Openlaw日誌 このページをアンテナに追加 RSSフィード

2006-12-12名古屋高裁金沢支部の判決全文を公開・大阪高裁判決情報を更新 このエントリーを含むブックマーク

名古屋高裁金沢支部の昨日の判決の全文がe-GovSecサイトにて公開されました。

また、大阪高裁判決については、速報版ファイルが本番ファイルに差し替えられました(内容には変更ありません。速報版についてくわしくは12月7日の記述をごらんください)。

 住基ネット差止訴訟・石川 名古屋高裁金沢支部判決全文

 http://www.jca.apc.org/e-GovSec/

これらの住基ネット裁判に加えて、明日はWinny開発者裁判の判決日があります。今週は判決日が続きます。

s-yamanes-yamane2006/12/13 22:37しかし大阪と名古屋のページ数の違いはすごいな...採択されなかった証拠はどれくらいあるのだろうか...。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20061212

2006-12-09住基ネット「個人離脱」、1人削除に最大3500万 このエントリーを含むブックマーク

住基ネット「個人離脱」、1人削除に最大3500万...この試算を出していれば、リスクを甘受すべきかどうかという利害調停を試みていた高裁の判決に影響が出ていたかもしれませんが、それ以前に日本の技術力が世界の笑いものになりテロの対象になりそうです。

どういう仕様なのか想像もつかないのですが、過去に住基ネットの不具合でデータが利用不能になったときにはシステムダウンにはいたらなかったようです。(鈴木淳史 "動かないコンピュータ 住基ネット600人分のデータが利用不能に", 日経コンピュータ no.562, December 2002, pp.12--13.)

s-yamanes-yamane2006/12/17 19:4415日午前0時をもって大阪高裁判決が確定しました。
http://headlines.yahoo.co.jp/hl?a=20061216-00000244-mailo-l27
夏のワークショップで大阪裁判の話は聞いていたのですが、こういう展開になろうとは想像できませんでした。
これからどうなるのか。技術的経済的に無理だとかいう説もありますが、判決の「削除」には技術的なな定義はないので、それを技術的経済的に無理のないように定義して(たとえば矢祭町に住民票を移して住民サービスは地元で利用するとか)、原告に納得してもらうことができるのかが問題になるでしょう。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20061209

2006-12-07住基ネット違憲判決 大阪高裁判決全文(速報版) このエントリーを含むブックマーク

首長が上告を断念した自治体も出たという報道もあり、判決の余波はまだ広がっています。

本日、e-GovSecの尽力により、大阪高裁判決全文がオンライン化されました。

このファイルはFax送信された「速報版」で、やや読みにくい部分があります。

住基ネット訴訟(豊中市箕面市吹田市守口市八尾市)大阪高裁判決全文

正式版の公開は、週末以降になるとのことです。

(追記: 上記リンク先のファイルは正式版にさしかえられ、同時にe-GovSecのトップページからリンクされました。)

s-yamanes-yamane2006/12/09 06:22ようやく読み通せました。判決文は後半から佳境にはいります。とにかく長いのですが、双方の主張の合理性をめぐって、「たしかにそのように考えられる、だがしかし」というような、かなり丁寧な議論が積み重ねられています。たとえば住基ネットがもたらす経費削減についての試算の評価、国のセキュリティ調査結果と地方自治体の実態調査、そして実際に住基法以上の情報収集/提供をしたという実例、そして離脱はダメだと主張する側が離脱によるコストを試算していないことなど、専門家ではない裁判官が合理的な判断をするための材料をつみあげています。正式版が待てない人は特に後半部をチェックしてみてください。

s-yamanes-yamane2006/12/09 06:50裁判官が自殺体で発見されたことや審議の延期があったことで、判決時の精神状態がとりだたされたりする向きもありますが、判決文を読めば一貫した合理性があることは明らかです。
 これまでの各地の判決にはどちらかの主張をそのまま採用しているという印象を持ったのですが、今回の判決は双方の主張をつきあわせようとしている印象を持ちました。(全資料を見てみないと採用されない証拠がどれくらいあったのかはわかりませんが)これは非常に対話的な判決文です。
 裁判長については「公害の実態を非常に理解していた人」(http://www.kobe-np.co.jp/kobenews/sg/0000183442.shtml)という報道もなされましたが、今回の判決も、どの程度のリスクを受け入れるべきかという試算と評価を行なっている点では一貫しているかと思いました。

s-yamanes-yamane2006/12/09 07:28 関心をもったので尼崎公害訴訟判決について調べてみました。
http://www.cc.matsuyama-u.ac.jp/~tamura/amagasakihannketu.htm
これは疫学的評価をやってますね。どちらが正しいかではなく、リスク評価にもとづいて和解。疫学はリスクの科学としてコンピュータセキュリティよりも長い歴史をもっていますが、それを法廷に持ち込むことについては津田敏秀「市民のための疫学入門—医学ニュースから環境裁判まで」が参考になります。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20061207

