電子政府・電子自治体のプライバシーに関する調査研究 報告書 124 電子政府・電子自治体のプライバシーに関する調査研究 報告書 欧州におけるプライバシーと 技術について 連絡先: Privacy International http://www.privacyinternational.org/ (Privacy, Technology, and Europe) 日本の総務省へのレポート 2003年 目次 執筆陣、謝辞 (Authors and Acknowledgements) §1 欧州におけるプライバシー (Privacy in Europe) 1.はじめに (Introduction) 2.法的背景 (Legal Context) 3.欧州における技術とプライバシー保護の動向 (Technology and Privacy Development in Europe) §2 各国事情レポート(Country Reports) はじめに (Introduction) §2-1.デンマーク (Denmark) §2-2.フィンランド (Finland) §2-3.フランス (France) §2-4.英国 (The United Kingdom) §3 欧州における技術とプライバシー保護の動向(Technology and Privacy Developments in Europe) §4 提言と今後の方向性について(Recommendations and Future Directions) 執筆陣、謝辞 (Authors and Acknowledgements) 各国事情レポートは、Ian Brown(英国)、Stephan Engberg(デンマーク)、Herkko Hietanen、Mikko Valimaki(フィンランド)、Jerome Thorel(フランス) によるものである。重要な分析と編集作業には Wendy M. Grossman、研究の総括にはSimon Daviesがあたった。編集主任はGus Hoseinが務めた。 W3C(ワールド・ワイド・ウェブ・コンソーシア ム)のRigo Wenning、IBM Zurich research labs(IBMチューリッヒ研究所)のMichael Waidner、 Microsoft Europe(マイクロソフト・ヨーロッパ)の Caspar Bowden、HP Labs-Bristol(ヒューレット・ パッカード社、ブリストル)のPete Bramhall、 Independent Centre for Privacy Protection-Kiel(プ ライバシー保護独立センター、キール)のMarit Hansenの諸氏に対し、その力添えと専門的助言に感 謝する。 欧州におけるプライバシーと技術について —— 125 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §I 欧州におけるプライバシー (Privacy in Europe) 1.はじめに(Introduction) 欧州におけるプライバシー保護の展望は一見して暗 く、プライバシー保護技術となると見通しは一段と 暗いように思われる。個人の活動や興味を詮索する 活動は拡大している。個人情報の法的保護が侵され るのは日常茶飯のことで、情報通信インフラにも、 新システムの設計段階から核心的部分に監視機能を 組み込むという「設計による監視」の傾向が見られ る。例えば、各国の法執行機関や公安機関、技術標 準化機構などが世界的に協力したおかげで、新しい 形の通信手段はすべて「盗聴しやすい」ものになり、 モバイル新技術は位置追跡機能を組み込めるように なっている。 このような状況が、強力なプライバシー保護手段 の発展を阻害していることは疑いないが、これをも って欧州のプライバシーが壊滅状態だと言うことは できない。各種のデータ保護法は情報処理の進展に 依然として前向きな効果を与えているし、ある種の データ収集・配布を制限する技術を大量に使用して いる組織も多い。最も簡単なところで例をあげると、 顧客電話窓口で用いられる技術には、電子的に保存 される個人データの濫用や操作を防止する保護手段 が組み込まれている。 確かに、このように「末端」の断片的なレベルで は情報システムがプライバシー保護に役立つことが 多いが、政府の主要部門や民間部門の保有する基幹 データベースや本人確認システムはすべて、個人に 関する大量の付加的データを土台とする「一体的な」 個人確認システムの上に成り立っている。こうした 中心的なレベルにおける「組み込み」プライバシー の概念については、いまだ検討が加えられていない。 行政の中心的レベルにおいても、プライバシー保 護に技術が重要な役割を果たしうることは確かであ る。すでに十年以上前に発表された Erik Boe(ノルウ ェー)、David Chaum(オランダ)両氏による先駆的な 研究でも、国の主要制度の中にプライバシーと匿名 性をうまく組み込めることが証明されている。だが、 この考えを広めるにあたり、両氏をはじめとする研 究者らは解決しがたい多くの問題にぶつかったとい う。なかでも大変だったのが、セキュリティー担当 者や管理担当者が匿名といった概念に病的なほどの 抵抗を示したことだった。 ともすると、プライバシー保護強化策や強化技術 を抑え込もうという陰謀的な企てがあるのではない かと考えたくもなる。しかし、このレポート中に記 したような事実を精査してみると、ここには、より 126 —— 欧州におけるプライバシーと技術について 複雑な力学が働いていることがわかる。プライバシ ー技術は何もないところに存在するはずがない。プ ライバシー保護を進める法律や、この方針に共鳴す る組織文化により支えらなければならないのである。 世論や市場の力学など、さまざまな要素がその支え を形成する動因となりうる。だが、そのために必要 となる一般レベルでの動因の統一性はまだ得られて いない。 この点がプライバシーに関する大きな課題となる 一方、その不統一性が、欧州における大規模監視の 開始を足踏みさせているという面もある。当局によ る抑圧的な監視体制確立の試みは、技術的な障害や 国民の抵抗、財政的理由、憲法の保護規定などによ り繰り返し頓挫しているのが現状である。プライバ シーの追求と監視体制の確立には、常に変化し続け る複雑で並行的な力学が存在するのである。 このように並行的な力が働いているとはいえ、プ ライバシー側には主に二つ不利な点がある。一つは、 組み込み型の監視と完全身元確認という概念の方が、 組み込み型のプライバシーや匿名の概念よりも早く 容認されたことである。もう一つは、大規模情報シ ステムを構築する政府の側に規則を勝手に制定する 権限があることである。公認された「公益」を根拠 に監視を認める免責事項が法律に盛り込まれる一方、 プライバシー保護要件の側にそうした特権が与えら れることはほとんどない。データ保護法に基づく公 益免責のために、プライバシーが無差別に侵害され る事態も起こっている。金融規制当局や保険会社が 法定・非法定の報告監査要求を義務付けたことで、 この不均衡はさらに拡大している。基本的権利とし てのプライバシーの大切さは認めるものの、法と秩 序の維持や経済的効率性のために監視は必要であり、 プライバシーの権利は一般に、財政ならびに公共の 利益という制約に従わざるをえないというのが、デ ータ管理者側の立場である。 欧州の各種データ保護法は全般に、適切なデータ 保護の重要性を認識しているという点で最も進んで いるとされるが、EU(欧州連合)加盟諸国において、 DNA検査の普及や、IDカードの使用、職場の監視、 警察権力、国税当局による侵入的調査、インターネ ット上の監視、市民の通信を国家が安全のために監 視することなどへの防止効果は、データ保護法には ほとんどなかった。プライバシーは、表現の自由や 移動の自由などの権利のように、それ自体が公益で あるとは見なされていないのである。 もしデータ保護の原則が情報分野全体に(例えば広 範な公益免責条項を認めることなく)適用されたとし たら、現行法によってプライバシー技術の発展を支 える環境が整備されるとも考えられる。だが現実に 電子政府・電子自治体のプライバシーに関する調査研究 報告書 は、この条件作りを阻む要素がさらに三つある。ま ず第一は、個人が、一方ではプライバシー侵害につ いて不安を訴え続けながらも、プライバシー保護に 必要なプロセスは自分の手に負えないと感じている ことである。従来の暗号化技術使用への抵抗はその 一例となる。第二に、プライバシーやデータ保護を 規制する側が、宿命論的な考えを持っていたり、お よび腰だったり、力不足だったりすることが多く、 能動的ではなく受動的な管理体制になっていること である。最後に、プライバシー保護手段の多くが、 法的手段であれ技術的手段であれ、誘導あるいは強 制によってプライバシーを放棄するオプションの存 在によりしばしば無力化されることが挙げられる。 だが、このような要素に押されて宿命論的な態度 を取ってはならない。情報がわれわれの生活のます ます重要な一部となり、データの不正使用に伴うリ スクについて国民が知識を深めるにつれ、プライバ シーに関する関心は増すことだろう。関心が高まれ ば、政治や市場レベルでのプライバシー促進の機運 も高まることになる。 こうした欧州の現状を見るに、プライバシー保護 をシステムに組み込む環境は、一様な進化を遂げる のではなく、断片的な形で発展していく可能性が高 い。しかし、断片的な進化であっても、プライバシ ーの保護技術が存在し、それとともに監視に対する 懸念が高まりつつあることは、プライバシーと監視 との間に存在する修辞的な不均衡を是正する一助と なるであろう。 2.法的背景 (Legal Context) 1950年の欧州人権条約(European Convention for the Protection of Human Rights and Fundamental Freedoms)第8条では、批准国内でのプライバシー権 が定められている。 (Council of Europe(欧州評議会)「Convention for the Protection of Human Rights and Fundamental Freedoms」(ETS no: 005)、ストラスブール、1950年 11月4日調印、1950年9月3日発効) (1)すべての者は、その私生活、家族生活、住居 および通信の尊重を受ける権利を有する。 (2)こ の権利の行使に対しては、法律に基づき、かつ、 国の安全、公共の安全もしくは国の経済的福利 のため、混乱もしくは犯罪の防止のため、健康 もしくは道徳の保護のため、または他者の権利 および自由の保護のため民主的社会において必 要な場合以外、公的機関による干渉があっては ならない。 ((1)Everyone has the right to respect for his private and family life, his home and his correspondence.(2)There shall be no interference by a public authority with the exercise of this right except as in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health of morals, or for the protection of the rights and freedoms of others.) [訳注:原文3行目のexcept as in...はexcept such as is in...の誤り。 http://conventions.coe.int/treaty/en/Treaties/Html/ 005.htm] まさにこの定義のなかに、現在、欧州の公共政策に より解決が試みられている難題を見てとることがで きる。 つまりはこういうことである。プライバシー権の 保護は、欧州人権条約により最優先で保護される憲 法上の権利である。そのように単純であるなら、法 的保護の展望はきわめて明確なものとなるはずであ る。そしてまた、プライバシー権保護技術も容易に 構築されるであろう。しかし、欧州人権条約執行を 欧州におけるプライバシーと技術について —— 127 電子政府・電子自治体のプライバシーに関する調査研究 報告書 妨げる国内法令が制定される可能性がある。また同 様に、それを妨げる技術も存在する。国家の安全、 公共の安全、経済的福利、犯罪および混乱の防止、 健康および道徳の保護、あるいは他の権利および自 由の保護という名目のもと、国内法令と技術が協調 的に働いてプライバシー権と衝突することもある。 その場合、法的保護の展望は、ひとことで言えば複 雑なものとなる。 目立った点では、欧州人権条約はプライバシー保護 強化に向けた二つの動きを支えてきた。まず、欧州人 権裁判所には、各国の法律を検証し、プライバシー保 護が適切に行なわれていない国々に対して制裁を課し てきたという確固たる実績がある。法理に従えば、通 信の傍受は慎重に規制されなければならないのであ る。また同裁判所は、第8条による保護の適用を、政 府による行為のみならず、政府により禁じる必要があ ると思われる民間の行為にまで広げている。 第二に、欧州では、データ保護法という形式のプ ライバシー規定が多数制定されている点が挙げられ る。その歴史もまた豊かである。世界初の近代的デ ータ保護法は、1970年にドイツのヘッセン州で施行 された。それに続き、スウェーデン(1973)、ドイツ連 邦(1977)、フランス(1978)などで国内法令が施行され た。最終的にはそうした法律が、1995年のEUデータ 保護指令(Data Protection Directive)95/46/EUにつな がることとなった。 [訳注:本レポート中、このデータ保護指令について は「95/46/EU」と「95/46/EC」の表記が混在する が、同じものである。正式にはECだが、各箇所、原 文表記に準じる。] この指令は、一貫した保護水準を市民に提供し、EU 単一市場内におけるデータの自由な流通を保証して いる。また、共通したプライバシー保護の基本水準 も設定している。要約すると、以下のような公正な 情報処理規定が定められている。 (欧州委員会、「Data Protection in the European Union」、http://europa.eu.int/comm/internal̲market/en/dataprot/guide/guide̲en.pdfにて入手可能) • 個人データは、特定され、明示され、かつ合法 的な目的においてのみ収集されなければならな い。 • そうした目的および管理者の身元を、関係者に 知らせなければならない • いかなる関係者も、自らのデータにアクセスす る権利、および誤ったデータの修正または削除 を要求する権利を有し、 • 問題がある場合には、管轄権を有する国の裁判 所を通じた損害賠償請求などの手段により、適 切な是正措置が講じられなければならない。 