意見陳述−藤原宏高補佐人

2003.7.10 東京都庁第一本庁舎25階115会議室

漫然と接続を続ける西東京市は、セキュリティ基準、条例、住基法に違反

藤原宏高補佐人(弁護士/日弁連コンピュータ委員会委員長)

 いま私は日本弁護士連合会コンピュータ委員会の委員長ですが、昨年は情報問題対策委員会の幹事ということで、この住基ネット問題を担当してきた一人でございます。

 まず、詳細な情報セキュリティ対策基準とか、住民基本台帳ネットワークセキュリティ対策基準とか、西東京市の条例の条文、全部適示して説明します。

 きょう準備した書面の前に、日本弁護士連合会がなぜ昨年1年間にわたって住民基本台帳ネットワークの問題を指摘してきたかというところを申し上げます。


●明らかに当初の設計が間違っていた

 私が、昨年、個人情報保護法を審議している衆議院の内閣委員会でも参考人として答弁した内容を一部付言しますが、本来、住民基本台帳ネットワークというものは、市町村のCSサーバと都道府県のサーバと、事務依託先の地方自治情報センターのセンターサーバを相互に結び、その中はクーロズドネットワークであって安全であるというふうに設計されたものです。ただし、地方自治情報センターから国の行政機関のサーバに対して情報は提供できる。それが別表記載で「できる」ということになっておりまして、住民基本台帳法自体は市町村のCSサーバ、都道府県のサーバ、それから本人確認情報をもらう行政機関のサーバまでが住民基本台帳法の射程距離になっています。

 本来、セキュリティが十分であれば、この法律だけで完結して、何も問題は起こらないだろうということで設計されております。しかし実際はどうだったかということがだんだんわかってきまして、明らかに当初の設計は間違っていたということになっています。それはどういうことかというと、当然、各市町村のCSサーバは市町村のこれまで従来構築してきた住民台帳システムから本人確認情報をもらって整理して6情報にするわけです。その6情報が都道府県のサーバに送られ、都道府県から地方自治情報センターに送られるという仕組みで、ネットワークとして全部つながっている。それから、今度オンライン化関連3法案によって264事務にまで国の行政機関に提供する情報はふえますから、当然、国の行政機関のサーバも、行政機関側のネットワークと全部つながっているわけです。


●何の関連もない3つの法律のもとで1つのネットワークが運用されている

 したがって、最終的にはこの住民基本台帳ネットワークというものは1つのネットワークではなくて、市町村の従来の住民ネットワークと、住民基本台帳法で構築された住基ネットと言われるネットワーク、それから行政機関の霞が関WANと全部つながっているわけです。

 全部つながっている市町村にもかかわらず、それを所管する法律は3つに分かれています。都道府県市町村は条例しかありません。CSサーバからセンターコンピュータ、それから都道府県のサーバまでが住民基本台帳法です。それから、基本6情報を指定情報処理機関からもらってデータマッチングして行政機関の内部で従来の個人情報を番号管理できるようになっていますが、そこは行政機関の個人情報保護法になるわけです。

 3つにまたがる、何の関連もない法律の中で1つのネットワークが運用されるとどうなるのかというのが、今すべて出てきた問題点なのです。システムを設計した人はその矛盾を当初からわかっていてやったと思いますが、3つのまったく関連のない、脈絡のない、法律、特に地方自治体と政府の間は地方自治の原則があって、地方自治の本旨に従って、その自主性を尊重しなければいけないにもかかわらず、ネットワーク的には強制的に接続させるという仕組みをとって、地方自治体からは住民データを吸い上げる。一方的に吸い上げて、フィードバックはないのであります。そして、それを国が使うというシステムになっているということで、結果として、このシステムは、国民の個人情報の管理だと言われてもしかたないのであります。これについては、国会でちゃんと指摘しましたが、政府の反論はありません。ですから、このレッテルは正しいのだろうと思っています。


●国は全体のセキュリティに責任負うべき

 さらに、日弁連としては、国が全体のセキュリティについて責任を負うべきであるという指摘をしましたが、これも反論はありません。ですから、そうであれば正面切って、国は補助金を地方自治体につぎ込んでもセキュリティを守るべきでありまして、従来は国のネットワークではないのだということで政府は知らん顔をしてきたけれども、結局は、本質が指摘されたことによって、現段階では予算措置をとるということに変わってきたわけです。

