情報セキュリティニュース

COLUMN

ホーム

TSUTAYA 通知カードで本人確認

カルチャーコンビニエンスクラブが運営するTSUTAYAが、マイナンバーが記載された「通知カード」を新規会員登録の際の本人確認に利用していたことが判明した。
2015年10月16日以降、本人確認の際に保険証や光熱費の請求書と合わせて身分証として、氏名と住所だけを目視で確認していた。
 
社会保障改革担当室の担当者は、「防犯カメラに写ったり、店員が間違えてコピーしたりして個人番号が流出してしまう可能性があるため、こういった利用は適切ではない」としている。
同社広報部は取材に「違法性はないと認識しているが、利用者に不安を与えるかもしれないので今後は利用しない」と回答した。
 
当社(インターネットプライバシー研究所)の見解としては、個人番号の利用は税と社会保障を中心に法律に定められた利用目的を超えて利用することはできないため、TSUTAYAの対応はコンプライアンスの点で問題があると言わざるを得ない。通知カードは本人に個人番号を通知する目的で配布されたものであり、そもそも身元確認を目的としたものではない。身分証としての機能を持つ「個人番号カード」であれば、身元確認に利用することは可能であったが、この場合もコピー等をおこなう場合は、個人番号をマスキングする必要がある。

<関連情報>
プライバシーマーク(Pマーク)に関心がある方はこちらへ
ISMS(ISO27001)に関心がある方はこちらへ

一覧へ