総務省:地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」に対するパブリックコメントの募集
地方公共団体におけるASP・SaaS導入活用ガイドライン(案)がとりまとめられ,これについてのパブリックコメントの募集が開始されている。意見募集期間は,2010年2月20日から3月21日までとのこと。
「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」に対する意見募集
総務省: 2010年2月19日
http://www.soumu.go.jp/menu_news/s-news/02gyosei07_000021.html
[関連サイト]
総務省 パブコメ 「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2010/02/aspsaas-da5a.html
このガイドラインそれ自体としては,よくまとまっていると思う。
しかし,適法性確保という点では致命的な欠陥がある。この欠陥は,現時点での基本的枠組みを維持しようとする限り,解決方法のない欠陥だ。
地方自治体は,日本国憲法に基づく一定の自治権があり,条例制定権がある。その条例によって各地方自治体の個人情報の保護や情報セキュリティの確保が図られている。そして,それは自治体によって区々になっているのだが,国(総務省)が地方自治体の条例制定権に口をはさむことはあからさまな憲法違反行為となる。それが良いことであるのかどうかは別として,日本国の国家体制は,日本国憲法によってこのように定められているのだから,そのような国家体制を変更するためには,日本国憲法の改正を要する。
ところで,複数の地方自治体が共通の外部リソースであるASPやSaaSを共用するとした場合において,当該自治体のセキュリティポリシーが異なっている場合には,当該ASPやSaaSの中においてポリシーのコンフリクトが発生し得る。この場合,当該ASPやSaaSは地方自治体から委託を受けて業務処理をするという従属的な立場にあるので,当該ASPやSaaSが自分でもっているセキュリティポリシーは地方自治体のセキュリティポリシーよりも劣後させなければならない。そうでなければ,委託者である地方自治体が当該ASPやSaaSに対して情報セキュリティ上の統制を有しているということにはならない。このことから,国家主権上の障害により地方自治体の統制を及ぼすことのできない外国のASPやSaaSに対して業務委託をすることは許されないという結論が導き出される。それと同時に,複数の地方自治体のセキュリティポリシーが異なっている場合,当該ASPやSaaSが劣後的な地位しか有してはならない以上,そのセキュリティポリシーを上位のものとして適用することができないことになり,結果的に,セキュリティポリシーの選択不能状態が発生することになる。要するに,事業者としては,どのポリシーを選択すべきかを自らの意思で決定することのできる立場にはないので,サービスを提供することができない。この文脈においては,委託者である地方自治体の「統制」を貫徹することが可能かという点が重要なので,「受託者であるASPやSaaSにおいて情報セキュリティが確保されているから大丈夫だ」という主張は,全く意味を持たない。なぜなら,受託者であるASPやSaaSにおいて情報セキュリティが確保されているというためには,受託者であるASPやSaaSのセキュリティポリシーが委託者である地方自治体のセキュリティポリシーよりも優越的であり,受託者としての統制が貫徹できるということを保証すると,地方自治体の統制が貫徹できないというトレードオフの関係が成立しているからだ。この関係を解消することのできる方法は,現時点では存在しない。この世界では,女王であるか奴隷であるかの二者択一しか存在し得ないのだ。そして,複数の女王が共存することはできない。
以上のことから,地方自治体が業務委託することのできるASPやSaaSは,①日本国の主権に服する事業者が提供するサービスであり,かつ,②当該地方自治体の委託業務のみを処理すること(コンフリクトが発生するような委託者からの業務を一切受託しないこと)が保証されており,かつ,③人情報の保護や情報セキュリティの確保に関しては地方自治体のポリシーに完全に服従し,かつ,④システム監査に関しては物理層や人事面を含め地方自治体の完全な監査に服することが適法性確保のための最小限の要件であることになる。簡単に言えば,SaaSやASPなどが当該地方自治体に対して法的にも物理的にも完全に隷属する関係にある場合にのみ,適法性の要件が満たされる。なお,これらの点と関連して,個人情報保護法上のルールの競合問題につき,『個人情報保護条例と自治体の責務』(ぎょうせい)で私見を述べたことがあるが反響はなかった。誰も問題の本質を理解することができないらしい。
ところで,現実問題として,このような要件を満たすことのできる事業者は存在し得るだろうか?
