追加意見書０３０６１６

２００３年６月１６日

所沢市情報公開・個人情報保護審査会

会長　川口　雄市　様

異議申立て人　大和田　諭史

　

住民基本台帳ネットワークシステムに係る異議申立てに対する

追加意見の提出について

１、長野県本人確認情報保護審議会　第１次報告（５月２８日）より

この報告書については、すでにご存知のことと思います。長野県ホームページに掲載してあります。

（http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singikai/dai6.htm）

なおこの報告書には下記の付属資料４点もあります。

・住基ネットに関する市町村調査　　・市町村のネットワークに関する現地調査結果

・住基ネット接続パターン　　　　　・ＩＴセキュリティ保護のコストについて

　住基ネットの稼働に伴って設置された長野県本人確認情報保護審議会は５月２８日、県内の市町村と国側との中継を県が当面、取りやめるよう求める報告をまとめ、田中康夫知事に提出しました。

　長野県の審議会は県内全１２０市町村にアンケートを実施し、さらに任意に抽出した１１市町村には聞き取り調査も行ない、そのうえで、市町村のセキュリティー（安全）対策などについて各委員が分析しています。

　この報告書からの抜粋。

①アンケート、聞取り調査

担当職員の９１％が住基ネットは「自治体の負担が大きい割にメリットが少ない」と答えた。さらに５６％が「住民のメリットが少ない」又は「本人確認情報の漏洩などプライバシーが心配」とも答えた。
ある自治体では，庁内の同一セグメントにイントラネットと従来の住基システムなどの業務系ネットが同居しており，加えて，インターネットと住基オンラインが同一ネット上に置かれていた。インターネット経由で全ての情報が取られかねない事態である。
各自治体のＬＡＮ（構内情報通信網）に接続してあるパソコンであれば、住基ネットのサーバーにアクセスできる構造になっている事例が多い
住基ネット端末機が収容されているＨＵＢポートが，無雑作に机の下に剥き出しになっており，その空き部分にパソコンを接続することが出来るようになっていた。
業者が住基オンラインのバッチ処理とシステムの遠隔監視，保守を担当している自治体もあった。業者は外部からリモートで住基ネットに接続して操作することが可能。
担当職員は，ファイアウォールがあるから安心だと信じていると語った。但し，これらの職員はファイアウォールの仕組みを知らなかった。
担当職員でセキュリティについて安心していると答えたところは，審議会の聴き取り調査ではゼロであった。反対にセキュリティに関する不安の声は，極めて強かった。
担当責任者なのに「コンピュータ操作もよく分からず，とにかく不安」と述べた職員は，問題が発生したときの対応が全く分からず，ウイルスなどの侵入は誰がチェックしてくれるのかと問うてきた。
彼らは事務効率化と費用の両方でデメリットしか発生しないと断言，「市町村のシステムだと国は言うが，実は国のためのシステムである」，「住基ネットのメリットは市町村にも住民にもなく，国による個人情報活用にある」と喝破した。
県下の２７の自治体でなんと，住基ネットとインターネットが物理的に接続されていた。長野県下の自治体に内外からインターネット経由でアクセスが殺到し，情報が流出する恐れがある。長野県民と県下の自治体のみならず，日本全国の自治体と国民全員が被るであろう被害は測りようがない。
住基ネットの仕組みに関して首長はほとんど理解しておらず，担当職員任せになっている。
マニュアルを全部理解できないほど複雑な事務処理になっている。

②市町村ネットワークの接続形態とその危険性

「住基ネットワークはインターネットとは独立した閉じたネットワークであるから安全である」ということは断定できず，何らかの装置を介して住基ネットワークがインターネットに繋がっている事例が複数存在している。
これまでも不正アクセスの危険性はあったが，仮に攻撃されたとしても自市町村内のサーバだけであり，被害が他の市町村まで及ぶことはなかった。が，基幹系ネットが全国に繋がる住基ネットに繋がったことにより，自らが被害者だけでは済まなくなり，住基ネットを通して外部に被害をもたらす加害者となってしまうことが，従来とは比べ物にならない高いセキュリティ対策を市町村ネットに要求している。
危険性のあるネットワーク接続事例を具体的に６パターン例示

