|
エストニアにおける公的医療保険の適用の際の個人データ処理は、次のように整理できます。医療機関ごとの診察券は不要で、受付で個人識別コード等の入力作業が無いことがわかります。 (1)患者による予約の申し込み 医療サービスを提供してもらいたい患者は、電話やインターネット経由で予約をします。この際に、自分の氏名と個人識別コードを提供します。 (2)医療機関による予約の受付 患者からの予約を受付けた医療機関は、患者の個人識別コードを利用して、かかりつけ医の登録や紹介状の有無を確認した上で、予約を確定するかどうかを決定します。 (3)予約当日の医療機関での受付 予約した患者は医療機関の窓口で身分証明書(写真付き住民IDカード)を提示して本人であることを証明します。IDカード取得が義務ではない15歳未満の人は、身分証明書の代わりに欧州健康保険カード(写真もICチップも無し)や学生証(写真あり、ICチップ無し)などを提示します。 医療機関によってはオンライン受付も可能です。この場合は、IDカードの電子証明書やスマートフォン等のアプリで利用できるデジタルID(スマートID)を使って医療機関のウェブサイト経由で受付を済ませることができます。   (4)医療機関での診察等 医師は、患者の個人識別コードを利用して、患者の基本データ(アレルギーの有無等)や過去の治療・検査データ等を参照しながら、患者に最適の医療サービスを提供します。患者の医療データの利用は法令で定められているので、個々の患者の同意は不要です(オプトアウトは可能)。 エストニアの医師や看護師は、患者の過去の医療データ(生体情報等)を確認できるので、他人による成りすまし受診等は、医療従事者の協力が無い限り極めて困難です。医療機関における患者の本人確認の目的は、窓口で治療が必要な人を振るい落とすことではなく、患者の取り間違い等による事故が起きないように確実に患者を特定して、より適切で安全な医療サービスを提供することです。 エストニアでは、家庭医向けの臨床意思決定支援システムを導入して、医師による診察をコンピュータが支援しています。臨床意思決定支援システムは、対象患者の過去5年間の診断、投薬、検査、血圧測定値、ライフスタイル指標などのデータを収集・分析して、推奨される検査・治療法・処方量等を自動的に表示します。※AIによる医療診断ではありません。 処方箋(原則デジタルのみ)を発行する際は、現在処方している他の医薬品等の相互作用を確認して、薬の量や種類を調整します。   (5)医療保険金請求書(レセプト)の作成 医師が行った診療や処方の内容に基づいて、自動的に請求書が作成されます。請求書を作成する時に、医療機関の情報システムがXロード経由で「患者の最新の被保険者資格に関する情報」を参照します。被保険者資格の内容によって、医療機関が保険者や患者に請求する金額が変わってくるからです。 なお、エストニアでは、かかりつけ医による診療や処方箋の発行など、基本的な初期医療は無料となっており、患者の自己負担はありません。 被保険者資格情報へのアクセスは医療サービス提供者(医師、歯科医師、看護師、助産師、薬剤師)に限定されているので、一般の事務職員は閲覧することができません。請求書の作成は、医療サービス提供者の仕事です。 (6)医療保険金請求書(レセプト)の処理・支払い エストニアでは、保険金請求の処理は医療機関への支払いまで全て自動化されているので、人間による審査等は行われません。返戻の処理も自動化されているので人的な負担はありません。 すべての医療サービス提供者には、同じサービスに対して同額が支払われており、指導状況などの病院の特性による調整は行われません。 請求書のデータには患者の個人識別コードだけでなく請求書を作成した医師や薬剤師等の個人識別コードや資格登録コードも含まれています。 
0 コメント
情報通信政策フォーラム(ICPF)の連続オンラインセミナー「マイナンバー問題を解決するために」で、エストニアの個人番号制度や身分証明書、国民が政府を監視できる仕組み、データ駆動型の行政サービスなどについてお話ししました。セミナーの記録が、資料と動画(簡略版)と共に公開されています。 当日の資料:エストニアの個人番号制度と識別子 -- 国民が政府を監視できる仕組みとデータ駆動型の行政サービス -- (PDF) 日本では、政府が国民から信頼されていない電子政府が進まないという意見がありますが、エストニア国民の政府への信頼度は日本とほとんど変わりません。しかし、国民は電子政府、デジタル国家という仕組みに対しては高い信頼を寄せています。その秘密は「徹底した透明性」にあります。政府が信頼できないからこそ、政府が何をしているかがわかり、追跡でき、責任が追及できるようにする。エストニアの電子政府は国民が政府を監視する仕組みなのです。 