意見陳述−西邑亨補佐人

2003.7.10 東京都庁第一本庁舎25階115会議室

西東京市のセキュリティポリシーには重大な欠陥がある

西邑亨補佐人(テクニカルライター)

 私は技術者ではありませんが、企業向けシステムなどのマニュアルを書く仕事をしていたものですから技術情報に接する機会がわりと多いということで、反論書の比較的技術系寄りの部分についてお手伝いをさせていただいたという立場です。

 反論書が大筋まとまった段階で、2点ほど、どうもよくわからないから少し補足しておいたほうがいいなという問題が出てきました。1つは、住基ネットにおけるセキュリティ確保の手法について、もう1つは、西東京市のセキュリティポリシーが持っている問題についてです。

 意見書にもまとめてありますが、どうもこの2点については私自身もはっきりしない部分があるので、口頭で説明をさせていただきます。


●住基ネットのセキュリティ強度は「甘くてもいい」という判断があるのでは?

 まず、セキュリティの確保の手法についてですが、この問題は昨年8月からずっと気になっていたことです。

 まず昨年8月、「住民票コード通知が透けて見える」ということで、全国で大騒ぎになりました。そのとき、住基ネットのセキュリティは相当甘くていいんだという判断がどこかにあるのではないかという疑問を感じたわけです。

 (02年)8月18日だったと思いますが、毎日新聞が、住基ネットは200自治体ぐらいでインターネットに接続していると総務省が発表したという報道をしています。総務省は「就業時間中は接続を切っておき、就業時間後の短時間だけつなぐ、それで転入などを都道府県に通知するようお願いしています」という説明をしておりまして、個々でもやはり、セキュリティについては甘くていいのだという判断がどこかにありました。この判断の根拠はどこにあるのだろうということをずっと疑問に思っていたわけです。

 総務省の発言など見ていますと、住基ネットにのっかっているのは「本人確認4情報」であるという言い方をよくします。西東京市の方もそうですが、住民票コードの存在を忘れているわけです。ということは、当初、住民票コードは世の中に流通していいというイメージを持っていたのではないか。「4情報」だけインターネットとは別のネットワークでとり扱うのだから、セキュリティはあまり厳しくしなくていいよ、という基本的な発想がどこかにあるのではないかと感じます。

 しかし、総務省としては、どうも様々な経過から「甘くていい」とはなかなか言えない。ちゃんとしたセキュリティを考えましょうということで、形式をととのえるという形になってきているのだろうと思います。


●住基ネット推進協の「統一性、均質性」という方針

 いろいろ調べてみますと、住基ネットワークシステム推進協議会がセキュリティの「基本方針書」というのを出していまして、そこで、住基ネットのセキュリティを考える上での基本の理念として、「統一性及び均質性等を確保」してやっていくのだ、ということを言っています。住民が行なった各地自治体への質問に対する回答などにも、「セキュリティは統一的、均質的にやっています」ということを書いている自治体がありまして、どうもこの文書を作成した「住基ネット推進協」あたりがセキュリティ強度についての判断をしているのだな、という印象を受けています。

 もちろん、この文書は基本理念だけを書いた短いものでして、具体的な中身は、「住民基本台帳ネットワークシステムのセキュリティ対策に関する指針」という文書として2002年6月10日に住基ネット推進協で決定されているそうです。こちらの文書は公開流布されてはいないようで、私は見ていません。ただし、内容のごく一部がIT戦略本部のホームページ上で公開されているので、その存在は確認されています。公開された部分には、外部発注時の契約書のひな型のような非常に具体的なセキュリティ規準が書かれていまして、この文書にはかなり具体的なことが書かれているのだな、というふうに了解はしているところです。


●西東京市は住基ネット推進協の統一方針に従ったのか?

