◆反住基ネット ニュース ライブラリー   Document
 東京都/ 西東京市/ 異議申立・セキュリティ問題・プライバシー保護・自己情報コントロール権・電子政府・電子自治体
 20021220-55
02年12月13日 西東京市における行政不服審査法にもとづく口頭意見陳述補佐人発言メモ
最新の情報通信技術は「完全なセキュリティ」が保障できないないことを前提にしている

このページへの投稿 →

Document
西東京市での陳述のためのメモ

西邑亨 2002/12/13


 西邑といいます。コンピューター関係のマニュアルや技術に関係する雑誌などの記事を書いたりしておりました。技術と社会、技術と個人の接点のところで、社会や個人の側から文章を書いているフリーのライター、という立場におります。

 この場では、技術のはなしが要請されているものと思っておりますが、自身は技術者ではありませんので、技術に踏み込んだ話をするつもりはありません。技術の世界に接する機会が多いひとりの市民として、ここでは参考意見を述べさせていただきます。みなさんがすでによくご存じのことを申し上げることもありますが、その点はどうかお許しください。

(1)「住基ネット」は古典的な中央集中型ネットワーク

 わたしは仕事上の関心もあって、結構早い時期に「住基ネット基本設計書」を見る機会があったのですが、「住基ネット」のネットワーク概念図を見て驚きました。たいへん古い技術概念に基づくネットワークになっています。みなさんもよくご存じのように、3段階の三角形構造ですが、これは80年代初期のころまでに盛んに使われてきた,
「大型コンピューター」の「中央集中型ネットワーク」、情報通信の教科書などでは「マスター・スレーブ型」と呼ばれる、コンピューターの世界では非常に古い技術体系・技術思想に基づくネットワークシステムの典型的な構造です。

 その後、総合行政ネットワークシステムのネットワーク概念図なども見まして、それらが「住基ネット」とまったく同じ構造をしていることにも気づきました。このときはあきれたと同時に、ある意味では深く納得がいった思いがしました。要するに、現在の国と自治体によっておおなわれている「行政」は、こういうネットワーク構成で運営するのが一番効率がいい、行政自体がそういう構造になっている現実をそのまんま反映したものらしいと、とりあえず理解しています。

(2)本当に古い技術だけなら、問題は少ない

 技術者の中には「住基ネットが完全にマスター・スレーブ型の中央集中処理システムだったら、問題は比較的簡単に解決できた」という方がおります。じつはわたしも、似た感想を持っています。

 つまり、

  ・ただ1台だけのコンピューターにすべての情報を集めてしまい
  ・外部からの接続を遮断し
  ・限られた数の端末から
  ・限られた人だけがアクセスしてこれを利用する
  ・情報は外部に出さないで
  ・「情報を独占する」ことによる利益が最大になるように運用する

 そういう使い方をすれば「セキュリティ問題」のかなりの部分は解決する、すくなくとも問題点を大幅に少なくすることは可能だと思います。「情報の独占」が最優先の課題なので、中途半端なことはやらないでしょう。

(3)「大昔」のシステムを、最新技術で作っている

 しかし現在、そのような形で「住基ネット」を作ろうとしたら、おそらく、数桁大きな額の予算が必要になるのではないかと思います。ほんとに徹底してセキュリティを確保しようと考えたら、すべてを特注して作る、それも限られた信頼できる開発者に限定して作らせる必要があるわけです。お金も時間もすごくかかります。

 現実の「住基ネット」は、基本のシステム概念こそ「中央集中処理型/マスター・スレーブ型」をしているにもかかわらず、システムを構成している技術は中途半端に「インターネット的」、つまり「分散処理型/クライアント・サーバー型」の技術を使っています。つまり最新の要素技術を使って、「大昔」のシステムを作っているわけです。

 このため、非常に閉鎖的な外見を持って作られていながら、「住基ネット」やそこに蓄積されている情報は、これらときわめて親和性の高い、パソコンやインターネットなどの技術にその周辺をびっしりと取り囲まれていて、「情報を秘密にしておく」ための環境としてはきわめて「劣悪」になっています。技術的な環境から見て、「住基ネット」は基本的に「脆弱」であることを免れません。

