月刊自治研より依頼を受け、原稿を書きました。 １０月号に掲載されました。

監視社会化とマイナンバー制度

１　マイナンバーカードと顔認証データ

(1) カードに一体化させられた顔認証データ

　マイナンバー制度のもとで、国民の利便性に資するといううたい文句で、マイナンバーカード（正式には「個人番号カード」）が制度化されている。プライバシー保護の観点から、カードの作成は義務ではなく、希望者のみが取得する任意の制度とされている。しかし、そこにはカード取得者が｢同意した｣といえるかがはっきりしないリスクが潜んでいる。

　マイナンバーカードの申請には、顔写真（またはそのデータ）の提出が必要とされる。 顔写真は、住民基本台帳カードでは本人がカードに表示するかしないかを選択できたが、マイナンバーカードの表（オモテ）面には義務的に表示され、またＩＣチップには、表面に表示された顔写真データも電子データとして搭載される（総務省ホームページ）。*１

　ところで、証明書に写真を添付することは長年にわたってごく普通に行われてきたことであり、マイナンバーカードに写真が表示され、ＩＣチップに搭載されることに違和感を持つ方はほとんどいないかもしれない。

　しかしながら、現在、世界では、顔写真から生成される顔認証データには、本人特定のための高度な特性があることから、その取り扱いには厳しい目が向けられている。

　マイナンバーカードは、申請者から提出された写真（またはデータ）から生成される顔認証データ（目・耳・鼻などの位置関係等を数値化して特徴を捉えたデータ。たとえて言うならば、｢顔指紋｣のようなもの、あるいは｢三次元バーコード顔バージョン｣のようなものである）と受け取りに来た本人の顔を、顔認証装置でチェックし、一致していること、すなわち顔認証による照合ができるという品質保証を確認した上で交付されている。つまりマイナンバーカードには、顔認証による正確な本人確認ができることを自治体が品質保証した顔認証データが不可分一体とされており、その搭載を拒絶する自由は認められていない。

　顔認証データの活用は、日本では、２００２年の日韓共催サッカーワールドカップの際のフーリガン（サッカー観戦時に騒動を起こす者）の入国阻止目的で、関西空港と成田空港の税関に設置、運用されたのが始まりである。

　その後、民間でも、テーマパークの年間パスポート取得者が、あらかじめ自分の顔認証データを登録することにより、入口のカメラに顔を向けるだけで、あらかじめ作成された｢年間パスポート有資格者の顔認証データベース｣とＡＩ を用いて瞬時に照合することにより文字通り｢顔パス｣で入場することができるサービスとして民間利用されている。また、コンサートチケットが高額で転売されるのを防ぐために、チケット購入者にあらかじめデータを送信させて作成した購入者の顔認証データベースと、来場者の顔とをコンサート会場の入り口で照合して入場を許可する方法で活用する例や、書店等で万引き犯データベースとの入口照合を行う活用例が増えている。

　２０１７年に発売されたスマートフォン「ｉＰｈｏｎｅⅩ」では、顔認証による本人確認制度が採用され、その認証の正確さは、指紋認証の１０００倍とされた。

　スマートフォンの認証や、テーマパーク・コンサートの有資格者が、自分の利便性のために任意にその利用に同意する場合の顔認証データの利用は問題はない（ただし、同意しない人が一切サービスを利用できない立て付けの場合、指紋の１０００倍も本人確認が正確にできる情報の提出を強制することになるので、指紋の強制提出要求と全く同じ問題があり、必要性、相当性を満たして民法７０９条の不法行為が成立しないといえるか疑問がある）。

　２０１８年５月に適用開始とされたＧＤＰＲ（欧州一般データ保護規則）９条１項は、顔認証データを典型とする生体情報の原則収集禁止を掲げ、同２項および３項の例外は、生命に関する利益を保護するために必要な場合や、ＥＵ法または加盟国の国内法による定めが存在し、重要な公共の利益を理由とする取り扱いが必要な場合などに限定されており、民間事業者が収集・利用する場合においても、議会による法律制定のないままの収集は許されない。

