「マイナ保険証への一本化」はセキュリティリスクが増大するリスクも?(IYO/PIXTA)

写真拡大 (全6枚)

12月に予定されている「マイナ保険証への一本化」について、その問題点を考えるシンポジウムが8月31日、東京、神奈川、大阪の会場とオンラインで開催された(主催:地方自治と地域医療を守る会、共催:東海大学政治学研究科、専修大学法学研究所、神奈川大学法学研究所、日本比較法研究所(中央大学))。

マイナ保険証については、国民に対し正確かつ十分な情報が伝えられているとはいえない。また、賛否いずれの立場からも、誤解に基づく情報発信や投稿がなされ、未だ情報が錯綜している。

本シンポジウムでは、「コンピューターサイエンス研究者」「医師」「地方公共団体の首長」「弁護士」といった分野の専門家が参加し、それぞれの観点から、マイナ保険証への一本化に関する問題点が指摘され、議論された。

今回は、本シンポジウムで指摘された「情報セキュリティリスクの問題」「法的問題」について取り上げる(後編/全2回)

※前編:マイナ保険証へ「一本化」は“医療の質の低下”と“税金の無駄遣い”を招く? 専門家が警鐘“現場”で続発する「不都合な事態」とは

マイナンバーカードは「外形的偽造」に弱い

国立情報学研究所の佐藤一郎教授(コンピューターサイエンス)は、まず、マイナンバーカード自体の問題として「外形的偽造」が容易であることを指摘した。

国立情報学研究所 佐藤一郎教授(都内会場/弁護士JP編集部)

佐藤教授(国立情報学研究所):「マイナンバーカードで、電子的に本人確認を行うのに使われるICチップは、偽造困難で比較的安全性が高い。しかし、外形的な偽造に関してはほぼ無策に近く、簡単に真似ることができる。

去年ぐらいから話題になった事例として携帯電話の『SIMスワップ詐欺』(携帯電話の持ち主になりすまし、販売店にSIMを紛失したと申告してSIMを再発行させる詐欺)がある。

顧客にマイナンバーカードを提示させて身元確認をする際に、確認が不十分だったため、なりすましを見抜けなかったケースが多発した。

本来、マイナンバーカードに限らず、本人確認に使用するカード類は、外形的な偽造を防止する対策が紙幣以上に重要だ。しかし、日本では、紙幣については偽造防止技術を駆使しているが、身分証明書については比較的無頓着で、偽造対策はほとんど無策に近い。

マイナンバーカードを健康保険証として活用する理由付けの一つとして、『健康保険証は偽造のリスクがある』との指摘があったが、結果的にはマイナンバーカードも偽造が容易だ」

なお、この問題について、政府は6月に「国民を詐欺から守るための総合対策」を発表し、「オンライン等の非対面の本人確認方法を、原則としてマイナンバーカードのICチップを使用した方法に一本化する」とした。また、今後、そのために必要なICチップ読み取りアプリ等の開発を「検討する」としている。

マイナンバーカードの「普段使い」に潜む“プライバシーリスク”

佐藤教授は、マイナンバーカードの紛失・盗難等によるプライバシーリスクよりもさらに大きい問題として、「普段使い」におけるプライバシーリスクの懸念があると述べた。

佐藤教授(国立情報学研究所):「マイナンバーカードによる電子証明では、各カードに割り当てられた『識別子』が読み込まれる。

電子証明の識別子は固定的なもの。漏えいなどの理由がない限り、電子証明の有効期間である5年間は変更されない。

電子証明の識別子は、マイナンバーとは独立の情報であり、識別子からマイナンバーが漏えいすることはない。しかし、識別子で名寄せをすれば、マイナンバーカードの電子利用に関わる履歴を作れる。

民間でのマイナンバーカードの利用が広がれば、識別子によって広範囲な行動を捕捉することが可能になる。行政手続きや薬の購入、携帯電話の契約などの情報がすべて統合される。