データガバナンスと地方自治との関係で言えば、国や自治体で共通して利用するデータベースや情報システムの管理を国が行うようになれば、自治体は地域の問題に集中できるという考え方もできます。 日本でも、国民が政府を監視する仕組みとしてのデジタル国家を実現できるかが問われています。それを覚悟するのは、国民ではなく、政治家であり全ての公務員です。 日本では、マイナンバーカードの健康保険証利用に関連して、他人の情報がひも付けられていた等の問題が起きています。今回は、デジタル化が進んでいるエストニアの状況を紹介したいと思います。 (1)エストニアの健康保険制度と健康保険証 エストニアの健康保険は、日本と同じく「皆保険制度」です。エストニアの永住者、滞在許可等に基づいてエストニアに居住し、社会税を支払っている人、またはその扶養を受けている人は、健康保険に加入する権利があります。エストニアの健康保険の保険者は一つで、「健康保険基金」という団体に統一されています。 エストニアの医療制度(英語) https://www.tervisekassa.ee/en/people/health-care-services/estonian-health-care-system エストニアのヘルスケアサービスと健康保険基金(英語) https://www.tervisekassa.ee/en/people/health-care-services 健康保険基金の組織について(英語) https://www.tervisekassa.ee/en/organisation/about-us エストニアは、公共サービスのオンライン化が進んでいますが、健康保険に関するオンラインサービス(自分でできる「セルフサービス」という位置づけです)には、次のようなものがあります。 健康保険の適用範囲: 自分が有効な健康保険に加入しているかどうかを確認できます。自分や子どもの「かかりつけ医(登録義務)」が誰なのかも確認できます。 欧州健康保険カードまたはその代替証明書の注文: 発行された欧州健康保険カードの詳細を確認したり、代わりの証明書を発行してもらうことができます。 健康保険基金への私の現在の口座: 健康保険の各種給付金等を受け取るための銀行口座を確認・登録・変更できます。 エストニアでは、公的な身分証明書として国民IDカードが発行されており、この国民IDカードを健康保険証として利用することができます。国民IDカードは、15歳以上のエストニア国民や住民であれば取得が義務になっていますが、子供や短期滞在の外国人など国民IDカードを持っていない人に対しては、欧州健康保険カードまたはその代替証明書が発行されます(健康保険法13-1条4-6項:保険適用の証明)。欧州健康保険カード発行の申請は、市民ポータルによるオンライン申請、健康保険基金の顧客窓口、郵送、電子メール(デジタル署名付き)など複数の方法を用意しています。 エストニアの欧州健康保険カード(表面) 出典:How to recognise the card - European Commission  エストニアの欧州健康保険カード(裏面)  写真を見てわかる通り、エストニアの欧州健康保険カードはめちゃくちゃシンプルで、ICチップもありません。日本では健康保険証を廃止するようですが、国民IDカードの取得が義務になっているエストニアでも、健康保険証は廃止されていないことは伝えておきたいと思います。なお、国民IDカードが無い人の本人確認書類は、パスポートや滞在許可カードを利用しています。
(2)健康保険制度のデジタル基盤は「健康保険基金データベース」 エストニアの健康保険のデジタル化を支えているのは、「健康保険基金データベース」です。エストニアの健康保険法では、次のように定めています。 個人の保険適用は、健康保険基金データベースに入力されたデータに基づいて確立、一時停止、終了されます(同法13-1条1項)。 被保険者資格など、健康保険を適用・運用する上で必要となる情報を、リアルタイムで参照・確認できるためには、「健康保険に関する信頼できるデータベースの確立」が欠かせません。日本では、「健康保険に関する信頼できるデータベースの確立」をしないまま、オンライン資格確認を実現しようとしたために、様々なトラブル(過去から蓄積されている問題の見える化)が起きているように思います。 「健康保険基金データベース(英語名:Health Insurance Fund Database)」の詳細は、以前は健康保険法で定めていましたが、現在は健康保険基金法に移管されています(健康保険基金法第4の1章:46-1条から46-5条まで)。データベースの技術文書は、RIHAカタログ「健康保険データベース(kirst)」で確認できます。エストニアの公的データベースの確立手順については、「エストニアのデジタル国家を⽀えるITガバナンスと調達制度」で詳しく解説しています。 データベースの管理者(データコントローラー)は、健康保険基金です。