先週の金曜日、富士通総研のコンサルタントらによるコラムのサイトに掲載された、「国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを」という記事が、その日のうちに説明なく削除されるという事件があり、いったい何があったのかと憶測を呼んでいる*1。
政府からの圧力を疑う人が続出していたが、私の感触では、番号制度*2をめぐる現在の状況では、そういうことは考えにくいのではないかと思う。それよりも、この記事の主張の組み立て手法に見られる典型的な不味さが、富士通総研やその周辺の関係者に見抜かれたためではないか。私はそう憶測する。
私は、著者の榎並利博氏とは面識がなく、この方の存在を認識したのは、3月に同サイトに掲載された「住基ネットはなぜ『悪者』となったのか(共通番号[国民ID]を失敗させないために)―住基ネット報道におけるセンセーショナル・バイアスと外部世論の形成に関する研究―」という論文が話題になっているのを目にしたときだった。その記事を読んだときの私の感想は以下のものであった。
2002年ごろの住基ネット騒動で、筆者が言う「センセーショナル・バイアス」による弊害が出ていたことは、私も同意するところで、私もこの日記を書き始めた2003年当時から、たびたび、櫻井よしこ氏らの運動手法を批判的に書いてきた。
しかし、私が懸念してきた住基ネット騒動の弊害というのは、「住基ネットで騒いでいる連中はキチガイであり、プライバシーの問題などそもそも存在しないのだ」という思考に陥る人々を増やしてしまうという意味での弊害である。
榎並氏の「住基ネットはなぜ『悪者』となったのか」を読んで、まさにその代表例だと思った。この論文の「考察および提案」の節には以下の記述がある。
現在、共通番号の設計においてどの番号を使うべきかという論点があり、住民票コードを使うべきか、(住基ネットを活用した)新たな番号を使うべきかという議論がある。そして、中間取りまとめに対するパブリックコメントでは新たな番号を使うべきという意見が多く、2011年1月に発表された政府の基本方針においても(住基ネットを活用した)新たな番号という方針が打ち出された。
しかし、技術者の観点から見れば、新たな番号を使うメリットは何も無く、かえってコストを増大させ、現場運用の負荷を増大させるだけなのである。すでにパスポートや年金事務などのデータは住民票コードで連携されており、新たな番号が追加されるということは、住民票コードと新たな番号の二重体系で運用しなければならないということなのだ。仮に新たな番号を使うことでセキュリティが向上するなら技術者も納得できるだろうが、セキュリティはまったく向上しない。新たな番号はつまるところ「第2の住民票コード」として振舞うことと同じだからである。
それではなぜ新たな番号を使うべきと考える意見が多いのか。有識者の意見は「住民票コードは住基ネットで悪いイメージが染み付いているから」という理由であり、合理的な根拠は無いと考えられる。もし仮に新たな番号が採用されることになった場合、マスコミのリスク報道によって、日本の社会は高いコストと高い運用負荷のシステムを課せられることになってしまったと歴史に刻まれることだろう。
榎並利博, 住基ネットはなぜ『悪者』となったのか (共通番号[国民 ID]を失敗させないために) -住記ネット報道におけるセンセーショナル・バイアスと 外部世論の形成に関する研究-, 富士通総研経済研究所研究レポート, No.368, 2011年3月
「技術者の観点から見れば」とのことだが*3、技術論で言えば、この主張は誤りである。
これが読者に鵜呑みにされては不味いと思ったが、幸い、この論文に対するはてなブックマークコメントを見たところ、既に批判的なコメントが付けられていたので、私としてはそのときは何もしなかった。
そして、今回の消えたコラムは、この論文の「提案」部分を詳しく述べたものとなっていた。今回のコラムによって、榎並氏の主張の根拠が説明されたので、これで誤りの指摘がやりやすくなった。
消えたコラムの誤りを指摘することは、政府の番号制度がどのようなものかを、一般の方々向けに解説するのにもちょうどよい。そんなわけで、私はこの文章を書くことにした。
消えたコラムは何者かによって転載されたようで、探せば今でも読むことができる。
コラムの内容は、今年4月28日に発表された政府の「社会保障・税番号要綱」に対する批判であり、前半と後半に分けられ、前半は、「検討過程における問題」として、個人情報保護WGと情報連携基盤技術WGの議論の進め方に問題があると指摘し、「このような状況の中で要綱が発表されたことはあまりに拙速であり、国家百年の大計ともいうべき番号制度を周囲の空気や流れに任せたまま作り上げていくことを深刻な事態として懸念している」と述べている。
この前半の点については、私も類似の懸念を持っており、3月26日の堀部政男情報法研究会のシンポジウムのパネル討論(動画あり)の場でも、それを述べたところである。
そして、後半の内容は、具体的な問題点の指摘として、「問題その1:制度と技術の相互補完について」、「問題その2:複雑さとセキュリティの関係」、「問題その3:最高裁判決という要件の不明瞭さ」の3点を挙げているのだが、それぞれ、途中までは良い指摘もあるが、そこから導く結論と根拠に誤りがある。
以下、それら3点それぞれについて誤りを指摘する。
榎並氏の消えたコラムは、1月に発表された政府の「基本方針」で「情報連携基盤」の運営を総務省が担うと明記されていたことについて、
総務省は情報保有機関の1つであるため、情報連携基盤がいくら強固なセキュリティ技術を保有しても、情報保有機関同士の恣意的な情報連携を牽制する効果はまったく無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
と指摘しており、これはその通りであり、私も3月26日の堀部政男情報法研究会のシンポジウムのパネル討論で述べている。
しかし、この点は、榎並氏の消えたコラムにも「要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている」と書かれているように、既に解決の兆しが見えている。
問題は、榎並氏はこの指摘に乗じて、次の主張まで展開している点である。
つまり、恣意的な情報連携が可能な組織構造となっており、現在検討されているような複雑なセキュリティ技術は何の役にも立たないことになる。またその反対に、第三者機関が情報連携基盤を常時監視する構造となっていれば、現在検討されているような複雑なセキュリティ技術は必要なく、もっと簡便な方法で恣意的な情報連携を防ぐことが可能となる。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
榎並氏は、第三者機関が情報連携基盤を常時監視していれば、現在検討されているシステム設計は不要だというのである。
ここで先に結論を示しておくと、要するに、榎並氏の論説はいずれも、「番号制度は『フラットモデル』でやれ」という、自説に導くための「為にする議論」でしかない。
内閣官房で検討されている現在のシステム設計は、榎並氏の消えたコラムでは「共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている」と書かれているが、この仕組みは、「国家による一元管理」を防止するためのものとして設計されている。それを榎並氏は「第三者機関が情報連携基盤を常時監視する構造となっていれば」必要ないという。
そういった発想は、「IDコード」と「リンクコード」を用いたID連携システムが、どういう意図で設計されたものかを理解していないために、出てくるものであろう。
内閣官房で検討中の「情報連携基盤」の「IDコード」と「リンクコード」を用いたID変換式連携システムは、OpenID等においても採用されている「PPID(Private Personal Identifier)」の仕組み、すなわち、IdPがRPごとに異なる「仮名識別子」を払い出す仕組みと、同様のもの(内閣官房で検討中のシステムの用語で言えば、「情報連携基盤」が「情報保有機関」ごとに異なるIDである「リンクコード」を払い出す仕組み)である。
このような仕組みは、十数年前、Microsoftが「Passport」によって世界中のWebアプリケーションのログインを一元管理しようと企てた際に、それに対抗して、当時のSun Microsystemsが音頭をとって業界に参加を訴えかけた「Liberty Allience」で、脈々と受け継がれてきた考え方に基づくものである。
この考え方では、その目的と前提を以下のように置いている。
このことは、ID連携に関する知識を持ち合わせた技術者ならば当然のものとして理解しているはずであるし、一般的な技術者にとっても、今日においては、知っていて然るべき基礎素養であろう。
これと同様に考えれば、内閣官房で検討中の「情報連携基盤」がどんな目的と前提を置いているかは、容易に推察でき、次のものと言えるだろう。
榎並氏は、「第三者機関が情報連携基盤を常時監視する構造となっていれば」そんな仕組みは不要だと主張するが、第三者機関が「情報連携基盤」を監視していても、「情報保有機関」同士の結託は防げない。
