住基ネット

11月 12th, 2003 Posted in 政治
コメントは受け付けていません。

最近訳あっていろいろと住基ネットを追っかけています。先日は初めて長野県の本人確認情報保護審議会(2003.11.6)にも行って、取材してきました。

長野県はおそらく日本でも数少ない、公開された審議を通して住基ネットに関する議論を行っている自治体ですが、田中知事が着任されて以来、政策決定の現場を公開していくプロセスはうまくいっているようです。今回も弊社はIT業界ではそれなりのポジションをもってはいるけれども、一般的にはそれほど認知のないメディアでありながら、名前と住所を記入するだけで取材が出来ました。

個人情報保護法案が通ってからというもの、あまり世間的にも着目されなくなりつつある住基ネットですが、当初議論されていた本来的な問題(リスクに応じたコストパフォーマンスの問題)については法案が通ったからといって無くなったわけではないはずです。

現場で今回の長野県の審議会をはじめ、取材をしてみた感じでは、下記のようなことを感じています。

・とにかく事業計画に穴が多い。

 最早導入するという結論があって、それに合わせて数字が並べられているような印象を受ける。委員の櫻井よしこさんも指摘していましたが、増加割合の予測があまりにも根拠に乏しかったり(実際に現在の加入者数と離れた数字であったりする)、システム更新にかかるであろうと思われる様々な費用が抜けている。

 ただこの辺は、今後議論の中で更に精緻に数字が詰められていくとのことでした(とはいえ、1年この審議会が開かれていながらまだこの状況にあるのはどういうことだろう?と思う部分もありました。)。

 いずれにせよ、セキュリティのフレームワークの設計の基本となる、守りたいものは何で、それが侵される可能性の度合いと侵された場合の被害額はいくら、これをカバーするための運用体制はこれこれで、その場合の効果(利用者のメリットとサービス提供者のコスト削減効果)はこれこれ、だから結果としてやるべき、止めるべき、といったストレートな議論が起こってほしいと思っています。

・議論が技術そのものに偏り過ぎていないか?

 どうも皆さんが注目しているのは「技術そのものの安全性」であり、多くの場合ここが論点になっているようです。しかしながら、情報セキュリティ関係者であればおそらく当たり前のことだと思いますが、実際には技術は常にアップデートされているものであり、その時々で安全かどうかを図ることは、安全性を担保する上での必要条件の1部に過ぎません。

 重要なのは、例えば技術がアップデートされた際に、自分のところのシステムにパッチを当てるなどの作業をしっかり行うであるとか、組織内規律をしっかりと遵守するための仕組みをどう作るかであるとか、継続的な運用がどれだけしっかりと行われているか、ということだと思うのですが、どうもこの点にはあまり触れられる気配はありません。

 運用面での設計が整理されて、それに対してスタッフがアサインされる訳ですが、どうもそういったところがスポッと抜けてしまっているような気がします(取材が足りないだけかもしれませんが)。

 —

 おそらくこうしたシステムの問題とは常に1つの思考パターンに端を発しているのではないかと感じています。つまり、公官庁や大企業ほど、システムに「絶対」を求める傾向が強い、ということです。個人的にはそういったマインドセットを持っている人達がオープンソース、と近年しきりに言っていることもあまり理解できないのですが(なぜならオープンソースのシステムというのは基本的に自己責任をある程度許容する必要のあるもののため)、今回の住基に関してもこの「絶対」を煩く問い続けることで議論が進展しないのではないかと思っています。

 私はまだ住基に関してはやるべき、やらざるべきという結論は持っていませんが(それだけの勉強もまだまだしていないですし)、こうした議論に関しては全ての人にわかりやすいようにコストパフォーマンスを見た上でやっていくべきと思いますし、それが一番サービスによってメリットを受ける人達にわかりやすいのではないかと思っています(そういったところを総合すると、個人的にはなかなかパフォーマンスが良くなるかどうかというところにはまだまだ疑問が残るのですが…)。

 また、今回の件を通じて合わせて感じたのが、一般的に多くの人のセキュリティ意識というものがそう高くないものなのだ、ということでした。

 私は比較的古くからインターネットというものに触っているんですが、近年世代によってネットワークというものの捉え方が相当異なることを実感しています。つまり、私の世代より上の人達(主にエンジニアやクリエイターだと思いますが)は、かつて「サイバースペース」とネットのことを呼んでいたように、一種「場」として捉えていますが、近年の人では「ツール」としての捉え方が大を占めるのではないかと思います。

 これは結構大きな違いで、人は「場」を守るためには、それが代替のききにくいものであるため必死になりますが、「ツール」は多くの場合代替がきくので、比較的扱いもぞんざいになります。この辺が、世代格差(これは実は世代格差なのではなく、そういう意識をネットに持っている人とそうでない人の格差なのだと思いますが)によってセキュリティに対する意識が異なる一因なのではないかと思っています。

 セキュリティに関する意識を広く高めるためには、相当大きなショックを伴う現実的な課題に皆が直面する必要があるということでしょうか。最近ウイルス騒動などで巷間にも少し議論への希求が起こりつつありますが、住基などについても本格的な議論はまだこれからでしょう。個人的にもこの件はフォローを続けていきたいと思っています。

・参考までに、長野県本人確認情報保護審議会のホームページです。
http://www.pref.nagano.jp/soumu/shichoson/jyukisys/singi.htm

Read More