こんな運用で満足しているなら住基ネットは即刻廃止した方がよい
住基ネットが運用され始めたとき、多くの人が、セキュリティーに多大な不安を抱いていました。セキュリティーとは仕掛けと運用からなるもので、特に前者は陳腐化するのが前提ですから、しっかりと内容を理解した人が適切に運用することが基本となるわけです。しかし、市町村のレベルで、しかも役所の人で、完璧な運用ができるなんてことは全く持って考えられないことです。これが各市町村レベルで完結する話ならともかく、全国オンライン化なのですから、最悪全国民の情報が流出する可能性まであるのですが、ネットワークの費用がどうとかでインターネットに繋がるものと同居する、なんて話を聞いた際には絶対に使うものか、と思ったほどです。まだインターネット経由の流出まではありませんが…
さて
愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。
高木浩光@自宅の日記 - 住民票コードを市町村が流出させても全取替えしない先例が誕生する?, 追記
〜中略〜
町: 住民票コードから個人が特定されることはない。
私: え? 意味がわからないのですが、今回流出したことによって、住民票コードからの個人特定が可能になったのではありませんか?
町: 住民票コードだけからでは個人を特定することはできない。
私: いや、ですから、今回の流出では、住所氏名等と住民票コードとが一人毎にペアになった一覧表が漏れたのですよね? まさか、住所は住所、氏名は氏名、住民票コードは住民票コードで別々に独立な塊のデータだったとか、そんなわけはないですよね。だから、住民票コードからの個人特定が誰にでも可能になったのではありませんか?
町: 住民票コードは行政機関以外では使われていないので、問題ない。不安に感じた住民については変更を希望してもらっているが、希望者はごく僅か。
私: いやちょっと待ってください。まずひとつひとつ論点を確認していきましょう。さきほど、「住民票コードから個人は特定されない」とおっしゃったのは誤りだった、取り消すということでよろしいですか?
町: ……。行政機関以外では住民票コードが使われることがないので、住民票コードがあっても意味を成さない。
高木先生が例によって電凸しているわけですが、椅子から転げ落ちそうになるやりとりが。つまり、結局自分たちが扱っているものが何で、どれほど重要なものなのかがさっぱりわかっていないのがお役所と言うことです。これで民間の事業者には「個人情報保護法」なんて押し付けているんだから笑うしかない。
こんな話もあります
静岡県掛川市の住基カード応用システムを視察してきた。
住基カード利用サービス視察 | Okumura's Blog
〜中略〜
ここは住基カードを取得した市民だけのためのコーナーだ。もちろん住基ネットとは関係ないし,住基カードに予防接種歴が記録されているわけでもない。住基カードにこのためのユニークIDを格納し,それに紐づけられたデータをサーバに照会するだけである。ただ,住基カードを取得してもカードリーダを持っていない人が多いため,住基カード取得者に限りID・パスワードを発行して,これを使うこともできるようにしている。そのための入り口が右下の「カードをご利用でない場合」だ。これをクリックすると,IDとパスワードを聞いてくる。実は住基カードを入れてもパスワード(4桁)を聞いてくるが,住基カードなしの認証ではもう少し長いID・パスワードが必要(ただしパスワードは変更できるようだ)。しかし依然としてアドレス欄はhttp://www.city.kakegawa.shizuoka.jp/で変わらない。鍵マークも見えない。質問したら,裏で暗号化しているのでご安心くださいとのことであった。戻ってからtcpdumpしたらパスワードが見えたような気がしたが,私の気のせいかもしれない。
これは住基ネットとは関係ない(ということになっている)とはいえ、役所のセキュリティーに対する理解の程度が小学生並であることの実例だ。こう続く
この視察の目的である住基カード利用について書こうと思ったのだが,立場上あまり私見を書くとまずいかもしれないので,
住基カード利用サービス視察 | Okumura's Blog
さて、ここから皆さんは何を想像しますか。
セキュリティーなんて、望んでも完璧なものが得られるわけではない、こつこつと積み上げていかなければならない、非常にやっかいなものです。いちばんのセキュリティーは、サービスを提供しないこと。一体このサービスを誰が望んだと言うのか。お役所(と某ベンダー)がやりたかっただけではないのか。住民にメリットがなく(ないわけじゃないけどカードリーダーとか自腹だしね)、個人情報流出の危険ばかりがある、と言うのは一体どこにお金が流れて実現されたことなのだろうか。
2300以上の市町村に優秀な担当2人として、一ヶ月の研修を50万位で受けされるとその間にその優秀な人が仕事をできない損失も考えるとざっと500億くらいか。そのくらいの費用をかけて最低限のセキュリティー知識を浸透させないとお話にならないと思うのだけど、最初の時点でこういったものは実施されたんだろうか。されて無いと思うけど、それはそれですごい利権だな。
とにかく、こういうことが事例として上がっている、ということは住基ネットのセキュリティーが既にぼろぼろで、流出しまくっていてもそれは裏で使用されるものだろうから表面化していないだけかもしれない。電子化される以前と違って物理的には極少量のものになったわけだから、職員の不正持ち出しをきちんと監視する運用がなされていなかっただけで流出が簡単に起きることでもあるし、一度流出すると全部付け替えないと意味を成さない(当然カードの費用は自治体持ちですよ?)。住民票コードが個人の手元にわたっている以上、それが(禁止されていると言っても)どこかで使われてしまうという可能性を念頭においていない上記引用のようなやりとりがある。我々がリスクを軽減させるためには手元に住民票コードを置かない、ということしかないとなると、やっぱり何のためのシステムなのか。コストはかけるべきところにかけないと意味が無いのだ。
追記:上記の掛川市のホームページで、例えば公共料金予約システムはhttpsになっている。ただし、ドメインは「e-yoyaku.city.kakegawa.shizuoka.jp」だ。言及されている予防接種歴は「e-kenkou.city.kakegawa.shizuoka.jp」だ。担当者がアホか、セクショナリズムの弊害で構築事業者が連携できずサーバーを共用できないか、もっと深い理由があるのか。
