マイナンバーカードとパスワードの同時漏洩が「危ない」!
ICチップにはマイナンバーカードの表裏面とほぼ同じ個人情報しか入っておらず、川岸氏はレポートで、「紛失してICチップを読み取られた場合も、さらなる情報漏洩に繋がる可能性は低い」としている。
図2 マイナンバーカードのICチップの仕組み(出典:ニッセイ基礎研究所「マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのか」)
ICチップは、【図2】の4つのアプリケーションと、空き領域で構成されていて、「JPKI-AP」を用いれば、たとえばマイナポータルへのログインやパスポートの更新手続きなど、本人確認を要する手続きをオンライン上で行うことができる。
こうした仕組みはマイナンバーカードの読み取りとパスワードの入力を求めることで、アクセス者の本人性や申請の真正性を担保している。
川岸氏は、
「このように利便性が高まる反面、第三者にマイナンバーカードとパスワードが同時に漏洩すれば、第三者がオンライン上でなりすましをすることが可能になる」
と指摘。たとえば、マイナポータルに不正にログインされれば、【図3】のような個人情報を取得される恐れがある。
「マイナポータル」へのログインや行政手続きに用いるのは、利用者の証明用電子証明書のパスワード(数字4ケタ、主にログインに利用)と署名用電子証明書のパスワード(英数字6から16ケタ、主に行政手続に利用)の2つ。
不正使用防止のため、利用者証明用の電子証明書のパスワードは3回連続で、署名用電子証明書のパスワードは5回連続で誤入力をするとロックされる。
しかし、生年月日など推測が容易なパスワードでは、パスワードを突破され、なりすまし被害に遭う恐れがある。パスワードはなるべく、第三者にわかりづらいものを設定したほうがよい。
図3 マイナポータルで取得できる主な個人情報(出典:ニッセイ基礎研究所「マイナンバーカード紛失時に知っておくべきリスクと対処法-芋づる式に情報は抜き出されるのか」)
では、マイナンバーカードを紛失して情報漏洩の可能性が認められる場合、どうしたらいいのか――。それは速やかに機能を停止して、マイナンバーの変更手続きを行うことだ。
レポートでは、
(1)マイナンバー総合フリーダイヤル(0120・95・0178)に連絡し、機能の停止手続きを行うこと
(2)警察に遺失届を提出後、受理証・受理番号などを持って役所に行き、再交付・番号変更手続きを行うこと
の2つのステップを踏むよう、促している。