榎並氏は、消えたコラムで、「いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる」と述べており、こうした仕組みのことを「セキュリティ技術」(単なる情報漏洩対策技術)とみなしている様子で、ID連携技術の基礎素養を欠いているために、この思考に陥っているものと思われる。(もしくは、自説の結論に導くために、意識的に(あるいは無意識に)その点を無視しているのかもしれない。)
榎並氏は、「複雑さとセキュリティの関係」の部分で、やはり、「情報連携基盤」の仕組みのことを「セキュリティ技術」(単なる情報漏洩対策技術)と位置付けているようで、次のように述べている。
国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。
合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、(略)
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
ここでも、3月の論文の「マスコミが糞だから」という論と同様に、「国民は無知だから」という論が用いられているが、実際には、榎並氏がID連携技術の基礎素養を欠いているためにこのような思考に陥っているにすぎない。(もしくは意図的にねじ曲げている*4。)
続く部分では、榎並氏は以下のように述べている。
このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。
リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
いろいろ突っ込みどころがあるが、一つずつ指摘していく。
まず第一に、情報連携基盤の「複雑な仕組み」が「プライバシー上の問題も生じさせる」とし、その具体例として、「社会保障と税の共通番号があれば情報保有機関同士で共通番号でのマッチングができる」という点を挙げているが、「社会保障と税の共通番号があれば情報保有機関同士で共通番号でのマッチングができる」のは、情報連携基盤の「複雑な仕組み」があってもなくてもできるのであるから、「プライバシー上の問題も生じさせる」というのは、論理が単純に誤っている。
第二に、「社会保障と税の共通番号があれば」可能となるのは、社会保障と税の分野に携わる「情報保有機関」同士での「共通番号でのマッチング」であり、任意の「情報保有機関」同士での共通番号でのマッチングが可能なわけではないのであるから、この記述の主張は誤りである。
なぜなら、内閣官房で設計が進められている「情報連携基盤」の仕組みは、社会保障と税の分野だけで使うものではない。将来的に、他の分野の「情報保有機関」がこの仕組みに参加することを予定して設計されているものである。社会保障と税の分野に携わらない「情報保有機関」は、「共通番号」を保有しないので、「共通番号でのマッチング」は不可能である。
「将来的に他の分野も参加」というと、スジの悪い「反対派」の人らが「けしからん」と頭を沸騰させるかもしれないが、これは、プライバシー重視をするがゆえに必要な準備であることを忘れてはならない。もし、IDコード変換方式なしに、社会保障と税の番号制度のためだけに必要な最小限の仕組みとして「情報連携基盤」を構築(共通番号をそのまま用いた情報連携方式を採用)したとすると、将来に、別の分野もこれに参加することになったときに、その共通番号をそのまま他分野でも共通の番号として使う方式に流されてしまう危惧がある。それを避けるために、将来を見据えてこの段階から、IDコード変換方式が準備されていることを理解する必要がある。
第三に、「共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる」とされている点、これは、第一の点と同様に、これが「プライバシー上の問題も生じさせる」という主張となっているのは単純な論理誤りであるが、それに加え、氏名・住所・生年月日で本当に「簡単にマッチング」ができるのかという疑念がある。
もし、氏名・住所・生年月日で本当に「簡単にマッチング」ができるのならば、そもそも番号制度の「番号」は要らない。たとえば、同じ住所に、同じ氏名で、たまたま同じ誕生日の人物が存在する確率はゼロではないのだから、完全に機械処理するわけにはいかず、そういう事態に例外的に対処する必要があるだろう。そういった対処を不要にし、機械的に処理できるようにするために構想されているのが、この番号制度である。
住基ネット騒動で、反対派の主張に対し、容認派が「どのみち、氏名・住所・生年月日でマッチングできるじゃないか」という指摘をすることが多々見受けられたが、住基ネット反対派が唱えていたプライバシー上の問題点を斟酌すれば、それは、マッチングのコストが極端に小さくなることが「国家による一元管理」という脅威をもたらすという指摘であっただろう。
したがって、「氏名・住所・生年月日によるマッチング」の脅威の程度と、番号制度の「番号」によるマッチングの脅威の程度を比較して論ずるべきであり、前者に比べた後者の問題が有意に大きいとする意見は、それなりに妥当性があるだろう。そして、政府はその考え方に基づいて制度設計を進めている様子である*5。
第四に、榎並氏は、現在検討されている「情報連携基盤」の「IDコード」と「リンクコード」が「見えない」番号とされている点について、「国民が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる」と主張するのだが、これは何ら根拠なしに断じているにすぎないし、IDプライバシー専門家としての私に言わせてもらえば、「見えない」番号が内部で用いられることは、何ら「プライバシーの侵害」に当たらない。
この種の番号は、「見える」もの(いろいろなところで使われるもの)ほどプライバシーリスクが高く、実際、この制度でも、「社会保障と税の番号」については「見える」番号として使う(納税者番号として本人が書類に書くなどの利用が想定されている)がゆえに、個人情報保護WGでの法制度設計において、目的外での「番号」の告知要求の禁止規定などが盛り込まれている。「見えない」番号は、誰にも見られることなく秘密が保持される内部IDであるから、それによる追加的な「プライバシーの侵害」が生じることはない。
強いて問題があるとすれば、「見えない」番号がどのような方法でID連携するのか、その仕組みが「見えない」のであれば、そのような政府の取り組みは「プライバシーの侵害」にあたるのかもしれないが、実際には、ちゃんと、榎並氏も見たはずの情報連携基盤技術WGの資料に、ID連携の仕組みは書かれているのであって、公開されているのだから、そのような問題は存在しない。榎並氏は、システムの複雑さについて、
安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻して検討し直すべきだろう。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
と述べているが、仕組みが公開されても複雑すぎて意味がわからないというのであれば、それは単に理解力に欠けるということであり、誰かがちゃんと国民にわかるように解説を出せばよいことである。「自分がわからないから」では理由にならない。
榎並氏は、フラットモデル(すべての情報保有機関や分野で共通の番号を用いる方式)推進派であり、さらには、その番号を「見える」番号とすること(さらには民間での自由利用も)を望んでいると思われる。そのような方式は、米国のSSNの一時期の実態に見られるように、プライバシーの問題を引き起こすものである。
榎並氏は、プライバシー配慮を省略するフラットモデルの信奉者でありながら、自説と方向性の違う政府案を批判するに際して、政府の方式は「プライバシー上の問題も生じさせる」と、真逆の主張を根拠なく展開している。
国民は、このような論法を使ってくる論者には警戒していく必要があるだろう。
次に、続く部分で榎並氏は以下のように述べている。
1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
榎並氏は、防ぐべき事象として「不正行為を防ぐ」ということのみを想定しているように見受けられる。このことは、消えたコラムの「おわりに」の部分で以下のように述べられていることからもうかがえる。
行政職員の不正を国民が懸念しているにも関わらず、システムを利用する行政職員の認証方法について要綱ではまったく触れられていない。職員の不正を防ぐには、システム利用の際に住基カードあるいはそれに類する本人確認用ICカードを使って認証させるべきと考えるが、要綱ではICカードについて言及しているもののマイ・ポータルにログインするためのツールとしての記述しかなく、行政職員が国民の個人情報にアクセスするときの認証用ツールとしいての記述は無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