1、基幹系ネットと情報系の庁内イントラネット間が，F/Wやルータ，VLAN機能付スイッチなどで接続されているケース

2、庁内LANに基幹系，情報系の区別がなく，どのパソコンからでも，ネットワーク的にみて，インターネットへのアクセスも住基サーバへのアクセスも出来てしまうケース

3、基幹系ネットと情報系の庁内イントラネット間がレイヤ３スイッチで接続され，なおかつインターネットからF/Wを介してそのスイッチに接続されているケース

4、公衆電話網で出先機関から基幹系ネットにダイアルアップしてくる場合で，発信元を電話番号でチェックしないケース

5、委託業者側からダイアルアップないしは専用線接続にて庁内LANに常時接続可能となるケース

6、住基ネットに繋がる基幹系ＨＵＢに空きポートがあり，持ち込んだノートパソコンをそこに接続可能なケース

これだけのコストと個人情報漏洩というリスクを冒してまで導入するからには，単に自分の住民票が全国で発行できる程度のリターンでは割に合わない。もっと有効な活用方法がないのであろうか。その活用方法に対する国民的なコンセンサスを得るまでは全国の全ての市町村で一斉に休止すればいい。
ネットワークの安全性を高めるために膨大な運用監視システム費用を追加投入するのがいいのか，このまま安易な手抜き運用を続けるのがいいのか，あるいは無駄なシステム運用を止めるのがいのか。判断材料は出揃ったのではないか。

③住基ネットのセキュリティ確保について

セキュリティ確保について８項目

いかなる手法を用いても万全な状態を確保することは不可能である。
安全性を高めるためにはリスクとする目的単位にリスクをコンポーネット化する。
コンポーネント化したリスクに対するセキュリティポリシーを作成する。
セキュリティポリシーにマッチした運用をおこなう。
運用の状況を管理する管理監視体制を整備する。
管理監視体制は客観的な第３者とし，県は審議会等によりその第３者を監査できる。
問題発生時に最大限の運用維持とリスクの最小化を行うべく対応フォーメーションをポリシーとは別にアクションルールを確立する。
上記項目を永遠に維持する。

上記セキュリティ対処にかかる初年度で必要な投資は最低２２億円に上る。総額コスト（24時間365日監視付）５年間の累計はおよそ８０億円強と計算できる。
このように費用対効果という観点では語れない費用を予算化さえできない自治体はどのように対処すればよいのか自ずと見えてきている。国の対応はあまりにも杜撰と言わざるを得ない。

④住基ネットの法的問題について

一定の新たな法制度を設けようとするとき，それを必要とする社会的背景事情（立法事実）が必ず存在する。
全国の地方自治体が国に対して住基ネットの法制化を求めた形跡はない。国民に至っては，昨年８月５日の第一次稼動の直前になるまで住基ネットのことを知らなかったという人が大半である。住基ネットの法制化に向けての立法事実はない。
住基ネットの関連法令の解釈運用，住基ネットの管理運用は市町村の責任において行うべきことになるとともに，管理運用費用も市町村の負担となる。

市町村は，住基ネットの管理運用上のミスによりだれか（当該市町村内の住民に限らない）に損害を与えた場合には，国家賠償法に基づく責任を負わなければならない。意図的な不正操作の場合だけでなく，自らの管理運用ミスによって広範な被害を生じた場合にも，全責任を負わなければならない可能性を覚悟する必要がある。
立法事実の不存在と併せてみるならば，市町村は自ら制度化を望んでいない住基ネットの管理運用について最も重い責任を負わされるという歪みを生じている。
旧来の住民基本台帳の管理は全国の市町村が責任を負える内容だった。
住基ネットは，全国の市町村の意向をほとんど無視する形で進められてきた。その上，コンピュータの専門知識と管理能力と財政負担能力が必要不可欠であるにもかかわらず，多くの市町村においてこの点の手当が極めて不十分である。住基ネットの管理運用は，コンピュータを専門職としていない現在の自治体職員には能力的に無理がある。
補助金制度が廃止の方向に進む中，膨大な赤字をかかえた市町村が確実に高額化する住基ネットの管理費用を支払い続けることなどできない。莫大な損害賠償請求に応じなければならない場合どうするかなどの財政面の問題についてもほとんど検討されていない。
住基ネットの実情は，法律が市町村に不可能を要求していると言わざるを得ない。
問題が解決するまで一時的に住基ネットから離脱するという対応は，自分の自治体の住民の情報を外部から守るために有効であるだけでなく，自分の自治体の管理が原因となって他の自治体ないし住民に被害を与えないためにも有効である。
住基ネットから離脱している，あるいは個人選択制を採用している地方自治体が指摘しているのは，個人情報保護法制さえできていないのに住基ネットを稼動させるのは問題だということであり，「個人情報保護」という名称のついた法律が成立しさえすれば接続するという形式論を言っているのではない。住基ネットがかかえている問題は，「個人情報保護」という名称のついた法律が成立するか否かなどではない。
住基ネットへの接続ないし全面的な接続は，各市町村長，各都道府県知事が危険だと考える問題が解決されているか否かにかかっている。

