先週の金曜日、富士通総研のコンサルタントらによるコラムのサイトに掲載された、「国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを」という記事が、その日のうちに説明なく削除されるという事件があり、いったい何があったのかと憶測を呼んでいる*1。
政府からの圧力を疑う人が続出していたが、私の感触では、番号制度*2をめぐる現在の状況では、そういうことは考えにくいのではないかと思う。それよりも、この記事の主張の組み立て手法に見られる典型的な不味さが、富士通総研やその周辺の関係者に見抜かれたためではないか。私はそう憶測する。
私は、著者の榎並利博氏とは面識がなく、この方の存在を認識したのは、3月に同サイトに掲載された「住基ネットはなぜ『悪者』となったのか(共通番号[国民ID]を失敗させないために)―住基ネット報道におけるセンセーショナル・バイアスと外部世論の形成に関する研究―」という論文が話題になっているのを目にしたときだった。その記事を読んだときの私の感想は以下のものであった。
2002年ごろの住基ネット騒動で、筆者が言う「センセーショナル・バイアス」による弊害が出ていたことは、私も同意するところで、私もこの日記を書き始めた2003年当時から、たびたび、櫻井よしこ氏らの運動手法を批判的に書いてきた。
しかし、私が懸念してきた住基ネット騒動の弊害というのは、「住基ネットで騒いでいる連中はキチガイであり、プライバシーの問題などそもそも存在しないのだ」という思考に陥る人々を増やしてしまうという意味での弊害である。
榎並氏の「住基ネットはなぜ『悪者』となったのか」を読んで、まさにその代表例だと思った。この論文の「考察および提案」の節には以下の記述がある。
現在、共通番号の設計においてどの番号を使うべきかという論点があり、住民票コードを使うべきか、(住基ネットを活用した)新たな番号を使うべきかという議論がある。そして、中間取りまとめに対するパブリックコメントでは新たな番号を使うべきという意見が多く、2011年1月に発表された政府の基本方針においても(住基ネットを活用した)新たな番号という方針が打ち出された。
しかし、技術者の観点から見れば、新たな番号を使うメリットは何も無く、かえってコストを増大させ、現場運用の負荷を増大させるだけなのである。すでにパスポートや年金事務などのデータは住民票コードで連携されており、新たな番号が追加されるということは、住民票コードと新たな番号の二重体系で運用しなければならないということなのだ。仮に新たな番号を使うことでセキュリティが向上するなら技術者も納得できるだろうが、セキュリティはまったく向上しない。新たな番号はつまるところ「第2の住民票コード」として振舞うことと同じだからである。
それではなぜ新たな番号を使うべきと考える意見が多いのか。有識者の意見は「住民票コードは住基ネットで悪いイメージが染み付いているから」という理由であり、合理的な根拠は無いと考えられる。もし仮に新たな番号が採用されることになった場合、マスコミのリスク報道によって、日本の社会は高いコストと高い運用負荷のシステムを課せられることになってしまったと歴史に刻まれることだろう。
榎並利博, 住基ネットはなぜ『悪者』となったのか (共通番号[国民 ID]を失敗させないために) -住記ネット報道におけるセンセーショナル・バイアスと 外部世論の形成に関する研究-, 富士通総研経済研究所研究レポート, No.368, 2011年3月
「技術者の観点から見れば」とのことだが*3、技術論で言えば、この主張は誤りである。
これが読者に鵜呑みにされては不味いと思ったが、幸い、この論文に対するはてなブックマークコメントを見たところ、既に批判的なコメントが付けられていたので、私としてはそのときは何もしなかった。
そして、今回の消えたコラムは、この論文の「提案」部分を詳しく述べたものとなっていた。今回のコラムによって、榎並氏の主張の根拠が説明されたので、これで誤りの指摘がやりやすくなった。
消えたコラムの誤りを指摘することは、政府の番号制度がどのようなものかを、一般の方々向けに解説するのにもちょうどよい。そんなわけで、私はこの文章を書くことにした。
消えたコラムは何者かによって転載されたようで、探せば今でも読むことができる。
