総合研究部 研究員 吉田 基
2020年の情報保護制度に関するトピックスとして、6月5日の通常国会において、個人情報保護法改正案が可決成立し、6月12日に公布されたことが挙げられます。また、新型コロナウィルスの感染拡大に伴う特別定額給付金のオンライン申請では、マイナンバーカードの利用が前提とされており、一部混乱を招くなど、制度のあり方や今後の普及に向けた課題など、関心の高い事項が続きました。
本稿では可決成立した改正法の概要・企業への影響と特別定額給付金の申請におけるマイナンバーカードの利用における課題について整理していきます。
1.2020年改正の概要と今後の動きについて
改正内容を概観すると、(1)個人の権利の在り方、(2)事業者の守るべき責務、(3)事業者による自主的な取組を促す仕組みの在り方、(4)データ利活用に関する施策の在り方、ペナルティの在り方、(5)法の域外適用・越境移転の在り方に分けられています。各項目の詳細に関しては2019年12月13日に個人情報保護委員会より公表されている「個人情報保護法いわゆる3年ごと見直し制度改正大綱(以下、「大綱」という。)」を参照いただければと思います。また、弊社コラム&レポートの「情報セキュリティトピックス、データプライバシーとコンプライアンスの動向(1)(2020.1)」が大綱をコンパクトにわかりやすく解説していますので併せてご参照ください。
また、今後の動きとしては、個人情報保護委員会で公表されている「個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)について」によると、円滑な施行に向け関係する政令・規則・ガイドライン等の整備を進めるとともに、周知広報に積極的に取り組むとしています。これら政令・委員会規則は2021年4月頃に、ガイドライン・QAは2021年6月以降に公布が予定されています。そして、改正法により新設された要件・義務について想定される事例を可能な限り明確にし、個人の権利利益の保護と個人情報の利活用の観点から十分に検討を行うとされており、企業にとって重要な指針となり適宜確認をすることが必要となります。
(1)個人の権利の在り方
(ア)利用停止請求
改正法の施行後は、利用者から個人データの利用の停止・消去・第三者への提供の停止についての請求があった場合に加えて、個人の権利又は正当な利益が害されるおそれのある場合にも利用停止・消去等を請求することが追加されています。
大綱では、「侵害がある場合を念頭に」とされていました。この点、法律案では、「害されるおそれ」とされており、微妙な修正ではありますが、請求できる場合が拡張されています。ただ、具体的にどのような事例で「権利を害するおそれ」が認められるのかは判然としませんが、保有する情報を漏えい・棄損させてしまったような場合には、当然利用停止請求が認められることになることが想像できます。また、当該個人情報を事業者が利用する必要がなくなった場合にも利用停止請求が認められるようになりました。例えば、「取引が終了し、もう取引をすることはないので削除してほしい」という請求があれば、事業者は応じなくてはなりません。今後、利用を停止する権利や第三者提供を停止する権利の導入によって、事業者は、個人の求めに応じてデータの利用等を取りやめる必要が出てきます。自分のデータがどのように利用されているのかを知りたいという個人のニーズが喚起される可能性もあり、事業者は、保有個人データの開示や停止に向けて、どのようなデータを何のために保有しているのかを再度整理する必要があります。
利用停止・消去等の請求権に関連し、「一般データ保護規則(GDPR)」では消去の権利、2020年1月に施行された「カリフォルニア州消費者プライバシー法(CCPA)」でも消費者による削除の要求が認められています。いずれも請求内容として情報の削除を求めることができる点で利用停止・消去等の請求権と同じです。他方で請求を拒むことができる場合には差異があり表のとおりとなります。
削除請求を拒否できる場合 | ||
改正個人情報保護法 | GDPR | CCPA |
ⅰかつⅱ
ⅰ権利保護のために必要な代わるべき措置をとり ⅱ多額の費用を要する場合または利用停止等をとることがこんなんな場合
|
ⅰ~ⅲのいずれか
ⅰ表現の自由・情報の自由の行使 ⅱEU法・加盟国法上の法的義務の履行 ⅲ公益目的でのアーカイブ、科学的・歴史的調査又は統計(忘れられる権利の行使によりそれらの目的の達成が不可能又は著しく損なわれる場合)など。 |
請求した者が本人と確認できない場合 |