　日本弁護士会連合会は、２０１２年時点で、すでに官民を通じて、どのような場合なら監視カメラにより市民の顔情報を記録することが許されるのか、許される場合でもどのような運用が求められているかなどを明記した法律を制定することによって、違法なプライバシー侵害を防止すべきであると提言した。そして、顔認証装置（あらかじめ作成された顔認証データベースと、不特定多数の市民とを照合する装置）を適用することは許されないとした（２０１２年１月１９日付「監視カメラに対する法的規制に関する意見書」*２その理由は、プライバシー侵害のみならず、デモや集会への参加者も対象とされれば、表現の自由、思想・良心の自由に対する萎縮効果まで懸念されるからである。

　その後、警察庁が５つの都県警に対し、組織犯罪捜査目的で顔認証装置を配布し、活用を始めたことに対しても、極めて限定的な要件での利用に制限する法律を作成しない限り活用は許されるべきではないとの意見を提言している（２０１６年９月１５日付「顔認証システムに関する法的規制に関する意見書」）。*３

(2) マイナンバーカードの取得は任意から強制へ？

　すべての住民に強制的に付番され、通知カードが交付されたマイナンバー制度ではあるが、マイナンバーカードの取得は任意とされ、メリットが実感できない住民の申請は伸びなかった。 　しかし、政府はもともと、マイナンバーカードの公的個人認証を｢イノベーションの鍵｣と位置づけ、民間開放することを前提とし、「個人番号カードをデビッドカード、クレジットカード、キャッシュカード、ポイントカード、診察券などとして利用」→「ワンカード化の促進」→「スマホ等のデバイスにダウンロードして代用できるよう研究・関係者との協議の上実現」することを予定しており（＊４：マイナンバー制度利活用推進ロードマップ（案））、また運転免許証や健康保険証として利用することも予定している。その矢印の行く先は、｢全国民が個人番号カードを保有できる⇒すべての国民が安心安全にネット環境を利用できる権利を有する世界最先端ＩＴ国家へ！」とされている。

　このように、運転免許証や健康保険証とマイナンバーカードが一体化され、｢全国民が｣｢保有できる｣制度が指向されているということは、その完成形は、保有するか否かは、個人の自由でも｢権利｣でもなく、｢義務｣であり「強制｣が指向されているとみるべきであろう。法律で正面から義務化規定を置かなくとも、運転免許証や健康保険証との一体管理の効率化をはかれば、全員一律にマイナンバーカードに一体化させるようになるだろう。｢行政効率化｣は、｢個人の自由｣や｢個別の意思表示、選択、差異｣を排除し、異論を認めない一括処理のための悪しきマジックワードとして濫用されうる。

　そうすると、｢マイナンバーカードを取得するか否かは個人の自由であり、任意｣だから、｢顔認証データを、自治体に提供するか否かも個人の自由であり、任意｣という建前も、マイナンバーカードが事実上の強制となるまでのわずか数年で終了してしまいかねない。

　そもそも、マイナンバーカードを全国民に強制的に保有させ、｢行政効率化｣をはかることが国民の幸福追求権（憲法１３条）にとって有利であるかどうか、望まない国民・市民（マイナンバー制度の対象となるのは、ロードマップでは表示されていない日本国籍を持たない住民にも及ぶはずである）に強制的に保有する｢権利｣（という名の義務）を付与することが正当であるかについての根本的な議論が欠けている。

(3) 最も効率のよい監視の手段としての顔認証データ

　２０１８年２月２６日のＮＨＫのウェブページのニュースは、概要次のように中国の監視カメラ・顔認証技術を紹介している。

「中国では監視カメラが１億７０００万台以上設置されている。顔認証システムで個人を特定しており、たとえば赤信号無視で横断歩道を渡ると４００円ほどの罰金を課される。 　顔認証システム開発会社の担当者の説明では、このシステムで指名手配犯を３０００人逮捕した実績がある。中国のＡＴＭでは、顔認証で出金でき、カードも、暗証番号入力も不要である。顔認証で、公衆便所の紙の使いすぎも見張っている。反体制派とみられる人物は、北京の地下鉄のカメラで見つかり逮捕された。反体制派とされる中国人作家は、自分たちが常に監視されていたという。」

