最近、新しい携帯電話SIMを作ったり、口座を開こうとして、オンライン本人確認を行う必要がありました。
本人確認書類をが必要になること自体は理解できます。犯罪やマネーロンダリングに使われたら問題ですからね。利用者と個人を結び付ける情報をアカウント作成時に作っておくことが重要だと思います。
問題は、データを預かる側の保管や処分状況。
私は、OCNモバイルOne 格安音声SIM を契約する時に、本人確認書類をアップロードしましたが、本人確認が終わった後、そのアップロードされたデータがどのように扱われるのかはサイトに記述はありません。
また、送金手数料が安いという仮想通貨の利点を確認しようとGMOコインというサイトにユーザー登録しましたが、ここにも本人確認後にアップロードされたデータがどう扱われるのかは明確に提示されていません。
世の中には、「SIMスワップ詐欺」という携帯電話SIMを不正に再発行させる手口があります。SIM再発行には本人確認書類が必須になるため他人が再発行を受けることは出来なさそうに思えるのですが、本人確認書類の偽造が行われているそうです。
免許証やマイナンバーカードのコピーなんて、職場くらいにしか渡しません。
にもかかわらず、どうやってベースとなる免許証やマイナンバーカードの情報を入手するのか?
一説には、フィッシングメールに釣られて、偽サイトに被害者本人がデータをアップロードしてしまい、それが使われるそうなのですが、私は、職場や行政以外で本人確認が行われたあとのデータが流出しているのではないかと疑っています。
だいたい、大手企業は、大量の本人確認照会作業なんて自社リソースで行いたがりません。派遣や外注に丸投げしている可能性が大です。もし、その外注先で中国人が作業していたら?どう感じます?外注の外注だってあり得ます。外注の外注なんて親会社の目は届かないでしょう。目を届かせるべきなんですけどね。その職を捨ててまで犯罪に加担したくないと思っている人、仕事を続けたいがいずれ契約は終了することがわかっている立場の人が同じ仕事をしていたら、どちらに作業を任せたい?すべてのサイトが本人確認作業を外注で行っているとは思いませんが、人海戦術による本人確認作業で、ちゃんと個人情報が扱かわれていることなんて期待できないことは確かです。
安心できるのは、対面で、その場で免許証のコピーを取り、作業終了後、即、コピー書類にパンチや赤インクで(済)マークを入れてくれるような場合だけです。
本人確認書類アップロードするホームページで、本人確認後にデータがどう扱われているのか示しているサイトなんて見たことありません。
一応指針はあるようです。
例えば、銀行口座を作る場合の本人確認書類は、口座が閉じられた後も7年間保管されます。つまり、長期間コピーが存在している。
次の情報も見つかりました。
番号法上の本人確認の措置を実施する際に提示を受けた本人確認書類(個人番号カード、身元確認書類等)をコピーして、それを事業所内に保管することはできますか。 |個人情報保護委員会 (ppc.go.jp)
によると、コピーを保管する義務はないけど、保管するなら適切な安全管理措置を行え。不要になった段階で速やかに廃棄せよ。 となっています。
基準があいまいで、この記述では、携帯会社や仮想通貨取引所などにアップロードした本人確認用書類、データ が廃棄されているのかどうかはわかりません。必ず暗号化しないといけないとか、ネットワークとつながっていなオフラインPCとか、そういう細かい規定は一切ない。
ならば、ユーザー側で対策するしかない。アップロードするデータは、
- 運転免許証、マイナンバーカード は絶対に使わない。
- 健康保険証のコピーを使う。健康保険証の場合は、番号をマスクするように求められるので、土台としてコピーが使われる可能性が低い。
- 写真が無い本人確認証を使う場合は、2つ目の書類を求められるので、公共料金の領収書を使う。口座自動引き落としや、なんとかPay請求書払いで支払いしていると領収書が無いので、3か月に一度くらいはコンビニ窓口で支払うようにしないと、実際に使いたい時に有効な書類が不足してしまう。
- 住民票のコピーを持っておく。これもコストが掛かる書類ですが、複写防止機能付きの用紙が使われて、コピー機でスキャンすると、はっきりとCopyマークが映り込むので、アップロード書類としては一番いいかも。コストが掛かりますが。
私のSIMの場合は、私用の本人確認書類を偽造できたとしても、正式に同番SIM再発行を受けられる窓口は存在しないので、SIMスワップは不可能。ですが、自衛しておくに越したことはありません。
要するに、サイト運営側は、ユーザー登録する人が犯罪目的かどうかを疑っていますが、新規利用者側はサイトから個人情報がリークすることを疑っているわけです。特に新しいサービスはそう。
具体的には、誰が書類を扱うのか?人なのか機械なのか?作業後アップロードした書類をどう扱うのか?廃棄(削除)するのか、(どこに何年間)保管するのか?(オンライン、オフライン?)暗号化して保管するのか?プレーンのままなのか?誰に、アクセス権があるのか?全く分からないことが不安の原因。システム的にいくらプロテクトしていても内部犯行はいくらでも起きます。
アップロードページに、こういう情報がすぐにわかるように掲示していてくれれば多少は抵抗が小さくなります。