xIDアプリの個人番号入力を伴う仕様に関するご指摘への回答と当社の今後の対応について

ソーシャルメディアや一部のメディア報道において、xID株式会社(以下、当社)の提供する 「xIDアプリ」の新規登録時に個人番号の入力が求められる件に関するご指摘があり、「xIDアプリ」をご利用、ご検討中のユーザーの皆様、自治体様、企業様におかれましては、ご迷惑、 ご心配をお掛けしておりますこと、深くお詫び申し上げます。

本件について、当社は9月29日より、個人情報保護委員会に対して「xIDアプリ」の詳細仕様及びこれまでの経緯に関する事実説明等を続けてまいりましたところ、ご見解をいただきました。当社「xIDアプリ」の仕様を踏まえ、ソーシャルメディアや一部のメディア報道において、 ご指摘いただいております件への回答と合わせて、報告させていただきます。

1. 「xIDアプリ」の新規登録時に個人番号入力を伴う仕様に関するご指摘への回答

1-1. 「xIDアプリ」のアカウントIDについて

xIDアプリのユーザーに発行されるID(識別子)は、個人番号を基に生成されているのか?

利用者に割り当てる識別子(以下、アカウントID)はユーザーの個人番号を用いて生成されるものではありません。アカウントID は、ユーザーによる「xIDアプリ」の新規登録時に、個人番号には一切関係なくユーザーごとにランダムに生成されるものです。

自治体や事業者がxID社から個人番号を含む特定個人情報を受け取ることはないか?

自治体様や事業者様が受け取るのは、ユーザーのアカウントID を変換した事業者向けIDのみであり、個人番号を含む特定個人情報を自治体様や事業者様が受け取ることはありません。

1-2. 確認要素について

なぜ、「xIDアプリ」の新規登録時に個人番号を入力するのか?

新規登録時に入力される個人番号の一部はユーザー端末上で符号(以下、確認要素)を生成するために用いられます。

確認要素とは何か?

確認要素はアカウント作成者が新規登録者であるか、 過去にアカウントを登録した人物であるかを確認するための要素であり、同一の個人が複数のアカウントIDを持つことを防ぐために利用します。

ID作成時に入力した個人番号がxID社や第三者に渡ることはないのか?

ありません。
入力された個人番号は、確認要素の生成後、「xIDアプリ」及びユーザー端末から直ちに破棄されます。当社サーバーへの収集・保管ができる仕様ではありません。また、入力から破棄までの間、個人番号が確認要素の生成以外に用いられることはありません。なお、確認要素から個人番号を復元することはできません。

確認要素はどのように取り扱われているのか? 個人番号との関係は?

確認要素については、当社サーバーへ送信することで、当該ユーザーがすでにアカウントIDを所持しているかどうかの確認に利用します。

確認要素は、個人番号と一対一に対応するものではありませんが、個人番号の性質を利用してユーザーの一意性を確認するものであるため、番号法第2条第8項に定義される広義の「個人番号」に該当する可能性はある、とのご見解を個人情報保護委員会よりいただきました。

2. 当社の今後の対応について

当社では本年6月頃より、12月中旬頃リリース予定の「xIDアプリ」の新バージョン (Ver4.0)の開発を進めておりました。新バージョンリリースに伴い、個人番号入力および確認要素にかかる仕様の一切を廃止し、サーバーで保持している確認要素もすべて破棄することを予定しております。

現在、個人情報保護委員会からの勧告や停止命令は出ておりませんが、確認要素が広義の個人番号にあたる可能性はあるとの個人情報保護委員会のご見解に鑑み、新バージョンのリリースを待たず、当社は自主的に下記の対応をいたします。
 

• 新規アカウント登録の休止
  • 個人番号の入力、確認要素の新規生成の停止
• 過去に生成された全ての「確認要素」の当社サーバーからの削除

上記の対応を実施するため、当社は「xIDアプリ」を新バージョンのリリースまで一時休止させていただきます。一時休止に伴い、アカウントの新規登録ができなくなるほか、 すでに「xIDアプリ」のアカウントをお持ちのユーザー様も、認証、電子署名を含む一切の操作を下記期間においてご利用いただけません。

アプリの一時休止期間：11月4日(木) 20時から12月中旬頃まで

アプリストアの審査期間の都合上、再開日については多少前後する可能性がございます。

3. 「xIDアプリ」の新バージョンについて
 

• 新バージョンでは、確認要素は生成せず、アカウント登録時における個人番号に関わる一切の処理が廃止されます。
• 同一の個人が複数のアカウントを持てない仕組みを提供するために、新たにマイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用します。
• 「新旧シリアル番号の紐付けサービス」は、J-LIS(地方公共団体情報システム機構)が提供する⺠間事業者向けの付加サービスです。マイナンバーカードの電子証明書が更新された場合に、更新前と更新後それぞれの電子証明書を紐づけ、保有者の同一性を確認できるようになります。（https://www.j-lis.go.jp/jpki/minkan/procedure1_2.html）
• 当社は2021年6月から上記「新旧シリアル番号の紐付けサービス」の利用を含む新バージョンの開発を進めており、12月中旬頃のリリースを予定しています。

このたびは多大なるご迷惑をお掛けいたしましたこと、また、今回の一時休止の判断によって、 「xIDアプリ」利用者の皆様、自治体様、企業様には大変ご不便をおかけいたしますこと、重ねてお詫び申し上げます。

今後はマイナンバーカードに関連するサービスの重要性と責任に鑑み、サービスの仕様や仕組みに関する一般開示範囲の見直しや、監督官庁との事前の協議や相談等もこれまで以上に丁寧に行うことで、より一層皆様に安心してご利用いただけるサービスを提供し続けられるよう、真摯に努力してまいります。

【関連プレスリリース】
「ソーシャルメディア等で頂いているxIDアプリに関するご意見について」
https://xid.inc/news/39/1

「個人情報保護委員会への当社xIDアプリの個人番号入力に関する説明について」
https://xid.inc/news/40/0