【スカラ 4845】xID社が違法行為をしていると指摘された問題を考える

今回は収支報告は一旦置いといて、ここ何日かtwitter界隈で話題になっているxID社(xID株式会社)が違法行為をしているという指摘に対して、頭の整理のために記事化したものです。

xIDが提供するデジタルIDについては、普及すれば便利な世の中をもたらしてくれるだろうと一個人として期待していまして、そのため非上場のxID社に投資をしている上場会社のスカラに、弱小資金ながら投資しているわけです。

そんな中で勃発した違法論争。

今後のスカラ社への投資判断にも関わるので、自分なりに調べた論点をまとめてみたいと思います。

本題に入る前に、客観性を補うため、自分の立ち位置を載せておきます。

• ITは素人
• 法関係も素人
• xID社に期待して、上場会社である株式会社スカラに投資中
• xID及びスカラ関係者ではないです

上記の通り、xID社に期待しているただの一般人です。

なので、書かれている内容についてもその点をご了解頂いた上で、あまり目くじら立てずにご覧いただけるとありがたいです。

では、本編です。

xID社が実施しているサービスについて

まずはxID社が実施するサービスについて。

これはもう公式サイトを見てもらった方が良いかと。

xID（クロスID） | デジタルIDアプリ

xID(クロスID)は、身分証、カギ、ハンコの機能を持つデジタルIDアプリです。マイナンバーカードと連携してIDを生成すると、簡単にログイン、電子署名、そして本人確認を行うことが可能になります。

x-id.me

私が認識しているところでは、xIDというデジタル身分証明書アプリを提供している会社です。

オンラインの世界では、身分を証明することが困難なために面倒な手続きを強いられることがあります。

ネットバンクで口座を開く、ECサービスでアカウント開設する、等々、現状では各サービス事業者に対して名前・住所等の何かしらの個人情報を提供してサービスを享受しています。

場合によっては、申請者が本人であることを証明するために、公的な証明書(免許証のコピーの提示等)を求められます。

その手間を解決してくれるのが、xIDアプリを含めたデジタル証明書です。

xID社が提供しているxIDアプリについては、一応、私も過去に記事を書いています。

（私の期待値の表れのため、今見ると火に油を注ぐような記事名になってしまっていますがそこは目をつぶってください）

なお、今回のxID炎上騒動を受けて、改めて見直して誤解を招きそうな部分について一部記事を修正しています。

(やましい情報を消したと思われるのも嫌なので、修正箇所は見え消し標記にしています)

【スカラ 4845】資本業務提携先xID株式会社(旧社名：blockhive)のxIDがマイナンバー関連の国策ど真ん中な件

スカラのグループ会社であるスカラパートナーズと資本業務提携しているxID株式会社が提供するxIDはデジタル改革のコアを担うポテンシャルを備えたサービスだと思っています。まさに国策ど真ん中。

kab-billionaire.com

2020.07.06

個人的にデジタル証明書アプリ(xIDアプリ)が優れていると感じるのは以下のあたりです。

• xIDのクライアント事業者が提供するオンラインサービス享受のための自己証明が圧倒的に楽になる^※。
• 自己証明の必要が生じる場面の度に、マイナンバーカードにタッチ(FeliCaによる電子証明書の読み取り)しなくてよい→マイナンバーカードを常に所持していなくてよい。
• スマホが生体認証に対応した機種であれば、生体認証をPIN代わりに使える
• 署名情報はブロックチェーンで記録されるため、不正利用の抑止効果がある

