住基ネットに関する情報はきわめて限られています。『図解雑学 文字コード』のために、地方自治情報センターに取材しましたが、「住基ネットの外字記号とワイルドカード」に書いたように、さんざん振りまわされました。
本稿は2002年7月23日の公開以来、「ワイルドカード」検索をめぐって、記述に揺れが生じましたが、ほぼ状況がつかめたので、あらためて正式版を公開します。すでに本稿をお読みになっている方は「3. 住基ネットの過剰な検索機能」から目を通されるとよいでしょう。(Aug05 2002)
7月21日のテレビ朝日「サンデー・プロジェクト」に総務大臣の片山虎之助氏が出演し、電子政府を実現するために住基ネットを予定通り稼働させなければならないと早口でまくし立てていた。
電子政府の実現に住基ネットの稼働が必要という片山氏の発言はおかしい。住基ネットは電子政府構想以前に、紙の住民票を出力することだけを念頭に設計されたシステムであり、電子政府と整合させるためには根本から作り直さなければならないからだ。電子政府の文字コードについては、経済産業省、法務省、総務省、文化庁合同の「汎用電子情報交換環境整備プログラム」によって、別のアーキテクチャが準備されている。住基ネットは電子政府の構築を促進するどころか、阻害要因になるだろう。
文字コードはシステムの根幹にかかわるものであり、一度使った文字コードは半永久的にサポートしつづけなければならないという宿命をもっている。対症療法的な、その場しのぎの変更・拡張をおこなったために、延々と問題をひきずっている例は枚挙にいとまがなく、文字コードの歴史は愚行の連続といっても過言ではない(最近では携帯電話の絵文字がある。懲りないというか、なんというか……)。
住基ネットの問題点はようやく一般に知られはじめたが、文字コードという視点からの問題提起はまだなされていない。本稿では文字コードという観点から住基ネットの問題点を指摘したい。
まず最初に、既存の住民基本台帳システムについて簡単に説明しておこう。
信じられないだろうが、住基システムの電子化は実に1964年からはじまっている(電子化の長い長い歴史については『電脳社会の日本語』第一章を参照)。現在、住民基本台帳はすべて電子化されているが、自治体ごとに異なったシステムで運用されている。住民基本台帳には人名漢字と地名漢字が必要なので、大量の外字の使える大型機を使っている例が多いが、WindowsNT系でLANを組み、XKPというネットワーク共有外字で対応しているところも増えている(詳しくは「戸籍に外字の必要な人はどれだけいるか?」を参照)。
もちろん、外字であるから、自治体ごとに違い、データの互換性はない。
住基ネットは既存住基システムとは独立したシステムとして構築されている。既存住基システムのデータ(電子化された住民基本台帳)は住基ネット側のサーバーに転送され、外部に送りだされるのである。
居住地の自治体で住民票をとる場合は、今まで通り、既存住基システムで出力する(住基ネットを凍結しても、住民生活にはなにも支障はない)。居住地以外の自治体からとる場合は、住基ネットを通してはいってきた住民票データを、住基ネット側サーバーから出力する。
既存住基システムは住民の移動などで日々更新されているが、どのタイミングで住基ネット側サーバーのデータと同期をとるかは自治体によって異なるという。同期をとった後、住基ネット側サーバーは最新のデータを送信し、県レベル、国レベルの同期をとる(注1)。
既存住基システムの文字コードと外字セットは自治体(自治体グループ)ごとに異なるから、住基ネット側サーバーにデータを移す際、コード変換と外字変換をおこなわなくてはならない。
住基ネットで使われる文字コードは「統一文字コード」といい、法務省の許容字体やJIS第1〜4水準漢字、Windows外字をはじめとする各ベンダーのシステム外字を寄せあつめて、2万1千字を収録している。エンコード方式はユニコードだが、CJK漢字にない字はBMP内の漢字以外の領域にマッピングしているという(注2)。
「統一文字コード」用のフォントは「住基ネット明朝」といい、旧自治省と関係の深い出版社が受注したといわれている(注3)。