コラムの内容は、今年4月28日に発表された政府の「社会保障・税番号要綱」に対する批判であり、前半と後半に分けられ、前半は、「検討過程における問題」として、個人情報保護WGと情報連携基盤技術WGの議論の進め方に問題があると指摘し、「このような状況の中で要綱が発表されたことはあまりに拙速であり、国家百年の大計ともいうべき番号制度を周囲の空気や流れに任せたまま作り上げていくことを深刻な事態として懸念している」と述べている。
この前半の点については、私も類似の懸念を持っており、3月26日の堀部政男情報法研究会のシンポジウムのパネル討論(動画あり)の場でも、それを述べたところである。
そして、後半の内容は、具体的な問題点の指摘として、「問題その1:制度と技術の相互補完について」、「問題その2:複雑さとセキュリティの関係」、「問題その3:最高裁判決という要件の不明瞭さ」の3点を挙げているのだが、それぞれ、途中までは良い指摘もあるが、そこから導く結論と根拠に誤りがある。
以下、それら3点それぞれについて誤りを指摘する。
榎並氏の消えたコラムは、1月に発表された政府の「基本方針」で「情報連携基盤」の運営を総務省が担うと明記されていたことについて、
総務省は情報保有機関の1つであるため、情報連携基盤がいくら強固なセキュリティ技術を保有しても、情報保有機関同士の恣意的な情報連携を牽制する効果はまったく無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
と指摘しており、これはその通りであり、私も3月26日の堀部政男情報法研究会のシンポジウムのパネル討論で述べている。
しかし、この点は、榎並氏の消えたコラムにも「要綱では、情報連携基盤の運営機関について引き続き検討するとされ、基本方針のときにあった総務省という言葉が消えている」と書かれているように、既に解決の兆しが見えている。
問題は、榎並氏はこの指摘に乗じて、次の主張まで展開している点である。
つまり、恣意的な情報連携が可能な組織構造となっており、現在検討されているような複雑なセキュリティ技術は何の役にも立たないことになる。またその反対に、第三者機関が情報連携基盤を常時監視する構造となっていれば、現在検討されているような複雑なセキュリティ技術は必要なく、もっと簡便な方法で恣意的な情報連携を防ぐことが可能となる。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
榎並氏は、第三者機関が情報連携基盤を常時監視していれば、現在検討されているシステム設計は不要だというのである。
ここで先に結論を示しておくと、要するに、榎並氏の論説はいずれも、「番号制度は『フラットモデル』でやれ」という、自説に導くための「為にする議論」でしかない。
内閣官房で検討されている現在のシステム設計は、榎並氏の消えたコラムでは「共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている」と書かれているが、この仕組みは、「国家による一元管理」を防止するためのものとして設計されている。それを榎並氏は「第三者機関が情報連携基盤を常時監視する構造となっていれば」必要ないという。
そういった発想は、「IDコード」と「リンクコード」を用いたID連携システムが、どういう意図で設計されたものかを理解していないために、出てくるものであろう。
内閣官房で検討中の「情報連携基盤」の「IDコード」と「リンクコード」を用いたID変換式連携システムは、OpenID等においても採用されている「PPID(Private Personal Identifier)」の仕組み、すなわち、IdPがRPごとに異なる「仮名識別子」を払い出す仕組みと、同様のもの(内閣官房で検討中のシステムの用語で言えば、「情報連携基盤」が「情報保有機関」ごとに異なるIDである「リンクコード」を払い出す仕組み)である。
このような仕組みは、十数年前、Microsoftが「Passport」によって世界中のWebアプリケーションのログインを一元管理しようと企てた際に、それに対抗して、当時のSun Microsystemsが音頭をとって業界に参加を訴えかけた「Liberty Allience」で、脈々と受け継がれてきた考え方に基づくものである。