マイナンバーカードの『読み取りアプリ』は国だけでなく民間のものも出ており、現状のままでは識別子が不正に利用されるリスクがある。

解決策としては、個人情報保護法で、識別子を個人情報である『個人識別符号』と扱うべきだ」

佐藤教授は、データが統合されることによるプライバシーリスクに対応する枠組みが整備されていないことも指摘した。

佐藤教授(国立情報学研究所):「日本ではデータを統合して利活用するメリットばかりが強調される。

しかし、複数の統合されたデータがどのように利活用されるのか、そのときに個人のプライバシーに関わる情報をどう保護するのかという枠組みが作られていない」

第三者による“個人情報の不正取得・悪用”のリスク

健康保険証の機能も含め、マイナンバーカードへの機能の統合により、第三者による個人情報の不正取得・悪用のリスクがむしろ増大するおそれが指摘された。

つまり、マイナンバーカードとパスワードを第三者に取得されれば、医療情報も含む広範囲な個人情報が知られてしまう可能性があるという問題である。

東京都世田谷区の保坂展人区長は、「自己情報コントロール権」の観点からこの問題について説明した。保坂区長はかつて、衆議院議員のときに「個人情報の保護に関する特別委員会」のメンバーとして個人情報保護法の制定にかかわった経験をもつ。

東京都世田谷区 保坂展人区長(都内会場/弁護士JP編集部)

保坂区長(東京都世田谷区):「日本の制度には、個人が自分の存在にかかわる情報を開示する範囲を選択できるという『自己情報コントロール権』の観点が欠けている。

個人のセンシティブ情報へのアクセスが、1つのカードでの本人認証によって可能になることが問題だ。犯罪組織等によって悪用される可能性もある。

個人情報保護の枠組みは、二重・三重のリスクを想定して構築しなければならない。

G7等の諸外国では、それを知っているからこそ、個人情報にアクセスする機能を1つのカードに集約するしくみを採用していない。日本のやり方はグローバルスタンダードに反している」

現行の健康保険証の「なりすまし受診」の実態は?

現行の健康保険証について、マイナ保険証への一本化を支持する立場から「なりすまし受診」等のリスクが指摘されることがある。

実際にはどうなのか。具体的なデータを参照してみると、2023年5月19日の参議院の地方創生・デジタル特別委員会において、厚生労働省から、市町村国民健康保険の「なりすまし受診」「偽造」等の不正利用の件数が2017年~2022年の5年間で50件、つまり年平均10件だったことが明らかにされている。

参考までに、市町村国民健康保険の被保険者世帯数は、総務省の調査によれば2023年3月31日時点で1636万3372世帯、2413万6152人である。

「医療情報の提供」と「本人の同意」が整合しないリスク

埼玉県保険医協会理事長の山崎利彦医師は、マイナ保険証の効用としてうたわれている「医療DX」のあり方についても疑問を呈する。

DX(デジタル・トランスフォーメーション)とは、ICT(情報通信技術)によって人々の生活があらゆる面でより便利になるように変化させていくことを指す。

「医療DX」に関する厚生労働省の説明によれば、オンライン資格確認システムと連携することによって、全国の医療機関が、本人の同意を条件に、いわゆる『3文書(※1)6情報(※2)』をすべて閲覧可能になる。また、本人もマイナポータル上で確認できるようになる、とされているが…。

※1「3文書」:診療情報提供書、退院時サマリー、健康診断結果報告書

※2「6情報」:傷病名、アレルギー情報、感染症情報、薬剤禁忌情報、検査情報、処方情報

埼玉県保険医協会理事長 山崎利彦医師(都内会場/弁護士JP編集部)

山崎医師:「患者が自分自身の情報を正しく保つ権利、開示される範囲をコントロールする権利についての議論が乏しい。

たとえば、自分自身の医療情報として記載されているものが本当に正しいのかどうか、確認する方法が全く担保されていない。

また、生まれてからその瞬間まで、場合によっては将来の予測までが丸見えになってしまうことが起こり得る。

診療を受けようとしている傷病と無関係な、過去の疾患等の情報まで、見ることができるようになってしまう」

医療機関・薬局、“政府・国”がデータを悪用するリスクも

マイナ保険証(マイナンバーカード)自体には医療情報や個人情報が記録されていない。したがって、紛失や盗難などが起こっても、パスワードが知られない限り、直ちに第三者から医療情報等を入手されるリスクは低いかもしれない。

