Comments
Description
Transcript
電子政府・電子自治体のプライバシーに関する調査研究 報告書
電子政府・電子自治体のプライバシーに関する調査研究 報告書 248 電子政府・電子自治体のプライバシーに関する調査研究 報告書 「将来の方向性について」 本レポートでは、世界の電子政府化に取り組んでい る国々のプライバシーの状況を調査することで、 2003年初頭でのプライバシーに関わる問題とプライ バシー強化技術の展望をまとめることを試みた。そ れらを元に、今後の日本での電子政府構築での将来 の方向性として有用と考えられるものを、以下にリ ストアップしてみる。 • 現在の電子政府・電子自治体システムへの プライバシー強化技術(PET)の導入 • プライバシー強化技術を取り入れた 次世代電子政府システムの検討 プライバシー強化技術は、情報セキュリティとプラ イバシー情報保護は違うという前提から発展してき ている。プライバシーの保護では、情報提供者が自 分の情報の利用を管理できるということが焦点であ るが、セキュリティーでは、管理の規則を施行する ことに主眼があるからである。 またPETは現在進行形の技術であり、また単一の PETですべてが解決されることはなく、複数の技術 の組み合わせで目的が実現されうることに留意する 必要がある。この中には、匿名化データベース技術 とデジタル・クレデンシャルが技術的に高度である。 またXML化による法律と技術の統合努力と、プライ バシー保護機構を内包するIPv6を使用するネットワ ークの普及が興味深い要素となるであろう。特に IPv6は、世界的に見ても日本が先導するポジション にあることから、日本での応用例は世界的にも貢献 できるものになる可能性をもつと考えられる。 • 第三者によるプライバシー監督機関の設置 - プライバシー・インパクト・アセスメントが 可能な組織の構築 - 事象の法的、技術的解析のできる リソースの確保・教育 ヨーロッパでの例をみればわかるように、プライバ シーに関する法律は70年代に制定されている国々が 多数ある。またアメリカのプライバシー法が制定さ れたのも70年代である。そして、ヨーロッパ、カナ ダでは、プライバシー法の中でプライバシー監督第 三者機関の設置が規定されている。特にカナダのプ ライバシー監督機関は技術的問題の理解と利用に対 して積極的である。これらに比べると、日本のアプ ローチは遅れているという印象が否めないであろう。 法律、技術に精通したプライバシー監督第三者機関 の設置は、電子政府を進める上で必要不可欠である と考えられる。 • アイデンティティ窃盗の被害者への救済機関の設置 - アメリカのFTCの行っている役割を担う機関 近年日本でもアイデンティティ窃盗が増加し始めて いる傾向が見えてきている。2003年に入ってからで も、多数の日本のクレジットカード用プラスティッ ク基材が海外で発見された例が報道された。プライ バシー監督機関に、これらアイデンティティ窃盗被 害者への救済処置も受け持つだけの許容力があれば、 プライバシー被害と対応処置の情報交換機関として 有効に機能するであろう。 • IT企業に対してのPETの国内での 研究開発の奨励と支援 • RAPID、PAMPAS、PISAなど 国際的PET開発プロジェクトへの積極的参加と 情報提供の奨励 • IT企業に対してのILPF、CFP、IAPPなど プライバシー関連国際会議への参加の奨励 • 日本でのプライバシー国際会議の開催による 識者の招聘と情報交換 プライバシー強化技術が現在進行形の技術であるな ら、この流れに参加することは日本の技術企業にと っても世界に対して貢献できることであり、重要な 意義がある。しかし、そのためには世界的な事象の 動きを把握することと、国際会議などの場所での存 在表明が必要である。日本企業の積極的な行動のた めの支援は、政府のできる役割のひとつであると考 えられる。 • 民間企業に対してのプライバシー保護の重要性の さらなる啓蒙 アメリカでの様々な業界自主規制は実際に効果が出 ている例が多い。その理由としては、日本に比べて 訴訟を起こすことが簡単であることと、株式市場に 個人株主が多数参加していることにより企業株価に 「将来の方向性について」 —— 249 電子政府・電子自治体のプライバシーに関する調査研究 報告書 評判が敏感に反映されるため、公開企業は自身の持 つ企業イメージに対して非常にセンシティブである ことである。ところが日本では、訴訟を起こすこと は簡単ではなく、また企業の評判が株価に直接反映 する影響は大きくない。このため業界自主管理が効 果を上げる要因がそろっていない。この点において は、日本では政府によるプライバシー保護の啓蒙が アメリカより重要性を持つと考えられる。 しかし啓蒙には、受け手の企業の必要性に訴える 要素が必要不可欠である。なぜなら、企業は、利益 あるいは損失についての事象にのみ敏感であるため である。営利企業にとって法律の遵守は、どちらか といえば利益・損益の次に置かれていることすらあ りうる。そのような企業メンタリティに食い込んで 行くためには、啓蒙はプライバシー保護の不在によ って起きる企業の経済的リスク要素と、プライバシ ー保護による好意的評価が利益に結びつく要素とを 元にして行うのが効果的であると考えられる。