　その後も、設置されるカメラの数はうなぎ登りである。

　顔認証システムは、ＡＩによって高速度で処理される。中国が設置運営する、ＡＩを用いた監視カメラを中心とするコンピュータネットワークは、｢天網」（天網恢々疎にして漏らさずに由来すると言われている）と呼ばれ、人の照合可能な数は毎秒３０億回とされる。

　新疆ウイグル自治区で少数民族のウイグル族を監視するのに用いられているとの批判もある。

　２０１９年には、香港で逃亡犯引き渡し条例改正案に抗議するデモ参加者が、当局による顔認証による監視を回避するために顔をマスクで覆う対抗策をとった。香港政府は同年１０月、緊急事態条項を約５０年ぶりに用いてデモ隊のマスクや覆面の着用を禁止する覆面禁止法を議会手続を経ずに行政会議（閣議に相当）で制定し、施行した。マスクなどで顔を覆い個人の識別ができないようにする行為は禁止され、１年以下の禁固刑などに処せられる（平野啓一郎氏は、監視のための顔認証システムとこれに対抗する覆面の活用、さらにそれに対抗する覆面禁止法が施行される社会を２００９年に小説｢ドーン｣で描いていたが、３０年前ならＳＦに分類されたであろうこの小説が純文学たり得ているのは、その悩みが「現代」のものだったからであろう）。

　しかしながら、日本では、このような形で行政権、とりわけ警察が国民・市民の顔認証データを収集し、それをＡＩを用いて監視目的で利用することは許されない。私たちも同様の監視の実用化に注意を払う必要は高い。

　マイナンバーカードが事実上の強制となり、市民の顔認証データが行政機関に提出が義務づけられるという形態は、それ自体が危険である。必要な本人確認の行政目的の程度を越えた顔写真データや、それから生成される顔認証データの取得は、当然に許されるものではないというべきである。

　ＧＤＰＲが定めるよう、どのような場合に、どのような形であれば顔認証データを収集、保存、利用できるのか、必要もなく収集、利用等されないよう法律で規制すべきである。 ２０２０年９月、菅首相は運転免許証のデジタル化をマイナンバー制度を活用して推進するよう指示し、警察庁は年内に工程表をまとめる。運転免許保有者８２００万人の顔認証データベースが運用されかねず、危険である。

２　キャッシュレス社会の進展に向けた監視の高度化

(1) ビッグデータ社会における個人の行動履歴の捕捉

　２０００年代に入ると、インターネットの普及に伴い、パソコンを通じた個人のインターネット上の行動履歴が大量に生産され、活用されうることが認識されるようになった。

　何という検索キーワードがよく使用されているか、どのホームページの閲覧数が伸びているか、などは利用者からも容易に推測できる保存形態であった。さらに、どのＩＰアドレス（インターネットアクセスをする起点の住所のようなもの）の人が、いつ、どこからどこまでの近道検索をしたのか、どのホームページのどのファイルをどのくらいの時間閲覧してほかに転じたのか、などのきめ細やかな情報、つまり特定個人が、インターネット上でいつどこを閲覧していったかの詳細履歴さえ保存されていることはあまり利用者には意識されていなかった。他方で、アマゾン、楽天などのインターネット市場での商品検索、アクセス、購入実績等の履歴から、あるいはcookieを利用したインターネット上での検索履歴、アクセス履歴から特定個人の趣味嗜好を分析し、それに合わせた有効な広告を表示するターゲティング広告が始まった。

　海外では、たとえば爆弾の作成方法を教えるホームページへのアクセス者を解析するなどの捜査手法が早々に実用化され、捜査の必要性とインターネット上のプライバシーとの調整が論争になった。

