マイナンバーカードなど本人確認書類のマスキングの必要性について

マイナンバーカードの本人確認書類としての法的位置づけ

2016年1月1日以降、マイナンバーカードを本人確認書類として用いることが可能ですが、個人番号などの情報収集は、「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律」第15条および第20条に基づき、法律で決められた目的以外で、むやみに他人のマイナンバーを聞いてはいけません。また、他人のマイナンバーを勝手に別の人に渡してもいけません。
そのほか、本人確認の際にお客さまがマイナンバーカードを提示された場合は、企業側が個人番号を書き写すこと、マイナンバーカードの裏面のコピーを取ることは、法律で禁止されています。

マイナンバーカードのコピーが可能な条件

個人番号が記載されている裏面のコピーが可能なのは、条件を満たす場合に限られます。満たす条件とは、行政機関や雇用主などの決められた機関のみ、コピー・保管が認められています。 したがって、マイナンバーカードは、金融機関などの本人確認が必要な窓口において、本人確認書類の一つとして利用できます。
しかし、法律に規定されていない機関や事業者の窓口において、個人番号が記載されている裏面をコピー・保管することは法律違反となります。 また、お客さまが提出したマイナンバーカードの写しにより本人確認を行う場合に、裏面の写しを受理した場合は、裏面の写しを復元不可能にして破棄するか、個人番号の部分を復元できない程度にマスキングを施したうえで当該写しを確認記録に添付することが必要です。

マイナンバーカード裏面に潜むリスク

マイナンバーカードの裏面には、12桁の個人番号とともに、個人番号が記録された二次元コードが記載されています。この二次元コードを他人が読み取りマイナンバーを収集した場合には、法律に違反するおそれがあります。
個人番号だけではなく臓器提供の意思という機微情報も表示されており、他人が容易に目視できないように隠す目的の保管ケースが付属されています。
しかし、この保管ケースは、二次元コードが隠れてない場合もあるため、セキュリティは万全ではありません。 マイナンバーカードの裏面のコピーを取る場合は注意が必要です。

マイナンバーの本人確認書類としての有効性

マイナンバーカードの表面には、氏名、住所、生年月日、性別、顔写真と、本人であることを確認できる情報がそろっています。住所変更の記載が裏面にある運転免許証や、顔写真がない健康保険証は、表裏のコピーを用意したり、他の身分を証明する書類を添えて提出したりするなど手間がかかります。
しかし、マイナンバーカードは表面のみ提示すれば本人確認書類として通用するため使い勝手が良く便利です。表面ではなく、裏面に個人番号が記載されていることが重要なポイントとなります。

本人確認書類のマスキングについて

本人確認書類を提出する際に、一部の情報にマスキングを施すことが一般的です。
マスキングする項目と、マスキングする方法について解説いたします。

本人確認書類・身分証明書についてマスキングが必要となる対象項目

マスキングが必要な項目は、個人情報のうちの機微情報と個人関連情報の2つです。
機微情報とは、人種や信条、社会的身分、病歴、犯罪の経歴などを指します。
個人関連情報とは、個人の属性情報（性別・年齢・職業など）、個人のWebサイトの閲覧履歴および、個人の位置情報などが想定されます。
本人確認書類・身分証明書に記載されている臓器提供意思の有無、個別に付与された番号、本籍地、障害の等級、性別、犯歴といった情報で受け取ってはなりません。マスキングが必要となる情報は、本人確認書類・身分証明書ごとに異なります。以下の表で解説いたします。

マスキング方法

本人が企業に本人確認書類を提出する際のマスキングについて、現状では本人がマスキングを施すことが一般的です。以下、4種類の方法を紹介します。

【郵送する場合】
1．本人確認書類に記載されている機微情報に対し、付箋・マスキングテープや紙片などでマスキング
2．マスキングした本人確認書類をコピーして郵送

【アプリで送付する場合1】
1．郵送の場合と同様に機微情報を付箋・マスキングテープや紙片などでマスキング
2．マスキングした本人確認書類を撮影後、画像をアップロード