問題は外字である。「統一文字コード」2万1千字にあれば、その符号位置に変換するが、ない場合は「残存外字」として画像をはりつける。システムはWindows2000であるから、その自治体内ではXKPによって「残存外字」を共有している。外部に送り出す場合には画像として送りだす(注4)。
当たり前の話だが、「残存外字」を含んだ人名・地名は、その住民票のある自治体の既存住基システムからしか入力できない。「広域交付」や「本人確認」でそうした住民票を呼びだすために、外字の存在を示す機能文字が使えるようになっている(注5)。
住民基本台帳の電子化は完了しているのだから、各自治体の外字セットを集めれば、人名漢字と地名漢字を網羅した文字セットを作ることは可能であり、「残存外字」を使わなくてすんだはずである。文字コードはシステムの根幹にかかわり、途中でとりかえるわけにはいかない。文字コードを変えるには根本からシステムを作り直す必要がある。
住基ネットを決めた改正基本台帳法の施行を待たずに、住基ネットの用途を拡大しようという基本台帳法再改正の動きがはじまっているが、「残存外字」が存在する以上、国民を住民票番号で特定するしかない(注6)。
今のところ、住民票番号の民間利用は禁止されているが、住基ネットが信販業界とダイレクト・マーケティングを狙う電子取引業界の強力な働きかけで推進されてきた経緯を考えると、民間利用解禁は時間の問題だろう(注7)。
総務省は住基ネットのメリットとして、住民票を居住地以外の自治体窓口からとれるようになる点と、申請書類に住民票を添付する必要がなくなる点をあげている。前者を「広域交付」、後者を「本人確認」機能と呼ぶ。「広域交付」も「本人確認」も国民本人の要請があってはじめておこなわれるはずであって、本人の要請もないのに、行政機関が国民の個人データにアクセスするなどということは絶対に許されてはならない。
ところが、住基ネットには本人の要請もないのに、国民の個人データにアクセスできるような仕組が組みこまれている。「情報検索」と呼ばれる強力な検索機能である。
もちろん、「広域交付」と「本人確認」には、必要最低限の検索機能は必要だが、その場合の検索条件としては、個人情報保護の見地から、完全な氏名・住所・生年月日の三要素を必須とすべきだ。住民票をとる場合も、国家試験を受験する場合も、氏名・住所・生年月日は明記するのだから、それでなんの不都合もないはずである。
ところが、住基ネットの「情報検索」を使うと、曖昧な情報からでも目当ての人間の個人情報にたどりつけるのである。
「情報検索」には四通りの方式があるというが、基本的には氏名+住所か、氏名+生年月日の二要素だけで検索が可能である。氏名は読みだけでよく、しかも前方一致だから、検索式として「*」を書かないものの、ワイルドカードによる検索と同じである。
一応、出てくるデータ数の上限が決まっており、それをこえてヒットした場合は、検索条件を再設定する画面にもどるという。地方自治情報センターにうかがったところ、上限の数はセキュリティ上の秘密ということだったが、例にあげられた数からすると、かなり多そうだという印象を受けた。
たとえば、
小泉純一郎 昭和17年1月8日
で検索すれば、日本中の昭和17年1月8日生まれの小泉純一郎氏全員のデータが出てくるだろう。誕生日さえわかれば、現住所をつきとめることが一瞬でできてしまうのである。
こいずみじゅんいちろう 昭和17年1月8日
ではヒット数が上限を越えそうだが、その場合は、「神奈川県」、もしくは「神奈川県横須賀市」と住所で絞りこめばよい(完全な住所は必要ない)。
これだけでもどうかと思うのだが、「住基ネット問題点」というページによると、あきれかえる機能がついていた。生年月日まで「春・夏・秋・冬」とか、「上旬・中旬・下旬」という曖昧な条件で検索できてしまうというのだ。これが事実なら、とんでもないことである。
昭和17年1月で上限を越えるようなら、
こいずみじゅんいちろう 昭和17年1月上旬
こいずみじゅんいちろう 昭和17年1月中旬
こいずみじゅんいちろう 昭和17年1月下旬
と三回にわければよい。
「片山虎之助」のような珍妙な名前なら、
片山虎之助 昭和10年夏
で十分だろう。現住所がわかってしまえば、姓&住所で
片山 岡山県岡山市富田町2丁目5番地
