2020年07月06日

スノーデンファイル スニッフィングは死語ではない

+++今回のあらすじは長いです+++



2013年に米国のNSA(国家安全保障局)の元システム管理者が、米国・英国は世界中のインターネット通信、電話、そして同盟国の首相の携帯電話まで盗聴していること示す記録を暴露したことから、世界中で大問題となったスノーデン事件を報道した英国「ガーディアン」紙のライターがまとめた事件の全貌。

本件の報道で、「ガーディアン」紙は、「ワシントンポスト」紙とともに、2014年のピューリッツァー賞を受賞している。

スノーデン事件に関しては、記録映画とオリバーストーン監督の2本の映画が製作されている。記録映画の方は、アカデミー賞の長編ドキュメンタリー賞を受賞している。





スノーデンはワシントンDCの近くのメリーランド州に育ち、病気のせいで高校は卒業できなかったが、コミュニティカレッジでコンピューターを学び、ハイスクールの卒業資格を得て、途中で両足を骨折してあきらめた米特殊部隊の採用訓練を経て、メリーランド大学先端言語研究所の「セキュリティスペシャリスト」として、2005年からNSA(国家安全保障局)の仕事を始めた。

NSA本部はメリーランド州のフォートミードにあり、スノーデンの実家の近くだった。「パズル・パレス」と呼ばれ、約4万人が働く米国最大の数学者の雇用者だという。

NSA HQ






















出典:本書

2006年にはCIAで職を得て、2007年から2009年にスイスのジュネーブで働く。2009年にCIAをやめ、在日米軍横田基地にあるNSAの施設で、NSAから受託しているデルの契約社員として働く。2012年に、NSAのハワイオアフ島にある「トンネル」と呼ばれる暗号解読センターに移る。中国のネットワーク研究の専門家になり、国防総省の幹部を相手に、サイバー防諜に関する講義もしていた。

「トンネル」時代は、憲法のコピーをデスクに置き、オリバー・ストーンの映画の予告編でも出てくるように、ルービックキューブを手に構内をうろついた変わり者だったという。

「トンネル」勤務の時に、古いデータの整理をしていたら、「ステラウィンド」というコードネームで、米国憲法修正第4条に違反して何百万人ものアメリカ人の交信内容やメタデータを許可なく集めていた(盗聴=スニッフィング)ことをNSA監察官が書いた2009年のレポートがあることを知り、スノーデンは義憤を覚えた。

合衆国憲法修正第4条は、国民に対する不当な捜索・押収を禁じており、捜索(通信傍受を含む)は、「相当な理由」があり、裁判所が礼状を発行した場合にのみ、特定の容疑者に対して合法的に実施できる。

ウォーターゲート事件で退任したニクソン大統領は、同じような盗聴事件の「ミナレット」事件を起こしており、ニクソン政権にとって要注意人物の何人かの上院議員、モハメド・アリマーティン・ルーサー・キング牧師、女優のジェーン・フォンダなどの電話の盗聴をNSAに命じた。

この反省もあって、1978年に成立した外国情報監視法(FISA)は、NSAは裁判所の令状がない限り、米国内の通信、米国人がかかわる通信を傍受できないことになっている。

ところが、状況が一変したのは、2001年の9.11以降だ。10月には「愛国者法」が圧倒的多数で可決され、FISAによって設置された特別裁判所は、情報収集に理解を示し、米国の大手通信会社やプロバイダーが欲しがっていた包括的な命令を下した。

さらにFISAは2008年に改正され、「情報収集の価値があると『合理的に』疑われる」アメリカ人と外国人との通信の傍受をすべて合法化し、大量監視に参加した通信会社を法的に免責した。改正FISA法は、すべての通信の傍受を合法化しているのではない。あくまで上記の制限があるのに、実際NSAがやっていたことは、すべての通信の監視だった。これは明らかなプライバシー侵害だ。

しかし、デルの契約社員という立場ではアクセス権限が限られていたので、2013年3月に契約先をデルからコンサル会社のブーズ・アレン・ハミルトンに変え、NSAnetにアクセスできるシステム管理者となる。NSAのシステム管理者は1,000名前後いたという。スノーデンは、何の痕跡も残さずファイルを開くことができる「ITの天才」だったという。

これから、スノーデンはNSAnetにある情報をせっせとUSBメモリー移していった。NSAは英国のGCHQ(政府通信本部)と極秘情報も共有しているので、英国の機密情報にもアクセスできた。その数は、英国GCHQ関連だけでも5〜6万にも上るという。

NSAは英語圏の英国、カナダ、オーストラリア、ニュージーランドと5カ国で「ファイブ・アイズ」を形成し、情報活動の成果を共有しているが、完全に情報共有しているのは米国と英国だけだ。

新しい仕事について4週間過ぎたころ、体調が悪いとして休暇を申請し、5月20日に姿を消す。向かったのは香港だ。

スノーデンは、2012年末からドキュメンタリー映画製作者、ブラジル在住の「ガーディアン」紙のコラムニストに連絡を取っており、香港のホテルで「ガーディアン」関係者と会って、情報提供者として、NSAとGCHQがやってきた違法行為すべてをぶちまける。

「表現のすべてが記録される世界になど住みたくない」とスノーデンは語ったという。

ダークウェブへのアクセスで使われていることで有名なTor匿名化ネットワークを使った、Tailsという通信方法を使った。

最初のミーティングの前に、Tailsで送ったスノーデンの「ウェルカムパッケージ」は、20前後のNSA内部文書で、大部分が「トップシークレット」で、その中には「PRISM」と呼ばれる米国の主要IT企業のサーバとつないだインターネットの監視システムの説明スライドもあった。

次が本書で紹介されているスノーデンファイルに含まれていた「PRISM」の構成図だ。「TOP SECRET」と表示されている。

PRISM




























出典:本書

図の上の方が、海底光ケーブル、ゲートウェイスイッチ、データネットワークのデータを入手するためのバイパスを設置している「UPSTREAM」と呼ばれる仕組み。全世界の通信の80%をハッキングすることができるという。NSAは100以上の米国企業と関係を結んでいるとNSA監察官の報告書には記載がある。

「UPSTREAM」が取りこぼしたデータを「PRISM」でカバーする。NSAはマイクロソフト、ヤフー、グーグル、フェイスブック、PalTalk、AOL、スカイプ、YouTube、Appleのサーバーから直接データを取得していると説明している。ドロップボックスも加わる予定だと。

スノーデンは、この「直接のアクセス」がPRISMの実態だと強調したという。

ちなみに、最初にデータ提供に協力したのはマイクロソフトで2007年9月のことだった。アップルは5年間抵抗し、スティーブ・ジョッブスが亡くなった1年後の2012年10月に同意している。

GAFAの中では、理由はわからないが、アマゾンだけが抜けている。それ以外はすべてデータ入手元として入っている。NSAがアマゾンのAWSを見逃すはずがないと思うので、現在は対象になっているのだと思うが、よくわからない。

2013年6月に「ガーディアン」米国の暴露記事が、次々と公開された。「NSAは4月に発行された秘密の裁判所命令に基づき、ベライゾンの何百万人もの顧客の通話記録を収集している」、そしてその次は「PRISM」だ。「NSAはグーグル、フェイスブック、アップルなどの米IT大手のシステムに直接アクセスできる」。

「ガーディアン」米国を選んだ理由は、英国のジャーナリストは、米国のジャーナリストの様に、憲法で言論の自由が守られているわけではない。また、米国では「ウォーターゲート事件」の様に、ジャーナリズムによる権力の監視に対する理解もある。ところが、英国では、ウォーターゲート事件と同じ時期に、GCHQを「盗聴者」と呼んだ記事を書いた記者が「国家機密法」違反で有罪を宣告されている。

この本では、その後「ガーディアン」本社で、スノーデンから預かったデータを入れたPCを、GCHQ職員の立会のもとに破壊したことを伝えている。GCHQは逮捕・押収という強硬手段を使わなかった。スノーデンが「保険」(ウィキリークスがやったように、機密文書が一つ残らずネットに流出すること)を掛けていることを恐れたのではないかと。

SnowdenPC parts




























出典:本書

記事が公表された時、スノーデンは香港のホテルで歓喜に浸っていたという。上記の記録映画の予告編にも含まれている通り、CNNなど大手メディアが大きく報道したからだ。そしてスノーデンは、みずからインタビューに応じる形で、「顔だし」し、米国「ガーディアン」を通じ、CNNなど各局で流された。

そして、スノーデンは香港から姿を消した。モスクワのシェレメチェボ空港に行き、1ヶ月間そこのトランジットエリアで過ごし、結局ロシアへの入国を認められた。スノーデンが緊密に連絡を取っているウィキリークスジュリアン・アサンジは、在ロンドンのエクアドル大使館に亡命していたが、奇行を理由にエクアドルからも見放され、現在は英国警察に逮捕されている。スノーデンも最終的に、エクアドルなどの国を目指して、これからも「逃亡者」としての人生を生きていくのだろう。