 問題は、追記の通り住基ネットに対する認識が変わってきたということが、住基法の解釈、それから条例の解釈、すべてに応じて解釈が変わってきているのだということを申し上げたい。それがきょうの一番のポイントになります。

 つまり、住民基本台帳ネットワークの持っている技術的な脆弱性、それから法律上の欠陥、三つの脈絡のない法律化で、まったく脈絡なく運用される一つのネットワークだということの中でセキュリティの脆弱性。


●ネットワーク化される6情報は個人情報

 それから、最も重要な問題は、実はそれだけはありません。住民基本台帳ネットワークの中身は基本6情報ですが、住民基本台帳によって4情報が公開されているから6情報は個人情報ではないかのような説明が一時されていましたが、これも誤りです。

 すでに判例がありまして、電話帳のデータですら個人情報だ、プライバシーだということで守られるということですから、仮に基本4情報が住民基本台帳の閲覧で見られるとしても、ネットワーク化された6情報が個人情報ではないということはあり得ません。その重要性はいうまでもない。

 それが、行政機関に提供された段階で、6情報でなくなるわけであります。たとえば自動車の登録番号のデータベースは最初に住民票コードが入ると思いますが、地方自治情報センターから一括提供という形でインデックスをもらいます。どういうインデックスかというと、住民票コード、氏名、住所、生年月日をまるごともうらわけです。そのインデックスを自動車の従来のデータベースとマッチングするわけです。そうすると、従来の自動車のデータベースは登録番号と氏名でしか検索できなかったけれども、今度は住民票コードで検索できるようになります。警察が今後照会すれば、住民票コードの照会だけで一発で出てくるということになります。


●電子政府には統一番号が必要というのはウソ

 これは当然でありまして、住基ネットを動かすということは、そういう社会になるということが当然の前提になっています。したがって、国会の政府側の参考人の答弁も、番号管理のどこが悪いんだ、そんなのは情報化社会ではあたりまえだろう、という答弁になっております。

 私は、そこで番号管理がいいか悪いかを議論するものではありません。番号管理をするのであれば、番号管理に必要な処置をとるべきであるというふうに考えているわけです。それは、私のコンピュータ委員会の立場もそうでありまして、番号管理をする以上は乱用されない仕組みを採り入れるべきだということです。結論は、統一番号は要らないのです。統一番号がなくても、電子署名をうまく使うと個人認証はできるのでありまして、統一番号は要りません。住基ネットは非常に設計が古いのです。現段階においてもあえて統一番号にする必要はない。個人認証はできるのでありまして、電子政府に対応するために統一番号が必要だというのはウソです。

 この点も、日弁連は電子署名で対応できるとちゃんと言っていますが、これについての政府側の反論はありません。反論できないのです。つまり、指摘が正しいわけです。しかし、すでにもう作っちゃったじゃないか、膨大な予算をかけたじゃないか、とめられない、というのが昨年の8月の政府の答弁です。欠陥はわかるけれども、ここまでカネかけてつくったじゃないか、というのが政府の答弁です。


●本来、住民の個人情報はどのように管理されるべきなのか

 以上を前提にして、当初の住基ネットの設計、それからその後わかってきたセキュリティの脆弱性の問題、それから法律上の仕組みの欠陥、濫用された場合のおそれ、行政機関の中で個人情報が番号管理される仕組みになっているということをぜんぶ踏まえた上で、本来、住民の個人情報はどのように管理されるべきかという観点で考えなければいけない。そのときに、この話を地方自治体に戻って地方自治体の側から考えるとどういうことになるかということなのです。

 地方自治体は、これまで自分の自治体の中で自分の住民データを一生懸命ちゃんと管理してきた。しかし、漏れたとしても、そのデータはその地方自治体の、西東京市でいけば18万人の情報だけです。1億人からすれば、たかが知れています。しかし、住民基本台帳ネットワークの場合は、漏れると1億人のデータが漏れます。これは現在つながっている──すべてオンラインでつながっていますから、どこの市町村のCSサーバをたたいても、乱用できれば1億人のデータは漏れます。もちろん政府は、これに対してセキュリティがかかっているから漏れるわけはないと言っていますが、CSサーバにある特殊のプログラムを入り込ませて乗っ取らせると、まずできると思います。それは、ウィンドウズ2000でできているからです。そういうおそろしいことは、いとも簡単にできちゃうわけです。そういうことを前提に、本当にどうあるべきなのかというのが、この審査請求のテーマであろうと思っています。

 形式上の政府側の説明ではなくて、住基ネットの本質的なところをちゃんとご理解いただかないと、正しいご判断はいただけないだろうと思います。


●住基ネットと庁内LANは本当に切れているのか?