原則的に、データは個人の同意を得たうえで収集さ れなければならない。公正かつ適法に処理され、限 定的な目的で限定的に使用され、一定の期間のみ保 持されなければならない。データの保存は安全かつ 正確に行なわれなければならず、適切な保護なしに 他国へ移動させてはならない。 ボックス1-1. 1995年EU指令で定められた公正情報処理規定 (欧州委員会「Data Protection in the European Union」) • データは公正かつ適法に処理されなければならない。 • データは明示的かつ合法的な目的において収集され、その目的に沿って使用されなければならない。 • データは、処理される目的に鑑みて適切なものでなければならず、過度であってはならない。 • データは正確でなければならず、必要に応じて更新されなければならない。 • データ管理者は、データ主体に対し、自身についての不正確なデータを修正、消去、またはブロッ クするための適切な手段を提供しなければならない。 • 個人を特定するデータは、必要期間以上保持されてはならない。 • 同指令では、加盟国は指令の適用を監視するための監督機関を複数設置しなければならないと定め られている。監督機関には、公的な登録情報を更新し、すべてのデータ管理者の氏名およびデータ 処理方法に一般市民がアクセスできるようにする義務がある。 • 原則的には、すべてのデータ管理者はデータ処理を行なう際に監督機関に報告しなければならない。 特定の危険を伴わない種類の処理については、加盟国の判断により、報告の簡略化および免除を適 用することが可能である。報告の免除および簡略化は、国内法令に基づき管理者によりデータ保護 の責を負う独立した役員が指名された場合においても認められる。 128 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する調査研究 報告書 報告書『プライバシーおよび人権2002』(Privacy and Human Rights2002)には、以下の記述がある。 (Electronic Privacy Information Center(EPIC:電子 プライバシー情報センター)『Privacy and Human Rights 2002: An International Survey of Privacy Laws and Developments』ワシントンD.C.、EPIC、 Privacy International(プライバシー・インターナシ ョナル)、2002年8月) • この指令の定める基本原則は次のとおりであ る。データの由来を知る権利。不正確なデータ を修正する権利。不法な処理が行なわれた場合 における遡求権。ある状況においてデータ使用 許可を留保する権利。例えば、個人はダイレク トマーケティング関連物送付を無料で停止する 権利を有する。 一方、次のように定義される「センシティブ・デー タ」(sensitive data)には、より厳しい規定が適用さ れる。 (欧州委員会「Data Protection in the European Union」) 人種的・民族的出自、政治的意見、宗教的・思 想的信条、労働組合加盟、健康・性生活に関す るデータ。原則的には、このようなデータの処 理は禁止される。きわめて特殊な状況において のみ、原則の免除が認められる。それに該当す る状況とは、センシティブ・データの処理に対 してデータ主体が明示的に合意した場合、雇用 法によりデータ処理が義務づけられている場 合、データ主体の合意が不可能な状況(自動車事 故犠牲者の血液検査など)、データ主体によりデ ータ処理が公に発表された場合、あるいは労働 組合、政党、教会により構成員に関するデータ 処理が行なわれる場合である。 加盟国の判断により、相当程度の公益のためという 理由で上記以外の例外を設けることも可能である。 例えば、国家の安全、防衛、犯罪捜査、刑事法の 執行、データ主体の保護、または他者の権利あるい は自由の保護のために必要である場合、そうした例 外が認められる (欧州委員会「Data Protection in the European Union」)。 これらは欧州人権条約に基づく例外事項と合致す るが、このほか、科学的または統計的目的でのデー タ収集および処理にも例外が適用される。 EUは1997年、通信プライバシー指令 (Telecommunications Privacy Directive)を導入した。 この指令では、電話、デジタルテレビ、移動体ネッ トワークなどの電子通信システムに対して、明確な 保護が導入された。請求書データへのアクセスは、 マーケティング活動と同様、厳しく規制された。通 信伝達の過程で収集された情報は、通信が完了次第、 直ちに消去されなければならないとされた。97年指 令は、2001年および2002年に電子サービス・プライ バシー指令(Electronic Services Privacy Directive)と して改訂される予定であったが、それをめぐって大 きな議論が起きることとなった。 英国は2000年、中央政府権限により、最大7年の通 信トラフィックデータ保存を義務づける政策を提案し た。この提案は当時、大きな世論の抵抗に直面した。 しかし、2001年9月11日の事件を受け、2001年12月、 英国の対テロ法に基づき同様の政策が提案され、承認 された。電子サービスにおけるデータ保護に関する EU新指令でも、欧州社会における同様のデータ保存 法制定が支持され、データ保護の弱体化を推し進める 傾向にある国際的な圧力に歩調を合わせることとなっ た。2001年10月、Bush大統領は欧州委員会委員長へ 書簡を送り、EUに対し、 「法の執行および急務である 対テロリズムという観点から、データ保護問題を考慮」 し、ひいては、データの「強制的廃棄を要求するプラ イバシー指令の草案を見直し、適切な期間内における 重要データの保存を認める」ことを要請した。かねて より明確になっていた「捜査情報を共有する場合にお けるデータ保護手段については、国際協力の効果を減 じない形で規定する必要がある」という考え方に基づ き、米司法省は一連の提言を欧州委員会のサイバー犯 罪に関するワーキンググループに提出した。以下はそ の提言の一部である。 (米国政府「Comments of the United States Government on the European Commission Communication on Combating Computer Crime」、 ブリュッセル、2001年12月) あらゆるデータ保護制度は、個人のプライバシ ー保護、ネットワークセキュリティーおよび不 正防止のためのサービスプロバイダーのニー ズ、および公安強化の間で適切なバランスをと るべきである。 こうした見方は2002年5月、今度はG8司法・内務閣 僚級会合により再び提示された。そのなかでは、各 国に対して以下のような要求がなされている。 (G8司法・内務閣僚級会合「G8 Statement on Data 欧州におけるプライバシーと技術について —— 129 電子政府・電子自治体のプライバシーに関する調査研究 報告書 Protection Regimes」、モン・トランブラン、G8サミ ット、2002年5月13-14日) データ保護法の実施にあたっては、特にインタ ーネットなどの新興技術に関して、確実に公安 その他の社会的価値を考慮に入れること。とり わけ、ネットワークセキュリティー、あるいは 法執行機関による捜査・訴追に重要なデータの 保持・保存を認める手続きをとること。 またこのG8会合では、データ保護の体制が「公安の 重大な妨げとなる」との公式声明が出され、限定的 ながらデータ保持への要請も行なわれた。 政府機関内および複数機関にまたがるデータ共有 や、民間部門とのデータ共有を可能にし、いっそう 推進する政策も多数導入されている。このため、複 数機関にまたがるデータ共有により、ある目的で収 集されたデータが他の目的で使用されるという「目 的のクリープ」が生じてきている。これはまた、高 度なセンシティブ・データが、データを適切に保護 できないと思われる政府機関の手に渡るという状況 が生まれるということでもある。 英国は、政府および公共サービスの現代化に関す る協議書のなかで、「データ共有のための経路」の設 置と「シームレス」なサービスの提供を目標とした、 「統合政府」(joined-up government)を提議している。 さらに、地方議会やパリッシュ(地方行政区)を含む、 事実上あらゆる行政機関が調査権限規定法 (Regulation of Investigatory Powers Act: RIPA)のも とで個人のトラフィックデータにアクセスすること を認めるという試みもなされたが、これは失敗に終 わっている。しかし最近では、こうした政策の方向 性が転換しつつある兆候が見られる。 民間部門からのデータ流出もいっそう増している。 英国では、旅行者に関する情報へのアクセス権限を 法執行機関に与える法案が提議されている。英内務 省は、すべての国際便搭乗客に関する情報へのアク セス権を同省に与えるべきであると提言している。 また、米国も現在、データ保持の推進を目的に、欧 州の航空各社に対して搭乗客に関する情報提供を要 求しており、今後も要求を強めていく姿勢を見せて いる(欧州連合理事会「New Transatlantic Agenda. EU-US meeting on Justice and Home Affairs」 、ア テネ、EU、2003年1月27日)。 同様にEUも、欧州刑事警察機構に対し、旅行者に 関する情報を変更する権利を含むSchengen Information System(シェンゲン・インフォメーショ ン・システム)へのアクセス権限を認めることを検討 している。ドイツはEUに対し、「刑事訴追の目的で」 130 —— 欧州におけるプライバシーと技術について 使用される「既知の要注意人物」に関するデータベ ース作成を提言しており、次のように述べている。 「国際的なテロリズムとの闘いにおいては、危険を防 止するために、必要とされる適切な手段を講じるべ きである。しかし、テロ組織のメンバーおよび支援 者がヨーロッパ全土を移動している事実を鑑みると、 防止策がすべてのEU加盟国により適用されたなら、 よりいっそう効果的であると思われる」 データ共有の動きの帰結として、個人のプロファ イリングや、既存の個人プロファイルの拡大につい ても数多く提案されている。こうした提案はさまざ まな形でなされている。最も早期の導入が予想され るのは、旅行者のプロファイリングである。長期的 には、市民のプロファイリング、また非市民のプロ ファイリングの拡大案も多数打ち出されている。こ うした提案は一般に、プロファイルを各国内の身元 確認制度により強化、補完し、バイオメトリクスに よりさらに強化しようというものである。英国では、 移民、不法就労、ID窃盗への対処手段として、 「エ ンタイトルメント・カード」(entitlement card)の導 入が検討されている。 以上のような動向自体は、必ずしも新しいもので はないが、こうした政策が受容され、多くの場合に おいて法令化されるスピードは、これまでにないほ ど速くなっている。このレポートの§2では、いくつ かの国の国内政策を検討し、そうした政策がさまざ まな緊急課題のもとでどのように変化してきたかを 見ていくことにする。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 3.欧州における技術とプライバシー保護の動向 (Technology and Privacy Development in Europe) 欧州委員会の域内市場総局(Internal Market Directorate General)は、プライバシー強化技術とい う思想は何よりEUデータ保護指令(Data Protection Directive)に照らして理解されるべきものであると論 じている。データのセキュリティーは、かなり以前 より情報通信技術の設計開発に影響を与えてきた。 多くの技術ツールやプロジェクト(例えば暗号化やデ ジタル署名、バイオメトリクス、標準などに関する もの)が、データの完全性、認証、信頼性、アクセス 管理といったセキュリティー上の各側面に主眼を置 いている。 だが、域内市場総局は、個人情報管理の鍵となっ たのは、データ収集を最低限にする抑制とデータ使 用目的の限定であったという認識も抱いている。欧 州委員会にとって、方針と実践との関係は、「プライ バシー強化技術はこの意味で、関係するサービスな らびに技術に対するユーザーの信頼を高めるため、 競争面でメリットをもたらすと考えられる」という ものであった (C.Sottong-Micas、U.Hillbrand「Privacy enhancing technologies: Looking for concrete answers」、ブリ ュッセル、欧州委員会域内市場総局、1999年12月 http://europa.eu.int/comm/internal̲market/en/sm n/smn19/s19mn29.htmにて入手可能)。 これにより、EUが主導、あるいは資金提供してい るプロジェクトに関心が集まった。1999年以降、EU はInformation Society Technologies Programme (IST:情報社会技術プログラム) (http://www.cordis.lu/ist/projects/projects.htm)の もとで、40以上の研究プロジェクトを支援してきた が、これらのプロジェクトには、プライバシー管理 とデータ保護管理の要素が関わりあっている。主要 なプロジェクトについては、このレポートの§3で取 り上げる。 それでも、プライバシー強化技術の実際の採用見通 しは依然として不透明であり、その有効性も不明であ る。経済協力開発機構(OECD)は最近、加盟国を対象 にプライバシー強化技術に関する調査を行なった。 (経済協力開発機構(OECD)「Report on Compliance With, and Enforcement Of, Privacy Protection Online」、パリ、OECD科学技術産業局情 報コンピューター通信技術委員会、2003年1月21日) (日本や英国、米国など)一部の加盟国は、プラ イバシー保護の徹底を図るため(プライバシー選 択プラットフォーム(P3P)などの)技術標準の採 用を拡大していると示唆したものの、大半の加 盟国の回答は、プライバシー保護技術は限定的 にしか導入されていないというものだった。英 国の情報コミッショナーは、プライバシー強化 技術の採用を奨励している。米国では(P3Pを含 め)こうした多くツールはインターネット上で広 く入手できる。ただし実際に利用している企業 や消費者がどの程度かは明確ではない。ドイツ では、経済技術省がオンライン技術の匿名利用 を奨励するプログラムを実施している。オラン ダは、政府自身が新しい公共データ処理システ ムにプライバシー強化技術を採用する意向を明 らかにしている。