まず、改正個人情報保護法とGDPRの比較です。改正個人情報保護法では利用停止等の請求権を拒むできる事由に企業側の事情が考慮されます。他方でGDPRの場合には表の通り公益が考慮されています。このような差異がでるのは削除権の性質が異なるためです。改正個人情報保護法で事業者が個人情報を削除しないこと、利用を停止しないことへの消費者の強い不満に応えるために利用停止請求権が認められています。他方でGDPRは忘れられる権利が基礎にあり、逮捕履歴などの情報をインターネット上より削除し平穏な生活を害されない権利・手段として位置づけられます。また、改正個人情報保護法とCCPAでは比較的CCPAの方が削除請求は認められやすい(事業者は拒絶が難しい)ものといえます。また、CCPAは個人情報の定義を日本よりも広く定義しており、削除の対象となる情報が広くなります。
日米欧での個人情報保護法制に関して、利用請求権のみを切り出して比較しただけでも本質的な考え方の相違が垣間見えます。それぞれの制度についても整理したうえで適切な対応が必要となります。
(イ)オプトアウト規制の強化
改正法では、個人データの収受に関して、本人は、第三者提供記録の開示を求めることができるようになります。この場合、請求先は「個人情報取扱業者」となるので、提供元と提供先の両方となります。
また、オプトアウト規定により第三者へ提供できる個人データの範囲を限定しています。具体的には当該個人データが偽りやその他不正により取得された場合、他の個人情報取扱業者よりオプトアウト規定で取得した個人データについては第三者への提供ができなくなります。個人データの範囲の限定に加えて、提供元の氏名又は名称及び住所・代表者名、個人データの取得方法、その他、個人情報保護委員会規則で定める事項につき、予め本人に通知や公表等をしなくてはならないこととなります。
昨今大きな議論の一つとなっているCookieの利用について、大綱では「第4節 データ利活用に関する施策の在り方」の「4.端末識別子等の取扱い」中の「(3)提供先において個人データとなる情報の取扱い」において、「提供元では個人データに該当しないものの、提供先において個人データになることが明らかな情報について、個人データの第三者提供を制限する規律を適用する。」という文言が盛り込まれていました。
具体的にどのようなケースにおいて本人の同意が必要となるのかについては今後の議論の推移をみていく必要がありますが、Cookieの利用については各国の法規制ばかりでなくAppleやGoogleなどのプラットフォーマーも規制していく方向性を打ち出しており、Cookieの使用に関する同意の取得・管理や、代わるテクノロジーの模索など、包括的なアプローチを検討・構築していく必要性が増しているといえるでしょう。
(2)事業者が守るべき責務の在り方
(ア)漏えい等報告及び本人への通知の義務
個人データの漏えい、滅失、毀損その他の個人データの安全性の確保に係る事態であって個人の権利利益を害するおそれのある事態が発生した場合には、個人情報保護委員会へ報告しなくてはなりません。法律案によると「個人の権利を害するおそれが大きいもの」としています。そのままであれば、個人情報の漏えい等が発生したあらゆる事態において個人情報保護委員会へ報告する必要はないとも解釈できます。ただ、被害者へ及ぼす影響や事の大きさは情報を管理する事業者では計りきれないところもありますので、実務上は事案の大小にかかわらず、報告の必要不必要の確認含め、まずは個人情報保護委員会へ相談・報告するというスタンスが望ましいのではないでしょうか。また、二次被害の防止や必要な権利行使など、自らが適切な措置を講ずる機会を確保するために本人にも漏えいがあったことを報告することが義務となります。なお、通知が困難な場合や本人の権利利益を保護するために必要な代わる措置を講じた場合には本人への報告義務は免除されます。
参考までに、最近では、英国やカナダ、フランスなどが漏えい報告を義務化しています。個人情報保護委員会による各国の監督機関へのヒアリングでは、義務化は正直に報告する事業者と消極的な事業者の間にあった不平等の解消につながるといった回答が多かったとしています。経済協力開発機構(OECD)は、各国での漏えい通知をまとめた統計が国際的に比較可能な指標として、政策立案に役立てられると位置付けているといいます。このようなヒアリング等も踏まえ、骨子では「一定数以上の個人データ漏えい等、一定の類型に該当する場合、速やかに個人情報保護委員会への報告と本人への通知を行うことを個人情報取扱事業者に義務付ける」としています。