 それできょうのペーパーのほうに戻っていくわけですが、西東京市の場合も住基ネットのCSサーバというものは、これまで構築された内部の住民台帳管理システムと接続されている。これは間違いない。これが常時接続されているのか、総務省によってストップを食らっている、随時必要なだけ送るという自治体なのかどうかは、僕にはわかりません。ただ、外部に情報公開するHPがすでにありますから、これが専用コンピュータで運用されているとすると、この専用コンピュータは庁内のLANとまず間違いなくつながっていると思います。庁内LANとつながっているとなると、従来の住民台帳システムともどこかでLANでつながっているのではないかという疑いを持っております。もし、これがネットワーク上切断されているというのであれば、証拠を見せていただきたい。

 LANでつながっている限り、間にファイヤーウォールがあろうとなかろうと、それは意味がありません。つながっているかどうかという事実問題としては、つながっていると言わざるを得ないということになります。

 それから、今後、西東京市が電子申請の窓口を開設していけば、当然、各種いろいろな申請をインターネットで受け付けるということになりまして、インターネットに窓口を開くことになります。その窓口は従来の西東京市の中のネットワークとつなげざるを得ません。なぜかというと、データが常時出入りしますから。それをフロッピーでやるなんていったらバカげていますから、成り立たなくなります。そのネットワークと、従来の住民台帳システムとは、本当にLANでつながらないのですか、切ってあるんですか? ということを聞きたい。当然、住民台帳システムがCSサーバとつながり、住基ネットとつながっているということですから。


●自らつくった情報セキュリティ対策基準に違反

 実際の情報セキュリティ対策基準というものを見せていただきました。西東京市のセキュリティ基準の中では、第7章第7節に、こういうくだりがあります。

 「外部ネットワークとの接続」のちょっと前ですが、158条で「伝送路及び回線の監視機能を設ける」とあります。ですから、従来、西東京市では、伝送路、庁内のLANの伝送路及び回線の監視機能を設けなければいけないが、これを外部とつないだときどうなるのか。外部のネットワークの監視機能はできるのか。西東京市のCSサーバを経由して東京都のサーバにつながっているとすれば、そのつながった先について、つながっているわけですから、伝送路及び回線の監視機能を設けることは可能か。これは、みずからできないことを言っているのではないかと思います。

 自分の庁内のネットワークの安全性を考えた規定で、外部とつながったときは脆弱でいいのだと、これだったら何の意味もないわけでしょう。それだったら、切断しろということが正しい選択になるわけです。ですから、外部とつなげる以上、外部に対しても伝送路及び回線の監視機能は、この基準でいけば設けざるを得ません。どうなっているのでしょうか。

 それから161条では、「通信経路の制限」という規定がありまして、「外部ネットワークを経由してアクセス可能な通信経路は,必要最小限度とする」と書いてあります。そうしますと、西東京市のCSサーバは、東京都ないしこれを経由して地方自治情報センターに接続しますが、東京都ないし地方自治情報センターから西東京市のCSサーバには常時アクセスが可能ではないでしょうか。つまり、住基ネットの中では、各自治体のCSサーバは、センターのほうから常時アクセスが可能ではないですか。これに対して、“必要最小限”といえるのでしょうか? という疑問があります。

 それから、最も根本的な疑問は、82条がありまして、「82条で各種情報資源へのアクセス権限者を定める」とあります。では、財団法人地方自治情報センターから、西東京市のCSサーバへのアクセス権限を付与したのでしょうか。アクセス権限を付与したことがないにもかかわらず、地方自治情報センターからアクセスできるということは、82条に違反していませんか。そういう外部提供をしてはいけないのではないですか。したがって、この点で、現在の西東京市の対応はみずからつくった情報セキュリティ対策基準に違反している。違法であります。


