「個人情報を厳重に守れ」という掛け声を、私たちはあちこちで耳にします。発信元の多くは、行政機関です。
ところが、私たちのセンシティブな情報をもっとも詳しく知っているのも、その行政なのです。年収、納税額、家族構成、加入保険、診療履歴、銀行口座、住所変更の履歴。民間企業のプロファイリングをはるかに超える解像度で、ひとりの人間の輪郭が国家のシステムに集約されていきます。
守らせる側と、最大の保有者が同じ存在である。この構造的な逆説は、なぜ正面から議論されないのでしょうか。
「3分野」から「幅広く」へ
マイナンバー制度が始まったのは、2016年1月でした。利用範囲は、社会保障・税・災害対策の3分野に厳格に限定されていました。当初の説明は、「個人情報の一元管理はできない仕組み」「番号は漏えい等の被害を受けた場合等に限り変更可能」というプライバシー保護への配慮を強調するものでした。
しかし2023年の番号法改正で、その箍は緩みました。改正法は理念として、「社会保障、税及び災害対策以外の行政事務」におけるマイナンバー利用の推進を明記しています。国家資格のデジタル化、引越し手続のオンライン化、民間サービスでの本人確認。「番号を導入するか」の議論は終わり、いまや「何と連結するか」だけが問われる段階に入りました。
健康保険証との一体化は、その象徴です。2024年12月2日、従来の健康保険証は新規発行を停止しました。2025年12月1日に法的な有効期限を満了し、マイナ保険証を持たない人には「資格確認書」が発行される仕組みになっています。「番号取得は任意」という当初の建前と、「保険証は廃止」という事実上の強制が衝突した結果の弥縫策にも見えます。
公金受取口座の登録、運転免許証との一体化。この拡張に、終点はあるのでしょうか。
センシティブ情報の集約点
医療情報は、各国の法制が「特に慎重に扱うべき情報」と位置づけてきたものです。EUの一般データ保護規則(GDPR)では「特別な種類の個人データ」として、原則として処理を禁じる立て付けになっています。
日本でもマイナ保険証の標準化により、診療・処方・特定健診の履歴が国家のシステム(オンライン資格確認システム)を経由する構造になりました。便利さの背後で、ひとりの患者が「いつ、どの医療機関で、何の診療を受け、どんな薬を処方されたか」というプロファイルが、国家インフラのうえに刻まれていきます。
患者本人がマイナポータルで自分の履歴を閲覧できる、という説明は確かに正しい。けれど、本人が見られるという事実は、「他者が見られない」ことを保証するものではありません。
静かに繰り返される事故
個人情報保護委員会が2025年6月に公表した2024年度の年次報告は、衝撃的な数字を明らかにしました。個人情報の漏えい事案は前年度比約57%増の1万9,056件、過去最多です。マイナンバー法に基づく漏えい事案も前年度の334件から2,052件へと、6倍以上に膨らみました。
具体例には、ニュースとして記憶に残るものが並びます。コンビニで他人の住民票が誤って交付された事案では、システムを運用する事業者が指導を受けました。委託先がランサムウェアの被害を受けた事案では、愛知県豊田市の最大約42万人分、徳島県の自動車税納税者約20万件、和歌山市の住民税対象者約15万件の個人情報が流出しています。
加えて、マイナンバーの紐付け誤りを政府が点検した結果、確定数で1万5,951件の誤登録が判明しました。障害者手帳5,689件、健康保険証1,142件、公金受取口座1,186件などが内訳です。「便利さの背後で正しく結ばれているはず」のデータが、人為的なミスの集積によって別人の情報と混ざっていた。この事実は重く受け止める必要があります。
守らせる側と、守る側の二重構造
民間の個人情報保護法と、行政機関の個人情報保護法は、2023年4月に一本化されました。長く「行個法」と呼ばれてきた行政機関個人情報保護法・独立行政法人等個人情報保護法は廃止され、現在の個人情報保護法のなかに「行政機関等」の章として統合されています。
ただし、「同じ法律になった」ことと「同じ規律が及ぶ」ことは別の話です。民間事業者と行政機関等では、適用される条文も、罰則の設計も、監督のされ方も、依然として異なります。民間が違反すれば事業者名の公表や勧告・命令の対象になりますが、行政機関の不適切処理に対する直接的な罰則は限定的です。
監督機関である個人情報保護委員会は、法律上は独立性が保障された機関です。けれど、行政機関を行政機関が監督する構造である以上、外部からの検証がどこまで届くか、という設計上の論点は残ります。「設計が悪い」という話ではなく、「この設計で十分かどうかは継続的に検証されるべき」という意味です。
ひと呼吸おく必要
私たちが普段「個人情報を守ろう」と語るとき、念頭にあるのは民間企業の漏えいであり、悪意ある第三者の侵入です。けれど、ここで見てきた事実が示すのは、別の構図です。
国家はすでに、私たちが意識しないうちに、想像以上に多くを集めている。集めることの是非を国民が深く議論する機会は、ほとんどなかった。集めた後の管理は、繰り返し失敗している。
国家がデータを集めること自体が悪だ、という単純な話ではありません。集めることで実現する利便性も、社会的な意義もあります。問題は、判断材料のないまま、集約だけが先行している現状にひと呼吸おく必要があるのではないか、ということです。
次回は、もうひとつの集約ポイント——物理空間の常時監視に視点を移します。
引用元
- 行政機関等の保有する個人情報の適正な取扱いの確保に関する施策の推進状況(令和6年版年次報告書)
- 行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)
- 個人情報の保護に関する法律
- マイナンバー情報連携に関する点検結果について(デジタル庁)
著者プロフィール
町島 和徳(ギャラクティックブレーン合同会社 代表社員)
電気通信大学在学中からコンテンツ制作の現場でキャリアをスタート。エンタメ業界での経営実務を経て、現在はコンサルタント兼フルスタックエンジニアとして活躍。経営・マーケティング・技術の複眼的視点と、部門や階層を超えたファシリテーション力を強みに、スタートアップから大手企業まで幅広いDX支援を手がける。生成AI・RPAの実務活用を精力的に展開。成功・失敗双方の実践知を惜しまず発信する現場主義のプロフェッショナル。