しかし、これらの構想は依然 として例外的である。ほかの国では、プライバ シー保護技術の利用はセキュリティーに絡めて 言及されるにすぎなかった。オーストリアなど いくつかの国では、ファイアーウォールやウイ ルス対策ソフトの利用といった予防措置が一般 的で、法的にある種のデータセキュリティーが 義務づけられているが、採用すべき技術は具体 的に特定されてはいない。フィンランドの回答 は、企業の状況は、主に規模と、一部業種によ りかなり異なるとのものだった。 予想されることだが、プライバシー強化技術の領域 では、セキュリティーの主張とプライバシーの主張 がしばしば混同される。 実際のところ、プライバシーを強化すると誰もが無 意識に考えている技術の多くは、プライバシー規制と 並べて見たときに、検証可能なあり方で働いているか という点には疑問の余地がある。たしかにこうした技 術によって機密性は期待できるかもしれないが、それ は必ずしもプライバシーの側だけを強化するとはかぎ らない。例えば、暗号化はプライバシー強化技術とい えるだろうが、スマートカードや公開鍵基盤(PKI)に 暗号を導入すれば、そうしてできる仮想的な国民ID システムは従来の紙のカードよりもプライバシーを侵 害しやすいものになるおそれがある。 EUは電子政府の実現に向け、サービス提供の Action Plan for 2005(2005年行動計画)に従って動き 始めているが、技術および法律面、特にプライバシ ーをめぐるこれらの点で、各国間の隔たりが課題と して存在すること認めている。2002年12月に発表さ れた「電子商取引と電子政府の進展、およびその関 連で電子識別認証システムが果たす役割に関する経 過報告書」のなかで、欧州委員会は認証、暗号化、 国民IDに関して、次のように述べている。 (欧州連合理事会「Commission Staff Working Paper - Progress Report on the Development of e- 欧州におけるプライバシーと技術について —— 131 電子政府・電子自治体のプライバシーに関する調査研究 報告書 Commerce and e-Government and the Role that Electronic Identification and Authentication Systems play in this Context」 、ブリュッセル、欧州 委員会、2002年12月4日) 電子的識別子は、電子政府のサービスを実現す るため適切で信頼できる手段となる。電子政府 のサービスでは、情報がカスタマイズ可能で、 市民や企業が政府と全面的にオンラインでやり とりできる。だが電子識別子は、市民のプライ バシーと個人データ保護に対する明確なリスク を伴うため、関連するEU法、特に95/46指令 (Directive 95/46)を十分に考慮に入れて評価し なければならない。 この指令により設立された諮問機関、Working Party 29(ワーキング・パーティー29)が、電子政府と データ保護法のあいだで折り合いをつける方法を模 索する方針を示しており、EUはこの分野での検討を 今後も進めていくものと思われる。 欧州では代替技術も開発中である。かなりの数の プライバシー強化技術が現在、政府の支援を受けて 業界や、場合によっては個人の手で、開発されてい る。ドイツのIndependent Centre for Privacy Protection Schleswig-Holstein (M.Hansen『PET in Germany』、Kiel: Unabhangiges Landeszentrum fur Datenschutz Schleswig-Holstein (ULD:シュレスヴ ィヒ=ホルシュタイン・プライバシー保護独立セン ター、2002年11月)が、透明性、データの最小化、シ ステムへの組み込みプライバシー保護の統合、ユー ザーが権限を持つ「自分でするプライバシー保護」、 多角セキュリティー・システムなどを実現するプラ イバシー強化技術を主題として行なった報告によれ ば、現在ドイツだけで13以上のプライバシー強化技 術開発プロジェクトが存在する。これらの多くは個 人や学術研究者によるものである。 ボックス1-2. ドイツのプライバシー強化技術開発一覧(M.Hansen『PET in Germany』) GnuPG GnuPG(Gnu Privacy Guard)暗号化プロジェクトへのドイツ人の参加。www.gnupg.org GnuPP Gnu Privacy Projectの略。2002年にスタートした一般向けGnuPG。www.gnupp.de。 http://www.gnupp.de/beteiligte.html#partner参照 Steganography ステガノグラフィー・アルゴリズムおよびツールの開発。例:http://wwwrn.inf.tu-dresden.de/˜westfeld/f5.html ドレスデン工科大学 BioTrusT プライバシー準拠バイオメトリクスの研究および開発。いくつかのテストシナリオで評価 が出ている。1999〜2002年に資金提供。http://www.biotrust.de参照。(特にULD) 「Anonymous Biometrics」 ユーザーのチップカード上のバイオメトリック・データを保護するための優れた暗号メカ ニズムの開発。 http://www.iks-jena.de/mitarb/lutz/security/biometrie/security/ Lutz Donnerhacke、イェーナ AN.ON Anonymity online - Strong Anonymity and Unobservability in the Internetの略。オープン ソース・ユーザー・ソフトウェアとミックス・インフラストラクチャーの開発と運営。 2001〜2003年に資金提供。http://www.anon-online.de (前身プロジェクト「WAU: Webzugriff anonym und unbeobachtbar」)。ドレスデン工科大学、ベルリン自由大学、 ULD rewebber 匿名プロクシ。http://www.rewebber.org。最初はハーゲン放送大学が開発したもの。. DRIM Dresden Identity Management(PRISMAの一部)の略。「CeBIT 2003」(セビット2003)で発 表予定。ドレスデン工科大学 132 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する調査研究 報告書 PRIMA 「CeBIT 2002」(セビット2002)で発表されたID管理プロクシの試作品。ダルムシュタット 大学、T-Systems(Tシステムズ)社 PRISMA Privacy-Rich Identity and Security Managementの略。変換可能なクレデンシャルを統合 するプライバシー強化ID管理リファレンス・アーキテクチャーの設計。法的、社会学的、 ユーザビリティーの各側面に関する研究を伴う。2001年から共同開発。EUの6th Framework Programme for Research and Technological Development(FP6:第6次研究 フレームワークプログラム)のためのPIMIP計画(Privacy and Identity Management Integrated Project)のサブプロジェクトになる予定。ULD、ドレスデン工科大学、IBM Research Lab Zurich(IBMチューリッヒ研究所)、カールスタッド大学 Study IMS EU Study「Identification and Comparison of Identity Management Systems」。申 請者:Joint Research Centre Seville(セビリア共同研究センター)、ULD、ミラノのStudio Notarile Genghini(スタジオ・ノタリーレ・ジェンギーニ) Privacy Model Privacy-Enhancing Design of Security Mechanisms。 http://www.cs.kau.se/˜simone/、 http://link.springer.de/link/service/series/0558/tocs/t1958.htm。Simone FischerH̲bner、ハンブルク大学. DASIT Datenschutz in Telediensten(Data Protection in Tele Services):Privacy Protection in the Internet by User Control。ユーザーによるオンライン・プライバシー権主張を支援する 試作品を1998年より開発。http://www.sit.fhg.de/german/MINT/mint̲projects/project̲pdfs/dasit.pdf。http://epso.jrc.es/newsletter/vol09/4.html参照 この一覧は、ドイツ国内で進められているプロジェ クトのみを掲載している。フランス、フィンランド、 デンマーク、英国の開発状況については§2で扱うが、 それとて進行中のプロジェクトの一部に過ぎない。 先述のとおり、特に大きな研究開発プロジェクトは、 民間のものか、EUが支援するものであり、これらに ついては§3で触れる。 以下のレポートは、欧州におけるプライバシーな らびに技術問題の断片でしかない。欧州は、独自の 豊かな歴史や文化、法律事情を持つ国々からなる地 域である。そしてわれわれがここで考察しようとし ているのは、この「情報化社会」における技術と新 行政システム、そして新しい規制の状況についてで ある。既存の構造にとっての問題は十分明らかで、 対話型民主主義は、データフローや情報技術、司法 管轄区を超えた政策、といった付加的な要因がなく ともすでに複雑な制度なのである。この意味で欧州 は独特だが、世界がますます相互の結びつきを強め、 異質混交性へ、そして同質性へと向かっていること を考えれば、おそらく欧州はそのテストケースとも なることだろう。 欧州におけるプライバシーと技術について —— 133 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §2 各国事情レポート(Country Reports) 1.はじめに(Introduction) 国家は人とよく似ている――各自が、独自のやり方 で変化に順応しなければならない。インターネット の誕生はすべての国に同じ問いを投げかけたが、各 国の出す答えは、その文化的、経済的、法的背景に より相当に異なっている。 ここでは、4ヵ国――デンマーク、フィンランド、 フランス、英国――の電子政府実現への取り組みに ついて考察する。いずれも欧州の国であるから、同 じ法構造のもと、これら4ヵ国もある程度は似通った あり方をしている。しかし、そこに見られる問題は 先進国に共通のものであるにもかかわらず、各国の 対処のしかたは大きく異なっている。官僚制が複雑 さを増すにつれ、市民は、本来享受する資格のある 恩恵やサービスを受けるのにも不満を募らせている。 政府は、インターネット関連技術を利用することに より、費用を削減し各種サービスの利便性を向上さ せたいと考えている。各国とも、透明性の高い電子 時代へと突入する中で、その文化や伝統的自由を守 るべく懸命に取り組んでいる。 一般にこれらの国々は全て、技術推進より法の整 備で個人のプライバシーを保護しようとしてきた。 その理由は各国さまざまである。フランスは、強力 な暗号化は政府だけが行なうべきものと考え、ごく 一部の特定分野以外ではプライバシー強化技術 (PET:Privacy Enhancing Technology)の採用を法規 制により制限してきた。その数少ない例外の一つが、 スマートカード類――特に、銀行カードとクレジッ トカード――で、フランスはおそらく、世界最大規 模のスマートカード利用国(そしておそらく、開発・ 製造国)であろう。デンマークでは、政府に対する国 民の信頼が十分に厚く、プライバシー強化技術が必 要とは考えられていない。フィンランドからは、関 連技術を開発した企業が数多く誕生している。英国 で総じてプライバシー強化技術が使われていない理 由として、2つの要因が挙げられる。第一に、そうし た技術を理解していない、あるいは存在さえ知らな い人が大多数であること。第二に、ここ数年、英国 政府はこうした技術の使用を規制する法案を、かな りプライバシー侵害的な形で作成してきたが、それ に際して国民にほとんど意見を求めなかったことで ある。その結果、国民はこのような技術の可能性に ついてまったく知らないまま法案が成立していった。 このように、これら4ヵ国においては、プライバシ ーは基本的に技術ではなく法律で保護されている。 しかし、プライバシーの権利が憲法に明文化されて 134 —— 欧州におけるプライバシーと技術について いるのはデンマークとフィンランドだけである。フ ランスの法廷は、プライバシーの権利は同国憲法に 言外に内在するという判決を下している。英国につ いては周知の通り、成文憲法が存在しない。そして、 プライバシーに関する法基盤の整備が開始されたの は、1984年のデータ保護法(Data Protection Act)成 立以降である。この法律でさえ、英国では長期にわ たり抵抗を受けてきた。英国はプライバシーを脅か す可能性のある法律を最も多く持つ国で、そうした 法案の大半がここ数年のうちに可決されていること は、偶然ではないだろう。英国は、米国の類似法案 を模して、こうした侵害的な法案を数多く作ってき た。英国は、文化面においても法体系においても、 欧州諸国よりも米国に親近感を覚えているためであ る。しかし米国では、憲法の複数の条項により、 次々とこうした法案を通してきた行政に歯止めがか かり、最悪の法案のいくつかは、正式の政策として 採用されなかった。同様の法案は、英国議会を通過 している。 英国以外の国々においては、監視を強化すること は、むしろ米国のエッセイストでソフトウェア・エ ンジニアのEllen Ullman氏が1997年の著書『クロー ス・トゥー・ザ・マシン』(Close to the Machine)[訳 注:未邦訳]で「システムの熱病」と呼んだものと、 より密接に関係する。Ullman氏は、エイズ・プロジ ェクト向けのデータベースを設計した自身の経験に 基づき、新たなデータベースを手にすると、人は 往々にして本来の善意の目的を見失うと記している。 それどころかコンピューターは、人々の間にさらに 監視を強めたいという欲求を感染させるが、それは ただ単に、人々にとってそうすることが可能だから にすぎないという。二つのデータベースを手にした 人は、必ずその二つをリンクさせたくなる。エイズ 患者を支援するシステムの設計者は、患者が受ける 資格のある給付金をすべて受けられるようなシステ ムを作りながら、ふと、そのシステムで、受給資格 を超えて給付金を受け取っている患者がいないかど うかを確認できるかもしれないと考える。