●市は安全管理義務として当然に接続先を全部調べるべき

 次の問題は、住民基本台帳ネットワークシステムセキュリティ対策基準です。第3というところで、住基ネットセキュリティ管理者を置き、市民生活部長をもって当てるとあります。では、CSサーバのアクセス権限者がだれかというと、市民生活部長が管理しています。さらに同基準第6の2では、こういうふうに書いてあります。「セキュリティ管理者及び運用責任者は、個人情報の漏えい、滅失及びき損の防止等、個人情報の適切な管理のための必要な処置を講じなければならない」と定めています。

 もしそうだとすると、西東京市のCSサーバに直接接続されている東京都のサーバ、それから東京都のサーバに接続されている東京都内のすべての地方自治体のCSサーバの双方について、住民記録システム等の独立の有無、端末装置の共用の禁止を確認したか。本来そういうことを自分のセキュリティ基準ですべきではないのか。そういうことをしない限り、自分の接続によって、自分の住民のデータが滅失、き損される恐れというものは拭いきれないのではないか。そういう確認をしないで「安全だ」と言うことは、自分の義務を怠っているということそのものではないかという意味です。つまり、「安全」と宣言すれば安全になるのではありません。「安全」と言うためには、安全を検証する手順をちゃんと示し、その手順を実施すれば安全だねということをみんなが認識して、それでやったときに初めて安全と言えるわけです。

 特に総務省が発表している「住民基本台帳ネットワーク及びそれに接続している既設ネットワークに関する調査検討結果」によりますと、2割程度の団体でアクセスログの管理体制の整備が必要だというふうに指摘されています。だから、公開されているデータは、住基ネットに接続されている自治体は、非常にずさんだということは公知の事実であります。それであれば、ここにつなげている西東京市は、自分の住民のプライバシーを守るために安全管理義務として自分のセキュリティ基準上、当然に接続先を全部調べるべきではないか。つまり、セキュリティに対して危惧をするような状況が全然なければ注意義務は発生しないが、現在これだけ危険だという証拠がいっぱい出ている中で漫然としているのは、明らかに自分のセキュリティ基準違反であると言わざるを得ない。


●問題を認識しながら適切な管理を怠っている市

 他方、長野県が行った調査では、長野県ですら120の自治体のうち70%が住基ネットを内部のネットワークとして接続している。そして、24%の自治体がインターネット利用のある庁内LANと接続しているということですから、どうして東京都はそういう調査をしないのか。まったく理解できません。

 それから、西東京市自身は自分が外部に情報を公開するHPを持っていますから、これと専用CSサーバがLANで経由されているとすれば、外部からハッキングされる危険があるわけです。外部から自分のCSサーバをハッキングされると、盗まれるのは自分の住民のデータのみではありません。そこからセンターコンピュータに入って、全国民のデータが盗まれちゃう恐れがあるわけです。

 そういう問題があるということが、平成13(2001)年10月11日に開催された西東京市の電算組織の外部接続等に対する検討部会で討議され指摘されているわけです。ですから、市はちゃんとそういう問題を認識していながら、その後、このリスクを十分回避する手だてもなく接続しているのではないか。少なくとも公開された資料、情報公開によって得られた資料からすると、市は十分このリスクを検討して回避できるというふうに確認して接続したとはとうてい思えない。それは、まさに先ほどのセキュリティ対策基準の責任者による適切な管理を怠っているというそのものではないか。


●3300の自治体を徹底的に調査して初めて安全が確認できる

 もう1回総務省の発表に戻りますが、総務省の発表の中でも、「住基ネットのセキュリティ体制・規程等について概ね整いつつあるが1割程度の団体が未整備」だと。しかし、1割未整備だから問題がないということではなくて、1割未整備なところのどこかをつつけば、ごっそり1億人のデータが漏れてしまうということですから、1割は意味がないのです。ゼロ%でなければダメなのです。もしそういうことであれば、少なくとも西東京市にとっては、自分の市民の情報がほかの自治体から漏れてしまうことを危惧するのは当然のことであります。

 そうすると、こういう危険性をちゃんと確認して、問題がないかということを調査すべきではないでしょうか。調査ができないのだったら、「今の段階ではネットワークはつながない」という選択しかないのです。確認できないのだから。安全だと言えば安全になるものではありません。つないだときに、ほかの3300の自治体が本当に安全かどうかということを最後まで調査して徹底して、全部大丈夫だということを確認して初めてつなぐべきではないでしょうか。したがって、現段階で離脱しないで漫然としているということ自体、自分のセキュリティ対策基準に違反するものであると考えます。