健康保険給付の提供、医療サービスの支払い、医療サービスの組織に関連するその他の業務の実行など、法律に基づく健康保険基金の公的任務を遂行するためにデータを利用します。健康保険基金には「データを収集する権利」が認められているので、法令で定める範囲において、国や自治体等の組織や個人に対してデータの提供を求めることができます。 「健康保険基金データベース」には、次の情報が入力されます。データの法的効力は、法律で別の期限が定められていない限り、データベースに入力された時から発生します。健康保険基金は、データ登録の基礎となる文書を受け取ってから5日以内にデータを入力する義務があります。 1) 個人の一般データ:個人識別コード、生年月日、姓名、居住地(法律上の住所)、当座預金口座および連絡先情報 2) 保険適用の開始、終了、および一時停止の基礎となるデータ 3) 非金銭的健康保険給付の支払いの基礎となるデータ 4) 金銭的健康保険給付の支払いの基礎となるデータ 5) 医療提供者および医療に関連するその他のデータ 6) 健康保険法、薬事法、医療事業団法その他の法令に基づき、健康保険基金がその業務を遂行するために必要なその他のデータ ※データ項目の詳細は、「健康保険基金データベースの維持に関する法令」で確認できます。 「健康保険基金データベース」のデータは、データベースに登録された日から75年間、または個人の死亡後30年間保存されます。ログデータの保存期間は2年間です。 紙の書類で健康保険基金に提出されたデータ登録の基礎となる「元資料」は、電子形式でデータベースに保存されます。「元資料」は、申請の日から7年間保存されますが、外国の健康保険給付に関連する「元資料」は、受領日から75年間保存されます。 「健康保険基金データベース」には、「データプロバイダー」と呼ばれる他の公的データベース管理者等から、「健康保険基金データベース」を維持するために必要なデータが送信されます。例えば、「住民登録データベース(内務省)」からは氏名や住所の最新データが毎日直接転送されます。もちろん、「手入力」ではなく「自動処理」で更新されます。この場合、データの提供者である内務省が、データベースに送信された氏名や住所データの正確性について責任を負います。 「健康保険基金データベース」のデータの正確性について責任を負うのは、健康保険基金です。「健康保険基金データベース」に入力されたデータに誤りまたは不正確さを発見した場合、データ管理者である健康保険基金は、データが修正されるまで、誤ったデータへのアクセスを閉鎖します。 「健康保険基金データベース」のデータにアクセスするためには、法令で定める権限が必要です。例えば、健康保険が適用される医療サービスを提供する医療機関や医師・看護師などは、患者の被保険者資格の有効性や保険適用範囲を確認するために必要なデータにアクセスすることができます。もちろん、データ主体である被保険者本人は、自分のデータにアクセスすることができます。 (3)被保険者資格のオンライン確認はマイナンバーカードを利用しなくても実現できる 筆者は「電子政府コンサルタント」なので、日本で起きている問題を解決する方法も提案しておきたいと思います。 エストニアの事例を見てもわかりますが、健康保険の被保険者資格のオンライン確認にマイナンバーカードは必須ではありません。被保険者資格を確認するための重複しない識別子(被保険者番号など)があれば問題ありません。 日本の健康保険のオンライン資格確認は、被保険者番号で資格の有効性を照会できる仕組みがあれば良いので、マイナンバーカードは無くても実現できます。医療機関の患者受付システム等で「被保険者番号」を入力すると、被保険者資格の有効性等の情報が表示される、そんなシンプルな仕組みで良いのです。エストニアの仕組みもそんな感じです。最近の健康保険証は、券面にQRコードがあるので、被保険者番号の入力ミスも防げるでしょう。 保険証の不正利用についても、マイナンバーカードが無くても、簡単に防げます。例えば、医療機関側で初診時に健康保険証の提示と一緒に、写真付き身分証明書の確認をすれば良いのです。マイナンバーカードの優位性は、健康保険証に比べると偽造が難しいことぐらいでしょうか。 日本では、わざわざ被保険者番号を個人単位化したのに、なぜ被保険者番号を活用した安くて確実な方法を導入しないで、こんなに複雑で構築も維持管理も高コストなオンライン資格確認の仕組みにしたのか不思議に思います。マイナンバーカードを普及させたい気持ちもわかりますが、「健康保険のオンライン資格確認の実現」と「マイナンバーカードの普及」は分けた方が良いでしょう。 重要なのは被保険者資格のデータが信頼できて、そのデータを必要に応じて本人や医療関係者等が閲覧・確認できることです。信頼できる被保険者資格データベースがあれば、利用者用のインターフェースは個人情報の最小限利用で目的を達成することができます。 