(4)最新の情報通信技術は「完全なセキュリティ」が保障できないないことを前提にしている

 技術的にいえば、最新の「情報通信技術」は「万全のセキュリティを確保することはできない」ことを前提としています。情報は破壊されたり改変されたりコピーされて漏洩してしまう、際限なくコピーくりかえされて、どこに自分の個人情報があるのか調べようがない、そういう状況になる可能性をつねに持っています。ネットワークは侵入される可能性をいつでも持っています。そういうことを事実として認めた上で、それにある程度対抗する技術を含めて、現在の情報通信技術は構築されているわけです。

 つまり政府が言っているように、「セキュリティ確保には万全の対策を取っているからだいじょうぶ」ということは、技術者はいいません。「大昔」の技術者いっていたのかもしれませんが、そのときすでにこれが幻想にすぎないことは明らかでした。事故はたくさん起きています。だからこそ、その現実をふまえて、現在の情報通信気技術の開発がされてきたわけです。

(5)セキュリティ技術の2つの課題

 「セキュリティの確保」ということには、2つの課題があります

 ・情報の破壊や漏洩などの発生をできるだけ防止する、そのための対策を立てる
 ・破壊や漏洩が発生したらその被害をできるかぎり小さい規模に押さえ込む、そのための対策を立てる

 いわゆる「危機管理」の考え方です。

(6)情報漏洩事故原因の70%くらいは「マンファクター」によるもの

 たとえば、必要ならば、システムやネットワークに対する外からの接続をできるだけ少なくしたり制限する、積極的に接続する場合には必ずファイアーウォールという技術を使う。そういう防御的な種類のセキュリティ技術はたくさんあります。

 しかし、この部分に過剰な資金を投入することは、あまり効率的ではないとも言われています。過去のセキュリティ事故の70%くらいは、じつは回線からの侵入のような外部要因によるものではなくて、マンファクター、つまりシステムの運用などに関係するひとが何らかの形で関与していたといわれています。みなさんご自身が関係者なのでそのように考えるのはつらいかと思いますが、現実はそうです。

(7)「番号が透けて見える通知はがき」はすでにセキュリティ事故

 「住基ネット」の場合でいえばすでにある意味では「マンファクター」に起因する典型的な情報漏洩事故が発生しています。例の「住民票コード通知」が透けて見えるという事件です。

 これは「セキュリティ事故」です。「透けて見えない通知手段を」を採用すればとりあえず防止できた、人為的な事故だったわけです。

 「住基ネット」のもっとも脆弱な部分のひとつがここにあって、すでに「住基ネットの情報」は大量に漏れています。すくなくとも漏れていると考えて対策を講じることが必要な状況です。

(8)情報はできる限り分散する

 例えば政府は、「罰則を強化した」といいます。でも情報はやっぱり漏れます。ではどうするか。現在の情報通信技術では、いくつかの方法が採用されています。例えば

 ・一カ所に蓄積する情報はできるだけ少なくする

 という方法です。大量の情報は、それが発生した場所に一番近い複数のサーバーに分散されます。
 一カ所に集めて強固にこれを守る、という考え方は技術的にはナンセンスです。というか、必要ならばネットワークで問いあわせればいいだけのことです。それがインターネットの便利さですから、情報を大量に集積する必要はもともとないのです。「住基ネット」はその点だけを取り上げても、たいへん「古典的」的な、むしろ「古代的」なシステムだと思います。

 で、情報を分散しておけば、1カ所で侵入・漏洩が発生しても、あるいは火災などで情報が失われても、その被害は最小限に局限できます。逆に「住基ネット」は1カ所にすべての情報を集中していますから、そこをねらえば得られる情報は最大、盗み出した人の利益も最大になり、セキュリティ破りの動機付けも最大になっているわけです。もちろん被害も最大になります。
 情報の分散は、被害を最小にするだけでなく、ねらわれにくくするというとても大きなセキュリティ上の効果をもっています。

(9)セキュリティ上の責任者を明確にするのも「セキュリティの強化」には必須

 セキュリティを考える上でもう一つ重要なことは、「システム運用者・管理者の責任」です。

 「責任者」を明確にして、被害が発生した場合の補償や原状回復の体制を明らかにしておけば、責任者はリスクの回避のために、自分が管理する個人情報を減らすか、少なくとも分散するでしょう。その他、有効なさまざまの方法も採用する。それが常識的な責任者の行動パターンです。