2006-12-06最高裁への上告 このエントリーを含むブックマーク

大阪高裁判決に対して、被告の地方自治体が上告をするのか、するとすればどのような理由なのかという点が注目されます。

5日に大阪府守口市が上告することを決めたという報道が流れましたが、まだ守口市ホームページには情報が出ていません。

また、反住基ネット連絡会からは各市長・市議会長あてに判決文を引用した要請が出されており、判決を受けた反応がではじめました。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20061206

2006-12-03大阪高裁判決とその余波について このエントリーを含むブックマーク

12月1日、大阪高裁が「住民の離脱を認めないのはプライバシー権を侵害し違憲」として、反対住民の住基ネット離脱を認める判決を出したと報道されました。この判決については判決文を入手していないので、週明けから追いかけます。

その一方で、当の裁判長が12月3日に自宅で死亡しているのが発見されました。遺書が発見されないということで詳しい状況は不明ですが、はからずも遺書となった判決文を読みたいと思います。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20061203

2006-08-23サマーセッション このエントリーを含むブックマーク

今月末に反住基ネット サマーセッション in 横浜 2006が開催される。

昨年のサマーセッションの時にも書きましたが、さまざまな分野の専門家を結集するという点でこのイベントを評価してます。ポリシーメーカーからセキュリティコンサルまで。

やはり入管システムは住基ネット2.0なのか。

あ、芹沢一也のリンク先が宴会場になってる...。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060823

2006-08-14発表内容の文章修正 このエントリーを含むブックマーク

ワークショップ発表内容の文章になっていないところを何ヶ所か修正しました。

また、最後に触れた次期入国管理システム(J-VISIT)については、以下でも議論されています。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060814

2006-08-12ワークショップでの発表内容 このエントリーを含むブックマーク

7月に開かれたワークショップでの発表内容です。

住基ネットワークショップ 山根報告 バージョン1.35

CPSR/Japanの山根です。

 セキュリティ研究者(科学者)およびプライバシー担当者(マネジメント) の立場から報告させていただきます。一日で終わらない内容なので、詳しい情報の入手先を書きました。後程参照していただければ幸いです。

A. 合理的な判断とは?

 まず、今回の裁判で科学者が見ている「危険性」と行政が見ている「危険性」とはまったく異なることが明らかになったと思います。よく言われることですが、科学者は「安全か、それとも危険か」という二分法はとりません。具体的危険性が「ある」か「ない」か、という発想もとりません。

 しかしここで科学者の常識が通じないからといって発言を放棄するのではなく、科学的な知見を「社会全体の意志決定」や「これからの社会の制度設計」に還元していくことは現代の科学者の使命だといえます。

 さて科学者がセキュリティについて判断するときは、「セキュリティが高い(100% に近い)」「セキュリティが低い(0%に近い)」という両極の中で、「どちらがどの程度セキュリティが高いのか」という判断を下します。そして、セキュリティが低いのに気がついていない状態を是正しようとします。

では、どうすればよりセキュリティが高いと比較できるのか。この時の判断基準として、もっともよく使われるのが「現在の攻撃方法をつかって、どれくらいのコストをかければ破れるのか」というコストの試算です。

 例として暗号による機密保持についてご紹介します。「強力な暗号を使っているので安全です」という説明をよく見かけます。しかし、絶対に解けない暗号はありません。いいかえれば、暗号を使うことは常に危険です。そこで、どれだけのコストをかければ破れるのかを見積もるのが科学的な発想です。

 たとえば経済産業省の関連団体であるIPA(情報処理推進機構)では、以下のようなコストをかけて攻撃したときに暗号が解読される確率を試算しています。

  • 中規模予算: 1000万ドル(約10億円)
  • 大規模予算: 100億ドル(約1兆円)
  • 超大規模予算: 経済規模最大国の GDP の4% (国防予算にほぼ匹敵)
  • 限界規模予算: 世界の年間 GDP