ちなみに、スノーデンは、当初1年間限りというロシア滞在許可だったが、何回か更新されて、今でもロシアにいる。池上彰さんと佐藤優さんが対談している「ロシアを知る」という本によると、プーチンは元KGB職員として国家を売るような行為は許せなかったが、国益のために情報を搾り取ることを優先したようだと。

上記で紹介したオリバーストーン監督の「スノーデン」は、米国企業から資金提供やスタジオ協力が得られず、資金は英独企業から得て、撮影はドイツで行われた。

ロシアを知る。
佐藤 優
東京堂出版
2019-06-11


スノーデンファイルで盗聴の事実が暴かれているので、いくつか紹介しておく。

2009年のロンドンG20サミットの際に、GCHQが諸外国の首脳を盗聴していたことが明かされている。GCHQはキーロギングソフトを仕込んだ偽のインターネットカフェを設置し、代表者たちのパスワードを盗み出し、彼らのブラックベリーに侵入して、メールや通話内容をモニターした。サミット開催中、45名の分析官がリアルタイムでモニターしたという。

NSAは米国内の外国公館も盗聴していた。通信機器やケーブルに盗聴器を仕掛け、特殊なアンテナを使って送信データを収集する。中国やロシアのみならず、友好国のEU代表部、フランス、イタリア、ギリシャ、日本、メキシコ、韓国、インド、トルコなどの大使館も標的になった。

ドイツの「シュピーゲル」紙が、スノーデンが暴露する前の2013年1月に、NSAは何百万人というドイツ人の通信データを日常的に収集しているという報道をした。通常の月で5億件の電話、メール、テキストメッセ―ジを収集する。ドイツ憲法はプライバシー権が組み込まれており、NSAは重大な侵害をしていたのだ。NSAはフランス、イタリアでも同様の通信傍受をしている。

メルケル首相は2013年9月の総選挙を控えて、この問題を重要視しないことを決めた。しかし、2013年10月に、「シュピーゲル」がスノーデンファイルの中からメルケル首相の私用携帯電話番号を見つけたのだ。NSAは10年間にわたってメルケル首相の私用携帯電話まで盗聴していたのだ。メルケル首相はカンカンになって、オバマ大統領を携帯電話で呼んで、いったいどうなっているのかと尋ねたという。オバマ大統領は、「米国はメルケル首相の盗聴はしていない。これからもしない」と法律家らしく答えたという。

外国の重要人物の電話盗聴は、最低でも35名に上り、ブラジル大統領、メキシコ大統領、私企業のペトロブラス、インドネシアのユドヨノ大統領と夫人、主要閣僚(これはオーストラリア国防省が出所)などがターゲットだった。

NSAでは「ブルラン」、GCHQでは「エッジヒル」というコードネームで、暗号化された電子データの解読プロジェクトが巨額の資金を投入して推進されている。「ブルラン」は年間2億5千万ドルかけて(2013年予算)いる。

「エッジヒル」プロジェクトでは、GCHQはインターネットプロバイダー3社、VPN30種への侵入に成功しており、2015年には、プロバイダー15社、VPN300への侵入を目標としている。

「ブルラン」の予算書によると、スーパーコンピューターを使って暗号化のアルゴリズムを解析する一方、開発業者・IT企業と協力して、何百万人もが使う暗号化ソフトのソフトウェアとハードウェアに、「バックドア」としてセキュリティホールを仕込んだ。必要があれば、暗号化キーが保管されているサーバに侵入するという。スノーデンファイルには協力した企業名は出てこないという。

「この10年間、NSAは幅広く普及したインターネット暗号化技術を破るため、各方面から積極的な努力を重ねてきた。暗号解読がいよいよ現実のものになった。これまで捨てていた大量の暗号化データを十二分に活用できるのだ」と。

このプログラムの良さは、暗号化されているはずの通信内容が、もはやハッキング可能なことを一般市民が知らない点にあるとNSA文書はいう。

NSAは4G携帯の暗号化システムを破っている他、HTTPS、SSLなどのセキュアプロトコルも標的にしている。しかし、これはNSAがシステムに侵入できるようになると同時に、暗号化キーを入手できたハッカーや敵国の諜報機関にも侵入の道をひらく。アメリカ人の安全を守ろうとして、アメリカ人の通信の安全性、インターネット全体の安全性を損なう行為だと、本書で非難している。

インターネットのセキュリティを担当するNISTにもNSAは痛手を与えた。2006年、NISTの主要な暗号化標準の一つにバックドアを設置、その上で別の国際標準機関にその採用を推奨した。「ついに我々は唯一無二のエディターになった」とNSAは豪語していると。

NSAは匿名化ツールTorの暗号解読にもエネルギーを注いでいるが、まだ解読できていない。代わりにファイアフォックスなどのウェブブラウザーを攻撃し、ターゲットの端末を支配してきたという。Torトラフィックに「印」をつける能力は開発している。

スノーデン事件の影響で、ロシアやインドなどの在外公館ではタイプライターが復活しているという。皮肉なものである。


情報セキュリティ、そして暗号化技術の脆弱性の面からも大変参考になった。盗聴されていることを前提に考え直す必要があると思う。


参考になれば、次を応援クリックしていただければ、ありがたい。


書評・レビューランキング  
Posted by yaori at 14:08Comments(0)

2020年06月18日

サイバーセキュリティ― 防衛省出身の専門家による概説書



防衛省出身で、ジョンズ・ホプキンス大学の高等国際問題研究大学院で国際経済・国際関係のマスターを取り、米国や日本の研究所、企業を渡り歩き、現在はNTTのチーフ・サイバーセキュリティ・ストラテジストを務める松原実穂子さんの本。

この本で取り上げられているサイバー攻撃のリストが参考資料として添付されているので、まずは、これを紹介しておこう。

主要サイバー攻撃






















出典:本書参考資料

本文でそれぞれのサイバー攻撃について説明している。

2019年年末に出版された本なので、新たな情報が載せられていて参考になる。事例をいくつか紹介しておく。

ビジネスメール詐欺

英国のエネルギー会社のCEOが、ドイツの親会社のCEOの命令だと思って騙され、22万ユーロ詐取されたビジネスメール詐欺のケースでは、AIが本人の声をマネして、ドイツ語なまりの英語で本人そっくりだったという。

ビジネスメール詐欺を防ぐには、指示された電話番号にではなく、元から登録された電話番号に、こちらから電話するという手段が有効と言われているが、電話のかけなおしが重要なことがわかる事例である。

ダークウェブ

ダークウェブは、接続経路を匿名化する「Tor」などの特別なシステムでしかアクセスできないので、自社の情報が出ていないか調査するには、専門のサイバー脅威インテリジェンスサービスを使う必要がある。

2017年時点での、ダークウェブで取引されている個人情報の値段は次の通りだ:

米国のソーシャルセキュリティナンバー(社会保障番号):1ドル
クレジットカード情報(裏面のセキュリティコードや銀行情報の有無で上下):5〜110ドル
運転免許証:20ドル
卒業証書:100〜400ドル
医療情報: 1〜1,000ドル

カイロ大学の卒業証書も売られているのかもしれない。

医療情報が高値で取引される理由は、変えることができないため、恒久的に悪用できるからだ。

ダークウェブでは、数多くの違法なフォーラムがあり、情報や盗品などが売買され、武器、麻薬、サイバー攻撃のツール、ウイルス、サイバー攻撃を学べるチュートリアルビデオなども用意されている。

ランサムウェアも売買されており、「Ranion」というランサムウェアツールだと、120ドル/月の廉価版から、機能強化版は150ドル強/月で売られているという。

スタックスネット

米国とイスラエルがイランの核開発を送らせるために仕掛けた「スタックスネット」事件。2010年に明らかになった。

インターネットにつながっていないイランのウラン濃縮施設に、協力者を通じてUSBメモリを介して侵入、感染し、施設のモニターには正常値を表示させながら、遠心分離機の速度を上げて過度の負荷を掛け、遠心分離機を破壊させて、イランのウラン濃縮を遅らせたものだ。

エストニアへのサイバー攻撃

旧バルト三国のエストニアは世界で最もIT化が進んだ国と言われている。2007年にエストニア大統領府、議会、政府機関、政党、主要メディア、主要銀行、通信事業者に対してDDoS攻撃が仕掛けられた。ロシアとの関係が悪化していた時期でもあり、ロシアの関与が噂されたが、その後エストニア人の学生が逮捕された。

