住基ネットの脆弱性

朝日新聞の記事によると、長野県が昨年実施した住基ネットの侵入実験を担当したイショビ・ヌワー氏のスピーチが、総務省の難色によって中止になったという。

スピーチを予定していたイベント "PacSec" に総務省も後援しているため、ちょっとしたプレッシャーになったようだ。

住基ネットに関しては、反対しなければ人にあらずみたいな風潮があるが、実は私は反対ではない。しかし、両手をあげて賛成しているわけでもない。慎重に運用してくれなければ困るというレベルの容認派である。

住基ネットの取り扱う情報は、実はそれほどものすごいものではない。氏名、住所、生年月日、性別の 4項目だけとされている。この程度の情報ならば、既にどこの家でも家族揃って日本中にバレバレである。

頻繁に舞い込むダイレクトメールをみれば、いかにプライバシー情報が日本中に流通しているかわかる。クレジットカードや英文雑誌の案内は引きも切らないし、娘が成人式直前になると、着物屋から何通もの DM が届く。高校卒業を控えた子どもには、予備校や自動車教習所からの案内が殺到する。

いまさら、こんな 4項目がどうのこうのと言っても、すでに遅い。それどころか、出身地、出身校、学歴、職種、勤務先などに至るまで、かなりのプライバシー情報があちこちで取引されている。今さら年齢や性別がバレたたところで、痛くも痒くもない。

とはいえ、こうした情報に簡単にアクセスされては困る。というのは、住基ネットがこれら 4項目の情報だけで完結するはずがないからである。たったそれだけのために、手間暇かけてこんなシステムを作るわけがない。

行政は近い将来、その他の多くの個人情報とリンクさせて事務効率化を行いたい意向だろう。いや、それは既に着々と進行しているに違いない。そうなると、住基ネットに進入して、そのちょっと先まで辿っていけば、かなりのプライバシーが漏洩することになる。それは決定的に危険だ。

総務省はヌワー氏の発表資料を見て、「住基ネットと庁内 LAN を混同している。脆弱性を具体的に示すおそれがある」 とコメントしたという。これは、新聞記事経由なので正確性、具体性に疑問があるが、文字通り受け取ればわけのわからないコメントではある。

「住基ネットと庁内 LAN を混同している」というが、庁内 LAN を通じて住基ネットそのものにアクセスできなければ意味がないのだから、「一体」として捉えるのは妥当である。それを「混同」と言うのは、詭弁に近い。

「脆弱性を具体的に示すおそれがある」というコメントにいたっては、「おいおい、大丈夫だろうな」と言いたくなる。具体的な脆弱性が判明しているのなら、隠してないで、さっさと改善しろよ。

本質的な問題は、日本中の区役所、市役所、村役場にいたるまで、こんなシステムを一挙に採用させようとしていることである。私はこれだけのシステムを、庁内 LAN とのネットワーク運用にいたるまで、日常的にお茶の子さいさいで正しく取り扱える人材が、日本中のどこの役所/役場にも配備されているとは考えていない。

きちんと整備できた部分から段階的に導入すべきだったと思う。

tak-shonai の本宅サイト 「知のヴァーリトゥード」 へもどうぞ