これで片山虎之助氏の同居家族の住民票がずらずら出てきて、家族構成までわかるという寸法だ。
国民本人の要請があった上での「広域交付」、「本人確認」なら、完全な氏名・住所・生年月日がそろっているわけで、こういう機能は必要ないはずである。このような過剰な検索機能は、国民本人の知らないうちに個人情報を取得する目的で用意されたとしか考えられず、国民監視機能と断ぜざるをえない。
第二の問題点は、この過剰な検索機能を実現するために、区市町村に管理責任のある住民の個人データを、県レベル、国レベルのサーバーに送信しなければならなくしてしまったことである。もし、検索条件として完全な住所の入力を必須としていれば、個人データを市町村のサーバーの外に出す必要はないはずだ(注8)。住基ネット不参加を決めた自治体が、準備段階で都県に転送したデータの消去をもとめたにもかかわらず、無視されているが、こういう状況が生まれたのは、過剰な検索機能を実現しようとしたことに一因があろう(注9)。
第三の問題点は、この過剰な検索機能が通常の機能としてついているために、クラッキングの知識のない者(自治体職員・下請作業員・不正侵入者)でも、いとも簡単に目当ての個人データを引きだすことができるようになってしまったことである。
もし、住民票にアクセスするのに完全な氏名・住所・生年月日の三要素が必須なら、クラッキングの知識がない限り、個人データを引きだすことはきわめて困難である。
コンピュータ犯罪の大部分は、たいした知識のない内部の人間の犯行だということは常識である。実際、地方自治情報センターが自治体に配布した手引には「有名人の住所を調べてはいけません
」、「同窓会の名簿を作るのに利用してはいけません
」と書いてあるという。総務省側も、過剰な検索機能の危険性は承知しているわけだが、法律的な予防策はとられていない(後者はともかく、前者は、調べた結果を口外せず、自分の楽しみのために使うだけなら、まったく罰則の対象にならない)。
また、「ハッカー」(正確にはクラッカー)というと、天才的なコンピュータ犯罪者というイメージが一人歩きしているが、そんな天才的犯罪者はごくごく少数で、ほとんどのクラッカーはアンダーグラウンド・サイトでクラッキングの知識を読み齧ったチンピラにすぎない。住基ネットの必要以上に強力な検索機能は、内部犯行やチンピラ・クラッカーの犯行を助長している。
電子政府は電子文書を正式の文書として認めることが大前提で、そのための関連法令が整備されつつあるが、漢字問題は依然として解決されていない。電子的に表記できない人名・地名がまだまだあるのだ。
そのための文字コード・アーキテクチャの整備は、泥縄的だが、情報処理学会と経済産業省によって進められている(注10)。
文藝家協会などがおこなった漢字が足りないという問題提起に対し、日本の文字コードをリードしてきた情報処理学会は文字コード標準体系検討専門委員会を設置し、1999年に五項目の提言をおこなったが、その後、同委員会の第二ステージがはじまり、今年の三月に報告書がまとまっている。
わたしは日本ペンクラブを代表して参加する秦恒平委員の代理という資格で、会期の後半にあたる昨年九月から出席する機会をえた。あまりにバタバタと話が決まっていき、どうなっているのかと訝しんでいたところ、審議が佳境をむかえた今年一月、ようやく事情が呑みこめた。経済産業省の「汎用電子情報交換環境整備プログラム」の担当室長が委員会に出席し、電子政府実現のために、文字コード・アーキテクチャを一刻も早く決めてくれと演説したのである。こういう断定をすると、嫌がる人がいるかもしれないが、第二ステージは、電子政府に使える文字コードを検討するための委員会だったのだ。
電子政府に使える文字コードといっても、基本がISO 10646=ユニコードである点は動かない。
新字種は無条件に追加していくにしても、問題は異体字である。第二ステージは、異体字を独立の符号位置であらわすのではなく、異体字交換技術(親字+付加情報)であらわすという合意形成に会期の前半をまるまる費やし、後半で具体的な実現方法を議論した(注11)。異体字の情報交換をするためには、一意的な異体字番号をふらなければならないが、その番号は国立のしかるべき研究所が決めるという方向が出ているようである。