存在するはずがない。
それでは,そもそもパブリッククラウドというビジネスモデルそれ自体が成立しない。
しかし,事実がそうであるから,存在する以上は適法として扱うということはできない。事実としてヤクザやマフィアは存在するし,社会において事実上の支配を有している部分がかなりある。しかし,事実がそうであるからといって,それだけのことで彼らが適法な存在とされることなどあり得ない。このことは,非常に有名な企業が提供するサービスであっても全く同じであり,有名な企業が提供するサービスだから自動的に適法になるなどということは絶対にあり得ないことなのだ。「裸の王様」を読み直してほしい。
というわけで,私は,パブリッククラウドというビジネスモデルは,適法性確保という観点からは,最初から成立し得ない違法な存在なのではないかと思うようになってきた。
日本国だけではなく米国を含めどの国においても,政府は,既に数多くの企業が提供してしまっているパブリッククラウドというビジネスをそれ自体として「違法だ」というだけの度胸も知恵もないだろう。だから,今後,どの国においても憲法違反の状態が発生する可能性は極めて高い。どの国の政府も憲法違反の状態の下で提起される訴訟による国家賠償責任を尽くすための資金を今から確保しておくべきだろう。
ちなみに,上記のような意見が採用される可能性はないので,私はパブリックコメントを提供しない。しかし,現在主流となっている情報セキュリティの基本原理(とりわけ「統制」の考え方)を前提とする限り,私が示す見解は極めて正当だ。私的に政府部内の職員の人々と意見交換してみると,ほぼ全員が私の意見に賛成しており,理論的には袋小路だということを理解している(←私は現時点では政府の委員でも何でもないので,守秘義務がない。)。しかし,彼らは,公務員であり,上司の命令に従って働くべき義務を負い,独自の意見を外部に表明することができない。かくして,国は破滅の道へと突き進むことになるのだ。
| 固定リンク
コメント
eisさん こんにちは。
LGWANの運用等についてはご指摘のとおりですし,システム統合を進めることによって,地方自治体のコスト削減をはかることができることもそのとおりだと思います。
しかし,一般論として,現在の日本国憲法が定める地方自治制度を前提にする限り,中央集権的なシステムを地方自治体が共用することは憲法違反になると考えております。
丁寧に調べていただければお分かりになると思いますが,各自治体の個人情報保護条例の内容は一致していません。これは地方自治制度の建前上,むしろ当たり前のことです。国が個人情報保護条例を共通化するように強く指導すれば,そのような指導行為もまた地方自治制度を侵害するものとして憲法違反行為になります。地方自治制度というものは本質的にそういうものだと理解しなければなりません。
そうである以上,地方自治財政がどんなに苦しくても,地方自治体は自前の予算で地方自治を遂行すべきものです。首都圏とそれ以外のところでは歳入上の極端な格差がありますが,それはそれでやむを得ないことであり,歳入に見合った地方自治しかできないのは,必然的な結果に過ぎないと理解しています。歳入を増やすためには,地方自治体の中で独自の産業育成政策を樹立・実行し,成功させるしかありません。
他方,情報セキュリティ上の統制権は,単に情報セキュリティの問題であるというだけではなく,今日のように情報システムを活用した地方行政運営が一般化している環境では,実は地方自治体の独立権それ自体の一つの場面として機能していることを正しく認識すべきだろうと思います。
つまり,情報セキュリティに関する国の統制が地方自治体の統制よりも優越してしまうと,結果的に,地方自治体の独立性を根幹から奪うのと同じ結果を招くことになります。それは憲法違反です。
ところで,LGWAN等ですが,情報セキュリティの基本原則からすれば,地方自治体がそのリソースに大きく依存することは,地方自治体の統制を国の統制に劣後させる結果を招くという意味で,違法(違憲)になるのではないかと考えています。
では,これらの問題を解決する方法がないのかというと全くないわけではありません。
まず,地方自治体の条例制定権は,日本国憲法により,法律の定める範囲内でなし得ることになっています。そこで,「地方自治体の個人情報保護及び情報セキュリティに関しては,地方自治体の条例によるのではなく,国の法律による」ものとして,そのような法律を制定すれば良いのです。ただし,この点に関しては,「地方自治体の固有の権利であり国の法律によっても侵すことができない」という見解はあり得ますので,場合によっては厳しい議論が生ずることがあるでしょう。
ともあれ,新たな法制定によって解決できる問題はあり得ると思います。しかし,法的根拠なしに,なしくずし的にシステム統合を進めることは違憲です。時間がかかるかもしれませんが,立法作業を進めることが最も早道だし,それまではシステム統合をペンディングにすべきだろうと思います。
なお,一般に,法の世界では,規範が徹底されなければなりません。民間のビジネスのように緩く解釈することは基本的には許されません。
