IT技術者やエンジニアの社会的な責任について考える公益法人であるCPSR(社会的責任を考えるコンピュータ専門家の会)日本支部の年次大会が9月26日に開かれた。CPSR日本支部は 2002年6月に設立されたが、この1年間を通して、住基カードのセキュリティについての問題の解明、通信傍受法にしたがった仮のメールボックスの問題調査、ほかにもインターネットのフィルタリングソフトやサイバー犯罪条約に関する調査など、さまざまな調査や活動を行っている。
2回目にあたる 年次大会では、大々的には報道されていないが非常に重要な情報が多数議論された。スピーカーは山根信二さん、藤本一男さん、崎山伸夫さん、伊藤譲一さん、高間剛典さん。
たとえば、住基ネットの問題では、CPSR/Japan代表の山根さんのWhat's New or What's going onに詳しく書かれているように、住基カードのセキュリティ評価・認証は、設計書レベルで「ISO15408」の基準を満たせばOKということになったそうだ。ということは、実装では基準を満たす必要がないということ?政府側は、住基ネットは住基法にもとづいて自治体が管理するものなので、政府基準を必ずしも満たさなくてもいいと言っているそうだ。
What's New or What's going onから:
「セキュリティ評価・認証」って何ですか?
調達する製品がどの程度のセキュリティ基準を満たしているかを第三者が審査する仕組みです. 住基カードにはISO15408に基づく評価・認証製品を使うことが明記されています. しかし,いざ調達段階になって 「当分の間は、ISO/IEC15408の評価を受け合格した設計書に基づき作成されたカードを用いる」よう変更がありました (住民基本台帳カード調達仕様書(案)および平成15年総務省告示第392号) これは,当分の間,設計書さえ基準を満たしていれば実装については問わないということです. つまり現行の住基カードには,(期間や費用や実装上の理由で) 設計後の開発・実装・テスト段階におけるチェックをパスできなかった製品があることを意味します. 地方自治体が調達した住基カードは ISO15408に基づく評価・認証製品ではありませんし,海外市場では国際基準に達しているとは見なされません.
CPSR/Japan Annual Meetingでご一緒した新井です。
CPSR会員にとっても切り口が多数ありすぎて、この分野はとても混乱させられます。
どこからどう手をつけていいのか、ですね。
新井さんへ
先日はお疲れさまでしたー。そうですね、自分達にできるところから少しずつやっていくしかないですよね。新井さんのblog見たら、インド料理のページとか韓国留学についてとか面白いですね。今度お話聞かせてください。
はい、そのためにも勉強をと思うのですが、主要な本を読むだけでも大変です。
南インド料理と韓国語はさいきんの重要トピックスです。
これももっとまとまった資料を書いているのですが、なかなか時間がありません。
ぜひ今度いろいろ情報交換しましょう。
CPSR年次大会に参加予定でしたが、直前の仕事 :-( によりうかがうことができませんでした。ごめんなさい。
確かに問題山積ですね。一つのことを考えれば別のことも芋づる式に出てくる気がします。政府と技術の乖離は全く仰るとおりで、私のボスも私も頭を抱えながら、どう戦おうか、というところです。どちらも違う論理で動くから(違う視点で利益を見出すから)なんとかその溝を埋めたいですね。
Posted by: ako at October 13, 2003 02:06 PMその通りですね。「政府機関の内部に入って中から変えていくことはできるのか」とCPSR関係者に尋ねてみたら、それは難しいとの答えが返ってきました。どんなに頑張っても内部のシステムに組み込まれてしまい、身動きが取れなくなる可能性が高いとのことでした。
逆に、政府のIT政策に反対するだけのNGOも、影響を与えるのは困難です。そこで、きちんとした調査報告書や提案書を提出し、政府の決定に影響を与えることのできる専門家集団を形成しようというのが、CPSRの役割ということです。
ところで、akoさんのblog面白いですね。Michael Moore監督の「Bowling For Columbine」、ほんと考えさせられます。大学のジャーナリズムクラスでMichael Mooreの作品を学んだことがあるのですが、Bowling~もいいけど「Roger & Me」と「The Big One」もいいですよ。Bowlingよりいいかげんで荒削りなインタビューが楽しいです。とくにThe Big Oneを観ると、サンフランシスコのヒッピーに混じってNike Shoesの不買運動をしたくなります。