住民票コードが市町村単位で流出した事例は過去に1件ある。2002年12月26日に、福島県岩代町の住民基本台帳のバックアップデータを格納したDATテープが、ジュラルミンケースごと運搬中の業者の自動車から盗まれるという事件が起きた。岩代町は、事件発生の報告から46時間後、住民票コードを全部変更する方針を決定して記者会見を開いている。
住民基本台帳のデータの入ったテープが盗まれる被害にあった岩代町では、すべての町民の住民票コードを変更することを決め、その手続きをはじめました。
14.12.28(土) 17:00 記者会見(町、経過説明、住民票コード変更の方針)
ただし、このときも職権による変更*1はできなかったようで、変更の申請を住民から集めるということが行われたようだ。
変更には町民からの申請が必要なためきょうから役場職員が1世帯ずつをまわり、新しいコードへの変更申請書を集めてまわっています。
盗難から4日後の12月30日、福島市内の河川敷で、鍵がこじ開けられたジュラルミン・ケースとDAT3本が見つかった。残り2本はなかったが、「警察によるとDATケース内のテープにさわった形跡はなかった」(総務課の遠藤清一主幹兼情報管理係長)。データも暗号化されていたため情報の漏洩はないように思われたが、住民票コードをすべて振り直すことにした。
「福島県を通して総務省に相談したところ、情報漏洩の可能性が低いため、本人の要請なしに変更はできないと言われた」(遠藤係長)。そこで職員を総動員し、約2300ある全戸を訪問。住民票コード変更の手続きをした。
全町民の住民基本台帳データを記録したテープが盗まれた福島県岩代町は6日、全町民の96.7%に当たる9278人分の住民票コードを変更し、住民基本台帳ネットワーク(住基ネット)に再接続した。(中略)町職員が全世帯を回り、コード変更請求書への記名押印を求めたが、5日夜までに、11世帯25人が住基ネットからの離脱を望んで記名押印を保留し、92人は現行コードを希望、204人は不在で、記名押印を得られなかった。
「本人の要請なしに変更はできない」(職権による変更ができない)の理由はいまひとつよくわからない。日経コンピュータの記事によれば、「情報漏洩の可能性が低いため」との理由が付けられているが、制度上不可能なのにそれが正しく伝えられていない可能性もあるような気がする。もし、岩代町の事例で職権による強制変更が妥当でないとされた根拠が、「回収されたテープ3本に犯人が手を付けた様子がなく、かつ、暗号化されているので漏洩はない」というものであるのなら、今回の、愛南町のWinnyネットワークへの流出はどうなのか。
前回の日記に対して武田圭史さんから「住民票コードはパスワードなのか?」というトラックバックを頂いた。
まず、パスワードという言葉の定義だが、明確な定義があるわけではなく、もし狭義のパスワードを定義するならば、不正アクセス禁止法2条2項が定義する「識別符号」の1号のものだろう。この場合は定義は明確で、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号」である。しかし、広い意味でのパスワードは、例えば文化庁のスローガン「著作権 〜新たな文化のパスワード〜」に代表されるように、単に何かをパスするためのワードというような意味しかない。
武田氏は、住民票コードはパスワードではなく「ユーザID」の方だという。
私の理解では、住民票コードはコンピュータでいうユーザID(またはユーザ名)に相当する概念であり、対象者を一意に特定するための符号である。情報セキュリティの用語で表現すれば住民票コードは個人に対する「識別(Identification)」のための符号と言えるだろう。もちろんこの情報を使えば本人を一意に特定できるため、知らせないことで他人の悪用に対する敷居を高めることはできるが、それを知っているからといって本人と認証するには不十分である。
これに対して、一般にパスワードと呼ばれるものは、その情報を知っているということをもって他の手段で識別された本人が間違いなく本人であることを証明する「認証(Authentication)」のための符号である。通常パスワード登録後は、紙に書きだすことを求めたり画面に表示されことはなく、利用者に対して厳に秘密情報として管理することが求められる。
