- - PR -
住基ネットについて
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2002-08-22 15:05
住基ネットがいろいろと騒がれています。情報が漏洩しないか
という所で問題とされているのは、システムの堅牢性(外部から クラッキングされないかどうか)ばかりです。 これって、システムのセキュリティという面に関して言えば片 手落ちだと思うのですが、みなさんはいかがお考えでしょうか? いくらシステムを堅牢に作ったところで、実際に操作するオペレ ータが情報を外部に漏らすような人間なら、情報が漏れるのを防 ぐ事は出来ません。 新聞などの報道を見ても、オペレータに対してどのような教育 がされているかとか、内部の人間が情報を漏らすことがないよう にどのような対策がされているかとかは全く報じられていないよ うに思います。このあたりを記事にしていただくと面白いと思う のですが、いかがでしょうか。私の予想としては、内部の人間に 対する情報の漏洩対策は全くなされていないと思っています。 | ||||
|
投稿日時: 2002-08-22 20:20
行政の説明も足りなければ、マスコミのツッコミどころもずれている 感じがしますよね。「個人情報保護法案」をマスコミがゴネて 遅らせたというのが住基ネットでの足かせになっていると思います。 「いかにして個人情報を盗み見るか」がマスコミの仕事なら、「盗み 見たときの罰則」が既定されるのはまずいんでしょうね。 どんな道具でもちょっとは「性善説」に基づいているところはあるので 「罰則」がいちばん欲しいものですよね。 ちなみに、探してみると、このレベルの法律はありました [住民基本台帳法] http://law.e-gov.go.jp/htmldata/S42/S42HO081.html 住基ネット以前に住民票の扱いについてはルールがあります。 中の人間が秘密を漏らした場合の罰則もあります。 個人情報保護法案は国会では通りませんでしたが、条例になっている ところもあります。 [市川市個人情報保護条例] http://www.city.ichikawa.chiba.jp/net/siminsei/siminka/jnet_h.htm | ||||
|
投稿日時: 2002-08-23 09:37
あと、システムのハードウェアとしてはよくても、運用が
杜撰で情報が漏洩することが日本では良くあると聞きます。 例えば、完全な専用線ネットワークで作られたデータベー スシステムなので、外部からクラッキングされて情報が漏洩 する事は無いシステムで、端末の管理が杜撰で、外部の人間 が堂々と端末を操作して情報を盗んでいくような事が結構有 ると聞いたことがあります。 http://www.atmarkit.co.jp/fsecurity/survey/survey04/survey01.html 上記の記事にあるような、情報セキュリティポリシーを各 自治体が策定しているのかどうか、もし策定しているのなら その内容を知りたいと思います。 ただ、私自身は住基ネットに反対という訳ではありません。 | ||||
|
投稿日時: 2002-09-12 02:57
かちのち です。 takubon さん、住民基本台帳法のご紹介ありがとうございます。 以前から、気になっていたので読ませていただきました。 ●なぜ三層構造なのか 前から疑問だったのですが、本来「住民基本台帳」に関わらないはずの「都道府県」が、なぜ住基ネットに加わっているのか。セキュリティ上は、情報の蓄積場所が多いほど漏洩の危険が増えますから、本来必要ない「都道府県」にデータベースを置くのは疑問なんです。法律上は、第三十条の七と十が根拠になっているようです。 市町村のネットをいきなり地方自治情報センタに接続するのは、ネットの構造が複雑化するので、管理階梯を設けて都道府県レベルで絞るのは分かるのですが、その場合「ネットの管理」が主目的なので、本来データベースを持つ必要はないはずです。これを『本人確認情報の市町村への提供』として規定して、分散処理させています。地方自治情報センタに直接問い合わせさせても良いと思うのですが、なぜこうなったか? 一方、「市町村と地方自治情報センタ間の接続の維持管理」については、規定が見当たらない。 どうやら、もともと三階層構造を前提に組み立てられた構造のようですね。