なお、一般データ保護規則(GDPR)では、個人情報の漏えいなどが発生した場合、72時間以内にデータ保護機関に通知することが義務付けられています。同時に個人情報を保有しているすべての人に、遅滞なく通知しなければなりません。GDPRに関わらず国内の情報漏えい事案でもそうですが、過去の情報漏えいの事例では被害を受けていること、または加害の立場となってしまっていることに自ら自発的には気が付かないこと(消費者や特定団体等の第三者からの通報で発覚)も多くあります。また、被害の全貌を把握してから公表するという手順を踏むことが多く、従来のやり方では「3日以内の報告」は難しいと言わざるを得ません。情報漏えいは、外部からの指摘で判明することも多いため、社内のチェック体制の点検や、インシデントの発生時に円滑に関係機関に報告を行う体制作りが求められます。
(イ)不適切な利用の禁止
利用に関する規制が加えられました。この規制により違法または不当な行為を助長し又は誘発するおそれがある方法の利用が禁止されます。
この点、不適切な利用方法というのは判然としません。法律案の記載からすると違法または不当な行為に関係する場合に限定していると読めます。しかしながら、大綱の適正な利用義務に関する項目では、「データ技術向上等を背景に、潜在的に個人の権利利益の侵害につながること」が言及されています。必ずしも違法といえない方法の利用でも不適切利用とされうる場合もあるということです。まず、大綱における差別を助長するようなデータベースとしては、いわゆる破産者マップ問題が念頭に置かれています。破産者マップ問題とは、政府が発行する官報に掲載された自己破産者の個人情報をウェブサイト上に同意を得ず公開した問題です。また、昨今の急速なデータ分析技術向上等を背景に、潜在的に個人の権利利益の侵害につながるとされており、データを分析しプロファイリングする行為のうち個人の権利を害するおそれのあるものやいわゆるリクナビによる内定辞退率の算出が該当し得るものと考えられます。いずれにせよ、ガイドライン等で明確化され、その表現次第では解釈が拡がり、大きな影響を受ける可能性もあります。以上のように、企業として不適切な利用の禁止に抵触しないために保有する個人情報をどのように利用しているか、その利用形態が適切であるかを常に把握する必要があります。
(ウ)開示請求・公表事項の充実化
事業者は保有する個人データの公表事項に関し、個人情報取扱業者の住所、法人である場合には代表者の氏名を追加しています。また、大綱によると個人情報取扱業者による保有個人データの本人に対する説明の充実を通じて、本人の適切な理解と関与を促す観点から、個人情報の取り扱い体制や講じている措置の内容、保有個人データの処理方法等の本人に説明すべき事項を追加するとしています。そのため、各事業者はプライバシーポリシーの追加や変更が必要となります。また、各事業者内で保有個人データをどのように処理しているかも把握する必要が出てきます。
本人は開示請求する場合に個人情報取扱業者に対して、保有個人データの開示方法につき、電磁的記録を含めて指示することが可能となります。また、開示の対象が今回の改正で6か月以内に消去する個人データも開示の対象となります。これは、大綱によると情報化社会の進展により、短期間で消去される個人データであっても、その間に漏えい等が発生し、瞬時に拡散される危険性があるため、短期間で消去されることが予定されるデータも個人の権利利益を侵害する可能性は低いとはいえないことを理由としています。
また、実際に開示請求がされた場合には事業者側は請求者に対して、開示の対象範囲を絞り込むように要求することはできません。そうすると、「情報をすべて開示しろ」と請求された場合に範囲を絞り込むことを求めることはできず、原則としてすべての情報を開示しなくてはなりません。企業としては開示請求がされることを念頭に置き、個人情報が適切に記録されているか、企業内のどこに保管されているかなどを確認する等の対策が必要となります。
(3)データ利活用に関する施策の在り方
(ア)仮名加工情報
今回の改正の目玉の一つとして仮名加工情報の新設が挙げられます。仮名加工情報とは、削除等の措置を講じ特定の個人を他の情報と照合しない限り識別できない個人に関する情報です。この仮名加工情報の第三者提供に関する法律案によると、「個人情報である仮名加工情報を除く」という文言があります。そのため仮名加工情報には個人情報である仮名加工情報と個人情報でない仮名加工情報が存在し、第三者提供に関しこれらは取扱いが異なります。この点、仮名加工情報の定義では「他の情報と照合しない限り識別できない情報」とされている一方で、個人情報は「特定の個人を識別できる情報」とされます。