こうして、 監視要求は連鎖していく。 これらの国々では、新たな可能性が考慮されるた びに、Ullman氏の「システムの熱病」が起こってい るのが明らかに見てとれる。例えばフランスは、フ ィンランド同様、複雑に絡み合い相互に影響する法 律体系を有する。しかし、フランスにおいては「相 互利用禁止」(non-crossing)という原則の固持が、最 重要の安全措置として機能している。簡単に言うな らば、相互利用禁止の原則とは、複数のデータベー ス間や部門間でのデータ共有の禁止である。この原 則は、フランスの行政の歴史において幾度となく適 電子政府・電子自治体のプライバシーに関する調査研究 報告書 用されてきており、その行政体制を電子時代に移行 させようとする過程においても、いまだ大きな障害 となっている。おそらく1970年代にこの原則が採用 されて以来初めてのことだろうが、フランスの政治 家もこの大原則について、もはや時代遅れかもしれ ないと主張しはじめている。この原則が電子政府へ の障害になっているという理由からである。 英国でも同じように熱病が感染してきている。 Tony Blair首相の労働党政権は、国民に「統合政府」 (joined-up government)を提供することの重要性を繰 り返し訴えている。「joined-up」という表現は、英 国外の人にはわかりにくいかもしれないが、 「筆記体」 を指す言葉である。学校で最初に習う活字体は、 個々の文字がきちんと分けて書かれる。その後に習 う筆記体は、文字と文字が流れるように滑らかにつ ながる。したがって、Blair首相のこの言葉には、二 つの意味が込められている。一つは、部門間をデー タがスムーズに流れ、国民が暮らしやすくなるとい う意味。そしてもう一つは、この政府の体制は現行 の細分化されたシステムよりもいくぶん成長した高 度なものであるという意味である。もちろん、さら なる含意としては、統合に反対するのは少々幼稚だ という含みも込められているのだろう。 デンマークはこの4ヵ国の中で唯一、1968年という 早い時期から国民ID番号を採用し、データベースの のクロスリンクを行なっていた国である。国民ID番 号は、英国で現在提案されている「エンタイトルメ ント・カード」(entitlement card)方式の一部を構成 することは必至と見られるが、デンマークではすで に税金からトラベルカードまですべてのものに使わ れている。プライバシーはデンマークにおいて中心 的な価値と見なされているにもかかわらず、結果と してきわめて透明性の高い社会となっている。それ でも、このような制度がうまく機能するのは、政府 が国民から絶大なる信頼を得ていることと、効率面 での価値があるためである。デンマークの歴史的な 繁栄のおかげで、国民に利益をもたらす徹底したシ ステムを国が提供できてきたという点もプラスに作 用していると思われる。それでも、デンマークの識 者たちは、電子サービスを取り入れようとする圧力 を受け、この信頼関係を育んできた社会契約にひび が入り始めていると指摘する。 このレポートでデンマークを扱ったセクションに は、国民IDシステムや十分に透明な社会の構築を検 討している人々にとって、非常に重要な情報が盛り 込まれている。デンマークでうまく機能したことが、 他の地域でうまくいく可能性は小さい。さらに悪い 事態を考えるなら、デンマークの政治の透明性を可 能にしてきた社会契約が、もし今壊れてしまえば、 デンマークはプライバシー強化技術やより透明性の 低い複数のIDを採用したシステムを改めて作り直さ なければならなくなるだろう。 いずれの国家も、大衆の期待に応えていかなけれ ばならない。これが特に当てはまるのはプライバシ ーの分野であり、そこでは大衆の感情が過熱する危 険性もある。監視カメラ(CCTV:閉回路テレビカメ ラ)などのプライバシー侵害的な技術の広範囲な設置 に対し総じてほとんど反対しなかった英国民でさえ、 政府の方針に行き過ぎを感じれば、怒りをかき立て られることもありうる。最近の例としては、2002年 夏に現在の(労働党)政府が、保存された通信データへ のアクセス権を有するべきだと考えられる200以上の 機関のリストを議会に提出したことがあった。これ に対して国民の抗議行動が起こったため、政府はそ のリストを取り下げ、再考を余儀なくされた。同じ ような抗議行動が、「エンタイトルメント・カード」 と呼ばれる国民IDカードの提案についても起ころう としている。 しかしながら、国民IDカードは、欧州という範囲 内でさえ各国の文化にどれほど差異が生じ得るかと いうことを示す好例となる。英国における国民IDカ ードへの反対は、同国の文化に深く根ざした本能的 な要素から生じている。英国民はIDカードと聞くと、 戦時国家安全保障の一部として国民IDカード制が実 施されていた第二次世界大戦を想起してしまう。ID カードそのものに対する嫌悪感が国内に広く行き渡 っているため、これに配慮した現政府は、「エンタイ トルメント・カード」の法案に、このカードを携行 する義務はないという但し書きを添えている。言い 換えるならば、政府が企図しているのは、IDカード 発行よりもむしろ巨大な国民データベースの構築で ある。一方、デンマーク国民はといえば、国民ID制 度に伴うこのような文化的な重荷について、30年以 上も何一つ感じていないのである。 これら4ヵ国はすべてEU(欧州連合)の加盟国である ため、プライバシー、データ保護、人権に関するEU の取り決めを支持する義務を有している。したがって、 各国は一連の共通基準を満たす国内法を成立させる必 要があった。しかし、その要請の影響は、国ごとに大 きく異なっている。フランスでは、1998年に発効した EUプライバシー指令(EU Privacy Directive)に沿った 既存のデータ保護法の修正審議があまりに長期化した ため、EUが法的行動に出たほどである。その反対に デンマークは、すでにEUの要求より厳しい保護法を 施行していたため、実際には規制を緩める必要があっ た。デンマークの場合、実際にはこの調整作業により、 それ以前からの国内のプライバシー保護がある程度犠 牲になったかもしれない。 欧州におけるプライバシーと技術について —— 135 電子政府・電子自治体のプライバシーに関する調査研究 報告書 同様に各国間での相違が目立つ点として、プライ バシー強化技術の理解度と採用度がある。ここに取 り上げた4ヵ国のなかでは、唯一デンマークだけがプ ライバシー強化技術をまったく考慮していなかった。 おそらく、政府に対する国民の信頼が非常に高いと いう文化的特異性も一因となっているのであろう。 しかし同時に、デンマークは一般にハイテク分野に おける革新の聖地ではないこと、そしてこの4ヵ国の 中で唯一目立ったプライバシー強化技術製品やプラ イバシー強化技術研究が存在しないことも、その要 因になっていると考えられる。フィンランドについ ては、携帯電話メーカー大手のNokia(ノキア)社をは じめとする多数のハイテク企業が本社を置くほか、 オープンソース・ソフトウェアLinux(リナックス)の 作者Linus Torvalds氏といったハイテク業界の著名 人の母国としても知られる。しかし結局のところ、 組織的にプライバシー強化技術を採用しているのは フランスのみである。フランスはカード詐欺を防止 するためにクレジットカードのスマートカード化を 推進してきた。カードそのものはプライバシー強化 技術ではないが、暗号化技術がカードに組み込まれ ており、その意味ではこれもプライバシー強化技術 として存在していると解釈できるだろう。 しかしこのようなフランスの状況がひどく皮肉に 感じられるのは、同国が強力な暗号化――おそらく 最も重要なプライバシー強化技術――に対して最も 厳しく規制しているからである。そこからは二つの 結果が生じている。第一に、フランスでは、ドイツ の注目すべきケースを除けば、ほとんどの国よりも 高水準の暗号活動が行なわれているということ。第 二に、フランスの暗号分野で市販されている製品に とって明るい見通しはほとんどないということであ る。他国においては、暗号化技術について激しい論 争があった。しかし、例えば英国では、こうした論 争は2000年の調査権限規定法(Regulation of Investigatory Powers Act:RIPA)の制定により終焉 を迎えた。Foundation for Information Policy Research(情報政策研究財団)などの組織からの猛反 発を受けて、第三者への復号鍵の寄託を義務づける 計画は取り下げられた。以来同国では、ケンブリッ ジ大学を中心としてこの分野の研究が続けられてい るが、プライバシー活動家にとっては、他のテーマ のほうがより重要な課題となっている。 「システムの熱病」に侵された者の特徴として、 George Orwell氏の造語である「二重思考」の高い レベルにあることが指摘できるように思われる。二 重思考とはすなわち、一つのことを主張しながらほ かのことをして、その言行不一致に気づかずにいる ことである。誰もが従来どおりの自由の保護を望む 136 —— 欧州におけるプライバシーと技術について と主張する。誰もがプライバシーや言論の自由を尊 重せよと訴え、公共の情報にアクセスできる市民権 を要求し、自身の個人情報に対する公共アクセスの 管理を求める。しかしデンマークでは、新たな電子 政府サービスに向けてプライバシー強化技術の採用 はこれまで検討さえされておらず、英国でも、スマ ートカード方式の交通機関用チケットやロンドンの 「渋滞税」(Congestion Charge)に匿名形式の現金支 払いを認めるかどうかなどについて、国民の間に議 論が起こっていないない。その一方で、少なくとも フランスの一部の政治家は、フランスがデンマーク のように透明度の高い国になりさえすれば社会がよ り自由になるのではないかと確信し始めているよう に思われる。 「情報時代」のシステムを設計する際に念頭に置 くべき重要な点は、監視カメラや交通チケット、さ らにはデジタル著作権管理でさえ、開発や適用が可 能なプライバシー侵害技術の初歩に過ぎないことで ある。英国はすでに同国のDNAデータベースに100 万人分のサンプルを登録したことを誇らしげに公表 し、フランスもそれと同じ数字を目標に設定してい る。こうなってくると、危険に晒されているのは、 単に住居や行動、思想などのプライバシーにとどま らない。われわれの自己そのものに関するプライバ シーが関わってくるのである。 セキュリティーや環境保護を後から追加するのが 難しいのと同様に、すでに設計の済んだシステムに、 後からプライバシー対策を加えるというのは容易な ことではない。システムがデータを発生させるもの であれば、遅かれ早かれ、そのデータを保持したり、 分析したり、アクセスしたりしようとする者が出て くる。こうした原理が実際に作用した例として、英 国の自治区が監視カメラの録画を保持していること や、フィンランドの首都ヘルシンキの交通機関が 後々の検索のために人々の交通機関用トラベルカー ドのデータを保持すると決定したことが挙げられる。 したがって、プライバシー強化技術導入の可否と方 法を考慮すべきタイミングは、システムの設計が行 なわれている時点である。プライバシーは最初から 考慮されなければならないし、基礎の部分から組み 込まれなければならない。そして、個人の権利を保 護する技術の設計を規定するのは文化と法であるべ きであって、技術の方が文化と法を規定すべきでは ないのである。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §2-1.デンマークにおけるプライバシー強化技術 <目次> (Privacy Enhancing Technologies in Denmark) Stephan J. Engberg Stephan J. Engberg氏はInternational Advisory Board of Privacy International(インターナショナル・アドバ イザリー・ボード・オブ・プライバシー・インター ナショナル)の会員であり、Open Business Innovation(オープン・ビジネス・イノベーション、 www.obivision.com)の創設者であり、EUのNetwork of Excellence in Privacy & Identity Management(ネ ットワーク・オブ・エクセレンス・イン・プライバ シー&アイデンティティー・マネジメント)の会員で あるほか、商業的にプライバシー強化技術を手がけ てもいる。また、Copenhagen Business School(コペ ンハーゲン・ビジネス・スクール)およびIT University(IT大学)のさまざまな大学院課程でプライ バシー・マーケティングを講義している。 1.はじめに(Introduction) 1-1.デンマーク科学・技術・イノベーション省に よる声明(Statement from the Danish Ministry of Science, Technology and Innovation) 2.法的整備の状況(Legal landscape) 3.政策および技術の変化(Transformations in policy and technology) 4. プライバシー強化技術とデンマーク(PETs and Denmark) 4-1.医療(Health Care) 4-2.給付金詐欺の防止(Control of benefit fraud) 4-3.研究、プロセス管理、品質保証(Research, process control or quality assurance) 5.その他の問題(Other issues) 5-1.公共と民間セクターの連携強化(Increasing links between public and private sectors) 5-2.ポータルサイト:セキュリティー・リスクの 集中(Portals: concentrating security risks) 5-3.チップカード/デジタル署名 (Chipcards/Digital Signatures) 6.考察と結論(Implications and conclusions) 6-1.プライバシーの無視(消極的な容認) (Privacy Ignored (Passive Acceptance)) 6-2.信頼の危機(消極的な抵抗) (Trust Trap (Passive Resistance)) 6-3.プライバシーの障壁化(積極的な抵抗) (Privacy Barrier (Active Resistance)) 6-4.プライバシー問題の解決(積極的な容認) (Privacy Solution (Active Acceptance)) 6-5.結論(Conclusions) 欧州におけるプライバシーと技術について —— 137 電子政府・電子自治体のプライバシーに関する調査研究 報告書 1.