エストニアは2004年からNATOの加盟国になっていたので、この事態を重く見たNATOは、NATOサイバー防衛協力センターをエストニアのタリンに設立した。2018年からは日本も加わり、30カ国から、軍関係者や専門家1,000人が加わって、サイバー演習が行われている。

各国のサイバー部隊の陣容

中国 13万人
ロシア GRU 不明
北朝鮮 7000人
米国  6000人
イラン 不明
韓国  1000人
日本  500人(2023年までに)

日本のサイバーセキュリティ人材は不足しており、そのために「産業横断サイバーセキュリティ人材育成検討会」が組織され、44社が会員になっているという。

ソ連時代のサイバー攻撃による情報窃取

1986年に米国の「スターウォーズ計画」の情報をITネットワーク経由で盗もうとしている者がいることを察知、FBI、CIA、NSA(国家安全保障局)が協力して、「戦略防衛構想」と題した数千ページの偽文書を作成して、ハッカーがひっかるのを待った。

そして1989年に当時の西ドイツのハッカー5人を逮捕した。このうち3人はソ連のKGBに雇われ、現金とドラッグを引き換えに盗んだ情報をKGBの工作員に渡していた。


中国人民解放軍のサイバー部隊

2013年に米国のサイバーセキュリティ企業のファイア・アイ傘下のマンディアントが中国の上海にいるサイバー攻撃部隊(61398部隊)の実態について詳細に調査した報告書「ATP(Advanced Persistent Threat)1」を公表した。

詳細な報告書で、筆者もまだ読んでいないが、この報告書で中国の61398部隊の中心となる将校5名は、米国で指名手配されており、ウィキペディアの「中国サイバー軍」という項目に顔写真入りの手配書が掲載されている。

YouTubeにも米国の中国語放送局の新唐人TVが2011年頃の動画をアップしている。



「APT1」レポートが被害企業として取り上げ、知的財産を窃取された企業は、その後、倒産や株価低迷などの憂き目にあっている。

サイバーセキュリティに関して、基礎的な知識を得るには適当な本だと思う。ちなみに、ウィキペディアで「サイバーセキュリティ」で検索すると、非常に詳細な説明が出てくるので、ウィキペディアも参考にするとよいと思う。

参考になれば、次を応援クリックしていただければ、ありがたい。


書評・レビューランキング
  
Posted by yaori at 19:34Comments(0)

2018年03月17日

マイナンバーカードを使ってe-Taxで確定申告した

昨年設立した会社はeーTaxをするので、個人の確定申告も今年はe-Taxを使ってやってみた。

最初、パソリを接続して、マイナンバーカード読み取らせようとすると、マイナンバーカードを認識しないというトラブルがあり、ちょっとてまどった。

これは、e-Taxを使う場合はブラウザーはIE11と指定があったのに、Chromeを使っていたからだと思われる。

毎年国税庁の確定申告専用サイトで、確定申告用の各種の申告書を作成してたので、やる作業としては同じだ。

国税庁確定申告ページ
















出展:国税庁確定申告特集サイト

ただ、最後に申請書をPDFをダウンロードして、印刷して税務署に郵送するか、あるいはe-Taxで送信して終わりとするかだけの差だ。

確定申告コーナー
















出展:税務署への提出方法の選択ページ

驚いたのは、e-Taxであれば、通常紙での確定申告には必ず添付しなければならない次のような確証が添付省略となっていることだ。

・給与取得の源泉徴収票
・公的年金等の源泉徴収票
・上場株式等の配当等に係る支払通知書
・寄附した団体等から交付を受けた寄附金等の受領証等(出身校への寄附や、ふるさと納税などが対象だ)

個人のe-Taxの場合は、別途郵送しなければならない確証は医療費控除の明細書くらいだ。

e-tax送信票




















出展:e-Taxの書類送信票の一部

上記の源泉徴収票とか、支払通知書、寄附金の受領書などは、自分に送られてくるもののほかに、税務署提出用がつくられており、税務署提出用は、すべてマイナンバー記載が必須となっている。

マイナンバーで名寄せすることによって、税務署は今やあたなたの合法な所得をほぼ完璧に捕捉できているのだ。だから、上記の源泉徴収票とか支払調書とかを個人が添付する必要がないのだ。

これを「便利」と思うのか、「お釈迦様ならぬ税務署は、すべてお見通し」として、お釈迦様の手のひらの上で動かされていた孫悟空のように感じるのかは、人によって違うだろう。

たぶん真面目に確定申告してきた人は、「便利」と感じるだろうし、これまで結構チェリーピッキングのように所得を選択して申告してきた人は「脅威」と感じるだろう。

ついでに前回紹介したマイナポータルをマイナンバーカードとパソリを使ってのぞいてみた。

2017年12月29日付で、2017年の確定申告の内容(各種の所得金額、控除、税額など、確定申告書に記載している事項)が掲載されている。町田市が使用したとある。

良きにつけ悪しきにつけマイナンバーの利用拡大は進んでいく。銀行口座へのマイナンバー登録も、2018年から本格的に始まっている。国は所得などのフローだけでなく、預金などのストックも捕捉する準備が着々と整いつつある。

国の破綻を回避するために、国民の預金の10%を強制徴収する……なんてことが将来現実になるかもしれない。

そんなことを感じた最近の出来事だった。


参考になれば投票ボタンをクリックして頂きたい。


書評・レビューランキング  
Posted by yaori at 22:59Comments(0)

2017年12月29日

マイナポータルを使ってみた

マイナンバーを利用して情報機関間で情報をやりとりする「情報連携」が始まったので、それに対応して本人が自分のマイナンバーがどこで使われるかがわかるマイナポータルサービスが2017年11月13日からスタートした。

筆者もマイナポータルを使ってみた。

マイナポータルを使うには、ICカードリーダとマイナンバーカードが必要だ(スマホで2次元バーコードを使ったログインもできるが、アンドロイド端末に限られる)。

マイナポータルにアクセスして、「ICカードリーダライタを使ったログイン」をクリックし、カードリーダにマイナンバーカードを差し込むと、カードがサイトと交信して、次にログインのためのパスワード(4桁の数字)が求められる(マイナンバーカードを申し込むときに登録したもの)。

ログインパスワードを入れると、次のような画面が表示される。

マイナポータル
















ここの「やりとり履歴」で関係省庁がマイナンバーを使った履歴が表示される。ただし、情報連携が始まった2017年7月18日以降なので、たとえば筆者の場合は使われた履歴がなかった。

来年の確定申告時期になれば、いろいろ利用履歴が表示されると思う。

マイナンバーカードを持っている人は、一度試してみることをお勧めする。

参考になれば投票ボタンをクリックして頂きたい。


書評・レビューランキング


  
Posted by yaori at 22:42Comments(0)

2015年11月22日

Q&A共通番号 ここが問題 マイナンバーはプラスにもマイナスにもなる



この本の著者の黒田さんが、先日テレビでそもそも総研という「マイナンバーにあたる制度は海外ではうまくいっているのだろうか?」という番組に出ていたので読んでみた。

テレビ番組では、マイナンバーのような国民共通番号制度は、OECD先進国では例外なく取り入れられていると政府は説明するが、実際にはイギリスは国民ID制度はやめている、ドイツは憲法違反の疑いがあるので共通番号はない、フランス、イタリアもない。米国とカナダは社会保障番号はあるが任意加入で、日本のような強制ではないと説明していた。

そもそも総研















番組の最後では、大臣が番組に出てきて釈明しろというような口調だった。

一方、政府広報資料の各国比較は次の通りだ。上記のテレビの表と全然違うことがわかると思う。たしかに、ドイツだけは番号の用途を税務に限定しているが、その他の国ではすべて社会保険と税務や年金、医療などの共通番号が導入されている。

summary_zentai 20



















出典:内閣官房マイナンバー広報資料

また、テレビでは、米国、カナダは「任意」で日本のように「強制」ではないと言っていた。

しかし、米国に住んだ経験のある人はみんな知っていると思うが、この番号がないと社会保障が受けられず、銀行口座も開けないので、米国及びカナダの国民ほぼすべてが取得しているのが現実だ。

かなりミスリーディングな番組だったが、その番組で、マイナンバー反対論を展開していたのがこの本の著者の黒田充さんだ。

黒田さんは大阪市立大学工学部を卒業後、松原市役所に17年間勤めた後、立命館大学の大学院で学び、現在は自治体情報政策研究所の代表となっている。自治体情報政策研究所は黒田さんが設立したもので、所員は他にはいないという。

黒田さんはマイナンバー制度導入中止を現在も呼びかけている。

自治体情報政策研究所サイト自治体情報政策研究所ブログでマイナンバー制度の問題点を呼びかけ、この本に収録されているマイナンバーに関するQ&Aもサイトで一部公開している。

