大騒ぎされた住基ネットに比べてほとんど注目されないが、もうひとつの行政ネットワークを使ったサービスが、1月29日から始まった。総務省の「公的個人認証サービス」(JPKI)である。これは印鑑証明などの本人確認を「電子署名」によって行い、役所の窓口に行かなくても、自宅のパソコンからパスポートの申請や納税ができるようにするもので、不正アクセスや「なりすまし」などの事故を防ぐため、住基カードで本人確認を行うのが売り物だ。総務省は「世界最高水準のセキュリティだ」と誇っているが、そもそもこのサービスは必要なのだろうか?
民業を締め出す官製認証サービス
まず疑問なのは、このサービスは自宅のパソコンにICカードのリーダーをつけないと使えないことだ。年に1度あるかないかの役所への申請のために、1万円以上するカードリーダーをつける人がいるだろうか。総務省は「セキュリティ確保のためには住基カードが必要だ」というが、セキュリティのきわめて重要なオンライン・バンキングでも、IDとパスワードで本人確認はできる。海外でも、行政手続きはパスワードで認証するのが普通である。
次の疑問は、今でも民間の個人認証サービスがあるのに、なぜ政府が認証サービスを始めるのかということだ。何となく役所への「公的な」手続きには公的個人認証がないといけないような印象を受けるが、すでに経済産業省などでは民間の認証局による電子署名を使った申請を受け付けている。わざわざ新しい「官製認証サービス」を作らなくても、市町村の窓口で民間の電子署名を受け付ければよいのである。
しかも、たとえばベリサインの電子認証カードは1枚9000円なのに、住基カードを使えば500円で3年間有効である。JPKIの電子署名は、民間の経済活動にも使えるので、これだけ価格が違う上に政府保証があると、民間の認証サービスは大きな打撃を受けるだろう。これはIT業界の「官依存」を強めて技術革新を阻害するばかりでなく、認証サービスの「非関税障壁」にもなりかねない。
政府のサービスが民間よりも安くなるのは、コストを税金で補填して過小に見積もり、利用者を過大に想定しているためだ。500円という料金は、住基カードの利用者を3年間で1000万人と想定し、その間のJPKIの運用経費を50億円として算出したものだが、実際には昨年中に発行された住基カードは、半年で80万枚にも満たない。このままではJPKIの業務を行う都道府県センターは大幅な赤字になり、これを所管する特殊法人(自治体衛星通信機構)には赤字を補填するために税金が投入されるだろう。
要するにJPKIは、民間企業のビジネスに政府が税金を使って参入し、市町村の受付業務を独占して民業を締め出すものなのである。いってみれば、オンライン銀行に郵便貯金が一桁高い金利で参入し、自治体への振り込みを独占するようなものだ。実際には、暗号技術を政府がもっているわけではないので、認証サービスの中身は「ITゼネコン」とよばれる一部の企業に丸投げだから、これは個人認証を特殊法人とITゼネコンに独占させる「官製カルテル」である。
過剰なセキュリティ要求が生み出す非効率な電子政府
ところが、電子政府に対する要求として出てくるのは「もっとセキュリティを強化しろ」という声ばかりだ。特に長野県は、住基ネットへの「侵入実験」を行い、その危険性が証明されたという理由でJPKIに参加していない。しかし、この実験は町役場のサーバにアクセスしただけで、住基ネット本体の安全性とは無関係である。その末端(CSサーバ)のファイヤウォール(防護用コンピュータ)を突破できなかったのに、「ファイヤウォールを突破したと想定してサーバに直接つないだら問題が起こった」という。これは「金庫の鍵を開けることはできなかったが、開いたと想定して実験したらカネを盗むことができた」といっているようなものだ。
長野県の田中康夫知事は、いったい住基ネットがどれぐらい安全であればサービスを開始するのだろうか。「絶対安全」が保証されるまで行政のオンライン化はしないとすれば、おそらく永遠にオンライン化はできないだろう。これに対して総務省は「住基ネットは絶対安全だ」と主張するが、問題は公開情報である住所氏名しか入っていない住基ネットよりも、住民税などの情報の入っている既存サーバである。このセキュリティ対策はおそまつで、今回の実験でも容易に侵入できた。
ネットワークに絶対安全はないし、それを求めるべきでもない。問題はリスクをゼロにすることではなく、それをコントロールすることである。特に重要なのは、何%ぐらいのリスクを許容するかという基準を決め、安全対策の効果と費用を比較衡量することだ。望ましいセキュリティの水準は人によって違うので、多様なオプションからユーザーが選択し、そのコストはユーザー自身が負担することが望ましい。ICカードでないと心配だという人もいるだろうが、大部分の国民は普通の電子商取引なみのセキュリティで十分だろう。
ところが日本の電子政府には、そういう「軽いセキュリティ」のオプションがなく、100%安全をめざして無制限にコストが費やされ、重装備で使いにくいシステムに全国民が参加を強制される。JPKIに使われるインフラは、住基ネットとは別の「総合行政ネットワーク」(LGWAN)である。全国の自治体を結ぶネットワークが二重に作られるのは、住基ネットのセキュリティを万全にするためだというが、年間100億円にのぼるLGWANの運用経費は、すべて税金でまかなわれる。コストを無視して絶対安全を求める野党やメディアが、この無駄遣いを助長している。
政府の「e-Japan計画」では、今年度末までに行政手続きの97%をオンライン化するとしているが、オンライン化する前に必要なのは、現在の行政手続きを見直すことだ。たとえばJPKIの目玉であるパスポートの申請業務でも、戸籍謄本は郵送しなければならない。世界中でも日本と韓国にしかない戸籍制度には、差別を助長するとの批判が強く、国連の人権委員会も廃止を勧告している。パスポート申請を電子化する前に、なぜ戸籍謄本の提出を不要にしなかったのか。不合理な行政手続きを丸ごと電子的に固定化する電子政府は、むしろ行政改革に逆行する。
日本人は「公的」ということばに弱いが、サービスが公的に(多くの人に)利用されるからといって、それを公的に(行政が)供給する必要はない。個人認証は私的サービスであり、生活必需品でもないので、自己負担によって市場で供給することが望ましい。税金を使って民間のビジネスを奪うJPKIは、必要でないばかりか有害だ。政府は「民間にできることは民間にまかせる」という行政改革の原則に立ち返るべきである。
This work is licensed under a Creative Commons License.