はじめに (Introduction) デンマークの伝統的な特徴として、行政の効率性や、 政府に対する国民の信頼、それに社会的弱者を支え る福祉制度といった経済的豊かさが挙げられる。デ ンマークは「情報化社会」への移行を目指しながら、 プライバシー、信頼、効率、豊かさという4要素すべ てを維持する方法を模索している。 政府への信頼の基盤となっているのは、国民と国 家の間で結ばれた一種の文化的社会契約、そして実 際的かつ協力的な解決策を速やかに選択する傾向で ある。これを象徴しているのが、いまだ他に類を見 ないDankort(各銀行が共同で運営するクレジットカ ード[訳注:厳密にはデビットカード])や、効率的な Value Paper Clearing House、Central Person Register(CPR:中央個人登録)制度などである。 国民は、法により相当なプライバシー保護を受け ている。その一方で、デンマークは1968年という早 い時期から国民ID番号の制度を採用している。この ID番号はCPR番号と呼ばれ、現在では国民生活のほ ぼすべての場面で識別子として使用されている。 デンマークの哲学者Ole Fogh Kirkeby氏は先ご ろ、行政にビジネス経営の文化が取り入れられたこ とにより、行政サービスの伝統的な文化が蝕まれつ つあると示唆した(Ole Fogh Kirkeby『Loyalty』 2002 (http://cbs.dk/staff/ole.fogh.kirkeby/publ.htm))。民 間部門を真似れば、ひいては視野が狭くなり、国民 全体に対する誠実さが低下する。このような考え方 の原点には、デンマークの行政の効率性および国民 の政府への信頼が比較的高水準にあるという事実が ある。その傾向はこれまでのところ維持されている ものの、権限という観点から見てみると、国民はあ まり力を持っていない。各データベースにはきわめ て詳細なデータが保存されており、国民ID番号制度 を通じて容易に結びつけることができる。ブレーキ の役目を果たすのは、法律およびコスト面での障壁 のみである デンマークには、二つの特色がある。まず、CPR 番号制度を軸に非常に統合が進んでいる点。第二に、 国民の政府への信頼度が世界的に見て最高水準を誇 る――ほかのスカンジナビア諸国さえもしのぐ―― 点である(世界経済フォーラム2002年信頼度調査 (http://www.weforum.org))。ただし、デンマークを 引き合いに出して、国民ID番号制度と政府への信頼 感との間に、確実に相関関係があると主張または示 唆するのは誤りである。この点は強調しておかなけ ればならない。 デンマークの場合には、特殊な文化的側面が関わ 138 —— 欧州におけるプライバシーと技術について っている。オランダの文化学者Geert Hofstede氏が 指摘したとおり、デンマークは一種の文化的社会契 約によって統治されているように思われる。スカン ジナビア、とりわけデンマークの文化は、権力格差 が小さく、また不確実な未来を恐れず果敢に行動す る傾向が強い一方で、協調志向(女性的価値)が強いと いう独自性を持っている。権力濫用や権力集中は容 認されず、また望まれてもいない。 民間部門への信頼は低いが、公共部門は従来、国 民に対する侵害行為を防ぐ味方と考えられている。 とはいえ、その信頼は盲信とはなっていない(1999年 に行なわれた大規模な調査で、非常に高い信頼を表 明するには明らかなためらいがあることが示された (http://www.sociology.ku.dk/vaerdi/ddvhome.html))。 デンマークの公務員の間には、国民に奉仕しようと いう強い決意と責任感を特色とする確固とした文化 があり、昔から、国民への侵害行為の予防こそがこ の文化の中核だった。その成果は、デンマークで一 般に汚職が少ないことや、政権に変化があってもな お国家の安定性が失われないことなどに表れている。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 1-1.デンマーク科学・技術・イノベーション省による声明 (Statement from the Danish Ministry of Science, Technology and Innovation) デンマークにおける政治目標――プライバシー デンマークにおける電子政府 デンマーク政府のIT・通信政策の目標は明確であり、以下に貢献することを狙いとしている。 • デンマーク民間部門の成長促進 • 公共部門の改革 • 来たるべき情報化社会に向けたデンマーク国民の技能育成. デンマーク政府は、公共部門におけるIT投資から見返りを得ることを切望している。 政治目標には次のようなものがある。 ・公共部門は内部での業務と連絡を電子的に行なう。外部の市民および企業とも、 業務と連絡を電子的に行なう。 ・行政サービスは市民を中心とし、公共のデータおよび現在増加中の公共部門のポータルサイトを 再利用する。 ・IT分野に関して、さらに集中的に取り組み、組織を強化する。 プライバシーに関する原則 デンマーク政府は、公共部門でのより効果的なIT利用を目指すうえで、以下の3つの事項を基本的前提 としている。 • ITは公共部門の効率を上げなければならない。 • ITにより、国民一人一人が公共部門を一層快適かつ柔軟に利用できるようにならなければならない。 • 電子政府によって国民の権利の縮小を招いてはならない。 国民から公共部門への連絡手段としてインターネットの利用を促し、同時に国民のプライバシーを確保す る政策は、以下の法律に基づく。 ■言論の自由 • 憲法 • 欧州人権条約(European Convention on Human Rights:ECHR [訳注:原文はEuropean Human Rights]) • 刑法 ■登録および監視 • 個人情報保護法(Personal Data Protection Act:Persondataloven) [訳注:後述の「個人データ処理 に関する法律」のことと思われる] • データ保護庁(Data Protection Agency)の、登録者の権利に関する2000年7月10日付ガイドライン No.126 • デジタル署名に関する法律(Law on Digital Signatures) • 確実な消費者合意に関する法律(Law on certain consumer agreements:D̲rsalgsloven) ■インターネット使用に関するプライバシーについての情報源 • インターネット上のプライバシーをテーマとした、IT Security Committee(ITセキュリティー委員会) の出版物 • 国民のIT関連の権利に関する現状報告書 欧州におけるプライバシーと技術について —— 139 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • 法律情報ホームページ(www.retsinfo.dk) ■デンマークにおける現行プロジェクト 以上のほか、次に挙げる現行プロジェクトも、デンマークにおけるプライバシー強化技術(PET:Privacy Enhancing Technology)の問題と関連性を持つ。 • ESDHプロジェクト(標準化されたファイル管理) • デジタル署名 • Webreg(企業登録) • E-boks(公共および民間電子メールの集中型ストレージ) • EPJプロジェクト(電子医療) • E-dag(公共部門内での通信の電子化) 2.法的整備の状況 (Legal landscape) 1953年改正のデンマーク憲法には、プライバシーに 関する条項がある。第71条では個人の自由の不可侵 が、第72条では住居、通信、個人書類の不可侵が規 定されている。例外が認められるのは、侵害行為が 司法命令によって行なわれる場合のみである。1978 年、民間登録法(Private Registers Act)がデンマーク 議会を通過し、データ保護における公共部門の役割 が規定された。そして2000年には、EU(欧州連合)の プライバシー指令を履行する国内法として、「個人デ ータ処理に関する法律」(Act on Processing of Personal Data)が施行された。同法によれば、個人 情報は一般、準機密、機密の3種に分類され、それぞ れの分類に応じて異なる処理条件が適用される。 データ保護に関する規定を執行するのはデータ保 護庁(Data Protection Agency:Datatilsynet)であり、 同庁が公共および民間のデータベースや各種登録を 監督する。特に注目すべきは、2000年の法律で、プ ライバシーに影響する新法令が発布される際には同 庁が事前に見解を示さなければならないことが定め られた点である。 そのほかにもプライバシーを保護する法律はいく つかあり、個人情報の取り扱いに関する基本原則を 規定している。中には、民間、公共の各部門別に規 定している法律もある。また、一般市民による情報 アクセスに関する法律もある。実際には、漠然とし た内容のデータ保護法(例えば「個人データ処理に 関する法律」)よりも、これらの法律の方が優先され る。ただし、デンマークの国際的および国内的義務 と一致していることが条件である。 そのほか、デンマークの一般法には、国民による 個人情報へのアクセス権を保障する法律や、公共お よび民間のデータベースへ個人情報を保存する際の 国民からの許可取得を義務付ける法律などがある。 許可なしで行政や公共インフラが個人情報を管理し 140 —— 欧州におけるプライバシーと技術について たり使用することについては、特別な規定がある。 不正アクセス防止策としては、ログや従来のセキュ リティー手段以外、技術的な管理メカニズムは導入 されていない。 しかし、法律面では懸念すべき展開が見られる。 2001年6月の政策によると、警察は犯罪発生時に犯罪 現場近辺で使用されていた全携帯電話のリストにア クセスしてもよいとされている。2002年6月にデンマ ーク議会が制定した法律では、通信トラフィックの データを1年間保存することを義務付けるとともに、 キーストロークを記録する監視ソフトウェアをコン ピューターにインストールすることを法執行機関に 許している。また、移民管理当局がデンマークでの 居住申請者にDNAサンプルを要求することも認めら れている。 しかも、デンマークの社会生活と私生活では、随 所でCPR番号が使用されている。この国は単一の国 民ID番号であるCPR番号を軸に高度に統合されてい る。1968年に導入されたCPR番号は個人の生年月日 に4桁を足した数字で構成されており、行政ではあら ゆる場面で、商業活動でも大半の分野で使用され、 税務当局への申告や、雇用、医療、その他の行政サ ービスなどで使われている。 CPR番号は、30年以上にわたって徐々に浸透して きた。当初は使用を限定することを前提としていた が、「ファンクション・クリープ」(使用される範囲 が本来の使用目的を超えて徐々に拡大されること) により、この国民ID番号はほぼすべての場面で使わ れるようになった。そのため、個人情報に関する垂 直的統合、つまり国民一人一人から、部門内でのデ ータ処理を経て、全国的な統計へと至る垂直的統合 は、ほぼ完成状態にある。異なる部門間での水平方 向のデータ共有は法的メカニズムで制限されている が、技術的な障壁は低い。 垂直的統合の度合いを示す一番の好例として、デ ンマークの所得税申告が挙げられる。税務省 電子政府・電子自治体のプライバシーに関する調査研究 報告書 (Central Customs and Tax Administration: ToldSkat)の用意した書類に署名するだけで、申告が 完了するのである。公立図書館の利用さえもCPR番 号と連動している。デンマーク統計局(Danmarks Statistik)は、世界で最も包括的な国民データベース を有していると公言している。生活のあらゆる場面 から収集した30年分以上の詳細な情報が、各人のID 番号に結び付けられている。 全体的に見て、デンマーク国民のプライバシーは、 許可について定めた複雑な法的システムに支えられ ている。プライバシー強化技術導入の試みはほとん ど、または一切なされていない。 ただ、実世界では従来、以上のような対策がプラ イバシーを保護してきたものの、デジタルな世界で は同程度の効果は発揮できない。プライバシー強化 技術を導入しなければ、現金と等しい匿名性を持っ たデジタル版の決済手段は存在できず、すべての決 済が記録され、個人に結び付けられてしまう。にも かかわらずデンマークは、個人特定と透明性に依存 した一面的な(プライバシーという意味での)セキュリ ティー確保策に固執している。このシステムは全幅 の信頼を前提としており、法律でしかプライバシー 保護策を提供していない。 3.政策および技術の変化 (Transformations in policy and technology) デンマークでは政府に対する信頼が高水準にあるた め、プライバシーに関する法律は従来、民間セクタ ーによる国民のプライバシー侵害を防ぐことを主眼 としてきた。技術的な防止策の例としては、クレジ ットカード情報センターのPBSが挙げられる。PBS はデンマークの銀行の連合体が所有する企業で、す べての決済をきわめて関連付けしやすい形で処理し ている。プライバシー保護策としては決して強力で はないが、小売業者が複数の決済を関連付ける目的 でクレジットカード番号へアクセスすることは許さ れていない。同様に、銀行がクレジット・スコアリ ング[訳註:得点表によって融資適格性を審査し、審 査を自動化・省力化する方法]などを目的に決済のデ ータ分析を行なうことも認められていない。 詐欺行為を追跡する際は、決済のデータを連結さ せ、利用することもできる。ただし、そうしたデー タを他目的で使用することは、可能ではあるが、許 可されていない。デンマークでは、共有されている 信用格付けデータベースというものはない。しかし、 「危険融資先(RKI)」ファイルは共有されている。こ のブラックリストの使用および更新には、厳しい法 規制が課せられている。 デンマーク政府は政府の戦略について次のように 語っている。「高度なセキュリティーは、電子政府運 営にとって必須の前提条件である。一般市民に使用 してもらうにはシステムへの全幅の信頼を得る必要 があるし、公的機関側は、国民との間で行なう電子 的な連絡の相当部分に高度なセキュリティーを適用 する必要がある。この戦略の大きな柱は、国民、企 業、公的機関の電子署名である」(電子政府戦略文書) 国民は、監視と登録の力が拡大しつつあると明言 しているが、個人特定に対する一面的な取り組み方 は変わらない。後述の医療関連レポートで証明され ているように、もし国民が管理権を求めているのな ら、信頼に依存する現行の手法はリスクが大きい。 信頼がなければ、このような知的なプライバシー保 護策は崩壊し、結果として国民の態度も急速に変化 するだろう。透明性が高く、常に個人が特定される ような社会へなおも近づいていけば、なくてはなら ない政府への信頼が崩壊するおそれがある。