東京都/ 西東京市/ 異議申立・住民基本台帳法・セキュリティ問題・公共事業
20030106-67
2002年12月13日 西東京市・行政不服審査法による口頭意見陳述の記録
自己情報のコントロールは情報通信技術の前提
このページへの投稿 →
|
◆反住基ネット ニュース ライブラリー
Report 東京都/ 西東京市/ 異議申立・住民基本台帳法・セキュリティ問題・公共事業 20030106-67
2002年12月13日 西東京市・行政不服審査法による口頭意見陳述の記録 自己情報のコントロールは情報通信技術の前提
このページへの投稿 →
|
|
◆西東京市・行政不服審査法による口頭意見陳述の記録
_____________________
●住基ネットは古典的な中央集権型ネットワーク 私は、仕事上の関心もありまして、かなり早い時期に住基ネットの基本設計書を見る機会がありました。そのときに、ネットワーク概念図というのを見まして、はっきりいえば、大変驚いたわけです。 現場のみなさんはすでにご存じのように、これは3段階の三角形構造、中央集中型の構造をしております。市区町村があって、都道府県があって、トップレベルに地方自治情報センターのサーバーがある。実際には、この上に、オーバートップレベルとして霞が関WANがあり、そこまでを含めて住基ネットのシステムだと理解しています。 ともかくこの三角形構造というのは、非常に古いわけです。技術屋さんの世界では「マスター・スレーブ型」と普通にいわれているネットワーク概念で、ネットワーク技術の教科書にも書かれています。特別なスラングとか俗称ではありません。 とにかく古い。80年代に一般的に使われていた技術、ネットワーク概念が採用されております。 その後、総合行政ネットワークシステムの概念図も拝見しましたが、全く同じ構造をしている。住基ネットと総合行政ネットワークシステムというのは別のものとされているけれども、全く同じ構造をしております。あきれたというのが正直なところです。 あきれると同時に、すごく納得いったなと思ったのは、地方行政というのでしょうか――国と自治体がやっている地域に対する行政を、うまくネットワークをつないでやっていこうと思ったら、こういうやり方が一番やりやすいんだろうな、効率的なんだろうなという感じは受けています。つまり、電子政府とか電子自治体とかいうことについては何も考えないで、現在のやり方をそのまま反映したらこうなった。とりあえず、僕はそう理解しています。 ●本当に古い技術だけなら問題は少ないが 実際の問題としまして、技術的にいえば、本当に古いネットワークそのものを使うならば、そのほうがずっと問題が少なかっただろう、というふうに技術者はよくいいます。 ・たった1台のコンピューターにすべての情報を集めます。 そして、ここがポイントですが、大型コンピューターのことをメインフレームといいますけれども、そのメインフレーム時代のかなり重要な運用の原則は、 ・情報を独占することによる利益が最大になるような 少なくとも商業レベルではそうです。というか、マスタースレーブ型ネットワークの技術は、情報の中央集中、独占利用に適した技術として作られているわけです。 そういう使い方をすれば、セキュリティ問題というのはかなり少なくなるでしょう。全部とはいいませんが、相当少なくなるはずです。もちろん、情報の独占の利益は最大限追求するわけですから、中途半端なことはしない。 ところが、住基ネットというのは、そういう形でつくろうとしたら、現在いわれているコストのおそらく10倍では足りない。2ケタか3ケタ高いコストがかかっちゃうだろう。なぜかというと、全部そういうふうにやろうと思ったら、あらゆる技術・器械を特注しなきゃならない。軽く2ケタ、3ケタ高いコストがかかってしまうだろうと思うんです。 ●大昔のシステムを、最新技術で作っている 住基ネットのシステム全体は、今いいましたように、基本的にはマスタースレーブ型、中央集中型の、メインフレーム時代のネットワーク概念で設計されています。しかし実際にそこで使われている要素技術は、非常にインターネット的です。つまり、分散処理やクライアントサーバー型の技術を、大昔の三角形構造、中央集中型ネットワークで使っている。 非常に閉鎖的な外見を持っているにもかかわらず、住基ネットやそこに蓄積されている情報は、パソコンとかインターネットという、住基ネットとはきわめて親和性の高い技術――普通に普及している開放型・分散処理型のコンピューターの技術に周囲をびっしりと取り囲まれているわけです。 最新の要素技術を使っているために、情報を秘密にしておくというための環境としては、きわめて劣悪です。要するに、フロッピーを入れてコピーしちゃえば、情報を取り出して、外のコンピューターで使えちゃう。