第二ステージの結論にもとづいて、「汎用電子情報交換環境整備プログラム」が推進されているが、実績のあまりない技術をいきなり電子政府に使うことには、誰しも懸念をもたざるをえないだろう。対応ソフトウェアがどこまで普及するのかも未知数である(電子政府である以上、行政機関のみならず、日本国内のすべてのコンピュータが対応する必要がある)。文字コードという視点から見る限り、電子政府はどうなるかわからないというのが現状ではないか。
電子政府の文字コード・アーキテクチャの概略は『図解雑学 文字コード』に記したが、かなり流動的なようである。どのように実現されるかはまだ断言できないが、すくなくとも住基ネットの「統一文字コード」が使われることはありえない。くりかえしになるが、「統一文字コード」は「残存外字」を残しているのみならず、文字をユニコードに勝手にマッピングした、欠陥文字コードなのである(注12)。
住基ネットの三年間凍結案が自民党内部からも提起されていたが、もし三年間凍結ということになっていれば、住基ネットは廃止されるか、新しい文字コード・アーキテクチャで根本的に作り直されるかのどちらかにならざるをえず、現在のシステムは一度も使われることなく、姿を消すことになっただろう。おそらく、総務省としては、なにがなんでも住基ネットを動かし、実際に使ったという「実績」を作らざるをえなかったのではないか。
総務省は住基ネットという問題を山積したシステムによって、400億円の税金をドブに捨てた。いや、税金だけではない。セキュリティ的に穴だらけのシステムを強行運用することによって、国民の個人情報までドブに流そうとしている。
現実に話がもちあがっているわけではないが、文字コード関係者の中には、住基ネットはいずれ全面的に作り直しになるという見方をする人がすくなくない。既存住基システムとの二本立てになっているので、稼働をはじめても、作り直しは不可能ではないかもしれない。しかし、これまでの場当たり的な経緯を考えると、その場しのぎの対応をくりかえしながら、現在のシステムを使いつづける可能性が一番高いだろう。いずれにせよ、文字コードの分断が余計なコストとトラブルとセキュリティホールを生むことは間違いない。
住基ネットは廃止すべきだと思うが、もし、作り直すなら、最低限、以下の条件が必要だと考える。
国民共通番号制に反対する会
櫻井よしこ.net
伊藤穰一のWeb
電子自治体情報
「電子政府に関する申入れ」 by 自民党e-Japan重点計画特命委員会
本格的に動き始めた電子政府・電子自治体@日経BP
住基ネット記事一覧@毎日新聞
住基ネット問題を知るための各種HP引用記事
お笑い個人情報保護法案メモ
自治体サーバーの危険性
21万人分の住民票データを流出させたことのある宇治市はセキュリティを高めるために、閉庁後、最新データを送信するのに必要な時間(約15分)だけ住基ネットに接続する内規を定めたという。切断の仕方も徹底していて、住基ネット回線のコネクタを抜いてしまうという。
しかし、住基カードが発行され、第二次稼働が予定されている2003年8月以降もこの体制がとれるのだろうか。住民票の広域交付を希望する人が来庁した時にだけ、コネクタを接続するところまで徹底できるなら意味がないことはないが。
住基ネットが独自文字コードとなると、なんのためのJISの2000年改正だったのかと疑問に思う方がおられるだろうが、法務省が別字として認めている「髙」まで包摂しているのだから、住基に使えないのは自明だった。
住基ネットが独自文字コードになると判明した2000年秋、JIS関係者の多くはショックのあまり茫然自失状態に陥ったという。文字コードから足を洗っていたわたしのところまで噂が届いたくらいだが、わたしとしては、住基ネットにJIS X 0213が使えると本気で思っていたということの方に驚いた。
実際にフォントを作ったのは、格安フォントで有名な韓国のS社らしい(国内相場の半額程度だとか)。大陸風書体が歴然としているということで、フォント関係者の間の「住基ネット明朝」評価は低い。住民票の広域交付を受けると、大陸風書体で印字されるのだろう。