●東京都自身が住基法に違反している

 それから、住民基本台帳法自体も、30条の29という規定を設けています。「都道府県知事又は指定情報処理機関が第三十条の五第1項又は第三十の十一第一項の規定による通知に係る本人確認情報の電子計算機処理等を行うに当たっては、当該都道府県知事又は指定情報処理機関は、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のために必要な措置を講じなければならない」と規定している。そうすると、これだけ地方自治体がずさんだと言われていることがわかっているわけだから、今の段階で東京都が、東京都と接続している地方自治体に対する安全性の調査を実施していないとすると、東京都自身が30条の29に違反しているのではないか。つまり、東京都自身が住民基本台帳法違反ではないかと思います。係る住民基本台帳法に違反している東京都に対して、CSサーバの接続を拒否しない西東京市、これもみずから36条2に定める必要な処置を怠っているのではないかと思います。

 以上の点で、西東京市は、みずからつくったセキュリティ対策基準にそれぞれ違反し、それから住民基本台帳法にも違反する。それから、現段階で配下の地方自治体に対して調査を実施していない、指導監督もしていないか東京都自身も住民基本台帳法に違反していると言わざるを得ない。


●西東京市には必要な措置を講じる条例上の義務がある

 それから、さらに条例があります。西東京市の個人情報保護条例は、10条第4項では、個人情報を法令により外部提供する場合でも、「個人情報の目的もしくは使用方法制限その他の必要な条件を付し、又はその適正な取扱いについて必要な措置を講ずることを設けなければならない」となっています。したがって、漫然と住基ネットに接続している西東京市自身は、みずからの条例に違反しています。このネットワークによってどういう目的で個人情報が使われるんですかということをちゃんと調べなければいけない。制限は付せるとなっているわけです。必要な措置を講ずることを求めなければならないというのは義務であります。

 その義務として具体的にどういうことが要求されるのかというと、これだけセキュリティに穴があることがわかった現段階では、少なくとも東京都に対して問い合わせをすべきです。何を東京都に問い合わせるかというと、基本6情報の使用目的。当然、東京都は自分で答えられません。これを使う行政機関に聞かなければいけません。つまり、264事務についてそれぞれの行政機関に対してどういう使い方をするんですか、どういうデータの使い方をするんですか、データマッチングをどうやってやるのですかと聞くべきです。それを市町村に戻すべきです。それによって初めて住民データを提供する市町村は、われわれの住民データはこういう使われ方をするのだということがわかるわけです。これが条例の要求でしょう。

 2番目は、東京都には、地方自治体に対する実態調査を実施すべきだし、セキュリティレベルを確認すべきです。ですから、東京都に対してまずそういうことをやってもらいたいと要求すべきです。これは条例の要求事項だろうと思うわけです。

 さらに、東京都に対して、地方自治情報センターに、行政機関に対する提供内容、そのセキュリティ状況を調査しろと、つまり地方自治情報センターが情報提供する各行政機関に対してセキュリティレベルがどうなっているのかということを地方自治情報センターに問い合わせをさせるべきではないかということです。東京都が地方自治情報センターに、行政機関に問い合わせをさせるべきではないか。もちろん、答えるか答えないかは別問題ですが、少なくともそういう手順を踏んで安全性を確認すべきではないかと考えるわけです。

 最終的には、東京都に対してそれらの調査をやった上で、初めて住基ネットは安全かどうかを確認してもらうということが必要ではないか。つまり、西東京市は自分の中しかわからないわけですから、東京都に出してしまったものは東京都に聞くしかないわけです。ですから、東京都は東京都の責任で調査できるわけですから、東京都の調査結果に基づいて、現段階で住基ネットは安全かどうかをちゃんと確認してもらうべきでしょう。これが条例の要求事項でしょうというふうに考えます。それをやらないということは、西東京市自身、自分の条例に反しているというふうに言わざるを得ない。

 以上の内容を総合すると、西東京市というものは、みずから住民基本台帳法36条の2に違反している。東京都も、住民基本台帳法30条の29の義務に違反している。それから、西東京市は、セキュリティ基準、条例に違反している。このような違法な状態の中で西東京市が住基ネットと接続するということは、これも違法である。だから、ただちに離脱すべきです。漫然と、離脱しないで住民に住民票コードを付与し、さらに漫然と東京都に基本6情報を通知するという処分は、いずれも違法であると言わざるを得ない。終わります。