そういう環境です。フロッピーは使えない、特殊な記録媒体しか使えませんよというんだったら、まだよかった。 それから、データーのなかみにしても、文字コードに国際標準のJISコードをなどを使っています。現場のみなさんは、名前に使う外字の問題で文字コードをずいぶん議論されたと聞いていますが、全く独自の文字コードを使ったら、それだけで暗号効果はかなり高い。これは必ず解かれちゃうけれども、セキュリティを高めるということでは意味がある。 でも、そういうことをやろうと思ったら、たぶん数ケタ高いコストを払わなきゃいけない。 だから、パソコンを使い、インターネットの技術を使う……IP‐VPNということばをよく聞きますが、こういう仮想専用線を使っているというのもインターネットの技術です。 ●「完全なセキュリティ」は保障できないことが前提 技術的にいうと、最新の情報通信技術というのは「万全のセキュリティを確保することはできない」という自己認識、前提を持っています。 情報は、破壊されたり、改変されたり、コピーされたり、漏洩したりしてしまいます。常にそういう可能性があります。それから、際限なくコピーを繰り返されちゃう。どこへ行ったかわからなくなる。ネットワークには、侵入される可能性が常にある。 イタチごっこなんです。セキュリティホールがあるという話をよく聞きます。それをつぶす。つぶすとまた新しい穴をだれかがを見つける。またつぶす。つぶしているうちに、つぶすために入れたプログラムがまたセキュリティホールになっていたりということもあり得る。 そういう可能性は否定できない。これがまずセキュリティ技術の第一の認識・前提です。 現代の情報通信技術は、そういうことを事実として認識した上で、それに対抗する技術を含めて構築されてきたんです。まず、そういうふうに理解してください。僕は技術者じゃないから、こういう言い方はちょっと僣越かもしれないんですが、僕はそう思っています。 政府がいっているように、「セキュリティは万全の対策をとっているから大丈夫だよ」ということを、技術屋さんはいいません。大昔の技術屋さんはいったかもしれない。つまり、さっきいいましたメインフレームの時代です。しかし、そのとき、もうすでにこれが幻想にすぎないことは明らかだったんです。情報はどんどん漏れたわけです。実際に事故が起こったわけです。それを反省して、やっぱりそうじゃない、セキュリティを考える上では、漏れるという可能性を踏まえなかったら、技術屋として責任を持って考えることができない。そうやって今の技術はつくられてきたんです。 ●セキュリティ技術の課題は「事故防止」と「危機管理」 セキュリティの確保ということについて少し整理しますと、2つの課題があります。1つ目は、 ・情報の破壊や漏洩などの発生をできるだけ防止する。 これは普通にいうセキュリティです。もう1つは、 ・侵入や漏洩、事故などが発生したら、その被害を 「危機管理」です。 現場のみなさんにとってはおさらいの話になりますが、システムやネットワークに対して外からの接続をできるだけ少なくする、あるいは制限する。だれはいいよ、だれはダメだよ、この機械はいいよ、この機械はダメだよと制限する。それから、積極的に接続するということであれば、ファイアーウォールとかプロキシサーバーとかいうものを使って外につなぐ。そういう防御的な技術はたくさんあります。 ●事故原因の70%は人的な要因 住基ネットもそういう防御的な技術をたくさん使っています。そこにおカネがかかります。 そう考えるのはつらいかもしれませんが、現実だと思ったほうがいいです。技術屋さんもそう思っています。自分たちの技術は完璧じゃないよ、と。だったら、現場で運用する方も、自分たちの現場は完璧じゃないよという前提に立ってものを考えたほうが正しい。 そういう意味で、マンファクターによって起こった住基ネットのセキュリティ事故がすでに発生しているのを、皆さん認識しているでしょうか? 例のハガキの事件ですね。透けて見えるというやつ。 ●「透けるハガキ」はすでにセキュリティ事故 透けて見えないハガキなどを選択した自治体がありますね。そこではこの問題は起こっていません。ところが、透けて見えるハガキを使ってしまったところは、漏洩しているわけです。現に見えるんだもの。 だれもそれで被害は受けていないと政府はいっているようですが、これは100年、尾を引きますよ。ハガキの通知を受けた人でいま一番若い人が、全員いなくなる、番号も全部変わるというのに100年ぐらいかかる。その間、「住基ネット」の利用事務は急速に拡大されて行くわけですが、その間この漏洩は全部、尾を引いていきます。 そういうわけで、個人情報はすでに大量に漏れている、あるいは漏れていると考えて対策を立てるべき状況にあります。 