<aside class="msg message">!<div class="msg-content">
追記:　AWSの方から、修正が完了しているご連絡をいただきました。2023/03/07
</div></aside>
<h1 id="tl%3Bdr">
<a class="header-anchor-link" href="#tl%3Bdr" aria-hidden="true"></a> TL;DR</h1>
<ul>
<li>Glueの<a href="https://aws.amazon.com/jp/about-aws/whats-new/2022/11/aws-glue-sensitive-data-detection-identify-process-sensitive-data-japan-uk-entities/" target="_blank" rel="nofollow noopener noreferrer">Sensitive Data Detection</a>で、日本のマイナンバーを検知させるとスルーされるものがある</li>
<li>チェックデジットの計算過程でmod11が10のときのみ、検知されないことがわかった</li>
<li>単純にバグだと思われます</li>
</ul>
<h1 id="issue">
<a class="header-anchor-link" href="#issue" aria-hidden="true"></a> Issue</h1>
<s>書いたんですが、出せそうなGitHub repoがないので放置中。(いい方法あったら教えてください。。)とりあえずで、ここに貼っておきます。</s> AWSJの方からご連絡いただきました。
<h1 id="issue-case">
<a class="header-anchor-link" href="#issue-case" aria-hidden="true"></a> Issue case</h1>
Sensitive data detection was updated to cover some of the PII used in Japan, including "My Number". But Glue does not seem to detect My Numbers with the specific check digit.
My Number is a unique identifier with 12 digits. The last digit is the check digit calculated in mod 11 using the other 11 numbers.
If we assign <code>a=1st of 11, b=2nd of 11, .... , k=11th of 11</code>, check digit x will be: 
<code>x = 11 – (6a + 5b + 4c + 3d + 2e + 7f + 6g + 5h + 4i + 3j + 2k) mod 11 (if x≧10 x=0)</code> 
When x = 10 or 11, check digit is set as 0.
The problem is that Glue does not detect "My Number" when x = 0 derived from 10.
<h2 id="replication">
<a class="header-anchor-link" href="#replication" aria-hidden="true"></a> Replication</h2>
We use Glue studio in almost the default setting. 
Data format: CSV 
Glue version: 3.0 
Worker type G.1X
Transform - Find sensitive data in each row 
Select specific patterns <code>Japan My Number</code> 
Replace detected text with <code>#####</code>
<h2 id="input-csv">
<a class="header-anchor-link" href="#input-csv" aria-hidden="true"></a> Input csv</h2>
This is a sample csv for the replication. 1st column is "My Number" and 2nd column is x. Note: We have to use col name <code>マイナンバー</code> (My Number in Japanese) to tell Glue.
When transformed by the glue job, the numbers with x = 10 are remain unchanged.
<div class="code-block-container"><pre><code>マイナンバー,x
100000000005,5
100000000013,3
100000000021,1
100000000030,10
100000000048,8
100000000056,6
100000000064,4
100000000072,2
100000000080,11
100000000099,9
100000000102,2
100000000110,11
100000000129,9
100000000137,7
100000000145,5
100000000153,3
100000000161,1
100000000170,10
100000000188,8
100000000196,6
</code></pre></div><h2 id="output">
<a class="header-anchor-link" href="#output" aria-hidden="true"></a> Output</h2>
<div class="code-block-container"><pre><code>マイナンバー,x
"#####",5
"#####",3
"#####",1
100000000030,10
"#####",8
"#####",6
"#####",4
"#####",2
"#####",11
"#####",9
"#####",2
"#####",11
"#####",9
"#####",7
"#####",5
"#####",3
"#####",1
100000000170,10
"#####",8
"#####",6
</code></pre></div><h1 id="%E8%AA%AC%E6%98%8E">
<a class="header-anchor-link" href="#%E8%AA%AC%E6%98%8E" aria-hidden="true"></a> 説明</h1>
<h2 id="glue%E3%81%AEsensitive-data-detection%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#glue%E3%81%AEsensitive-data-detection%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> GlueのSensitive Data Detectionについて</h2>
こちらが詳しいのでご参照ください(ちなみに、今回のバグも現れています)
<iframe id="zenn-embedded__25c42ac66b9cb" src="https://embed.zenn.studio/card#zenn-embedded__25c42ac66b9cb" data-content="https%3A%2F%2Fdev.classmethod.jp%2Farticles%2Faws-glue-sensitive-data-detection-api-japan%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://dev.classmethod.jp/articles/aws-glue-sensitive-data-detection-api-japan/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://dev.classmethod.jp/articles/aws-glue-sensitive-data-detection-api-japan/</a>
