Openlaw日誌 このページをアンテナに追加 RSSフィード

2006-08-12ワークショップでの発表内容 このエントリーを含むブックマーク

7月に開かれたワークショップでの発表内容です。

住基ネットワークショップ 山根報告 バージョン1.35

CPSR/Japanの山根です。

 セキュリティ研究者(科学者)およびプライバシー担当者(マネジメント) の立場から報告させていただきます。一日で終わらない内容なので、詳しい情報の入手先を書きました。後程参照していただければ幸いです。

A. 合理的な判断とは?

 まず、今回の裁判で科学者が見ている「危険性」と行政が見ている「危険性」とはまったく異なることが明らかになったと思います。よく言われることですが、科学者は「安全か、それとも危険か」という二分法はとりません。具体的危険性が「ある」か「ない」か、という発想もとりません。

 しかしここで科学者の常識が通じないからといって発言を放棄するのではなく、科学的な知見を「社会全体の意志決定」や「これからの社会の制度設計」に還元していくことは現代の科学者の使命だといえます。

 さて科学者がセキュリティについて判断するときは、「セキュリティが高い(100% に近い)」「セキュリティが低い(0%に近い)」という両極の中で、「どちらがどの程度セキュリティが高いのか」という判断を下します。そして、セキュリティが低いのに気がついていない状態を是正しようとします。

では、どうすればよりセキュリティが高いと比較できるのか。この時の判断基準として、もっともよく使われるのが「現在の攻撃方法をつかって、どれくらいのコストをかければ破れるのか」というコストの試算です。

 例として暗号による機密保持についてご紹介します。「強力な暗号を使っているので安全です」という説明をよく見かけます。しかし、絶対に解けない暗号はありません。いいかえれば、暗号を使うことは常に危険です。そこで、どれだけのコストをかければ破れるのかを見積もるのが科学的な発想です。

 たとえば経済産業省の関連団体であるIPA(情報処理推進機構)では、以下のようなコストをかけて攻撃したときに暗号が解読される確率を試算しています。

  • 中規模予算: 1000万ドル(約10億円)
  • 大規模予算: 100億ドル(約1兆円)
  • 超大規模予算: 経済規模最大国の GDP の4% (国防予算にほぼ匹敵)
  • 限界規模予算: 世界の年間 GDP

(情報処理推進機構セキュリティセンター「将来の暗号技術に関する安全性要件調査」2004年)

http://www.ipa.go.jp/security/fy15/reports/crypt_requirement/index.html

こうしたコストをかけて暗号が破られるための試算を行ない、たとえば「これだけの予算をかけて1年間の計算しても、暗号文が解読される確率が0.1%未満である」という見積もりがでたものは問題ないとみなそう、という手続きをとって安全性について判断します。技術の進歩によってこの手続きの内容は更新していく必要がありますが、この手続きを誰もがチェックできるようにしておくことが重要だと言えます。

こうした手続きにもとづいた安全性の議論が積み重なるまえに、科学者不在の拙速主義で住基ネットが稼働したのは悔やまれます。

 たしかに、住基ネットが動く前にその安全性を評価することは非常に難しい。暗号文とちがって、情報システムの安全性は、一つの技術をつかったからといって保証されないからです。(後で述べるようないわゆるプライバシー強化技術を使っても同じです。) 情報システムの安全性は、家のまわりを囲む塀のようなもので、あるところだけを高くしても、低いところが残っていればいくら他を高くしても無駄で、安全性は低いままです。したがって、一番セキュリティの低いところを評価しなければなりません。

 そして住基ネットの議論でセキュリティの低いままのところとして指摘されてきたのは、住基ネット本体ではなく以下の2点です。

1. 住基ネット以前からの各地の既存住基システム

これは各自治体がかけるコストではセキュリティは維持できないでしょう。長野県で検討されたデータセンターを各地に作るのが現実的な対策だと思います。

2. 住基ネットの情報をやりとりする末端

 官邸のホームページを守るのならば、サーバをファイアウォールで守ればすみますが、個人情報を守るには、情報の流れの末端 (the flow of information at the endpoints) を高めないかぎりセキュリティは確保できません。

日本セキュリティ・マネジメント学会誌が住基ネット本格稼働前に提言を出したのも、この観点からです。

一学会の分科会からの「提言」にとどまらず、各界からの知見を結集して検討を行ない、「分析にもとづく危機管理(リスクマネジメント)」を進めるべきでした。しかし当時は情報セキュリティ専門家の層も薄く未熟で、「ファイアウォールがあるから安全」というレベルの議論で片付いていました。そして稼働後になってから問題が指摘されるというのが現在の状況です。


