1)マイナンバーカードの前提条件
前回、ID(マイナンバーで、マイナンバーカードではない)で、情報管理するための必要条件は以下であるとも申しあげました。
>
IDをふった後で、問題は次の2点でです。
(T1)IDが不正利用されないための個人認証の方法
(T2)個人情報のセキュリティ管理
>
この条件は、最も広範な問題に対するソリューションになりますので、部分集合であるマイナンバーカードにもそのまま使えます。
筆者は、マイナンバーカードをつかうメリットを理解できませんが、そのことは、ひとまず、脇において、マイナンバーカードを発行する場合のシステムの必要要件を考えます。
これは、マイナンバーカードのシステム開発の仕様書に記載されるべき、内容です。
こう考えると、仕様書には、(T1)、(T2)の条件が、少なくともサブセットでは、記載される必要があります。
たとえば、健康保険証との紐づけで誤登録の問題が出ていますが、これは、(T1)の条件が満足されていないことを示しています。つまり、仕様書のバグです。
マイナンバーカードを発行するのであれば、(T1)と(T2)の条件のサブセットが解決されて、始めて仕様書が作れるわけです。
(T1)と(T2)の条件のサブセットが仕様書に書き込まれない丈太で、ソフトウェアの発注がなされれば、欠陥ソフトウェアができます。これは、ロシアンルーレットのようなもので、いつか事故が起こります。
(T1)は、既に、ネット通販など、多くの先例があるので、さほど難しくはありません。しがし、現在表面化しているのは、この部分です。
健康保険証の登録ミスでは、他人の薬を処方さえるリスクがありますが、これは、IDが機能していない訳ですから、システムが破綻していることを示します。この問題で、被害が出ると、結果は深刻になりますが、解決方法は、(T1)以外にはありません。この問題は、クリアしないと先に進みません。
現在、被害が確認されていない問題は、(T2)です。(T2)の問題の引き起こすリスクは、マイナンバーカードにリンクされているデータが増えれば、加速度的に増加します。
これまで河野デジタル相は、「カードの紛失や盗難によって個人情報が流出するものでなく、十分なセキュリティー対策に取り組んでいる」と、マイナカードの安全性を繰り返し強調してきました。今回のトラブルは証明書交付サービスのプログラムの問題であり、「マイナンバーカードや、システムに問題があったわけではない」と主張しています。
しかし、この回答は、(T2)を保証していません。
2)個人情報のセキュリティ管理
個人情報のセキュリティ管理とは、データの分類とアルゴリズムのことです。
データの分類自体も、マニュアルではできませんので、アルゴリズムを使います。
つまり、(T2)を実現するためには、実装可能で、有効なアルゴリズムが必要になります。
(T2)は、(T1)とは異なります。全ての情報を一律に管理することは非効率的です。情報は利用されることで価値が生じます。医療情報では、遺伝病などの情報は流出すると大きな問題を引き起こします。一方、体重や血圧といった情報は、流出すれば、楽しくはありませんが、極度の肥満や体重不足の人を除けは、値は、日々更新されるので、大きな問題には、なりません。つまり、(T2)には、レベル管理を導入すべきです。
このレベルの判定は、アルゴリズムが行います。
ここで注意が必要なことは、完全なアルゴリズムはないということです。
たとえば、Gmailでスパムメールを自動的に判別するアルゴリズムは、完全ではありませんが、多くの場合に、実用的には十分な精度があります。
(T2)も、(T1)も、完全に達成することはできません。しかし、人間が行う作業のエラー以下に、精度をあげられれば、実用上は問題はありません。
マイナンバーカードのシステム開発をできるような条件(アルゴリズムの開発)が出来るまでは、マイナンバーカードのシステム開発はすべきではありません。実用化前に、テスト運用すべきで、その場合には、(T1)と(T2)条件は緩和できますが、全国を対象とした実運用前には、(T1)と(T2)条件が完全にクリアされていないと事故が起こります。
河野デジタル相は、「十分なセキュリティー対策」といっていましたが、その十分は、今回の健康保険証の誤登録を許容範囲とするレベルでした。
結局、「十分なセキュリティー対策」という文学的な表現では、問題解決にはならないのです。
FLASHには、SNSで、マイナンバーカードについて批判的な意見が書かれています。
この問題について、政治学の専門家と言う人が、次のようなコメントを書いています。
「政府が管理する情報社会のマイナス面が浮き彫りとされる事例である」
しかし、マイナーバーについて、批判しても始まりません。DXを進める上で、IDは避けて通ることはできません。
3)問題解決の方法
マイナンバーの(T1)と(T2)の問題を解決するには、問題を専門家が担当する必要があります。
これは、言い換えれば、ローテーション人事とOJTのシステムは、破綻しており、何の役に立たないということです。
これは、年功型組織は残して、プラスアルファで、ジョブ型雇用の高度人材を採用する計画です。
サイバー自衛官に限らず、殆どの年功型組織の考えているジョブ型雇用とは、「年功型組織は残して、プラスアルファで、ジョブ型雇用の高度人材を採用する計画(=部分ジョブ型)」だと思います。
しかし、これが成功することはありません。
理由は、簡単で、競争相手が、フルのジョブ型雇用をしている場合には、部分ジョブ型は破綻します。
たとえば、サイバー自衛官に対して、セキュリティ破りをする組織は、ジョブ型雇用で、柔軟に人材を投入してきた場合には、一人ではどうにもなりません。
マイナンバーカードも、デジタル庁も、部分ジョブ型の問題をクリアしていません。
日本のDXは、先進国の中で最下位です。
今すぐに、完全なジョブ型に移行しても、競争相手と同じレベルでしか、戦えません。
既に、日本の組織は、劣勢になっている訳ですから、競争相手をしのぐ速度で、変化を起こして、やっと、追いつけるかもしれないレベルにあります。
部分ジョブ型を採用することは、問題解決より高齢者の所得の確保を優先しているいる訳ですから、端から、勝負するつもりがない訳です。
そのことがわかっていて、日本の組織で働く、高度人材がいるとは思えません。
引用文献
マイナカードで別人の証明書が発行された!河野太郎デジ相「開発会社のアプリが原因」に大批判「責任取れ」「政府の不具合」 2023/05/102 FLASH
https://news.yahoo.co.jp/articles/31a94c7d258a8942dbbe1e45521ecf1802d04a3b