職員個人による不正を防ぐ必要があるのはその通りであろう*6が、「国家による一元管理」とは、職員個人による不正のことではない。
「国家による一元管理」の懸念とは、国家は国のために善かれと考えればどんなことでもやりかねず、そのような力に対して一人一人の国民はあまりにも弱いということを問題視する立場を言う。そのような状況では、「情報保有機関」が他の「情報保有機関」と結託して、通常の運用から外れた手段でデータマッチングを(高速に)行う可能性があることを危惧するものであろう。
日本国がもしそのような事態に至った際には、榎並氏が言うような「通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能」という方法では対処できない事態となり得る。
そのため、「情報保有機関」同士が結託してもIDによる名寄せができない(一定の範囲を越えて)ID方式を採用したうえで、結託の危険性を「情報連携基盤」運営主体だけに集中させるという設計がとられているわけである。
もっとも、本当に日本国がそのような事態に陥ることがあり得るのかという点については、人それぞれいろいろな見方があるだろう。私個人としては、「日本ではそういうことはなさそうだなあ」という、ぼんやりとした感触を持っているが、いずれにせよ、「国家による一元管理」の防止は、今の政府が、番号制度の設計にあたって重要な課題として掲げている*7のであるから、それに沿って制度設計の議論を進めるべきではないだろうか。
なぜ「個人情報を一元的に管理することができる機関又は主体が存在しないこと」という要件から、「番号を用いずに符号を用いること」が導き出されるのかが不明である。(略)今後も一元的に管理することができる機関又は主体を存在せしめぬよう第三者機関が監視を行っていれば、何ら問題はなく、わざわざ符号を用いる必要性は無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
とあるが、上記に述べた通り、「国家による一元管理」が意味するところやID連携技術の趣旨について、知識が欠けている(もしくは、意識的にあるいは無意識に無視している)ためにそのように思われるのだろう。
続いて、榎並氏は以下のように述べている。
ところが共通番号を使って情報連携することは、仮想的に「個人情報を一元的に管理することができる機関が存在すること」になると解釈しているようだ。言い換えれば、仮想的にも「個人情報を一元的に管理することができる機関が存在しない」ことを証明するため、情報連携のためのリンクコードを一時的に発生させているということになる。そもそも情報連携を容易にするために共通番号を導入するという議論が、最高裁判決を持ち出して情報連携を容易にしないために共通番号ではなくリンクコードを使うという議論に変化してきている。
なぜ、このようなおかしなレトリックが使われているのか。その理由は、第三者機関の存在を排除しようとしているからに他ならない。(略)
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
「仮想的に」の意味がよくわからないが、この主張は、「情報連携基盤」がなぜこのように設計されているかを理解していないまま論を組み立てているために、こうなるのだろう。特に、「情報連携基盤」が「社会保障と税の番号」以外の他の「情報保有機関」の参加を将来的に想定しているという視点を欠いているように見受けられる。
「第三者機関の存在を排除しようとしているからに他ならない」という結論に至っては、やや陰謀論めいてきてはいないか。
続く部分では、例によって「マスコミのせい」と結論付けているのだが、これは国民世論ではないのだろうか。
そして諸外国の番号制度モデルが議論された際、リンクコード方式を採用しているオーストリアモデルに対してマスコミなどが好意的であったことが背景にあると思われる。オーストリアモデルで使っている不可逆暗号方式は、日本では外字の問題があるために適用できないことを筆者が指摘していたため、可逆暗号方式を使ったモデルに変更したようだ。なぜ政府がこれほどまでにマスコミに気を遣うのか、住基ネットのときにマスコミが政府にどのような影響を与えたかを振り返ってみれば、思い当たることもある。
(略)
公平・公正さ、負担軽減、利便性向上、権利保護を実現するため、番号をどのように使って業務を遂行すべきかという本来の議論の目的を忘れ、最高裁判決に過剰に反応し、マスコミの風潮や国民一般の感情という周囲の空気を読むことばかりが目的となっているように見える。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
このように、榎並氏の主張は、いずれも、先に自身が期待する番号方式(フラットモデル)があって、その結論に至るよう都合の良い論を探して組み立てられており、政府案が実際のところどのような趣旨で設計されているかということを理解しようとしていない。
このような論法は、わかる人が見れば言葉の端々から一見してピンとくるものであり、今回のコラムが消えたのには、そうしたことが見抜かれたためではないだろうか。
じつは、榎並氏のような発想に至るのには、無理もない面もある。というのは、上記で私が示したような、「情報連携基盤」のID変換方式採用の趣旨(目的と前提)は、これまでのWGの資料には書かれていないからだ。
それだけでなく、情報連携基盤技術WGの公開資料「情報連携基盤技術の骨格案」を見ると、次のような記述が散見される。
IDコードは情報連携基盤において管理されることとなるが、仮にこれを情報保有機関も共有し、それで情報連携基盤にアクセスさせることとすると、万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性がある。そこで、「番号」を含む利用番号とIDコードの間にIDコードと対応関係のある別の「見えない」コード(以下「リンクコード」という。)を介在させ、原則として情報保有機関ごとに異なるリンクコードを付与し、情報保有機関はそれぞれのリンクコードを用いて情報連携基盤にアクセスすることとすべき(略)
社会保障・税に関わる番号制度及び国民ID制度における情報連携基盤技術の骨格案(その1)
これを文章通りに捉えると、「リンクコード」を用いたID連携を行う目的が、万一の漏洩事故発生時の影響を小さくするため(情報漏洩対策)であるかのように見えてしまう。
もしそういうものだとすれば、それは技術的に言って、セキュリティ上、意味がない。漏洩が起きたらそもそも駄目なのであるし、漏洩を仮定するとこの方式で影響を小さくすることにはならない。
そのことから、今になって、政府案に対して「複雑なセキュリティ技術は何の役にも立たない」といった声が続々と湧いてきているのであろう。
しかし、「情報連携基盤」のID連携方式の本来の設計趣旨は、上に私が述べたものであろう。じつは、この「情報連携基盤」の仕組みは、「国民ID」としてだいぶ前から検討されてきたものであり、「社会保障と税の番号制度」へ統合された際に、担当する部署が変わっている。こんなことになっているのは、おそらく、現在の「情報連携基盤技術の骨格案」の執筆担当者が、以前からの引き継ぎができていないために、「国民ID」の元々の「情報連携基盤」の設計趣旨を知らないまま、素人考えで「万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性」などといったことを安易に書いてしまったためではないかと、私は推察している。
そうであれば、本来の趣旨を「大綱」までにちゃんと書き込めばよろしい。
榎並氏が消えたコラムの冒頭で、「情報連携基盤技術WGの山口委員から第4回情報連携基盤技術WG山口委員提出資料が提出されたが、ここでは40ページ以上にわたり事務局および2つのWGに対して質問事項が突きつけられている」とあるが、その内容を見てみると、たとえば次のようにある。
【質問】
IDコードを情報保有機関と共有させないことについて、「情報保有機関ごとに異なるリンクコードを付与し、情報保有機関はそれぞれのリンクコードを用いて情報連携基盤にアクセスすることとすべきではないか」とあるが、その理由について、「仮にこれ(IDコード)を情報保有機関も共有し(略)こととすると、万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性がある」からとされている。ここで、他の情報保有機関にも波及するという影響とは、どのような脅威のことを指しているのか。具体的に、IDコードが誰に漏洩した場合に、誰によってどのような「影響」がもたらされると想定しているのかを回答いただきたい。【趣旨】
政府基本方針は、情報連携基盤について「各機関間の情報連携は情報連携基盤を通じて行わせることにより、情報連携基盤がデータのやり取りの承認やアクセス記録の保持を行い(略)個人情報保護に十分配慮した仕組みとする」としているが、その実現に際して、IDコードとリンクコードを用いた方式を採用する狙いは、はたして情報漏洩対策なのか。そうではないのではないか。【想定される答え】
情報漏洩対策のつもりでこのようにした。政府基本方針の趣旨が情報漏洩対策以外のところにあるというのであれば、それが何なのか明らかにしたい。
