Slide 15

   
●住基ネットの持つ問題

(6) 相互信頼にもとづくネットワーク参加の手続き
 住基ネットのような大規模なネットワークシステムに多数の参加者が接続し、とくにそのネットワーク上で個人情報を利用する場合の、参加者相互の信頼関係を着実に確保するための手順の一例です。ここには、現在の情報通信技術が大規模ネットワークシステム構築に当たって、その運用者・参加者に採用を期待している基本的な手続きが含まれています。

住基ネットなどの場合は、自治体や国の機関が「参加者」であり、個人情報が利用される「本人」はこの手続きには直接参加していません。
 「システムに対する社会的コントロール」のために、こうした信頼関係構築の手続きの過程では、多くの情報が一般に公開されるので、これを通じて、社会的な活動の中で、あるいは自治体議会や国会などを通じてシステム全体の信頼性に対して「本人」が積極的に働きかけることが十分可能になっていなければ、こうした手続き自体の「社会的公正性」は確保されていないことになります。

 この信頼構築手順の例には、3つのポイントがあります。

 [1] 信頼できる適切なセキュリティ基準を採用する
 これは国際基準である必要はないかも知れません。システム構築にあたって、(住基ネットのように)独自の規準を作成してそれを適用することはあり得ます。当然、独自基準を採用する場合、その信頼性がどのように確保されているかは明確でなければなりませんが、住基ネットが採用したと考えられる住基ネット推進協議会の「セキュリティ規準」は、その内容が未公開であるばかりでなく、その信頼性の根拠もまったく示されていません。
 セキュリティ基準の適用によって確保されるセキュリティ強度は、その強度が得られることを立証する情報とともに、一般に公開される必要があります。その基準が、システムの目的や運用する情報に対して十分な内容と水準のものであることが示されなければ、こうした手続きは社会的な公正性に欠けることになり、セキュリティ強度が担保されるとは言えません。

 とくに、個人情報を取り扱う公共のシステムにおいては、そこで運用される個人情報の当事者が十分理解できる形で、こうした情報公開は行なわれる必要があります。
 また、その基準によって確保されるセキュリティ強度が、そのシステム上で運用される情報に直接利害を持つ人(例えば個人情報の本人)から見て、十分であることが必須の条件となりますが、社会的な視点からの議論・検討・判断が必要な課題です。社会的に要求されるセキュリティ強度が明確でなければ、技術的なセキュリティ基準を選択・採用する基準はありません。

 この検討は、当然、社会的な議論の中で進められる必要があるわけですが、住基ネットの場合を考えると、この種の検討過程が社会的に開かれた場で十分な説明責任を果たす形で進められてきたとは、とうてい言えないでしょう。その結果、「住基ネットに要求されているセキュリティ強度」につて、簡潔に説明することは現在誰にもできない状態です。

*「個人情報の本人」の利害から見れば、セキュリティ確保の目的は自分自身の「プライバシーの確保」ですから、セキュリティ確保だけでは十分ではありません。ネットワーク参加者に「プライバシーポリシー」の作成・公開が求められるのは、そのためでもあります。相互に自己が責任を負う「個人情報」を運用するのであれば、参加者の責任において他の参加者の「プライバシー保障」の水準も重大な信頼関係の基礎です。

 [2] 各参加者が社会的信頼の条件を満たしている第三者機関の監査をうけ、その結果を公開することによって、信頼性の担保をはかる
 信頼できる第三者機関による監査と結果の公開は、相互信頼関係の構築の上では必須の課題です。住基ネットの場合でいえば、総務省は「監査法人」(第三者機関とは呼ばれていません)による「外部監査」を一部の自治体で実施しているとしています。しかし、監査主体も監査内容も実施時期も対象機関名も公開されていません。むろん結果も公開されていません。総務省によれば「セキュリティに関する情報なので非公開」なのだそうですが、結果が「OK」であれば、「○○市は監査OK」という結果だけでも公開すべきでしょう。総務省が監査結果の公開を拒んでいるのは、「不合格」の機関にも住基ネットへの接続を継続させるためとしか考えられません。

 [3] 構築される信頼関係は相互的なものであり、参加者の責任・権限が明確であること
 参加者は、自己のセキュリティレベルに問題があると考えた場合、「接続しない」ことはその参加者の主体的な責任において行なわれる当然の判断です。これは、自己が原因となって他の自治体等の住民の個人情報漏洩などを発生させないための、責任あるネットワーク参加(予定)者の行動です。同時に、自己の責任によるセキュリティ事故に対する損害賠償などのリスクを回避するためにも必須の行動です。ところが住基ネットには、こうした判断を市町村に許容していません。

 また、他の参加者のセキュリティ確保に重大な疑念があれば、そこでのセキュリティ事故による被害を回避するために、責任ある参加者は「接続しない(切断する)」という行動を取るはずです。自治体のレベルで言えば、自己が責任を負う住民の個人情報の漏洩等による被害を、住民が受けないようにするための当然の選択肢であると言えます。また、他の自治体のセキュリティ事故によって自己が責任を負う住民の個人情報が漏洩するなどの被害が発生した場合、当然のことながら自己を起こした参加者に個人情報を提供することになったその自治体にも損害賠償責任が発生するので、これを回避するためにも当然の責任ある判断といえます。住基ネットは、こうした自治体の判断も許容していません。

 むろん、こうした「接続しない(切断する)」という選択には、当然のことながら「自己が本人に対して責任を負う個人情報の削除」(漏洩の可能性をなくす)を都道府県や全国センターなどに求める権利も含まれなければなりませんが、住基ネットはこうした要求に応じていません。端的にいえば、住民基本台帳ネットワークシステムは、特定の個人や特定の自治体に帰属する「個人情報」を削除する機能を装備していません。


●もくじ(Slide番号でジャンプ)

01:技術的視点から 札幌市「選択制」を考える

  02:住基ネットの現在:プライバシーの危機

  03:個人情報の安心と安全

04:長野県審議会報告書 における指摘

  05:多数の自治体で住基ネットは外部と接続されている

  06:セキュリティにどれだけコストをかけるべきかという問題提起

  07:自治体首長の安全確保義務規定(住基法36条の2など)の重要性

08:住基ネットの持つ問題

  09:監視社会のインフラ(プライバシーの侵害)

  10:セキュリティが十全でも プライバシー侵害は起きる

  11:地方自治の不在

    12:(参考)インターネット方式だったらこんな形

  13:住基ネット全体のセキュリティ確保は失敗している

    14:住基ネットの信頼基盤構築失敗のプロセス

    15:相互信頼にもとづくネットワーク参加の手続き

  16:セキュリティコストを含めた行政システムの費用対効果の評価ができていない

  17:電子政府・電子自治体は「情報公開と市民参加」の 可能性を活用できていない

18:どのような選択制が有効か

  19:技術的視点から見た自己情報コントロール権の 根拠と目的

    20:セキュリティの確保・プライバシーの保障のプロセス

  21:「選択制」(自己決定:自己情報コントロール)の限界

  22:住基ネットにおける「選択制」の意義

  23:「住基ネット」における「選択制」を現実的なものとするための条件