« 一号機はメルトダウン、三号機には黒煙 | トップページ

2011年5月13日 (金)

社会保障・税に関わる番号制度)富士通総研

国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを

2011年5月13日(金曜日)

はじめに

2011年4月28日、政府の社会保障・税に関わる番号制度に関する実務検討会が、社会保障・税番号要綱(以下、要綱。また、社会保障・税番号を共通番号と略す。)を決定した。これは2011年1月31日の政府・与党社会保障改革検討本部による「社会保障・税に関わる番号制度についての基本方針」に基づくものであり、共通番号制度の実現へ向けてまた一歩前進したといえる。

東日本大震災の影響によりその進捗が危ぶまれた共通番号制度だが、粛々と進めていくという政府の方針により、予定どおり要綱が決定された。被災者の生活再建や地域コミュニティの再生等にも資すると明記され、震災からの復興においても、この共通番号が大きな役割を果たすべきと考えられている。

今後、政府は6月に社会保障・税番号大綱を発表し、秋以降に番号法案及び関係法律の改正法案を提出するという予定になっている。日本における番号制度の導入とは、国家百年の大計として国の礎を作ることに他ならない。しかし、ここまでの議論の状況を見る限り、大きな不安を感じざるを得ない。本質的な議論がなされず、検討会を取り囲む様々な空気に流され、土台が揺らいだ仕組みになってしまうことを懸念している。

1.検討過程における問題

要綱の発表に先立つ4月19日、実務検討会の配下で具体的な検討を行っている個人情報保護ワーキンググループ(WG)と情報連携基盤技術ワーキンググループ(WG)が初めて合同会議を開催した。2つのWGは共通番号制度の構築のため、法的な制度設計と技術的なシステム設計を分担して検討しており、法的制度と技術がどのように補完し合って番号制度を構築しつつあるのかが大きな焦点であった。それとともに、この会議は一般公開されたため傍聴することができ、これまで非公開であった情報連携基盤技術WGの状況や2つのWG間のコミュニケーションの状況も確認できる、またとない機会となったのである。

この合同会議を傍聴した結論から言えば、情報連携基盤技術WGの内部では仕組みに関する考え方の統一ができておらず、また2つのWG間のコミュニケーションがまったくできていない状況にあり、法的制度と技術が補完し合って番号制度を構築するという段階まで至っていないことが明らかとなった。

例えば、情報連携基盤技術WGの山口委員から第4回情報連携基盤技術WG山口委員提出資料が提出されたが、ここでは40ページ以上にわたり事務局および2つのWGに対して質問事項が突きつけられている。質問書提出の経緯として、事務局提出の文書を叩き台として議論してきたものの、「記述が曖昧な点が数多くあること、早期に検討すべき事項が将来検討事項として整理されているものがあること、制度面での解決方法を提示しないまま技術的解決ばかりを考えるために無意味に複雑なシステムを構成していること、技術的合理性の無い設計が含まれていること、最高裁判決への対応でその技術的解釈を明確にしていないこと」等の大きな問題が放置されたままであることが指摘され、事務局に真摯な対応を迫るものとなっている。

これに対して事務局からの回答がどうなるのか不明のままであり、個人情報保護WGに対して投げかけられた質問に対しても、その場ではWGメンバーから満足な回答を引き出すことができなかった。情報連携基盤技術WGの議論のベースとなっていた事務局提出文書については、WGが開始されてからさまざまな問題点が指摘されていた。あまりにも複雑な仕組みは運用に耐えられないのではないか、あまりにも無駄が多い仕組みではないのか、複雑さをセキュリティの強さと勘違いさせているのではないかなど、技術者や研究者から意見が出されており、これまで共通番号制度を推進してきたNPO法人東アジア国際ビジネス支援センターもホームページで「情報連携基盤技術WGの骨格案に関する疑問点・危惧点」を公表し、その議論の行方を不安視している。