B. リスク分析が評価されない?

 住基ネットのテクニカルな問題点はこれまでも何度か指摘されていますが、裁判では権利についての議論に比べて科学技術の扱いが小さかったように見えます。おそらく、テクニカルな話をすると「技術的欠陥を指摘してもすぐ対応される。だから技術的な批評は意味がない」という考えのかたもおられるのではないかと思います。しかし問題にすべきは技術的欠陥が修正されたことではなく、技術的欠陥の責任者が不在だったり、もっといい改善策と比較しなかったことです。したがって、技術的欠陥の処理については今後も多いに議論すべきことだと考えます。

技術系メディアでの報道の例:

C. データマッチングからリンカビリティへ

 住基ネット訴訟は、一つのシステムに限らず、今後の日本の情報システムを考える上で重要な問題を提起しています。

 というのも、住基ネット同様に、研究者ならば絶対につくらないような情報システムがいくつも発注/受注されており、住基ネットをさしとめても、また同じことが繰り返されることが容易に予想がつくからです。この研究者のセンスを言葉にするのはなかなか難しいのですが、発言を記録した議事録を読むとわかります。たとえば以下の議事録では、固定IDを使うシステムを指して「プライバシー侵害アーキテクチャ」「ダメアーキテクチャ」と呼んでいます。

 こうしたプライバシー侵害アーキテクチャの問題点として、データマッチングの問題があります。これは、「いま」データマッチングをしているのが問題ではなく、「将来」においてデータマッチングを許すような設計になっているのが問題です。このデータ濫用の技術的可能性のことを、専門家は「リンカビリティ」(リンクされる可能性)という言い方で表現します。固定IDを使うアーキテクチャはリンカビリティが高い。それと比較して、固定IDは外部に出さず、使い捨てのチケットだけを発行するアーキテクチャは証明書が盗まれたとしてもリンカビリティが低いと言えます。

 電子自治体の電子申請でこのシステムを稼働させているのがカナダのアルバータ州およびカナダ連邦で、日本でも総務省の報告書や、政府後援の「電子署名・電子認証シンポジウム」で紹介されています。

D. アセスメントの可能性

 公害問題や環境破壊の後、大規模な工事をする際に環境アセスメントを行なうことが義務づけられました。そして情報時代における公害問題を起こさないためにも、情報システムを構築する前に情報セキュリティのアセスメントを行なう試みが広がっています。たとえば住基ネットを動かしてから監査を行なうのではなく、大規模なシステムを構築する際には「事前に」リスク発見やリスク分析を行なうわけです。公害訴訟から環境アセスメントへの展開と同じく、住基ネット論争も将来はアセスメントに発展するだろうと私は個人的に考えています。

 このアセスメントを法制度化したのが、カナダなどの国や自治体で導入されているプライバシー影響評価(プライバシーインパクトアセスメント: PIA)です。カナダのプライバシーインパクトアセスメントについては、先の報告書の第4章および参考資料IIのPeter Hope-Tindallの報告で説明されています.

 近年、アメリカでもPIAはE-Government法によって連邦政府機関には義務づけられるようになりました。アメリカの連邦政府予算案は、OMB(Office of Management and Budget : 大統領府の行政管理予算局) が各省庁から申請された予算をとりまとめて概算要求を提出します。まずこの時点で電子政府関連のシステムにはPIAが要求されます。そして予算がおりても、予算が適性に使われたかどうか、会計検査院(GAO)が情報セキュリティ監査を行なうという二段構えです。

その結果、PIAが徹底していないという監督結果も公表報道されています。

このようにして、現在カナダやアメリカでは連邦政府機関のシステムにPIAが厳しく要求され、政府機関から公共工事を受託する全米の産業界にも大きな影響を与えています。そしてPIAによって、プライバシー保護団体の主張と科学者の主張も近づいてきたという印象を持っています。アメリカではプライバシー保護団体は電子政府システムだけでなく、連邦政府からの委託先や地方公共団体についてもPIAを拡大する主張を展開しています。

こうした海外動向を反映して、国内でも「ネットワーク・セキュリティワークショップ in 越後湯沢」というセキュリティ業界のイベントで、アメリカのプライバシー保護団体が招かれて講演することになっています。