もう一つ重要なのが、被保険者資格へのアクセス制限・管理です。エストニアでは、医療関係者が被保険者資格等のデータにアクセスするためには、医療関係者のオンライン本人確認(認証や署名)が必要になります。この時の手段として、国民IDカードやモバイルIDがあります。情報セキュリティの観点からも、日本でマイナンバーカードを優先して取得すべきなのは、患者や国民ではなく、医療関係者や健康保険の業務を行う職員等であると考えます。 健康保険証や障害者手帳等のマイナンバーの紐づけ間違いについても、シンプルな方法で解決することができます。各種個人情報とマイナンバーの紐付けは、誰がどう頑張っても間違いが起きるのだから、間違いが発見されやすい仕組みを考える方が、はるかに効果的で効率的だと思います。 最も簡単な方法は、健康保険証や障害者手帳等の券面にマイナンバー(個人番号)を記載することです。新しい健康保険証や障害者手帳を受け取ったら、本人が券面のマイナンバーを見て、自分のマイナンバーが間違っていないかどうかを確認してもらえば良いのです。マイナンバーを「見せてはいけない番号」とするのは、そろそろ終わりにしても良いのではないでしょうか。 (4)わかりやすさ、伝わりやすさ、誰一人取り残さない 日本のデジタル庁は、「誰一人取り残されない、人に優しいデジタル化を」目指しています。 「誰一人取り残されない」には、文字通り、様々な立場や環境の人が含まれていると理解しています。健康保険組合や自治体の現場で手入力や目視確認の作業を強いられている人たちを、そうした作業負担から解放することは、デジタル政府の重要な役割だと思います。 エストニアでは、住所変更等をオンラインですると、自治体の仕事がゼロになるので、自治体職員が窓口でも積極的にオンライン利用を住民に勧めています。職員のインセンティブも大切です。 今の日本の電子政府は、「わかりやすさ」や「伝わりやすさ」が欠けているように見えます。「わかりやすさ」や「伝わりやすさ」は、政府の「透明性」とも深く関係しています。 デジタル化の最前線にいる人たちにとっては、「健康保険証や障害者手帳等の券面にマイナンバーを記載する」なんて、「遅れている」「かっこ悪い」と見えるかもしれませんが、健康保険や社会福祉などデジタル化に馴染めないであろう多くの人を対象とするサービスにおいては、「わかりやすさ」や「伝わりやすさ」を優先しても良いのではないかと思います。 デジタルツールに慣れている人たちには、スマートフォンの画面に健康保険証や障害者手帳等の券面情報(例:必要最小限の情報+QRコードなど)を表示させるアプリ等を開発・提供すれば良いと思います。 エストニアでは、住民に対してオンラインサービスの利用を義務化していないので、必ず紙や窓口の対応を残しています。利用が困難な人に対しては、誰がその人を支援しているのかを見極めた上で、オンライン代理の機能を提供しています。 身寄りの無い高齢者は、介護施設の職員や支援団体等がオンライン支援しています。国民全員がIDカードを持っているので、誰が誰のためにどのような権限で何をしたのか何ができるかを、事後確認・追跡できるようになっています。 エストニアはインターネット投票でも有名ですが、ネット投票の実現で一番恩恵を受けているのは、投票所へ行くことが困難な高齢者や障害者です。若者の投票率は向上していませんが、高齢者や障害者の投票率は向上しました。 日本の電子政府が、本来の目的を見誤ることなく、「誰一人取り残されない、人に優しいデジタル化を」実現できることを願います。 
デジタル国家として知られるエストニアは、電子政府先進地域である欧州の中でも、リーダー国の一つと評価されている。ヨーロッパの35か国を対象とした、電子政府の進捗状況に関する比較調査レポート「eGovernment Benchmark」でも、エストニアは上位ランキングの常連国であり、最新の2022年版でもマルタに続く2位となっている。
eGovernment Benchmark 2022 https://digital-strategy.ec.europa.eu/en/library/egovernment-benchmark-2022 「eGovernment Benchmark」は、市民や企業向けの政府のウェブサイトやポータルがヨーロッパ全体でどのように改善され続けているかを調査するもので、2022年版ではコロナウイルス (COVID-19)の影響から、社会や経済をどのように回復させるかという視点(回復力:レジリエンス)も含めている。対象地域を欧州に絞り込んでいるので、国連の電子政府調査「UN E-Government Survey 2022 」(エストニアは8位、日本は14位)よりも、欧州の電子政府、および政府におけるデジタル変革の実情をより正確に表していると言えるだろう。 