 ところが処分庁は、この規準に従って自分たちのセキュリティ基準をつくったとは一言も言っていません。(西東京市による)弁明書の「(8)4の(5)について」は、制度面、システム面、運用面での保護措置を講じたとしか言っていません。

 ということは、2つのことが考えられるわけです。1つは、この住基ネット推進協の基準に従わずに、西東京市は独自の判断でセキュリティ基準をつくって、それを適用して住基ネットに接続したということになります。もしそうであるならば、住基ネットの全体的な基本方針である、セキュリティの基本的な理念であるところの統一性及び均質性が損なわれているはずです。したがって、西東京市が接続している住基ネットのセキュリティは、きわめておかしな状態になって破綻しているというふうに考える重大な根拠があるということになります。そうすると、西東京市の市民が行った本件請求には十分な根拠があるということになります。

 また、処分庁が、住基ネット推進協の方針に従ってその基準どおりやっているんですよというのであれば、そのように釈明をしてほしいと思います。そのときに、西東京市がこの統一規準として示された規準がどのような理由で実効的なセキュリティ確保ができるものと判断したのか? 西東京市の判断をお聞きしたいと思います。


●住基ネット推進協の統一方針は現実的ではない

 いずれにしても、3000余りの多数にのぼる市町村および都道府県のサブシステム、それから霞が関WANの中を通じて264の国の事務で使うということですから、264事務のそれぞれにサブシステムが参照する。あわせて4000まではいかないかもしれませんが、それくらいの数のサブシステムが接続するきわめて大規模なネットワークになります。そのうえ、それぞれのサブシステムの運営主体は、国の機関であったりあるいは自治体であったりする。「国」という単一の機関ではないわけです。

 こういうきわめて多数のサブシステムシステム(運営主体)が接続するネットワークシステムでは、「統一性及び均質性」という形でのセキュリティ確保はすごくやりにくい。そのことは技術的、経験的にすでにわかっていることです。

 旧来の大型コンピュータの時代に、ネットワークシステム全体を単一の運営主体が運営していて、それも非常に統一のとれた形で構築・運営ができるという環境があって初めて、この方針は多少なりとも有効性が出てくるだろうというふうに考えられていたものだというふうに私は理解しています。

 ともかく、接続している自治体の人口や処理情報の量、資金力みたいなもの、情報リテラシーとかシステムの運用能力、セキュリティに関する知識・能力といったものは非常にばらばらですので、技術がある程度わかっているのであれば、こういう基本方針を採用することは非常に危険であるとすぐにわかるのです。そのへんについては、本件の反論書の本文でも指摘しております。


●処分庁は住基ネットのセキュリティ確保の手法がきわめて危険であることに気づかなかった

 多数にのぼるサブシステムの運用者が接続するネットワークに、それぞれの運用者が独自の判断基準に基づいてセキュリティ対策を実施してネットワークに接続することは、技術的にはナンセンスです。しかし、単一の規準をすべての運用者に強制するような、住基ネット推進協のやり方もナンセンスです。

 一般には、国際的なセキュリティ基準が広く採用されており、民間企業などの場合、それに基づいてサブシステムそれぞれが認証を受けて、サブシステム間でその認証をお互いに開示し合い通知し合うことによって信頼関係をつくって、じゃあ接続しましょうという話になってくる。それが標準的なやり方です。

 現在構築が進められているもうひとつの自治体ネットワークシステムであるLGWAN(地方公共団体向け総合行政ネットワーク)では、「準備の整った自治体から順に接続する」という方針です。それが国際基準に基づく信頼関係の構築という手続であるかどうかについては、今ここでは触れるつもりはありません。

 ともかく、住基ネットでは「準備の整ったところから接続する」のではなくて、みんなでいっせいにワッとやる、均質的・統一的ということでいっせいに接続しようとした。それがうまくいかないということは、技術的に見てはっきりわかることです。

 いずれにしても、処分庁がこの問題についてこのような危険な手法が採用されたことといいますか、住基ネット推進協のようなきわめて危ない方法が採用されたこと、あるいは国際的なセキュリティ規準に基づく認証などをベースとした相互信頼関係にもとづいて接続していくという一般的な方法、より堅実と言われている方法が採用されなかったこと、その2つの危険性に処分庁はいち早く気づくべきだったと思います。それに気づかないで放置したというのは、やはり住基法36条2の安全保護義務を怠ったということであって、審査請求人の請求には十分な根拠があると思います。


●西東京市の「セキュリティポリシー」の持つ問題

 2番目に西東京市のセキュリティポリシーについてですが、確かにほかの市町村のセキュリティポリシーに比べればかなり具体的に書かれている項目もあります。多少はましかなという意味では評価できる要素が西東京市の「セキュリティポリシー」にはあります。