しかし、山崎医師は「医療機関や薬局により悪用されるリスクがある」と指摘する。

山崎医師:「マイナ保険証による資格確認の際、毎回、医療情報の提供に同意するか否かの確認が行われる。だが、患者にとっての目的と利益がきちんと説明されていない。

マイナ保険証で得られた情報を医療機関がどう使うかについての議論が、世の中で十分に共有されていないのではないかという不安がある。

患者が同意を与えれば、医療機関が医療情報を自在に閲覧できるようになり、悪意をもてば、医療情報を非常に簡単に悪用できるというリスクもある。

私人である民間の医療機関でさえ可能なので、政府や国がその気になれば、もっと簡単に悪用されてしまうおそれがある。

このあたりの問題をどうするか、ステップを踏んで議論していかなければならない」

佐藤教授は、同様の問題があるのは個人の医療情報に限られないと指摘した。

佐藤教授(国立情報学研究所):「日本の場合、データの利活用の議論は熱心だが、利活用が適正に行われるかについての議論が不十分だ。

海外だとその点について、罰則等も含めて厳しく議論される。利活用とそれに対する規律は、セットで議論されなければならない」

「地方自治」が侵害されている

シンポジウムでは、利便性の問題、セキュリティリスクの問題のほか、法的観点からの問題も指摘された。

地方自治に関する諸問題に詳しい小島延夫弁護士は、国が市区町村と十分に協議しないまま、市区町村の業務である健康保険業務の変更を迫っている点が、地方自治(憲法92条~95条)の侵害にあたると説明した。

小島延夫弁護士(都内会場/弁護士JP編集部)

小島弁護士:「マイナ保険証には、本人確認できないなどのトラブルの問題、高齢者施設や成年後見人がマイナンバーカードを預かるわけにいかないという問題がある。

また、マイナンバーカードの発行事務自体について自治体に多大な負担が発生しているという問題もある。

これらの問題は自治体の事務に影響を及ぼす。本来、国が市区町村と十分な協議を行うべきだ。それをすることなく一方的に決めてしまうのは、地方自治の侵害だ」

「任意取得の原則」との抵触と「医療アクセス権の侵害」の問題

マイナ保険証の一本化が、マイナンバーカードの任意取得の原則に違反するという問題点も挙げられた。

小島弁護士:「わが国の『国民皆保険』の下で、任意取得のマイナンバーカードを保険証にし、現行の保険証を廃止するとなると、事実上、マイナンバーカードの取得を強制することになる。

法的にはマイナンバーカードの取得は任意なのに、それに違反する」

それでもマイナンバーカードを取得しないとなると、国民皆保険制度であるにもかかわらず健康保険証を持てない人が出るおそれがあると指摘する。

小島弁護士:「国民健康保険の現行制度では、『市区町村は世帯主にその世帯の人の健康保険証を交付しなければならない』と決まっている(国民健康保険法施行規則6条1項)。何をしなくても保険証が届くことが当たり前になっている。

ところが、現行の健康保険証が廃止される12月2日以降は、マイナンバーカードを持たない人が医療機関に受診しようとすれば、何らかの書類が必要になる。

この点について、改正法では、『当該書面の交付の求めを行つた世帯主に対しては当該書面を交付する』と定められている(国民健康保険法(2024年12月2日施行)9条2項)。

条文を素直に読むと、市区町村は『交付の求め』を行った人に資格確認証を出せばいいとなる。自分から申請して交付してもらわなければ、資格確認の手段がなくなってしまう。国民皆保険の制度の趣旨と矛盾する」