【アプリで送付する場合2】
1．本人確認書類を撮影後、画像編集ソフトを活用して機微情報をマスキング
2．マスキングした本人確認書類の画像をアップロード

【企業側で自動マスキング機能を持つ場合】
1．利用者は本人確認書類を撮影後、画像をアップロード
2．企業側が不要項目に対して自動でマスキング処理

以下の注意点を認識したうえで、正しいマスキングを施す必要があります。
1．提示が必要な情報（氏名や住所など）が隠れてない
2．マスキング対象箇所にマスキング処理をしている
3．画像編集ソフト活用する場合は、編集時に他の情報の編集も可能な状態にする

本人確認書類として健康保険証のマスキングが必要となる法的根拠

2020年10月1日より施行された「健康保険法改正」により、「記号」と「番号」が個人単位化されました。本人確認書類として健康保険証を用いる場合、プライバシー保護の観点から機微情報として扱われ、「保険者番号」と「二次元コード」の情報提供が不要になったことで、マスキング対象の項目に加わりました。

マスキングを施さずにアップロードされた場合はどうなるか

マイナンバーカードの裏面の写しがアップロードされた場合、受理せずに即破棄し、書類の再提出をお願いする企業が多いです。

オンラインで提出された本人確認書類と手続き書類のソリューションサービス

本人確認業務におけるマスキング合否判定や書類の突合作業は、人手と時間に頼ることが多く、企業にとって大きな負担で、お客さまはマスキングの手間がかかります。

本人確認書類のマスキングの合否判定

すべてのマスキングが必要となる対象項目にマスキングを施しているかを確認し合格となった本人確認書類のみ後続する手続きに進めることができます。 不合格とみなされた本人確認書類は企業側では受理せずに即破棄し、書類の再提出をお願いする企業が多いです。この際の企業にとって判定作業と不合格の処理による負荷は大きくなります。
画像アップロード時のセキュリティを確保できれば、自動で処理を行う「自動マスキング」により、お客さま自身がマスキングを行わなくて済むだけでなく、本人確認書類のマスキングの合否判定も必要なくなるため、お客様、企業ともに効率化します。

本人であることの認定

マスキングの合否判定で合格した本人確認書類の画像が、企業側へ提出した書類と突合確認により、本人であることが証明されると、その後は企業の本来の事務手続き処理に進むことになります。
マスキングの合否判定と本人であることの突合確認作業は、企業の本業ではありませんが、非常に重要な工程の一つです。そして、この作業を自動化するには、紐づけするシステム開発が欠かせないことから、人手や目検に頼る範疇とはいえ、アウトソースが可能な工程であると考えられます。

証明書類Web取得サービス

ヤマトシステム開発の「証明書類Web取得サービス」は、手続き書類と本人確認書類の突合を行うアウトソーシングを提供しています。企業における負荷の大きい作業や処理を外部委託することで、本業に専念できます。 自動マスキングを導入したとしても、突合作業は人手に頼らざるを得ないのであれば、「証明書類Web取得サービス」を活用し、本人確認書類のマスキングの合否判定を行うことで、法律や各社の企業ルールに則ったきめ細やかな対応が実現できるでしょう。

まとめ：マスキング処理の範囲やリスクを理解した上で、業務負荷を考慮して外部委託も検討しましょう

eKYCを端に発するオンライン完結の本人認証サービスは、手続き処理のオンライン化が進む現代社会において欠かせない存在です。しかし、個人情報や身分証をネット上にアップロードすることは、企業にとっては不正利用のリスクと常に隣り合わせだということは間違いありません。

セキュリティ面も含めて、ヤマトシステム開発は、本人確認書類をWeb上で回収できる「証明書類Web取得サービス」を提供しています。金融機関に限らず、オンラインでの本人確認を必要とする企業様は、このような本人認証に関わる外部サービスを積極的に活用して、負荷の大きい作業を効率化してみてはいかがでしょうか。