■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
     ╋BizTech Special【電子自治体】メール╋ 第8号 2003/1/30
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

 ┏━━━━━━━━━━━━━━━━  目 次  ━━━━━━━━━━━━━━┓
    【1】「本格的に動き始めた電子自治体」ウェブ新着ダイジェスト
                ── コラム・ICチップと電子自治体 第3回
                ── 事例・福島県喜多方市 すべての基幹業務システムを
                     アウトソーシング ほか
    【2】電子自治体NEWSピックアップ
    【3】ニュース解説:安延申の「注目NEWSのツボはココ」
                     ── 米MS、政府機関向けにWindowsソース・コード開示
    【4】KEYWORD解説:「バイオメトリクス認証(生体認証)」
    【5】コラム:橋本典明のIT化ってどういうコト?
                         ──住基ネットとセキュリティ(1)
    【6】注目のセミナー&イベント
    【7】編集後記
 ┗━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┛

        ■━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
     ┃【1】「本格的に動き始めた電子自治体」新着ダイジェスト   ┃
        ■━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 ●コラム・ICチップと電子自治体 第3回(森山和道) 1月27日公開
 ─────────────────────────────────────

■第3回 交通系ICカードの未来(後編)

 前回はJR東日本の「Suica」を中心に交通系ICカードの概要を、さらに香港の「オ
クトパスカード」を例に交通系カードの観光資源化について解説した。今回はさら
にその先の可能性、つまり、クレジット機能とSuicaなど交通系バリュー(電子マネ
ー)との融合について考えたい。ポストペイ(後払い)ができるようになることで、
さらに交通系カードの可能性は広まるはずだ。 

 その話に移る前に、まずは今回も、Suicaを例に話を進めていこう。最近Suicaを購
入した人のカードの裏には、「このカードはSuicaマークのある店舗等でもご利用い
ただけます」と書かれているはずである。JR東日本が今後、駅内キャッシュレスに乗
り出す意欲を大いに持っていることの現れだ(そのためには券面表示が必要なのであ
る)。つまり、Suicaも、今後は単なる交通カードではなく、オクトパスカードのよ
うにキヨスクや自販機での使用を想定した駅内キャッシュレスなどの機能を持つよう
になり、多用途化していくと考えられるのである。 

 また、将来的には駅内だけではなく、駅ビルへもサービスが広がっていく可能性は
十分にある(ただし日本の場合は、通称「プリカ法」と呼ばれる法律があり、今のと
ころ交通切符を物品販売にそのまま使うことはできない)。それ以前に、JRグループ
によるバスなどにもSuicaで乗れるという時代が来る可能性が高いだろう。 

 こうした機能が現実のものとなれば、交通系&ショッピングの電子マネーが自動的
に出来上がることになる。さらに、駅ビルから範囲を広げて、駅前商店街、駅近辺の
店舗などでもSuicaが使えるようになったらどうだろう。これまで全く成功してない
電子マネーが、いきなり普及してしまうのだ。これはかなり面白い可能性である。 

 >さらに詳しくはこちらをクリック
   http://premium.nikkeibp.co.jp/biz/e-gov/column6_3a.shtml

 ─────────────────────────────────────
 ●事例・全基幹業務システムをアウトソーシング(福島県喜多方市) 1月20日公開
 ─────────────────────────────────────

 「住民登録、税務処理といった基幹業務に関するサーバーは、平成16年(2004年)
度で庁内に1台もなくなります」── 福島県喜多方市総務部総務課 情報管理係長の
若菜金一郎氏は言う。喜多方市では、これまでメインフレーム上に独自開発したアプ
リケーションで基幹業務システム構築、運用してきた。このすべてを2001年度から
2004年度の間に、市内のIDC(インターネット・データセンター)のサーバーに移
し、システム運営・保守業務をアウトソーシングする。庁内にはクライアント端末し
か必要なくなる。これによって喜多方市では、コスト削減や職員の効果的な再配置、
今後の電子自治体推進のための拡張性を確保するといった効果を見込んでいる。 