<h2 id="%E3%83%9E%E3%82%A4%E3%83%8A%E3%83%B3%E3%83%90%E3%83%BC%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">
<a class="header-anchor-link" href="#%E3%83%9E%E3%82%A4%E3%83%8A%E3%83%B3%E3%83%90%E3%83%BC%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6" aria-hidden="true"></a> マイナンバーについて</h2>
マイナンバーは12桁なのですが、最後の桁はチェックデジットという、他の11桁の値を使って計算する数値です。こちらのコラムの解説が、とても良かったです。
<iframe id="zenn-embedded__f44b6853c758b" src="https://embed.zenn.studio/card#zenn-embedded__f44b6853c758b" data-content="https%3A%2F%2Fdigitalforensic.jp%2F2016%2F03%2F14%2Fcolumn404%2F" frameborder="0" scrolling="no" loading="lazy"></iframe><a href="https://digitalforensic.jp/2016/03/14/column404/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://digitalforensic.jp/2016/03/14/column404/</a>
法律で決まっていて、計算式はこうですよと。
<blockquote>
人手での入力間違いが発生しても機械的にすぐわかるように、チェックデジットと俗に呼ばれる1桁が付け加えられており、マイナンバー法では「検査用数字」と呼ばれています。個人番号の検査用数字は最下位の桁、つまり一番右側の1桁で、その計算式は総務省令第八十五号で定められて
</blockquote>
<blockquote>
個人番号を11桁の数字abcdefghijkxとしますと、検査用数字xはx = 11 – (6a + 5b + 4c + 3d + 2e + 7f + 6g + 5h + 4i + 3j + 2k) mod 11 ただしx≧10ならx=0です
</blockquote>
<h2 id="glue%E3%81%AF%E4%BD%95%E3%81%8C%E3%83%90%E3%82%B0%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%AE%E3%81%8B">
<a class="header-anchor-link" href="#glue%E3%81%AF%E4%BD%95%E3%81%8C%E3%83%90%E3%82%B0%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B%E3%81%AE%E3%81%8B" aria-hidden="true"></a> Glueは何がバグっているのか</h2>
上記の引用2つ目にあるように、検査用数字(チェックデジット)が<code>x=11, 10</code>のときは、12桁目は0になります。上のサンプルでいくと、<code>100000000030</code>は<code>x=10</code>、<code>100000000080</code>は<code>x=11</code>です。
しかし、ジョブを実行しても<code>100000000030</code>は秘匿情報として検知されていないので、そのまま残っています。
おそらく、マイナンバーであることを確認するために計算する中で、何かが起きているのだと思われます。
<h2 id="%E3%81%A1%E3%82%87%E3%81%A3%E3%81%A8%E3%82%88%E3%81%8F%E3%82%8F%E3%81%8B%E3%82%89%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E3%81%A1%E3%82%87%E3%81%A3%E3%81%A8%E3%82%88%E3%81%8F%E3%82%8F%E3%81%8B%E3%82%89%E3%81%AA%E3%81%84%E3%81%93%E3%81%A8" aria-hidden="true"></a> ちょっとよくわからないこと</h2>
上記コラムに書かれているように、0が末尾のときはチェックデジットとしての精度が悪いので、使わないのが無難、という考え方もあるようです。一方で、マイナンバー番号の払い出しルールは不明です(例えば、法律で定めているものの、末尾0のものは実際は使われないとか)。人のマイナンバーを知ることもできませんので、確かめようがないですね。
ただし、今の時点で「使われていない」という情報もないですし、巷のダミーデータにも<code>x=10</code>由来のマイナンバーは入っていますし、<code>x=11</code>由来ならいいのかという疑問もあります。
実はGlueの開発チームが<code>x=10</code>由来の番号は使われない、という情報を知っていたりして・・・？
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
GlueのSensitive Data Detectionでマイナンバーの一部が検知できないというバグ報告でした。
<h1 id="appendix">
<a class="header-anchor-link" href="#appendix" aria-hidden="true"></a> Appendix</h1>
チェックデジット計算用のPythonスニペットです。print出力ですのでよしなにしてください。デフォルトでは上のサンプルデータが出力されます。<code>digit_11str</code>には、ゼロ埋めも含めて11桁の文字列を入れてください。
<div class="code-block-container"><pre class="language-py"><code class="language-py">def get_check_digit(digit_11str):
 """
 Param
 : digit_11str : str : 11 digit numbers (zero padding required)
 """
 x = [i for i in digit_11str]
 y = [6, 5, 4, 3, 2, 7, 6, 5, 4, 3, 2]
 tmp = sum([int(i) * j for i, j in zip(x, y)])
 check_digit_calc = 11 - (tmp % 11)
 if check_digit_calc &gt;= 10:
 last_digit = 0
 else:
 last_digit = check_digit_calc
 print(f"{digit_11str}{last_digit},{check_digit_calc}")


start = "10000000000" # 11 digit include zero padding
end = int(start) + 20

assert start.isdigit()
assert len(start) == 11
for i in range(int(start), end):
 digit_11str = str(i)
 get_check_digit(digit_11str)
</code></pre></div>

[解決済]AWS Glueでマイナンバーが一部検知できないバグについて

GlueのSensitive Data Detectionについて

Discussion