この考え方では、その目的と前提を以下のように置いている。
このことは、ID連携に関する知識を持ち合わせた技術者ならば当然のものとして理解しているはずであるし、一般的な技術者にとっても、今日においては、知っていて然るべき基礎素養であろう。
これと同様に考えれば、内閣官房で検討中の「情報連携基盤」がどんな目的と前提を置いているかは、容易に推察でき、次のものと言えるだろう。
榎並氏は、「第三者機関が情報連携基盤を常時監視する構造となっていれば」そんな仕組みは不要だと主張するが、第三者機関が「情報連携基盤」を監視していても、「情報保有機関」同士の結託は防げない。
榎並氏は、消えたコラムで、「いくら高度なセキュリティ技術を導入しても、法的制度の補完がなければ、まったくの無駄な投資となり、情報漏洩や権利侵害も起きる」と述べており、こうした仕組みのことを「セキュリティ技術」(単なる情報漏洩対策技術)とみなしている様子で、ID連携技術の基礎素養を欠いているために、この思考に陥っているものと思われる。(もしくは、自説の結論に導くために、意識的に(あるいは無意識に)その点を無視しているのかもしれない。)
榎並氏は、「複雑さとセキュリティの関係」の部分で、やはり、「情報連携基盤」の仕組みのことを「セキュリティ技術」(単なる情報漏洩対策技術)と位置付けているようで、次のように述べている。
国民一般からすると、セキュリティ技術が向上すれば、安全性が高くなるという感覚を持つだろうが、それは大きな錯覚である。いくら高度な技術があろうとも、それを運用する組織が責任を持って技術を扱わない限り、まったく無防備な状態と変わらない。つまり、組織の役割と責任を先に決定しなければ、どのようなセキュリティ技術を導入して安全性を確保すべきか判断できない。
合同WGで提出された情報連携基盤技術の骨格案という資料を見ると、共通番号とは異なったIDコードや情報保有機関ごとのリンクコードが使われており、非常に複雑な仕組みになっている。このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、(略)
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
ここでも、3月の論文の「マスコミが糞だから」という論と同様に、「国民は無知だから」という論が用いられているが、実際には、榎並氏がID連携技術の基礎素養を欠いているためにこのような思考に陥っているにすぎない。(もしくは意図的にねじ曲げている*4。)
続く部分では、榎並氏は以下のように述べている。
このような複雑な仕組みは国民に安全性が高いと錯覚を起こさせ、コストの増大をもたらし、コードの紐付けや情報連携で運用負荷の増大を招くだけでなく、次のようなプライバシー上の問題も生じさせる。
リンクコードが異なっていても、社会保障と税に関するデータは共通番号が付されており、情報保有機関同士では恣意的に共通番号でデータのマッチングができる。また、情報連携基盤によって氏名や住所が正しく更新されているならば、共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる。
IDコードやリンクコードは、国民に明らかにされる共通番号と異なり、国民から「見えない」番号となっている。そもそも国民や第三者機関が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
いろいろ突っ込みどころがあるが、一つずつ指摘していく。
まず第一に、情報連携基盤の「複雑な仕組み」が「プライバシー上の問題も生じさせる」とし、その具体例として、「社会保障と税の共通番号があれば情報保有機関同士で共通番号でのマッチングができる」という点を挙げているが、「社会保障と税の共通番号があれば情報保有機関同士で共通番号でのマッチングができる」のは、情報連携基盤の「複雑な仕組み」があってもなくてもできるのであるから、「プライバシー上の問題も生じさせる」というのは、論理が単純に誤っている。
第二に、「社会保障と税の共通番号があれば」可能となるのは、社会保障と税の分野に携わる「情報保有機関」同士での「共通番号でのマッチング」であり、任意の「情報保有機関」同士での共通番号でのマッチングが可能なわけではないのであるから、この記述の主張は誤りである。