住民票コードはパスワードなのか?, 武田圭史, 2007年5月23
たしかに、行政手続きの一部において住民票の写しを提出することになっている目的のひとつは、その住所氏名の人物が実在することの確認にある。つまり、架空の住所氏名(故意によるものや誤記によるもの)の申請を拒絶するためには、住民票の写しがあればよい。住民基本台帳ネットワークが構築されて以降は、住民票コードが示されればその目的が達成できるようになった(申請を受け付ける行政機関が、住民票コードで検索することで、住基ネット経由で市町村の住基台帳にその人物が実在することを確認できる)ため、その目的での住民票の写しの提出が不要になった。
その一方で、住民票の写しは、一般には、「本人確認」のためにも使用されている。例えば、銀行で口座を開設する際に住民票の写しがあれば十分とされているのは、架空人物でないことの確認と同時に、実在人物へのなりすましの防止をも目的としていることは、銀行口座開設における本人確認の目的からすれば明らかであろう。
ここで、「住民票は誰でも取れる(住民基本台帳法12条2項)のだからなりすまし防止になっていない」という声が聞こえてきそうだが、第三者が請求する際には目的を示してそれが正当と認められる必要があり(同12条3項、5項)、目的を偽った者には10万円以下の科料という刑事罰が科されることになっている(同52条)のであるから、一定のなりすまし防止効果をもたらしているのであり、なりすまし防止目的が存在しないことを意味するわけではない。
もちろん、重大な犯罪の目的でなりすましをする者に対して、10万円の科料という軽微な刑事罰が抑止効果を持つはずがないという指摘は可能だが、カジュアルななりすまし行為を防止することもこの仕組みの目的であろう。
コンピュータの世界で情報セキュリティを議論する際には、こうした中途半端な仕組みを許さない傾向がある。「サイバーノーガード戦法」という隠語があるように、「悪用は法律で禁止されているから技術的な欠陥を直さない」といった態度に対して批判がある。なぜなら、コンピュータ世界を対象とした議論は、技術的な解決策が存在する場合はそれを採用してしかるべきという思想に基づいているからだ。
しかし、実世界における本人確認手続きはどうだろうか。武田氏が言うような、コンピュータの世界の「識別」と「認証」といった区切りを、実世界に適用することは妥当なのだろうか。
まず、そもそもコンピュータ世界における認証というものが何であるのかを改めて考えてみると、それは、所詮、「ログインしようとしている者がユーザ登録時の者と同一か」を確認するものでしかない*2。
このことは、「掲示板実名制」の実現方法を考えてみるとわかりやすい。匿名掲示板化するのを避けようとユーザ登録とログインを必要とするようにしたとしても、ユーザ登録が何回でもできる以上は、それによって達成できているのは、ある発言とある発言が同一人物によるものであることを示しているだけで、それ以上のものはない。
武田氏が言う「識別」と「認証」は、情報セキュリティ実現のための部品にすぎない。我々が情報セキュリティを議論するとき、部品に着目しているときは、部品が正しく機能するかを技術的論拠に基づいて検討し、部品が駄目ならばその利用システムも駄目という帰結を導くことができる。そのとき、部品を何の目的で使用するかは独立した議論とすることができる(部品が駄目でないことがその利用システムが駄目でないことを意味しない)ため、この部品の切り分け方は都合がよい。
だが、実世界における人の認証というものは、そんな簡単な話にはならない。
まず、印鑑登録と印鑑登録証明という市町村のサービスがあるが、これは、実印は他人に渡さないという前提(コンピュータ世界で言うところの「みだりに第三者に知らせてはならないものとされている」に相当する)の下、印鑑登録証明と登録印鑑があれば本人であると見なすというものである。印鑑登録証明は、近頃流行りの認証APIにおけるcredentialに相当すると言えるが、コンピュータ世界のcredentialでは技術的にその偽造を防止しているのに対し、印鑑証明の偽造防止は刑罰規定による担保しかされていない。この不完全さを技術的に解決しよう(特に電磁的記録の場合は偽造が容易であるから)というのが、電子署名法で定められた仕組みであり、PKIによる技術的な偽造困難性を背景として、電磁的記録の真正な成立の推定を可能にしている。