(情報処理推進機構セキュリティセンター「将来の暗号技術に関する安全性要件調査」2004年)

http://www.ipa.go.jp/security/fy15/reports/crypt_requirement/index.html

こうしたコストをかけて暗号が破られるための試算を行ない、たとえば「これだけの予算をかけて1年間の計算しても、暗号文が解読される確率が0.1%未満である」という見積もりがでたものは問題ないとみなそう、という手続きをとって安全性について判断します。技術の進歩によってこの手続きの内容は更新していく必要がありますが、この手続きを誰もがチェックできるようにしておくことが重要だと言えます。

こうした手続きにもとづいた安全性の議論が積み重なるまえに、科学者不在の拙速主義で住基ネットが稼働したのは悔やまれます。

 たしかに、住基ネットが動く前にその安全性を評価することは非常に難しい。暗号文とちがって、情報システムの安全性は、一つの技術をつかったからといって保証されないからです。(後で述べるようないわゆるプライバシー強化技術を使っても同じです。) 情報システムの安全性は、家のまわりを囲む塀のようなもので、あるところだけを高くしても、低いところが残っていればいくら他を高くしても無駄で、安全性は低いままです。したがって、一番セキュリティの低いところを評価しなければなりません。

 そして住基ネットの議論でセキュリティの低いままのところとして指摘されてきたのは、住基ネット本体ではなく以下の2点です。

1. 住基ネット以前からの各地の既存住基システム

これは各自治体がかけるコストではセキュリティは維持できないでしょう。長野県で検討されたデータセンターを各地に作るのが現実的な対策だと思います。

2. 住基ネットの情報をやりとりする末端

 官邸のホームページを守るのならば、サーバをファイアウォールで守ればすみますが、個人情報を守るには、情報の流れの末端 (the flow of information at the endpoints) を高めないかぎりセキュリティは確保できません。

日本セキュリティ・マネジメント学会誌が住基ネット本格稼働前に提言を出したのも、この観点からです。

一学会の分科会からの「提言」にとどまらず、各界からの知見を結集して検討を行ない、「分析にもとづく危機管理(リスクマネジメント)」を進めるべきでした。しかし当時は情報セキュリティ専門家の層も薄く未熟で、「ファイアウォールがあるから安全」というレベルの議論で片付いていました。そして稼働後になってから問題が指摘されるというのが現在の状況です。


B. リスク分析が評価されない?

 住基ネットのテクニカルな問題点はこれまでも何度か指摘されていますが、裁判では権利についての議論に比べて科学技術の扱いが小さかったように見えます。おそらく、テクニカルな話をすると「技術的欠陥を指摘してもすぐ対応される。だから技術的な批評は意味がない」という考えのかたもおられるのではないかと思います。しかし問題にすべきは技術的欠陥が修正されたことではなく、技術的欠陥の責任者が不在だったり、もっといい改善策と比較しなかったことです。したがって、技術的欠陥の処理については今後も多いに議論すべきことだと考えます。

技術系メディアでの報道の例:

C. データマッチングからリンカビリティへ

 住基ネット訴訟は、一つのシステムに限らず、今後の日本の情報システムを考える上で重要な問題を提起しています。

 というのも、住基ネット同様に、研究者ならば絶対につくらないような情報システムがいくつも発注/受注されており、住基ネットをさしとめても、また同じことが繰り返されることが容易に予想がつくからです。この研究者のセンスを言葉にするのはなかなか難しいのですが、発言を記録した議事録を読むとわかります。たとえば以下の議事録では、固定IDを使うシステムを指して「プライバシー侵害アーキテクチャ」「ダメアーキテクチャ」と呼んでいます。

 こうしたプライバシー侵害アーキテクチャの問題点として、データマッチングの問題があります。これは、「いま」データマッチングをしているのが問題ではなく、「将来」においてデータマッチングを許すような設計になっているのが問題です。このデータ濫用の技術的可能性のことを、専門家は「リンカビリティ」(リンクされる可能性)という言い方で表現します。固定IDを使うアーキテクチャはリンカビリティが高い。それと比較して、固定IDは外部に出さず、使い捨てのチケットだけを発行するアーキテクチャは証明書が盗まれたとしてもリンカビリティが低いと言えます。