この本の結論として、黒田さんは次の様に最後に書いている。

「高齢化が急速に進む日本において、いま必要とされているのは、国が国民等に共通番号を付け、個々の国民等への社会保障を直接管理し、そのための個人情報を中央集権的にコントロールするようなシステム なのでしょうか。

住民としての国民等にとってより身近な市町村が、 住民の困りごとを具体的に把握しながら必要な社会保障を提供してい く、そのために必要な個人情報は個々の市町村が責任を持って管理する、国は市町村の必要に応じて制度を整え、財源を保障するといった 地方自治に則したシステムではないでしょうか。

こうしたシステムの方が、個人が本当に必要とする社会保障サービ スをよりきめ細かく、かつ的確に提供できるという意味での効率性の点でも、社会保障にまつわるセンシテイブな個人情報が大規模に流出するなどの危険性を避ける点でも、有効ではないでしょうか。」

この本を読んで考えさせられたのは、国と地方自治体のあり方だ。

マイナンバーは国が国民の個人情報を管理することを可能とする。まずは税務(つまり収入)と社会保障(年金、雇用保険、健康保険)だが、今後は銀行口座などの金融資産(とりあえずは任意)、株式資産(配当の源泉徴収のため)とどんどん広がっていく。

健康保険証としても利用可能となり、公務員の共通身分証明書としての利用も可能となる。

民間利用としては、スマホに載せられるようにするとか、クレジットカード機能を持たせるとか、デビットカード、ポイントカード、診察券等の機能を載せるという話もある。

スマホに載せることや、戸籍やパスポート、海外在留の邦人の選挙制度で利用しようという案もある。

siryou6





















出典:首相官邸第9回 マイナンバー等分科会議事録

国と地方自治体との二重行政の問題点は、今回のマイナンバー通知カードの配布を見れば明らかだ。

実は筆者の番号通知カードはまだ手元に届いていない。筆者の住む東京都町田市では、11月18日に郵便局差出完了となっているが、簡易書留はまだ届いていない。

もし国が直接国民に配布することにしていたら、こんなことにはなっていないはずだ。

米国では、社会保険は社保庁(Social Security Administration)、税金は歳入庁=IRS(Internal Revenue Service)が直接国民と対応する。

かつてはこのブログで以前紹介したような案内が国民に直接届いていた(現在は郵便は廃止し、ウェブサイトで自分で見に行く形に変更されている)。

地方自治体はセールスタックス(消費税)やスクールタックス(固定資産税)などの市町村税等については、国民に対応するが、所得税や社会保険は連邦政府のファンクションだから、国の機関が直接対応するのだ。

この本の黒田さんの説明では、政府は個人の情報は住民基本台帳で持っているが、世帯の情報は持っていない。地方自治体が世帯情報を持っているので、今回のマイナンバーも地方自治体が世帯単位で通知カードを送付しているのだ。

マイナンバーがあれば国と地方とは同じネットワークを共有することとなり、当然、世帯情報も共有することができるはずだ。

もしマイナンバーを活用することにより、国と地方の二重行政を一本化できたら、地方公共団体の職員は何十万人も削減できるかもしれない。そのことを黒田さんは最も恐れているのだろう。

マイナンバー制度にはもちろんマイナス面もある。マイナス面にも気づきながらも、適正な運用を進めることが重要だと思う。

その意味では、黒田さんのブログは気付きの機会を与えてくれ、役立つ。

マイナンバー制度は、国による国民のフロー(収入)とストック(金融資産、株などの有価証券、不動産)管理を可能とするので、その意味では国による管理強化となる。

一方、全く話題にならないが、やりようによっては国と地方自治体の二重行政が抜本的に簡素化できる可能性も秘めている。

プラスにもマイナスにもなるツールだ。

そんなことを考えさせられる本である。


参考になれば投票ボタンをクリック願いたい。




  
Posted by yaori at 03:48Comments(0)TrackBack(0)

2015年10月15日

マイナンバー いまさら聞けないという人に

マイナンバーの配布が始まりました。来週あたりから皆さんのご家庭にもマイナンバーの通知カードが世帯分まとめて簡易書留で届くはずです。

さっそく事故が起こっています。茨城県取手市がマイナンバーを間違って記載した住民票を配布していたことがわかりました。

マイナンバー漏えい





















来年1月から住民票にも希望すればマイナンバーを表示できるようになりますが、取手市はミスで、すべての住民票にマイナンバーが表示されるように設定していたようです。

マイナンバーはたぶん今年の流行語大賞の上位に食い込むのは間違いなく、インターネットやメールマガジンでもマイナンバー関連サービスの広告が目立つようになりました。

マイナンバーの問題は、制度がスタートするというのに国民の理解度が進まない点です。それに付け込んで、マイナンバー詐欺という新しい手口も登場しています。

マイナンバー詐欺





















そんななかで、私が尊敬する弁護士で桐蔭法科大学院の法科大学院長でもある蒲俊郎先生が、ご自身のヨミウリオンラインの「おとなの法律事件簿」のなかで、わかりやすくマイナンバーを取り上げています

大変タイムリーな読み物で、さっそくページビュー上位に登場しているそうです。マイナンバーへの実務対応について「いまさら聞けない」と不安がある方には、是非一読をおすすめします。

おとなの法律事件簿





















蒲先生はヨミウリオンラインの人気コーナーのバックナンバーをまとめて、「おとなのIT法律事件簿」という本も出版されています。



どれも興味深い記事ばかりです。

ヨミウリオンラインの前回のコラムは「改正派遣法成立 派遣労働者にとって有利?不利?」という大変興味深い読み物でした。

改正派遣法





















マイナンバーや改正派遣法について簡単に知りたいという方。蒲先生のヨミウリオンラインのコラムがおすすめです。


参考になれば投票ボタンをクリック願いたい。






  
Posted by yaori at 23:43Comments(0)TrackBack(0)

2015年03月24日

【再掲】マイナンバー制度と企業の実務対応

2015年3月24日追記:

政府がマイナンバーの理解度テストをインターネットで公開している。

全部で10問あり、参考になるので、ここをクリックして一度試してほしい。

ちなみに、同じサイト(Yahoo!の特別ページ)で上戸彩さんのCMと、上戸彩さんのメッセージを公開しているので、こちらも紹介しておく。


2015年3月9日追記:

政府が上戸彩さんを使って、マイナンバーの宣伝を始めた。どうってことないCMだが、まずはマイナンバーという名前の周知を狙っている様だ。




2015年2月25日再掲:

今年に入って一般的なマイナンバーの実務対応セミナーはどこも満席が続出している。会社の友人に教えてもらった最近の内閣府のアンケートでは、マイナンバー制度の内容まで知っていたという人は28.3%に留まるという結果が出ている。

個人が手書きで対応するなら、全く問題ないが、税金関係や社会保障関係の処理をシステム化している企業では、システム改変等が必要となる。

日本では数年前からプログラマー不足が恒常化しており、一時はやった中国などでのオフショア開発も最近は下火で、多くのシステム開発会社では需要はあるが、人手不足で対応できないという状態が続いている。

2015年2月23日に発表された帝国データバンクの「人手不足に対する企業の動向調査」でも、従業員が最も不足しているのは「情報サービス」で、「不足」と回答した割合が59.3%となり、業種別に見て最も高かったという結果を公表している。

帝国データバンクでは、”「人材不足が深刻化しており、IT エンジニアが確保できない」(ソフト受託開発、東京都)や「人材不足で仕事を断っている」(ソフト受託開発、京都府)など、年度末の需要期に加えて、マイナンバー制度の導入や金融機関のシステム投資拡大などもあり人手不足が高水準で続いている。”という解説も付けくわえている。

日本の全法人約400万社が、2016年1月からマイナンバーの利用が義務付けられているので、マイナンバー対応のシステム改変だけでも、大変なシステム開発ラッシュとなることが見込まれる。

システム改変を伴うマイナンバー対応準備は前広に実施する必要があるので、「マイナンバー制度と企業の実務対応」のあらすじを再掲する。


2015年1月12日追記:

この本の著者の榎並さんが、2014年11月10日に開催された経団連の「マイナンバー実務対応シンポジウム」で講演しているので、紹介しておく。配布資料はここをクリックしてダウンロードして頂きたい。

シンポジウム全体の議事要旨と配布資料も公開されている。

この配布資料と榎並さんの講演要旨を読めば、実務対応で何をやらなければならないかよくわかると思う。

詳しくは本を読むとして、とりあえずは配布資料を参照してほしい。


2014年12月29日初掲:



2015年10月に全国民に対して配布されるマイナンバー制度の企業対応をまとめた本。

著者の榎並利博さんは富士通総研の主席研究員で、このブログで紹介した「マイナンバーがやってくる」も共著者として出版しているマイナンバーのオーソリティだ。



マイナンバーについては、内閣官房の社会保障・税番号制度のウェブサイトに掲載されているマイナンバー制度概要資料が参考になる。他にも「マイナンバー制度で企業実務はこう変わる」などの企業向け解説書もある。