これらの仕組みも上に述べた意味で「部品」に過ぎない。これらを利用するにも初期登録が必要であって、初期登録のためにこの認証の仕組み自身を使うことはできず、従来通りの何らかの「本人確認」を前提として成り立っている。
また、現実の世界は、この部品を常に使用するわけではない。従来より、実印を必要とするような契約はごく一部に限られていたし、今後も、電子署名法に基づく電子署名が技術的に至高だからといって、銀行口座の開設にそれを求められるようになったりはしないだろう。
なりすましが致命的な問題となるような特に重要な手続きにおいては自動車運転免許証や、保険証、パスポートなどの身分証明書の提示が求められるようになってきているけれども、それらの証明書類とて、取得時に他の証明書に基づいて本人確認をしているのであって、部品の技術論における完全性のようなものはそこにはない。なりすまして証明書を取得する(もしくは偽造する)ことのハードルの高さに応じてアナログ的に評価して、それぞれの手続きのリスク毎に、意義ある確認作業であると考えられているにすぎない。
つまり、まあまあそれなりに本人確認になっているようなものが「本人確認」として使われているのが現実であり、それを広い意味でのパスワードとして「言わばパスワード」と表現した。個別のリスク評価をすることなく一律に、狭い意味でのパスワードに当たらないものを本人確認用途として使ってはならないとする主張は、思想に基づく意見ではあり得ても、論理的帰結として導き出される真理とまでは言えない。
武田氏は、米国のSSN(社会保障番号)の過ちを繰り返してはいけないと言う。
「識別」のための情報を「認証」に用いる誤った例としては、米国で社会保障番号がパスワードのように用いられている事例があげられる。(略)
「住民票コード」がパスワードとして利用されているケースが実際に存在するのであれば、まず修正すべきはその「住民票コード」の利用方法ではないだろうか?米国の社会保障番号と同じ過ちは避けるべきだろう。
住民票コードはパスワードなのか?, 武田圭史, 2007年5月23
米国のSSNの問題は、次の3つに分けられる。
これらは日本の住民票コードには存在しない。住民基本台帳法30条の43で、民間での住民票コードの利用が禁止されている。
では、上記 3. の変形として、「公的機関が、住民票コードの提示によって本人確認しようとしても、他の公的機関で使われてしまっているため、なりすましを防止できない」ということを、セキュリティ問題として主張することができるだろうか?
住基ネット反対派はこれを問題だと主張する。公的機関の職員が、業務上知りえた秘密である他人の住民票コードを悪用する可能性を無視してはいけないと彼らは主張する。
現実の社会はコンピュータ世界の技術論のような限定された前提の上で成り立っているのではない。どこまで行っても完全とはなり得ないのであり、どこかに線を引かざるを得ず、それが法律である。住基ネット反対派が言っていることは、現状の制度よりもよい選択肢があるという主張であろうが、それは思想に基づく意見ではあるけれども、論理によって導き出される真理とまでは言えない。
私は、基本的に、可能な限り、論理によって導き出される真理についてだけしか言わないようにしているつもりだ。その立場では、住民票コードの記載で本人確認とする制度設計を選択すること自体は否定されない。
私から言えることは、次のどちらかしかあり得ないだろうという指摘だ。
現実の制度と運用がこれらのどちらになっているのかは知らない。社会保険庁の「一部の手続きにおいて、住民票コードを記載していただくことで市町村長の証明書等の提出を省略できるようになりました」で挙げられている各手続きがどうなっているか全部を検討する必要がある。
また、仮に現存の手続きの全てを検討して、いずれも住民票コードを本人確認用途で用いていないと確認できたとしても、今後そのような手続きが現れないことを保証する、法令等による定めがない限り、一市町村が上記の(A)だと勝手に解釈*3して、流出した住民票コードの全取替えをしないと決定するのは許されるのか?
