランになるから許そう。

ただ、それでも言いたい。「事務処理の都合上ほしい」というのはわかるが「メアド、個人番号(勿論住所氏名も含まれる)、免許証(番号)」を紐付けたデータベースを作ってほしくないんですけど、どうなんですか。

「(再発番を基本的にしない)マイナンバーが紐付けされた際に想定されうる問題」は散々話題になっていて、国ですら(意味があるかはさておき)個人番号の直接利用でなく、参照テーブルを用意するみたいなこといってるのに…。

メアドは既にぶっこまれてるんで仕方ないとして、ここから免許は入れたくないな!そうだマイナンバーカードを発行してその写しを送ろうかな!…って思ったのだが、マイナンバーカードってまだ発行されてないんですね(来年1月から順次)残念!!

ということで、「ホントにこんな雑な感じでいいのか?国は怒らないのか?」…と今回法律やガイドラインを読んでみて、うーんなるほど理由はわかった。

しかし色々どうなんだ「お断りします(AA略」と言えそうだし、俺だったら速攻こんなサービスクソだっていって解約するわ。

まあでも、入れるのは俺の個人情報であってもこのサービスの契約者はお客さんだし、僕の都合よりもお客さんの都合があるからね…いれないわけにもいかないね…。

気が重い!

個人的なまとめ

「個人情報なんて漏れたって稼ぎは増えないぜ!みみっちい杞憂に半日使う位なら1円でも多く稼げ!」「はい」

*1:一般に、漏れた時に影響が大きくなる

*2:一般に、大きな情報は漏れる確率が上がりやすい

*3:勿論、だからといって闇雲に写しを拒否するのは社会性が足りなさそうに見えてモテないだろうし、そもそも事務の人が困る

*4:前述もしたが、通知カードと身分証明のための証明書は「写し」でもよい

*5:これもどうなんだか

*6:なので、「罰則というのがあるらしいから、12桁の数字がはいったら問答無用で弾こう!」とかいう謎の仕様の提案はやめてくれ頼む