山崎文明 (やまさき・ふみあき) グローバルセキュリティエキスパート代表取締役副社長 大手外資系会計監査法人にてシステム監査に永年従事。内閣官房安全保障危機管理室情報セキュリティ対策推進室WG委員、警察庁不正アクセス犯罪等対策専科講師、2001年度警察庁不正プログラム調査研究委員会委員、2000年度警察庁サイバーセキュリティ調査研究委員会委員などを歴任。著書に、『情報セキュリティと個人情報保護 完全対策』(日経BP社)、『システム監査の方法』(中央経済社)、『セキュリティマネジメント・ハンドブック』(日刊工業新聞社)など。 |
いよいよ来月8月25日から住民基本台帳ネットワークシステム(住基ネット)の第2次稼働が始まる。住基ネットにより、転出証明書に載せている情報を電子情報として市町村間で送信することによって、住民基本台帳カード(住基カード)を転入先の市町村の窓口に提示するだけで住所変更の手続きができるようになる。つまり、引っ越しの際に市町村の窓口に行かなければならい回数が、転入時の一度だけで済むようになるのである。さらに住基カードは、図書館や医療機関など多目的な利用が想定されている。
個人情報保護法の成立を背景に、こうした身近な住基ネットの利活用サービスが開始されることで、住民の住基ネットに対する関心はいやおうなく高まることは容易に想像できる。一方、個人情報の漏洩をはじめとする住基ネットに対する住民の不安は、第1次稼働当初に事件・事故が相次いだこともあり、解消されていないと考えられる。
住民に住基ネットが利活用されるかどうかは、その利便性もさることながら、安全性に対する信頼が大きく影響するだろう。住基ネットの利用率を向上させる上でも、各自治体はあらためて住基ネットの安全確保に抜かりがないか、第2次稼働を前にして再度点検を行う必要があるだろう。
■情報セキュリティポリシーを策定しても、実効性を維持できるのか
住基ネットの安全性を脅かすものとしては、住基ネットそのものの仕組みや採用されている技術上の問題に起因するものと、運用管理の不備に起因するものとに分類される。
前者の、住基ネットそのものの仕組みや採用されている技術に起因する脅威──例えばVPN(仮想閉域網)の暗号化通信の傍受方法が発見されたり、ウイルスの検知ソフトウエアが検知漏れを起こすことなど──は、もしそうした事態が発生したとしても、自治体では管理不能な問題と言っていいだろう。一方、後者の、運用管理の不備に起因するものについては、自治体が自ら徹底して対処しなければならない問題である。
住基ネットのセキュリティ面での不備を指摘した長野県の本人確認情報保護審議会の報告に反論する形で、総務省は今年6月5日に、市区町村に文書長野県個人情報保護審議会第1次報告についての考え方を通知した。その中で総務省は、1割強の市区町村で住基ネットと物理的に接続している庁内LANがネット接続していることを認めた上で、「住基ネットと接続している庁内LANがインターネットに接続していたとしていても、それにより直ちにセキュリティ上、危険とはいえず、FW(ファイアウォール)の設定など適切なセキュリティ措置の実施により、個人情報の保護を図ることが可能」と説明している。
逆説的に言えば、FWの設定などが適切に行われなければ危険があるということであり、まさに自治体の運用管理責任が問われる点である。しかしながら、その運用実態には、不安要素が多い。
当社ではいくつかの自治体で住基ネットに関するセキュリティ監査を行ったが、「公道に面した窓のある部屋に住基サーバーが置かれている」「住基サーバーに『住基サーバー』と明示したシールが貼られている」「住基サーバールームを明示した案内板が入り口に掲示されている」といった、物理的セキュリティの観点から明らかに望ましくない運用をしているケースも少なからず見受けられた。また、コミュニケーションサーバと都道府県サーバとの間は専用線を使用しなければならないとされているが、地域イントラネットで代用されていたケースなどもあった。さらには、住基ネットへのアクセスコントロールに使用される操作者用ICカードを起動させるためのPIN(暗証番号)がテプラで操作者用ICカードに貼り付けられているようなケースも珍しくない。