 実際の移行作業は、2001年度に再改正があった国保税(国民健康保険税)のシステ
ムについて、まずスタートさせた。その後、住民登録、国民年金、国民健康保険、各
種税金関係などの業務システムのほか、住基ネット(住民基本台帳ネットワークシス
テム)のシステムやLGWAN(総合行政ネットワーク)用サーバーなどの主要システム
についても、IDCへの移管を既に完了。残すは住民健康管理業務と財務会計業務のみ
という。2003年度には住民健康管理業務を、2003年度から2004年度にかけて財務会計
業務のシステムも移管を終える予定だ。 

 >詳しくはこちらをクリック
    http://premium.nikkeibp.co.jp/biz/e-gov/case23a.shtml



         ■━━━━━━━━━━━━━━━━━■
         ┃ 【2】電子自治体NEWSピックアップ  ┃
         ■━━━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 ●主な電子自治体関連ニュース(2003.1.14-1.26)
 ─────────────────────────────────────
 ○大塚商会とマイクロソフトが電子自治体市場で協業体制を強化
                 (大塚商会、マイクロソフト、2003/1/22)
 http://www.otsuka-shokai.co.jp/company/release/news1503.htm
─────────────────────────────────────
 ○NTT東日本、公共工事の電子入札用セット・サービス(BizTech 、2003/1/20)
 http://biztech.nikkeibp.co.jp/wcs/leaf/CID/onair/biztech/comm/226878
 ─────────────────────────────────────
 ○電子自治体をオープンソースで狙う連合軍 市町村合併用パッケージを開発へ
                                                    (ITPro、2003/1/20)
 http://itpro.nikkeibp.co.jp/free/WAT/ITARTICLE/20030117/1/
 ─────────────────────────────────────
 ○ITビジネスモデル地区の募集(総務省、2003/1/16)
 http://www.soumu.go.jp/s-news/2003/030116_2.html
 ─────────────────────────────────────
 >そのほかのニュースはこちらをクリック
   http://premium.nikkeibp.co.jp/e-gov/news.shtml


        ■━━━━━━━━━━━━━━━━━━━■
        ┃【3】安延申の「注目NEWSのツボはココ」 ┃
        ■━━━━━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 ●米MS、政府機関向けにWindowsソース・コード開示(BizTech、1月16日)
 http://biztech.nikkeibp.co.jp/wcs/leaf/CID/onair/biztech/prom/226215
 ─────────────────────────────────────
【ニュースの概要】

 米Microsoft社は、米国時間1月14日に、世界各国の政府機関に向けたソース・コ
ード公開プログラム「Government Security Program(GSP)」を発表した。

 ─────────────────────────────────────
【このニュースのツボ】

 今回のGSP公開に先だって、日本でもパートナー企業にWindows OSのソースコード
を公開するシェアド・ソース・プログラムを政府・自治体向けにも積極的に展開して
いくという方針が昨年11月27日に発表されている。GSP公開という方針自体はそれほ
ど目新しいものではない。

 こうした動きの背景には、世界各国で行政機関が政府調達などにおいてオープンソ
ース・ソフトウエアを積極的に検討していこうという傾向が存在することは間違いな
い。

 ※参考サイト

 ○電子政府・電子自治体システムにおける「オープンソースソフトウェアの推進」に
 対してのマイクロソフトの方針と見解について
 http://premium.nikkeibp.co.jp/biz/e-gov/sp1212a.shtml

 ○三菱総合研究所「オープンソースと政府」
 http://oss.mri.co.jp/

 ただ、オープンソース・ソフトウエアであればセキュリティが高いとみなすような
風潮は危険であると言わざるを得ない。確かにセキュリティの専門的な技術者にとっ
ては、万が一のシステムトラブルやアタックに際して、ソフトウエアのソース・コー
ドまで分かっている方が対処しやすいという面もあろうし、また、そもそもOSそのも
ののバグやセキュリティ・ホールを見つけやすいという面もあろう。

