声明・申し入れ・意見書など

Winnyウイルスによる

住基ネット関連情報の漏えいに関する
緊急声明

Winnyウイルスによる
住基ネット関連情報の漏えいに関する
緊急声明

2006年4月10日
反住基ネット連絡会

一連のWinnyウィルスによる情報漏洩事件は、日本社会における情報セキュリティの状況が、民間・行政を問わず危機的な状況であることを端的に証明するものだ。これらの報道が続いた中では、住基ネットに接続する自治体でもWinnyウィルス感染とそれによる情報漏洩が起こるこは十分予想できた。そしてそれはやはり、防御されなかった。
今回の北海道斜里町の事件に限らず、「Winnyウイルス」による情報漏洩事件は、組織やシステムの「周縁」部分で起きていることが顕著な特性だ。  たとえば、警察官や自衛隊員、自治体職員などの個人所有のパソコンが、システムの「末端」に接続されたことによって、情報漏洩は引き起こされている。
この特性は私たちに、「住基ネット」の情報セキュリティ上の脆弱性が、「市町村庁内LAN」という「周縁」に集中していることを思い起こさせる。実際、北海道斜里町の情報漏洩事件は、まさに「職員個人が所有するパソコン」が庁内LAN上の業務に使用されたために、「住基ネット」関連情報を漏洩することになった。  そこでは「世界最高水準の安全なファイヤーウォール」や「ネットワークからの分断」といった日本政府の主要な「情報セキュリティ対策」は無力だ。行政上のセキュリティ対策が及んでいない「個人のパソコン」から、「住基ネット」関連情報は確かに漏洩したのだ。
日本政府の「e-Japan戦略」が強引に押し進めてきたトップダウンの「IT導入」政策は、深化する日本の「ネットワーク社会」を深刻な形でゆがめてきた。今回の一連の「Winnyウイルス感染」事件は、このゆがみ──「ネットワーク社会の深化拡大」にみあった「情報セキュリティ水準」が確保されていないという現実を、具体的に「洗い出し」てくれている。
私たちは今回の斜里町の事件および一連の情報漏洩事件をふまえて、行政機関における「情報セキュリティ対策」の基本方針の転換と、「住基ネット」の切断を、日本政府およびすべての自治体に求める。

(1)ボトムアップによる総合的対策の採用

情報セキュリティ対策が及ばない「個人所有のパソコン」が行政の実務に使われた根本的な原因は、自治体を含む行政の現場が必要最低限の予算すら持っていなかったこと、そして日本政府が導入を求めたシステムは、現場実務の効率化(労働時間の減少)にもつながらず、むしろ過剰な負担を現場職員に強いるものだったことに起因している。
日本政府の「IT導入」は、このような現場の状況を無視し「国の都合」だけで計画された、典型的な「トップダウン」の政策である。
 必要数の「パソコン」購入資金すら用意できない財政状況で、実効性を持った自治体職員の「情報リテラシー教育・情報セキュリティ教育」ができるはずはない。そうした教育は、必然的に形式的な「手続き」になることは、たくさんの専門家から指摘され続けてきた。
 厳密に管理されているはずのCSクライアントの「パスワード」が個人のパソコン上に記録され、それが外部漏洩するような危機的状況は、日本政府の「IT導入」政策のまちがいを端的に証明している。
システムの情報セキュリティ水準は、「現場の職員」のモラルと情報リテラシーが支える。私たちは、「現場からのボトムアップ」を基礎とする総合的で実効的な情報セキュリティ対策への早急な転換を、日本政府とすべての自治体に求める。
また、現場の情報セキュリティ水準が実用的なレベルを獲得できていない現在、私たちはすべての自治体に、「住基ネット」など外部のシステムとの接続の中止を求める。

(2)安全なネットワーク環境確保の緊急課題

「ボトムアップ」の情報セキュリティ対策として日本政府が早急に実施できる対策は、京都府警によって2年間凍結されたままのWinnyのバージョンアップ──「より安全なWinnyの配布の自由」を、開発者とその周辺の技術者に保障することだ。
 大多数のWinny利用者は、自発的なバージョンアップに確実に応じるだろう。
 日本社会全体の情報セキュリティ水準の危機的状況は、こうしたボトムアップによる自発的活動を促進する環境整備によってこそ、確実に改善できる。
安部官房長官は「最も確実な対策は、PCでWinnyを使わないこと」だと宣言し「Winny狩り」を「国民」に指令したが、連日の「情報漏洩事件」報道の増加に比例してWinnyユーザーも増加している状況の中で、このような日本政府の「トップダウン」の対策が、何ら実効性を持たないことははっきりしている。
 「Winnyバージョンアップの禁止」は、何ら「著作権保護」につながっていないことも明らかだ。
現在の危機的状況を招いた責任の多くは、2年間「Winnyのセキュリティホール」を放置させた日本政府と京都府警の判断のまちがいにあった。