8月5日12時付毎日新聞の速報(yahooの方にしか残っていない)に「千葉県では松戸、習志野、浦安、八街の4市から県に送信されたデータ約1800件が「エラー」として読み取れなかった。特殊な漢字や俗字が使用されていたためとみられる
」とあるのは残存外字のトラブルだろう。エラーになるとすると、ここもセキュリティホールになるのだろう。(Aug10 2002)
今年5月に『図解雑学 文字コード』のために取材した際、外字の位置には「検索でよく使うアステリスク」をいれるという説明を聞き、ワイルドカードと受けとっていたが、7月30日にあらめてに地方自治情報センターの担当者に確認したところ、実際は「*」ではなく、外字の存在を示す記号(符号位置、字形はセキュリティの見地から秘密という)を使うということだった。
外字記号は、残存外字間ではワイルドカード的に働くが、残存外字をふくんだ住民票はすくないので、検索すると本人以外の住民票も出てきて、その中から絞りこんでいくという段取になるのは「住基ネットの過剰な検索機能」で述べた「情報検索」のためと考えた方がいい。
いくつかの自治体では国民総背番号制を先取りして、住民の個人情報の一元管理を実現しているが、7月22日のTBS「ニュース23」で紹介された四日市市の事件はやはりというものだった(以下、記憶で書く)。
四日市市ではかねてから、市役所の職員がおもしろ半分に住民の個人情報をのぞき見しているという噂があったという。ある男性が、自分の年収を知人が知っていたことに驚き、市の情報公開条例を使って、自分の個人情報の
その男性は、50件以上にのぼる不可解な閲覧について、誰が何のために閲覧したのか、情報公開を求めたところ、四日市市側は不明という答えしかよこさなかった。
個人情報にアクセスするためには職員IDカードによる認証が必要で、当然、職員名は特定できるはずだが、実際は、認証後、トイレで席を離れるなどして、他の職員が端末を使える状態になっており、本当にそのIDの職員が不正閲覧したかどうかはわからないので、職員名は公開できないというのだ(もし、他の職員によるなりすましがあったとするなら、それだけでも大問題のはずだが)。
説明をもとめられた四日市市長は「職員がのぞき見しているんでしょうなぁ」と、TVカメラの前でこぼしていたが、四日市市は情報公開条例で閲覧履歴を請求できるようになっていたから、たまたまのぞき見が発覚したにすぎない。
住基ネットでは閲覧履歴を確認することはできず、このまま利用範囲を拡大しようというのはあまりにも危険である。
「ニュース23」では背景事情にふれていなかったが、2チャンネル掲示板の22番に、この事件を報じた東京新聞の記事が転載されている。
この記事によると、閲覧履歴を請求した男性は市役所の嘱託職員で、組合関係のトラブルがあったようである。いわゆる「刺された」というやつだ。
組合関係のトラブルがあったことを出すと、特殊なケースと受けとられ、日常的に個人情報ののぞき見がおこなわれているという状況がぼやけてしまうので、ああいう報じ方になったのだろうが、一面的であるのはまぬがれない。(Jul26 2002)
7月28日付毎日新聞にフォローする記事が載ったが、次の一節にはあきれた。
一方、住民情報を担当した複数の職員、元職員の証言では、休憩時間などに職員の家族情報を呼び出して「あの子は独身」「あの人は障害者」などとうわさ話にした職場もあったという。事件が新聞に載ると、関連人物の情報を引き出した職員もいたが、上司は特に注意しなかったという。
職員らは「市民を欺く許せない行為と思ったが、注意すると仕事がやりにくくなるので、見過ごした」と発言。職員の中には「家を建てると情報が漏れる」と悩んだ人もいたという。
こういう日本的な職場風景はどこにでもあるだろう。いくらセキュリティ教育をしたところで、なくなるものではない。
外務省事件や大阪高検事件などであきらかなように、役所の権益を守らなければならない場面では、おもしろ半分ではなく、使命感をもって、役人は組織の敵対者の個人情報を漏洩するはずだ。(Jul29 2002)
8月6日付毎日新聞によると、四日市市在住で市民オンブズマン活動にとりくむ松葉謙三弁護士が自分のデータに関するアクセスログ開示をもとめたところ、、住居地とは別の市出先機関から不審なアクセスがあったことが判明した。松葉弁護士は「どのような場合に個人情報が市内部で照会されているのか知りたい」として、調査するよう市に申し入れるという