日本は,実施的には法治国家とはほど遠い国だったので,法規範の本質が国民の間で正しく認識されていないだけのことだろうと思います。
そして,憲法を含め,法規範のほうがおかしければどんどん法改正をすればよろしい。そのために国会議員がいるはずなのですが,現実はそうでもないようですね。残念なことです。しかし,そのような国会議員を選挙で選んでいるのは国民なので,国民の自業自得というべきことなのでしょう。能力本位の選挙を実現したいものです。
他方,情報セキュリティ上の「統制」に関しては,現在主流となっている情報セキュリティの基本的な考え方を根本から改めることによって解決できるかもしれません。
今日の地方自治体の行政運営においては,情報システムを用いた電算処理に依存している部分が圧倒的に多いので,国が情報セキュリティやシステム監査の目的で地方自治体の情報システム全部に対して優越的な統制を確立することは,実質的には地方自治の実質を喪失させることになってしまいかねません。したがって,この点についても厳しい議論が生ずることが必至と思われます。そのような厳しい状況の発生を阻止するためには,そもそも現在主流となっているそれ理論自体を放棄し,新たな理論を採用すればよいのです。なにしろ,理論は理論に過ぎず,法律ではありません。
ただし,世界的に承認されている情報セキュリティ上の基本的考え方と異なる独自の理論を採用した場合,「個人情報保護,情報セキュリティ及び会計監査等に関する国際的な認証がすべて反故にされてしまうことになる」という結果の発生を避けることができませんので,そのことによるデメリットはよく考えておくべきだろうと思います。
すると,あり得る方法としては,「国際的に一致した行動として,新たな情報セキュリティの基本的枠組みを構築するための努力をする」という極めて単純な結論だけが残ることになります。これまたとても時間のかかることではありますが,可能な選択肢はこれしかありません。
ちなみに,このブログでずっと書いてきたことですが,「統制」の概念について,これまであまりにも曖昧でご都合主義的な解釈や運用がなされすぎたと思います。これは,日本だけではなく米国でも同じです。あちこち矛盾だらけになってしまっているのは,「そのようなルーズな運用や解釈が横行しても,そのことを正しく見抜き,厳しく批判し,合理的な改善策を提案するだけの能力と度胸をもった情報セキュリティ専門家が現実には一人もいなかった」ということを意味しているのだろうと勝手に理解しています。
投稿: 夏井高人 | 2010年2月22日 (月曜日) 06時22分
夏井様
自治体利用のクラウドとして求める要件を4つあげられています。その要件を満たす事業者は無いとのことですが、私はあると思います。
現在、地方自治体の組織間が相互に接続できるネットワーク(LGWAN)や、住民基本台帳ネットワーク等を運営している「地方自治情報センター」が、その要件を満たしていると思います。
①日本国の主権に服する事業者
→地方公共団体が共同で設立した団体
②当該地方自治体の委託業務のみを処理
→情報処理のセンター業務は、地方行政に関する情報処理業務を行っている
(パンフレットの内容なのですが、民間の業務は取り扱わない・地方自治体のみとの記載でないので、”のみ”と言い切れるかは分かりませんでした)
③地方自治体のポリシーに完全に服従
→既にLGWANや住其ネットの運用もしているので、たぶん大丈夫ではと。
④地方自治体の完全な監査に服することが適法性確保
→③と同様、たぶん大丈夫ではと。。。
どこかの企業が提供するパブリッククラウドは、ご指摘の問題点でクリアできないと思います。
話は飛びますが、民間企業もクラウドを利用すれば、今よりも柔軟で低コストな情報システムが実現できるか?考えていると思います。しかし、現時点ではステークホルダーに納得させる状況を作り出せていないため、自社組織内(グループ含め)で情報システムを保有していると思います。そのなか、今出来ることは自社組織内での情報システム統合化・組織内シェアードサービス(プライベートクラウドと言われていますが)を導入しているのが現実だと思います。
であれば、自治体も自らの組織内で情報システムのシェアードサービスを構築し、実現すればよいのではと思いました。大企業では親企業もしくは情報システム子会社にシェアードサービスを構築し、組織内のシステムサービスを一元で提供します。どうして自治体ではそれができないのかなと思いました。少し違うかもしれませんが、人事管理で言えば人事院のように、情報システム院のようなものができればよいと思います。
地方自治体や省庁がバラバラに情報システム部を持ち、バラバラに情報システム資産を保有することが、効率面・標準化面・費用面で問題の原因になっているのだと思います。
よって自治体向けのクラウド提供は”地方自治情報センター”や、私案の”情報システム院”のような民間ではなく、自治体の情報システム部がプライベートクラウドを提供すればよいのかなと思いました。
投稿: eis | 2010年2月21日 (日曜日) 23時34分