 電子自治体の電子申請でこのシステムを稼働させているのがカナダのアルバータ州およびカナダ連邦で、日本でも総務省の報告書や、政府後援の「電子署名・電子認証シンポジウム」で紹介されています。

D. アセスメントの可能性

 公害問題や環境破壊の後、大規模な工事をする際に環境アセスメントを行なうことが義務づけられました。そして情報時代における公害問題を起こさないためにも、情報システムを構築する前に情報セキュリティのアセスメントを行なう試みが広がっています。たとえば住基ネットを動かしてから監査を行なうのではなく、大規模なシステムを構築する際には「事前に」リスク発見やリスク分析を行なうわけです。公害訴訟から環境アセスメントへの展開と同じく、住基ネット論争も将来はアセスメントに発展するだろうと私は個人的に考えています。

 このアセスメントを法制度化したのが、カナダなどの国や自治体で導入されているプライバシー影響評価(プライバシーインパクトアセスメント: PIA)です。カナダのプライバシーインパクトアセスメントについては、先の報告書の第4章および参考資料IIのPeter Hope-Tindallの報告で説明されています.

 近年、アメリカでもPIAはE-Government法によって連邦政府機関には義務づけられるようになりました。アメリカの連邦政府予算案は、OMB(Office of Management and Budget : 大統領府の行政管理予算局) が各省庁から申請された予算をとりまとめて概算要求を提出します。まずこの時点で電子政府関連のシステムにはPIAが要求されます。そして予算がおりても、予算が適性に使われたかどうか、会計検査院(GAO)が情報セキュリティ監査を行なうという二段構えです。

その結果、PIAが徹底していないという監督結果も公表報道されています。

このようにして、現在カナダやアメリカでは連邦政府機関のシステムにPIAが厳しく要求され、政府機関から公共工事を受託する全米の産業界にも大きな影響を与えています。そしてPIAによって、プライバシー保護団体の主張と科学者の主張も近づいてきたという印象を持っています。アメリカではプライバシー保護団体は電子政府システムだけでなく、連邦政府からの委託先や地方公共団体についてもPIAを拡大する主張を展開しています。

こうした海外動向を反映して、国内でも「ネットワーク・セキュリティワークショップ in 越後湯沢」というセキュリティ業界のイベントで、アメリカのプライバシー保護団体が招かれて講演することになっています。

私の見て来た範囲では、PIAの拡大を主張してきたアメリカのプライバシー保護団体は、国内の住基ネット反対運動(の一部)との類似点が見られます。国内のセキュリティ専門家がこうしたアプローチに耳を傾けるようになったのは非常に重要です。

 個人的な見通しとしては、日本よりも早く韓国でPIAは制度化されるのではないかと考えています。以下のように韓国政府もPIAの導入を検討中だとアジア太平洋地域の政府代表者の前で明言しています。

韓国では日本よりも先にプライバシー侵害アーキテクチャが普及してしまったために、近年は中国からのオンラインでのなりすましによるオンライン取引が社会問題になっており、名義を出さない、統一ID を使わないという制度設計のためにPIAの推進は急務だと言えます。

 日本国内では、PIAは先の総務省の報告書のように、まだ一部のセキュリティ研究者が調査研究を行なっている段階です。

  • 田中一郎「 プライバシー・リスクは、システム構築前に検討すべき: 個人情報保護の事前対策を促す「プライバシー影響評価」とは」 (NTTデータ技術開発本部システム科学研究所)
    http://www.riss-net.jp/s-p/pia.html
  • 佐藤亮太, 藤村明子, 雨宮俊一, 間形文彦, 塩野入理, 金井敦(NTT情報流通プラットフォーム研究所) 「プライバシ影響評価(PIA)手法の日本への導入に関する一考察」 コンピュータセキュリティシンポジウム2005 (情報処理学会コンピュータセキュリティ研究会)

 日本国内のアセスメント体制は、世界から大きくとりのこされていると言えます。おそらく、海外での国家プロジェクトの入札に参加するITゼネコンからまずPIA対応の必要性に迫られるでしょう。

国内の法制化の可能性としては、最近話題の日本版SOX法の中に「リスク評価」が入っているので、近い将来には企業(や自治体) のリスク評価業務が今後必須になる事が考えられます。そこでIT企業が「PIAはリスク評価の一部」として整備する方向性も考えられます。