　２０１３年には、世界中の人々のインターネットでの行動の様子について、これらを把握できる立場にある巨大プラットフォーマーが、適法な手続により、諜報機関に情報を提供していたことがスノーデンにより明らかにされた。これを意識し、ＥＵは、プライバシー保護のための規制強化に乗り出した。

　日本では２０１０年頃から、スマホの普及に伴い、ツイッター、フェイスブックなどのＳＮＳの利用者が増加してきた。インターネット上に｢自ら公表」される情報が、公表しているつもりのない個人の属性、思想信条等を分析の対象とされる事態を招いた。アメリカでは、フェイスブックにおける「いいね」の選択を分析するだけで、高い確率で人種、宗教、支持政党を推測できると指摘された。また、分析対象となる「いいね」の数が増えると、同僚や友人、配偶者よりもその人の人格を正しく捕捉できるとされた。

　２０１６年６月に実施されたイギリスのＥＵ離脱を問う国民投票や、同年１１月のアメリカ大統領選挙で、勝者側が利用した選挙コンサルティング会社であるケンブリッジ・アナリティカは、このようなインターネットにおける情報をもとに、個人の人格を分析し、特定の考え方を支持する情報に誘導することで選挙に影響を与えたのではないかとの疑問を突きつけられた。

　プライバシー保護を重視してきたＥＵとは異なり、アメリカでは、個人情報が民間事業者の中で自由に流通すること（data free flow）自体が表現の自由であるととらえ、その憲法上の地位を高く評価してきた。ＧＡＦＡＭと呼ばれる巨大プラットフォーマーは、これを体現する企業として、個人情報を集積し、商業利用をしてきた。山本龍彦教授によると、ケンブリッジ・アナリティカ事件は、個人情報の自由な流通がむしろ主権者の意思形成をゆがめ、表現の自由を侵害するおそれがあることを明るみに出したため、アメリカではプライバシー権に基づく情報流通（アメリカ流｢表現の自由｣）の制限が必要であるとの価値観の転換が行われているとされる。

　２０２０年１月に発効したカリフォルニア州消費者プライバシー法は、事業者が自ら収集利用している個人情報の利用目的、利用範囲を開示しなければならず、事後的に求められたら、その販売を中止、消去しなければならないと規定する。 顔認証装置についても、マジョリティーのデータは大量に集まるため白人男性の顔を見分けるのは得意な反面、黒人の識別が不確実であり、マイノリティーに対する誤認逮捕など、差別的な適用が社会問題化した。

　サンフランシスコ市、イリノイ州、ワシントン州は顔認証サービスに関する制限立法を行っている。

　現在、プラットフォーマーは、それぞれ顔認証装置の利用を廃止し、プライバシー保護への転向表明を続々と行っている。

　日本の法規制は、民法の不法行為（他人に知られたくない情報の同意のない収集・利用は、比較考量により違法となり得る）も含んだものであるのに、あたかも個人情報保護法の形式規制さえ適合すれば何でも自由であるかのように扱って、人権侵害的技術が実用化されることにはブレーキが必要だと思われる。

　総務省、経済産業省作成にかかる｢カメラ画像利活用ガイドブック」ver2.0（２０１８年３月）も、カメラ画像の利活用を検討する利用者に向け、個人情報保護法により守られるべき範囲のほかに、もっと大きな配慮すべき範囲として「プライバシー保護の観点で考慮すべき範囲」が存在することを明示している（＊５）。

(2) マイナンバーへの購入履歴の集積は誰のためか

　ところで、マイナンバーカードには、先に見たように、「デビッドカード、クレジットカード、キャッシュカード、ポイントカード、診察券」と一体化させるというのが政府の意向である。

　これが事実上の強制として実現されるおそれが大きいのだが、その場合、市民１人ひとりの購買履歴、行動履歴等が逐一捕捉されるおそれもある。

　プライバシーより情報流通を促進してきたアメリカは、民間事業者の情報流通を促進してきただけであり、行政機関主導で個人情報をどんどん集積していくことに合意があるわけではない。悪名高い社会保障番号も、限定された行政目的で付された番号が、民間で自由に拡大利用されていった弊害が問題となっているのであり、最初から行政が意図した結果ではない。