「eGovernment Benchmark」でマルタとエストニアに続くのは、ルクセンブルグ、アイスランド、オランダ、フィンランド、デンマーク、リトアニア、ラトビア、ノルウェー、スペイン、ポルトガルなどで、バルト三国の評価が高いことが分かる。 電子政府サービスの評価にあたっては、「ユーザー中心」、「透明性」、「技術的な実現要因」、「国境を越えたサービス」という4つの視点を採用している。 現在の電子政府のトレンドは今も昔も、それほど変わっていない。「ユーザー中心」は常に電子政府サービスの関心事項であり、利用者の声を聞いて改善を続けるフィードバックの仕組みも、今では当たり前のことになっている。 現在は特に「モバイル(スマホ)での使いやすさ」が重要だが、エストニアも、モバイル対応については、まだまだ改善の余地が大きい。最近では、ワクチン接種証明書のように、「オンラインで取得した公的な文書を、スマホ画面に表示させる等により、オフラインで利用する」という方式も定着しつつある。 特定の障害を持つ人やデジタルスキルが低い人への対応は、今後の課題である。欧州ではWebアクセシビリティ基準が法制度化されているが、実際に基準を満たしている電子政府のWebサイトは、わずか16%となっている。国と地方のデジタルサービス格差にも注意が必要である。 こうした欧州の電子政府の考え方は、「ヨーロッパの価値観」や「デジタル設計の原則」などを知っておくことで、より理解しやすくなるだろう。 The EU values https://ec.europa.eu/component-library/eu/about/eu-values/ Digital design principles https://ec.europa.eu/component-library/eu/about/digital-design-principles/ 「透明性」は、エストニアで電子政府が始まった頃からの最重要事項であるが、世界の電子政府も、サービス設計のプロセスや個人データの処理などについて、これまで以上に透明性が強く求められるようになった。市民参加の方法も、電子政府サービスの構築に直接的に関与するガブテックなど、市民の選択肢が増えている。 こうした選択肢には、当然に「技術開発の見える化(ブラックボックスにしない)」も含まれている。技術情報の公開が、市民の直接参加の機会を増加させると共に、サービスの改善や利用拡大にも大きく貢献することは、エストニアの電子政府からも観察できる。 技術的な実現要因は、eID(電子的な個人識別、身分証明書として公式に認められているもの)に関するものが大きい。「eGovernment Benchmark」でも、eIDの普及・利用が進んでいる国は、電子政府の評価も高い傾向にある。国民eIDの利用が進んでいる国(eIDでサービスの 90%以上にアクセスできる)として、アイスランド、デンマーク、エストニア、フィンランド、ノルウェー、マルタ、リトアニアを挙げている。政府が公式に認める国民eIDが確立していることが、電子政府サービスにおけるeIDの利用を後押しする要因になっているようだ。 出産や失業など、役所の縦割りを越えたイベント型のサービスを実現するためには、組織・分野間の安全かつ迅速なデータ連携と業務処理の自動化が必要となる。データ連携は、eIDと統合することで「透明性」を確立することができる。 ベースレジストリと呼ばれる公的なデータベース(住民登録や土地台帳など)の重要性も、ここ5年ぐらいで「技術的な実現要因」として強く認識されるようになった。エストニアでは、電子政府の初期のころからデータガバナンスを重視しており、ウクライナの電子政府構築の支援でも、データガバナンスから手を付けている。「デジタル処理を前提とした公的データの管理方法の見直し」をおろそかにしたまま、電子政府を構築・運用することは、将来的に大きなリスクになるだろう。 欧州の電子政府の特徴としては、「国境を越えたサービス」がある。「公共性の高いサービスについては、EU市民は加盟国内であれば平等に受けられる」という考え方に基づいて、電子政府サービスやeヘルスサービスも「国境を越えたサービス」として設計されるようになっている。この時に、eIDについても国境を越えて利用できなければならないが、「国を越えたeIDの相互利用」はエストニアでも道半ばであり、欧州の電子政府における今後の課題である。 エストニアの評価 政策の優先事項におけるエストニアの電子政府のパフォーマンス評価は、全体的に高く、ほとんどの指標で平均以上を示している。100の評価を得ているデジタルポスト(役所等からの公的な通知をデジタルデータで受け取るサービス)は、新型コロナの影響で、以前からあった公的メールアドレスへの通知(市民ポータルの自己アカウントで確認できる)が格上げされたことが大きい。 各分野やイベント型の電子政府サービスの評価も、全体的に高く、ほとんどの指標で平均以上を示している。