当然、予想された結果で、職員による個人データのぞき見はごく日常的におこなわれていたことをしめすものだろう。
のぞき見が判明したのは四日市市が「先進自治体」で、アクセスログの開示をおこなっていたからである。ログを公開しない自治体では安心してのぞき見し放題であることを忘れないようにしよう。(Aug10 2002)
8月5日前後。片山総務大臣は住基コードの民間利用はさせないと絶叫していたが、その舌の根の乾かないうちに、総務省は「商店街のポイントサービスなど、民間型サービスの利用を認める方針を固めた
」そうである(10月8日付毎日新聞)。
今、全国の商店街は衰退の一途をたどっており、商店街の振興を錦の御旗にすれば反対しにくい空気がある。しかし、本当の狙いは商店街ではなく、天下り先確保につながるようなビッグビジネスだろう。(Oct21 2002)
住基ネットは年金受給者が生存しているかどうかを確認する作業に使うとされている。毎月、住民票番号をキーに全国民のデータを自動的にスキャンするわけである。
住民票番号だけを検索キーにするなら、現状のように、全国民のデータを一ヶ所に集中させなければならないが、市町村コード+住民票番号か、氏名+住所+生年月日をキーにし、市町村のサーバーを巡回するようにすれば、住民票データを管理責任のある市町村のサーバーの外に出す必要はない。(Aug10 2002)
注6の「個人情報の一元管理」で紹介した四日市事件が報じられて以来、住基ネットの
8月5日付毎日新聞によると、愛知県と三重県は住基ネットのアクセスログを原則開示することにしたという。しかし、
とあるところをみると、この決定で開示されるのは県の管理するサーバーのログにすぎず、国レベル、特に地方自治情報センターの保管するデーターのログは開示されないとみてよいだろう。住基ネットのシステムは、個人のログ情報に関する開示規定を設けておらず、国レベルでは開示されない。これに対し、独自に個人情報保護条例を制定している県や市町村は「自己情報」に当たるログの開示請求があった場合、個別に開示、非開示を判断することになる。
これでは開示の意味がない。そもそも地方自治情報センターが全国民のデーターを保管すること自体に問題があるのだが。(Aug10 2002)
自民党 e-Japan重点計画特命委員会が8月2日に政府に提出した「電子政府に関する申入れ」九・一に以下の条がある。
(一)文字コードの開発に当たっては、公文書で使用する文字や文化財に使用されている文字が処理可能な文字コードを目指し、既成のコードを検証して、利用可能なものは最大限利用すること。
申しいれにこの項目を盛りこんだといわれる議員が念頭においている「既成のコード」はユニコードではなく、漢字システムとして破綻している国産文字コードのようである。文字コードに関する知識をもっている人間はきわめて限られており、コンピュータの専門家でも初歩的な勘違いをしている例をよくみかける(だから、ここまで混乱したのだ)。今回も妙な案でぐじゃぐじゃになっていくというお決まりのパターンにおちいるのだろう。(Aug10 2002)
委員会では価値判断の含まれかねない「異体字」という語を避け、「異形字」と呼んだが、本稿では一般になじみのある「異体字」で通すことにする。
わたしが出席するようになったのは、異体字は付加情報であらわすということで決着した後だったが、あるオブザーバーは異体字はやはり独立の符号位置であらわすべきではないか、枝番であらわすのは符号位置であらわすことと同じではないかと執拗に抵抗していた。
「住基ネット明朝」のはいっていないパソコンで住基ネットのデータを読みこんだ場合、数パーセントの住民票で一部の文字が化けると思われる。名簿業者にはこの程度でも十分商品価値があるが、公文書には使えない。
「住基ネット明朝」は単なるフォントであるから、いつ闇マーケットに流出してもおかしくない。名簿業者の常備品になるだろう。
「残存外字」を含んだ住民票がどの程度あるかはわからないが(総務省もつかんでいないようだ)、1パーセントをかなり下回ると思われる。