この「質問書」は、あくまで質問という形式をとっているものの、「趣旨」のところに書かれているように、「狙いは本当にそれなのか、違うのでは?」という指摘をするものとなっている。他の質問でも、多くがそういった趣旨のものになっている。
必要なことは、現在の担当者である連携基盤技術WGの事務局が、ちゃんと本来の設計趣旨を理解して「骨子」に記述することであろう。私も、3月26日の堀部政男情報法研究会のシンポジウムのパネル討論で発言させて頂いたことをきっかけとして、情報連携基盤技術WGと個人情報保護WGの事務局の方々と、直接お目にかかって話をする機会を頂戴し、既に4月中旬の時点で、上記の考え方についてご説明してきた。おそらくは、今後この問題点は改善されていくと期待できる。
それなのに、榎並氏のようなフラットモデル信奉者(山口委員提出資料の質問趣旨とは真逆)が、自説の補強のためにこの「第4回情報連携基盤技術WG山口委員提出資料」を参照して、事務局を無能呼ばわりするというのは、まことに滑稽なことである*8が、これは予見されたことでもあっただろう。おかげで、このように、番号制度の検討が今どういう状況なのか、わかりやすく解説することができて私は嬉しい。
ところで、このような、フラットモデル信奉者が、榎並氏と類似の論理展開をしてくる事例は、他にも散見される。そういった方々の言い分を、Twitterで議論して確認した様子を以下に示す。
昨年から、私は、国民ID関係で、慶應SFCのシンポジウムのほか、堀部政男情報法研究会シンポジウムでも複数回登壇して発言をしてきているが、榎並氏から話しかけられたことはなかった。「本質的な議論がまったくできていない」というのであれば、私と公開で議論をしたらよいだろう。
*1 富士通総研の消えた共通番号提言に対する反応 #kokuminID, Togetter, 2011年5月14日
*2 正式には「社会保障・税に関わる番号制度」というもの。
*3 榎並氏のご経歴を確認したところ、1981年に文学部考古学科をご卒業の後、富士通に入社されてシステムエンジニアとして自治体向けシステムの開発に携わってこられたとのこと。しばしば、法律系の方々と話をしていると、「技術者といえばSE」という発想がなされている場面(たとえば、第三者機関に専門家を集めるという話題の中で、「法律系には弁護士や法学研究者を採用し、技術系にはSEを採用する」という話が出て、ひっくり返ることがある)に出くわすが、SEは必ずしも技術者とは限らない。いわゆる上流工程にあたる「顧客の要求に対する聞き取りをして要求定義を行い、構築する情報システムの内容を明確化する」といった仕事は、技術的素養を持たずにする場合もあり、ましてや情報セキュリティの技術面についてセンスや知識があるかどうかは疑わしい。
*4 「情報保有機関」同士の結託の可能性を問題点と認識していないにしては、次のところで「共通番号でデータのマッチング」という話を持ち出していて、ということは「情報保有機関」同士の結託の可能性を脅威として認識しているはずであり、矛盾している。
*5 ただし、この考え方を尊重するのであれば、「情報連携基盤」のID連携を用いて各「情報保有機関」が保有する住所情報を自動的に同期する(全部の住所情報を一致させる)といった処理は実現するべきでない。住所情報の更新は、本人の同意を得てするように設計するべきであろう。「リンクコード」があれば人を確実に識別できるので、もはや住所は、連絡手段の一つとしての意味しかなく、重要でないのだから、住所を自動同期する必要がない。
*6 WGでもその論点は出ていて、将来そのような対策を進めていくという話になっていたと記憶している。
*7 榎並氏はこのことについて、「番号制度は国家の礎である。周囲の空気を読んだり、空気に流されたりして構築すべきものではない。(略)過去のトラウマや各省庁の思惑を抱えた行政職員では、国家の礎を構築するという大事業を遂行することにおいて限界があるのだろう。ここはやはり政治のリーダシップが必要である。」として、切って捨てているが、そもそも、今の政府方針は、与党民主党の政治リーダシップによって決定されたものだったものではなかったか。
*8 榎並氏は、山口委員提出の質問書から「無意味に複雑なシステムを構成している」という部分を引用して、自説の補強に使っているが、この「無意味に複雑なシステムを構成している」というのは、質問書の質問B-6「マイ・ポータルのログイン認証方式として、認証用シリアル番号は認証局においてのみリンクコードと紐付けが行われるようにした点について」のことであって、榎並氏が言うような「IDコード」と「リンクコード」の変換を用いたID連携方式を「無意味に複雑なシステム」と言っているわけではない。ちなみに、この質問が指摘していた、マイポータルのログイン認証でリンクコードを使うという「無意味に複雑」な方式は、既に案が変更され、現行の案では概ね普通の方式に改善されている。
前回の日記で参照した、消えた富士通総研のコラムの著者、榎並利博氏の著書「共通番号(国民ID)のすべて」(2010年12月発行)を読んでみたところ、消えたコラムと同様の問題のあるものだった。いくつかかいつまんでそれを示す。
たとえばp.24、ここは「住基ネット反対論拠の崩壊」という節の一部で「代替手段(名寄せ)がある」という見出しの部分。見出しから想像するに、「どのみち住所氏名等で名寄せできるのだから、番号による名寄せの危険を挙げる反対論など馬鹿げている」という主張かと思ったら、そうではなかった。ここに書かれていることは、
実はどのような優秀なプログラムを作成しても、技術的に「名寄せ」は不可能なのである。しかし、その事実が正しく取り上げられず、報道されなかったことは非常に残念である。他の例でも同じであるが、実際に被害が起きてはじめてやっと気づくのである。
この「名寄せ」の不可能性については、残念なことに国民の犠牲という大きな被害を伴って証明されてしまった。2007年5月以降、年金の納付記録問題で名寄せの問題が顕在化し、持ち主のわからない年金の納付記録が大量に発覚することとなった。(略)日本人の氏名を正しくコンピュータで管理・表現することは技術的に不可能なのである。
共通番号(国民ID)のすべて, 榎並利博, 東洋経済新報社
という内容になっている。書いてあることはその通りだが、それがいったいなぜ「住基ネット反対論拠の崩壊」なんだ?と疑問に思いつつ読み進めると、続いて次のように書かれている。
この年金問題は、台帳による裏付けのない基礎年金番号という番号が、いかに国民に不利益をもたらすものであるかを証明することになった。そして「名寄せ」という手段があるから共通番号は必要ないという反対派の論拠が一挙に崩壊したのである。
共通番号(国民ID)のすべて, 榎並利博, 東洋経済新報社
お前は何を言っているんだ。
「反対派」が言っていた名寄せの問題というのは、「分野をまたがっての名寄せが共通の番号によって容易になってしまう」という指摘であって、「名寄せという手段があるから共通番号は必要ない」などという意味不明な主張は聞いたこともない。
何を混同してこうなったのかよくわからないが、いずれにせよ、正しくは次の通りである。
年金をめぐるその問題から言えることは「初めから番号で管理しておく必要がある」ということである。その番号は年金専用の番号であれば十分であり、他分野と共通の番号である必要はない。ただし、同じ人が複数の年金番号を持つことがない(番号の唯一無二性)よう、何らかの手段でそれを保障する必要がある。それを各分野で手作業で実現すると多大なコストとなることから、たとえば、住民票コードが既に番号の唯一無二性を実現しているのであれば、住民票コードを基にした何らかの方法で、年金番号の唯一無二性を実現することが可能である。それは必ずしも、年金番号と住民票コードを同一にする必要性はない。
今、内閣官房で設計中の「情報連携基盤」は、住民票コードの唯一無二性を借りて生成する「IDコード」を基に、各分野に別々の「リンクコード」を払い出す方式で実現されようとしている。これにより、住基ネット騒動のときに懸念されていた、「分野をまたがっての名寄せが共通の番号によって容易になってしまう」との指摘に対し、配慮した仕組みとなっていると言える。*1
これまで、「分野をまたがっての名寄せが共通の番号によって容易になってしまう」との懸念に対し、推進派(プライバシー軽視派)が「どのみち住所氏名等で名寄せできるんですよ」と主張することが多々あった。それに対するプライバシー擁護派の反論は、「共通番号が生まれることによって名寄せにかかるコストが格段に小さくなる」ということになるわけだが、このことは、まさに、榎並氏の言う通り、「どのような優秀なプログラムを作成しても、技術的に『名寄せ』は不可能なのである」、「日本人の氏名を正しくコンピュータで管理・表現することは技術的に不可能なのである」という理由を背景としている。
つまり、榎並氏は、プライバシー擁護派に対して「論拠が一挙に崩壊」と言ったつもりが、実は、プライバシー擁護派の論拠を補強することを書いているわけである。何重にも理解が足りてないと評せざるを得ない。「反対派」を馬鹿と決めつけたいばかりに「反対派」の馬鹿な主張ばかり見ているから、こうなったのではないか。