読み比べてみたが、榎並さんの本の方が、分かりやすく、いろいろな情報満載で、実用的だと思う。

この本の「序章」を読めば、大体やるべきことがわかる

この本の最大の利点は「序章」(4ページ〜16ページ)を読めば、やるべきことが大体わかる点だ。実務書として大変よくできていると思う。

「序章」は次のような節にわかれている。

チェックポイント 1.マイナンバー対応の組織体制

民間企業は基本的には、「個人番号関係事務実施者」(単にマイナンバーを行政機関に提供するなど、補助的に扱う人)となるが、企業年金と健康保険組合に限っては、行政機関と同じ「個人番号利用事務実施者」(マイナンバーを業務利用する人)となる場合がある。

「個人番号利用事務実施者」となると、マイナンバー導入のためのシステム改変前に、「特定個人情報保護評価」(Privacy Impact Assessment=リスク分析)を実施する必要があり、また国の「情報提供ネットワークシステム」に接続するので、それなりの情報セキュリティが必要だ。違反した場合には罰則が科せられる。

「マイナンバー法」は「個人情報保護法」(一般法)に対して、特別法という位置づけとなるので、マイナンバーの取扱いに限っては、「個人情報保護法」の要求事項に加えて、「マイナンバー法」の要求事項も満たさなければならない。

民間企業でマイナンバーを取扱うのは、次のような部署だ。

scanner1













出典:本書5ページ

民間企業は現在は従業員の住んでいる自治体ごとに仕分けて、源泉徴収票と給与支払調書を郵送している。これが大変な手間だった。

マイナンバーを導入することによって、今後はオンラインでeLTAX(”エルタックス”=地方税ポータル)にデータを送れば、マイナンバーを利用して、eLTAXが、税務署やそれぞれの自治体に必要なデータを振り分けて送信することになり、民間企業の手間は軽減される。

一方、マイナンバーの取扱いで最も注意すべき点は、現状では税金、社会保険、健康保険(+激甚災害対応)以外の目的でマイナンバーを利用することは法律で禁止されていることだ。

たとえば、社員番号としてマイナンバーを利用することなどは、法律上禁止されている。だから、マイナンバーと他の個人情報を一緒に記載したエクセルシートなどを作成することは、上記の目的に限られる。

罰則も個人情報保護法に比べて、各段に厳しくなり、保護法では、主管官庁の改善命令等に従わない場合のみ、罰則が適用されたのが、今度は不正提供や不正取得、漏えいに直接罰が設けられるようになった。不正手段でカードを取得することだけでも最高6か月以下の懲役刑が課せられる。

図1




















出典:内閣官房 社会保障・税番号制度 ホームページの「番号制度の概要」資料


チェックポイント 2. すべての民間企業が対応しなければならないこと

「個人情報保護法」は5,000件以上の個人情報を取扱っている法人・個人が対象だが、マイナンバーには5,000件という制限はなく、すべての民間企業が対象となる。日本には約400万社の企業があるといわれている。そのすべてが2016年1月からマイナンバーに対応する必要がある。

すべての民間企業は、マイナンバーを安全に管理するために規則を制定したり、教育研修を行ったり、取扱う従業者に対して適切な監督を行うことが求められている。また、国や自治体が行うマイナンバー関係の施策に協力する義務もある。

といっても特に難しいことではない。2016年1月からの社会保険(厚生年金、介護保険等)、健康保険、税金の手続きの際に、個人から取得した本人及び必要に応じて被扶養者のマイナンバーと、国税庁より配布される法人番号の両方を記載するだけのことだ。

たとえば従業員、株主、講演講師、不動産賃貸人などからマイナンバーを集め、税務署への支払調書に記載することになる。

これが手書きで届出書に記入するなら話は簡単だが、多くの企業が給与計算とか税金の支払い、社会保険の手続きをシステム化しているので、2016年1月の運用開始前に、マイナンバーと企業番号の両方を組み入れるためにシステムを改変しなければならない。

これが「マイナンバー特需」といわれる、システム開発ラッシュだ。

システム的に対応できない企業は、社労士とか公認会計士などの外部の委託先に頼むことになる。

筆者はプライバシーマーク審査員として、システム開発会社を数多く訪問してきたが、日本のシステム開発会社はどこも人手不足で、今でさえ受注したくとも、人手が足りないので、受注できない状況だ。

みずほ銀行のシステム入れ替え特需(3,000億円といわれている)に加え、「マイナンバー特需」が出てくると、システム開発会社の能力を上回るシステム開発需要が発生することが予想されている。

一時、はやっていたような中国でのオフショア開発とかも、最近はほとんど話を聞かない。オフショア開発を続けている会社もあると思うが、とても日本の特需に対応できるような規模ではない。

多くの企業でのシステム開発の遅れが、筆者が最も懸念している点だ。


チェックポイント 3. 金融業界における特別な対応

金融業界では、毎年税務署に膨大な支払調書を提出している。たとえば、投資信託、先物取引、株式の特定口座、生命保険支払、年金型の生命保険等の支払調書などだ。これらの支払調書のすべてにマイナンバーを記載する必要がある。

また、マイナンバーのもう一つの利用目的として、激甚災害被災者救援がある。激甚災害で通帳やカードをなくした人にもマイナンバーの通知で、金銭の払い出しが可能となるのだ。


チェックポイント 4. マイナンバー関連業務の受託

マイナンバー関連業務の取扱いを再委託する場合には、委託元の承諾を得る必要がある。


チェックポイント 5. 民間企業がマイナンバーを業務利用する場合

民間企業でも「個人番号利用事務実施者」となる例外的な場合がある。

それは、確定給付あるいは確定拠出年金制度がある事業主が、従業者の企業年金の管理にマイナンバーを使う場合だ。

この場合、「情報照会者」として国の「情報提供ネットワーク」(2017年1月運用開始)に接続して、年金の給付状況などを照会することができる。


チェックポイント 6. 健康保険組合は個人番号利用事務実施者となる

大企業の健康保険組合や国民健康保険組合は、保険給付や保険料徴収にマイナンバーを利用するので、「情報提供ネットワーク」に接続する必要がある。

さらに、情報照会者から依頼があった場合、医療保険給付関係情報を提供しなければならない立場となるので、中間サーバを設置して、被保険者や被扶養者の医療保険情報を「情報提供ネットワーク」に提供する必要がある。

中間サーバが必要な理由は、マイナンバーの安全対策として、各機関が保存する個人情報とマイナンバーは直接結びつけず、マイナンバーを翻訳する符号を保存するという複雑な仕組みになっているからだ。

行政機関と同等の作業となるので、単一企業組合などの場合を除いて、特定個人情報保護評価も必要となってくる。

民間企業でのマイナンバー取扱いで、最もややこしいのはこの健康保険組合での取扱いだ。


チェックポイント 7. 情報提供ネットワークシステムへの接続

情報提供ネットワークシステムへ接続するためには、インターフェースシステム、中間サーバ、住基連携用サーバが必要となってくる。

住基連携用サーバが必要な理由は、上記のようにマイナンバーと個人情報を結びつける符号を住基ネットから取得するためだ。

住基連携用サーバで住基ネットから住民票コードを割り出し、それを情報提供ネットワークに送信して、住民票コードに対応する符号を生成してもらい、中間サーバ経由で符号を受領するという手順となる。


チェックポイント 8. 特定個人情報保護評価の実施

確定拠出・給付年金制度を持っている企業、単一組合を除く健康保険組合で情報提供ネットワークに接続する場合は、接続する業務について特定個人情報ファイル(マイナンバーを含む個人情報)が取扱われる前に、プライバシーに与える影響評価(PIA=Privacy Impact Assessment)を行う必要がある。

これが特定個人情報保護評価だ。プライバシーマーク認定企業では、社内に保有する個人情報を台帳等で特定して、次に取扱いのライフサイクル等に沿ってリスク分析をする。これと基本的には同じ作業となる。

この特定個人情報保護評価は、取扱う個人情報の件数、事故の有無、取扱者の人数により閾(しきい)値が設けられている。それが次の図だ。

閾値判断





















出典:特定個人情報保護委員会 特定個人情報保護評価指針の解説(平成26年11月11日)第5.