と、そのようなこと私は前回の日記で言ったつもりだ。
武田さんから「住民票コードをパスワードにしたくない経済的理由」というトラックバックをいただいたので、追記を。
私自身の考えは、リスク要素も加味した経済合理性の観点から言って(A)を選択するべきと考えている。(略)
特に今回のような情報漏洩が発生する度に住民票コードの総取替が発生し、住民基本台帳カードも全て再発行ということになるのであれば、それこそ「住民票コード利活用の発展は見込めない」ということになってしまう。(本来漏洩があってはならないのだが・・・)
その理屈からすると、認証局の秘密鍵が危殆化しても取り替えないんだろう。
そもそもあってはいけない事態が起きたときの話。本来は、市町村の全住民の住所氏名がその市町村の責任で全部流出したときは、その市町村の大字、小字の名称、番地を全部付け替えるべきと言ってもよいかもしれないところ、それはあまりにも不便になる(住所氏名番地は人が使うものであるし、市町村外の人達、公的機関以外の人達も使っている)ので、しないわけだけれども、それに対し住民票コードは、ただの内部コードなのだから(基本的に機械が使うもので、公的機関の都合で公的機関でのみ使うものだし、既に変更用の仕組みが作りこまれている)、いつでも変えたらいい。「職権による変更はできない」というのがおかしい。
2002年の岩代町のように変更申請書を出してもらうよう全世帯を訪問することが経済合理性がないというのであれば、住民票コードの付け替えが職権で処理できるよう定めておけばよいのであって、ボタン一発で全変更する機能をシステムに作っておくことができるだろう。住民票コードの各住民への再通知の郵送代は、事態の深刻性からすればたかが知れている。
住基カードの取替えというが、住基カードを提示しても(住基ネット端末のないところでは)住民票コードを読むことはできない。社会保険庁もそう言っていた。
なお、住民基本台帳カードをお持ちいただいても、住民票コードが券面表記されておらず、社会保険事務所等では住民票コードを確認することができませんので、市町村長から通知された住民票コードのご記入をお願いします。
年金の裁定請求等における住民票コードの利用について, 社会保険庁, 2003年
そして、住基カードの偽造はできないのだから、住民票コードが漏洩した理由で住民票コードを付け替える場合、住基カード内の住民票コードを変更する必要がない。旧コードの住基カードを提示した際に、住基ネット端末側で新コードとの対応付けができるかと言えば、住民票コードは変更しても旧コードは履歴として住基台帳に記録されているのだから、そのような処理ができる。
公的個人認証を導入している住基カードはどうか。PKIを用いた認証なのだから、そこではもはや住民票コードは本人確認目的に使用していない。
よって、住基カードの取替えは必要ない。
(B)を選択する前提として住民票コードは行政機関内で閉じて秘密として運用されるという前提がある。現在でも行政機関内の個人情報は秘密として扱われているはずだが、実際の運用を考えるといくらか不安な点が生まれる。通常パスワードのような本人確認情報は紙に書いて渡すという行為は行われないが、住民票コードは紙に書いて提示することが求められる。住民票コードを本人確認情報として取り扱うに十分なレベルの保護を行うには従来の事務手続きを大きく見直す必要がありそうだ。
「通常パスワードは紙に書かない」というが、そうだろうか。銀行の暗証番号は登録時には紙に書いて渡すし、ほかにもいろいろある。パスワードは紙に書かないというのは、書かなくて済むコンピュータとネットで完結した世界においてはそうしているという話であって、そうしたある種のセキュリティの掟のようなものは、「可能なことはそうしておけ」というものであって、周りの前提を無視した絶対則ではない。
元々住民票の写しを持ってこさせることだけで本人確認としていた手続き(身分証明書の提示がない)についてだけ、住民票コードが同じ役割用に使われる(ことがあるかもしれない)という話なので、その程度の管理でよいということができるかもしれない。
それに比べて、全情報が流出という事態、本来全変更は簡単という、そういう話だ。
*1 ここで言う「職権」とは何か。住民票は、居住実態がない場合等に、職権で削除できることになっている。(住民基本台帳法第18条「戸籍の附票の記載、消除又は記載の修正は、職権で行うものとする。」等)その類推で、住民票コードの変更を住民の申請なしに変更することを「職権による変更」と言っているのだろう。(電話した際に愛南町の担当者は用語の説明もなく「職権」という言葉を使っていた。)
*2 このことは、生体認証を用いた場合でも同様である。生体認証というと、何か、根源的なところで人を認証しているかのように感じられるかもしれないが、実際には、登録時と同じ人であることを確認しているにすぎない。(生体情報が組織横断的に共通化されて管理されるような事態にならない限り。)
*3 実際には総務省の判断を仰いでいるのだろうが、形式的には一市町村の判断ということになっている。総務省に電話で尋ねた際に担当者は、「愛南町がそのように判断されたということでしょう」と言っていた。
「住民票コード」の流出時に住民票コードの全取替を行う必要をなくすためにも、「住民票コードを本人確認用途で用いてはならない」という法的な規制を加えるのが合理的と考えている。また、そのような規制が行われるまでの間においては、「住民票コードを全取替する」より..