次に、たとえばp.89、「共通番号とIDの問題」という節は、以下の書き出しで始まっている。
よく番号の問題とIDの問題が混在し、番号がばらばらならばOpenIDやSAML2.0でIDを統合すれば良いではないかという議論が起こることがある。
共通番号(国民ID)のすべて, 榎並利博, 東洋経済新報社
榎並氏は「フラット派」(すべての情報保有機関や分野で共通の番号を用いる方式を推す人々)なので、この書き出しからすると、この節はフラット方式でなければならない理由を書いてくれるのかと期待して読んだのだが、そういうことは書かれていなかった。書かれていることは以下の内容である。
OpenIDおよびSAML2.0とは、どちらもウェブサイトにおけるシングル・サイン・オンを実現する技術のことである。インターネットで行う宿泊予約、図書館蔵書の予約、飛行機の予約など、すべて異なるIDとパスワードをそれぞれの画面で入力して操作するのはとても不便を感じる。だから一回のIDとパスワード入力ですべての処理が操作できるシングル・サイン・オンの機能があれば便利だと誰もが思うだろう。そのような便利さを追求するのは構わない。(略)しかし、これは番号の問題ではない。
もう少し詳しく解説しよう。情報技術にあまりこだわらない方は読み飛ばしていただいて構わない。(略)まとめると、(略)専門的に言えば、情報システムの利用を可能とするために、識別(アイデンティフィケーション)・認証(オーセンティケーション)・認可(オーソライゼーション)というプロセスを経るときに使われるものがIDなのである。この意味からいえば、行政で利用される共通番号とはアカウントの実体(アカウントそのものではない)であり、IDではない。
共通番号(国民ID)のすべて, 榎並利博, 東洋経済新報社
何を言っているのかよくわからないが、この節を最後まで読んでも、期待したことは書かれていなかった。これは要するに、以下のようなことになっているのだろう。
番号制度の議論では、「フラット方式」(すべての情報保有機関や分野で共通の番号を用いる方式)か「セクトラル方式」(情報保有機関や分野ごとに別々の番号を用いる方式)かという論点があるところ、榎並氏は「フラット方式」を推す「フラット派」である。「フラット派」の一部には、「セクトラル方式」に対して「そんなことが本当に実現できるのか」と疑念を抱く情報技術に疎い人々がいるので、「セクトラル方式」を推す人々は、「OpenIDやSAMLでそれが実現できる」と説明をすることになる。
OpenIDやSAMLを用いれば、ID変換によって個別の番号(PPID)を払い出すことができ、情報保有機関や分野ごとに別々の番号を用いることができるので、「共通の番号による名寄せが容易になる」というリスクを回避することができる。それが「セクトラル方式」によるプライバシー配慮の仕組みである。
番号制度の議論においてOpenIDやSAMLの話が出てくるのは、そういう文脈であるにもかかわらず、榎並氏は、「OpenIDやSAMLはシングルサインオンを実現する技術だ」と頓珍漢なことを言っている。
たしかに、SAMLが単なるシングルサインオン実現用途でしか普及していないという現実はある。Liberty Allianceが当初目指した「プライバシー保護のためIDを別々にする」*2という目的は、技術的には既に達成したものの、そうした用途での普及(一般Webサイト間の連携用途での普及)は進まず、企業内での利用(ユーザIDがバラバラの既存の社内システムを統合して、シングルサインオンを低コストで実装する用途での利用)にとどまっているという現実がある。榎並氏は、SAMLをそういうものとしてしか理解しておらず、元々の趣旨を知らないのではないか。*3
プライバシー擁護派は「番号はばらばらであるべきである」と言っているのに、榎並氏はそのことを指して、「番号がばらばらならばOpenIDやSAML2.0でIDを統合すれば良いではないかという議論」とねじ曲げて解釈している。意図的にねじ曲げているのでないならば、技術への根本的な理解が足りていないと評せざるを得ない。
この本の読者は、「情報技術にあまりこだわらない方は読み飛ばして」とか「専門的に言えば」と書かれているのを見て、「ああ、この著者は情報技術の専門家なんだな」と思ってしまうであろうから、注意が必要である。
他にも突っ込みどころは多々あるが、きりがないのであと1つだけ。最後の章に「個人情報を活用した地域における景気対策」という節があり、次のように書かれている。
個人情報保護法が制定されて以来、個人情報に対する過敏な反応が広まっており、個人情報を利用することが悪であるかのような雰囲気さえある。個人情報を悪用することが社会的に問題なのであって、個人情報を使うことが悪いわけではない。(略)
例えば、自治体の例を考えてみよう。自治体は住民の個人情報を保有しているが、それを利用して地域における景気対策を実行することもできるはずだ。(略)
住民情報を活用した景気対策とは、民間企業がダイレクトメールを発送するにあたり、自治体が保有する住民情報を活用することで、有効かつ的確なダイレクトメールの発送が可能となり、地域の消費マインドを高めることで経済の活性化を図ることができるというものである。(略)
民間事業者は、ダイレクトメールのサンプルと申請書を自治体に提出し、その内容を自治体が審査する。審査基準については自治体が独自に設定すればよい。(略)など、好ましくない事業者の参加や個人情報の流出を避けることを目的とした審査基準を作ればよい。(略)
民間事業者にとっては、行政が保有する住民情報が利用できるため、性別・年齢だけでなく年収区分や家族構成に適したダイレクトメールを送付することができるため、通常よりも大きな効果が見込まれる。また、住民の個人情報は自治体が取り扱い、自治体が条件抽出した宛名シールを貼付するため、民間事業者は個人情報に一切触れることなく、住民のプライバシーは保護される。自治体にとっては、事業の費用を民間事業者が負担するため、財政支出が不要であるというメリットがある。(略)
共通番号(国民ID)のすべて, 榎並利博, 東洋経済新報社
これを是とするか非とするかは、国民が判断することであろうから、私はあえて何も言わないが、榎並氏はそういう立場の人だということであろう。この本のAmazonでの書評では、星5つを付けた読者レビューでさえ、この部分への違和感が書かれている。なぜこの提案が嫌われるのか、榎並氏は知る由もないのだろうか。
ところで、前回の日記で参照した消えた富士通総研のコラムで、「諸外国を参考とした番号制度モデル比較論と社会情報学の役割」という榎並氏の論文(日本社会情報学会第25回全国大会、2010年9月)が参照されていたので、これも読んでみたところ、やはり同様に問題があり、特にこの文献では問題が顕著になっている。
この論文の書き出しは、
1.はじめに
社会情報学とは何か、明確な定義は確定していないが、一つの考え方として情報技術と社会制度の間を橋渡しする領域における学問であると位置づけることが可能であろう。社会システムの制度設計にあたっては、制度側からすれば情報技術に依存し、情報技術側からすれば制度に依存する傾向にある。相手に対する知識が乏しい状況において、相手方へ依存することは、大きな誤謬を招き、社会システムを破綻させる可能性がある。
(略)番号制度の設計においては、行政学及び公共政策学的な見地のほか、情報工学および情報システム学などの知識が必要となることは無論のこと、両者が重なり合う領域を対象とした社会情報学的な見地が必要である。
本論文では、番号制度の検討における情報連携というテーマを社会情報学的な見地によって分析する。そして、日本が採用すべき番号制度として、先行研究ではセクトラルモデルを推奨しているが、本研究ではフラットモデルを採用すべきこととを主張したい。
2.先行研究における最適モデルの方向性
(略)
このようにほとんどの研究が、国民の不安感に対処するため、統一番号を回避するか、フラットモデルではなくセクトラルモデルを採用すべきとの方向性を持っているのが現状である。これらの研究は、行政学・公共政策学的な見解、および情報工学・情報システム学的な見解としては評価できる。しかし、両者が重なり合う社会情報学的な視点から見たとき、限界があり、より有効な方法が求められる。
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
となっている。「フラットモデルを採用すべき」とし、その論拠として、セクトラルモデルを推す従来研究は「社会情報学的な見地」を欠いているという主張のようだ。「制度側からすれば情報技術に依存し、情報技術側からすれば制度に依存する」ため、「大きな誤謬を招き、社会システムを破綻させる」という。
では、榎並氏の言う「社会情報学的な視点から見たとき」のセクトラルモデルの問題点とは何だろうか。これは、第6節の「両モデルに対する各立場からの視点とその問題点」で、以下のように書かれている。
(1)行政学や公共政策学からの視点(政策担当者)