住基ネットを含め自治体における情報システムの運用管理は、民間業者へ委託されているケースも多い。だが、委託元のセキュリティに対する意識がこの程度では、委託業者への指揮・監督に期待が持てないのではないだろうか。極端な例では、住基ネットの運用を受託しているデータセンター業者が、住基サーバールームを見学コースにしていた例など、受託業者のモラルが問われるようなケースまであった。
■自治体の人事ローテーションはセキュリティの阻害要因
昨年7月、最高裁で京都府宇治市の住民基本台帳情報漏洩事件に対する宇治市の上告が棄却されたことで、宇治市側の市民に対する賠償責任が確定している。この事件は、システムの開発に伴い、テストデータとして住民基本台帳データを開発委託業者に提供したところ、委託先の学生アルバイトがそのデータをコピーし、名簿業者へ持ち込んだことに端を発している。
宇治市の主張は、委託元の指揮・監督が及ばない委託先の建家内で起こった事件であり、委託元に非はないというものであったが、判決では、たとえ委託先の建家内で起こった事件でも「実質的な指揮・監督関係は失っていない」とした上で、「発注者は秘密の保持について万全を尽くすべき義務を負う」としている。つまり、委託しているのだから、事件や事故が万が一に生じた場合は委託業者の責任であるとの主張は通らないのである。
自治体関係者は、この判決を他山の石として、委託業者との関係を真剣に見直す必要があろう。ちなみに、宇治市はセキュリティ対策を強化し、現在では“先進自治体”として全国的に有名となっている。
一方、自治体職員が委託業者の指揮・監督を徹底するにも限界がある。最大の阻害要因は、自治体職員の人事政策にある。情報システム関係の部署に配属されても数年以内には人事ローテーションが行われるため、IT技術に精通した専門家を抱えることができていない自治体は多い。結果として民間業者に丸投げとなっているため、委託業者に対する十分な指揮・監督ができない状態となっているのである。
先に紹介した当社のセキュリティ監査における指摘事項例は、物理的な項目に関するものであるが、同様にIT技術に関する問題点が指摘されるケースもある。例えば、コミュニケーションサーバーと庁内の既存住民基本台帳システムの間に設置されているFWにセキュリティホールが検出されるなどの例だ。専門的な技術知識を備えた外部監査人が指摘するのと同等のレベルで、技術面からの指揮・監督を行える職員がいる自治体は希だと思われる。また、LGWAN(総合行政ネットワーク)への接続要件を満足させるため、情報セキュリティポリシーを策定した自治体は多いが、その実効性を維持するための対策基準書や実施手順の改訂作業についても技術進歩を反映したものである必要がある。
自治体内部の人材だけで委託業者の指揮・監督が難しい現状で、効果的な統制手段の一つとして考えられるのは、委託業者とは別にセキュリティの専門家を活用することであろう。対策基準や実施手順の改訂に外部専門家を参画させて技術指導を受けることで、最新のセキュリティ対策技術が反映されたものを作成することができる。こうして作成された基準書、手順書に従った運用を委託先に要求することによって、一定のセキュリティ水準を確保することができるというわけである。
さらに外部専門家と共同(もしくは委嘱)して、運用委託先が基準書、手順書に準拠した運用を行っているかどうかを確認するためにセキュリティ監査を実施すれば、セキュリティをより確実なものにすることができる。セキュリティ監査の結果として指摘された事項に対する改善活動について、運用委託業者とともに取り組んで行くことで、初めて住民に対して住基ネットの安全性についての説明責任が果たせるのではないだろうか。
※ 最後に、本文中で紹介したセキュリティ監査の指摘事項は既に改善されていることを付け加えさせていただきます。