現行の個人情報保護法には特定の個人を識別できないように加工した「匿名加工情報」という類型があります。匿名加工情報は元の個人情報を復元できないデータと定義され、企業が目的外利用や他社に提供する際に本人の同意は不要です。匿名加工情報を扱うには、個人情報保護委員会規則などの基準に従って適正に加工・作成する必要があります。
新設される仮名加工情報は、匿名加工情報よりもデータの加工が比較的簡単なため詳細な分析に使用できる一方で、個人とひも付けて直接影響を与えるような使い方はできません。そのため仮名加工情報は、開示や利用停止などの請求に対応しなくても良いと考えられます。また、匿名加工情報が本人の同意なく他社に提供できたのに対して、仮名加工情報は企業内での分析にしか利用できません。
匿名加工情報と仮名加工情報は、単独で個人を識別できないことや企業は安全管理措置を講じなくてはならない点で共通しています。他方で、匿名加工情報の場合には第三者提供が可能ですが、仮名加工情報の場合には第三者への提供は原則禁止されます。また、匿名加工情報は利用目的を特定し公表する必要はありませんが、仮名加工情報は利用目的をできる限り特定して公表しなくてはなりません。
2014年のSuica乗降履歴販売問題では、特定個人を識別することが可能なデータであったと考えられる以上、本人の同意またはオプトアウト手続きをせずに第三者に提供したことは、法令違反ではないかという問題提起がなされました(また、一般消費者からは、「知らないうちに、勝手に・・・」「なんだか気持ち悪い・・・」との声が多く挙がりました)。実際には、JR 東日本はSuicaの乗降履歴データを個人が特定できないように氏名・電話番号・生年月日(日にちのみ削除)、物販情報を削除して日立製作所に提供しており、当該取引自体は法令上問題無いという解釈が一般的です。加えて、日立製作所との間で、特定の個人を識別する行為を禁じる契約も締結するなどの措置も講じていましたが、それでも、利用者からは「個人の情報を勝手に使っていいのか」「本当に個人を特定されないのか」という不安・反発を招き、結果的に販売契約の打ち切りを余儀なくされました。これは、個人情報に関する誤った解釈や無理解、プライバシーに対する過剰な反応、定義の不明確さ等が改めて問題視された事案と言えます。
匿名加工情報も仮名加工情報もビッグデータ利活用場面で活かされるものですが、そのルールに差異があります。そのため、自社内でルールの差異を整理・理解したうえで情報を利用していかなくてはなりません。
(イ)個人関連情報の提供
これはリクナビ問題を受けて新設されたものです。ここでいうリクナビ問題というのは、就活生の同意を得ることなく当該内定辞退率を予測したうえ、就活生の同意を得ず第三者に販売した問題です。同行為に対し個人情報保護委員会による2019年12月4日に公表された勧告では、「法の趣旨を潜脱した極めて不適切な行為」としています。その他にも個人情報の取り扱いに関し勧告がなされており、今後の個人情報の取り扱いに関し示唆を与えるものです。リクナビ問題の詳細につきましては、個人情報保護委員会の勧告を一読することに加えて、弊社コラム&レポートの「情報セキュリティトピックス、個人データ活用が問う企業の倫理とは(2019.9)」が分かりやすく解説していますので、併せてご参照ください。
今回の改正により提供元で個人を識別できないとしても、提供先で特定の個人を識別できると知りながらデータの提供をすることには明示的に規制がなされています。具体的には、個人関連情報という概念を新たに定義し提供元で個人データに該当しないとしても、提供先において個人データとなることが想定される情報の第三者提供については、本人の同意が得られていることを確認することが求められます。そのため、企業としてはどのようなデータが社内において取り扱われており、提供がなされているのかを把握する必要があります。
特に個人データの第三者提供を行う場合は、不明確なプライバシーポリシーを提示して形式的な同意を得ておくだけでは不十分であり、利用者の個人データが第三者提供される旨が明確にわかるようまず利用目的の欄に記載したうえで、提供を予定する個人データの項目もできる限り具体的に記載することが求められるでしょう。さらに個人データの第三者提供に同意することで、利用者にとってどのようなメリットが生じるのか(たとえば当該サービスの無償提供や、より充実したサービスが提供可能となること等)まで触れられていれば望ましいものといえます。
