声明・申し入れ・意見書など

中田 宏 横浜市長あて 2006年5月10日

横浜市本人確認情報等保護審議会
「答申」についての申し入れ -3

3.答申における「総合的な安全性」の評価・判断について

審議会答申は、「……住基ネットの安全性は、稼働当初と比較し格段に高まっており、現時点において総合的に見て問題はないと判断できる」としています。しかし、今回の答申における「安全性」の評価は、答申が参照している総務省住民基本台帳ネットワークシステム調査委員会の、以下のような3つの共通認識を理解しているようにはとうてい見えず、私どもは多くの懸念を持たざるを得ません。

 ・「問題があることの認識」の重要性
 ・より現実的実効的な「安全性の確保」という考え方の採用
 ・これらが情報セキュリティの専門家における
  一般的な考え方と評価基準であるという理解

 このため、答申における評価とは別に、「問題があることの認識」および「現実的実効的な安全性」を目指す政策理念にもとづいて、市長が「住基ネットの総合的な安全性」を独自に判断されるよう、私どもは強く要請したいと思います。
(1) 総合的に見て「問題がある」という専門家の一般的な理解
務省の委員会における住基ネットの「総合的な安全性」評価は、少なくとも「総合的に見て問題はない」というものではありません。
以下に引用する調査委員会の記録は、情報セキュリティ監査などを手がける監査法人代表の松尾明委員の発言です。発言者の専門性をふまえるなら、「情報セキュリティ」を監査(評価)する専門家の間では、こうした住基ネットや自治体庁内LANの安全性に対する評価はむしろ一般的なものであることが理解できるでしょう。

個人情報保護条例及び情報セキュリティポリシーの策定状況について、100%を目指して今がんばっていらっしゃいますけれども、これは住基ネットにおけるチェックリストの採点のテーブルに置き換えると1、2、3のどこに当たるのですかというお話でございますけれども、1のレベルでございます。2、3ではないということをまず認識される必要があります。要は、ポリシーがあるかどうかというのは1のレベルです。これは、アメリカのNISTの評価レベルを使っていますので、そういう日本語は難しいのでつくってありませんけれども、セキュリティポリシーがありますかというのが1です。
 2が、手順がちゃんとつくられていますか。3番目が、やられていますか。まだ4と5があります。4というのは、やられているということをちゃんとモニターしていますよねというのが4です。さらに5がありまして、それで環境がどんどん変わっていきますよね。環境変化にもタイムリーに耐えられる仕掛けまで上がりましたかというのが5です。住基ネットは3になるように努力していただいて、3のレベルまでかなりきましたけれども、4、5がある、まだありますよということは忘れていただきたくないということと、庁内LANの環境はまだ1のレベルに入ったばかりです。だから、心配だとおっしゃるのもよくわかります。(「第10回住民基本台帳ネットワークシステム調査委員会」会議録 2004.12.1 p.33)

松尾さんは「(自治体庁内LANの現状は)1のレベルでございます。2、3ではないということをまず認識される必要があります」と指摘しています。そして、調査委員会で議論されている「住基ネットの安全性」が、現在自治体で採用されているセルフチェック・リストの3段階評価よりもさらにきびしい、第4、第5のレベルを目指しているものであることが、この記録から理解できます。この「第4、第5」のレベルは、その要求している内容から見て、「制度整備」を基礎とした「より現実的実効的な安全確保」のための手法だと考えられますが、そこでは「やられているということをちゃんとモニター」すること、あるいは「環境変化にもタイムリーに耐えられる仕掛け」が求められています。
こうした視点からは、「総合的に見て問題がない」という評価自体が、ほとんど意味を持たないといえるわけですが、たとえば最近のWinnyウイルスが引き起こした一連の行政機関からの情報漏えいなどを考えても、自治体の情報セキュリティ状況は、「環境変化」に適切に対応できる状態にはなく、そこには明らかに問題があります。
(2) 「問題があることの認識」の重要性
務省住基ネッ調査委員会の議論は、「問題があることの認識」の重要性を、共通理解として進められています。
上記松尾さんの発言における「4、5がある、まだありますよということは忘れていただきたくない」ということばは、言い換えるなら、たとえ「(3までについては)問題がない」と評価し得たとしても「やはり問題はある」と認識することの重要性を指摘しているものだと思います。
松尾さんのこの指摘は、私どもに、ある情報セキュリティ技術者が「もしも、政府が問題点を指摘する者に耳を傾けようとしないならば、システムはどうやって安全になるのだろうか?」と語っていたことを思い出させます

"However the greatest problem with JUKI net is not technical but Soumushou's inability to even acknowledge that they exist ! How can a system become secure if the Japanese government are not willing to listen to someone who points out issues."
(Ejovi Nuwere, http://www.ejovi.net/index.php?s=JUKI+NET

そのように考えると、今回の答申における「個人情報保護法制度の不備も解消され、セキュリティ強化に向けた指摘事項についても一定の対応がなされたこと、並びに今後もセキュリティ向上に向けた対応がなされていくと推測されることなどを踏まえると、住基ネットの安全性は、稼働当初と比較し格段に高まっており」という認識は、「総合的に見て問題はない」と判断できる根拠になってはいないと言えるでしょう。
 少なくとも今回の審議会答申における判断は、「総合的」なものではありません。

*この指摘がされたいきさつについては、「第10回住民基本台帳ネットワークシステム調査委員会」2004.12.1[会議録]のp.18小川和久委員の発言もご参照ください。

(3) 「抽象的危険性」に対する行政的判断について
先に引用した松井さんの発言は、同時に、名古屋地方裁判所が司法的判断として示した「あらゆる制度に内在する抽象的な危険性」(それは内部漏えいだけに限らない)に対して行政がどのように対応すればよいかについて、重要な示唆をしているものと思います。
 自治体の自律性が強く規制されている現在の法制度および行政運営の実態の中で、この「抽象的危険」に対して国の政策から自律した「危険性評価」を行い、独自の政策を採用したところに、「横浜方式」の積極性があると私どもは考えています。そしてこの横浜市の政策を、多くの横浜市民は理解し、支持しました。

 今回の審議会答申を基礎とした市長の判断が、こうした「横浜方式」の積極性を維持し拡大する方向で行われることを、私どもは強く期待しています。
名古屋地方裁判所は、次のような判断を示しています。

……原告らは内部者等による漏えいの危険性がある旨主張するが、このような危険性はあらゆる制度に内在するものであるから、差し止めおよび損害賠償を求めるためには、単に抽象的に情報漏えいの危険があるというのみでは足りず、具体的危険ないし実際の損害の発生が必要であるところ、……(名古屋地方裁判所 住民基本台帳ネットワーク差止等請求事件「判決」 p.26 2005年5月31日)

ここには、「あらゆる制度に内在する」危険性――抽象的な危険性(それは内部漏えいだけに限らない)が、司法における「差し止め」ないし「損害賠償」の要件にはならないとの判断が示されています。
 それは、「差止・損害賠償」請求事件に対する司法の判断のひとつ(未確定)ではあっても、行政において求められる判断とは別のものです。行政が行おうとしていることは、行政による個人情報運用における(本人の)「安全の提供」であって、「差し止め・損害賠償の回避」ではありません。
 「横浜方式」における政策的判断において、「総合的な安全性」の評価基準として、名古屋地裁などが示した「具体的危険」という消極的基準を採用する必然性はどこにもありません。

前のページ ページトップへ 次のページ