国民の不安を解消し、政策を推進することを第一義とするため、次のような視点を持つ。
- 国民の不安を解消するために、セキュリティが技術的に100%完璧であることを求める。
- セキュリティ技術の完璧性を前提としているため、問題が発生した場合の国民保護の仕組み(第三者機関の設置など)については消極的である。あるいは組織の権限を外部から規制されたくないという組織拡大志向を持っている。
それゆえ、オーストリア方式については、複雑な技術を駆使しているため完璧に見え、かつ国民の不安を解消させるツールとしても有効であると判断する。実施後問題があれば、政策的な問題ではなく技術的な問題としてすり替えが可能である。
(2)情報工学や情報システム学からの視点(専門家)
情報工学の立場からは次のような視点を持つ。
- 100%安全で完璧なセキュリティ技術などあり得ない。しかし、100%に少しでも近づけることが情報工学としての技術的使命であると考えてしまう。
- オーストリア方式については、技術的な整合性に問題があるかどうかを判断する。
それゆえ、オーストリア方式については、技術論的な整合性がとれているため、良い方式であると判断する。実施後問題があれば、技術的な問題ではなく行政実務の問題としてすり替えが可能である。
ここで両者の問題点について検討してみる。行政学および公共政策学からの視点においては、100%のセキュリティが担保されれば、そして国民が納得すればそれで問題が解決したと錯覚することにある。少なくとも、オーストリア方式の複雑なセキュリティ技術ばかりを注目してしまうため、技術的な運用可能性について見落としてしまう。行政実務と情報システムの関係性について知識が無いために、無関心になってしまうことが原因である。(略)
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
このように、ここでもまた榎並氏は「皆が無知だからそういう選択になる」という論を展開しているが、無知が原因であるなら、知識を与えて設計させればよいのであって、それ自体が方式の問題ということにはならない。
そればかりか、やはりここでも、番号を別々にする方式の意義を「セキュリティ技術」と位置づけており、ID変換による連携方式の本来の意義を理解していない(前回の日記で指摘した通り)わけで、基礎的な知識を欠いたままこの論を展開している。たとえば、第7節の「社会情報学的な見地からの考察:フラットモデルについて」では、フラットモデルの課題として以下の点のみを挙げている。
7.社会情報学的な見地からの考察:フラットモデルについて
フラットモデルは、個人情報の収集や「なりすまし」という問題があり、これにどう対処していくかが課題となる。
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
番号を情報保有機関あるいは分野ごとに別々とする方式は、「国家による一元管理の懸念」への配慮であるのに、この点をフラットモデルの課題に挙げていない。
続く第9節には、こんな記述もある。
9.日本がとるべき道 ― 採用すべきモデルと不安解消装置のあり方
結論として、日本が採用すべきモデルはシンプルな設計でシンプルに運用できるフラットモデルが最も望ましい。(略)
(略)過度に複雑な仕組みや高度な技術に頼ることは、かえって危険であり、次の問題を招く。
(1)トラブル時の対処ができない
(略)
(2)複雑さの罠によってパニックを起こす
複雑な仕組みや高度な技術を使っていると安心だと思い込んでしまうことが問題である。技術とは完璧なものではない。常に様々なトラブルを想定して、システムの停止を回避する設計を行い、国民の不安感を解消する制度を作らなくてはならない。複雑な仕組みや高度な技術を使っているから安心だという理由で、第三者機関や国民自らによる監視の仕組みをおろそかにしてしまうことは非常に危険である。
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
「思い込んでしまうことが問題」なら、思い込まないようにすればいい話なわけだが、そもそも、OpenIDやSAMLのPPIDのような仕組みが「高度な技術」というほどの複雑なものなのか。現に広く普及しつつある技術なのだが、富士通の技術力ではパニックを起こすよとでも言わんとしているのだろうか。
その他、明らかにおかしな点としては以下の記述がある。
(略)分野別PIN(28桁の英数字)を生成するには、「文字列拡張→SHA-1でハッシュ化→Base64標準でコード化」という手順で行われる。このように、かなり処理負荷の高いアルゴリズムの計算を行わなければならない。
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
SHA-1やBase64が「かなり処理負荷の高いアルゴリズム」だそうな。(富士通のシステムエンジニアにはそう見えるのか?)
そして最後はこう締めくくられている。
おわりに
これまでに述べたように、一見セキュリティが高く運用が可能に見えるセクトラルモデルも、社会情報学的見地から見るとあまりにも問題が多いことがわかる。社会情報学的な立場で考えれば、日本の番号制度はセクトラルモデルではなく、制度と技術による保護手段を講じてフラットモデルを採用するべきである。
今回扱った番号制度の検討における情報連携というテーマでは、「複雑さの罠」という知見を導き出した。ある事象が複雑であると、リスクが少なく見える。しかし、リスクはゼロではないため、リスクが発覚すると、事象の複雑さのためにリスクの算定が不可能となる。それゆえリスクを過大に評価して、パニック状態となる。サブプライム・ローンなどはまさにその例であり、セクトラルモデルの採用はまさにその二の舞と言って良いだろう。
(略)
榎並利博, 諸外国を参考とした番号制度モデル比較論と社会情報学の役割, 日本社会情報学会第25回全国大会論文集, pp.291-296
「社会情報学」というのはこんなものを言うのだろうか?
この種の議論に関わっていていつも思うのは、論者の階層が以下の図のようになっているなということ。
第一層の平凡な一般市民らは、直感的に懸念をなんとなく抱いている。しかし、専門家ではないが故に、その直感的する懸念がどういうものなのかを理論立てて説明することができない。中には、その根拠を取り違えて、不適切な論拠でもって不安を訴える人もいる。
第二層の論者は、そうした第一層の一部の「不適切な論拠」をあげつらって、そういう不安は無知からくる杞憂だという論を展開する。しかし、第一層が直感的に抱いている懸念の本当の理由は、第二層の論者があげつらう点にあるのではなく、それが何かを第三層が解説するという構図である。榎並氏は第二層の論者で、私は今、第三層の作業をしているところと言える。
制度設計に限らず、専門家がする議論は、結論ありきでの「為にする議論」であってはならない。客観的に言える点を羅列するのが専門家の仕事で、主観的にしか決まりようのない部分*4を、国民世論に問い、政治決断を仰ぐ。
榎並氏は、どういうわけか、何がどうあれ「フラットモデル」という結論を導きたいがために、「複雑さパニック」などという無理のある論を組み立てようとしている。為にする議論という点で、櫻井よしこ氏ら「反対派」と同格と評せざるを得ない。
ところで、消えた富士通総研のコラムでは、NPO法人東アジア国際ビジネス支援センターによる「情報連携基盤技術WGの骨格案に関する疑問点・危惧点」という文献も紹介されていたので、それも読んでみた。
これは、
2010年3月4日に開催された情報連携基盤技術WG第2回会合にて、社会保障・税に関わる番号制度及び国民ID制度における情報連携基盤技術の骨格案(その1)が示された。
EABuSでは、有志を中心にその内容を仔細に検討したところ、以下の疑問点・危惧点を抱いた。国民番号制度は、今後の社会インフラにあたる重要な検討事項であることから、我々の疑問点・危惧点について当ホームページを通じて公表し、国民番号制度の健全な構築に向けた建設的な論議を呼び掛けたい。
情報連携基盤技術WGの骨格案に関する疑問点・危惧点, NPO法人東アジア国際ビジネス支援センター
という趣旨のもので、良い指摘もあるのだが、いくかの指摘はおかしいので、それを示しておく。
(1) 住民票コード(+4情報)、共通番号、ID コード、リンクコードといった複雑な番号体系がなぜ必要なのかが不明。個人情報保護に対する過剰反応のためかも知れないが、単に技術的な「屋上屋」的議論を重ねているだけではないか?
情報連携基盤技術WGの骨格案に関する疑問点・危惧点, NPO法人東アジア国際ビジネス支援センター
なぜ必要かが「骨格案」に書かれていないのはその通りだが、「単に技術的な「屋上屋」的議論を重ねているだけ」という指摘は誤り。本来の設計趣旨が正しく書かれていないだけなので、正しく書くようにすればよい。
(2) 上記システムの維持のためには、情報保有機関ごとでリンクコード―利用番号への紐付けテーブル、突合のための基本4情報の逐次メンテナンス、情報連携基盤におけるIDコード―リンクコード間の変換といった膨大な作業が要求されるが、適正な費用対コストが保たれるのか?