つまり、「基礎項目評価書」は1,000人未満の小規模機関を除いて、全部が必須。

1万人までの小規模は基礎項目評価書のみ、1万人~10万人、10万人〜30万人は、取扱者数や事故の発生によって、重点項目評価表または全項目評価表、30万人以上は全項目評価表という振り分けとなる。

作成した基礎項目評価書と重点項目評価表は、特定個人情報保護委員会に提出され、公表される

また全項目評価表は、特定個人情報保護委員会で内容審査及び承認を受けて公表される。

評価は年1回以上見直す必要があり、評価作業を実施する組織体制も確立しておく必要がある。


チェックポイント 9. マイナンバー対応のスケジュール

マイナンバー対応スケジュールは次のようになる。

scanner2


























出典: 本書16ページ

前述のように日本全体でプログラマーが不足している。マイナンバー運用開始まで、あと1年あるともいえるし、あと1年しかないともいえる。

情報提供ネットワークに接続するのであれば、システムの要件定義段階までに特定個人情報保護評価も実施する必要がある。

早めに準備を開始しておくことが肝要だと思う。


その他の特記事項:

この本は上記のような実務的な対応のポイントを紹介しているとともに、マイナンバー制度そのものについても、様々な情報を掲載しており、参考になる。特記事項として箇条書きでいくつか紹介しておく。

★マイナンバーはもともと民主党のマニフェストで提案されていた
2009年の選挙の際の民主党のマニフェストで提案されていた。民主党政権時代に、法案が国会に提出されたが、審議未了で廃案となった。

2012年末に政権交代し、自民党はむしろマイナンバーの民間利用の検討準備期間を、当初案の5年から3年に早め、安倍政権下で2013年5月にマイナンバー法が成立した。

特定個人情報保護委員会の権限強化も、自民党案で織り込まれた。2015年には「個人情報保護法」自体が改正され、「特定個人情報保護委員会」が、諸外国の「個人情報コミッショナー」と同等の「個人情報保護委員会」に改組される見込みである。

★ノルウェーでは個人の氏名、住所、生年、年収、資産、税額までインターネットで公開されている。
これは驚きだ。北欧諸国はスウェーデンが1972年に世界で初めて個人情報保護法を制定していることでもわかるとおり、個人情報保護には世界で最も進んでいる地域とみなされている。

日本人から見れば、こういった情報を公開することは、プライバシーの侵害になるということで、大騒ぎになると思うが、ノルウェーではこういった情報はプライバシーとは考えられていないのだと。

インターネットで"Skattelister"で検索すると、ノルウェー語のページが出てくる。意味が良くわからないが、どうやら"Skatte=tax"、"Inntekt=income"、"formue=fortune=asset"のようだ。

トップページではノルウェーの高額取得者のリストや国民の年収分布グラフなどが公開されている。

日本ではプライバシーと個人情報の区別があいまいだが、ノルウェーでは資産や年収はプライバシーとはみなされていないのだろう。

★スウェーデンでは国税庁傘下のSPAR(住民情報登録機関)が住民情報を提供する名簿ビジネスを有料でやっている。ダイレクトメールを受け取りたくない住民はオプトアウト(受け取り拒否)できる仕組みだ。

日本のように名簿屋を悪者として敵視するのも、行き過ぎではないかという気がする。スパムメールは確かに迷惑だが、ダイレクトメールであれば、オプトアウトで受け取り拒否すれば、それで済むのではないかと思う。

★預金口座へのマイナンバー適用
マイナンバー法でも、投資信託、先物取引、株式の特定口座、生命保険支払、年金課型の生命保険等の支払調書にはマイナンバーの記載が求められている。最近の新聞記事で、2018年1月からは任意で、預金口座にもマイナンバーの記載を求めると報道されていた。

預金金利支払では税金を源泉徴収されており、時間の問題で、預金口座にもマイナンバー記載が求められるだろう。当然の流れだと思う。

★医療・介護分野へのマイナンバー導入
厚生労働省は医療分野を囲い込むために、日本医師会を巻き込んで自前の「医療ID」制度をつくりたいのだろうが、榎並さんは、マイナンバーによる医療分野の情報連携によるイノベーションの可能性と在宅医療・介護分野へのマイナンバーの活用のメリットを説いている。

マイナンバーの医療分野への活用というよりは、マイナンバーを本人確認の手段として使うという目的であり、方向性としては、正しいと思う。

「医療ID」などの独自の個人認証制度をつくるのは、政府として莫大な二重投資となり、マイナンバーが全国民に普及して、だんだんに民間利用なども進んでいけば、「医療ID」は、いずれ立ち消えとなるのではないかと思う。

★韓国の現金領収証制度
韓国では消費活性化と所得捕捉のために、1999年からクレジットカード利用促進策を実施し、2005年から現金の流れも捕捉するために、現金領収証制度を導入した。

現金で店で買い物する際に、住民登録番号と携帯電話の番号を店に提示すると、店側がクレジットカードのネットワークを利用して、オーソリ(支払確約)を受けて「現金領収証」を発行する。

消費者には、現金領収証は所得控除や福引に使えるというメリットがある。

マイナンバー制度への企業の対応についても、それに関連する話題についても、大変参考になる実用的な本である。


参考になったら、投票ボタンをクリック願いたい。



  
Posted by yaori at 08:00Comments(0)

2013年05月27日

マイナンバーがやってくる マイナンバー導入対策ガイドブック

2013年5月27日追記:

マイナンバー法が参議院本会議で可決され、5月24日に成立した。いよいよ日本でも2016年1月スタートで個人番号制度が実施されることになる。

一部の記述と資料をアップデートして「マイナンバーがやってくる」のあらすじを再掲する。


2013年3月5日追記:

安倍内閣で、通称「マイナンバー法」が3月1日に閣議決定された。既に自民党、公明党、民主党の3党が合意しているので、国会に提出されて、すみやかに成立することが見込まれる。

表などをアップデートしたので、再掲する。

なお、マイナンバーの配布時期は2015年中、利用開始は2016年1月からと、当初の案より1年遅れとなる見込みだ(消費税が10%となるのは、2015年10月から)。


2012年12月20日初掲載:



2012年8月に成立した消費税増税法案に基づく徴税と低所得者対策の「給付付き税額控除」、それと年金などの基盤となる個人番号・通称マイナンバーの導入対策ガイドブック。

マイナンバー法案は2012年2月に国会に提出されたが、政治の空転により審議されずに今に至っている。消費税は2014年4月から8%、2015年10月から10%に引き上げられるので、税と社会保障を支えるマイナンバーは、2012年年度中には成立させておく必要がある。

マイナンバーの導入スケジュールは次の通りとなっている。2016年1月からの運用開始に先立ち、2015年末までにマイナンバーが全国民と全法人に通知される予定になっている。

マイナンバーschedule





出典:内閣府 法案概要資料4ページ

米国の社会保障番号(Social Security Number)は民間企業が名寄せに使えるが、マイナンバーは民間企業の利用は禁止されている。将来の利用として今後議論されることになる。

マイナンバーが使われるのは社会保障、税金、そして健康情報の管理に当面は限定されるが、それでもマイナンバーが導入されることで、行政のムダがかなり削減されるだろう。

次がマイナンバーを利用する概念図だ。

総務省マイナンバー制度説明





出典:総務省資料

こうしてみると国民にとってたいしてメリットないように思えるが、いままで政府が縦割り行政のもとに、バラバラに徴税、社会保障、健康保険、生活保護などを運用してきたものが同一本人を特定して実施できる。

社会保険庁時代の5,000万件の「消えた年金」問題はじめ、日本では共通番号制度がないための弊害が数々生じてきた。こんなことはマイナンバー制度の元では絶対に起こり得ない。

国民にとっては、いままで別々の役所の窓口に申請しなければならなかったことでも、1か所の窓口でできるようになる。また、自ら申請しなければ受けられなかった給付が、将来は役所から自動的に「プッシュ型」で提供されるということも可能になるという。

一枚の個人番号カードが年金手帳、いずれは健康保険証にも使えるので、利便性もあがることが期待される。


もちろん所得税などの捕捉率もあがる。正しく申告している人にはまったく影響がないが、所得隠しが難しくなるので、公平性という意味では良いと思う。

マイナンバーのシステム構成図は次の図を参照してほしい。

scanner429






出典:本書108ページ

マイナンバーは一人に一つだが、利用するそれぞれの官庁では、個別の識別符号で管理することにより、すべての個人情報を特定の省庁の役人が名寄せすることを防ぐようになっている。

逆に、本人はインターネット上で提供される「マイポータル」で、自分の個人番号をどこの官庁が使ったか、利用状況をチェックできることになる。

個人情報の適切な取扱を担保するための仕組みとして、「特定個人情報保護委員会」(上記資料では「個人番号情報保護委員会」となっている)が、政府から独立した組織として設立される。