なぜなら、内閣官房で設計が進められている「情報連携基盤」の仕組みは、社会保障と税の分野だけで使うものではない。将来的に、他の分野の「情報保有機関」がこの仕組みに参加することを予定して設計されているものである。社会保障と税の分野に携わらない「情報保有機関」は、「共通番号」を保有しないので、「共通番号でのマッチング」は不可能である。
「将来的に他の分野も参加」というと、スジの悪い「反対派」の人らが「けしからん」と頭を沸騰させるかもしれないが、これは、プライバシー重視をするがゆえに必要な準備であることを忘れてはならない。もし、IDコード変換方式なしに、社会保障と税の番号制度のためだけに必要な最小限の仕組みとして「情報連携基盤」を構築(共通番号をそのまま用いた情報連携方式を採用)したとすると、将来に、別の分野もこれに参加することになったときに、その共通番号をそのまま他分野でも共通の番号として使う方式に流されてしまう危惧がある。それを避けるために、将来を見据えてこの段階から、IDコード変換方式が準備されていることを理解する必要がある。
第三に、「共通番号がなくても氏名・住所・生年月日などで簡単にマッチングできる」とされている点、これは、第一の点と同様に、これが「プライバシー上の問題も生じさせる」という主張となっているのは単純な論理誤りであるが、それに加え、氏名・住所・生年月日で本当に「簡単にマッチング」ができるのかという疑念がある。
もし、氏名・住所・生年月日で本当に「簡単にマッチング」ができるのならば、そもそも番号制度の「番号」は要らない。たとえば、同じ住所に、同じ氏名で、たまたま同じ誕生日の人物が存在する確率はゼロではないのだから、完全に機械処理するわけにはいかず、そういう事態に例外的に対処する必要があるだろう。そういった対処を不要にし、機械的に処理できるようにするために構想されているのが、この番号制度である。
住基ネット騒動で、反対派の主張に対し、容認派が「どのみち、氏名・住所・生年月日でマッチングできるじゃないか」という指摘をすることが多々見受けられたが、住基ネット反対派が唱えていたプライバシー上の問題点を斟酌すれば、それは、マッチングのコストが極端に小さくなることが「国家による一元管理」という脅威をもたらすという指摘であっただろう。
したがって、「氏名・住所・生年月日によるマッチング」の脅威の程度と、番号制度の「番号」によるマッチングの脅威の程度を比較して論ずるべきであり、前者に比べた後者の問題が有意に大きいとする意見は、それなりに妥当性があるだろう。そして、政府はその考え方に基づいて制度設計を進めている様子である*5。
第四に、榎並氏は、現在検討されている「情報連携基盤」の「IDコード」と「リンクコード」が「見えない」番号とされている点について、「国民が認知できないコードを使って個人情報を連携することはプライバシーの侵害になる」と主張するのだが、これは何ら根拠なしに断じているにすぎないし、IDプライバシー専門家としての私に言わせてもらえば、「見えない」番号が内部で用いられることは、何ら「プライバシーの侵害」に当たらない。
この種の番号は、「見える」もの(いろいろなところで使われるもの)ほどプライバシーリスクが高く、実際、この制度でも、「社会保障と税の番号」については「見える」番号として使う(納税者番号として本人が書類に書くなどの利用が想定されている)がゆえに、個人情報保護WGでの法制度設計において、目的外での「番号」の告知要求の禁止規定などが盛り込まれている。「見えない」番号は、誰にも見られることなく秘密が保持される内部IDであるから、それによる追加的な「プライバシーの侵害」が生じることはない。
強いて問題があるとすれば、「見えない」番号がどのような方法でID連携するのか、その仕組みが「見えない」のであれば、そのような政府の取り組みは「プライバシーの侵害」にあたるのかもしれないが、実際には、ちゃんと、榎並氏も見たはずの情報連携基盤技術WGの資料に、ID連携の仕組みは書かれているのであって、公開されているのだから、そのような問題は存在しない。榎並氏は、システムの複雑さについて、
