総務省は住基ネットのメリットとして、住民票を居住地以外の自治体窓口からとれるようになる点と、申請書類に住民票を添付する必要がなくなる点をあげている。前者を「広域交付」、後者を「本人確認」機能と呼ぶ。「広域交付」も「本人確認」も国民本人の要請があってはじめておこなわれるはずであって、本人の要請もないのに、行政機関が国民の個人データにアクセスするなどということは絶対に許されてはならない。
ところが、住基ネットには本人の要請もないのに、国民の個人データにアクセスできるような仕組が組みこまれている。「情報検索」と呼ばれる強力な検索機能である。
もちろん、「広域交付」と「本人確認」には、必要最低限の検索機能は必要だが、その場合の検索条件としては、個人情報保護の見地から、完全な氏名・住所・生年月日の三要素を必須とすべきだ。住民票をとる場合も、国家試験を受験する場合も、氏名・住所・生年月日は明記するのだから、それでなんの不都合もないはずである。
ところが、住基ネットの「情報検索」を使うと、曖昧な情報からでも目当ての人間の個人情報にたどりつけるのである。
「情報検索」には四通りの方式があるというが、基本的には氏名+住所か、氏名+生年月日の二要素だけで検索が可能である。氏名は読みだけでよく、しかも前方一致だから、検索式として「*」を書かないものの、ワイルドカードによる検索と同じである。
一応、出てくるデータ数の上限が決まっており、それをこえてヒットした場合は、検索条件を再設定する画面にもどるという。地方自治情報センターにうかがったところ、上限の数はセキュリティ上の秘密ということだったが、例にあげられた数からすると、かなり多そうだという印象を受けた。
たとえば、
小泉純一郎 昭和17年1月8日
で検索すれば、日本中の昭和17年1月8日生まれの小泉純一郎氏全員のデータが出てくるだろう。誕生日さえわかれば、現住所をつきとめることが一瞬でできてしまうのである。
こいずみじゅんいちろう 昭和17年1月8日
ではヒット数が上限を越えそうだが、その場合は、「神奈川県」、もしくは「神奈川県横須賀市」と住所で絞りこめばよい(完全な住所は必要ない)。
これだけでもどうかと思うのだが、「住基ネット問題点」というページによると、あきれかえる機能がついていた。生年月日まで「春・夏・秋・冬」とか、「上旬・中旬・下旬」という曖昧な条件で検索できてしまうというのだ。これが事実なら、とんでもないことである。
昭和17年1月で上限を越えるようなら、
こいずみじゅんいちろう 昭和17年1月上旬
こいずみじゅんいちろう 昭和17年1月中旬
こいずみじゅんいちろう 昭和17年1月下旬
と三回にわければよい。
「片山虎之助」のような珍妙な名前なら、
片山虎之助 昭和10年夏
で十分だろう。現住所がわかってしまえば、
片山 岡山県岡山市富田町2丁目5番地
これで片山虎之助氏の同居家族の住民票がずらずら出てきて、家族構成までわかるという寸法だ(マーケティング担当者が待望するわけである)。
国民本人の要請があった上での「広域交付」、「本人確認」なら、完全な氏名・住所・生年月日がそろっているわけで、こういう機能は必要ないはずである。このような過剰な検索機能は、国民本人の知らないうちに個人情報を取得する目的で用意されたとしか考えられず、国民監視機能と断ぜざるをえない。
第二の問題点は、この過剰な検索機能を実現するために、区市町村に管理責任のある住民の個人データを、県レベル、国レベルのサーバーに送信しなければならなくしてしまったことである。もし、検索条件として完全な住所の入力を必須としていれば、個人データを市町村のサーバーの外に出す必要はないはずだ(注1)。住基ネット不参加を決めた自治体が、準備段階で都県に転送したデータの消去をもとめたにもかかわらず、無視されているが、こういう状況が生まれたのは、過剰な検索機能を実現しようとしたことに一因があろう(注2)。
第三の問題点は、この過剰な検索機能が通常の機能としてついているために、クラッキングの知識のない者(自治体職員・下請作業員・不正侵入者)でも、いとも簡単に目当ての個人データを引きだすことができるようになってしまったことである。
もし、住民票にアクセスするのに完全な氏名・住所・生年月日の三要素が必須なら、クラッキングの知識がない限り、個人データを引きだすことはきわめて困難である。
コンピュータ犯罪の大部分は、たいした知識のない内部の人間の犯行だということは常識である。実際、地方自治情報センターが自治体に配布した手引には「有名人の住所を調べてはいけません
」、「同窓会の名簿を作るのに利用してはいけません
」と書いてあるという。総務省側も、過剰な検索機能の危険性は承知しているわけだが、法律的な予防策はとられていない(後者はともかく、前者は、調べた結果を口外せず、自分の楽しみのために使うだけなら、まったく罰則の対象にならない)。
また、「ハッカー」(正確にはクラッカー)というと、天才的なコンピュータ犯罪者というイメージが一人歩きしているが、そんな天才的犯罪者はごくごく少数で、ほとんどのクラッカーはアンダーグラウンド・サイトでクラッキングの知識を読み齧ったチンピラにすぎない。住基ネットの必要以上に強力な検索機能は、内部犯行やチンピラ・クラッカーの犯行を助長している。
住基ネットは廃止すべきだと思うが、もし、作り直すなら、最低限、以下の条件が必要だと考える。
住基ネットは年金受給者が生存しているかどうかを確認する作業に使うとされている。毎月、全国民のデータを自動的にスキャンするのだろう。
住民票番号だけを検索キーにするなら、全国民のデータを一ヶ所に集中させなければならないが、市町村コード+住民票番号か、氏名+住所+生年月日をキーにし、市町村のサーバーを巡回するようにすれば、住民票データを管理責任のある市町村のサーバーの外に出す必要はない。
なぜ、こんな単純なことがわからなかったのだろうか。ここまで幼稚だと、全国民のデータを中央に吸いあげるために、わざと愚かな解決法をとったのではないかと疑いたくなる。(Aug10 2002)
注6の「個人情報の一元管理」で紹介した四日市事件が報じられて以来、住基ネットの
8月5日付毎日新聞によると、愛知県と三重県は住基ネットのアクセスログを原則開示することにしたという。しかし、
とあるところをみると、この決定で開示されるのは県の管理するサーバーのログにすぎず、国レベル、特に地方自治情報センターの保管するデーターのログは開示されないとみてよいだろう。住基ネットのシステムは、個人のログ情報に関する開示規定を設けておらず、国レベルでは開示されない。これに対し、独自に個人情報保護条例を制定している県や市町村は「自己情報」に当たるログの開示請求があった場合、個別に開示、非開示を判断することになる。
これでは開示の意味がない。そもそも地方自治情報センターが全国民のデーターを保管すること自体に問題があるのだが。(Aug10 2002)