Openlaw日誌 このページをアンテナに追加 RSSフィード

2005-07-10追加情報

リスクの概念 リスクの概念 - Openlaw日誌 を含むブックマーク

情報セキュリティの考え方についてもうすこし説明を続ける.本欄では情報セキュリティのリスクマネジメントの観点から考えている.このリスクマネジメントとは,たとえば住基ネットにプライバシー権侵害の可能性が否定できない場合,そのリスクはどれくらいで,どういうセキュリティ対策をとれば起こった時の影響をコントロールできるか,そして投資は元がとれるのか,というマネジメント手法であり,セキュリティ技術者の資格試験でもよく出題される.(こうした情報セキュリティ対策についてはIPAのウェブサイトでも配布されている.http://www.ipa.go.jp/security/awareness/awareness.html)

リスク情報が開示されない(もしくは不確定な)状態で,よりリスクが少なくメリットが多いものを選ぶためには,模擬実験や試算にもとづいて予測を行なう必要がある.つまり,こっちの選択肢はどれぐらいリスキーか,あるいは代理案をつかって同じことをやればどれくらいコストがかからないのか,といった試算をする.

情報セキュリティの専門家はこうしたアプローチをとるのだが,そこで問題になるのが試算のもとになるデータである.この扱いについて金沢地裁は妥当な判断を示している.原告が提出した長野県の公開資料(ペネトレーションテストから他の業者に委託した場合の試算まで)に対して,被告は説得力のある試算を示さなかった.これでは専門家は原告の主張を認めざるをえない.

「金沢地裁住基ネット違憲判決は間違っている」を読む 「金沢地裁の住基ネット違憲判決は間違っている」を読む - Openlaw日誌 を含むブックマーク

青柳武彦「金沢地裁の住基ネット違憲判決は間違っている~プライバシー権と自己情報コントロール権の同一視が最大の問題~」(住基ネット研究フォーラム)は,後述するように金沢地裁の判決というよりもむしろ通説に対する批判である.だが,ここでは金沢地裁判決の読み方についてのみ言及する.

住基ネットにはプライバシー権侵害はないし、いわんや憲法違反もない。」

この主張は否定しない(というか,用語の定義次第ではそうも言える).だが,それだけでは金沢地裁の差し止め判決を批判するのは難しいと思われる.

この論考が立脚しているのはプライバシーと個人情報の区別である.この見解を共有する人は少なくないと思われる.一般向けに書かれたものとしては,白田「プライバシーに関する私論」(Hotwired記事: I, II)があるし,またコンピュータセキュリティでも,何を守るのかよくわからないものを「プライバシー保護技術」と呼んで混乱を招くことがあるので,私もプライバシーという言葉は単独では使わないようにしている.

とはいえ,青柳論考も「きわめてセンシティブな」個人情報はコントロールする必要を認めている.そして原告は,住基ネットの情報がどのような場合にきわめてセンシティブな情報に転じるのかを具体的な例をつかって示しており,それを不採用とするのは難しいと思われる.したがって青柳論考(おそらく判決文全文を入手していないのではないか)は判決に対する根本的な批判になっていない.

また,プライバシーの定義を論じて住基ネット活用を主張するのも無理がある.もしも被告がプライバシー理論ではなく,先にあげたようなリスクマネジメント,すなわちリスクを最小化して利益を最大化するというストラテジーをとれば,やはり差し止め判決は支持されるからだ.(もちろん,説得力のあるリスク情報が被告から開示されればリスク評価も変わってくる.)

以上のような印象を持ったのだが,一番気になったのは技術的な記述である.

「韓国で実施されているような,行政に対するもろもろの許可申請の審査がどこまで進んでいるかまでもわかるような行政サービスは,住基ネットを有効に活用しない限り実現できない」

これは誤解である.住基ネット以外のアーキテクチャを使った,より堅牢な実現方法がある.次に海外の電子行政サービスを紹介する.

「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会」報告書  「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会」報告書 - Openlaw日誌 を含むブックマーク

リスクマネジメントは,100%安全か絶対危険かの二分法ではなく,いろいろな選択肢の中で,どの選択がより安全か,より確率が少ないかを評価する.このリスク評価のためには,住基ネット以外の選択肢を検証することが必要である.いまのところ,長野県の個人情報保護審議会によるデータセンター(兼職員訓練センター)を使った場合の試算があるが,ここではもう一つの選択肢として海外の電子政府アーキテクチャを紹介する.

実は総務省も,住民サービスを実現するのに住基ネット以外の選択肢があることをすでにつかんでいる.というか,海外の電子政府の試みを総務省のサイトから自由にダウンロードできる. その中でも注目すべき報告が,電子政府ランキングの首位につけているカナダに注目した報告書,「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会」報告書(の参考資料)である. http://www.soumu.go.jp/kokusai/jyumin_p.html

これは昨年にウェブ日記で評判になったのでご存知の方も多いと思う(http://d.hatena.ne.jp/HiromitsuTakagi/20040822#p1).*1 (画像を引用して重要なポイント*2を指摘している.)

このエントリの最後の方に,この程度のことは「電子政府を設計する前の段階で調査しておくべきだった」という指摘があるが,たとえ日本政府が調査しても,中央政府のシステムは取材できても地方政府のシステムの内部動作まで調査できたかどうかは疑問である.*3この事前調査については同報告書の参考資料IIにあるプライバシー影響評価にもかかわってくるが,環境アセスメントのように,システム導入を決定する前に技術的なアセスメントを実施することが今後は必須であろう.もはやITゼネコン丸投げの時代ではない.こうした評価体制なしに世界レベルの行政サービスを実現するのは無謀である.すでに韓国ではマルチステークホルダーによるテクノロジーインパクトアセスメントを実施していると聞いたことがあるが,私もこのリスクコントロールの取り組みにはマルチステークホルダー(司法やIT系NPOも含む産官学民)の知見を結集して取り組むべきだと考えている.

技術情報紹介はこれで終わりです.自分が呼んでもわかりにくい文章になってしまいました.質問があるかたはコメントにご記入していただければ幸いです.

*1:追記: しかしこれに続くエントリの「無能ぶりを堂々と曝け出して大丈夫ですか」ネタの方がブレイクしてかすんでしまった.重要なのはこちらの報告書の方である.

*2:追記: 難しいいい方をすれば,security と unlinkability の二者 http://motivate.jp/archives/2005/06/post_58.html を同時に実現しようというアプローチか.

*3:追記: IT先進国では住民サービスはおおむね中央政府ではなく地方政府が管轄しており,中央政府は主導的な役割を果たしていない国が多い.この報告書の参考資料IIIは,カナダ(あまりメジャーとは言えない)自治州がコンペ形式で採用した先進的なシステムについて,現地の民間の専門家が作成した報告である.この背景についてはこちらの講演資料PDFでも言及している.

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20050710