個人認証情報としての生年月日の利用とfacebookについて

ストーカー殺人事件の関係で、調査会社(探偵会社)の個人情報入手方法がちょっと話題になってます。ガス会社等々に電話をして、コールセンター担当者から個人情報を聞き出す手法などがニュースに載ってたりします。あまり報道すると真似する人が出てくることを懸念する人もいるかもしれませんが、どちらかというと手口を周知させた方が防止効果が生まれて望ましいと思います。たとえば、宅配便業者のふりをして、宛名が薄くて読めないので教えてくださいと電話をして、おおよその住所と電話番号から正確な住所を得る手口などは新聞雑誌記事等で読んで知識を得ていないとだまされてしまうかもしれません。

さて、これらの個人情報不法入手行為に注意している人・組織は多くなっていると思うのですが、自治体関係は結構甘いことが多く、探偵業界では「重宝」されているようです(参照ニュース記事)。この記事で特に衝撃だったのは以下です。

自治体からは簡単に情報を入手できるという。中部のある自治体によると、電話で税金の問い合わせがあれば、名前と生年月日が正しければ本人か家族だと判断。基本的に住所、納税額、年収などを答えている。

「年収」は個人情報の中でも特に漏れてほしくないもののひとつだと思うので、この運用は明らかにまずいと思われます。さらに、家族が住所を知らないというパターンは普通はないので、家族と判断して住所を教えるという運用はいったい何なんだろうと思います。

よくよく考えてみると、日本では名前と生年月日のペアが本人確認に使われているケースは結構多いと思います。私がアメリカで暮らしたのがだいぶ前なので、現時点はわからないですが、アメリカではそういうケースは少なかったような気がします(酒購入やクラブ入場等で運転免許証などの生年月日を証明するものを見せなければいけないことは多いですが電話口で生年月日を告げることで本人確認になるというケースはあまりなかったような気がします)。実質的にユニバーサルなIDになっている社会保障番号があるからかもしれません。

さて、facebookでは、友人あるいは友人の友人に自分の誕生日を公開している人は多いと思います。しかし、よく知られているように、なりすましアカウントによるフレンド申請は常態化しており、ついうっかり「見覚えのない美人アカウントからのフレンド申請」を承認してしまったりすると、自分の誕生日とおおよその住所が流出することになります。友人の友人に公開している場合には、自分が気を付けていても自分の友人の中に一人でもうっかりさんがいると自分の誕生日とおおよその住所が流出します。最近は、あからさまな偽アカウントではなく、実名を使ったコピーアカウント等、なりすましも巧妙化しているのでこのリスクはさらに増大しています。

アメリカだと万一誕生日が流出しても本当の年齢がばれるくらいで済むので、facebookではわりと気楽に誕生日を公開しているのかもしれません。しかし、上記の記事の内容が本当であるとするならば、日本ではおおよその住所と誕生日と名前が流出すると自分の年収(と正確な住所)が流出してしまうリスクがあるということになります。

では、マイナンバーを推進して個人ID(かつ認証情報)としての利用を広げる運用にした方がよいのかというと、これまた万一情報が流出した時に関連情報が全部ひも付けされるリスクが増すので悩ましいところです。まあ、少なくとも、名前と生年月日だけの認証で重要情報を電話で教えてしまうような自治体や行政機関にはなんらかのペナルティを与えるような制度が必要なんじゃないかと思います。

追記:以前にも生年月日を認証情報にすることを問題にした記事があった気がしていましたが、思い出しました。高木浩光先生の記事(その1その2)です(※リンクが間違っていたのを修正しました)。

関連記事:

カテゴリー: ソーシャル パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です