 現在の「住基ネット」は、セキュリティ上の責任者があいまいだと多くの人から指摘されています。これはきわめて危険な状態です。

 言い換えれば、被害発生時の補償や原状回復の責任を誰が取るのかを明確にすることは、システム全体のセキュリティを向上させる有効な方法です。というか、現在の情報通信技術は、システム運用者・管理者のこうした責任体制が前提になって構築されています。何度もいいますが、「技術は完璧なセキュリティを保障してはいない」のです。

(10)情報通信技術のもう一つの前提:「自己情報のコントロール」

 ここでは時間がないので詳しくふれませんが、もうひとつ、最新の情報通信技術が前提としていることは「当事者による個人情報のコントロール」ということです。

 何回もいいますが、個人情報の漏洩が完全に防がれるという保障を、技術はしません。だからその技術を使って「サービスを提供」する市町村や都道府県、国、あるいは民間企業などが、どこまで信頼できるのか、誰に個人情報を提供し、誰には自分のプライバシーをゆだねないのか、個人情報の利用をどこまで許すのか、という「当事者のリスク管理」が必要になってきます。

 被害を受けるのは当事者で、被害を受ける可能性がとうていゼロとはいえない状況であることは周知のことですから、「サービスを提供」する側としてもこうしたコントロールを受け入れないわけにはいかないはずです。そうしなければ、サービス自体が成り立たない。つまり利用してくれる人がいない、いてもきわめて限られ数にしかならない。それが、たぶんあたりまえの社会のあたりまえの反応です。

 現在の日本の政治的な状況では、「住基ネット」に限らず、「当事者による自己情報のコントロール」はまだ十分受け入れあれていません。民間でもそうした傾向は見られますが、政府が進めている「電子政府・e-Japan構想」はその点で非常に古いか、意図的にこの問題を無視しているように見えます。

 このため、現在の日本政府の政策は、日本のエレクトロニクスメーカーなどが蓄積してきている情報通信技術を歪めているのではないかと、わたしは感じています。つまり、日本のメーカーは、「当事者による自己情報のコントロール」をシステムにどう反映したらよいかという技術的な課題について、技術開発や経験の蓄積をするチャンスがない、あるいはとても少ない。その代わり防御的な技術に過剰に資金を投入する傾向が感じられます。

 で、その歪められた技術の製品を供給されるのは、全国の自治体です。また、全国の自治体の住民です。

(11)現在の情報通信技術の特質を積極的に活用する「電子政府・電子自治体」

 いろいろ羅列的に話をさせていただきましたが、整理をすれば、現在政府が全国の自治体を巻き込んで進めている「電子政府・電子自治体」の推進は、政府の情報通信技術に対する理解が非常にゆがんでいるために、きわめて危険なシステムを生み出している、ということです。

 現在の情報通信技術の中心にある「インターネット」は、「情報を隠す」ことは得意ではありません。というか、むしろ逆の性格を特性としています。つまり、インターネットは

 ・情報を公開・共有すること
 ・情報を自由に流通させること
 ・情報を誰でも自由に活用すること

そういうことを強く意識した開発目標・時代の文化的雰囲気のもとで作られてきたものです。

 逆にいえば、そういう、自由で平等性の高い、開放的で分散的な本質を持つ現在のIT技術を積極的に活用する「電子政府・電子自治体」が構想できます。インターネットの分散型ネットワークとか、ネットワーク上での平等性といった性格は、じつはとてもよく地方自治の理念に適合するものだと思います。

 現在の電子政府推進の流れは、あまりにも拙速です。「住基ネット」はそのむりが現れている典型的な例にすぎません。つまり「住基ネット」の問題は、自治体の側から「電子政府・電子自治体」のあるべき姿について積極的に考え、取り組んでいくよいチャンスを与えてくれているものと思います。個人情報を集積して本人確認を行うことばかりが、電子政府・電子自治体ではありません。そうした機能とは別の、自治体にとって本質的なことが、現在のIT技術を使って実現できます。

 わたしの発言は以上です。自治体のみなさんの良識あるご判断をお願いします。

●上記は、埼玉県所沢市の「住基ネットを考える所沢市民の会」の所沢市に対する口頭意見陳述(中止請求)においても、補佐人発言として行われ、意見書として同市個人情報保護審査会に提出されています。
(西邑亨)

西東京市における口頭意見陳述発言全文→
住基ネットを考える所沢市民の会→