 しかし、世界中の専門家が鵜の目鷹の目で注目しているLinuxのカーネルのような
コアな技術を別にすれば、全てのオープンソース・ソフトウエアに万全の監視の目が
向けられている訳ではない。また、仮にバグやセキュリティ・ホールが見つかったか
らと言って、これを修復するのも誰にでもできるというものでもない。その意味で
は、特定の製造業者が製品に責任を持っているソフトウエアの方が一般的には安心で
きるとも言えるのである。

 日本の公共機関においては、そもそもシステムのパッチあてすら満足になされてい
ないようなケースも少なくないと言われており、こんなところにオープンソース・ソ
フトウエアが使用されるというのは「危険きわまりない事態」であるとも言えるので
ある。

 実際、地方自治体のシステム調達において、すでにオープンソースを条件に加える
ようなケースも登場しているが、これらの中には、あまり意味無く「オープンソー
ス」という言葉を使っているのではないかと思われるケースも少なくない。単に調達
時点だけでなく、運用面でのセキュリティ維持をも考えて十分な検討がなされた上
で、本当の意味でのセキュリティ確保が行われるようなシステム調達が行われること
を期待したい。

      ─────────────
      安延 申(やすのべ・しん)
      ─────────────
      通商産業省(現 経済産業省)に勤務後、コンサルティング会社ヤス・
      クリエイトを興す。現在はウッドランド取締役、スタンフォード日本セ
      ンター研究部門所長など、政策支援から経営コンサルティング、IT戦略
            コンサルティングまで幅広い領域で活動する。


   ■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
   ┃【4】e-Govキーワード解説 バイオメトリクス認証(生体認証)  ┃
   ■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 ●バイオメトリクス認証(生体認証)
 http://premium.nikkeibp.co.jp/biz/e-gov/key017.shtml
 ─────────────────────────────────────

 指紋や声紋、虹彩、指静脈パターンなど、個人に特有の身体的特徴(生体情報)を
読み取って個人認証に利用する技術を総称して「バイオメトリクス認証(生体認
証)」と呼びます。上記の生体情報以外にも、顔の特徴から個人を識別する技術や、
ペンで署名する際の筆圧・筆速などの特徴を利用する技術などもあります。
 
 従来、コンピュータを利用する際の個人認証には、IDやパスワードをはじめ、磁気
カード、ICカードなどが一般的でした。例えば、2002年8月から稼動した住民基本台
帳ネットワークでも、端末の操作者はICカードで認証を受ける必要があります。しか
し、これらの方法ではパスワードが漏えいしたり、ICカードが盗まれれば、本人に成
りすまされてしまう危険性があります。
 
 バイオメトリクス認証であれば、他人に盗まれにくい生体情報を利用するので、高
いセキュリティを確保することができます。さらに、パスワードのように忘れてしま
う可能性もなく、カードのように持ち歩く必要もないので、利便性も高いといえるで
しょう。 

 現在、最も普及しているバイオメトリクス認証は指紋認証です。以前は指紋データ
を読み取るために必要な測定装置が高価だったり、高速処理・大量記憶装置にかかる
コストも大きかったため、国防関連の施設や研究所など非常に高度なセキュリティを
必要とする分野で一部利用されるだけでした。しかし、ここ1、2年で測定装置が低価
格化したことから、一般にも普及する兆しが見られ、地方自治体でも岐阜県恵那市、
神奈川県川崎市などがサーバーにアクセスする際の本人確認に指紋認証システムを導
入しています。 

■9.11以降、安全性に対するニーズが高まり注目度アップ 

 元々、行政では機密性の高い個人情報を扱うことが多く、セキュリティレベルの高
い認証が求められることに加えて、2001年9月11日の米同時多発テロ以後、公共の安
全に対する意識が高まっていることもバイオメトリクス認証の普及を後押ししてい
ます。 