政府は、12月2日以降、マイナ保険証を持たない人のために、資格確認証を発行して送付するとしているが…。

小島弁護士:「市区町村は、住民1人1人について、マイナンバーカードを持ってそこに健康保険証を紐づけしているか、確認していかなければならない。

そのうえで、マイナンバーカードを持っていない人、または持っているが健康保険証を紐づけていない人には『資格確認書』を発行し、マイナンバーカードを持っている人には『資格確認のお知らせ』を発行しなければならない。

いずれの業務も、市区町村にとって大変な負担になる」

山崎医師は、この点に関連して、国民の「医療アクセス権」が侵害されるという問題があると指摘した。

山崎医師:「小島弁護士の指摘の通り、法律上は国民の側から『資格確認証』の発行を求めることになっている。

政府は、当面の間は求めがなくても『資格確認証』を発行するとしているが、いつまでかは明らかにされていない。また、そもそも『資格確認証』をきちんと受け取れるかもわからない。

保険診療を受けるのに無用の手間がかかるのは、憲法25条の生存権の一環として、必要な医療サービスをすみやかに受ける『医療アクセス権』を蹂躙(じゅうりん)するものだ」

ここでも、地方自治の侵害、つまり国が市区町村との協議を十分行っていないことの弊害が端的に表れているといえるだろう。

法的根拠なく医療機関に「オンライン資格確認」の対応を義務づけ

小島弁護士はさらに、医療機関にオンライン資格確認への対応を「療養担当規則」(厚生労働省令)によって義務付けたことが、国会を「国の唯一の立法機関」と定めた憲法41条に違反すると指摘した。

憲法41条は、人権保障の見地から、国会に法律を作成する権利を独占させる規定である。判例・学説によれば同条の「法律」は実質的に解釈され、少なくとも「国民の権利を制限し義務を課する法規範」は必ず含まれることとされている(最高裁昭和60年7月16日判決等参照)。

したがって、医療機関にオンライン資格確認への対応義務を課する場合、それは法律によって定められなければならない。

例外として政令・省令といった下位の法規範への委任が認められるが、その場合は相当程度具体的なものでなければ認められないとされる(最高裁昭和49年(1974年)11月6日判決等参照)。

小島弁護士:「本来ならば、健康保険法の改正が必要だったはずだ。

ところが、法改正をせず、療養担当規則という省令を改正する形で、保険医療機関に対してオンライン資格確認を義務付けている。そのことについて、健康保険法は療養担当規則への委任を行っていない。

行政機関が勝手に法律を作ったのと同じであり、憲法41条違反だ」

政策を実行するプロセスの「健全性・透明性」の問題

政策を実行するプロセスが健全性・透明性を欠くという問題も指摘された。

現行保険証の廃止とマイナ保険証への一本化は、もともと、河野太郎デジタル担当相が2022年10月に記者会見で発表したものである。

山崎医師:「日本で推進されているマイナ保険証による『医療DX』は、国・政府が医療機関を強制的に動員して、全国民の制度を統合する形をとっている。

DXは本来、多くの国民が便利になるための企業や社会の取り組みであるはずなのに、逆のベクトルになっている。

日本が国際的に遅れているという主張もあるが、世界中、このようなおかしな制度をとっている国は他にない。

所管外の河野デジタル担当大臣がイデオロギーで勝手に推進してしまったことで、国中が振り回されている。

全国の医療機関がトラブルに巻き込まれ、患者が多くの不便を押し付けられ、かつ、何兆円もの国家予算がどぶに捨てられている」

東京都世田谷区の保坂区長は、医療機関や市区町村の現場の声が反映されていないことへの不信感を示した。

保坂区長(東京都世田谷区):「法律上、マイナンバーカードを取得するか否かは任意であり、全国民に持たせたいなら本来は法改正等が必要だ。

それなのに、政府は法改正をするのではなく、マイナ保険証への一本化により事実上マイナンバーカードの取得を強制しながら、他方で『マイナポイント』でお金をばらまいて普及させようとするやり方をとっている。