安全性が高く見えるよう技術的な高度さと複雑さばかりが追求され、結果として何の役にも立たないシステムが構築されてしまうことのないよう、再度議論を戻して検討し直すべきだろう。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
と述べているが、仕組みが公開されても複雑すぎて意味がわからないというのであれば、それは単に理解力に欠けるということであり、誰かがちゃんと国民にわかるように解説を出せばよいことである。「自分がわからないから」では理由にならない。
榎並氏は、フラットモデル(すべての情報保有機関や分野で共通の番号を用いる方式)推進派であり、さらには、その番号を「見える」番号とすること(さらには民間での自由利用も)を望んでいると思われる。そのような方式は、米国のSSNの一時期の実態に見られるように、プライバシーの問題を引き起こすものである。
榎並氏は、プライバシー配慮を省略するフラットモデルの信奉者でありながら、自説と方向性の違う政府案を批判するに際して、政府の方式は「プライバシー上の問題も生じさせる」と、真逆の主張を根拠なく展開している。
国民は、このような論法を使ってくる論者には警戒していく必要があるだろう。
次に、続く部分で榎並氏は以下のように述べている。
1つの案として第三者機関が情報保有機関のデータベース管理項目や処理プロセスを常に監視する制度を構築することを提案したい。不適切な情報連携によってデータをマッチングした場合、本来保有すべきでない情報がデータベースに格納されたり、通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能である。異常な事象を検知するシステムを構築することは、複雑な情報連係基盤を構築することよりたやすい。情報連携に焦点を当てるのではなく、その結果に焦点を当てて不正行為を防ぐことの方がよほど効率的かつ効果的である。第三者機関の権限を強化し、内部告発制度を構築した方が安上がりで安全性が高いというような議論がなされていないのも甚だ残念である。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
榎並氏は、防ぐべき事象として「不正行為を防ぐ」ということのみを想定しているように見受けられる。このことは、消えたコラムの「おわりに」の部分で以下のように述べられていることからもうかがえる。
行政職員の不正を国民が懸念しているにも関わらず、システムを利用する行政職員の認証方法について要綱ではまったく触れられていない。職員の不正を防ぐには、システム利用の際に住基カードあるいはそれに類する本人確認用ICカードを使って認証させるべきと考えるが、要綱ではICカードについて言及しているもののマイ・ポータルにログインするためのツールとしての記述しかなく、行政職員が国民の個人情報にアクセスするときの認証用ツールとしいての記述は無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
職員個人による不正を防ぐ必要があるのはその通りであろう*6が、「国家による一元管理」とは、職員個人による不正のことではない。
「国家による一元管理」の懸念とは、国家は国のために善かれと考えればどんなことでもやりかねず、そのような力に対して一人一人の国民はあまりにも弱いということを問題視する立場を言う。そのような状況では、「情報保有機関」が他の「情報保有機関」と結託して、通常の運用から外れた手段でデータマッチングを(高速に)行う可能性があることを危惧するものであろう。
日本国がもしそのような事態に至った際には、榎並氏が言うような「通常業務とは異なるジョブが実行されたりという事象が発生する。これらは第三者機関の監視によって検知することが可能」という方法では対処できない事態となり得る。
そのため、「情報保有機関」同士が結託してもIDによる名寄せができない(一定の範囲を越えて)ID方式を採用したうえで、結託の危険性を「情報連携基盤」運営主体だけに集中させるという設計がとられているわけである。
もっとも、本当に日本国がそのような事態に陥ることがあり得るのかという点については、人それぞれいろいろな見方があるだろう。私個人としては、「日本ではそういうことはなさそうだなあ」という、ぼんやりとした感触を持っているが、いずれにせよ、「国家による一元管理」の防止は、今の政府が、番号制度の設計にあたって重要な課題として掲げている*7のであるから、それに沿って制度設計の議論を進めるべきではないだろうか。