日本との差が大きいのは、司法、医療・ヘルスケア、教育などの分野であろう。どのサービスも公的データベースの役割が大きくなっており、エストニアのデジタル政府は「データ駆動型」と言える。 エストニアの特徴は、相対指標と絶対指標の組み合わせによるデジタル化(Digitalisation)と浸透度(Penetration:普及率)の両方のレベルが高いこと(浸透度89、デジタル化90)であり、電子政府の成熟度に関して全体的なパフォーマンスが最も優れている国と評価されている。 フロントオフィスだけでなく、バックオフィスの高度なデジタル化・自動化により、広範なデジタルサービスを提供したことが大きいが、「デジタル社会に対応した法制度全体の見直し」が、他国と比較しても圧倒的に優れていることが、エストニアの一番の強みであろう。他方、民間部門の接続性とデジタル化は、改善の余地が大きいと考えられている。 国連の電子政府調査に比べると政治的影響が少ない「eGovernment Benchmark」は、そのランキングに一喜一憂するものではなく、電子政府に関する自国の現在地を知り、より高いレベルへ向かうための道しるべとなり得る。各国は、毎回「eGovernment Benchmark」から課題を指摘され、多くの宿題を出されるようなものだ。他方、日本には、電子政府サービスのパフォーマンスを評価する仕組みはほとんど存在しない。「eGovernment Benchmark」に類似する調査を行うことで、日本の電子政府の強みと弱みを再確認することが必要だろう。 2022年10月6日 日本・エストニア EU デジタルソサエティ推進協議会 (ジェアディス) 理事 牟田 学 お問合せ https://www.jeeadis.jp/contact.html エストニアのデジタル国家では、公的データベースのガバナンスが法制度として確立していることを前提として、組織や分野を越えた情報交換の仕組みとして、X-Roadを採用している。X-Roadを利用して様々な個人データをインターネット上で安全に交換するために、X-Roadの維持管理において特にセキュリティを重視している。 X-Roadのデータ交換は、「X-Roadメッセージ」という形式で行い、メッセージを送信する組織の秘密鍵によって署名され、すべてのメッセージがログに記録される。この時、メッセージヘッダーとメッセージ本文の両方がログに記録されるが、ログを暗号化して保存するかは、各組織(セキュリティサーバ)の管理者で設定する必要がある。 X-Roadのセキュリティで問題とされることの一つに、「政府が定めるセキュリティ標準の実装が義務付けられる公的機関と、そうした義務のない民間企業との差」がある。もちろん、両者の差を埋めるためにセキュリティサーバ(データ交換のセキュリティを確保するための共通ソフトウェア)があるのだが、X-Roadに参加する民間企業には、セキュリティサーバの設定や運用について裁量となる部分が、公的機関よりも広く残されている。 ログの主な役割は「否認防止」であるため、X-Roadによって処理されるすべてのメッセージは「デジタル証拠」として採用できるようにしてある。 否認防止を有効にするためには、「データ交換の完全性」と「メッセージとX-Roadメンバー間の繋がりの識別」を事後に確認できる必要がある。具体的には、欧州eIDAS規則に準拠するeシールとタイムスタンプを使用しているが、この措置はX-Roadの根拠法令で明確に規定している。 Xロードのログには、監査ログ、メッセージログ、システムサービスログの3種類がある。監査ログは、リクエストの結果が成功か失敗かに関係なく、ユーザーが構成したシステム状態または構成への変更が記録される(セキュリティサーバおよび中央サーバ)。 X-Roadは、収集、記録、整理、保管、変更、開示、個人データへのアクセスの許可など、個人データに対して実行されるすべての操作で、欧州の一般保護データ規則(GDPR)に準拠する義務がある。ログを「デジタル証拠」とするためには、識別が必須となるため、X-RoadのログもGDPRの適用対象となる。 図表:X-Road Security Architecture 
エストニアでは、政府機関等が公的業務を遂行する上で作成する文書は、原則として電子文書として作成します。ここで言う電子文書は、標準化されたメタデータを含むもので、必要に応じてデジタル署名が付されます。外部から紙文書を受け取る場合は、電子文書化した上で、元の紙文書を廃棄することも可能です。   法令で公文書のウェブ公開を義務化しており、公開用インターフェースとして各政府機関のウェブサイトに文書検索閲覧の機能が設置されています。機関に転送された意見・通知・メモ・助言などは対象外ですが、主な公文書は情報公開請求すること無しにウェブ閲覧が可能になっています。  エストニアでは、2010年頃から、文書管理から情報管理へ移行するために、法改正を含む様々な改革が行われました。