 |
| 図1●個人情報保護条例と防御システムが地方自治体のセキュリティの二本柱。 条例に罰則規定を盛り込むことで,警察の協力を仰ぐ |
地方自治体のセキュリティを支える二本柱は,個人情報保護条例の制定と,セキュアな防御システムの構築である(図1[拡大表示] )。このうち,個人情報保護条例の有無は比較的容易に確認できる。問題はシステムの方だ。
こうした中,地方自治体が試行錯誤を重ね,独自にセキュアなシステムを構築し,積極的に情報開示を行っている例がある。京都府の宇治市によるICカードを使った認証システムがそれだ。
系統を分けてICカード認証で制御
 |
| 図2●宇治市役所のネットワーク構成の概念図。 保護したい情報を持つ閉鎖系システムと,外部につながるオープン(インターネット)系にネットワークを分け,それぞれに対応したICカードを使った認証と暗号化などで情報漏えいを防ぐ。ICカードがないとどちらにもアクセスできない |
宇治市は庁内ネットワークを2系統に分けた(図2[拡大表示] )。外部への流出を防ぎたい情報は,外につながっていないシステムに集中させる。これを閉鎖系ネットワークと位置付けた。一方,職員のWeb閲覧やメールなど,インターネットに接続するネットワークをオープン系とした。二つのネットワーク系統をICカードで使い分ける(写真1)。閉鎖系のサーバにアクセスするときは閉鎖系用のICカード,インターネットにアクセスするときにはオープン系のICカードをパソコンに挿して使う。職員のパソコンにはICカードのスロットは一つしかない。このため,常にどちらか一方の系統にしかアクセスできない。いずれの通信も暗号化する。
ICカードにはパケットの暗号化に必要な鍵やパスワードを記録し,それぞれの系統に設けた認証サーバでアクセスを制限する。市役所職員は,職制や業務内容によって一人ずつ権限が設定されている。
宇治市がこうした機構を構築する際に重要視したのが「住民の個人情報が漏えいすることを防ぐ」(企画管理部情報管理課の木村修二課長)こと。このため,住民情報が記録されたサーバはすべて閉鎖系に収容した。
 |
| 写真1●市役所職員に付与されるICカード。 2種類あり,インターネットを利用する場合と,内部システムにアクセスする場合で使い分ける。ICカードがないとネットワークにアクセスできない |
2系統に分けたのは,ファイアウォールに全幅の信頼を置かなかったためである。閉鎖系を外部から隔離しておけば,攻撃者にオープン系に侵入されても被害を最小限に抑えられる。
ICカードを使ったのは「有資格者だけにネットワーク接続を許可する」(木村氏)のが目的だ。住民情報を閉鎖系に収容したことで,情報漏えいの可能性は庁内LAN経由だけに絞れる。そこで,こうした住民情報にアクセスする必要のある職員を絞り込み,その職員だけに許可する。
問題は住基ネットだ。住基ネットで使用するデータベースは閉鎖系の中にある。ところが,住基ネットの先にある他の地方自治体のシステムについては安全性を担保できない。そこで,住基ネットとの常時接続を避け,宇治市の住民情報の更新だけを全国サーバにバッチ処理するようにした。通常はケーブルを外しておき,数分程度の更新作業中だけ職員が手でつなぐことにした(写真2)。
実際には,ネットワークをセキュアにするだけでは十分でない。宇治市では職員が使うパソコンのフロッピ・ディスク・ドライブやPCカード・スロット,USB経由の記録媒体などをすべて使えないようにしてある。「Windowsのシステムが利用するモジュールを一つずつ検証し,どれを削除すれば何が使用不能になるのかを調べあげた」(木村氏)という。
 |
| 写真2●住基ネットと接続するためのケーブルは普段は抜いてある。 毎日数分間,データ更新のバッチ処理をするときのみ,職員が手でケーブルをコネクタに挿す。処理が終われば,コネクタから抜くという規則を徹底している |
インターネットを通じてFTPサーバなどにアップロードすることも禁じている。これだけではなく,外部に送信するメールは必ず上司にも配信されるよう,メール・サーバに手を加えた。
これらの作業は,基本的に木村氏が所属する情報管理課で行っている。職員に渡すパソコンもすべて情報管理課の職員がセットアップする。「こなし切れない部分は外部に委託するが,その場合でも必ず開発作業は市役所内でやってもらう。その条件で引き受けてくれない場合は,他のベンダを探す」(木村氏)。ベンダから派遣されたスタッフにも職員同様にICカードを発行する(写真3)。
情報流出の事件が教訓に
宇治市が個人情報保護に注力する背景には,1999年5月に発覚したデータ流出事件がある。これは,乳幼児健診システムの開発を委託していたベンダを通じて,宇治市の住民票データが流出し,名簿業者に売られたという事件だ。
開発を受託したベンダは下請けに丸投げ,さらに孫請けされていた。開発作業は孫請け企業の社屋内で行われていた。ここで,孫請け企業に雇われたアルバイトの大学院生が自分のMOディスクに住民票データをコピーし,名簿業者に売却したのである。この事件では,宇治市の住民3人から損害賠償の請求を受け,大阪高裁に1人当たり1万5000円の支払いを命じられた(2002年7月に確定)。
 |
| 写真3●新しいICカードを登録しているところ。 作業しているスタッフは機器納入ベンダから派遣されている。システム開発も含め,外部スタッフは必ず市役所内で市職員の目の届くところで作業するルールになっている |
事件当時,すでに宇治市は個人情報保護条例を施行していた。しかし,この条例には罰則規定がなく,意味をなさなかった。「地方自治体のシステムとしてはトップ・クラスのはずだ」(木村氏)と胸を張れるようになった今,宇治市は個人情報保護条例も2002年内に改正案を提出する予定である。具体的には,内部/外部を問わず違反者に課す罰則や,漏えいした情報の回収に関する規定などを盛り込む。事件を経験し,システムを構築する中で実感した,規定の不足を埋めようというものだ。こうした動きは,システム整備と条例策定を同じ部署で担当していることが大きく作用していると言える。
総務省は2002年9月3日,同年4月1日時点の個人情報保護条例の制定状況を発表した。これによると,条例を制定済みの地方自治体は2161。総数3288に対して65.7%である。条例までは至っていないが,要項や規則といった形式を含めると約80%に当たる2633の地方自治体が何らかの対応をしている。
ただ,宇治市の例を見るまでもなく条例を定めていればよいというわけではない。その中身が問題だ。例えば罰則を盛り込んだ条例は,204の自治体しか定めていない。その中で84は自治体職員ではなく,委託先業者に対する罰則規定しか設けていない。
住基ネットの利用はまだ一部の業務に限られているが,2003年8月からは住民票の写しの交付がどの市町村からでも可能になるなど,今後は住基ネットの利用は拡大していく。宇治市の場合は事件を起こして考えが大きく変わった。他の自治体は宇治市の教訓を学び,事件を起こす前にセキュリティに対する姿勢を改めて見直してほしい。