⑤結論－市町村への提言と県の役割

現段階における長野県内の市町村の住基ネット管理の実情は，個人情報保護が十分になされる体制になっておらず，かつ，これを直ちに解決することが極めて困難であることが明らかとなった。
県が速やかに行うべき「必要な措置」として

当面、住基ネットから離脱する。
住基ネットから離脱しようとする市町村に協力する。
国に対して住基ネットの運用について根本的な見直しを働きかける。　　　などを求めています。

２、総務省の対応

　総務省は「住民基本台帳法で都道府県は、市町村が登録した４情報をサーバーに保存したり、照会に応じることなどが定められており、県が中継を止めることは違法になる」と述べ、また６月５日、「不参加は認められない」とする反論文書をまとめ、全都道府県に通知しています。

　この中で、知事の権限について「住民基本台帳法の規定で、知事は住基ネットを運用する義務がある。不正アクセスの兆候を見つけた時など一時的に接続しないことはあり得るものの、独自に解釈して住基ネットに参加しないことはできない」と説明しています。

　また、この文書の中で全国の市区町村のうち1割以上の約400の団体で、住基ネットと接続している庁内LANが、インターネットと接続していることを認めています。そのうえで、「接続していたとしていても、直ちにセキュリティー上危険とはいえず、ＦＷの設定など適切なセキュリティー措置の実施により、個人情報の保護を図ることが可能」と説明しています。また、仮に庁内LANにウイルスやハッカーが侵入しても「住基ネットに入り、他の市区町村のCS(コミュニケーションサーバー)、都道府県サーバー、指定情報処理機関サーバーに到達する恐れはない」とも説明しています。

３、コメント

　総務省の「反論文書」では、

都道府県の離脱は違法
庁内ＬＡＮにセキュリティ上問題があっても、住基ネットにウイルス・ハッカーが侵入するおそれはない

点を上げておりますが、これは、全く現実的な論拠ではありません。

について、住基法　第三十条の二十九　「当該都道府県知事又は指定情報処理機関は、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のために必要な措置を講じなければならない。」第三十六条の二　「市町村長は、住民基本台帳又は戸籍の附票に関する事務の処理に当たつては、住民票又は戸籍の附票に記載されている事項の漏えい、滅失及びき損の防止その他の住民票又は戸籍の附票に記載されている事項の適切な管理のために必要な措置を講じなければならない」の解釈権限が総務省に一方的にあることはありません。長野県本人確認情報保護審議会　第１次報告や私たちのこれまでの意見書の通り、適切な管理のために必要な措置＝離脱は違法ではないばかりか、自治体の首長が住民の個人情報を保護するために必要な措置です。住基ネットは自治事務であり、長野県が安全を期せないので接続を止めるべきというのは筋が通っています。住基ネットを導入する緊急の必要性がない、という判断も背景にあります。国はＥ－ＪＡＰＡＮとか電子自治体とか耳ざわりのいいことを言って住基ネットを推進しようとしていますが、住民だけではなく、自治体に対しても説得力がないことの表れです。住基ネットについて「自治体がやること」と責任を押し付けたツケが回ってきたのです。
について、ＬＡＮに問題あっても、住基ネットに侵入されるおそれなしというのは、どう見ても根拠がない。長野県本人確認情報保護審議会　第１次報告の添付資料には攻撃の手順の基本的な考え方が書いてあり、それに対する対策を検討したうえで、ありうべきセキュリティ対策の追加コストの議論しているのです。ＦＷがあるから安心は、自治体職員にも、住民にも、もう通用しません。（住基ネットの仕組みに関してほとんど理解しておらず，担当職員任せにしている首長は別のようです。報告書より）

　最後に、自治体の対応について具体的なアンケートをするとともに、実地調査にてネットワークの接続の危険性を指摘した今回の長野県の報告書をどのように評価しますか。この中で危険性のあるネットワーク接続事例を具体的に６パターン例示していますが、所沢クラスの中堅の市は、おそらくほとんどが、６パターンの１に該当するのではないかと推測されます。所沢市のネットワークのセキュリティ水準をどのように評価されますか。

以上