上記の「電子文書の原則」もその一つです。情報管理は、データ管理、ドキュメント管理、コンテンツ管理の3つに分けています。 データ管理は、データベースによる情報管理を意味します。データベースが制度や分野ごとに整理・確立されているのに対して、ドキュメント管理は組織ごとに行われます。そのため、組織横断的に情報を再利用する場合は、データ管理の方が適していることになります。一般的に、情報量としてはドキュメントの方が大きく、その中から制度の実施・運営に必要な情報が抽出されてデータベースに格納されます。  公共情報へのアクセスと公的データベースの管理・監督について規定する公共情報法は、その目的を「民主的および社会的法の支配と開かれた社会の原則に基づいて、国民とすべての人が、公共利用を目的とした情報にアクセスする機会を確保し、国民が公務の遂行を監視する機会を創り出すこと」と定めています。 「国民が公務の遂行を監視する機会」を確保するために、エストニアのデジタル国家では、透明性(Transparency)、責任追及性(Accountability, Responsibility)、追跡可能性(Traceability)が重要になりますが、情報管理においては、監査可能性(Auditability)も求められます。  エストニアのドキュメント管理で、日本と大きく異なるのは、作成から更新、アーカイブや廃棄に至るまでの各ドキュメントに関する全ての活動が、活動主体である公務員等の個人識別コードに紐づけられていることです。紙文書に比べると、電子文書の改ざんはより困難であり、証跡を残さずに公的データベースへ不正アクセスすることは、ほぼ不可能となっています。  日本でも、文書管理から情報管理へ移行することで、デジタル社会に対応した透明性の高い政府を実現しやすくなるのではないでしょうか。  Cybernetica社のサイバー専門家によって作成された「電子投票における生体認証(biometrics)の実装の分析(技術文書:バージョン1.1)」が公開されました。本文書を読み解くことで、エストニアの電子投票の仕組みの理解が深まる内容になっています。 電子投票における生体認証の実装(2021年7月2日:エストニア語) 技術的な実現可能性、法的な問題、開発作業量の評価などを含む本分析では、電子投票に顔認識(facial recognition)を実装することは可能だが、プライバシー侵害と技術の複雑さの増大により、現在の「メリットを上回る可能性のあるリスク」を追加しています。 電子投票システムの技術面を支援するエストニア情報システム局(RIA)の見解では、「現在、顔認識技術について合意されたセキュリティ基準はなく、一度に多数の人々によって使用されるという広範な公的慣行がない」ので、電子投票において顔認識を使用するためには、「プライバシー、アクセシビリティ、および一般的なサイバーセキュリティに関する長期的なテストと事前の公開討論が必要である」としています。電子投票での顔認識の利用については、かなり慎重であると考えて良いでしょう。私もこの見解は賢明であると思います。 エストニアでは、これまでに11回のインターネット投票が全国規模で実施されており、投票の検証や監査機能など、何度もシステムが改善されてきました。そのセキュリティの中心には、投票者を特定するデジタルID(デジタルアイデンティティ)があります。顔認識を利用する場合でも、投票者がIDカードの本人と同じであることを保証する必要があります。 顔認識については、エストニアでも電子公証などで既に導入実績がありますが、制御された環境での公証人が関与する電子公証と、多数の市民が様々な環境からリモートで参加する電子投票では、考えなければならないリスクシナリオや、顔認識導入によるシステム全体(規約の見直し、追加のハードウェア、使いやすさの低下など)への影響はかなり異なります。データ保護の影響評価など、GDPR上の措置も必要になります。 しかし、電子認証・署名の機能を持つIDカードの利用も、完璧ではありません。これまでに有罪判決はありませんが、介護施設における高齢者のIDカード利用で、施設長などが起訴されたことは何度かあります。また、モバイルデバイス上で実行されているマルウェアによるモバイルIDの悪用の理論的な可能性も認識されています。インターネット投票で、電子認証・署名に加えて、さらに顔認識を導入することで、より安全性が高まる可能性があります。注意:もちろん、電子認証・署名の代わりに顔認識を利用することではありません。 以前紹介したように、エストニアには「自動生体認証データベース(ABISデータベース)」が構築されているので、このABISデータベースに対して特定の顔写真データを照会することは可能です。ただし、ABISの顔写真データは独自の個人識別子を使っている(氏名や生年月日、個人識別コードを直接結び付けていない)ため、電子投票で利用する場合は少し工夫が必要になります。 インターネット投票に顔認識を導入する方法としては、顔認識の結果を投票への電子署名の一部に組み込んだり、顔認識結果のリンクを挿入したり、暗号化した顔写真を監査時に検証する等が考えられるでしょう。 電子投票は、エストニアの憲法で保障された選挙権(投票の自由、均一性、普遍性、直接性および秘密性の原則)の行使を、インターネット上でも実現するためにあります。この原点を忘れることなく、より便利で安全なインターネット投票とするために、今後のさらなる検証に期待したいと思います。 2021年7月15日、エストニアの身分証明書法に重要な改正がありました。