なぜ「個人情報を一元的に管理することができる機関又は主体が存在しないこと」という要件から、「番号を用いずに符号を用いること」が導き出されるのかが不明である。(略)今後も一元的に管理することができる機関又は主体を存在せしめぬよう第三者機関が監視を行っていれば、何ら問題はなく、わざわざ符号を用いる必要性は無い。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
とあるが、上記に述べた通り、「国家による一元管理」が意味するところやID連携技術の趣旨について、知識が欠けている(もしくは、意識的にあるいは無意識に無視している)ためにそのように思われるのだろう。
続いて、榎並氏は以下のように述べている。
ところが共通番号を使って情報連携することは、仮想的に「個人情報を一元的に管理することができる機関が存在すること」になると解釈しているようだ。言い換えれば、仮想的にも「個人情報を一元的に管理することができる機関が存在しない」ことを証明するため、情報連携のためのリンクコードを一時的に発生させているということになる。そもそも情報連携を容易にするために共通番号を導入するという議論が、最高裁判決を持ち出して情報連携を容易にしないために共通番号ではなくリンクコードを使うという議論に変化してきている。
なぜ、このようなおかしなレトリックが使われているのか。その理由は、第三者機関の存在を排除しようとしているからに他ならない。(略)
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
「仮想的に」の意味がよくわからないが、この主張は、「情報連携基盤」がなぜこのように設計されているかを理解していないまま論を組み立てているために、こうなるのだろう。特に、「情報連携基盤」が「社会保障と税の番号」以外の他の「情報保有機関」の参加を将来的に想定しているという視点を欠いているように見受けられる。
「第三者機関の存在を排除しようとしているからに他ならない」という結論に至っては、やや陰謀論めいてきてはいないか。
続く部分では、例によって「マスコミのせい」と結論付けているのだが、これは国民世論ではないのだろうか。
そして諸外国の番号制度モデルが議論された際、リンクコード方式を採用しているオーストリアモデルに対してマスコミなどが好意的であったことが背景にあると思われる。オーストリアモデルで使っている不可逆暗号方式は、日本では外字の問題があるために適用できないことを筆者が指摘していたため、可逆暗号方式を使ったモデルに変更したようだ。なぜ政府がこれほどまでにマスコミに気を遣うのか、住基ネットのときにマスコミが政府にどのような影響を与えたかを振り返ってみれば、思い当たることもある。
(略)
公平・公正さ、負担軽減、利便性向上、権利保護を実現するため、番号をどのように使って業務を遂行すべきかという本来の議論の目的を忘れ、最高裁判決に過剰に反応し、マスコミの風潮や国民一般の感情という周囲の空気を読むことばかりが目的となっているように見える。
国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日
このように、榎並氏の主張は、いずれも、先に自身が期待する番号方式(フラットモデル)があって、その結論に至るよう都合の良い論を探して組み立てられており、政府案が実際のところどのような趣旨で設計されているかということを理解しようとしていない。
このような論法は、わかる人が見れば言葉の端々から一見してピンとくるものであり、今回のコラムが消えたのには、そうしたことが見抜かれたためではないだろうか。
じつは、榎並氏のような発想に至るのには、無理もない面もある。というのは、上記で私が示したような、「情報連携基盤」のID変換方式採用の趣旨(目的と前提)は、これまでのWGの資料には書かれていないからだ。
それだけでなく、情報連携基盤技術WGの公開資料「情報連携基盤技術の骨格案」を見ると、次のような記述が散見される。
