Home | 連載タイトル一覧

地方自治職員研修 2005年6月号掲載

e−ガバ時評 (6)
● 「社会通念上、妥当な」説明を! ●

−−というか、総務省市町村課は、住基ネットの情報セキュリティに関する説明を簡潔に(わかりやすく?)するあまり、地域住民からたくさんの誤解を受けてきているのだなぁと、先日、改めて痛感しました。
 住基ネット問題では、はじめからオッドマン/憎まれ役を意識的に引き受けてきた片山虎之助大臣がすでに交代しているのですから、簡潔な説明による誤解は「想定の範囲」という市町村課の方針は、早急に転換してほしいものです。

めて痛感したというのは、長野県安全確認実験についての吉田柳太郎さんの証言(東京地裁)に対する国側の反論書(金沢地裁2005年3月2日付被告「第10準備書面」)に、「社会通念上、妥当な用い方」という国側の釈明がされていた部分です。
 国側のこの準備書面は、侵入実験における「ファイアウォールの突破」(あるいは「攻略」、「攻撃」)ということばの意味は「(ファイヤーウォールによって)保護されたネットワークに存在するサーバの権限を、ファイアウォール越しに取得する」こととして理解するのが「社会通念上、妥当」だと主張しています。
とえば、2003年10月の品川区における侵入実験報告では、「次の機器に対するペネトレーションテストを実施した」として、
 住基ネット−CS間のファイアウォール
 CS−庁内LAN間のファイアウォール
 庁内LAN上のCS端末
を掲げています。このうちファイヤーウォールを対象とした実験の結果は、「ファイアウォール攻略のあらゆる手段を試みたが、成功しなかった。脆弱性も見いだせなかった」というものです(総務省「住基ネットに対するペネトレーションテスト結果報告」2003年10月17日)。
 これだけの説明(実際、総務省の発表はきわめて「簡潔」でした)から得られる地域住民の「社会通念」上妥当な理解では、自治体のサーバーなどが実験対象にされたとは解釈できないでしょう。総務省は一貫して「ファイヤーウォール自体」の有効性・重要性を強調してきたので、私の知る限り、地域社会はストレートな理解として、この「攻略」は「ファイヤーウォールの管理者権限を取得すること」だと受け止めていました。
 国の主張する「社会通念」が成立するためには、ファイヤーウォールに関連する侵入実験には、(1)ファイヤーウォール自体の脆弱性に関する試験と、(2)ファイヤーウォール越しにアクセス可能なサーバーなどの脆弱性に関する試験の、2つの課題がある−−ということが共通の理解になっている必要がありました。
ころが、こうした共通理解が持たれている情報セキュリティの専門家の「社会」では、利用者にファイヤーウォールへの過度の依存を招かないための配慮もあり、この2つは誤解の余地なく別の課題として扱われています。つまり、品川区実験報告も金沢の被告準備書面も、その説明は技術的に「妥当」なものではありません。
 総務省のLGWANの実証実験報告書(2001年3月)では、サーバーを攻撃対象とした図を添えて侵入実験の結果が報告されているのでこのような誤解の余地はないのですが、住基ネットでは、市町村課が簡潔な説明を追求するあまり、住民に誤解を招いている場面が多すぎます。  この問題の背後には、おそらく、総務省市町村課自身が、現在の技術水準を十分理解し得ていないという問題があると考えています。
 官僚は技術のプロではないのですから、技術的な要素を含む「説明責任」の履行場面では、現在の技術水準に対して謙虚になっていただきたい。その謙虚さが住民と行政の信頼関係を構築する第1の基盤なのですから。


追記(2005.7.16)

4月1日付けで地方自治情報センターが公開した、東京・江東区の「ペネトレーションテスト」結果では、「ファイヤーウォールそのものへの攻撃」と「ファイヤーウォール越しに行う内部のサーバーへの攻撃」は、明示的に区別されています。
また、5月30日出された金沢地裁の「住基ネットさし止め訴訟」判決では、被告側から証拠として提出された品川区の「ペネトレーションテスト」結果について、「同テストの内容の詳細が不明であり,評価を行うことはできない」と判断されています。

©2005 Nishimura, Tohru
連載:2005年1月号より(全タイトルはこちら)
掲載誌:月刊「地方自治職員研修」
発行:公職研 Tel.03-3230-3701(代表)
office dlc のロゴマーク