 米国カリフォルニア州のフレズノ・ヨセミテ空港では、デジタルカメラを設置して
乗客の顔を撮影し、テロリストなどの顔データと照合する顔認識システムを導入して
います。日本の外務省でもパスポートの偽造による不法出入国を防止するため、バイ
オメトリクスを用いた新型パスポートの導入を検討しています。 

 また、京都府宇治市で起こった個人情報の流出事件のように、情報にアクセスでき
る立場にある人間が、情報漏えいに関わるケースも増えています。そのような内部犯
行による情報漏えいを防ぐ意味からも、「操作者を制限」するだけでなく、「操作者
を特定」することが重要になりつつあります。バイオメトリクス認証ならば、パスワ
ードやカードのように貸し借りができないので、確実に操作者を特定でき、内部犯行
に対する抑止力が期待できます。 

 では、数多くあるバイオメトリクス認証の中から、どの方式を選択するのがよいの
でしょうか。選択のポイントは、コストとセキュリティレベルのバランスです。現時
点でコストとセキュリティレベルのバランスが最も優れているのは指紋、指静脈とい
われています。 

 今後、行政のIT利用の進展と並行して、住民のセキュリティに対する意識も高ま
り、より厳密なセキュリティ対策の実施が行政に求められるようになるでしょう。そ
のような安全性に対するニーズの高まりを背景に、バイオメトリクス認証の普及はこ
れから本格化するものと考えられます。 

 ただし、「バイオメトリクス認証を導入しさえすれば、絶対に安全である」とは言
い切れません。例えば、グミやシリコンによる作り物の指で指紋認証端末が破られた
という実験があります。他にも、照合するデータベースの方をハッキングして、デー
タを書き換えるという手口もあります。また、IT-Proの取材に応じた経産省情報セキ
ュリティ政策室では、「運用によっては、単なるパスワード認証よりもセキュリテ
ィ・レベルが下がる恐れがある」と警鐘を鳴らしています。
                           日立総合計画研究所・編

 >「e-Govキーワード」バックナンバーはこちらをクリック
    http://premium.nikkeibp.co.jp/biz/e-gov/keyword.shtml


       ■━━━━━━━━━━━━━━━━━━━━━━━■
       ┃【5】コラム:橋本典明のIT化ってどういうコト? ┃
       ■━━━━━━━━━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 第八回 住基ネットとセキュリティ(1)
 ─────────────────────────────────────

 これまで5回にわたり、ネットワーク・セキュリティについて、さまざまな観点か
ら考えてきたが、今回はより具体的な事例を取り上げたい。まずはこのところ、いろ
いろと取り沙汰されている“住民基本台帳ネットワーク”(以下、住基ネット)であ
る。

 ────────────────────
 極めて高い専用回線のセキュリティレベル
 ────────────────────
 住基ネット運用に対して「ネット上の個人情報が外部からの不正アクセスによって
漏洩する危険がある」と、技術的な理由で反対する人たちがいる。しかし、はっきり
言って私には、いわゆるIT不況の中、セキュリティ関連事業者たちが仕事欲しさに、
セキュリティ関連の知識に乏しい人たちを焚き付けて「危ないゾ、危ないゾ」などと
騒ぎ立てさせているに過ぎないと思えて仕方がない。総務省が発表している住基ネッ
トの設計仕様を見る限り、同ネットを構成する国や自治体などの各サーバはどれも専
用回線で結ばれていて、どこも外部ネットワークと接続されていないからである。

 とはいえ、いくら専用回線を使っているとは言っても、実質的には通信事業者の回
線の一部を専有しているに過ぎず、「時間と手間さえ惜しまなければ、外部から住基
ネットに不正侵入できる」と主張する人たちがいる。確かにこれは、理屈としては間
違ってはいない。