このような状況の中で要綱が発表されたことはあまりに拙速であり、国家百年の大計ともいうべき番号制度を周囲の空気や流れに任せたまま作り上げていくことを深刻な事態として懸念している。具体的な問題について取り上げるが、1つの事象においてもいろいろな問題が絡み合っているため、3つの切り口で考えてみたい。

2.問題その1:制度と技術の相互補完について

システムというものは、どの部分をどの組織がどのような責任を持って運用するのかという制度が構築されていなければ正しく動かず、決して技術だけで構築できるものではない。先の合同WGの議論では、個人情報保護WGが第三者機関と情報連携基盤の関係について詳細を検討していないことが明らかとなった。

第三者機関とは、番号制度における個人情報の保護等を目的とする、行政機関から独立した委員会という位置づけとなっている。そして、情報連携基盤とは、情報保有機関Aと情報保有機関Bの間の情報流通に介在し、情報保有機関同士の恣意的な情報連携を防ぐ役割を果たす。ところが、基本方針では情報連携基盤を担う機関の所管は総務省となっており、総務省は情報保有機関の1つであるため、情報連携基盤がいくら強固なセキュリティ技術を保有しても、情報保有機関同士の恣意的な情報連携を牽制する効果はまったく無い。原発の安全性を監視する原子力安全・保安院が、原発を推進する経産省の配下にあって機能しなかったのとまったく同じ構図だからだ。

そこで、情報連携基盤技術WGから第三者機関は情報連携基盤にどのように関わって監視するのかという質問が出されたが、「情報連携基盤を常時監視することまでは考えていない」という個人情報保護WGの回答であった。つまり、恣意的な情報連携が可能な組織構造となっており、現在検討されているような複雑なセキュリティ技術は何の役にも立たないことになる。またその反対に、第三者機関が情報連携基盤を常時監視する構造となっていれば、現在検討されているような複雑なセキュリティ技術は必要なく、もっと簡便な方法で恣意的な情報連携を防ぐことが可能となる。

要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている。そして、第三者機関は情報連携基盤を随時監査するというあいまいな表現にとどめられている。このあいまいさが放置されれば、膨大なコストをかけてまったく機能しない複雑なセキュリティシステムを構築するという愚を犯すことになるだろう。ちなみに、オーストリアの方式ではこの情報連携基盤を第三者機関であるデータ保護委員会が担う構図となっており、行政機関同士で恣意的な情報連携はできない仕組みとなっている。

システムの構築においては、法的制度と技術がしっくりと相互補完していることが最低条件である。相互補完の前提条件を議論せずに、2つのWGが個別に議論をしていては完璧なシステムを構築することはできない。いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる。法的制度と技術の相互補完について早急に取りまとめを行い、その前提のもとに制度や技術の設計を再検討する必要がある。

3.問題その2:複雑さとセキュリティの関係

ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">第三者機関とは、番号制度における個人情報の保護等を目的とする、行政機関から独立した委員会という位置づけとなっている。そして、情報連携基盤とは、情報保有機関Aと情報保有機関Bの間の情報流通に介在し、情報保有機関同士の恣意的な情報連携を防ぐ役割を果たす。ところが、基本方針では情報連携基盤を担う機関の所管は総務省となっており、総務省は情報保有機関の1つであるため、情報連携基盤がいくら強固なセキュリティ技術を保有しても、情報保有機関同士の恣意的な情報連携を牽制する効果はまったく無い。原発の安全性を監視する原子力安全・保安院が、原発を推進する経産省の配下にあって機能しなかったのとまったく同じ構図だからだ。

そこで、情報連携基盤技術WGから第三者機関は情報連携基盤にどのように関わって監視するのかという質問が出されたが、「情報連携基盤を常時監視することまでは考えていない」という個人情報保護WGの回答であった。つまり、恣意的な情報連携が可能な組織構造となっており、現在検討されているような複雑なセキュリティ技術は何の役にも立たないことになる。またその反対に、第三者機関が情報連携基盤を常時監視する構造となっていれば、現在検討されているような複雑なセキュリティ技術は必要なく、もっと簡便な方法で恣意的な情報連携を防ぐことが可能となる。