これは1995年の「EUデータ保護指令」により、EUから日本への個人情報の移送が禁止されていることを解消するための布石だろう。

マイナンバーでカバーされる分野で国に関するものは次の通りだ。

scanner427





出典:本書110ページ

地方公共団体でマイナンバーを利用する業務は結構多い。

scanner425










scanner426











出典:本書169ー170ページ

マイナンバーを整備・維持するための費用は次の通り見積もられている。

scanner428



出典:本書24ページ

上記は2011年10月の政府の見積もりで、ICカードでなく、紙の仮カードに変えたり、クラウドサービスなどを利用すると費用は圧縮できると思われる。

いわゆる「消えた年金」問題で、年金記録を照合するためのコストが2009年度に106億円、2010年度に427億円、2011年度736億円、2012年度も660億円費やされている。4年間で2,000億円もの巨額の予算が投じられているのだ。

マイナンバーを導入すれば、このような人手で年金記録を照合するという無駄な作業は、今後は発生しない。

法律が成立していないので、確定的なことは言えないが、元々三党合意があるので、自民党内閣となれば、すみやかにマイナンバー法は審議にかけられ、2012年度中には予算決定されることになるだろう。

企業のマイナンバー利用は前述のように禁止されている。

本人確認の手段としては使えるが、マイナンバーを使っての名寄せはできないという運用になる。

総務省マイナンバー利用






出典:総務省資料 16ページ

一方、税務と社会保障の関係で、企業も法人番号が付与され、社員の個人番号を登録して、納税記録に記載しなければならない。だから企業にとっては、マイナンバーは自社では利用できないのに、納税と社会保障の関係でシステム変更を余儀なくされて、費用だけが掛かるということになる。

マイナンバーメモ






出典:総務省資料(企業関連部分を追加)

住民基本台帳カードはわずか4%、650万人にしか普及していないのに対し、マイナンバーは最初から全国民分の紙の仮カードが送付され、希望者のみICカードに変更できるという形でスタートすることが予想される。

5,000万人分の年金が消え、上記のように2,000億円かけて年金記録を再調査しているが、いまだに2,000万人の年金記録が不整合のままだという。

マイナンバーが導入されれば、少なくともこのような先進国にあるまじき事態は防止できる。

企業にはマイナンバー導入のためにシステム改変等の費用がかかり、以前のY2K(西暦2000年問題)のようなシステム改編ブームが起こるかもしれない。

なお、医療関係でもマイナンバーの利用が当初より検討課題に挙げられている。

医療分野では2012年9月に厚生労働省が設立したワーキンググループが「医療等分野における情報の利活用と保護のための環境整備のあり方に関する報告書」を出しており、マイナンバーとは異なる「医療等ID(仮称)」という別の仕組みを作るべきだと答申している。

医療等IDまとめ_ページ_2





出典:社会保障分野サブワーキングループ報告

図がなくて、文字ばかりの報告書で読みづらい。

要は医療関係の情報の流れは次の様になっており、税金や社会保障用のマイナンバーとは性質が異なる。

医療情報は万が一漏れると、本人に取り返しの出来ないダメージを与える恐れがあるものもあるので(たとえば病歴等)、マイナンバーのインフラは共用することも検討可能ではあるが、別の「医療等ID」や「医療カード」を導入すべきだという答申だ。

医療等IDまとめ_ページ_1






出典:「医療等分野における主な情報のながれ」(全55ページの報告書)


マイナンバーが導入されるとどういった影響があるのか、わかりやすく解説しているガイドブックで参考になった。

この本を購入するかはともかく、上記で出典として紹介した総務省の資料は目を通しておくことをおすすめする。


参考になれば投票ボタンをクリック願いたい。



  
Posted by yaori at 09:20Comments(0)

2013年02月12日

プライバシー・バイ・デザイン プライバシー情報を守る世界的潮流

プライバシー・バイ・デザイン(Privacy by Design)プライバシー・バイ・デザイン(Privacy by Design)
著者:アン・カブキアン
日経BP社(2012-10-25)
販売元:Amazon.co.jp

最近注目されている「プライバシー・バイ・デザイン」の提唱者・カナダのアン・カブキアン博士の著書をもとに、日本の個人情報保護法制の生みの親・堀部政男一橋大学名誉教授が、日本情報経済社会推進協会(JIPDEC)他と一緒にまとめた本。

「プラバシー・バイ・デザイン」とはあまり聞きなれない言葉だが、世界では個人情報保護の新潮流となっている考え方だ。

日本では2012年8月に発表された総務省の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」が公表した「スマートフォン・プライバシー・イニシアティブ」に、基本原則の一つとして取り入れられたのが最初である。


プライバシー保護をデザイン・イン

「プライバシー・バイ・デザイン」の定義は、提唱者のカナダ・オンタリオ州情報・プライバシー・コミッショナーのアン・カブキアン博士によると「プライバシー情報を扱う”あらゆる側面”において、プライバシー情報が適切に取り扱われる環境を”あらかじめ”作り込もうという”コンセプト”」である。

具体的には、次の側面でプライバシー情報保護を作り込む必要がある。

1.技術面(ITをはじめとする様々な技術分野)
2.ビジネス慣行(事業活動)
3.物理設計(ネットワークインフラなど)

バイ・デザインというのは、デザイン・イン(作り込み)と考えればよい。つまりプライバシー情報の保護をあらかじめ作り込んでおくという原則を「プライバシー・バイ・デザイン(・イン)」と呼んでいるものだ。


プライバシー・バイ・デザインの基本7原則

プライバシー・バイ・デザインの基本原則は、提唱者のアン・カブキアン博士によると、次の通りだ。

1.事後的でなく事前的、救済策的でなく予防的であること

2.プライバシー保護は初期設定で有効化されること(デフォルト設定で組み込む)

3.プライバシー保護の仕組みがシステムの構造に組み込まれること

4.全機能的であること。ゼロサムでなく、ポジティブサム

5.データはライフサイクル全般にわたって保護されること

6.プライバシー保護の仕組みと運用は可視化され、透明性が確保されること

7.利用者のプライバシーを最大限に尊重すること


日本のプライバシーマーク制度の理論的裏付けに

日本のプライバシーマーク制度については何も言及されていないが、「プライバシー・バイ・デザイン」が提唱しているのが、まさに日本のプライバシーマーク制度のような仕組みである。

日本のプライバシーマーク制度は、この本の訳者でもある一橋大学名誉教授の堀部政男先生が提唱したものだ。

ヨーロッパでは、"EuroPriSe"というプライバシーマークと似たような制度が2006年から実施されているが、日本のプライバシーマークの13,000社弱というような規模ではない。

1999年にスタートした日本のプライバシーマーク制度が、世界で最も進んだ模範的「プライバシー・バイ・デザイン」制度と認められる日も近いだろう。


プライバシー・バイ・デザインが世界の潮流に

「プライバシー・バイ・デザイン」の考え方は、2010年にイスラエルのエルサレムで開催された第32回データ保護・プライバシー・コミショナー国際会議で、「基本的なプライバシー保護の不可欠な要素として認識」されることが決議された。

「プライバシー・バイ・デザイン」が、新たな国際プライバシー基準(new global privacy standard)となったのだ。


米国の取り組み

これを取り入れたのが、米国FTC(連邦取引委員会)が2012年3月に発表した次のプライバシーフレームワークである。

1.プライバシー・バイ・デザイン
  基本原則:企業は組織全体として、そして自社の製品やサービス開発のあらゆる段階において消費者のプライバシーを最優先に掲げるべきである。

a) 実質的原則
   企業は、データセキュリティ、合理的収集制限、正当な保持と消去実施、データの正確性といった、実質的プライバシー保護を企業プラクティスに組み込むべきである。
b) 実質的原則実施のための手続的保護
   企業は、製品やサービスのライフサイクルを通じての包括的なデータマネジメントの手続を維持すべきである。

2.簡略化された消費者選択
  基本原則:企業は消費者の選択を簡易化させるべきである。
a) 選択肢を要求しないプラクティス(慣行)
b) 企業はその他の慣行では消費者の選択肢を提供すべきである。

3.透明性
  基本原則:企業はデータ処理の透明性を高める必要がある。
a) プライバシー通知
b) アクセス
c) 消費者教育(消費者への情報提供)


米国の消費者プライバシー権利章典

米国政府は「消費者プライバシー権利章典(Consumer Privacy Bill of Right)を2012年2月に発表した。その骨子は次の通りである。(原出典:「日経コミュニケーション2012年4月号)

1.個人によるコントロール
  消費者は、事業者が収集する自身の個人データをコントロールする権利を持つ。

2.透明性
  消費者は、事業者によるプライバシーとセキュリティの順守に関して、わかりやすい手順で情報を得る権利を持つ。

3.背景情報の尊重
  消費者は、消費者が提供した背景情報に沿って、事業者が個人のデータを収集、利用、開示することを期待する権利を持つ。

4.セキュリティ
  消費者は、個人のデータが安全かつ責任をもって扱われる権利を持つ
  
5.アクセスと正確性
  消費者は、センシティブなデータや、不正確なデータが消費者にリスクを与えるようなケースにおいて、適切な方法で利便性の高いフォーマットのパーソナルデータにアクセス、修正できる権利を持つ。

