20110822 産総研 高木先生 @HiromitsuTakagi の情報セキュリティ、プライバシーに関する興味深いツイート
今朝の朝日新聞、社説の下にある、平編集委員の「記者有論」が、番号制度について。番号が6分野共通であっては連携基盤の意義が台無しだ、という話。 #kokuminid
2011-08-20 06:30:38「番号」をパスワードとして使うということですか? #kokuminID RT @koma2ug オランダでは行政サービス番号(BSN)を提示しないと銀行口座が開設できません。所得も年金も住民票も運転免許も全てBSNで一元管理されています。罹災届等もBSNで管理されるでしょう。
2011-08-21 12:02:22.@ChihiroShiiji さんの「UDIDに依存する人々とたしなめる人々」をお気に入りにしました。 http://t.co/VAIOqJe
2011-08-22 13:54:55@ChihiroShiiji デコレーションや追加をしたいかもしれないので、編集可にしていただくことはできますか?
2011-08-22 14:35:41@ChihiroShiiji デコレーションや追加をしたいかもしれないので、編集可にしていただくことはできますか?
2011-08-22 14:35:41いろいろヤバい。ネタのストックは大量にあるが、ウイルス罪やら番号制度やらが優先で、書いていく時間が足りてない。もうTwitterで先出していくしか。
2011-08-22 14:42:39UDIDやスーパークッキー同等の問題は英語圏でいずれ必ず問題視されて路線変更に至るが、日本の人たちがそれに取り残されてしまって、後で困ったことになることが国家的損失。そうならないよう早め早めに啓蒙していくことが重要であるところ。残念ながら政府の取組みは極めてお粗末で、…
2011-08-22 14:51:45…政府の取組みは極めてお粗末で、セキュリティについては2003年ごろから積極的に取り組まれるようになったが、データプライバシーはそれとは全くの別物とみなされていて、政策課題に一切なっていない。セキュリティ専門家と言われる人々でも、データプライバシーには無関心な人が少なくない。
2011-08-22 14:54:38たとえば、2003年の経産省「情報セキュリティ総合戦略」で策定研究会の構成員をしていた私は、ネタ出しの最後の段階で、当時話題だったRFIDの問題を提案したが、他の構成員からのブーイングがあり、通らなかった。もっとも、私も強くは言わなかったわけで、無理を承知での提案だからだった。
2011-08-22 15:02:02当時、無理と思った背景:(1)RFIDの件は顕在化するのが遠い将来のことだった(2011年でも顕在化していない)。(2)当時顕在化していた唯一の問題はauのサブスクライバーIDで、一社の問題を扱うのはやりにくかった。(3)一般のWebブラウザ方面は英語圏に任せとけばよかった。
2011-08-22 15:05:53日本でももし欧州的なプライバシーコミッショナーがあるか、米国のFTC的機能を公正取引委員会が持っていたら、データプライバシーの問題は政策課題とされやすかったに違いない。データプライバシーとは次元軸の異なる個人情報保護法なるものによって手当済みと、日本政府は誤った立場をとっている。
2011-08-22 15:11:37「日本政府は誤った立場」の論拠は、APEC Privacy Frameworkで提出された日本国のデータプライバシーへの取り組み状況の報告の表に現れている。憲法からプライバシー権が確立していることと、個人情報保護法があることを理由として、ほとんど解決済みのようなことを言ってる。
2011-08-22 15:15:04これは、欧米諸国で期待されているデータプライバシーがどんなものかをはき違えた回答だ。憲法からのプライバシー権云々は、データプライバシーの話ではないし、個人情報保護法の理念は、行政手続法の延長的な「住所氏名保護」であって、プライバシー保護となっていない。
2011-08-22 15:17:312003年の経産省情報セキュリティ総合戦略を改めて見てみると、プライバシーという単語は出てくるものの、いずれも、情報漏洩対策というセキュリティ施策を進めるにあたり、その目的としてプライバシーが掲げられているにすぎない。ケータイIDやRFID、UDID、スーパークッキーなど、…
2011-08-22 15:23:12…など、データプライバシーを脅かすアーキテクチャ上の欠陥を問題とする記述は、最後の「おわりに」で、「セキュリティとプライバシーの関係」として7行の考察が書かれているだけになっている。その7行は以下の通り。…
2011-08-22 15:26:37…「セキュリティ確保のために公的な基盤を強化すると、結果として公的機関による個人の監視につながるとの懸念や、cookieや電子タグなど利便性が高まる新技術が普及すると、知らない間にプライバシーが損なわれうる場合があるとの懸念が指摘されることがある。暗号等のセキュリティ技術の高度…
2011-08-22 15:27:41…高度化やセキュリティ対策の促進は、本来、各個人の情報の管理可能性を高めるものであり、結果としてプライバシー保護につながるものであるが、今後、こうした、プライバシーとセキュリティ、そして新技術の相関関係について、深化した検討が必要である。」 経産省情報セキュリティ総合戦略p.63
2011-08-22 15:27:44その記述が入っただけででも前進であったが、その後、この総合戦略の指摘通りに「深化した検討」が(経産省で)行われたことはない。担当者が異動するとそこで途切れ、政策の継続性に欠ける。
2011-08-22 15:32:13なお、この情報セキュリティ総合戦略は、脆弱性届出制度創設の根拠となったものであり、そこは成功している。関係者の皆が、脆弱性届出制度にかかり切りで、他に手を広げる余裕はなかったとも言える。
2011-08-22 15:32:54ちなみに、この経産省情報セキュリティ総合戦略(2003年)は、「プライバシー情報保護のあり方に関する検討」として唯一挙げているのが「プライバシーマーク制度の見直し」となっている。「3年以内に実現する項目」となっているが、はたして、見直しは行われたのか。
2011-08-22 15:34:47今年4月のNISCの「サイバー空間の安全性・信頼性向上のための課題等について」では、検討委員を務めたことから、データプライバシーについて検討課題として入れ込むことができた。情報セキュリティだけを任務としたNISCが、そこに言及できたことは(日本としては)画期的。問題は、課題とし…
2011-08-22 15:45:38…問題は、課題として挙げたまではいいものの、これから本当に課題の検討を取り組むのか、ということ。
2011-08-22 15:46:26