要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている。そして、第三者機関は情報連携基盤を随時監査するというあいまいな表現にとどめられている。このあいまいさが放置されれば、膨大なコストをかけてまったく機能しない複雑なセキュリティシステムを構築するという愚を犯すことになるだろう。ちなみに、オーストリアの方式ではこの情報連携基盤を第三者機関であるデータ保護委員会が担う構図となっており、行政機関同士で恣意的な情報連携はできない仕組みとなっている。

システムの構築においては、法的制度と技術がしっくりと相互補完していることが最低条件である。相互補完の前提条件を議論せずに、2つのWGが個別に議論をしていては完璧なシステムを構築することはできない。いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる。法的制度と技術の相互補完について早急に取りまとめを行い、その前提のもとに制度や技術の設計を再検討する必要がある。

3.問題その2:複雑さとセキュリティの関係

ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">そこで、情報連携基盤技術WGから第三者機関は情報連携基盤にどのように関わって監視するのかという質問が出されたが、「情報連携基盤を常時監視することまでは考えていない」という個人情報保護WGの回答であった。つまり、恣意的な情報連携が可能な組織構造となっており、現在検討されているような複雑なセキュリティ技術は何の役にも立たないことになる。またその反対に、第三者機関が情報連携基盤を常時監視する構造となっていれば、現在検討されているような複雑なセキュリティ技術は必要なく、もっと簡便な方法で恣意的な情報連携を防ぐことが可能となる。

要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている。そして、第三者機関は情報連携基盤を随時監査するというあいまいな表現にとどめられている。このあいまいさが放置されれば、膨大なコストをかけてまったく機能しない複雑なセキュリティシステムを構築するという愚を犯すことになるだろう。ちなみに、オーストリアの方式ではこの情報連携基盤を第三者機関であるデータ保護委員会が担う構図となっており、行政機関同士で恣意的な情報連携はできない仕組みとなっている。

システムの構築においては、法的制度と技術がしっくりと相互補完していることが最低条件である。相互補完の前提条件を議論せずに、2つのWGが個別に議論をしていては完璧なシステムを構築することはできない。いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる。法的制度と技術の相互補完について早急に取りまとめを行い、その前提のもとに制度や技術の設計を再検討する必要がある。

3.問題その2:複雑さとセキュリティの関係

ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている。そして、第三者機関は情報連携基盤を随時監査するというあいまいな表現にとどめられている。このあいまいさが放置されれば、膨大なコストをかけてまったく機能しない複雑なセキュリティシステムを構築するという愚を犯すことになるだろう。ちなみに、オーストリアの方式ではこの情報連携基盤を第三者機関であるデータ保護委員会が担う構図となっており、行政機関同士で恣意的な情報連携はできない仕組みとなっている。

システムの構築においては、法的制度と技術がしっくりと相互補完していることが最低条件である。相互補完の前提条件を議論せずに、2つのWGが個別に議論をしていては完璧なシステムを構築することはできない。いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる。法的制度と技術の相互補完について早急に取りまとめを行い、その前提のもとに制度や技術の設計を再検討する必要がある。

3.問題その2:複雑さとセキュリティの関係

ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">システムの構築においては、法的制度と技術がしっくりと相互補完していることが最低条件である。相互補完の前提条件を議論せずに、2つのWGが個別に議論をしていては完璧なシステムを構築することはできない。いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる。法的制度と技術の相互補完について早急に取りまとめを行い、その前提のもとに制度や技術の設計を再検討する必要がある。

3.問題その2:複雑さとセキュリティの関係

ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">ある団体が最近実施した個人情報の流通や活用に関する国民の意識調査が示すところでは、個人情報の活用を促進するために必要な取り組みとして、法制度やルールの整備、独立機関の設置、国民の意識向上などよりも、セキュリティ技術の一層の向上という回答が最も多かったという。

国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。

合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="TEXT-INDENT: 1em">合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。

骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻しe="LIST-STYLE-IMAGE: url(/img/common/dot_g.gif)">

  • リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
  • IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。
  • 骨格案は技術的に複雑なシステムを構築しているため、国民一般にとっては、あたかも安全性が高そうな仕組みに見えるかもしれない。しかし、専門家であれば、運用するための法制度やルールが整備され、運用可能な業務負荷でなければ、技術は何の役にも立たないことを承知しているはずである。複雑な仕組みを運用する意味がわからず無責任になる、あまりにも煩雑で負荷が高く運用しきれない、このような現場において情報漏洩の危険性が高くなることはシステム構築の常識である。要綱ではIDコードやリンクコードという言葉は使われておらず、その実体が番号であるにも関わらず「符号」という言葉が使われ、国民から見てあまりにも不透明な仕組みになっている。

    このように技術だけで対処しようとするあまり、プライバシー保護上の抜け穴があちこちにできてしまっている。法制度や組織体制も含めて解決すべき問題であり、1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。制度的な議論がなされず、安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻して検討し直すべきだろう。

    4. 問題その3:最高裁判決という要件の不明瞭さ

    要綱の基本的考え方では、国民の懸念への対応が重要なポイントになっていることが示され、なかでも住民基本台帳ネットワーク(以下、住基ネット)に関する最高裁合憲判決がシステム構築の重要要件となっている。最高裁判決によって番号制度に課せられた要件とは6項目あり、その中でも2番目の「②個人情報を一元的に管理することができる機関又は主体が存在しないこと」という要件が、システム設計に大きな影響を与えている。

    具体的には次のような制度設計を行うこととするとされている。

    ②については、(a)情報連携の対象となる個人情報につき情報保有機関(「番号」に係る個人情報を保有する行政機関、地方公共団体及び関係機関(日本年金機構等をいう。以下同じ。)をいう。以下同じ。)のデータベースによる分散管理とし、(b)法令で定める事務について「番号」に係る個人情報を情報保有機関間でやりとりするための電子情報処理組織(以下「情報連携基盤」という。)においては、「民-民-官」で広く利用される「番号」を情報連携の手段として直接用いず、当該個人を特定するための情報連携基盤等及び情報保有機関のみで用いる符号を用いることとし、(c)さらに当該符号を「番号」から推測できないような措置を講じる。

    しかし、なぜ「個人情報を一元的に管理することができる機関又は主体が存在しないこと」という要件から、「番号を用いずに符号を用いること」が導き出されるのかが不明である。最高裁判決を読むと、「行政機関において、個々の住民の多くのプライバシー情報が住民票コードを付されて集積され、それがデータマッチングされ、本人の予期しないときに予期しない範囲で行政機関に保有され、利用される具体的な危険が生じている」と判示したのは大阪高裁であり、最高裁はそれに対してデータマッチングそれ自体が刑罰の対象であり、「個人情報を一元的に管理することができる機関又は主体が存在しないこと」から具体的な危険はないと判断している。

    つまり、現在は個人情報を一元的に管理することができる機関又は主体が存在せず、今後も一元的に管理することができる機関又は主体を存在せしめぬよう第三者機関が監視を行っていれば、何ら問題はなく、わざわざ符号を用いる必要性は無い。ところが共通番号を使って情報連携することは、仮想的に「個人情報を一元的に管理することができる機関が存在すること」になると解釈しているようだ。言い換えれば、仮想的にも「個人情報を一元的に管理することができる機関が存在しない」ことを証明するため、情報連携のためのリンクコードを一時的に発生させているということになる。そもそも情報連携を容易にするために共通番号を導入するという議論が、最高裁判決を持ち出して情報連携を容易にしないために共通番号ではなくリンクコードを使うという議論に変化してきている。

    なぜ、このようなおかしなレトリックが使われているのか。その理由は、第三者機関の存在を排除しようとしているからに他ならない。そして諸外国の番号制度モデルが議論された際、リンクコード方式を採用しているオーストリアモデルに対してマスコミなどが好意的であったことが背景にあると思われる。オーストリアモデルで使っている不可逆暗号方式は、日本では外字の問題があるために適用できないことを筆者が指摘していたため、可逆暗号方式を使ったモデルに変更したようだ。なぜ政府がこれほどまでにマスコミに気を遣うのか、住基ネットのときにマスコミが政府にどのような影響を与えたかを振り返ってみれば、思い当たることもある。