その前提が良いかどうか、やや疑問です。 所詮、都道府県を越える範囲の問い合わせは地方自治情報センタに渡さざるを得ないのですから、個人的には、都道府県は一ユーザー機関として参加させ、管理業務としては「ネットの管理」に特化させた方が良かったような気がします。都道府県からは文句が出るでしょうが…。 ●アウトソーシング対応に問題ありか? これも、興味があったところです。 アウトソーシングは、運用とシステム構築などの技術サポートの二つがあります。第四十二条から第五十二条までの罰則のうち、運用以外の技術サポートが該当するのは第五十条だけの様です。しかも「偽りその他不正の手段により…閲覧し…交付を受けた者」とあります。takubon さんの 指摘の様に「外部の人間が堂々と端末を操作」のようなケースは「交付を受けた」分けではありませんから、該当しないものと思われます。また、メンテナンスの時に、情報を入手した様な場合も該当しないと思われます。 いずれも、「住民基本台帳法」以外で処罰されるのでしょうが、このあたりが「個人情報保護法」の守備範囲になるのでしょうね。 私自身も住基ネットに反対と言うわけではありません。とりあえず、こんなところから始まるのかなぁ、と思います。 | ||||
|
投稿日時: 2002-09-12 16:53
これって、結局お金をもらうためだけのシステムの気がしますが・・・。
だいたい、担当大臣がセキュリティには問題ないって言い切れるところが既におかしい・・・。 情報の漏洩は内部犯行が7割を超えているのに外の話しかしないし・・・。 関係ないところにDBを持たすのも、金がらみだよなぁ・・・。 わたしは、個人情報漏洩なんてどうでもいいです。だって、既に氏名と生年月日がわかれば、その人の収入から何まで調べることができる世の中なのだから、いまさらそんなのがふえたところで、関係ないし・・・。 | ||||
|
投稿日時: 2002-09-12 18:04
フツーに考えると、 ○負荷分散のため ・全国で1DBに問い合わせると1億ウン千万件対象の処理 ・都道府県ごとだと、東京都でも1千数百万件対象の処理 ○リスク分散のため ・全国で1DBだと、その1つがコケたら全滅 ・都道府県ごとだと、1つコケても他はそれなりに動く …ってなところでしょうか? もっと深い理由があるのかも知れませんが…。 例えば、同一都道府県内から住民情報を参照するケースが 業務上発生するが、他都道府県からの参照は少ないとか? 単なる憶測ばかりですいませんm(_ _)m [ メッセージ編集済み 編集者: TO-R 編集日時 2002-09-12 18:06 ] | ||||
|
投稿日時: 2002-09-12 19:15
| ||||
|
投稿日時: 2002-09-20 18:25
私が住基ネットシステムのことで勘違いしていたことを書かせていただきます。
例えば、都内から鹿児島に転居した人の情報を住基ネットで調べる場合、てっきり 鹿児島のサーバーにアクセスするとか思ってたんですが、全国のデータを持っている センター上のDBにアクセスしてデータを得るそうです。じゃあそのDB上の更新は どうやっているのかと思ったら、数十分間隔で上のレベル(例えば市なら県)のDB を更新するそうです。原理的に言えば、る自治体で届出をして30分以内に他の 自治体で別の届出を行えば、おかしな事になるとのことです。まあ、その切れ目 に併せて数十分以内に2つの自治体で申請を行うのはかなり困難なのですが。 この話しをなんで聞いたかといいますと、あるときふと思ったことがありまして、 自治体のサーバーは、絶対に故障とかで止まることがあるわけですよ。もし 他の自治体から故障しているサーバーの自治体のDBに問い合わせを行っても、 処理できないよなーと思ったからです。自治体のサーバーは、各自治体ごとに システムを作っている業者が違っているはずなので、ひどい場合にはネットワー クが多重化されていないような自治体もあるはずです。停電とかもあるだろうし。 それなのにまじめな分散型DBシステムにしてたら、先程みたいに問い合わせで きない場合が出るだろうなーなんて思ったからでした。 もしかしたら私が知らなかっただけで、みなさんご存知だったりしてね。 だったらごめんなさいね。 m(__)m | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。