※情報提供する際にはPIN入力により情報提供意思を表明する必要があります。

今回、違法ではないかと指摘されている点について

xIDのアプリで行うことは、

1. デジタルID(そのデジタルIDの名称が「xID」)の生成
2. デジタルIDへのマイナンバーカードの署名用電子証明書を用いた本人性担保

今回、話題になっているのは、上記１のデジタルIDの生成の部分です。

現在の仕様では、デジタルIDの生成にあたり、端末上でマイナンバーそのものを用いて非可逆的に一意のIDを生成しています。

これが、番号法第19条（特定個人情報の提供の制限）、20条（収集等の制限）の違反にあたるのではないかというのがtwitter界隈での指摘になります。

下の総務省のWGの資料を用いるのがわかりやすいかなと思うのですが、下図②の電子証明書の部分は民間も含めて幅広く利用が可能な部分になりますが、下図①のマイナンバーそのものは法令で利用できる主体が限定されています。

xIDにおける本人性担保については、下図②の情報をつかっているので問題がないと思われるのですが、問題点として指摘されているのは、デジタルIDの生成にあたり①のマイナンバーそのものを利用してしまっているということです。

なお、番号法第２条第８項において、「この法律において「特定個人情報」とは、個人番号（個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第六十七条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。）をその内容に含む個人情報をいう。」と書かれています。

そのため、マイナンバー(法文における「個人番号」)のみではなく、「マイナンバーに対応し、当該マイナンバーに代わって用いられる番号、記号その他の符号」についても、マイナンバーと同等の特定個人情報とみなされてしまうというのが法的な位置づけとなっていて、これらは法令で利用できる主体が限定されているのは上述のとおりです。

ここまで書くと、現在のxIDの仕様は「マイナンバーから生成したデジタルIDを収集」している点からアウトに思えますが、法解釈次第ではセーフとなるような気もしています。

その議論の前に、まずは現在のxIDの仕様のおさらいですが、xIDにおけるマイナンバーの利用シーンは、端末上においてマイナンバーをもとに不可逆的な一意のデジタルIDを生成(マイナンバーそのものは収集しておらず、デジタルIDの生成後は端末からも破棄している)、という部分になります。

ここの読み方次第では、現法上でも問題ないと言える余地はあるのではないかという話を下に記載します。

まず、論点の1つ目となる、「非可逆的」について。

わかりづらい言葉ですが、概念的には、

マイナンバー　→　デジタルID(xID)、は導出できるものの、

デジタルID(xID)　→　マイナンバー、は不可能ということかと思います。

ここが後述する論点の1つめです。

そして論点の2つ目が、このマイナンバーからデジタルIDを生成する処理は、スマホ等の端末上のみで行われ、xID社が収集してサービスに利用するのは、生成された一意のデジタルID(マイナンバーへの復元不可)のみという点です。

法解釈について

前段の整理を踏まえて、xID社側の立場からの法解釈を試みるとこんな感じかと。

論点①　生成されたデジタルIDは「マイナンバーと対応する」のか

xID社の説明によると、生成されたデジタルIDは非可逆的なものだそうです。

これが確かならば、「マイナンバーと対応する」とは言えないのではないでしょうか。

番号法の「個人番号に対応し、～」の部分は、裏番号と呼ばれるものを指したものだそうで(今回初めて知りました)、裏番号を知ることで分散管理されている各種個人情報をマイナンバーというマスターキーに名寄せされてしまうことを懸念して明文化されたものだそうです。

xID社の説明とおりに、デジタルIDからマイナンバーへの導出が不可能ならば、xIDアプリにより生成されたデジタルID(xID)は 、法文の「個人番号に対応し、～」には該当しない（マイナンバーには対応しないため名寄せはできず、裏番号には該当しない）と読むことができるのではないかと思います。

なお、その大前提としては、第三者には当然のことながら、xID社自身にもデジタルIDからマイナンバーの復元ができないものになっている必要があると思います。

当面の間でも現在の仕様を継続して事業をするのであれば、xID社には上記の説明責任があるのではないかと思いますね(少なくとも監督官庁のお墨付きを得るくらいのことは必要かと)。