IDコードは情報連携基盤において管理されることとなるが、仮にこれを情報保有機関も共有し、それで情報連携基盤にアクセスさせることとすると、万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性がある。そこで、「番号」を含む利用番号とIDコードの間にIDコードと対応関係のある別の「見えない」コード(以下「リンクコード」という。)を介在させ、原則として情報保有機関ごとに異なるリンクコードを付与し、情報保有機関はそれぞれのリンクコードを用いて情報連携基盤にアクセスすることとすべき(略)
社会保障・税に関わる番号制度及び国民ID制度における情報連携基盤技術の骨格案(その1)
これを文章通りに捉えると、「リンクコード」を用いたID連携を行う目的が、万一の漏洩事故発生時の影響を小さくするため(情報漏洩対策)であるかのように見えてしまう。
もしそういうものだとすれば、それは技術的に言って、セキュリティ上、意味がない。漏洩が起きたらそもそも駄目なのであるし、漏洩を仮定するとこの方式で影響を小さくすることにはならない。
そのことから、今になって、政府案に対して「複雑なセキュリティ技術は何の役にも立たない」といった声が続々と湧いてきているのであろう。
しかし、「情報連携基盤」のID連携方式の本来の設計趣旨は、上に私が述べたものであろう。じつは、この「情報連携基盤」の仕組みは、「国民ID」としてだいぶ前から検討されてきたものであり、「社会保障と税の番号制度」へ統合された際に、担当する部署が変わっている。こんなことになっているのは、おそらく、現在の「情報連携基盤技術の骨格案」の執筆担当者が、以前からの引き継ぎができていないために、「国民ID」の元々の「情報連携基盤」の設計趣旨を知らないまま、素人考えで「万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性」などといったことを安易に書いてしまったためではないかと、私は推察している。
そうであれば、本来の趣旨を「大綱」までにちゃんと書き込めばよろしい。
榎並氏が消えたコラムの冒頭で、「情報連携基盤技術WGの山口委員から第4回情報連携基盤技術WG山口委員提出資料が提出されたが、ここでは40ページ以上にわたり事務局および2つのWGに対して質問事項が突きつけられている」とあるが、その内容を見てみると、たとえば次のようにある。
【質問】
IDコードを情報保有機関と共有させないことについて、「情報保有機関ごとに異なるリンクコードを付与し、情報保有機関はそれぞれのリンクコードを用いて情報連携基盤にアクセスすることとすべきではないか」とあるが、その理由について、「仮にこれ(IDコード)を情報保有機関も共有し(略)こととすると、万一漏洩した際にはその影響が他の情報保有機関にも波及する可能性がある」からとされている。ここで、他の情報保有機関にも波及するという影響とは、どのような脅威のことを指しているのか。具体的に、IDコードが誰に漏洩した場合に、誰によってどのような「影響」がもたらされると想定しているのかを回答いただきたい。【趣旨】
政府基本方針は、情報連携基盤について「各機関間の情報連携は情報連携基盤を通じて行わせることにより、情報連携基盤がデータのやり取りの承認やアクセス記録の保持を行い(略)個人情報保護に十分配慮した仕組みとする」としているが、その実現に際して、IDコードとリンクコードを用いた方式を採用する狙いは、はたして情報漏洩対策なのか。そうではないのではないか。【想定される答え】
情報漏洩対策のつもりでこのようにした。政府基本方針の趣旨が情報漏洩対策以外のところにあるというのであれば、それが何なのか明らかにしたい。
この「質問書」は、あくまで質問という形式をとっているものの、「趣旨」のところに書かれているように、「狙いは本当にそれなのか、違うのでは?」という指摘をするものとなっている。他の質問でも、多くがそういった趣旨のものになっている。
必要なことは、現在の担当者である連携基盤技術WGの事務局が、ちゃんと本来の設計趣旨を理解して「骨子」に記述することであろう。私も、3月26日の堀部政男情報法研究会のシンポジウムのパネル討論で発言させて頂いたことをきっかけとして、情報連携基盤技術WGと個人情報保護WGの事務局の方々と、直接お目にかかって話をする機会を頂戴し、既に4月中旬の時点で、上記の考え方についてご説明してきた。おそらくは、今後この問題点は改善されていくと期待できる。