 たとえば西東京市のこれは「プライバシーポリシー」なんですが、率直に、「法律の定めがあるときはあなたの許可なく外部提供しちゃいますよ」ということを明確に書いていたりして、正直でいいなというふうには思います(笑)。しかしよく考えてみると、提供先でどのように使われるかについて、そこでは一切何も触れていないというのは、プライバシーポリシーとしてはおかしい。要するに、都道府県なり国なりでどのように使われるかについては一切触れていない。国の法律によれば、やはり国の判断によって目的外(利用)をしてもいいというのがありますから、それについて明示していないのはやはりおかしい。

 西東京市の「セキュリティポリシー」などには、そういうでこぼこがかなりあります。

 とりあえず今そのことについて何か言うつもりはありません。


●西東京市の「セキュリティポリシー」は他のサブシステムからの漏洩について考慮していない

 相対的に見れば、よくできたとも見えそうな西東京市の「セキュリティポリシー」ですが、決定的な問題があると思います。

 何かと言いますと、住基ネットというネットワークの性格を考えたときに、自分のところはしっかりやっていますと言っても、ほかのところで情報が漏れる可能性はいくらでもあるということが推測できます。請求人のご本人たちも言っていることですが、これは常にあるわけです。

 たとえば、他のサブシステムを通じて処分庁のCSサーバ等が不正侵入を受けることによって個人情報が漏れる。あるいは、都サーバ、全国サーバに提供された西東京市住民の個人情報が他のサブシステムからの不正侵入等を通じて漏洩する。あるいは、都サーバ、全国サーバから他のシステム──要するに市町村とか国の機関に提供された個人情報が、その提供先のサブシステムに侵入されることによって漏洩する……そういう可能性は、セキュリティを考える上では必ず考えておかなければならないはずの要素です。

 ところが、西東京市のセキュリティポリシーにはこの件について書かれていません。

 あえて言うとすれば、災害時または緊急時における対応とか、その種の規定は確かにあります。でも、それは危機管理対策の抽象的な規定であって、あまり具体的ではない。要するに、「防御」ではありません。防御がなくて危機管理をしてもダメなわけでして、セキュリティ対策としては十分ではないということになります。


●セキュリティホールの存在を西東京市は検知できたはずである

 この点については、西東京市のセキュリティポリシーに重大な欠陥があり、その結果、西東京市の住基ネットのサブシステムには重大なセキュリティホールがあると言っていいのです。

 そうしますと、西東京市はこれを十分検知しなければならない立場にいて、検知できる立場にいた。なおかつ、いま言いました他のサブシステムから情報が漏洩する可能性については、西東京市はこれを的確に検知する情報を受け取っています。

 ます、昨年の7月末に総務省が、約200の自治体でインターネットにつながっているよと発表した時点。ついで、今年の2月の国会答弁で200の自治体が約20になりましたという報告をした時点──まだ20あったという意味では、この時点でも確認されています。

 それから、今年1月、2月に総務省が行ったアンケート調査の結果が4月か5月に発表されていると思いますが、私がそれを確認したのは6月になって長野県の本人確認情報審議会の第1次報告書に対して総務省が行った反論(「考え方」)です。これは資料として添付しておきましたが、その中で、「全国の自治体の1割強がインターネットに接続している」と書いています。

 少なくとも都合3回、このセキュリティホールがきわめて現実の脅威になり得ることを西東京市は確認できたわけです。しかも、住基ネットの稼働前にも確認できたわけです。

 にもかかわらず、いま現時点においても恐らくは放置しているということについては、重大な過失があるだろう。その点で、たとえば弁明書の「(8)4の(5)について」というところで、先ほども指摘しましたが、制度面とか運用面とかシステム面で対処していると言っていますが、この主張は正当性を持たないと思います。そういう意味では、審査請求人の主張には十分根拠があると言えます。

 ただし、もしも公開されている「セキュリティポリシー」以外で西東京市が外部のサブシステムのセキュリティ問題について対応しているというのであれば、どのようにやっているかについて釈明されることを求めます。