明確でわかりやすい内容のプライバシーポリシーを提示し、利用者も納得したうえで真に同意していると評価できる個人情報の取扱いを行うことが、結果的に利用者や世間からも評価されるサービスの実現につながるのではないでしょうか。
「法律に明確に違反してないから大丈夫」ではなく、「ビジネスモデルが明るみに出た場合にも利用者の支持を得られるか」「利用者と顧客に胸を張ってサービスの意義や正当性を説明できるか」という視点は、本問題に限らず、コンプライアンス・リスク管理全般において、今後はより求められていくことになります。
(4)ペナルティの在り方
個人情報保護委員会による命令違反、委員会に対する虚偽報告の法定刑が引き上げられます。また、データベース等不正提供罪、委員会による命令違反に関する罰金について、法人と個人の資力の差を勘案し、法人に関しては個人よりも罰金刑の最高額を引き上げられます。
現行法では、個人情報保護委員会の措置命令違反をした者に対する罰則は、「6月以下の懲役又は30万円以下の罰金であったところ、改正法では「1年以下の懲役又は100万円以下の罰金」に引き上げらえました。
(5)法の域外適用・越境移転の在り方
日本国内の者に係る個人情報を取り扱う外国業者は、罰則によって担保された報告微収・命令の対象となります。
また、外国にある第三者へ情報を提供する場合には、あらかじめ当該外国における個人情報の保護に関する制度、当該第三者が講ずる個人情報保護のための措置その他本人にとって参考となる情報を提供することが必要となります。
具体的には本人より同意を得る際に当該外国の個人情報保護に関する制度、当該第三者が講じる個人情報保護のための措置を提供しなくてはなりません。
外国へのデータ移転に関連しGDPRでは、EEA内に拠点を持つことなくEEA外から個人データを取り扱う場合には代理人を設置しなくてはなりません。他方で大綱では代理人の設置につき言及されておらず改正案にも記載がありません。今回の改正では見送られていますが、今後の検討事項といえます。
参考までに、その他にも、様々な国ではデータの海外への移転制限が設けられており、それらの国では、取得した個人データをその国のサーバで保管し処理するデータローカライゼーション(Data localization)が取られています。最も厳しい制限をかけている国としては中国、ロシア、インドネシアなどがあり、国内のサーバにデータを保管することを定めた規定が出されています。次に制限が厳しいのが欧州であり、統一的なプライバシーフレームワークであるデータ保護指令(Data Protection Directive)によって事実上のデータローカライゼーションが取られています。この他にも、インド、韓国、マレーシアなどは条件付のデータローカライゼーション規定が定められています。
非常に厳しい移転制限:すべての個人データに対し、データローカライゼーションを行うことを規定している。<ロシア、中国、インドネシア、ブルネイ、ベトナム>
事実上の厳しい移転制限:個人プライバシー保護の中でデータローカライゼーションを定めており、データの海外への移転制限を難しくしている。<EU欧州連合>
部分的な移転制限:データローカライゼーションを設けており、データの種類によっては海外への移転ができない。<アルゼンチン、ブラジル、コロンビア、ペルー、ウルグアイ>
緩やかな移転制限:特定の条件でのみデータの海外への移転制限を規定している。<オーストラリア、カナダ、ニュージーランド、台湾、トルコ、ベネズエラ>
2.最近のトピックス~特別定額給付金のオンライン申請について~
(1)オンライン申請における混乱
コロナ禍の経済対策として政府が国民に一律10万円を配る「特別定額給付金」のオンライン申請で自治体の業務が混乱したということで、連日メディアなどでもこの話題が取り上げられました。
マイナンバーカードとマイナポータルの「ぴったりサービス」を使って2020年5月1日に始まったオンライン申請は、申請者による氏名や住所などの誤入力や二重申請が相次いだ結果、自治体が持つ住民情報との照合に多大な手間がかかったといいます。総務省は2020年6月2日、同月1日までに43自治体がオンライン申請の受け付けを停止したと明らかにしました。
ただ、実際には、オンライン申請が総じて「ダメ」だったわけではなく、狙い通り早期の給付にこぎ着けた自治体も多くあったようです。
ある都内の自治体はExcelの手製ツールを使い、申請データと給付対象者リストを突合し、世帯構成人数の一致を確認。作業を省力化した結果、5月20日時点で申請の9割近くの給付を完了したといいます。
(2)マイナンバーカード活用に関する提言書
