「識別情報」と「認証情報」を明確に区別することが重要
では、韓国の制度では具体的に何が課題として挙がっており、そしてそれは日本のマイナンバー制度でも起こり得るものなのだろうか?キム氏によれば、これを理解するには2つの観点から両国の制度を比較検討する必要があるという。
「まずは、『個人識別用ID』『個人情報』『認証情報』の3つをきちんと区別して考えることが重要だ。IDは本来、記号の羅列に過ぎず、これに氏名や生年月日、メールアドレスなど、個人を特定できる個人情報を別途組み合わせることで、初めて個人を識別できるようになる。しかし韓国の個人識別番号には、生年月日や性別、出身地などを特定できる数字が含まれており、ここから個人情報を類推して容易に抜き出せる点がたびたび問題とされてきた」
「Security Online Day2015」(2015/09/07)、ペンタセキュリティシステムズ「韓国の教訓から学ぶ!日本のマイナンバー制度に求められるセキュリティ対策とは」講演資料[クリックすると図が拡大します]
一方で日本のマイナンバーは、それ自体に個人情報は含まないため、「個人情報とマイナンバー情報をきちんと分けて管理する限りは、韓国のように両者の混同に起因する問題は起きにくいのではないか」(キム氏)という。
そしてもう1つの重要ポイントが、「識別(Identification)」と「認証(Authentication)」を明確に峻別すること。韓国では、この両者を混同した運用が多く行われていたことも、大規模な個人情報漏えいを招いた原因の1つだったとキム氏は指摘する。
「識別IDが正しいだけでは、他人がそのIDを使ってなりすましている可能性を否定できない。そのため別途認証情報として、本人のみが知っている知識や所有物、身体的・行為的特徴などの提示を求めるのが通常だ。しかし韓国ではかつて、システムにログインする際の認証情報として、個人識別番号を用いるシステムが多く存在した。つまり、本来は識別にのみ利用できるはずの情報を、認証に用いていた。これにより、不正アクセスのリスクが多数放置される事態を招いてしまった」
こうした反省から、現在韓国では住民登録番号の保有を厳しく制限し、個人情報を保有する際には暗号化を義務付けるなど、個人情報を厳格に保護するための各種法制度が順次制定・施行されている。
