案件名:「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に対する意見募集
所管省庁・部局名等: デジタル庁社会共通機能グループ
提出日:2024年2月29日
東京都港区赤坂8−4−14青山タワープレイス8F
一般社団法人MyDataJapan 公共政策委員会
提出した意見
本件は、マイナンバーカードの利用者証明用電子証明書APと券面事項入力補助APを利用したIdPをデジタル庁が運営し、民間を含めた各種事業体に市民の属性を提供可能とするものである。このことは、「デジタル認証アプリについて」より読み取ることができる。しかしながら、このような機能を民間であるプラットフォーム事業者ではなく政府自体が提供するにあたって必要と思われる以下の規律が設けられていない。
【市民のサービス利用先情報の政府への蓄積に関する規律の必要性】
IdPサービスを政府が提供すると、市民がどのサービスにいつログインしようとしたか、どのようなデータを提供したかという情報が政府が取得できてしまう。そのような情報が政府によって無制約に取得されてしまうと、プライバシー侵害の問題や国民の行動監視の問題を生じることになる。本命令案では、このような取得されるデータの利用目的制限、利用制限、データの保管期限制限に関する規律が設けられていないが、政府が直接サービス提供するということを鑑みると、規律が設けられるべきである。
【提供されるデータの利用目的の適正性およびデータ最小化のための規律の必要性】
本命令が施行されると、政府から多数の民間サービスに対して券面情報および利用者証明情報が流布される。また、マイナポータルアプリと統合されることを鑑みると、将来的にこれ以外の情報も提供される可能性も考えられる。シンガポールの事例によれば、こうしたデータ取得要求に関して、利用目的の適正性および取得データが最小化されているかの審議をクライアントサービスごとに行うといった規律が設けられている。これは、事業者と市民の間の情報及び能力の非対称性を鑑みると妥当であると考えられる。日本においても同様の規律が設けられるべきである。
【提供にあたっての同意取得の方法に関する規律の必要性】
政府による情報の取得と政府から民間サービスへの情報提供のいずれについても、利用者の同意に基づいて行われることが適切である。利用者が情報の提供に「同意」する場合に、何が何のために提供されるのか、十分わかりやすい方法で利用者に提示される必要がある。本命令案には、そうした同意取得の方法やユーザーインターフェイスに関する規律を追加すべきである。
以上
参考資料
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=290310311&Mode=0
- 意見公募要領 https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000267535
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案について(概要) https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000267537
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令(案) https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000267536
- 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則 https://elaws.e-gov.go.jp/document?lawid=415M60000008120
- デジタル認証アプリについて https://public-comment.e-gov.go.jp/servlet/PcmFileDownload?seqNo=0000267538
- マイナンバーカード 券面AP https://www.soumu.go.jp/kojinbango_card/03.html