これ らの点は、Lawrence Lessig教授の指摘する、規制 の4つの制限要素「法」「社会規範」「市場」「技術ア ーキテクチャー」に照らしてみることでも理解でき るであろう。 • 電子政府の利用情報の積極的公開と 利用者の要望の取り込み 市民にとって、個人のプライバシー情報を収集・統 合・分析する力を持つ組織は、それが政府機関であ れ企業であれ同様に脅威として感じられる。信頼さ れる電子政府に求められるのは「問い合わせに対し て答える」といった消極的情報公開ではなく、「問わ れる前に知らせていく」といったPR・マーケティン グ的な情報公開であろう。 電子政府を進めていく上で、インターネット上のe コマース企業が1995年当時最初にぶつかった問題を 思い出す必要があるであろう。それは、信頼の構築 には時間がかかるということである。その時期には 人々はクレジットカード番号をウェブサイトに向け て送り出すことに躊躇していた。そのため当時開設 されたeコマースサイトは遅いビジネスの立ち上がり を経験していたのである。実際はこの問題は2000年 以降もなくなったわけではない。一部の人々はカー ド番号をFaxする方を好んでいる例があるからであ る。各国のレポートを見ることによっても、同様の 問題が電子政府にも起きていることが理解できるで あろう。 電子政府がインターネットのeコマース企業から学 べるものはもうひとつある。それは2000年後半から の、いわゆるドットコム・クラッシュの意味である。 250 —— 「将来の方向性について」 これには、建設的な効果があったことを見落として はならない。 この時期のインターネット企業が競っていたのは ビジネスモデルであり、それらに対してベンチャー キャピタルからの資金が流れ込んでいたため急速な 事業の拡大と縮小が起きた。つまりドットコム・ク ラッシュでは質の悪いビジネスモデルがふるい落と されたのであり、言い換えれば生き残れなかった企 業にはまともなビジネスモデルがなかったためサバ イバルは無理であったということである。民間企業 のシステムように、様々なマーケティングを駆使し て構築されたシステムであっても、人々が必要性・ 利便性を見いだせなければ廃れるのである。 さらにそこから視点を変えてみると、電子政府に よって提供されるといわれる様々なメリットは、利 用者のニーズを反映しているのか、はたしてビジネ スモデル的あるいはマーケティング的な分析すらも なされているのか疑問がありうる。市民の立場で必 要性が感じられなければ、電子政府の様々な機能も 利用されないまま終わることにもなりうるであろう。 • 第三者による電子政府の技術仕様監督機関の設置 - 利用者の要望の集約と設計開発への反映 - 新しいテクノロジー導入の際の コスト対効用の分析 電子政府の技術仕様に関しても、第三者による電子 政府の技術仕様監督機関があることが好ましい。現 実的に、ほとんどの電子政府向けハードウェア、ソ フトウェアはIT企業により開発され製品化されて、 かなりの政府機関や地方自治体はそれを購入するだ けの立場に置かれていると思われる。IT企業内には 自社に都合の良い技術や製造工程を採用する傾向が あるのは明らかであり、購入利用者である政府機関 や地方自治体、さらにはエンドユーザーである市 民・住民の要望が反映されるメカニズムは現在のと ころうまく機能していないと思われる。電子政府の 技術仕様監督機関は、これら利用者からの要望を集 めて仕様化してIT企業との連携をとる役割を担うこ とで、企画、設計開発、製品化、利用評価のサイク ルを効率化することができるであろう。 • 電子政府の技術情報の積極的公開 セキュリティを理由として、日本においては電子政 府の様々な技術情報が未公開の状態に置かれている が、情報公開とセキュリティは必ずしも相反する問 題ではない。少なくともコンピューター・セキュリ ティの分野においては、秘密主義の暗号技術やセキ 電子政府・電子自治体のプライバシーに関する調査研究 報告書 ュリティ製品は尊敬を受けることはない。なぜなら、 多数のセキュリティ専門家の目に晒されることによ ってのみ深部にある問題点は発見されうるのであり、 そのような公開レビューを拒むセキュリティ技術に は欠陥があると考えられるからである。このことに ついて、コンピューターセキュリティの分野で尊敬 される1人で、暗号アルゴリズムのBlowfishと Twofishを開発した暗号の大家Bruce Schneierの以 下の言葉は参照するのに値するものである。 • 「Make the security obvious (セキュリティは明白にするべきだ)」 • 「Security is not same as secrecy (セキュリティは秘密と同義ではない)」 • 「Security products have to be secure even if it is public (セキュリティ製品は 公開されていてさえも安全である必要がある)」 記 2003年3月 Gohsuke Takama 「将来の方向性について」 —— 251