佐賀県鳥栖市で,知人の男性の姓名,住所などをかたるなどして,不正に住民基本台帳(住基)カードを入手したとして,福岡市の男(46歳)が佐賀県警に逮捕された。男は詐取した住基カードを使い,消費者金融の融資手続を行い,数10万円の借金をしていたという。

 住基カードは市民生活を送って行くのに必要な行政上の個人情報を蓄え,行政上の申請手続きが可能になったり,身分証明書ともなる重要な役割を果たすカードである。そんな大事なカードが,名前をかたるだけで,手に入るとは・・・。しかも,そこに埋め込まれたICチップは厳重なセキュリティ技術により,中の情報が簡単には取り出せないよう二重三重のロックがかけられているものだ。

 それほど厳重な仕組みを用意しなければならないほどの重要なカードが,知らない間に他人に詐取されてしまうようなことがなぜできたのだろうか?

本人確認がおざなり

 住基カードの発行手順はどうなっているのだろうか? 

 まず,手続きは地方自治体の発行窓口に申請書を提出するところから始まる。住所氏名,生年月日などを書き,住基カードの発行を申請する。申請書の受付後,申込者本人に対して本人意思を確認するために,郵送で照会書が発送される。この照会書を持ってもう一度自治体窓口に出頭すると,いよいよ住基カードが発行される。もし,他人が虚偽の申請をしたとしても,申請者名義人にはこの照会書が届かないはずだから,これで本人確認の第一段階がクリアされると,多くの市町村は考えているらしい。

 今回の事件では,被害者の男性は逮捕された知人から,「市役所から書類が届いたらそのまま渡してほしい」と頼まれ,特に疑いもせずに照会書を渡してしまったという。照会書は普通郵便で届くから,ポストで待ち受けることだってできるかもしれない。今はもうないかも知れないが,長屋風の木賃アパート,あるいは社員寮などで集合ポストなどになっている場合は,もっと恐ろしいことが起こり得る。こんなことは書きたくないが,親子,兄弟の間でも保険金目当ての犯罪がある。そんな同居家族が意図すれば,簡単にすり替わることができてしまう。

 さて,この確認書をもって窓口に出頭すると,多くの市町村ですぐに住基カードを渡してくれる。こんなあっけなさで,こんな重要なカードを渡してしまっていいものだろうか。朝日新聞が調べたところ,全国の都道府県庁所在地46市と東京23区のうち40市区が,申請者の住所地に送った照会書以外で本人確認をせずに交付していることが分かったという。(2004年2月8日朝刊)

実際に試したら,身分証明書は求められず

 早速筆者も実際に試してみた。住民基本台帳カードの申請書を窓口に出すと,特に本人確認のための身分証明書を求められることもなく,簡単に受理。「数日後には確認書が届きます」との案内。これを申請する際,身分証明書としても使える顔写真付きの住基カードをリクエストすると,健康保険証か運転免許証,パスポートなどの提出を求められるというが,顔写真なし・照会書発送の場合はその必要がないようだ。

 数日後,私あてに届いた照会書は普通郵便で,マンション入口のポストに投げ込まれていた。これも不安だが,さらに驚いたのは,照会書を持って窓口に行くと,しばらく待たされた後,ご丁寧にも私の名前を呼び上げて,ハイと渡されたことだった。

 詐称した申請者なら,名前が呼び上げられればほくそ笑みながらハイと答えるだろう。本来なら名前は本人に名乗らせ,本籍地を聞くなどの手段はとるべきところなのに。

 受け取った後に,さらに「公的個人認証サービス」を受けるための「鍵ペア」の発行を受けることにした。さすがにこの段階では,運転免許証などの身分証明書の提出を求められた。しかし,佐賀県の事件のように,消費者金融の借り出し手続きに使うには「公的個人認証サービス」まで受ける必要はない。

義理人情と,履き違えた優しさ

 クレジットカードをお店で使う際も,“顧客を尊重して”サインさせない店も多いという。サインを求められると,私を信用しないのかと怒り出す客もいたりするため,高級店ほどサインをさせずに買い物をさせる店が多いという。

 こうした誤った“優しさ”が,せっかくセキュリティに配慮したITシステムに簡単かつ大きな穴を開けてしまう。日本人特有の義理人情,そして人への優しさの履き違えが重大なセキュリティ・ホールを作ってしまう。

 オートドアの入り口でもぞもぞとしていると,後からきた住民が開けてくれたり,中から子供が遊びのつもりで開けてくれたりする。積極的に招き入れないまでも,続いて入ってくる人を押しとどめたりする人は少ない。

 あなたの会社では社長が,警備員に「オウ」などと言って堂々と顔パスしていませんか?

 昔,取材中にこんな場面に遭遇したことがある。米Apple Computer社のSteve Jobs CEO(最高経営責任者)が自社がメイン・スポンサーとなったMACWORLD EXPOの基調講演に登壇する直前のことである。彼はそのときたまたま,出演者バッジを付けておらず,入り口で警備員と小競り合いが起きた。

 「私はSteveだが」,「はい,Steve様,バッジをお付けでない方はここから先の楽屋には入れないことになっています」・・・

 これはあまりにも極端な例だったかもしれない。しかし,この警備員は全くもって正しいことをした。バッジは確かに持ってくるのを忘れたのかもしれない。しかし,バッジを持っていないということは,前夜の役員会で解任されてしまっていることだってあるかもしれない。警備員は,こうした万一のリスクを回避するのに必要な行動を取ったということだ。

 程なく,バッジを持った秘書が駆けつけ,MACWORLD EXPOの基調講演はこと無きを得たが,こうした正しい“セキュリティ・ポリシー”が考え方の前提にない限り,思わぬところからシステムは崩壊する。

 システム開発の守秘義務契約を会社同士で取り交わしていながら,開発要員の行動規範までの縛りはかけていなかったり,要員の交代には鷹揚だったりする。こんな甘い意識がのちのち足をすくうことになる。

 事件を受けて,自治体では,申請時のみならず,カード受領時の身元確認などを複数行うことでセキュリティを高める対策に乗り出しているところもあるが,動きは遅い。しかも,確認の手段として健康保険証など,個人を厳密に特定できない書類も許されているため,不安はぬぐいきれない。簡単な印刷物だけに,偽造もされやすいだろう。

 IT先進国家への道はこうした部分の意識改革が求められている。

(林 伸夫=編集委員室 主任編集委員)