« 法の情報学は存在しないか? | トップページ | Enigma訴訟 »

2017年11月13日 (月曜日)

シンガポール:国営のMyInfoデータベースに登録された個人番号,氏名,パスポート番号等の個人プロファイルデータを本人確認の目的で企業に提供

下記の記事が出ている。

 Singapore opens up access to citizen data to facilitate business transactions
 ZDNet: November 11, 2007
 http://www.zdnet.com/article/singapore-opens-up-access-to-citizen-data-to-facilitate-business-transactions/

これは,電子政府サービスに関する法令に基づくものとのことだ。

 Singapore adds 2FA security to e-government services
 ZDNet: July 2, 2015
 http://www.zdnet.com/article/singapore-adds-2fa-security-to-e-government-services/

法令に基づく提供でない場合,当然のことながら,本人から同意を得なければ当該個人データの利用が適法行為とならず,そのコストが国際的な競争力を削ぐという考えに基づくものであろう。ただし,根拠法令それ自体が人権侵害となるか否かは各国の憲法によることになる。とはいえ,大概の一般的な裁判官は,情報セキュリティの素養に乏しいので,「国が運営するデータベースだから安全だろう」と考えるくらいの能力しかないという点は,多くの国々に共通した問題点であること,つまり,違憲と判断される可能性は最初から皆無に等しいこと,そして,後に情報セキュリティ上の重大事故が発生しても当該裁判官が自己の非を認めて判例変更等をする余地もほぼ皆無であることにも留意すべきだろう。

また,問題点は,超大規模ななりすましが(少なくとも理論的には)成立し得るという点にもある。

MyInfoのデータは暗号化されているかもしれないが,例えば,MyInfoから大量のデータを取得し,本人確認のために利用している大企業のサイトがハックされた場合,少なくとも実際に照合して利用した後の平文状態のデータとの自動的な突き合せの蓄積により,平文状態の大量のプロファイルデータの山を構築することができる。

つまり,「企業活動に実際に利用することができる」という点が最大の脆弱性要素となっている。

ハックされる場合だけではなく,優良企業のように見える企業が本当は当該国の仮想敵国のエージェントであるような場合も想定しなければならない。

現在の電子政府や電子ビジネスの思想は,「平時」のみを想定しているという致命的な欠陥を抱えている。間抜けであると言える。

正しくは,「戦時と平時が常に共存する状況」を想定しなければならない。

このように意見を述べても目先の利益に走るのが経済界というものなので,事態に変化はないだろう。

超大規模なハッキングやなりすましによって本人確認が不可能になり,世界的に電子的な企業活動が崩壊し,電子的な国家運営が不可能となるまでは,その状況は変わらない。問題は,そのような破綻的な状況が(少なくとも理論的には)いつでも発生し得るという点に尽きる。

世界の主要各国政府及び産業界をまるごと全部を人質にとるランサム攻撃は(少なくとも理論的には)あり得る。そこまでいかなくても,暗号処理の弱い特定の国を狙った攻撃は(現実に)十分にあり得る。

トップレベルの認証事業者がハックされた事例は現実にある。

国家による本人確認サービスの提供もモデルとしては同じなので,同じことが発生し得ると考えるかどうかが意見の分かれ目になるだろう。

国営のサーバを運営しているのも同じ普通の人間だ。国が認証業務を特定の企業に事務委託している場合,その国営サーバなるものは民間の認証サーバと何も変わらない。

一般論として,攻撃は,常に,最も弱いところを狙う。そこが突破されれば,そこと連携している別のサイトを,順次,連鎖的に攻撃することが可能となる。

|

« 法の情報学は存在しないか? | トップページ | Enigma訴訟 »

コメント

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« 法の情報学は存在しないか? | トップページ | Enigma訴訟 »