私の見て来た範囲では、PIAの拡大を主張してきたアメリカのプライバシー保護団体は、国内の住基ネット反対運動(の一部)との類似点が見られます。国内のセキュリティ専門家がこうしたアプローチに耳を傾けるようになったのは非常に重要です。

 個人的な見通しとしては、日本よりも早く韓国でPIAは制度化されるのではないかと考えています。以下のように韓国政府もPIAの導入を検討中だとアジア太平洋地域の政府代表者の前で明言しています。

韓国では日本よりも先にプライバシー侵害アーキテクチャが普及してしまったために、近年は中国からのオンラインでのなりすましによるオンライン取引が社会問題になっており、名義を出さない、統一ID を使わないという制度設計のためにPIAの推進は急務だと言えます。

 日本国内では、PIAは先の総務省の報告書のように、まだ一部のセキュリティ研究者が調査研究を行なっている段階です。

  • 田中一郎「 プライバシー・リスクは、システム構築前に検討すべき: 個人情報保護の事前対策を促す「プライバシー影響評価」とは」 (NTTデータ技術開発本部システム科学研究所)
    http://www.riss-net.jp/s-p/pia.html
  • 佐藤亮太, 藤村明子, 雨宮俊一, 間形文彦, 塩野入理, 金井敦(NTT情報流通プラットフォーム研究所) 「プライバシ影響評価(PIA)手法の日本への導入に関する一考察」 コンピュータセキュリティシンポジウム2005 (情報処理学会コンピュータセキュリティ研究会)

 日本国内のアセスメント体制は、世界から大きくとりのこされていると言えます。おそらく、海外での国家プロジェクトの入札に参加するITゼネコンからまずPIA対応の必要性に迫られるでしょう。

国内の法制化の可能性としては、最近話題の日本版SOX法の中に「リスク評価」が入っているので、近い将来には企業(や自治体) のリスク評価業務が今後必須になる事が考えられます。そこでIT企業が「PIAはリスク評価の一部」として整備する方向性も考えられます。

しかし、アセスメントを要求したところで、誰がアセスメントを行えるのでしょうか?次に近年整備が進んでいるプライバシー担当者の仕事について説明します。


E. 制度面での対策: 海外の事例

 住基ネットのセキュリティは、各地の担当者の判断が要求される現代の情報ネットワーク問題を明らかにしました。もはや「ちゃんとしたセンターに発注してます」というだけですむ時代ではありません。

日本では、この判断を下す責任者が誰なのかが決まっていません。だから、吉田さんの著書『地域住民と自治体のための住基ネット・セキュリティ入門―長野県安全確認実験の結果から』でも、まず現場をわかっている人がポリシーをつくれ、と主張されています。これは日本の役所のルールにセキュリティ強化のルールがないので、現場で対応していなかければならないことを示しています。

では、誰がそれをやるべきなのか。

 セキュリティのチェックと強化は、まず誰が権限を持っているのかというところをはっきりさせてから話を進めます。

特に、能力に応じた賃金体系を導入しているアメリカでは、すでに情報システムの担当者にはCIOやCISOといった担当者にはそのための権限や待遇を与えるようになってます。そしていま進められているのが、プライバシー担当者に権限を与える仕組みです。この担当者はプライバシー・オフィサーやプライバシー・プロフェッショナルと呼ばれています。

 この新しい役職であるプライバシー担当者を地方自治体や企業が獲得するにあたって、一番の近道は資格制度です。たとえば自治体職員が昇任する要件の一つとして、セキュリティやプライバシに関する資格を含めればよい。たとえばIAPPという組織は、講習会を受けて試験を通るとCertified InformationPrivacy Professional (CIPP)という認定証を発行します。そして大企業の担当者にその資格を取得しているという仕組みがアメリカやカナダではすでに動いています。

そしてIAPPは優秀な企業や自治体の表彰も行なっています。たとえばカナダ・オンタリオ州の情報プライバシー・コミッショナーが自治体の取り組みとして表彰されています。我々もカナダの自治州の取り組みは高く評価してきましたが、その担当者を表彰するというのはよい考えだと思います。

 実はIAPPの最大のスポンサーはMicrosoft社です。Microsoft社でもセキュリティ担当者は、個人情報保護には制度設計や現場の人材養成が必要だと理解しています。

