1966年生まれ、2000年日本東北大学大学院卒業(情報科学博士)。ソウル市電子政府研究所企画部長、世宗研究所研究委員を経て、現職。韓国の電子投票システムの開発、サイバー選挙運動・参加等の研究を進めている。著書は「日本の電子政府・電子投票」「韓国の電子投票・インターネット投票」「東アジアのIT国際協力政策と電子政府」「U-koreaへの取り組みと社会変化」のほか多数。 |
韓国政府は電子政府構築の進展によって2003年から電子申請によるインターネット証明書発行サービスを開始している。2005年末現在、7つの中央省庁で80種類、ソウル特別市、江南区など地方自治体から19種類の証明書がインターネットを通じて申請・交付されている。
インターネット証明書発行の状況を見ると、2003年から急増している。2003年韓国の中央省庁と地方自治体が発行した様々な行政証明書の件数は99万8792件であったが、その中で6万7870件はインターネットから申請・発行された。2004年は全体で1億8354万2692件の証明書が発行されたが、インターネット経由での証明書発行は1034万4629件である。全体行政機関の証明書発行の中でインターネット証明書発行が占める割合は2003年0.7%から2004年5.6%まで増加した。2005年の場合、全体証明書発行は1億8485万5954件であったが、その中でインターネット経由の証明書発行件数は1738万6963件で全体の9.4%を占めている。
しかし、2005年9月23日、韓国の電子政府サイトから電子申請・交付されるインターネット経由の証明書が偽造・変造されるという欠陥が発見された。同日より韓国政府はインターネットによる証明書発行サービスを一時中止した(2005年11月10日から再開)。行政自治省をはじめ国税庁、検察庁、裁判所などが提供していた78種類のインターネット証明書発行が中止され、証明書の内容を偽造・変造する可能性を根本的に防ぐ措置が行われることとなった。
今回のインターネット証明書発行の一時中止は韓国社会へ大きな影響を及ぼしたと思われる。行政組織と民間で利用される様々な証明書を一々足を運んで窓口まで行って手書きの手続きを踏んで申請する不便さは勿論、電子政府サービス全般に渡るシステムセキュリティ問題と個人情報保護のあり方に対する根本的な疑問を投げかけた。インターネット証明書発行が中止された2カ月余の時間、国民の不満は少なくなかった。電子政府サービスの再開にあたり、単純な技術的改善措置のみではなく添付書類の根本的な縮小対策と情報セキュリティ対策が総合的に打ち出された結果、国民の利用率も従来の利用状況に戻りつつある。
昨年10月には、このサイト(電子自治体ポータル)上で韓国の電子政府サービスにおける偽造・変造問題についての状況報告をお届けしたが(関連記事)、今回は韓国政府のインターネット証明書発行の一時中止に対する総合対策についてまとめてみたい。
■技術的な対策だけでなく法・制度も改正
韓国政府は、「インターネット証明書偽造・変造対策」を2005年10月4日に取りまとめた。「インターネット証明書偽造・変造対策」の策定において、今回の問題に対する様々な側面での原因究明と対策作りが行われた。まずはインターネット申請と発行の際、起こりうるハッキング・改造・変造に対する技術的側面である。また、今回の問題は技術的対応のみでは解決できないと判断され、証明書の流通と発行機関と受付機関の確認手続きの徹底化、情報保護の認識問題・情報セキュリティ管理システム、偽造・変造を行った場合の処罰制度整備、それから情報セキュリティ産業の育成による技術的競争力の強化など総合的な側面から対策が取りまとめられた。
まず、今回のインターネット証明書発行の一時中止の原因とそれに対する技術的対策からみてみよう。今回明らかになった電子政府サービスの問題点は、電子申請したデータをダウンロードして印刷するプロセスの中で発生するシステム欠点である。電子申請とそのインターネット発行の際、まず市民は電子政府Webサイトへアクセスし、住民票などの電子申請を行うとサーバは市民が申請した証明書のデータをファイルの形(PDF、JPEGなどのイメージ、htmlなど様々)でパソコンに送る。ハッキングはこの際に起こる。即ち、サーバからデータをダウンロードされる過程でハッキングが起こり、そのファイルを一般的なグラフィックソフトを利用してデータの数字の改造・偽造が可能となる。
このようなシステム欠陥に対する技術的対策としては、まず、電子文書の二重暗号化や、キーボードハッキング防止プログラムの設置などを行った。さらに、利用者のパソコンに対しては、伝送されたデータの内容を一時的に保存するファイルの作成を禁止したり、印刷段階ではプリンタードライバー情報のチェックと印刷時点で偽造・変造を再確認するなどのシステム的な対策を取った。
法・制度の整備も行われた。インターネットでの電子申請によって発行された証明書に対しては、インターネットからの証明書であることを明記するとともに文書番号とバーコードから内容の偽造・変造を確認する手続きの徹底をはかるため真正性の検証作業が義務化されることになった。さらに電子政府サイトにインターネット発行の証明書偽造・変造に対する処罰警告案内を掲載し、偽造・変造行為に対しては刑法第225条公文書等の偽造・変造、または第227条の2項電子記録の偽作・変作の規定により10年以下の懲役に罰することになった。インターネット証明書の偽造・変造のみではなく、偽造・変造の方法を公開・流布する行為に対しても処罰規定が新設された。この行為は電子政府法の中で新しく規定を新設したもので、5年以下の懲役もしくは5千万ウォン以下の罰金とする改正である。
今回のインターネット証明書偽造・変造の問題は、韓国電子政府のセキュリティ管理システムを総合的に見直す契機となった。国家全体のセキュリティシステムは国家情報院が総括し、電子政府関連事業とサービス情報化分野は行政自治省が管理する。特に電子政府と関連しては2005年11月電子政府法の改正を通じて「電子政府セキュリティ委員会」を設置し、電子政府サービスのセキュリティ対策・制度整備・事故等へ対応することとなった。これからは電子政府関連事業は、計画段階から情報セキュリティ関連コンサルティングを義務化すると同時にシステム開発段階からセキュリティ業者の参加を義務化し、システムの監理・維持管理過程にもセキュリティ専門家と業者の参加は義務化する。
とはいえ、行政申請の際に、行政機関が従来の通り様々な証明書を添付書類として要求する限り、根本的な解決策にはならない。どんな対策をとってもシステム欠陥によるインターネット証明書偽造・変造の可能性はゼロではない。ゆえに、発行書類は少ないほど偽造・変造される確率は低くなる。そこで、韓国政府はインターネット証明書偽造・変造問題の最も根本的な解決策として、各行政機関同士の情報共有と共同利用による行政書類の縮小を図ることとした。
