情報主体の安心できるセキュリティを宇治市の事例から考える

　シマンテックは、関西情報・産業活性化センターIDC事業部担当部長である木村修二氏を講師として、地方公共団体のセキュリティーに関するメディアワークショップを開催した。

　講師の木村氏は、元宇治市役所の職員。宇治市の住民情報データ流出事件が発覚した1999年当時、同市の情報管理課長を担当していたため、事後処理にかかわった。当事者として情報流出事件に対応した経験を活かし、現在では関西情報・産業活性化センターでの地方自治体の情報化支援に携わるほか、NPO情報セキュリティ研究所の会員として、特に和歌山県下の自治体情報セキュリティ向上活動を行っている。こうした経験をもつ木村氏は、自治体のセキュリティ対策の現状と問題点を開設、物理的・技術的なセキュリティ対策の可能性などについてまとめた。

　情報漏えい事件が起こった場合、被害者となるのは「情報主体」であり、漏えいを引き起こした「情報保有者」は加害者である、という前提条件を提示。自治体の場合「情報主体」が市民であり、「情報保有者」は自治体ということになる。つまり、地方自治体で情報漏えい事件が発生した場合、自治体は「加害者」であるということだ。情報を盗まれてしまった被害者ではない、という考え方が必要であるとしている。そして、セキュリティは情報主体（市民）にとって、納得できる形で行われなければならないとした。

　情報セキュリティに関して一般的に持たれている考え方を、木村氏は情報主体の視点から否定している。まず、セキュリティ対策はいくら強化しても事故発生件数の減少に直結しないと指摘。事故は攻撃者側の問題であって、防衛側の問題ではないという。そして、セキュリティを強化しすぎればサービスの利便性が下がるということに関しては、利便性のメリットを受けるのは情報保有者でありながら、リスクは情報主体に負わせているという図式になっていることを説明している。さらに、職員研修や詳細な情報取り扱いの手順書の作成に関しても、実行困難なマニュアルは遵守されないこと、1人でも意識の低い人間がいればそこからインシデントが発生することなどから、有効ではないと分析している。ISMSの取得に関しても、努力や熱意をアピールされても情報主体にとってのメリットにはならないと指摘。単純に自分の情報が安全かどうかを確認したいというニーズに対しては無効だとした。職員相互の信頼による運営についても、情報主体にとっては全面的に信頼できるわけがないことから、安全ではあっても安心できない状態になると説明している。

　これらのセキュリティに関する定説のほとんどは、情報保有者の視点で語られている。しかし実際は、リスクを負う情報主体がシステムを監視し、情報を預けるかどうかの判断ができるようにするべきだという。情報主体の権利を保証するセキュリティシステムとは、機密性を確保するものではなく、情報主体の知る権利を確保しながら情報保有者に対するコントロール権を持たせるものだ。プライバシー保護には、一般的に情報セキュリティの範囲といわれている組織の内部統制に加えて、情報主体による監視がなければ権利侵害になるともしている。情報漏えいを100％防ぐことはできないという事実を、きちんと情報主体に対して開示し、セキュリティ対策状態も知らせたうえで情報を預けるかどうかの取捨選択をさせるべきだとした。

　実質的なセキュリティ対策としては、無限の脅威に対して対策するのではなく、情報漏えいが起こりうる危険箇所を認知し、局所化を図ることで脅威を有限化することを提案している。その危険箇所に対して、物理的・技術的セキュリティで「できなくする」ことが重要だとしている。宇治市の場合、ユーザーがPCへアクセスする際にICカードによる認証を行い、ユーザーごとにアクセス可能なネットワークリソースを制限している。さらに、市内に学校・行政・VoIPを使用した音声という3つのネットワークを構築し、それぞれを仮想LANによって分離した。市役所のLAN内にもVPNを構築し、業務内容ごとに暗号化を行うなどの対策を行っている。こうした徹底的なセキュリティとともに、正当なアクセス権限を持ち、正規の手続きを行っているパソコンの通信をどのように制御し、情報漏えいのリスクを技術的に低減するかという問題に取り組んだ。

　木村氏は、情報保有者は加害者にならないための情報セキュリティを行うべきであり、その際のキーワードは「情報公開・プライバシー保護」「インフォームドコンセント」「セカンドオピニオン」という3つがあるとまとめている。