しかし、アセスメントを要求したところで、誰がアセスメントを行えるのでしょうか?次に近年整備が進んでいるプライバシー担当者の仕事について説明します。


E. 制度面での対策: 海外の事例

 住基ネットのセキュリティは、各地の担当者の判断が要求される現代の情報ネットワーク問題を明らかにしました。もはや「ちゃんとしたセンターに発注してます」というだけですむ時代ではありません。

日本では、この判断を下す責任者が誰なのかが決まっていません。だから、吉田さんの著書『地域住民と自治体のための住基ネット・セキュリティ入門―長野県安全確認実験の結果から』でも、まず現場をわかっている人がポリシーをつくれ、と主張されています。これは日本の役所のルールにセキュリティ強化のルールがないので、現場で対応していなかければならないことを示しています。

では、誰がそれをやるべきなのか。

 セキュリティのチェックと強化は、まず誰が権限を持っているのかというところをはっきりさせてから話を進めます。

特に、能力に応じた賃金体系を導入しているアメリカでは、すでに情報システムの担当者にはCIOやCISOといった担当者にはそのための権限や待遇を与えるようになってます。そしていま進められているのが、プライバシー担当者に権限を与える仕組みです。この担当者はプライバシー・オフィサーやプライバシー・プロフェッショナルと呼ばれています。

 この新しい役職であるプライバシー担当者を地方自治体や企業が獲得するにあたって、一番の近道は資格制度です。たとえば自治体職員が昇任する要件の一つとして、セキュリティやプライバシに関する資格を含めればよい。たとえばIAPPという組織は、講習会を受けて試験を通るとCertified InformationPrivacy Professional (CIPP)という認定証を発行します。そして大企業の担当者にその資格を取得しているという仕組みがアメリカやカナダではすでに動いています。

そしてIAPPは優秀な企業や自治体の表彰も行なっています。たとえばカナダ・オンタリオ州の情報プライバシー・コミッショナーが自治体の取り組みとして表彰されています。我々もカナダの自治州の取り組みは高く評価してきましたが、その担当者を表彰するというのはよい考えだと思います。

 実はIAPPの最大のスポンサーはMicrosoft社です。Microsoft社でもセキュリティ担当者は、個人情報保護には制度設計や現場の人材養成が必要だと理解しています。

もはや、アメリカではちゃんとした技術や製品を使っているというだけではプライバシーに配慮しているとは言えない状況になっています。「Microsoft社の最新版を使っています」というだけではなく、「誰が責任をもってやっているのか」「その人はちゃんとトレーニングを身につけたのか」という体制づくりがセキュリティ対策/プライバシー保護に求められています。


F. 正当性 (legitimacy)はどこにあるのか?

 住基ネットがどうしてWindowsベースになったのか、どうしてLASDECが請け負ったのか、という理由は外部にはまったくわかりません。さらに公的個人認証サービスを運用する外郭団体にいたっては、まったくセキュリティとは関係ない組織です。

 私は国内のコンピュータセキュリティシンポジウムの実行委員をやったことがあるのですが、それらの団体から参加者があったためしはありませんし、セキュリティで博士号をとった人材をそれらの組織がリクルートしたという事例も知りません。これは、お役所は基本的にセキュリティ専門家を参加させることに失敗していることを示しています。これが誰も安全性をチェックできない体制を生んでいます。

 海外先進国の電子政府システムはどのようなチェックを受けているのでしょうか。たとえば先に述べたカナダのアルバータ州では、州のオンラインシステムにプライバシー・アーキテクチャーを組み込む作業を進めています(地方自治の先進国では、各州で独自の住民サービスシステムが展開されている)。そして、その実際の内容や開発についての要件はすべて公表されています。さらに、さきほど言及したオンタリオ州の情報プライバシー・コミッショナーが開催するワークショップにわざわざでかけて、外部発表もしています。このワークショップには日本から参加することも可能です。こうして州政府がお互いにチェックし外部からも学ぶという体制で勧められています。

 そこまで公開する必要があるのかと思われるかもしれませんが、国内でも公共性の高い建築の入札について公開コンぺを行なうことはよく行なわれていますね。情報システムの構築においても、公共建築と同様に、談合を排して、提案された設計の採択プロセスを公開することは理にかなっています。