それなのに、榎並氏のようなフラットモデル信奉者(山口委員提出資料の質問趣旨とは真逆)が、自説の補強のためにこの「第4回情報連携基盤技術WG山口委員提出資料」を参照して、事務局を無能呼ばわりするというのは、まことに滑稽なことである*8が、これは予見されたことでもあっただろう。おかげで、このように、番号制度の検討が今どういう状況なのか、わかりやすく解説することができて私は嬉しい。
ところで、このような、フラットモデル信奉者が、榎並氏と類似の論理展開をしてくる事例は、他にも散見される。そういった方々の言い分を、Twitterで議論して確認した様子を以下に示す。
昨年から、私は、国民ID関係で、慶應SFCのシンポジウムのほか、堀部政男情報法研究会シンポジウムでも複数回登壇して発言をしてきているが、榎並氏から話しかけられたことはなかった。「本質的な議論がまったくできていない」というのであれば、私と公開で議論をしたらよいだろう。
*1 富士通総研の消えた共通番号提言に対する反応 #kokuminID, Togetter, 2011年5月14日
*2 正式には「社会保障・税に関わる番号制度」というもの。
*3 榎並氏のご経歴を確認したところ、1981年に文学部考古学科をご卒業の後、富士通に入社されてシステムエンジニアとして自治体向けシステムの開発に携わってこられたとのこと。しばしば、法律系の方々と話をしていると、「技術者といえばSE」という発想がなされている場面(たとえば、第三者機関に専門家を集めるという話題の中で、「法律系には弁護士や法学研究者を採用し、技術系にはSEを採用する」という話が出て、ひっくり返ることがある)に出くわすが、SEは必ずしも技術者とは限らない。いわゆる上流工程にあたる「顧客の要求に対する聞き取りをして要求定義を行い、構築する情報システムの内容を明確化する」といった仕事は、技術的素養を持たずにする場合もあり、ましてや情報セキュリティの技術面についてセンスや知識があるかどうかは疑わしい。
*4 「情報保有機関」同士の結託の可能性を問題点と認識していないにしては、次のところで「共通番号でデータのマッチング」という話を持ち出していて、ということは「情報保有機関」同士の結託の可能性を脅威として認識しているはずであり、矛盾している。
*5 ただし、この考え方を尊重するのであれば、「情報連携基盤」のID連携を用いて各「情報保有機関」が保有する住所情報を自動的に同期する(全部の住所情報を一致させる)といった処理は実現するべきでない。住所情報の更新は、本人の同意を得てするように設計するべきであろう。「リンクコード」があれば人を確実に識別できるので、もはや住所は、連絡手段の一つとしての意味しかなく、重要でないのだから、住所を自動同期する必要がない。
*6 WGでもその論点は出ていて、将来そのような対策を進めていくという話になっていたと記憶している。
*7 榎並氏はこのことについて、「番号制度は国家の礎である。周囲の空気を読んだり、空気に流されたりして構築すべきものではない。(略)過去のトラウマや各省庁の思惑を抱えた行政職員では、国家の礎を構築するという大事業を遂行することにおいて限界があるのだろう。ここはやはり政治のリーダシップが必要である。」として、切って捨てているが、そもそも、今の政府方針は、与党民主党の政治リーダシップによって決定されたものだったものではなかったか。
*8 榎並氏は、山口委員提出の質問書から「無意味に複雑なシステムを構成している」という部分を引用して、自説の補強に使っているが、この「無意味に複雑なシステムを構成している」というのは、質問書の質問B-6「マイ・ポータルのログイン認証方式として、認証用シリアル番号は認証局においてのみリンクコードと紐付けが行われるようにした点について」のことであって、榎並氏が言うような「IDコード」と「リンクコード」の変換を用いたID連携方式を「無意味に複雑なシステム」と言っているわけではない。ちなみに、この質問が指摘していた、マイポータルのログイン認証でリンクコードを使うという「無意味に複雑」な方式は、既に案が変更され、現行の案では概ね普通の方式に改善されている。