特別定額給付金制度とマイナンバーカードの活用に関する提言書を確認したいと思います。まず、2020年5月19日に自由民主党政務調査会マイナンバーPTの公表する「マイナンバー制度等の活用方策についての提言」では、「今回の特別定額給付の支給にあたっては、マイナンバーカードを活用したオンライン申請により迅速な至急が実現し、国民のマイナンバーカード制度の関心・期待も高まっている」とされています。おそらくこの提言書の原案は公表される19日以前に作成されており、オンライン申請における問題が明らかになる前に作成されているものと思われ、実態を反映しているとは言い難いものです。また、2020年5月22日に公表された第18回新戦略推進専門調査会第14回官民データ活用推進基本計画実行委員会における新経済連盟の「IT新戦略の策定に必要な事項について」では、「今回のコロナ対応では諸外国の迅速な給付金支給との対比などにより、マイナンバーカード活用の必要性が広く認識」とされています。こちらの提言書の原案も公表前に作成されているので、オンライン申請における問題が明らかになる前に作成されているものと思われます。
これらの提言書の記載だけでは単なる認識の齟齬なのか、検討を見誤ったのか、あるいは当初よりマイナンバーの普及を狙っていたのかは判然としません。私見では、「オンライン申請により迅速な支給が実現し」や「必要性が広く認識」という書き方からマイナンバーカードによるオンライン申請がうまく機能する(機能させたい)ことを前提に書かれたものとも読め、これを機にマイナンバーカードの普及を目論んでなされたのではないかとも読み取れます。
マイナンバー制度が運用を開始してから約5年が経過しましたが、マイナンバーカードの普及は進んでいません。総務省によると、人口に対する交付率は約15%にとどまっています。今後、健康保険証として代用可能とし診療情報との連携を図ることで、普及率を高めるとしていますが、制度そのものが監視社会、個人情報漏えいに繋がるという懸念の声も多くあります。その結果、個人番号とは直接関係のない電子証明書機能を有したマイナンバーカードについても、普及の弊害となっています。マイナンバーカードの普及を行政分野に限らず、民間サービスにも広げデジタル社会作りの中核と位置付けるのであれば、目先の利便性を強調するばかりでは理解の獲得は困難であり、まずは国民が抱いている不安を払拭することが求められます。
(3)これまでの教訓を活かした活用を
今回、オンライン申請で一部自治体に混乱が見られた根本的な要因は、「全国民向けの現金給付申請をオンラインで受け付ける」という業務について、法律面、運用面の双方で事前の想定を怠ったことが挙げられます。
2020年4月20日に給付金が閣議決定してから、5月1日にぴったりサービスによるオンライン給付の受け付けを始めるまで、実質的な開発期間は2週間弱。5月8日には自治体向けQ&A集を公開し、「氏名の一致は同一性が確認できればよく、厳密な一致を求める必要はない」「世帯員の合計数が一致すれば氏名の一致を推定して事務を進めてよい」などと通知ししました。さらにぴったりサービスの仕様について自治体の要望を聞き取り、6月1日までに口座情報の入力補助など46件の改修を施しました。ですが、現場の努力による不眠不休の突貫工事で実現できることには限界があります。
リーマン・ショックや東日本大震災の経験を踏まえれば、「全住民を対象とした給付申請」について、事前に行政機関と自治体でデータ処理や業務フローを標準化することもできたはずです。その中で、給付用口座の事前登録、児童手当向け口座の活用などのアイデアも出てきたのではないでしょうか。
現在のぴったりサービスは「紙での申請業務をそのまま電子化したシステム」にとどまっています。行政や自治体向け申請手続きの多くは「白紙の申請用紙に氏名・住所、申請内容を記載し、本人確認書類を添付して送る」方式であり、ぴったりサービスもこの申請方式を踏襲しています。
マイナンバーカードについては、今後、口座情報との紐づけや年金事務やネットバンキングでの残高照会や医療データの参照、災害時の避難状況の把握なども可能にすることなどが検討されています。これからの普及結果が、役所のシステムを変えただけで宝の持ち腐れに終わるか、電子行政に欠かせないインフラとなるかの分かれ目となります。また、マイナンバーが非対面での取り引きに活用されるということは、状況によっては本人確認を悪用されかねないリスクも孕み、慎重かつ厳格なリスク管理に耐えうるだけの正確性が求められます。交付率が5%で終わった住民基本台帳カードの二の舞を避けるには、安全と利便性を両立した制度の着実な運用が普及には不可欠です。