つまり、マンファクターといっても、だれかが盗んで持っていっちゃうとか、そういうものだけじゃないんです。「透けて見えるハガキを使うか使わないか」によって事故が起きる、あるいは防止される。そういう判断もマンファクターに含まれる。 どんなシステムでも、プリントアウトした書類とか、システムを操作するために表示した画面などの、いわゆるインターフェイス部分は、セキュリティ的に脆弱です。 画面はよそから見られる。まぁ、画面の向きを工夫すればそれは防げるかもしれません。また、いくら画面を出してもその情報自体のコピーはとれないようになっているとおっしゃるかもしれません。しかしたとえばプリントスクリーンというキーがキーボード上にありますね。コントロールキーを押しながらこのキーを押すと、メモリー上に画面がバンと残るから、それを画像処理用プログラムなら何でもいいんだけど、そこへペタッと貼って保存してやれば、画面はそのまま残ります。だから、いくらでもコピーがとれちゃうわけです。 私たちの仲間でよく話をするのは、あいまい検索のときに、何十人、何百人と出てきちゃう。いっぱい出てきちゃうから問題ないじゃないか、いちいち手で書くのは不可能だよ……。でもあれは、画面のコピーをとっちゃって、それを文字認識ソフトにポンと入れてやれば、ほとんどの文字がテキスファイルに保存されます。そういう使い方はいくらでもできちゃうんです。 それは、さっきいいました親和性の高い技術に取り囲まれているという環境の問題ですが、もう一方では、システム全体のセキュリティ強度は、そのもっとも脆弱な部分の強度で評価さる必要がある、という問題でもあります。最もセキュリティ的に脆弱な部分のひとつは、明らかにシステムと人間、あるいは器械と人間の接点の部分、インターフェイスの部分です。 ●情報はできる限り分散する そういう意味で、住基ネットの情報はすでに漏れているなというふうに僕は理解しています。それに対してどういうふうに考えていったらいいのか。 たとえば政府は、マンファクターの問題でいえば、罰則を強化したという言い訳をします。それしかいわないんですけれど、やっぱり情報は漏れちゃうんです。どうしたらいいか。現在の情報通信技術では、いろんな方法が採用されているんですが、たとえば ・1ヵ所に蓄積する情報をできるだけ少なくする ということです。大量の情報は、それが発生した場所に一番近い複数のサーバーに分散して保存しておけばいい。 1ヵ所に集めて強固にこれを守る、徹底的に守りきる、という考え方は、技術的にはナンセンスです。守れない。 で、自分の持っていない情報が必要ならば、ネットワークで問い合わせればいいというのが基本的にあるわけですよね。それがインターネットの便利さですから。だとすれば、情報を大量に蓄積する必要はもともとない。 住基ネットは、そういう点でも非常に古典的といいますか、コンピューターの世界ではよくいうんですが、5年前は大昔ですから、もはやこれは古代的な技術なんです。 情報を分散しておきますと、1ヵ所で侵入、漏洩が発生しても、あるいは火災や地震で情報が壊れても、対応をちゃんとやれば被害は局限できるわけです。ところが、地方自治情報センターのあのサーバーには全国民のデータがあるわけですので、そこ1ヵ所をやれば、得られる情報は最大限です。ということは、それを売り払えば得られる利益は最大限です。住基ネットのセキュリティを破ろうという動機も最大限になるんです。 清水弁護士のお仲間の伊藤穰一さんのお話に出てきたんですが、ちょっとした気のきいた技術者を1ヵ月雇えば、どんなにプロテクトのきついシステムでも、ネットワークに何らかの形でつながっていれば必ず入れる。1人の技術者を雇うのに100万とか200万あれば1ヵ月拘束できますよね。そのぐらいでできちゃう。やろうと思えばできちゃう。 もちろん、やる人がいるかどうかは別ですよ。これで捕まって一生を棒に振るほどの冒険をする人がいるかどうかは別です。実際、今までだれもセキュリティを破っていないというふうに政府はいっていますから。気がついていないんじゃないかという気もするんですが(笑)、とりあえずあれはヤバそうだからしばらく様子を見よう、というふうに個人情報の闇市場の方たちは考えているのかな。そのうちやるかもしれません。 ともかく、そういうふうに1ヵ所に集めるということは、狙うという動機づけをとっても強くしているわけです。逆にいいますと、情報を分散するというのは、セキュリティ被害を最小にするだけでなくて、狙われにくくするという効果が非常に大きい。 つまり、漏れるとか狙われるとかいうことを前提にモノを考えようとしたら、できるだけいろんな手段を使って狙われにくくするとか、被害を小さくする。