これは 突き進むには危険な道であり、出口のない袋小路と さえ言える。 他国と同様、デンマークも給付金詐欺やテロへの 対策探しにますます力を注いでいる。データ保持お よびデータ共有を認める新法は、デンマークが過渡 期にある証拠とも考えられる。データの管理権が国 民の手から公共ITシステムへ移る傾向は鮮明になっ ており、この動きによって政府への信頼が質的に変 化する可能性もある。つまり、信頼というものが、 政府の無害な態度から生まれるもの(信頼しない理由 はない)から、恐怖や不信に基づくもの(信頼しなけれ ばならない)へと変わるかもしれないのである。また、 民間部門に対する国民の信頼はもともと低かったも のの、ドットコム・バブルの崩壊で状況はさらに悪 化した。デンマークの企業部門も他国同様に大打撃 を受け、インターネットに対する信頼は危機に陥っ た。他国同様、デンマーク当局もこの危機を解決で きていない。 効率性を向上させるため、これまで電子政府化の 加速に多大な努力が払われてきた。電子政府化が完 了すれば、デンマークは非常に透明性の高い国とな るだろう。その土台は、CPR番号と直結した直接、 間接の個人特定である。電子政府への移行は相当進 んでいるが、国際的にはあまり認知されていない。 全般に、デンマーク行政はすでに垂直統合がかなり 進んでいるため、現在は水平統合や、部門横断的な データ処理のサポートへと向かっており、国民デー タの再利用への依存度が高まっている。信頼、法的 保護、効率という重要な伝統的要素は、電子政府時 代には存続できない可能性もある。 欧州におけるプライバシーと技術について —— 141 電子政府・電子自治体のプライバシーに関する調査研究 報告書 信頼に必要な社会契約が崩壊しはじめている徴候 も出てきている。信頼が崩壊すれば、効率性もプラ イバシーに対する認識も打撃を受けるおそれがある。 技術が個人の生活全般に侵入していることで、信頼 の問題はさらに深刻化している。国民は、監視や登 録の増加のせいで、無力感と不信感を抱いていると 報告している。 当然、このような傾向は文書にも記録されている。 2000年にデンマークで開催された電子的監視に関す る技術会議のレポート(「Electronic Surveillance」 Teknologir̲det 20009 (http://www.tekno.dk))では、 監視や登録の顕著な増加が招き得るさまざまな結果 が論じられており、人間の疎外や、民主主義の核と しての個人に対する脅威などが挙げられている。レ ポートでは、プロキシなどの選択肢に言及している とはいえ、複数のID番号の使用やプライバシー強化 技術に対する意識は非常に低い。これを裏付けてい るのが、2003 Technology Outlookレポート (Technology Outlook/Teknologisk Fremsyn 2003 (http://www.teknologiskfremsyn.dk))で報告された フォーカスグループの調査である。レポートは、デ ンマーク科学・技術・イノベーション省 [訳注:原 文では"Ministry on Science, Telecommunications and Technology"] によって組織された専門家グルー プが、Pervasive Computing(浸透するコンピューテ ィング)について作成したものである。 結論をいうと、残念ながら、みな問題の発生が不 可避に近いと決めてかかっている。一部の専門家は、 完全な透明性が実現した社会は実は今より自由であ るとまで主張している。全体的に見ると、監視や登 録の増加がもたらす負の影響を技術の活用で低減す ることなど、検討すらされていない。つまり、問題 点や危険は認知され、言葉としては語られていても、 現実には無視されているのである。 デジタルの世界は、個人情報濫用の危険が増大し ていく世界である。データベースも、そこに保存さ れるデータも、それにアクセスできる人間の数も増 えていく。データを収集、分析、共有、検索するツ ールも増え、そうした作業を行なうための計算処理 能力は向上し、コストは低下していく。信頼は―― リスクとの相関関係を通じて――デジタル世界の四 方八方からますます強い圧力を受けている。 こうした変化は非常に新しい現象である。デンマ ークでは、EUが定めた低い保護レベルに合わせて、 より規制の緩いデータ保護法を2000年に導入した。 甘くなった法的保護の影響に、国民はようやくさら されはじめた段階である。法規制の緩和のみならず、 デジタル化によるプライバシーへの新たな脅威も加 わって、電子政府の信頼の土台は危うくなっている。 142 —— 欧州におけるプライバシーと技術について この見解は、2001年にDanish Board of Technology(デンマーク技術委員会 [訳注:原文では "Danish Technology Council"だが、注23のサイトを 見ると、Danish Board of Technologyが正式な英語 名称のようである])が作成した地方電子政府に関する レポートで述べられたものである。レポートには、 ある市民による次のような主旨の発言が記されてい る。 「私は政府を信じなければならない――そうでな ければ、常に疑心暗鬼でいなければならない」(地方 電子政府 http://www.tekno.dk)。ただし、ほかの箇 所では、電子政府という概念について肯定的な見方 が記されている。 行政当局を信頼してきた国民が徐々に個人情報の 管理権を要求する方向へと変化している状況は、医 療ファイルに関する2002年国民レポート(Danish Board of Technology[訳注:原文はDanish Technology Council] / Teknologir̲det――Panel on Patient Files (http://www.tekno.dk))ではっきり示さ れ、強調されている。このレポートは、デンマーク 議会の助言機関であるDanish Board of Technology が作成したものである。選ばれた市民たちが、医療 問題の専門家や行政担当者から説明を受けたうえで 意見を表明するよう依頼され、その結果、上記のよ うな変化が示された。 現段階では、確固たる結論を出すことはできない。 しかし、デンマーク社会の伝統的な信頼の土台がデ ジタル情報化社会への移行によって脅かされている ことは、さまざまな徴候が示している。その影響は すでに無視できないほどになっており、もし従来の 信頼水準を維持できると決めてかかるなら、それは 誤りだろう。 4. プライバシー強化技術とデンマーク (PETs and Denmark)************************ 国民の信頼にとっておそらく最大の危険は、改善の 努力を怠ることだろう。そこには、ただ単にプライ バシー強化技術の可能性が理解されていないという だけでなく、もっと複雑な問題が潜んでいる。 諸外国の場合、プライバシー強化技術の使用は情 報コミッショナーと密接に関わっている。プライバ シーを保護するための技術利用について、積極的に 考え、知識を集める情報コミッショナーがいるかど うかが鍵なのである。しかし、デンマークでは事情 が異なり、従来、実用的な技術ソリューションに法 的メカニズムや管理メカニズムを組み合わせてプラ イバシー保護を図ってきた。 2002年秋、Danish Consumer Council(デンマーク 電子政府・電子自治体のプライバシーに関する調査研究 報告書 消費者委員会)は政策の変更を発表し、デジタル化に 伴う脅威から消費者のプライバシーを守る技術的解 決策を求めた。しかし、プライバシー強化技術はま だ導入されていない。 以下では、電子政府におけるプライバシーの多様 な側面を示すため、3つの事例を取り上げる。医療は、 最も複雑であると同時に、飛び抜けて機密性の高い 分野でもある。また、3例の中では質とコストが最も 重視される分野でもある。ほかの2例では、給付金詐 欺の防止と、部門横断的なデータ分析やデータアク セス――主に研究目的で行なわれる――について検 討する。 3例すべてでプライバシー強化技術がプライバシー 保護に役立つ可能性があるが、知られている限り、 適切な技術の検討や導入の取り組みは一切なされて いない。 4-1.医療 (Health Care) セキュリティーにおけるプライバシーの側面が最も 際だっているのは、医療分野である。効率性と質の 向上にとってデータは重要だが、秘密の保持は絶対 的に不可欠である。 デンマークの医療では、デジタル技術による支援 が急速に進んでいる。2005年までに、全国規模でセ マンティック(意味論的)に統合された電子的患者ファ イルを全病床に導入するという野心的な計画もある。 「セマンティック」とは、人間の手を介さずに自動処 理やデータの再利用ができるよう最適化された状態 をいう。例えば開業医と病院と各地の介護施設との 間など、異なる部門間でのデータ共有を支援するさ まざまな方法が開発されている。 一見、デンマークの医療用システムは高度なプラ イバシーや機密性を維持しているように見える。患 者が同意を与えられないケースもある緊急の場合を 除き、患者のデータを共有する際には事前に本人の 許可を得なければならないという厳密な規定もある。 しかし、セキュリティーに関するガイドライン (Healthcare Security (http://www.sst.dk/faglige̲omr/informatik/sikk/info sikker.asp))をもっと詳しく見てみると、プライバシー よりデータアクセスや効率性の方が重視されており、 見た目と実情が異なることがわかる。 患者ファイルは包括的なものとなり、これまで以 上に多くの医療関連分野を網羅するようになるだろ う。CPR番号を索引として、これらの記録は複数の 中央データベースに保存されることになるだろうが、 それを保護する仕組みは従来のアクセス管理だけだ ろう。構想中のセキュリティー・システムでは、大 規模かつ安全なイントラネットができあがると想定 しているが、膨大な数のアクセスポイントが設置さ れるうえ、政府はますます行政サービスの民間委託 を進めようとしている。 個人情報保護の仕組み――偽名の使用や、許可と アクセス管理の真の連結など――を義務付けたり導 入したりする予定は全くない。それどころか、アク セス管理システムに関するセキュリティー・ガイド ラインでは次のように明記している。 (医療分野でアクセス管理システムを構築する場合、 データへのアクセス権を持たなければ患者を死なせ るおそれがあること、また、危篤状態の患者は自身 でアクセス許可を与えられない場合が多いことに注 意すべきである。だからこそ、プライバシーへのア クセスの管理には高度な解決策が必要なのである。) 「したがって、患者ファイルへのアクセスの管理 では、医療関係者に対して目的の情報へのアクセス を拒絶するだけでは不十分である。そうではなく、 複数のレベルを用意しておき、医療関係者が広範な アクセスを許されるレベルへ移れるようにすべきで ある。レベル変更に際しては、通常とは異なる動作 ――ログファイルに特別な印を付けるなど――が行 なわれようとしている旨を、特別なウィンドウの表 示などで医療関係者に警告する必要がある。動作が 正当である場合は、1回キーを押すだけでウィンドウ を通過できるようにしておくことも必須である」 (『Health Security Guidelines』p.37) 国民は誰が自分のデータにアクセスできるかを規 制するよう求めているが、この要望はおそらく技術 設計の中では無視され、前述のようなプライバシー 保護策――大ざっぱなレベル別アクセス許可とログ ファイルに基づく保護策――の範囲内でしか応じら れないだろう。法律上では、医療データにアクセス する際に患者の許可が必須だが、こうした許可は法 の遵守という文脈でのみ捉えられ、アクセス権に実 質的な制限を加えるわけではない。プライバシー強 化技術による解決策の導入など検討すらされないま ま、ITシステムの関係者や医療関係者、システム管 理者など、多くの人が機密性の高い医療データを容 易に入手できるようになるだろう。 4-2.給付金詐欺の防止 (Control of benefit fraud) 地方自治体や社会保険関係当局は、給付金詐欺の発 見と防止に多大な努力を注いでいる。しかし、この 取り組みにおいて国民のプライバシーを保護する法 規制はほとんどない。 デンマークの福祉制度下には多数の給付金プログ ラムがあるが、そのうちかなりの数のプログラムで、 社会保険詐欺を発見しようと国民一人一人について の書類の作成が進んでいる。夫婦の偽装別居や、会 欧州におけるプライバシーと技術について —— 143 電子政府・電子自治体のプライバシーに関する調査研究 報告書 社の車の私的利用、失業者による無登録就労といっ た詐欺を発見したいがために地方自治体が国民を監 視下に置いていいのかどうか、最近では法律論議が 展開されたり制限が加えられたりしている(デンマー ク議会のウェブサイトとメディア報道)。 4-3.研究、プロセス管理、品質保証 (Research, process control or quality assurance) 効率的かつ高品質のサービス提供を求める圧力の高 まりや、医学研究および医療プロセスの質を求める 声もまた、きわめて詳細な書類の作成を促している。 こうした書類には、個人に関する特殊な情報が集ま りつつある(例えば、National Indicator Project(http://www.nip.dk)など)。 現在、処方箋と医療関係の購入情報をすべて保存 する大規模な中央データベースが構築されている。 これらの情報は、CPR番号や、処方箋を作成した医 師と関連付けられる。増加する医療費の抑制が狙い だが、このほか複数機関にまたがった個人の治療の 質を調べる目的でも、大規模な中央データベースの 構築が進められている。 複数の情報源、あるいは複数の時期を結び付ける 研究では、匿名化は不可能である。 5.その他の問題 (Other issues) デンマーク文化に起きているその他の顕著な変化に ついても、ここで論じる意義があるだろう。 5-1.公共と民間セクターの連携強化 (Increasing links between public and private sectors) 営利目的で収集・保存された住居登録ファイル (BBR)などの個人情報が再配布されていることや、 担保など従来は紙の形だったデータがオンラインで 見られるようになったことは、新しい傾向といえる。 さらに、データの微細化(デンマーク統計局によるモ ザイク(Mosaic)などの統計)や、主要CPRファイルと 対照したうえでの顧客データベースの「洗浄」、「危 険融資先」ファイルの共有が可能になったことも新 たな現象である。 ここで考慮すべき重要な問題は、このデジタル時 代に、公共と民間セクターを分離するのが信頼とプ ライバシーの観点から見て意味あることなのかどう かという点である。それよりも、これからはデータ を管理するのが誰か――個人かシステムか――を重 視すべきである。 