これまで、国民皆保険制度を成り立たせるために医療機関や保険組合、自治体が払ってきた努力の重みに対する敬意の念が全く感じられない。

河野大臣は保守政治家だったはず。本来の保守の思想とは『人間は必ず誤りを犯すので、過去の経験則を重視する』というもの。誤りがあれば、素直に認めて改めるのが筋だ。

2026年をめどに新たに『次期個人番号カード』が導入される予定も決まっている。やがてなくなるマイナンバーカードを取得してもらうために、市区町村は相当な労力を払わされている。

現場の声、医療を必要とする患者の声を汲み上げた制度に転換すべきだが、そのベクトルと真逆になっているので、信頼が低い制度になっている」

元総務官僚でもある長野県飯山市の江沢岸生(きしお)市長も、昨今の政府の政策の進め方に憂慮を示した。

長野県飯山市 江沢岸生市長(都内会場/弁護士JP編集部)

江沢市長(長野県飯山市):「マイナカードへの一本化に限らず、政府は物事を強硬に進めており、国民からの信頼が低くなっている。

政府への信頼が低くなると、国民は政府がやることをなんでも疑うようになり、抵抗が強くなる。そうなれば、政策実行や改革に時間がかかり、政府にとっても損であるはず。

スムーズに進めたければ、信頼性を高める必要があるということをよく考えてもらいたい」

マイナ保険証への一本化の「12月2日」へ向けた「現実的な対応」とは

最後に、現行保険証の廃止とマイナ保険証への一本化が12月2日に迫っていることを受け、今後、現実問題としてどのように対応していくべきかが議論された。

山崎医師は、医療機関の立場から、患者が保険診療を受けるにあたり不利益を被らない方法を模索することを述べた。

山崎医師:「政府は、12月2日以降に現行の健康保険証が使えなくなるかのような、誤解を招くキャンペーンを行っている。

しかし、実際には向こう1年間、現行の健康保険証は使えるし、『資格確認証』の発行を受けられる。そのことをしっかりと伝えていくということが一番重要だと考えている。

また、『すでにマイナ保険証を作ってしまったが心配だ』という人については、10月以降、 マイナ保険証の利用登録が解除できるようになるので、それを周知していく」

世田谷区の保坂区長、飯山市の江沢市長は、地方公共団体の首長の立場として、住民の利益のための具体的な提案を行っていくことの重要性を訴えた。

保坂区長(東京都世田谷区):「私たちが声を上げたことで、変わってきたこともある。

たとえば、高齢者施設でセキュリティの問題からマイナンバーカードを預かることができないという実態に対応するため、写真認証だけで電子的情報と結びつかないマイナンバーカードが発行されることになった。

オペレーションが複雑になるという問題や、実際には資格確認証が発行されるので広がっていないという問題はあるが、いろいろ変わってきている。

総論でダメだというだけでなく、具体論でどうすればいいのかという案を提出できるように、市区町村の議会等で議論することが必要になってきているかもしれない」

江沢市長(長野県飯山市):「賛成か反対かという議論にとどめるのではなく、様々な考え方、状況を提示し合って議論することが大切だ。

私たちの地域でも、少しでも早くそのような機運を高めていけるよう努力したい」

マイナ保険証については、本記事で扱ったプライバシーリスクの問題や法的問題のほか、前編で取り上げた利便性の問題もある。また、本稿で取り上げたのはシンポジウムで指摘された問題の一部にすぎない。

いずれも、マイナ保険証への一本化に対する賛否にかかわりなく、すべての国民の利益にかかわる問題である。さらに、SNS等での意見や感想の応酬とはレベルが異なり、現場で問題に直面している専門家からの指摘である点にも留意する必要があるだろう。

個人の権利義務に重大な影響を与える政策に関して、議論の前提となる知識が十分に共有されているかどうかさえ怪しいこと、指摘された懸念や問題に対する回答や解決の筋道が担当閣僚等から国民に対して示されないことは、それ自体が問題だといわざるを得ない。

その状態が改善されないまま「マイナ保険証への一本化」が12月2日に行われることがどのような意味をもつのか、私たちは改めて考える必要があるだろう。