地方自治体DX本格化前夜にLINE社の事案からITセキュリティについて考える

発端は朝日新聞、TV朝日のニュースから始まった。

「LINE」個人情報　中国の子会社から閲覧可能状態に

日本国内のサーバにある個人情報に、中国在住のエンジニアがアクセスできる状態になっていた、という話が記事になった。
この書き方で、十分な注意喚起になったのか・・・と思っていたけど、三人のＩＴ専門家により「地方自治体DX本格化前夜にLINE社の事案からITセキュリティについて考える」というテーマでClubhouse内で議論が行われた。

さて、その議論の話の前に、この時点で出ていたLINE側の情報も紹介しておきます。特に「LINE、ユーザーの個人情報取扱いに関する詳細を発表」の方では、どんなデータがどう扱われているのか記述があるので参考に。

LINE、個人情報管理に説明不備。中国子会社のアクセス問題

LINE、ユーザーの個人情報取り扱いに関する詳細を発表

議論のメンバー

議論は全国自治体の相談役、谷畑元湖南市長の「黄門様クラブ」でした。
いや～、Clubhouse便利ですよね。朝、ニュースになって、夜にはこんなメンバーが集まってしまう・・・さすが黄門様。

Eigo Tanihata

それから、モデレータは「政局ウォッチNOW♡政治アナリスト♡チャオ♡」のチャオさん。全国の選挙事情にも詳しい政治アナリストさん。

政治アナリスト 政局ウォッチNOW

そして、ご意見番である元マイクロソフト社長のＳＡＭさん。

Samさん

そして、今回のお話のメインはこちら・・・

Masanori Kusunoki

Yokomichi

Hideki Sunahara

問題点を整理しよう

現時点での問題
　・日本国内サーバ・情報に、中国から中国人SEがアクセスできる状態
　・また、その情報は暗号化されているが、複合できる状態
今後のことを考える上では・・・
　・日本国内サーバ情報を、国外（というより国家が情報開示請求を
　　したら公開せざるを得ない国家）に移すことの是非

特にポイントになるのは、「中国という政府の指示で情報開示することができる国家」で、日本の個人情報が見える、また日本の個人情報が置かれる、というあたり。

もう少し、ブレイクダウンしてみます。

現状の法整備は全く足りておらず、データへのアクセス、持ち出しの越境規定がないので、現時点では外部（中国）から国内の情報へのアクセスに関しては明確な規定がない。また、情報を外部（中国）に持ち出す場合、「利用者の承諾が必要」と記載はあるが、承諾がどういったレベルのものか、については規定がない。

LINE利用に関する情報

LINEの利用規約

LINE 利用規約

元民主党議員の方でまとめていたLINE利用のマニュアル

自治体の方にも広がり、災害対応や住民サービス提供などの活動に活用する状況が生まれていたようです。

今現時点で日本ができることは？

LINEの規約、提供情報では「中国・ロシアでは利用できない」「データセンターは日本に集約」「 廃棄 暗号化 厳格な アクセス統制 監視と 脆弱性検査 個人情報管理 は日本の法令に従い管理」とは明記。今回の問題は、現時点では外部（中国）からの中国人によるアクセス、と読める。
この辺は技術的、運用面の二面からLINE側に説明してもらう必要があるだろうなあ。ソースコードの公開、及び公開ライセンスの取得が必要だろうな。
それと、これをきっかけに日本の情報をどう守るのか、という観点を多角的に考察して、必要な法整備・規制を進める方向に向かうべきだろうな。

昨今の国・自治体の利用はLINE側から持ち掛けられた面もかなりあるらしいので、ソースコード公開は問題なく進むような気がする。今回の件では、国会招致して話をしたうえで、上記の懸念が問題ない、と一つ一つ確認していく必要があるだろうなあ。

少なからず、中国でアクセスして手に入れたデータが、複合可能な状態にあるのかどうか、といった点は説明してもらう＋検証する必要はあるとは思う。

ただ、そこまで時間をかけてできるのか、また判断できるのか、って問題もある。能力・リソースの問題、それを確保するお金の問題も、現状では残っている。

今後の運用上の話

今回の件に限らず、国や自治体がプロダクト、サービス利用をするシーンはこれからも考えられる。その際には国や自治体が委託・発注する側になるわけで、プロダクト・サービスの技術面の理解、それによる行政への効果・影響について理解をして、企画する人や、ソースコードを評価する人が必要になるだろう。

この辺はデジタル庁の話が絡むけど、先日のデジ庁の話では地方のシステムの管理・運用は統合していく方向になっている。その方向が「どのレベル」で実現できるのか、というところで見極め・評価が必要でしょうね。
　※ただ、デジタル庁がなにをやるのか、は期待しすぎないこと大事

本日閣議決定された『デジタル・ガバメント実行計画』を”クラウドのレンズ”で読み解く | Amazon Web Services

ただ、こういった構想だけでなく、継続的に回していく運用をどう設計する文化の造成が難しいが、現在の官僚組織での実現はかなり難しいように見える。きちんと積み上げてひとつひとつすすめるしかないけど、そこに期待しすぎて仕事を積み上げすぎるとカルチャー造成の前に失敗するんじゃないか、とも思う。

過剰な期待値をかけすぎず、システム、エンジニアリングの問題ではない部分もあるってことを理解して、その上での時間軸で見て行く必要があるんだろうな、と。「デジタル・ガバメント実行計画」をみると、政府が運用する基盤の上に、どれだけ持ってきて、それがモデルケースになって・・・といった展開が必要になるでしょうね。

運用面で言えば、今回の文春砲のように砲撃されると一気に官僚組織が動かなくなってしまう。開発や運用は、そんなことは許されない。
そういった面でも、サービスを継続的に提供する文化自体をまず作らないと難しい面がある。

一方でこういった話にきづいて問題点を明確にして提起できるメディア人材も必要で、今回のニュースのようにどういう問題なのか、つかみづらい記事になっても困るし、逆に余計な危機感をあおるだけの記事になっても困る。
国益にも関することなのだから、正しい問題認識と、想定される影響について公開できるリテラシーも必要になると思うのよね。

これはちょっと脱線だけど、ITにかかわらず、全ての領域で「学問」と「実践」を切り分けて、相互に情報を交換するサイクルって作ったほうがいいのよね。
自治体でも住民サービス提供などで活動はしているので、一体になると言うか、それぞれの立場を理解して、情報交換をしていく運用設計が必要じゃないかな。