 しかしである。だからと言って「専用回線の利用は危険だから、運用は中止すべき
である」と結論づけてしまえば、住基ネットばかりでなく、これまでずっと運用され
ている銀行ATM等々、あらゆる商用ネットワークが使えないことになってしまう。加
えて、そもそも専用回線の回線自体のセキュリティの確保は運用者側ではなく、回線
を保有・提供している通信事業者側にその責任があるというのが大原則。それを忘れ
てセキュリティ関連事業者の口車に乗り、過剰なセキュリティ・システムの導入に税
金を無駄に注ぎ込むという愚行は、くれぐれも慎んでもらいたい。

 ────────────────
 ネットワークの脆弱性
 ────────────────
 だが技術面で問題がないからといって、それが直ちに「住基ネットは安全である」
と結論づけるのも間違いだ。これまで何度も繰り返してきたが、ネットワークの脆弱
性は、そのネットワーク・システムの構築・運用に携わる人間の(広義の)ヒューマ
ン・エラーによって露呈するのがほとんどだからである。

 では、「ネットワーク・システムの構築・運用に携わる人間」とは誰か? 具体的
にはシステム構築時などに関わりが生じる外部業者と、組織内部のシステム管理運用
当事者だ。まずは、最も問題を起こしやすい外部事業者が起こした事件について見て
みよう。

 ────────────────
 外部事業者の完璧な管理は不可能
 ────────────────
 政府・自治体がらみの事件で記憶に新しいところでは、昨年末に起こった福島県岩
代町の住基ネットデータ盗難事件がある。この事件は、運用委託事業者のエフコム
が、搬送時にデータを格納したメディアを盗まれたというもの。担当者がメディアを
自動車内に置いたまま席からから離れた隙を狙われたもので、ごく初歩的な管理ミス
だ。その後幸いにも、個人情報の入ったメディアはデータ内容を見られていない状態
で発見されたが、犯人は現時点で逮捕されていない。

 昨年6月には、防衛庁の内部ネットワークに関するデータが、受注した富士通の下
請けエンジニアによって流出するという事件が世間を大きく騒がせた(現在公判中。
報道によると被告は「富士通や防衛庁に対する交渉(恐喝)が不調に終わったため、
富士通に対する社会的な信用を傷つけることが目的だった」と供述)。また4年前の
99年5月には、京都府宇治市の約22万人分の乳幼児検診システム用住民データが、同
じくシステム開発に関わった下請け会社のエンジニアによって持ち出され、名簿業者
などに売却されてしまった。

 ちなみに、この種の不法行為、もしくは管理ミスは、当たり前だがどれほどネット
ワーク・システム自体の安全性を高めたところで防ぎようがない。加えてデータ管理
運用者側が盗用自体に気づかず、盗用が発覚するのはそのデータが名簿業者など、別
の第三者に渡った後というケースが多いのも、この種の事件の特徴だ。

 次回は、管理運用当事者に関わる問題について考えたい。

      ────────────────
      橋本 典明(はしもと・のりあき)
      ────────────────

      ジャーナリスト、メディア評論家。(学)東放学園講師、武蔵野美術大
      学特別講師、東京大学大学院社会情報研究所講師、早稲田大学講師、米
      国パンアムサット社技術コンサルタント、ブレークモア法律事務所顧問
      など多方面で活動。旧通産省、郵政省のニューメディア関連委員会委員
      を歴任。


           ■━━━━━━━━━━━━━━━■
           ┃【6】注目のセミナー&イベント ┃
           ■━━━━━━━━━━━━━━━■

 ─────────────────────────────────────
 ●セキュリティマネジメント実践セミナー
   http://www.ecom.jp/ecevent/securitysemi_2002/schedule_2002.htm
 ─────────────────────────────────────
【日程】2003年2月12日(水)
【会場】福岡商工会議所(福岡市)
【主催】電子商取引推進協議会
【概要】企業、地方自治体等における情報システムの構築、維持・管理や運用に関わ
る担当者や、SEなどセキュリティに携わる職種を対象に「情報セキュリティマネジメ
ントとは何で、セキュリティ対策をどう組み立てればいいのか」「セキュリティ要員
の育成のポイント」などを解説。