5-2.ポータルサイト:セキュリティー・リスクの集中 144 —— 欧州におけるプライバシーと技術について (Portals: concentrating security risks) 現在、利便性と効率性のために、ポータルサイトの 導入が計画されている。だが、CPR番号に基づいた ポータルを作れば、たった一つの場所でセキュリテ ィー全体が脅かされることになる。外部からの侵入 や内部でのセキュリティー侵害が起きた場合、国民 や企業に関する膨大なデータが露出したり、複数部 門のデータへのアクセスが行なわれることになる。 5-3.チップカード/デジタル署名 (Chipcards/Digital Signatures) 最近、デンマークの通信最大手TDCは、税務当局と 協力し、国民全員に無料のソフトウェアキー方式の デジタル署名を提供する契約を獲得した(デンマーク 科学・技術・イノベーション省 http://www.vtu.dk)。匿名証明書用の技術設計もこ こに含まれているが、奨励はされていない。また、 信用機関に身元情報を開示させる際にも、裁判所命 令が求められることはない。 このソフトウェアキー方式のソリューションをど のようにスマートカード型のソリューションに発展 させるか、現在、方法が話し合われている。概して、 このケースでは技術的なプライバシー保護策やプラ イバシー問題も取り上げられている(「Report on Business opportunities in multi-application Chip cards」http://www.oem.dk)。 6.考察と結論 (Implications and conclusions) デンマーク電子政府のシステムにおいて、プライバ シーは今後どうなっていくのか。これを占ううえで、 二つの指標が重要な意味を持っている。第一は、国 際的に比較した場合の効率性レベルである。昨日は 高水準だったものが、今日は平均的となり、明日は 平均以下になるかもしれない。第二は、プライバシ ーや個人情報に対する権限の大きさで見た場合の、 国民と国家の力のバランスである。ここでは、図1の ような2行2列の表で示せる4つのシナリオを考える。 現在の趨勢は、明らかに右の方向、つまり効率性 のためにプライバシーを犠牲にする方向へ進んでい る。プライバシー保護を強化する取り組みは全くと 言っていいほどなされていない。その一方で、これ までデジタル形式で利用できなかったデータをデジ タル化する取り組みは、多数進行している。また、 異なる部門間でのデータ共有を拡大したり、特殊な 分析を行なうためにさまざまな角度から詳細なプロ フィールを収集したりする動きもある。そのうえ、 透明な社会を目指す商業的・技術的な傾向が、プラ 電子政府・電子自治体のプライバシーに関する調査研究 報告書 イバシーへの深刻な脅威となりそうである。 ここからは、今後のシナリオを4種類描いてみる。 このシナリオに酷似した信頼危機はすでに世界中で 発生しはじめているため、デンマークで起きる確率 も高いと思われる。 6-3.プライバシーの障壁化(積極的な抵抗) (Privacy Barrier (Active Resistance)) (Open Business Innovationによる) 信頼の爆弾が爆発するか、何らかの形で国民が政府 に対する信頼を裏切られたと感じた場合、プライバ シーが大きな障壁になるかもしれない。このシナリ オでは信頼の水準が低く、プライバシー保護運動が 活発化し、国民が積極的に技術的進歩に抵抗する。 国民の抵抗により、電子政府計画は停止や遅延や重 大な変更を余儀なくされ、公共部門による消費者デ ータ使用に厳格な規制が課せられる。税金や医療、 福祉などの分野で大きなセキュリティー問題が生じ たとき、このシナリオが現実となる可能性がある。 国民から政府への権限移行を禁じる政治的な合意が 成立すれば、経済効率とサービスの質の向上が阻ま れるだろう。 6-1.プライバシーの無視(消極的な容認) (Privacy Ignored (Passive Acceptance)) 政府がプライバシーより効率性を重視するシナリオ である。国民は、規制の縮小や、おそらくは疎外感 の強まりなどの問題を感じながらも(「Report Future Bottlenecks to the Information Society」 http://www.jrc.es/FutureBottlenecksStudy.pdf)、努 力を放棄し、あらゆる決済で個人が特定される透明 な社会へ向かう流れを変えようとしなくなる。「プラ イバシー選択プラットフォーム」(P3P)など簡単なプ ライバシー強化技術の導入でこのシナリオの進行が 遅れることもあり得るが、プライバシー保護が一歩 後退するたびに、個人情報濫用のリスクが膨らみ、 いわば信頼の爆弾が爆発の瞬間へと近づいていく。 現在、プライバシーへの意識が高まっていることや、 信頼から規制要求への潮流の変化に国民が気づきは じめたことを考えれば、このシナリオは長くは持続 しないと思われる。 6-4.プライバシー問題の解決(積極的な容認) (Privacy Solution (Active Acceptance)) このシナリオでは、効率性とプライバシーの対立を 解消または軽減するために、プライバシー強化技術 を導入しようという積極的な決断が下される。長期 間持続可能で、信頼水準も高いシナリオである。デ ンマークでは、国民ID番号制度を廃止する動きは起 こりそうにない。したがって、このシナリオでは制 度自体を廃止するのではなく、既存の国民ID制度の 構造を複数のIDを用いる構造へと徐々に転換するこ とになるだろう。 政府側が先を見越した決定を下す場合と、国民に 変更を強要される場合とでは、特に信頼度とコスト に大きな差がある。国民が公共システムにプライバ シー強化技術を組み込むよう要求しはじめるとすれ ば、それは信頼がすでにダメージを受け、しかもデ ジタル化への投資がプライバシー問題の解決以外に 使われたためだろう。 6-2.信頼の危機(消極的な抵抗) (Trust Trap (Passive Resistance)) 従来の信頼モデルが成功しなかった場合、デンマー クは「信頼の危機」シナリオに陥るかもしれない。 このシナリオの特徴は、信頼もプライバシーも効率 性も低いことである。プライバシーを侵害する電子 政府のサービスと、プライバシーとは対立しがちな 技術的進歩によって、信頼の崩壊と消極的な抵抗が 起き、デンマーク社会の伝統的な強みがダメージを 受ける。国民は情報化社会を嫌い、消極的に逆らっ て、情報化社会の持つ最大の可能性の実現を阻む。 6-5.結論 (Conclusions) デンマークの伝統的な特徴として、行政の効率性や、 政府に対する国民の信頼の高さ、それに社会的弱者 を支える福祉制度といった経済的豊かさが挙げられ る。この非常に魅力的な地位を維持するには、情報 化社会への困難な移行を成功させ、それと同時に、 質と効率、ならびに政府に対する国民の信頼も向上 させなければならない。 しかし、諸外国はデンマークの例を模倣しようと 試みるべきではない。デンマーク・モデルはこの国 欧州におけるプライバシーと技術について —— 145 電子政府・電子自治体のプライバシーに関する調査研究 報告書 独特の文化的条件があってこそ成り立ったのであり、 デジタル化という新たな課題に直面して、このモデ ルの持続性自体もあやしくなっているためである。 単一の国民IDと結合した完全に透明な社会は、袋小 路の様相を強めている。 仮に国民と政府の間の信頼モデルが現状どおり維 持されるとしても、何らかのプライバシー強化技術 をはじめとする新たなセキュリティー・メカニズム がなければ、民間部門との間には信頼は生まれない だろう。電子商取引に対する消費者の信頼はきわめ て低く、プライバシー侵害の危険性も明白すぎるほ どである。 デンマークの課題は、CPR番号制度を生み出した 知的・文化的前提に疑問を持つようになることであ る。最良の方法はおそらく、管理権を国民の手に返 すため、この過渡期にプライバシー強化技術を用い て国民ID制度を設計しなおし、複数IDを使った先進 的な制度を構築することだろう。このような方向に 進めば、セキュリティーと効率性を実現しながら、 同時に国民の信頼とプライバシーを確保できると思 われる。 146 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §2-2.フィンランドにおけるプライバシー強化技術 1.はじめに (Introduction) (Privacy Enhancing Technologies in Finland) Herko Hietanen と Mikko Valimaki <目次> 1.はじめに(Introduction) 2.法的整備の状況(Legal landscape) 3.政策および技術の変化(Transformations in policy and technology) 3-1.RFIDとマス・トランジット・トラベルカード (RFID and Mass Transit Travel Card) 4.フィンランドにおけるプライバシー強化技術 (PETs in Finland) 5.その他の問題(Other issues) 6.考察と結論(Implications and conclusions) フィンランドは国民識別番号制度を擁しているが、 プライバシー擁護の観点からは不評を買っている。 1970年代に導入されて以来、この番号は、パスポー ト、運転免許証をはじめ、さまざまなデータファイ ルにおいて、公共・民間セクターを問わず広く利用 されている。一方でフィンランド政府は1999年、政 府の保証するデジタル証明書データを含む、スマー トカード技術を採用した新しいカードの発行を開始 した。また、携帯電話や双方向テレビシステムに使 用するSIM(加入者識別モジュール)カードに、それら を組み込む計画もある。 これらの情報がすべて政府のデータベースに収め られることになれば、当然、セキュリティーの問題 が懸念される。フィンランドの行政機関の大半は、 何らかの情報セキュリティー指針に基づいて管理さ れている。さらに最も先駆的な組織は、計画から施 行および監視に至るまで、情報セキュリティーにお ける主要な要素について情報セキュリティー運用管 理システムを設けている。また情報セキュリティー 管理の規格であるBS7799を取得している組織もある (http://www.c-cure.org/)。 医療分野では、業務の電子化、情報セキュリティ ーの確保、データの保護といった取り組みが、さま ざまな試験プロジェクトにおいて進められており、 電子診察カード、安全なユーザー認証、電子通信に おける暗号化などが、公的医療機関においてすでに 導入されている。 中央政府においては、情報セキュリティーが関係 する業務は多くの組織に分散されている。一方で地 方政府においては、状況はそれぞれ異なる。しかし 総じて、誰が情報セキュリティーの構築に対して責 任を負うのか、十分に明確にされていない。地方政 府のITシステムが中央政府のITシステムに接続され る場合は、内務省がこれを管理する。The Advisory Committee for Data Management in Public Administration(JUHTA:行政におけるデータ管理 のための諮問委員会)およびAssociation of Finnish Local and Regional Authorities(フィンランド地方自 治体協会)も情報セキュリティーに関する措置を講じ ることになっているが、さもなくば地方政府が独自 に管理を行なう(FICORA Report:「Information Security Review Related to the National Information Security Strategy」 http://www.ficora.fi/englanti/document/review.pdf)。 情報セキュリティー対策についての法律および規 定は、国家として、あるいは国際的な協調に基づき 整備されつつある。現在、電子商取引における信頼 欧州におけるプライバシーと技術について —— 147 電子政府・電子自治体のプライバシーに関する調査研究 報告書 性、身元の証明およびデジタル署名にかかわる問題、 公開鍵インフラ(PKI)の構築とその規制、サービスプ ロバイダーおよび事業者に対する情報セキュリティ ーに関する要件の策定など、さまざまな問題につい て議論が行なわれている。 フィンランドが国および自治体の情報開示につい てきわめてオープンな政策をとっていることは注目 に値する。情報へのアクセス権は法律に明記されて おり、政府における情報開示および適切な情報管理 を推進すること、そして個人や組織に対して、その 実施状況を監視する機会を与えることが義務付けら れている。 大企業は一般的に情報セキュリティー 対策に積極的だが、実施状況は企業によってさまざ まである。情報セキュリティーに対する見解は人に よって異なり、個別の内容になると、その知識の程 度もまちまちである。こうした見解や知識の差によ って、全体としての管理が不十分になることも少な くない。大企業では、財務監査と結び付けて情報セ キュリティーに関する監査が行なわれる場合もある。 中小企業の情報セキュリティー水準は、取引相手 である大企業や顧客からの要望に左右される場合が 多い。サプライヤーや下請業者が、企業や顧客の情 報システムへのアクセスを許可されるケースはます ます増えている。一方で小規模な企業は通常、法律 で保護が義務付けられている個人データを除いては、 大がかりなセキュリティー対策が必要な情報を扱う ことはない。 企業にとって情報セキュリティーへの意識を高め る最も一般的な方法は、情報セキュリティー指針を 定めることである。一部の企業は、BS7799規格に基 づく情報セキュリティー対策を講じている。情報セ キュリティー規格による認証は、情報セキュリティ ーへの意識の向上に貢献している(FICORA Report)。 2.法的整備の状況(Legal landscape) フィンランド財務省およびラップランド大学 (University of Lapland)は1997年、情報セキュリティ ーに関する法律の起草にあたり、共同で基礎調査を 実施した(Tietoturvallisuus ja laki. Nakokohtia tietoturvallisuuden oikeudellisesta saantelysta. ラップラ ンド大学(University of Lapland) 1997年)。そして 1998年、独立した情報セキュリティー法を制定する 必要はないと結論した。 ただし通信事業者、医療業界、政府機関など、対 象を特定した多くの法律には情報セキュリティーに 関する規定が含まれている。これらの法律の条項は、 たいてい特定の技術に依存するものでなく、データ 148 —— 欧州におけるプライバシーと技術について とその保護の手法という基本的な要件に焦点を定め たものである。