もはや、アメリカではちゃんとした技術や製品を使っているというだけではプライバシーに配慮しているとは言えない状況になっています。「Microsoft社の最新版を使っています」というだけではなく、「誰が責任をもってやっているのか」「その人はちゃんとトレーニングを身につけたのか」という体制づくりがセキュリティ対策/プライバシー保護に求められています。


F. 正当性 (legitimacy)はどこにあるのか?

 住基ネットがどうしてWindowsベースになったのか、どうしてLASDECが請け負ったのか、という理由は外部にはまったくわかりません。さらに公的個人認証サービスを運用する外郭団体にいたっては、まったくセキュリティとは関係ない組織です。

 私は国内のコンピュータセキュリティシンポジウムの実行委員をやったことがあるのですが、それらの団体から参加者があったためしはありませんし、セキュリティで博士号をとった人材をそれらの組織がリクルートしたという事例も知りません。これは、お役所は基本的にセキュリティ専門家を参加させることに失敗していることを示しています。これが誰も安全性をチェックできない体制を生んでいます。

 海外先進国の電子政府システムはどのようなチェックを受けているのでしょうか。たとえば先に述べたカナダのアルバータ州では、州のオンラインシステムにプライバシー・アーキテクチャーを組み込む作業を進めています(地方自治の先進国では、各州で独自の住民サービスシステムが展開されている)。そして、その実際の内容や開発についての要件はすべて公表されています。さらに、さきほど言及したオンタリオ州の情報プライバシー・コミッショナーが開催するワークショップにわざわざでかけて、外部発表もしています。このワークショップには日本から参加することも可能です。こうして州政府がお互いにチェックし外部からも学ぶという体制で勧められています。

 そこまで公開する必要があるのかと思われるかもしれませんが、国内でも公共性の高い建築の入札について公開コンぺを行なうことはよく行なわれていますね。情報システムの構築においても、公共建築と同様に、談合を排して、提案された設計の採択プロセスを公開することは理にかなっています。

そのシステムを採択した目的が情報公開され,さらに全く立場がことなる人(たとえば海外からの参加者,企業,大学など) を呼んでチェックしてもらうプロセスが重要です.これは住基ネットの稼働プロセスとはまったくことなる考え方です.こうした外部からのチェックがないために、住基ネットは検討不十分なシステムになってしまったと思います。


G. 法外なコスト: US-VISIT, パスポート電子申請システム

 さきほど、これからもダメアーキテクチャがはびこるという予想をしました。

 セキュリティ専門家不在、そして担当者不在で、誰もチェックできないまま業者に丸投げしてしまったプライバシー侵害アーキテクチャの候補として私が考えているのが、入管法改正とともに動きだしたUS-VISIT日本版です。

US-VISITが成功していると考えているセキュリティ研究者は少ないと思います。これは、冒頭にのべたようにどれくらいのコストをかけるのかという試算を行なえばわかります。

たとえば日本語訳もあるセキュリティ専門家、ブルース・シュナイアーは、「悪人を1人拘束するのに1500万ドル」と計算して非合理的な施策だと判断しています。

 さらにUS-VISITの日本版のJ-VISITは、(国会で保坂展人議員が追求していますが)要件定義もなく、アクセンチュアの10万円入札にはまったく裏付けがない。住基ネットを構築した地方自治センター以上に発注側も現場も評価できないシステムが納入されるのではないかと危惧しています。J-VISITには外国人だけでなく日本人も登録できるわけですから、システムの詳細について国民的な議論を行なう必要があります。

 誰がその議論を行なえるのか? セキュリティに関わる情報はなかなか公表されなくても、コストについての情報は公表されています。したがって、コスト評価を行なうのにセキュリティ専門家や科学者であることは必ずしも要求されません。合理的な思考があれば官僚もやっています。

たとえば先日、パスポート電子申請システムに財務省が廃止要請を出しました。

パスポート電子申請システムは住基ネット住基カードとも無縁ではないシステムですが、明らかに効率化になっていない。どれくらいのランニングコストがかかるかも事前に検討していない。でも誰も止められない、結局ITゼネコンのいいなりにお金をとられて、昔のダム建設のような新たな公共工事になっていたわけです。

「旅券の電子申請は一件当たり費用が1600万円」といったコストを、システムを構築してしまった後に明らかにするのではなく、事前のアセスメントで明らかにする人材を育て、裁判所、地方自治体、受託業者という社会の要所要所でチェックする制度設計を行なわないと、納税者の理解を得ることは到底できないでしょう。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060812