 ─────────────────────────────────────
 ●電子署名・認証 普及啓発セミナー
   http://www.procom-i.co.jp/jqasignature/#outline
 ─────────────────────────────────────
【日程】2003年2月 3日(月)東京会場
       2月12日(水)名古屋会場
       2月13日(木)大阪会場
       2月17日(月)福岡会場
【会場】東京  飯野ビル7階 イイノホール
    名古屋 名古屋ソフトウェアセンター
    大阪  大阪合同庁舎1号館第一別館2階
    福岡  九州ビル9階 大ホール
【主催】電子署名・認証調査センター(日本品質保証機構)
【概要】インターネット上で安全に情報交換を行うための有効な手段である電子署名・
認証について、総務省・経済産業省・法務省などの担当者による講演のほか、電子署
名・認証業務の運用とセキュリティについての解説も。


 >そのほかのイベント・セミナー情報はこちらをクリック
   http://premium.nikkeibp.co.jp/biz/e-gov/event01.shtml


              ■━━━━━━━■
              ┃【7】編集後記 ┃
              ■━━━━━━━■

◆先週末には世界的な規模でワーム「SQL Slammer」による接続障害が引き起こされ
ました。日本では大きな混乱はなかった模様ですが、実に腹立たしい「人為的な被
害」です。今号の「e-Govキーワード解説」では『バイオメトリクス認証』を取りあ
げていますし、橋本典明氏のコラムでもセキュリティの問題が詳しく論考されていま
す 。インターネットが身近になればなるほど、セキュリティについてしっかり考え
ていかなければならないというのも皮肉なものです。悲しい話ですが「インターネッ
トは危険と隣り合わせ」ということを頭のどこかに留めておく必要があるのだと思い
ます。(山田)

◆昨日、幕張メッセで開催中の「活力自治体フェア2003」に行ってきました(1月31
日まで)。展示会では、セキュリティポリシー策定のコンサルティングなど、セキュ
リティ関係の出展が目立っていました。IT調達にテーマを絞ってのセミナーも興味深
かったです。その日は、展示会場で岐阜県の佐々木浩参与にインタビュー取材をして
きました。佐々木氏はいわゆるCIO(Chief Information Officer)の役割を担ってい
ます。お話を聞けば聞くほど自治体におけるCIOの必要性を感じました。インタビュ
ーは近日中にウェブで公開します。(黒田)

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■

◆このメールは等幅フォントでご覧いただくことを推奨いたします。
◆内容・記事に対するお問い合わせや、ご意見、ご感想、ご希望等は
  http://itpro.nikkeibp.co.jp/ask_pass/ へ
◆登録内容の変更や配信停止は http://passport.nikkeibp.co.jp/bizmail/
 をご参照下さい。なお、変更・追加等の際には、登録時にご指定いただいたユーザ
 ーIDとパスワードが必要です。ユーザーIDとパスワードが分からない場合は、
  https://passport.nikkeibp.co.jp/bizpwd/search_pass/index.html でお調べ下さ
 い。その他不明な点は Mailto:ngtsc2@nikkeibp.co.jp までお問い合わせ下さい。
◆広告掲載のお問い合わせは
  http://adweb.nikkeibp.co.jp/adweb/web.html へ
◆著作権は日経BP社もしくは情報提供者に帰属します。掲載記事を許可なく転載す
 ることを禁じます。配信されたメールを第三者に転送したり、ウェブサイトにアッ
 プするなど、メールの再配信はお断りします。
◆日経BPガバメントテクノロジー・メール バックナンバー
  http://itpro.nikkeibp.co.jp/govtech/bn/bnsearch.jsp?BID=1129&OFFSET=0&MAXCNT=15

■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■
Copyright(C)、日経BP社、2003  掲載記事の無断転載を禁じます。
〒102−8622  東京都千代田区平河町2-7-6
■━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━■