そのシステムを採択した目的が情報公開され,さらに全く立場がことなる人(たとえば海外からの参加者,企業,大学など) を呼んでチェックしてもらうプロセスが重要です.これは住基ネットの稼働プロセスとはまったくことなる考え方です.こうした外部からのチェックがないために、住基ネットは検討不十分なシステムになってしまったと思います。


G. 法外なコスト: US-VISIT, パスポート電子申請システム

 さきほど、これからもダメアーキテクチャがはびこるという予想をしました。

 セキュリティ専門家不在、そして担当者不在で、誰もチェックできないまま業者に丸投げしてしまったプライバシー侵害アーキテクチャの候補として私が考えているのが、入管法改正とともに動きだしたUS-VISIT日本版です。

US-VISITが成功していると考えているセキュリティ研究者は少ないと思います。これは、冒頭にのべたようにどれくらいのコストをかけるのかという試算を行なえばわかります。

たとえば日本語訳もあるセキュリティ専門家、ブルース・シュナイアーは、「悪人を1人拘束するのに1500万ドル」と計算して非合理的な施策だと判断しています。

 さらにUS-VISITの日本版のJ-VISITは、(国会で保坂展人議員が追求していますが)要件定義もなく、アクセンチュアの10万円入札にはまったく裏付けがない。住基ネットを構築した地方自治センター以上に発注側も現場も評価できないシステムが納入されるのではないかと危惧しています。J-VISITには外国人だけでなく日本人も登録できるわけですから、システムの詳細について国民的な議論を行なう必要があります。

 誰がその議論を行なえるのか? セキュリティに関わる情報はなかなか公表されなくても、コストについての情報は公表されています。したがって、コスト評価を行なうのにセキュリティ専門家や科学者であることは必ずしも要求されません。合理的な思考があれば官僚もやっています。

たとえば先日、パスポート電子申請システムに財務省が廃止要請を出しました。

パスポート電子申請システムは住基ネット住基カードとも無縁ではないシステムですが、明らかに効率化になっていない。どれくらいのランニングコストがかかるかも事前に検討していない。でも誰も止められない、結局ITゼネコンのいいなりにお金をとられて、昔のダム建設のような新たな公共工事になっていたわけです。

「旅券の電子申請は一件当たり費用が1600万円」といったコストを、システムを構築してしまった後に明らかにするのではなく、事前のアセスメントで明らかにする人材を育て、裁判所、地方自治体、受託業者という社会の要所要所でチェックする制度設計を行なわないと、納税者の理解を得ることは到底できないでしょう。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060812

2006-07-27東京地裁判決出る このエントリーを含むブックマーク

東京地裁50部での住基ネット差止訴訟の判決全文および要旨が公開されました。
http://www.jca.apc.org/e-GovSec/
報道をいくつか紹介。


追記): コメント制限のお知らせ
コメントspamが定期的にやってくるようになったので、試験的にはてなユーザーのみコメントができるように設定しました。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060727

2006-07-22ワークショップ開催 このエントリーを含むブックマーク

7月21日に都内でワークショップを開催しました。関係者の率直な発言をいただくため、今回のワークショップは招待メンバーだけの少人数の非公開形式で行なわれました。CPSR/Japanからの報告はのちほど公開する予定です。


追記(7/27):


7月下旬の東京地裁判決も、順次e-GovSecでスキャンと公開を行なう予定です。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060722

2006-06-28ワークショップ7月に開催 このエントリーを含むブックマーク

7月に関連領域の専門家を集めたワークショップを開催する予定です。詳しくは後日。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060628

2006-06-14Winnyで結審延期 このエントリーを含むブックマーク

訴訟弁護団による公判予定情報によれば,ウィルス感染によってWinnyネットワークにファイルを流出させたことを斜里町が認め,「パスワードは昨日変更した」と説明した一件を受けて,東京地裁第50部と横浜地裁は審議を延期させて調査を行なうことにしたようだ.
住基端末が攻撃されるリスクは最初から指摘されていたが,被害が出てようやく危険を認識するというところにコンピュータ専門家と司法との認識の違いが現れている.両者はまったく異なる世界の見方をしていると言ってもいい.さらに櫻井よしこの今週の記事ではついに総務省も端末攻撃のリスクを認めたように思われる.

