https://xtech.nikkei.com/it/members/NBY/ITARTICLE/20021004/1/
住基ネット稼働で気になる自治体の個人情報保護対策
さまざまな議論を呼び起こし,延期や中止を求める声もある中で動き出した住民基本台帳ネットワーク・システム。一般的な世論は住基ネットに否定的である。これは住基ネットに接続する各地方自治体のシステムの安全性に対する不安に根差している。
地方自治体のセキュリティを支える二本柱は,個人情報保護条例の制定と,セキュアな防御システムの構築である。このうち,個人情報保護条例の有無は比較的容易に確認できる。問題はシステムの方だ。
こうした中,地方自治体が試行錯誤を重ね,独自にセキュアなシステムを構築し,積極的に情報開示を行っている例がある。京都府の宇治市によるICカードを使った認証システムがそれだ。
系統を分けてICカード認証で制御
保護したい情報を持つ閉鎖系システムと,外部につながるオープン系にネットワークを分け,それぞれに対応したICカードを使った認証と暗号化などで情報漏えいを防ぐ。ICカードがないとどちらにもアクセスできない
宇治市は庁内ネットワークを2系統に分けた。外部への流出を防ぎたい情報は,外につながっていないシステムに集中させる。これを閉鎖系ネットワークと位置付けた。一方,職員のWeb閲覧やメールなど,インターネットに接続するネットワークをオープン系とした。二つのネットワーク系統をICカードで使い分ける。閉鎖系のサーバにアクセスするときは閉鎖系用のICカード,インターネットにアクセスするときにはオープン系のICカードをパソコンに挿して使う。職員のパソコンにはICカードのスロットは一つしかない。このため,常にどちらか一方の系統にしかアクセスできない。いずれの通信も暗号化する。
ICカードにはパケットの暗号化に必要な鍵やパスワードを記録し,それぞれの系統に設けた認証サーバでアクセスを制限する。市役所職員は,職制や業務内容によって一人ずつ権限が設定されている。
宇治市がこうした機構を構築する際に重要視したのが「住民の個人情報が漏えいすることを防ぐ」こと。このため,住民情報が記録されたサーバはすべて閉鎖系に収容した。
2種類あり,インターネットを利用する場合と,内部システムにアクセスする場合で使い分ける。ICカードがないとネットワークにアクセスできない
2系統に分けたのは,ファイアウォールに全幅の信頼を置かなかったためである。閉鎖系を外部から隔離しておけば,攻撃者にオープン系に侵入されても被害を最小限に抑えられる。
ICカードを使ったのは「有資格者だけにネットワーク接続を許可する」(木村氏)のが目的だ。住民情報を閉鎖系に収容したことで,情報漏えいの可能性は庁内LAN経由だけに絞れる。そこで,こうした住民情報にアクセスする必要のある職員を絞り込み,その職員だけに許可する。
問題は住基ネットだ。住基ネットで使用するデータベースは閉鎖系の中にある。ところが,住基ネットの先にある他の地方自治体のシステムについては安全性を担保できない。そこで,住基ネットとの常時接続を避け,宇治市の住民情報の更新だけを全国サーバにバッチ処理するようにした。通常はケーブルを外しておき,数分程度の更新作業中だけ職員が手でつなぐことにした
実際には,ネットワークをセキュアにするだけでは十分でない。宇治市では職員が使うパソコンのフロッピ・ディスク・ドライブやPCカード・スロット,USB経由の記録媒体などをすべて使えないようにしてある。「Windowsのシステムが利用するモジュールを一つずつ検証し,どれを削除すれば何が使用不能になるのかを調べあげた」(木村氏)という。
毎日数分間,データ更新のバッチ処理をするときのみ,職員が手でケーブルをコネクタに挿す。処理が終われば,コネクタから抜くという規則を徹底している
インターネットを通じてFTPサーバなどにアップロードすることも禁じている。これだけではなく,外部に送信するメールは必ず上司にも配信されるよう,メール・サーバに手を加えた。
これらの作業は,基本的に木村氏が所属する情報管理課で行っている。職員に渡すパソコンもすべて情報管理課の職員がセットアップする。「こなし切れない部分は外部に委託するが,その場合でも必ず開発作業は市役所内でやってもらう。その条件で引き受けてくれない場合は,他のベンダを探す」(木村氏)。ベンダから派遣されたスタッフにも職員同様にICカードを発行する
情報流出の事件が教訓に
宇治市が個人情報保護に注力する背景には,1999年5月に発覚したデータ流出事件がある。これは,乳幼児健診システムの開発を委託していたベンダを通じて,宇治市の住民票データが流出し,名簿業者に売られたという事件だ。
