本人認証サービスなどを展開するxID社は11月4日、本人認証サービス「xID」(クロスID)を同日午後8時から12月中旬まで一時停止すると発表した。同サービスについては、新規登録時にマイナンバーカードに記載されている個人番号の入力を求めることに対し、ユーザーや識者から「個人番号の利用を厳密に制限しているマイナンバー法に違反するのでは」などの指摘が上がっていた。
xIDは行政手続きや施設の予約システムの電子申請など、複数の自治体で採用されている本人認証用サービス。個人番号は社会保障、税、災害対策以外での利用が認められていないのにも関わらず、新規登録時に個人番号の入力を求めていたことなどに指摘が相次いでいた。石川県加賀市などxIDを導入している自治体では利用中止の動きが出ている。
同サービスでは、同一人物が複数のアカウントを持てないようにするため、アカウント作成者が新規登録かどうかをチェックするために「確認要素」と呼ばれる値を生成する。個人番号は、その確認要素を生成する際に番号の一部を利用していたという。
同社では、確認要素は「個人番号と一対一に対応するものではない」と主張していたが、個人情報保護委員会より「個人番号の性質を利用してユーザーの一意性を確認するものであるため、番号法第2条第8項に定義される広義の『個人番号』に該当する可能性がある」と指摘を受けたという。
指摘を受け、xIDは9月24日に次期バージョンで個人番号を入力しない仕様に変更すると案内。2021年12月中旬ごろに提供予定の新バージョンでは、個人番号の入力と確認要素を廃止。サーバに保存している確認要素も全て破棄する。
同社では、確認要素の代わりとして、J-LISが提供する民間事業者向けの「新旧シリアル番号の紐付けサービス」を利用。マイナンバーカードの電子証明書が更新された場合に更新前後の電子証明書をひも付け、保有者が同一かを確認するという。
xIDではサービスの仕様や仕組みに関する一般開示範囲の見直しや、監督官庁との事前協議/相談などをより強化するとしている。