週刊ダイヤモンド2003年12月27日・2004年1月3日号
新世紀の風をおこす オピニオン縦横無尽　524

長野県が行った、住民基本台帳ネットワークの安全性に関する調査の結論が、第三者の専門家の分析評価とともに、去る12月16日に発表された。

「総合的にいって、当該場所（調査の行われた町村）のセキュリティレベルは平均以下」「情報は盗まれ、改竄（かいざん）されることに対して危険な状態にある」

こう分析したのはコンピュータのカリスマ、ネオテニー代表の伊藤穰一氏である。氏は総務省の「住民基本台帳ネットワークシステム調査委員会」委員でもある。コンピュータ時代の情報管理に関する米国議会の超党派の幹部会にもたびたび招かれ、助言する立場だ。
長野県の住基ネットシステムへの侵入テストは、インターネットからと地方自治体側からの二通りで行われた。インターネットからの侵入は、2003年夏に世界的に発生したコンピュータウイルス、MSブラスタの対策として最新の安全確保対策が採られていたこともあり、不可能だった。しかし、自治体側からはいとも容易に侵入できた。

実験の行われた下諏訪町では、庁舎外のパソコンから無線LANで既存の住基ネットシステムに侵入した。阿智村では、出入り自由の公民館（コミュニケーションセンター）の、誰でも使えるコンピュータへの接続箇所から庁内LANに接続、コミュニケーションサーバ（CS）と既存住基ネットシステムに侵入し、これをコントロールできた。

ちなみにCSとは、各自治体の保有する住民情報を、住基ネットシステムの要の組織である地方自治情報センターが運用する、全国ネットのサーバに送信するコンピュータである。伊藤氏は、次のように論評した。

「直接に住基ネットシステムに接続するコンピュータであるCSと既存住基サーバは、ともに地方自治体ネットワーク内部にあり、住民のデータベースを保有する。これら両方ともに、調査チームはコントロールを奪うことができた。理論的に、外部者が個人情報を消去したりつくり変えることが可能である」

たとえば、どんなことが起きうるか。ある有権者が選挙人名簿に登載されていないことにして、投票できないようにする。国民年金データを改竄して、転居先でより多くの年金を受け取る。または、介護保険や児童手当てのデータを書き換え、本来受給できる人に受給させない。税金滞納者がそのデータを消去し、新しいデータを持って転出する、などなど…。

調査に応じた自治体はすでに安全対策を施したが、そうした新たな対策なしには、右の事例と正反対のことも、つまり、いかなることもできるわけだ。

さらに深刻な問題は、長野県の調査によって、住基ネットシステムへの侵入が実際に行われたにもかかわらず、24時間体制で監視しているはずの地方自治情報センターは、3日半、侵入された事実に気づかなかったことだ。調査チームが故意にプラグの抜き差しをした段階で、彼らはようやく気がついた。

総務省自治行政局市町村課長の井上源三氏は、2003年8月5日の公開討論会で「市町村のCSやその内側のファイアウォールは、24時間監視している」「市町村設置のファイアウォールも脆弱性はない」などと述べたが、明らかに、監視体制は機能していない。

今回の結果について、総務省は「庁内LANの小さな脆弱性を、ことさら誇大に取り上げた」と、長野県を非難した。が、小さな穴が一つでもあれば、そこから崩れるのがコンピュータネットワークだ。全国には、今回明らかになったようなケースが幾百もあるに違いない。総務省挙げての力説に反して、「セキュリティに関する注意の完全な欠如」「際立って危険な状態」と伊藤氏が結論づけた欠陥が実証された住基ネットは、ただちに見直すべきである。