また、基本4情報の一意性(漢字コード等)維持をどのように実現し維持していくのか?(そもそも識別番号は4情報による名寄・突合に代わるものではないのか)
「番号」―リンクコード間の紐付けは住基4情報の突合によって各情報保有機関が「対照テーブル」を作成、保守することになっているが、保守については利用者の異動情報を住基ネットから配信することを想定するのか。あるいは、各情報保有機関の努力に期待するのか。また住基4情報突合において氏名や住所に含まれる外字はどのように解決するのか。
情報連携基盤技術WGの骨格案に関する疑問点・危惧点, NPO法人東アジア国際ビジネス支援センター
「突合のための基本4情報の逐次メンテナンス」が必要という理解が誤り。情報保有機関ごとでリンクコードを利用番号へ紐付けるために基本4情報による突合を行うのは、情報保有機関が情報連携基盤に参加する際に、最初に1回行うだけであり、その後は「リンクコード」によって個人が識別されるので、基本4情報の「逐次メンテナンス」は不要。新生児は、出生届の際に「IDコード」が割り当てられ、各情報保有機関は、情報連携基盤から払い出される「リンクコード」によってその個人を識別する。
また、「情報連携基盤におけるIDコード―リンクコード間の変換といった膨大な作業」というが、それは機械が自動処理する部分なので、「膨大な作業」という指摘は誤り。
「識別番号は4情報による名寄せ・突合に代わるものではないのか」というのはその通りであり、「基本4情報の一意性(漢字コード等)維持」は不要。ただし、情報連携基盤に参加する際に1回だけは必要。
「外字はどのように解決するのか」等は、既存のデータを使う以上、どのようにしても避けられないことであり、情報連携基盤に参加する際に1回だけは必要な作業。
(4)(略)
また、「可逆暗号方式」とは双方向のコード変換を可能にした方式のため、行政内で個人情報を自由に連携させ、それを利用することも可能な仕組みである(オーストリアで採用している方式は不可逆暗号方式である)
この方式では、情報照会元機関が自己のリンクコードからIDコードに変換することによって、どの情報保有機関にも照会可能と思われるが、目的外使用防止のために情報連携基盤ではどのような措置をとるのか。5(1)では「予め法律またはこれに基づく政令によって、情報連携を行う目的、情報連携を行う情報保有機関及び情報連携の対象となる個人情報の種類および情報連携のパターンについて、明確に定めておくべきではないか。」としているが、このことは法制度だけでなく、情報連携基盤の機能として実装するべきである。
情報連携基盤技術WGの骨格案に関する疑問点・危惧点, NPO法人東アジア国際ビジネス支援センター
不可逆変換方式を採用して本人による操作がなければ機械的な情報連携ができないようにするという案もあり得るところ、現在の政府案では、法令で定められた用途に限り、個別の本人同意を得ずに情報連携するという設計になっている。*5
オーストリアがどうかと関係なく、日本の政府はこの方式を選択しているところで、法令で定められた情報保有機関への照会しか認めない制御を、情報連携基盤の機能として実装することになっている様子なので、「どの情報保有機関にも照会可能」というわけではなく、「行政内で個人情報を自由に連携させ、それを利用することも可能な仕組み」なわけではない。
(6)「セキュリティ確保のためIDコード・リンクコードは各個人に通知しない」としているが、これは、個人の情報に関する番号が国民の立ち入れない世界で交換されるという、極めて不透明な仕組みになりかねない
セキュリティ確保の重要な観点は技術的完全性ではなく、透明性の担保であり、欧州で実現しているような「見える番号」に対するアクセスポリシーと樹立と、国民監視の仕組みを構築することが何よりも優先されるべきと考える
情報連携基盤技術WGの骨格案に関する疑問点・危惧点, NPO法人東アジア国際ビジネス支援センター
「極めて不透明な仕組み」というが、IDコードやリンクコードがどのような方式で生成、利用されるものであるかは、既に骨格案で公表されている*6わけで、各個人のコードの具体的な値が本人に知らされないと「不透明な仕組み」だと断ずるのは、意味不明と評せざるを得ない。
番号のプライバシーへの影響は一般に、「見える番号」であるほど、番号が共通して広範囲で使われるほど、番号の使用期間が長いほど、問題がある。見えない番号、かつ、内部でしか使われない番号は、それ自体がプライバシーの問題を生じさせるわけではない。
「セキュリティ確保の重要な観点は技術的完全性ではなく」というが、そもそも誰もそんなことをしようとしていない。(「骨格案」がそう誤解させる誤った記述になっていたという事情はあるが。)
以上。
*1 ただし、「社会保障と税の番号制度」においては、「情報連携基盤」を前提としつつも、税分野と社会保障分野に限って共通の番号としようとしている。本来はそれらも別々の番号でよいはずであるが、何らかの利便性を想定したものか、あるいは何らかの政治判断によるものなのだろう。今、政府で検討が進められている方式は、いわば、分野毎別々番号方式と部分的な共通番号方式とのハイブリッド方式になっている。この部分的な共通番号方式を認めるかどうかは、世論の分かれるところであるはず。
*2 世界中のWebアプリケーションのログインIDがMicrosoftのPassportに一点集約されかねない事態が生じ始めたため、それに対抗して、IDを別々にできる方式の標準化が始まったという経緯がある。
*3 実務経験を自負するシステムエンジニアが、技術の基礎原理を理解していないという場面には、私もしばしば出くわしたことがある。
*4 「国家による一元管理」を懸念として重視するか軽視するか、税と社会保障の分野に限って番号を共通とするのは是か非かなどの選択のこと。
*5 ここは、主観的な選択の余地のあるところで、「法令によるバルクの許可ではなく、本人同意の下で情報連携すべきである」という対立意見があってもよいところ、既に、政治判断により、このような設計が進められている。
*6 仕組みが公開されても複雑すぎて意味がわからないというのであれば、誰かがちゃんと国民にわかるように解説を出せばよいことであり、「自分がわからないから」では理由にならない。
いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。
特に注目に値するのは、今日の午前中の以下の部分。*1
大口善徳議員:(略)解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であります。この、意図に沿うか反するかということの判断をする場合においてですね、電子計算機の使用者における具体的な機能に対する現実の認識を基準とするのか、それとも、使用者として認識すべきと考えられるべき、一般的な基準、一般的に使用者として認識すべきと考えられる基準、これをその基準として判断するのか、これについておうかがいしたい。
江田五月法務大臣:コンピュータウイルスの定義は今、委員がご指摘の通り「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」、その意図というのは誰を基準にするのかというご指摘かと思いますが、この罪は、電子計算機のプログラムに対する社会一般の信頼、これを保護法益とするわけでありまして、それぞれの個人の信頼とか不信とかいう話ではございません。電子計算機を使用する者一般の信頼を規範的に判断をしていくということでございまして、プログラムの具体的な機能に対するその使用者の現実の認識を基準とするのではなくて、一般に認識すべきと考えられているところが基準になる。そのように思っておりまして、その判断にあたっては、プログラムの機能の内容であるとか、あるいは、機能についての説明内容であるとか、あるいは、想定される利用者、あるいは利用方法、こういうことを総合的に考慮することになると思います。
大口委員:そうしますと、判断の基準としてプログラムの使用説明書の記載が参考になるとお考えですか、いかがですか。
江田法務大臣:使用説明書は一つの参考になると思います。
大口委員:例えばですね、パソコンの中のデータをすべて消去するというプログラムがあってですね、それはプログラムとしては有用なものである場合にですね、それと異なる説明、例えば、「これは気象速報を随時受信するプログラムである」と、こういう説明がなされたものが広く配布され、その利用者が被害を受けたというケースが考えられます。こう言う場合、使用者の意図に反する動作をする不正指令電磁的記録となるのか、うかがいます。
江田法務大臣:今の具体的な事例をお挙げになっているわけでございますが、利用者の意図に反してデータが消去されてしまう、利用者としては今の場合に、天気予報プログラムですか、天気の予報が出てくるものと思ったら意に反して全てのデータが消去されてしまうといったようなことでございますから、これは意図に沿うべき動作を、一般的にですね、させず、一般的に意図に反する動作をさせてしまう、そういう指令を出すそうした電磁的記録だということが言えると思いますので、該当すると評価される場合が多いのではないかと思います。