そういうことを技術者はいま、一生懸命考えている。防御的な手段・技術と同時に、そういうことも一生懸命考えているわけです。 分散するために、分散したデータを効率よく問いあわせて活用するにはどうしたらいいか。これはインターネットの基本技術ですから、そんなものはすでにあるんですけれども、そういう技術を含めて、情報通信の技術屋さんはいっぱい研究、開発しているんだというふうに理解してほしいんです。 ●責任者を明確にすることも必須 もうひとつ、セキュリティ事故に対する責任ということを指摘しておきたいんですが、これもセキュリティを考える上では非常に重要なことです。 システムの運用者・管理者の責任を明確にする。たとえば、被害が発生した場合の補償や原状回復を現場の皆さん考えると思うんですね。その責任をはっきりさせておいたら、恐らく、自分が管理する個人情報の数を減らすとか、少なくとも分散するとかいうことはやりますよね。常識的な責任者・管理者であれば。 それが今の住基ネットではできないわけです。 住基ネットは、セキュリティ上の責任が最終的にだれにあるのかが非常に曖昧だという話をよく聞きます。これはとっても危険な状態なんです。 くりかえしますが、セキュリティを向上させるためにきわめて有効な方法のひとつは、被害発生時の補償や原状回復の責任をだれがとるかということを明確にすることです。法的な責任とか何とかとは関係なく、セキュリティ技術というのは実は一方ではそういう技術なんです。 現在の情報通信技術は、こういうシステムの運用者・管理者の責任を前提にしなければ、成り立たないという部分があるわけですね。技術屋さんは、技術は完璧なセキュリティを保障しているとは絶対いいません。こういうふうにすればこういうセキュリティの強度が得られますよ、とまではいいます。それをどう運用するかは皆さんの仕事ですよ、といって責任者に渡すわけです。 ●「自己情報のコントロール」も情報通信技術の前提 もうひとつあります。セキュリティを考える上で、これも情報通信技術の前提ですが、当事者による個人情報のコントロールということがあります。これは権利の問題として議論されていましたけれども、そうした基本的人権とか法制度とは別に、技術の側からいえばこれは論理として当然のこと、当たり前の前提なんです。 何回もいいますけれども、技術屋さんは、セキュリティは完璧であるとはいってないわけです。完全なセキュリティを保障していません。そうすると、その技術を使ってサービスを提供しますよといったときに、そのサービスを受ける側はだれを信用するか。どこの市町村は信用できるけど、どこの市町村は信用できないとか、どこの企業が信用できるか、どこの企業が信用できないのか。自分は、あそこは少し信用するから、ここまでは使っていいよ、利用目的としてここまではいいよ、だけどそれ以上のことに使っちゃダメだよとか、あるいは、国は信用できないから、国には提供しないとか。 住基ネットが稼動しはじめた8月に、結構大きなパニック的な全国の動きがありました。これは明らかに国に対する不信です。僕はそう受け取っています。 サービスを提供してくれるというけれども、それに対して、自分の情報をどうコントロールするかというとは自分たちでやるよ、国には個人情報を提供しないよ、と国民はいったわけです。 そういうものがなければ、現在の情報通信技術というのは実は成り立たないんだということを、ひとつお考えになっておいていただきたいと思います。 現在の日本の政治的な状況ということでいえば、住基ネットに限らず、当事者による自己情報のコントロールはまだ十分じゃありません。受け入れられていない部分が相当あります。 でも、とてもすぐれた個人情報保護条例をお持ちになっている地方自治体はたくさんあるわけで、僕は、地方ってすごいなって思うんです。 それに対して国の個人情報保護法案を見ていると、あるいは住基ネットのやり方なんかを見ていると、正直いって、国から地方自治体に対する反撃が起こっているのかなという印象を受けます。 これに限らず、介護保険の問題でも自治体のほうが進んでいて、それで厚生省から反撃を受けているという印象を受けたときもあったんですが、自治体は、そういう意味で重要なポイントにいるということをここでも感じました。 ●現在の政府の技術政策は、日本の情報通信技術を歪めている ともかく政府のやり方というのは、特に「電子政府・e‐Japan構想」あたり、非常に古い考え方を採用しているか、意図的にこの問題を無視しているように私には見えます。 ちょっと話はずれますが、日本の政府のIT政策というのは、日本のエレクトロニクスメーカーが蓄積している情報通信技術を歪めているんじゃないかなというふうに非常に不安に感じています。 