    そもそもオーストリア方式はセクターごとに番号の使い方が完結しており、情報連携は例外的な処理に限られる。日本では社会保障と税をスムーズにつなぐという密な連携が求められており、業務運用上オーストリア方式はそぐわない。公平・公正さ、負担軽減、利便性向上、権利保護を実現するため、番号をどのように使って業務を遂行すべきかという本来の議論の目的を忘れ、最高裁判決に過剰に反応し、マスコミの風潮や国民一般の感情という周囲の空気を読むことばかりが目的となっているように見える。

    おわりに

    30年前のグリーンカード制度の失敗やこの10年近く続いた住基ネット訴訟で、政府は番号制度がトラウマになっているようであり、本質的な議論がまったくできていないように感じる。

    そして、国民の視点が抜け落ちた設計も随所に見られる。例えば、見えない「符号」を使うことにより、自分の情報がどのように連携されているのかを国民自身がチェックできないような仕組みを作ることは、まさに国民の視点が抜け落ちた設計といわざるを得ない。さらに、行政職員の不正を国民が懸念しているにも関わらず、システムを利用する行政職員の認証方法について要綱ではまったく触れられていない。職員の不正を防ぐには、システム利用の際に住基カードあるいはそれに類する本人確認用ICカードを使って認証させるべきと考えるが、要綱ではICカードについて言及しているもののマイ・ポータルにログインするためのツールとしての記述しかなく、行政職員が国民の個人情報にアクセスするときの認証用ツールとしいての記述は無い。これではまったくの片手落ちといわねばなるまい。

    国家百年の大計という言葉を何度も使うが、番号制度は国家の礎である。周囲の空気を読んだり、空気に流されたりして構築すべきものではない。今後、6月に社会保障・税番号大綱が発表され、これをもとに法案が準備されることになる。この2か月間で山積された課題が解決できるとは思えない。過去のトラウマや各省庁の思惑を抱えた行政職員では、国家の礎を構築するという大事業を遂行することにおいて限界があるのだろう。ここはやはり政治のリーダシップが必要である。東日本大震災からの復興においても、番号が無いために義援金の配分や資産の管理・処分などで被災者や被災地は大きな苦労をしている。従来のスケジュールに捉われることなく、法案提出が来年の通常国会にずれ込んでも構わない。同じ失敗を何度も繰り返すのではなく、今度こそは仕切り直しをしてでも、日本が再生するための礎として、国民に役立つ番号制度を作らなければならない。

    関連サービス

    【調査・研究】


    榎並 利博(えなみ としひろ)
    (株)富士通総研 経済研究所 主席研究員
    1981年富士通株式会社に入社、住民票システムや印鑑登録証明システムなど自治体のあらゆるシステム構築に従事する。96年から株式会社富士通総研に出向し、電子政府・電子自治体、地域活性化、行政経営に関する研究やコンサルティングを数多く手がける。また、政府委員会委員、研究機関の委員会委員などを歴任。主な著書『住基ネットで何が変わるのか』、『電子自治体 パブリックガバナンスのIT革命』、『電子自治体-実践の手引』、『自治体のIT革命』など多数。


    « 一号機はメルトダウン、三号機には黒煙 | トップページ

    コメント

    コメントを書く

    (ウェブ上には掲載しません)

    トラックバック

    この記事のトラックバックURL:
    http://app.cocolog-nifty.com/t/trackback/521370/51660791

    この記事へのトラックバック一覧です: 社会保障・税に関わる番号制度)富士通総研:

    « 一号機はメルトダウン、三号機には黒煙 | トップページ

    無料ブログはココログ
    2011年5月
    1 2 3 4 5 6 7
    8 9 10 11 12 13 14
    15 16 17 18 19 20 21
    22 23 24 25 26 27 28
    29 30 31