コンサルタントブログ

COLUMN

ホーム

TSUTAYA問題を検証する

こんにちは。コンサルタントの中野です。
今日はTSUTAYAが通知カードで本人確認をおこなっていた、という事案について検証したいと思います。
 
情報セキュリティニュースでも紹介しましたが、カルチャーコンビニエンスクラブが運営するTSUTAYAが、マイナンバーが記載された「通知カード」を新規会員登録の際の本人確認に利用していたことが判明しました。TSUTAYAは2015年10月16日以降、本人確認の際に保険証や光熱費の請求書と合わせて身分証として、氏名と住所だけを目視で確認していたようです。
これを受けて社会保障改革担当室の担当者は、「防犯カメラに写ったり、店員が間違えてコピーしたりして個人番号が流出してしまう可能性があるため、こういった利用は適切ではない」としています。同社広報部は「違法性はないと認識しているが、利用者に不安を与えるかもしれないので今後は利用しない」と回答しています。
 
カルチャー・コンビニエンス・クラブは、プライバシーに関連して、興味深い事例を常に提供してくれます。
Tポイントカードの共同利用の問題であったり、図書館運営の問題であったり、プライバシーマーク返上の話であったり。
 
2015年10月5日に番号法が施行され、「通知カード」の配布がスタートしました。その10日後に本人確認のオペレーションに「通知カード」による確認を追加した対応は、とても迅速です。素晴らしい。
 
しかし、この対応が法的にどうなのか、法務部門は検証しなかったのでしょうか。
私の見解になりますが(というよりも、誰が考えても同じ見解となると思いますが)、個人番号の利用は税と社会保障を中心に法律に定められた利用目的を超えて利用することはできないため、TSUTAYAの対応はコンプライアンスの点で問題があると言わざるを得ないです。通知カードは本人に個人番号を通知する目的で配布されたものであり、そもそも身元確認を目的としたものではありません。
なお、身分証としての機能を持つ「個人番号カード」であれば、身元確認に利用することは可能です。ただし、コピー等をおこなう場合は、個人番号をマスキングする必要があります。
 
このようにCCC社は、業界のコンサルタントに学びを与えるようなケースを数多く提供してくれます。
コンサルタントの力量を確認したい場合はTSUTAYAから何を学んだかを確認すると良いかもしれません。
「Tポイントカードの共同利用の組み立ては、何が問題だったのですか?」など。

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