6.適切な範囲の収集
  消費者は、事業者が収集、保存できる個人のデータを適切な範囲に限定する権利を持つ。

7.説明責任
  消費者は、事業者によって個人のデータが、消費者プライバシー権利章典に従って適切に扱われる権利を持つ。

これを見ると米国もやっと世界標準の考え方に近くなってきたかという印象を受ける。


個人情報保護先進国の欧州と後進国の米国

個人情報保護については、依然として米国と欧州では大きな差がある。それは、第三者提供の制限である。

通販業界が伝統的に強い政治力を持っている米国では、”オプトアウト(同意なしで配信。要望により配信停止)”が原則で、個人情報の第三者提供は本人の同意が不要だ。

だから米国に引っ越して2−3か月すると、郵便受けに入りきれないほどの大量のダイレクトメールが様々な通販会社から届くようになる。

いちいち今後ダイレクトメールを送らないようにと連絡して”オプトアウト”する必要がある。

一方、欧州は、”オプトイン”(同意がないと配信できない)が原則で、本人の同意がない限り、ダイレクトメールは送れない。

米国では、名簿販売が依然として大きな産業となっており、最大の名簿バイヤーは通信販売業界だ。

米国では、通信販売で買うと10%前後の州のセールスタックスを事実上払わなくて済むという大きなメリットがある。通信販売業界の政治力は、いまだに健在という感じである。

ちなみに、上記のリンク先の日経新聞の記事ではDNT(Do Not Track、ネット上の追尾・追跡(トラッキング)を消費者が拒否できる権利)を認めたことを、大きく取り上げている。

ややとっつきにくい本ではあるが、世界の個人情報保護の流れがわかるので、特に日本のプライバシーマーク制度にかかわる人には、一読をおすすめする。


参考になれば投票ボタンをクリック願いたい。



  
Posted by yaori at 23:15Comments(0)TrackBack(0)

2007年09月04日

社員監視時代 情報セキュリティ対策がわかる

社員監視時代 (ペーパーバックス)
社員監視時代 (ペーパーバックス)


社員監視時代というタイトルだったので、学生時代に読んだジョージ・オーウェル1984年を思い出したが、実は情報セキュリティの本だった。

1984年 (ハヤカワ文庫 NV 8)
1984年 (ハヤカワ文庫 NV 8)


いきなり個人情報漏洩事件の話から始まり、ソフトバンクBBが導入した監視ソフトSeer Innerが紹介される。(その後製品はseer innner SAという製品と二つにわかれたようだ)

このSeer Innerとは、筆者も導入したことがあるSeer Insight社(現エンカレジ・テクノロジ社)の、コンピューター端末のリアルタイム監視ソフトだ。

こんな具合に利用者の端末の操作画面が表示され、誰がどういう作業をしているのか画面がリアルタイムで監視できる。

Seer Inner 2






その社員のパソコン画面だけ大きく表示する機能もあるので、社員がパソコンでトランプゲームなどをしていると、管理者にすぐわかってしまう。

Seer Inner 3







写真出典:Seer Innerサイト


ソフトバンクBBは、このSeer Innerを導入するとともに、オペレーションルームの厳しい入退室管理に加え、ビデオカメラでの監視も実施している。

同社のSOC(Security Operation Center)では、常時十数名の社員が24時間・365日監視にあたっており、社員・アルバイトも含めた15,000台のパソコンを監視している。

リアルタイム監視といっても、網の目をくぐり抜けて不正を行う社員もいるかもしれないが、常時監視していると社員に告げることによって、過去起こったような個人情報漏洩持ち出し事件は防げると関係者は断言している。

Seer Innerの他にもAll WatcherLanScopeCatというログを、システマティックにすべて収集するソフトも紹介されている。

フォレンジック(Forensic)という聞き慣れない言葉があるが、犯罪科学という意味で、これらソフトはForensicソリューションと呼ばれている。


オフィスの生産性向上にも役立つ

社員の監視というとネガティブなイメージがあるが、マイクロソフトが提供しているIPA(Individual Productivity Assessment)と呼ばれるサービスは、ホワイトカラーの生産性改善を目指したものだ。

それ自体はあまり儲からないということなので、現在もマイクロソフトがIPAサービスを提供しているかどうかわからないが、この本でも紹介されている東洋タイヤのケースがマイクロソフトジャパンのホームページに紹介されている。

エンジニアの仕事ぶりを2週間程度カメラで記録し、それを分析して生産性改善点をレポートするというサービスだ。たとえばエクセルのコピーアンドペーストの使い方や、ショートカットの活用等で、生産性がアップする。


最大の抵抗勢力はシステム管理者!?

この本では情報セキュリティ導入の裏話も紹介していて参考になる。監視ソフト導入の最大の抵抗勢力はシステム管理者だという。

アクセスログは証拠として調査される可能性があるが、従来はシステム管理者は都合の悪いログは削除していたのだと。

にわかには信じがたい話だが、ありうる話なのかもしれない。


社員監視システムは「砂上の楼閣」

この本で参考になったのが、リアルタイム社員監視システムとかは、見た目には派手で、社員に与える不正抑止効果もあるが、LANの内部を暗号化しないと、監視している画面から情報が漏れ、セキュリティホールとなって、情報漏洩のリスクが増えるという指摘だ。

だからセキュリティは順番が大事で、まずLANに流れるデータを暗号化するのが大前提だと。

LANの中身を暗号化するソフトはフリーソフトもあるが、製品として提供しているメーカーは少ない。セキュリティ業界にとっては、LANの内部を暗号化するというのは商売にならない。

だからクライアント企業に教えず、内部情報の暗号化なしに監視ソフトを入れる「砂上の楼閣」が増えているのだと。

なるほどと思う。

情報がすべて暗号化されていれば、万が一漏洩しても本人への連絡も、監督官庁への報告も不要だ。非常に役立つ指摘である。


個人情報名簿業者の実態

もう一つ参考になったのが、個人情報を売買する名簿業者への取材だ。

この本では名簿業者大手のイアラ・コーポレーション社長にインタビューしている。

いままで名簿業者とはどういう会社か実態がわからなかったが、この本で紹介されているイアラ・コーポレーションはホームページもあり、2005年の個人情報保護法施行以降も事業を続けている。

まさに個人情報保護法に従った適法な名簿販売業をやっており、いわゆるオプトアウト方式で、削除しろと言われたら削除するというやり方で、個人情報を販売している。

同窓会や各種団体の会員名簿などリストとして販売しているものの紹介と、5,000万件のデータから希望のターゲットを絞ってリストアップするサービスがある。

イアラは元々はブレーンという会社で、ダイレクトメールなどのダイレクトマーケティングの会社だったが、ダイレクトマーケティング部門は日立グループに販売して、日立ブレーンという会社になり、リスト部門だけが残っているものだ。

イアラ社長の話で印象に残ったのが、名簿業者が販売しているデータはどれも「名前、住所、電話番号」だけだという。

つまり元データは電話帳等なので、それだけではどんな意味のある個人情報かわからないが、イアラの保有する大量のデータから名寄せして、条件にあった人をリストアップしてデータベースとして販売しているので、たとえば高額納税者リストとか、意味のあるデータとして売れるのだという。

この本は2005年発刊だが、2007年3月の経産省の最新のガイドラインでも、名前、住所、電話番号のみの名簿は電話帳と同じ扱いとなる。名簿業者のビジネスは、依然として適法なのである。

個人情報漏洩の唯一完全な対策は、個人情報を持たないことだと言われているが、特に利用価値のない住所と電話番号は、保有せずに削除して、必要な時に都度個人から取得するというのが、有効な個人情報セキュリティ対策となってくるだろう。


「1984年」現代版

最後にジョージ・オーウェルの「1984年」の現代版ショートストーリーもある。

著者の小林雅一さんは、大学を卒業して某大手電機メーカーに入社したそうだが、昼の12時ちょっと前に同期みんなで、社員食堂に行ったら、だれも皿を取ろうとしない。

みんな白線の向こうで待機しているのだ。12時のブザーが鳴って初めて、みんな動き始めたと。

これを聞いて、筆者は思い当たる会社がある。筆者も最近同社の社員食堂に行って、全く同じ体験をしたからだ。

最後に本当の監視も出てきて、なかなか面白く読める本だった。

情報セキュリティに興味のある人に役に立つ、おすすめできる本である。


参考になれば次クリックと右のアンケートお願いします。


人気ブログバナー


  
Posted by yaori at 00:06Comments(0)