住基ネット全国センターが市区町村の住基ネット担当者に送った「セキュリティホール対策について」という通知文が含まれており、攻撃者にパソコン制御を乗っ取られる危険性があると指摘していた。

リスクを認識するまでに,これほど時間と審議と被害とが必要だったとは....

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060614

2006-05-28Winny漏洩資料の取り扱い このエントリーを含むブックマーク

情報公開ページでは福岡,千葉,和歌山など各地の地裁(第一審)判決が出そろってきました.他方,杉並区も独自に「住基ネット情報受信義務確認訴訟」の訴訟資料を公開しており,住基ネットについての訴訟の論点が入手できなかった2年前とくらべると状況は大きく変わりました.その一方で,行政文書や法律を読むリテラシーの蓄積が情報公開の進展に追いついていないという状況もはっきりしてきたと思います.速報は出るが,議論ができない.地裁判決がでそろったところで,この夏にこれまでの議論を振り返る場を持ちたいと考えています.
また,先月新たに参考資料としてWinny漏洩情報が加わりました.漏洩の事実を認めたと報道された自治体のものと思われる文書ですが,実際に確認をとったわけではないので取り扱いには注意してください.多くの訴訟ではすでに第一審が結審していたあとでこの報道がなされたため,この漏洩および漏洩後の対応やセキュリティマネジメントは審議に反映されていません.

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20060528

2005-10-05東奔西走

ソフトウェア技術者連盟設立大会  ソフトウェア技術者連盟設立大会 - Openlaw日誌 を含むブックマーク

全然作業をすすめてなくてもうしわけありません。(「国側の答弁はどうしてこうもズレているのか」といった他の人のコメントを期待していたのですが、やはり自分がやらないと。)ただいまソフトウェア技術者連盟設立大会(http://lse.ysnet.org/?seminar001)で喋る準備やら人事手続きやらで忙殺されています。住基ネット訴訟は、現場でシステムを運用する人間にかかる負担の問題とか、セキュリティ専門家の責任の問題にも触れています。ソフトウェア技術者連盟は今後そうした現場の問題に関わってくるのではないかと漠然と考えています。

大阪地裁判決大阪地裁判決2006/02/10 03:31e-GovSec事務局の西邑です
2/9午後、大阪地裁が差し止め訴訟関西の判決を出しましたが、e-GovSecサイトにこの判決全文をアップしました(2/10)。あわせて、関西圏5市町の住基ネットセキュリティ担当職員の法廷証言全文も公開しています。ご参照ください。
http://www.jca.apc.org/e-GovSec/

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20051005

2005-09-07資料選定

専門家の証言に注目してみる 専門家の証言に注目してみる - Openlaw日誌 を含むブックマーク

また更新に時間がかかってしまった.新しい仕事を入れたらデスマーチに陥って法廷資料の分析がさっぱり進まず,申し訳ない.これまではどの資料を分析すると限定せずにやってきたのだが,この日誌では範囲を限定して作業を進めることにします.(これは当方の制約上やむをえない措置なので,異なる切口からの分析は随時歓迎します.)

当サイトではコンピュータ専門家の証言とそれに対する反論に注目していたのですが,今回電子化された資料の中で,全国弁護団が経過を説明している「住基ネット差し止め訴訟の現状等についての説明」によれば,たとえば証人尋問が行なわれた法廷には反論は提出されていないけど同時進行している他の法廷では反論が提出されているというような状態になっています.そうした法廷間の状況を補いながら読むのは危なっかしいところもありますが,とりあえずコンピュータ専門家の証言とそれに対する反論に該当する以下の4資料をとりあげます.

  1. 「被告準備書面7」:住基ネットのセキュリティ(被告国等による、長野県安全確認実験にかかわる全面的反論)
  2. 「原告準備書面14」:長野県安全確認実験に関する被告準備書面7↑に対する再反論
  3. 速記録」:証人による長野県安全確認実験に関する証言
  4. 「被告第10準備書面(金沢)」:証言↑に対する被告国の全面的な反論

これらの資料はJCA-NETの資料公開ページのリストから入手可能です.

e-GovSec/Nishimurae-GovSec/Nishimura2005/09/30 14:26e-GovSecPro事務局 西邑です
住基ネット差し止め訴訟(東京地裁)で行われた東京国立市の上原市長による証言の記録を、e-GovSecサイトに収録しました(2005.9.30)。

トラックバック - http://openlaw.g.hatena.ne.jp/s-yamane/20050907