論点②　マイナンバーの収集とはどこまでを指すのか

これまたxID社の説明によると、マイナンバーを用いたデジタルID生成の処理は端末上のみで行うとのことです。

つまり、マイナンバーそのものはxID社が管理するサーバー等には渡らないということと読み取れます。

この場合、法で規定する「収集」行為にはたして該当するのかというのが2つ目の論点です。

xID社が実は悪徳業者で、こっそり入力させたマイナンバーを収集していましたということであれば真っ黒の完全アウトなのですが、性善説に立ってxIDの説明通りに入力されたマイナンバーは端末上のみで処理され破棄されるのであれば、それは「収集」行為に該当しないのではないでしょうか。

xID社の説明を素直に読むと、xID社の管理下におかれる(収集される)情報は、マイナンバーから生成されたもののマイナンバーとは紐づかないデジタルIDのみとなります。

その場合、法で規定されるマイナンバーの収集行為には該当しないと解釈する余地はあるのではないかと思われます。

それでもやはり仕様変更をすべきと考える理由

現状が法的にアウトかセーフかは然るべき人が結論されるでしょうが、仮に上述のとおり現在の仕様のままでも法解釈上問題がなかったと結論付けられたとしても、仕様変更をすべきだと個人的には思っています。

その理由は以下の3点です。

そもそもデジタルIDの生成にあたりなぜマイナンバーが必要なのか

まずはこれがはっきりしません。

xIDのサービスを提供するにあたり必要なデジタルIDは、サービス利用者個々に一つずつ割り当てられる識別番号であれば事足りると思われ、マイナンバーから生成する必要性を感じません。

これがきちんと説明されない限りは、マイナンバーを用いない方法でデジタルIDを付与するやり方に仕様変更すべきだと思われます。

信頼できる事業者を見極めなければならない

もしxID社が善良で法令に則った会社であったとしても(そうであることを望んでいますが)、次に事業参入する者が善良とは限りません。

マイナンバーを入力させるプロセスにお墨付きを与えてしまうと、それを悪用してマイナンバーを盗むことをたくらむ者が出る事態につながるおそれがあります。

利用者側で信頼できる事業者なのかを見極めるか、あるいは、公的な第三者による事業者へのお墨付きが必要になると思われます。

そうなってくると、xID社が掲げる「信頼コストの低いデジタル社会を実現する」と逆行する事態にもなりかねません。

マイナンバーを入力することへの利用者への不安感

仮に法的に問題なかったとしても、マイナンバーを一事業者が提供するアプリに入力することには一利用者として躊躇があります。

その躊躇が、サービス拡大の機会を奪うことも十分に考えられます。

もしデジタルIDについて、マイナンバーからの生成が必須条件ではないのだとしたら、このプロセスをなくすことでより安心感をもってサービスを利用してもらえるようになると思います。

おわりに

今回は番外編でxID社が巻き込まれている事態について書いてみました。

法令的にアウトかセーフかの線引きは然るべき者に委ねるとして、セーフの余地がある(おそらくxID社も現行法を理解した上でセーフという認識のもと事業を進めてきたはず)中で、法令アウトだ退場だと大合唱がされるのは非常に怖いですね。

twitter上ではあまりにも批判一色で、xID社の中の人のことを思うといたたまれないです。

マイナンバー周りの事業は、個人情報に直結する部分なので慎重な議論が必要なのはわかるのですが、そればかりではせっかくの制度を利便性高く活用することは困難になります。

xID社が実現しようとしている信用コストが低いデジタル社会という世界観にはとても共感していて、今回のことを乗り切れるのであれば引き続き応援していきたいと思っています(もちろん法的にアウトなことをやっていると判断が下されれば応援などできませんが)。

今回指摘された点については、実際にxID社からも次期バージョンアップで対応すると声明を出したとおり、xID社に改善余地があると思います。

また、一連の批判の中で、公式サイト上に掲載している連携する自治体の名称の誤記等も注意されていたので、このあたりから適当なことをしている怪しい会社だと疑念を抱かれている節もあるので、慎重かつ丁寧に物事を進めてほしいと思います。

今回の件がどのような着地点にいくのかわかりませんが、よりよい日本社会が実現する結論が出ると良いなと願っています。

ブロトピ：こんな記事書きました！

ブロトピ：ブログ更新しました

人気ブログランキング