今回の改正により、これまで確立されていた「身分証明書データベース(15条の2)」に加えて、「自動生体認証データベース(ABISデータベース(15条の4))」が構築されることになります。ABISデータベースは、身分証明書の発行時に収集される生体認証データ(顔画像、指紋等のデータ)について、身分証明書データベースから切り分けて管理するものです。 ABISデータベースの生体認証データ(および経歴データ)により、個人を特定(識別)したり身元を確認したりすることができます。「個人の特定」と「身元の確認」は、異なる処理です。 「個人の特定」は、個人のID(本人識別)データとABISデータベース内のいくつかのデータセットを比較します。「身元の確認」は、個人の身元データと、その人に関して以前にABISデータベースに入力された身元データを比較します。 身元の確認と検証は、個人が誰なのか不明である、本人の身元に疑問がある、複数の人の身元データを使用していると疑う理由がある場合などに実施されます。 「身元の確認」は、いわゆる「成りすまし」や「背乗り(身分・戸籍の乗っ取り)」を防止する観点から重要な処理ですが、日本では実施されていません。「身元の確認」において不可欠な生体認証データが管理されていないからです。(遺体の身元確認はあります) 日本で「身元の確認」と言われているものの多くは、実際には「身分証明書等(本人確認書類)の確認」であり、エストニアの身分証明書法で定める「身元の確認」ではありません。身元確認の脆弱性は、北朝鮮による日本人拉致問題など重大な人権侵害を引き起こす原因にもなります。 「身元の確認」は、デジタルIDの信頼性とも深く関係しています。「身元の確認」ができない状況では、政府機関等によって発行されたデジタルIDであっても、赤の他人に発行されている可能性が高くなるからです。残念ながら、日本におけるトラスト制度の確立に向けた検討では、本質的な「身元の確認」については、ほとんど議論されていないように思います。 2021年現在、日本のパスポートは信頼度ランキングで世界1位になっています。外国工作員や犯罪者にとって、「成りすまし」や「背乗り(身分・戸籍の乗っ取り)」がしやすい日本は、まさに天国と言えるかもしれません。 ジェアディス会員限定で開催した勉強会「デジタル改革関連法案について」の動画(質疑応答部分を除く)を公開しました。 2021年4月12日現在、デジタル改革関連法案のほとんどが衆議院を通過して、参議院で審議中となっていますが、「地方公共団体情報システムの標準化に関する法律案」だけ衆議院で審議が継続しています。修正案を含む法案や審議状況は、衆議院の第204回国会 議案の一覧で確認できます。 今回の勉強会では、デジタル改革関連法案として、次の6法案を解説しています。 1. デジタル社会形成基本法案 2. デジタル庁設置法案 3. デジタル社会の形成を図るための関係法律の整備に関する法律案 4. 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案 5. 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 6. 地方公共団体情報システムの標準化に関する法律案 また、デジタル改革関連法案の解説の前に、これまでの日本の電子政府の取組みを概観する中で、最近の立法状況として、デジタル手続法(デジタル行政推進法)、官民データ活用推進基本法、サイバーセキュリティ基本法なども簡単に解説しています。 法案の解説と並行して、エストニアの法制度も紹介しています。エストニアでは、日本がデジタル改革関連法案で実現しようとしていることの多くを、非常にシンプルかつ低コストな方法により、すでに実現しています。日本もエストニアも、目指すところはあまり変わらないと思いますが、その実現方法については、法制度の組み立て方も含めて、かなり異なっていることを知ってもらえればと思います。 最後のまとめとして、日本のデジタル社会の今後の課題として、次のようなものを挙げておきました。
|
Categories
すべて
Archives
1月 2026
|
||||
RSSフィード