つまり、当事者による自己情報のコントロールという考え方をシステムの中にどうやって取り入れたらいいかということを、研究したり、技術開発したりして経験していく。現場の開発者にとって、経験するというのはすごく大事なわけですね。それが技術の蓄積になるわけですけれども、そういうチャンスがすごく少ないだろうなと思います。 そうやって歪められた技術でメーカーは製品をつくっていて、もう一方では、そのかわりに防御的な技術に過剰に資金を投入しているという印象を受けます。 住基ネットがインターネット的である要素として、みなさんがお使いのパソコン、つまりクライアントが都道府県や地方自治情報センターのサーバーにあるデータベースを使ってサービスを受けるということがあります。ところが、住基ネットにはインターネットにない部分があります。それは何かというと、住基ネットでは、あるデータベースが、上位のデータベースである、あるいは下位のデータベースである、という構造を持っています。市町村まで含めれば3段階ある。 上位のデータベースは必ず下位のデータベースの持ってい情報をすべて持っているんです。しかし、下位のデータベースは上位のデータベースの持っている情報を一部しか持っていない。そういう関係は、インターネットの中では基本的にあり得ない。もちろん、現実にはあるんですが、概念としてはない。 なぜあんな不思議なものをつくったのかといろんな技術者から聞かれるんですが、僕もわからない。 やっぱりハコモノじゃないかというのが一番大きいです。ハコモノを、地方自治情報センターにバーンと入れる。でも実は要らないんです。あのネットワークを使えば、霞が関WANから先は各市町村に全部問い合わせをすれば、それですむんです。 ●IT技術の平等性・開放性は地方自治の理念にマッチしている いろいろ羅列的に話をさせていただきましたが、話し続ければ3時間ぐらい、いくらでもやるんですけれども(笑)、ちょっと整理してみれば、現在の政府が全国の自治体を巻き込んで進めている電子政府・電子自治体の推進というのは、政府の情報通信技術に対する理解が非常に歪んでいるために、はっきりいっちゃえばシカトしている部分があるために、きわめて危険なシステムを生み出しているんだというふうに思います。 現在の情報技術通信の中心にあるインターネットというのは、実は、情報を隠すということがすごく下手です。得意じゃありません。要するに、インターネットの技術というのは逆なんです。 ・情報を公開・共有する そういうことを強く意識して開発目標が立てられた。その開発目標を支えたのは、アメリカの特に西海岸のベトナム反戦運動とか公民権運動の時代です。そういう文化的、歴史的、社会的なある種の雰囲気の中でインターネットというのはつくられてきたということが一方にあるわけですね。これもしゃべりだすと3時間ぐらいになっちゃうんですけれども(笑)。 最新のIT技術の持っている自由とか平等性とか開放性とか分散処理というものは、実は地方自治の理念にすごくマッチしている部分を持っています。そういうものを活用するという形で電子政府・電子自治体が構想できます。民主党が、住基ネットがなくたって電子政府はつくれるよという修正案をこの間の国会で出しましたね。僕もそう思います。 現在の電子政府の流れはすごく拙速だと思います。この辺で、ちょっと待てよ、っていうふうにしたほうがいいと思うんです。住基ネットというのはそれが典型的にあらわれている例だと思います。 逆にいうと、住基ネットの問題は、自治体の側から、電子政府とか電子自治体のあるべき姿について考えていく、すごくいいチャンスを与えてくれていると思うんです。「そんな余裕ないよ」と現場の方はおっしゃるかもしれないんですけど、個人情報を集積して本人確認を行うことばかりが電子政府じゃない。 5、6年前、当時の総務庁は、電子政府の中心軸は何かといったら、情報公開だといっていたんです。私は、仕事で取材に行ったことがありますが、そういうことをはっきりいっています。政府もしっかりやってるんだな、とそのときは思いました。コロッと変わったわけです。情報を開く方向に動いていたのが、いまでは情報を閉じる方向に動いています。 住基ネットの話、個別の話じゃなくなってしまって大変申し訳ないんですけれども、自治体にとって、こういう最新のIT技術の一番本質的な部分をちゃんと活用するということを考えることが、これからの日本の地方自治を考える上で、すごく有効な情報、手段を提供してくれると思っています。 そういう枠組みの中で、今回の住基ネットの問題について、ぜひ良識あるご判断をしていただきたいということをお願いして、私の発言を終わります。 西東京市・行政不服審査法による口頭意見陳述の記録→  自治体の自主的判断を求めた口頭陳述→
|