　マイナンバーカードの無邪気な未来予想図は、行政主導で個人情報を収集する旗振りをして何が悪いのか、というプライバシー権に対する問題意識の欠如を表している。どちらかというと、中国の天網寄りの発想と思われる。これに違和感を感じることができるか、市民の人権感覚が問われている。

　マイナンバーカードの発想は、１９９９年に成立した改正住民基本台帳法に基づき、２００３年から発行された住民基本台帳カードの焼き直しに過ぎない。住民基本台帳カードはほとんど利用されないまま廃止され、マイナンバーカードが代わりに発行されている。しかし、この２０年間でインターネット上の情報流通は革命的に増大し、産業構造を変化させてしまっている。カードなど所持しなくても、顔認証データのみで生活できてしまい、逆に国家からの監視も自動で行えるというＡＩの高度な発達も実現している。

　その意味では、マイナンバーカードは、周回遅れの古典的なツールであり、時代錯誤の象徴のような存在である。今頃このような仕組みに税金を投入して市民全員に持たせるのは税金の無駄である。１９９５年以降のインターネット革命に乗り遅れ、世界の先頭からずるずると後退してきた日本の「ＩＴ戦略観」のずれも象徴している。

　２０１９年７月には、セブン＆アイ・ホールディングスのスマートフォン決済サービスが不正アクセスされ、サービス開始からわずか４日で入金停止に追い込まれた。キャッシュレス決済の導入を急いだ対策の甘さが指摘されている。２０２０年９月には、ＮＴＴドコモの電子決済サービス「ドコモ口座」を悪用した銀行預金の不正引き出し問題が発覚した。いずれも２段階認証等の初歩的な本人確認手続を怠った事案であり、天下の大企業による情報管理は信じられないほどずさんである。

　現在政府が実施しているマイナンバーカード普及策は、消費額に応じて最大５０００ポイントが付与される仕組みである。これは、２０１５年の失敗を踏まえたものと思われる。

　すなわち、当初、２０１５年１０月から消費税を８％から１０％に上げる代わりに、マイナンバーカードを利用して食料品等を購入した場合、その購入実績に応じて最大４０００円を還付する制度が提案されたが、広範な反対で導入されなかった。これは、まさに市民の消費動向を把握することと引き替えに増税緩和策を採るという仕組みであった。

　行政機関は、可能な限り個人の全体像を把握できるよう、個人情報を結合させたいという動機があると、住民基本台帳ネットワーク導入のための１９９９年の住民基本台帳法改正法案の審議の際に与党議員から説明がなされた。

　桝屋委員「私も役人の端くれをしておりましたから分かるのですが、もうこのデータベースとこのデータベースを絶対ひっつけたい、のどから手が出るほどひっつけたいと思う」「最初から悪いことをしようなんて思っている訳じゃないのです。住民のサービスを向上するためには、この情報はひっつけた方がいい、データベースを作った方がいいというふうに絶対思うわけでして」（１９９９年４月２０日衆議院地方行政委員会）

　市民が、このような行政機関の欲求や動機を正しく理解し、マイナンバーカードが、住民基本台帳カードで警戒すべきとされていた行政機関による濫用ケースといえる｢全市民の購入履歴、行動履歴の根こそぎ捕捉｣につながらないよう、近代憲法がその前提としている「公権力に対する警戒心」を持ち、主権者としての誇りを持ち、自分のプライバシー権を保持するための不断の努力（憲法１２条）ができるのか、が問われている。

*１ https://www.soumu.go.jp/kojinbango_card/03.html

*２ https://www.nichibenren.or.jp/document/opinion/year/2012/120119_3.html

*３ https://www.nichibenren.or.jp/document/opinion/year/2016/160915_2.html

*４ https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/number/dai9/siryou6.pdf （原稿では図１として図自体を表示しています。）

*５ https://www.meti.go.jp/press/2017/03/20180330005/20180330005-1.pdf （原稿ではその４頁の図２を、図２として表示しています。）