大口委員:そうすると、使用説明書の説明のしかた如何によって、これはウイルスかどうかということが判定されると、いうふうにおうかがいしたわけであります。で、そこでですね、使用説明書等が存在しないプログラムはどうなのか。個人によるフリーソフトウェアの開発ではですね、説明書なしで配布ということが十数年、十年以上前から行われているわけです。こういう使用説明書等が存在しないプログラムについてですね、どのような動作をするプログラムか説明しないでプログラムを配布すると、それは使用者の意図に反する不正指令電磁的記録とみなされるのかということでですね、先の例だとパソコンの中のデータをすべて消去するというプログラムを何も説明しないでウェブサイトで公開する場合、これは該当いたしますか。
江田法務大臣:私もこうしたところにあまり詳しい方ではないので、むしろ委員にいろいろ教えて頂ければと思いますが、フリーソフトというのは何であるかというと、ワープロソフトのように一般的有用性を有するソフト、あるいはコンピュータを初期化するソフト、このような利用場面が限定されるソフトなどといったソフトの機能のことを言うのだと、いうようでございまして、これを利用するとき、どういう表示説明がされているかとか、あるいは、これがもしウェブページ上で提供されている場合であると、そのウェブのページの内容、説明、そうしたものから想定される当該フリーソフトの利用者や、あるいは、その利用方法、そうしたことを総合的に考慮して判断されるもので、ウェブサイト上に、「これは消去用のソフトですよ」ということがあれば、そしてそれを、ウェブにアクセスして「消去のソフトが欲しいなあ」と思ってる人がそれを見つけてそれを使えば、これはウイルスになるようなことはあり得ないと思います。
大口委員:その説明がない場合を問題にしているわけでございますけども……。まあ、そういう事例もあると。それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。そして、たとえば無料のプログラムですね、このフリーソフトウェアを公開したところ、重大なバグがあると、ユーザからですね、そういう声があった、それを無視してですね、そのプログラムを公開し続けた場合は、それを知った時点で少なくとも未必の故意があってですね提供罪が成立するという可能性があるのか、おうかがいしたいと思います。
江田法務大臣:えー、あると思います。
大口委員:まーあの、いずれにいたしましても、こういうプログラム等、ソフトウェア関係の方から、いろいろですね、こういう場合が罪にあたるのか否かということでですね、声がありますので、しっかりこのあたりにつきましては、罪刑法定主義という基本に立って明確にしなくてはいけないと思います。
(次の話題へ)
というわけで、重大なバグを後から認識した場合にそれを公開し続けると、不正指令電磁的記録提供罪に問われることが「ある」とのことだ。
これは、7年前、情報処理学会が会長声明で以下のように懸念を示していた点について、今回の法案は配慮できていないということを意味しているのではないか。
情報セキュリティが大きな関心事である今日、コンピュータシステムに対する犯罪を取り締まることには大きな意味がある。しかし、法制化に当たっては、技術の本質、動向等をよく理解した上で、我が国における健全な情報技術の発展を阻害しないようにすることを、情報処理学会は望む。特に、以下の点について、十分な配慮を願いたい。これらの内容は法的な見地からは杞憂といえるかもしれないが、情報処理技術の研究・開発に携わっている者の懸念を代表して、あえて意見を表明するものである。
1.攻撃を意図しない、ソフトウェアのバグや仕様の不完全性を処罰対象としないこと(要綱第一)
現行の表現では、
1)攻撃を意図しないが仕様を完全には満たさないソフトウェア(すなわちバグのあるソフトウェア)、あるいは
2)設計者の仕様は満たすがユーザの意図を必ずしも反映していないソフトウェア
を作成した者、またそのようなソフトウェアを配布した者が処罰の対象になるという解釈も成り立つのではないか。しかし、現状のソフトウェア開発プラクティスではソフトウェアのバグはゼロにすることは不可能であり、またソフトウェアの正しさの理論的な検証を実用的なレベルで行うことは現在のところできない。コンピュータ・セキュリティの専門家の間では、どのようなプログラムにも平均1,000行に1つのセキュリティ・バグがある、と信じられている。また、仕様がユーザの意図を反映しないことも多々あることである。したがって、故意による攻撃と、善意の開発者によるバグの混入や仕様の不完全性を同列に扱うべきではなく、上記1)と2)を処罰の対象から除くことを明らかにすべきであると考える。ソフトウェアの仕様がユーザの意図を満たし、また開発されたソフトウェアがその意図通りに実装されていることに対する、ソフトウェア開発者の製造物責任に関する議論があるのは意味のあることであり、ソフトウェアに対する信頼を高めるためにも、大いに議論すべきであるが、この点は別に取り扱うべき項目と考える。
(以下略)
この論点について以前、法律家の方と話をしていたときに、「バグは直すべきじゃないの?」という発言が出てきて驚いたことがある。
情報技術に疎い方々からすれば、プログラムといえばワープロのような、商用のソフトウェアばかりだと思えるのかもしれないが、そうではない。フリーソフトウェアのように、「as is」で、すべて利用者の責任で使うことを条件に、自由なソフトウェア開発と自由な流通を促進することによって、これまでソフトウェアが発展してきた歴史的経緯がある。法務省はそのことを理解しているのか、この答弁のままでは、疑われるのではないか。
関連:
じつは、現時点においても、この物語上の警察官と同様の考え方をしている人々がけっこういるのではないかというのが、私が懸念するところである。
その種の人々というのは、「どんな態様で配られるプログラムも、不用意に開いても大丈夫なようになっていて欲しい」「そうなっていないプログラムを積極的に放置することは(未必の故意による)犯罪として取り締まってほしい」という考えを持っている人のことである。
この法案を(A)解釈で理解して賛成している人々(懸念の声に対して「故意がなければ犯罪ではない(から杞憂だ)」と反論しているような人々)は、じつは、そういう考えの持ち主なのではないか。
私は、そのような考えには賛同しない。情報技術の分野においては、それはあまりに過酷な規制となるので、避けるべきであると思う。
続きを以下に書いた。
*1 「衆議院TV」の録画映像から聞き取った要約。ただし強調部は、一言一句正確に再現。
(時間切れなので完成度がいまいちのまま公開。後で書き直すかも。)
ウイルス罪法案の国会答弁でバグ放置が提供罪に該当する事態は「ある」とされた件について、多くの疑問の声があがっている。ただ、その声の多くは、どんなバグでも罪になると誤解している様子がある。議員の質問では「重大なバグ」と、状況を限定して尋ねたものだった点に注意が必要である。「重大なバグ」とは、たとえば、電子計算機が動かなくなってしまうような、そういう破壊的な結果をもたらすものなどを指すのだろう。
そうすると、法務省は今回の不安の声に対応してこう釈明するかもしれない。「どんなバグでも犯罪になるわけではありません。法務大臣の答弁は、重大な結果をもたらす場合について述べたものです。通常のバグであれば、『不正な』に該当しないことから罪には該当しませんので、ご安心ください」と。続く国会の法務委員会でそういう答弁がなされるかもしれない。
しかしちょっと待ってほしい。たとえ重大な結果をもたらすものであっても、バグが原因であるものについは、それが犯罪とされるようなことがあってはならない。
今回の疑問の声があがる中、一部には、「重大なバグを放置した者は、責任を問われて当然だ」というようなことを言っている人もいた。そういう人々は、刑事責任と民事責任を区別できていない人である場合と、本気で刑罰に値すると考えている人の二派に分けられる。
問題なのは、本気で刑罰に値するという主義の人の存在である。もしかすると、法務省もそのように考えているのだろうか? もしそうならば、情報技術分野の総力を挙げて、この法案には断固反対しなければならない。
しかし、そういうわけではなく、今回の法務大臣の答弁はあまりにも簡潔すぎただけで、法務省としては、初めからトロイの木馬を作る者と同様の意図でもって、結果的にトロイの木馬になっている「バグ」を認容し、放置した場合について、「罪になる場合がある」と答えたつもりなのかもしれない。
あるいは、これは単に「バグ」という言葉の定義の問題にすぎないのかもしれない。我々の言葉では、「バグ」とは、作成者の意図に反したものを指しているが、情報技術に明るくない人々からすれば、意図的に作り込んだものまで「バグ」と呼んでしまっているのかもしれない。
いずれにせよ、法務省には、この法案の趣旨が何を処罰しようというものなのか、明らかにしてもらいたい。法制審議会の議事録によると、この罪は、「プログラムに対する信頼を保護し」「電子計算機のプログラムに対する信頼という社会的法益を害する罪」であるという。
その意味するところは、次のどちらなのか。
これを明らかにしてほしい。後者なら私も賛成だが、前者なら情報技術分野関係者は受け入れることはできないだろう。法務省は後者のつもりのはずと信じたい。