フィンランドの法律をEU (欧州連合) の規定や特定の国際協定に準拠させるためには、新 しい条項を策定する必要が生じる。 そうした必要が生じたとして、仮にフィンランド が情報セキュリティーに関して規定する包括的な法 律を定めれば、それは有用なものとなるだろう。法 律が制定されれば、情報セキュリティーに対する社 会の意識と関心が高まることになる。ただし包括的 な法律が存在するか否かにかかわらず、情報セキュ リティーは、すべての法律において考慮されるべき である(FICORA Report)。 フィンランド憲法における政体法(Constitution Act of Finland)第8条は、すべての個人について、そ の私的な生活、尊厳、住居を保護しており、さらに データ保護に関する法律は国会により定められるこ とが記されている。フィンランド国会は1987年に 「個人データファイル法」(Personal Data File Act)を 可決した。同法は1999年、EU指令に準拠させる目的 で改正され「個人データ保護法」(Personal Data Protection Act)となった。 改正前の法が情報の使用と開示に関して規定して いたにすぎなかったのに対して、改正後の個人デー タ保護法は、本人による事前の同意および情報につ いての自己決定を規定している。また個人データを 私的に、すなわち純粋に個人的に使用する場合、あ るいは報道および芸術の目的で使用する際には個人 データ保護法は適用されない。また防衛および公共 の安全保障のための同法の除外規定については、別 途定められている。 またフィンランド政府は、警察の犯罪情報システ ム内のデータ、国の医療サービスが所有する医療情 報、パスポート情報、自動車登録情報については別 途規定を設けている。ただしこれが憂慮すべき問題 に発展している。例えば1999年に制定された法律に よると、警察官が交通違反者に罰金を科す際、携帯 電話で違反者の納税記録にアクセスし、適切な(つま り恐らく納税額にふさわしい)罰金額を決定すること が可能なのである。 企業に適用される法律は主として二つある。一つ は個人データ法(Personal Data Act)で、この法律は、 私的な生活をはじめとする基本的な権利を保障して おり、個人データを処理する際のプライバシー権を 保護する。さらに同法は、適切なデータ処理方法の 構築とその遵守を推進する。もう一つは、職場にお けるデータ保護に関する法律(the Act on Data Protection at Work)で、データ保護についての包括 的な条項が盛り込まれている。個人データ法の条項 は職場でのデータ保護にも適用される。さらに基本 電子政府・電子自治体のプライバシーに関する調査研究 報告書 権のほか、労働法、公務員法、労働安全法、刑法な どに、職場におけるデータ保護に関連する、相互補 完的な条項が多数存在する(http://www.mol.fi/english/working/dataprotection.html)。 通信サービス事業者には、特別の規定が適用され る。これらの事業者は、フィンランド法およびEU法 によって、ネットワークセキュリティーに関するあ らゆるリスクと、とり得る対処法をユーザーに通知 することが義務付けられている(Directive 97/66/EC、Article 4)。インターネット・サービ ス・プロバイダー(ISP)は、コンピューターウイルス やデータへの不正侵入をはじめとする、インターネ ットに関連する情報セキュリティーへのリスクをユ ーザーに通知する義務がある。ISPはまた、こうし たリスクの回避方法と想定される被害について、ユ ーザーに報告する義務も負う(Act on the Protection of Privacy and Data Security in Electronic communications(565/1999))。 多くの公的な組織が、データ処理に関する法律の 監督を行なっている。データ保護オンブズマンおよ びその事務局は、個人データ処理に関するあらゆる 問題について指導および助言を行なうとともに、法 律の遵守状況を監視している。データ保護オンブズ マン事務局は、司法省との連携で運営される独立機 関である。事務局は、国務会議(Council of State)が 任命したデータ保護オンブズマンによって運営され る。オンブズマンの任期は5年で、1997年11月1日か らはReijo Aarnio氏が就任している。事務局は合計 18人の職員を擁している。 オンブズマン事務局の任務は、以下に述べる取り 組みを通して、市民の基本的権利の一つであるプラ イバシー権を維持し推進する。 • データ保護オンブズマンに対して法律により課 された義務を遂行する • プライバシー侵害の発生を未然に防ぐためデー タの管理者を監視する • 民間部門、政府機関、および裁判所に助言を求 める • 適切なデータ処理慣行を推進し、 教育活動を行なう • プライバシー強化技術の開発に助言を与え、こ れを支援する データ保護オンブズマンの主要な任務としては、登 録簿の管理に関して事前に法律の遵守を徹底させる ことがあげられる。データ保護オンブズマン事務局 は、データ管理者およびデータ主体の双方に対して、 個人データ法(Personal Data Act)における情報を提 供する。さらに事務局内の専門家が、その他の組織 と共同で企画するセミナーで講義を行なう。事務局 はまた、電話での問い合わせに対して助言も与える。 さまざまなデータシステム・プロジェクトに対する 指導や助言は重要な任務であり、絶えずその必要性 は高まっている。 データ保護オンブズマンは包括的な指導のほか、 データ管理者およびデータ主体の要望に応じて指導 や助言を与える。さらに法の遵守と、データ主体の 権利の行使に関して決定を下す。個人データを照合 し修正する権利の行使に関して、オンブズマンの決 定は拘束力を持つが、決定に対する意義が申し立て られる場合もある。 法律に基づきデータ管理者は通知義務を負い、こ れに対する監督が行なわれる。ただしデータ保護指 令(Data Protection Directive)の枠内で、顕著なほど の例外が認められる場合がある。さらにデータ処理 に関する法の遵守状況の評価、データ管理者に対す る指導、システムの基準の改善と違反の防止を目的 とした監査が行なわれる (http://www.tietosuoja.fi/1560.htm)。 指導および助言がなされたにもかかわらず状況が 改善されない場合、データ保護オンブズマンが、当 該の違反行為をData Protection Board(データ保護委 員会)に通告し、判断を仰ぐこともある。 Data Protection Boardは、委員長、副委員長、お よび5人のメンバーで構成され、それぞれ登録業務に 精通していることが求められる。委員は、国務会議 により任命され、任期は3年となっている。委員会は、 個人データ法の規定に基づき問題を処理し判断を下 すほか、データ保護オンブズマンの要請に応じて個 人データの処理に関する規制を行なう。一定の条件 を満たした場合に限り、データ管理者に個人データ の処理を許可する場合もある。 また委員会は、個人データ法の施行あたって根幹 をなす問題の処理にあたり、個人データ処理に関す る法律が必要か否かを監視するほか、必要と判断す れば立法化に向けた提案を行なう。 フィンランド財務省は、政府のITシステムの情報 セキュリティーを監視する責任を担っている。財務 省のSteering Committee for Data Security in State Administration(VAHTI:国家行政におけるデータセ キュリティー運営委員会)は、政府機関や関係部門の 情報セキュリティーを向上させるため、数々の指示 や提言を行なっている。VAHTIによる提言は、情報 セキュリティー全般に及ぶ指示や慣習として広まっ ており、中央政府以外の公的機関においても、これ らが適用される機会が増えるかもしれない。VAHTI と財務省は過去20年間にわたり、情報セキュリティ ーについての提言を行ない、関連する資料を提供し 欧州におけるプライバシーと技術について —— 149 電子政府・電子自治体のプライバシーに関する調査研究 報告書 ている。 そのほかフィンランド通信規制局(Finnish Communications Regulatory Authority:FICORA) が、電子通信および情報化社会におけるさまざまな サービスについての問題に包括的に対処している。 FICORAの任務は、フィンランドの情報化社会の発 展を促すことにある。 電子通信におけるプライバシー保護とデータセキ ュリティーの確保もFICORAの任務であり、中でも COMSEC(communications security)と呼ばれる業務を 手掛けている。COMSECの目的は、通信におけるセ キュリティーの信頼性を高め、ネットワークを経由 したコンテンツやサービスの提供を促進し、情報化 社会に貢献することである。FICORAはまた、 Computer Emergency Response Team(CERT:コン ピュータ緊急対応チーム)としての役割も担い、デー タセキュリティー侵害の探知と対策を行なっている。 COMSECの目的は、ネットワークユーザーの通信 プライバシーを保護し、通信ネットワークのセキュ リティーを確保することにある。FICORAは、安全 な電子サービスや信頼できる認証サービスなど、通 信セキュリティーに関連した情報や指針を提供する ほか、情報セキュリティー関連のリスクについて警 告し、暗号化技術の導入を推進している。 FICORAは、通信サービスを提供する通信事業者 におけるプライバシー保護と情報セキュリティーを 監督し、技術的な規制と指針を与えている。また通 信事業者が緊急事態に備えて対策を講じ、通信サー ビスのユーザーに対して情報セキュリティー侵害の リスクとその予防策を通知するよう指導している。 2003年2月1日に施行された電子署名法(Act on Electronic Signatures)により、特定の方法で作成さ れた電子署名は、手書きの署名と同じ効力を持つこ ととなった。電子署名に関するFICORAの任務は、 有効な証明書を発行する認証機関を監督することに ある(FICORA Report)。 には偶数が割り当てられる。コントロールサインに は数字か文字のどちらかが使われる。 3.政策および技術の変化 電子IDカードは各地の警察署で発行され、フィンラ ンドの国民登録センター(Population Register Centre:PRC)が、電子的識別に必要となるデジタル 回路内の証明書データを提供する。オンラインで電 子IDカードを利用するには、別途カードリーダーが 必要になる。将来的には、特殊なチップを搭載した 携帯電話機などのモバイル機器から身分証明を行な うことが可能になる。 カードには技術的なデータのほか、以下の3種類の 証明書データが含まれている。 (Transformations in policy and technology) すべてのフィンランド国民には、個人識別番号 (Personal Identity Number)が付与されている。個人 識別番号は地域登録事務所で発行され、さまざまな 公的機関における登録手続きの際はもとより、銀行 や病院などでも身分証明手段として使用されている。 個人識別番号は、本人の生年月日、個人番号、コ ントロールサインで構成されている。個人番号は、 同じ生年月日の人々を区別し、男性には奇数、女性 150 —— 欧州におけるプライバシーと技術について 例:個人識別番号 131052-308T 131052=生年月日(日/月/年) 308=個人番号(偶数は女性を示す) T=コントロールサイン 電子IDカード(Electronic Identification Card)は、本 人確認が必要なオンラインサービスのための安全な ネットワークキーであり、あらゆる行政サービスと 多くの民間サービスに利用される。このIDカードに より、サービス提供者にとっては確実にユーザーの 身元確認が可能になる。フィンランド国民にとって この電子IDカードは、ヨーロッパ19ヵ国において正 式の旅券として機能する。手数料はカード1枚につき 29ユーロ。有効期限は3年となっているが、これはセ キュリティー面を考慮した結果である。コンピュー ターの性能は絶えず向上しており、現在採用されて いる1024ビットRSA暗号のセキュリティーがいつま で有効に機能するのかは予測できない。利便性とセ キュリティーの双方を考慮した結果、3年という期限 が選択された。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • カード名義人の認証用の証明書 • カード名義人のデジタル署名(否認防止)証明書 • PRCの認証局(CA)の証明書 カード名義人の証明書に含まれるデータは、本人の氏 名、および固有の電子ユーザーID(FINUID)のみであ る。チップには、出生時に発行された個人識別番号、 住所、生年月日などのデータは含まれない。電子ユー ザーIDは、末尾にコントロールサインが付される連 続的番号となっている。個人識別番号と違い、電子ユ ーザーIDからは所有者に関する情報は一切わからな い。また、電子ユーザーIDには有効期限はない。 EUでは電子署名に関する指令が発行されており、 加盟国はこれに従う義務がある。ただし銀行などの 金融機関は、すでに電子署名が従来の署名と同じよ う効力を持つオンラインサービスの構築を始めてお り、EU指令に沿った法整備は、現状を追認するもの になるにすぎない。行政分野においては、すでに電 子行政サービス法(The Act on Electronic Service in the Administration)が施行されており、オンライン で提供されるすべての行政サービスで電子署名が有 効であることが明記されている (http://www.sahkoinenhenkilokortti.fi. 詳しくはメ ーカーのサイトhttp://www.setec.fi/english/identification/eid/index.htmlを参照のこと)。 3-1.RFIDとマストランジット・トラベルカード (RFID and Mass Transit Travel Card) フィンランド技術研究センター(VTT)は、最大4メー トルの距離から受信機で読み取りが可能な、高周波 (900MHz)を用いた新しい非接触型ICタグ(RFIDタグ) を開発した。無線信号は障害物を透過する。VTTの 研究者たちは、RFIDタグが10年以内に一般的に普及 するとみている。 RFID技術はすでに、フィンランドの産業界ではさ まざまな用途で利用されている。例えば製紙業では、 大型のロール紙を識別するために、このタイプの電 子タグを用いている。VTTのHeikki Sepp̲教授によ ると、RFIDタグは数年のうちにわれわれの日常生活 に大きな影響を及ぼし、将来的に膨大な需要が見込 めるという。 RFID技術を用いれば、買物客が店に入らずに、店 内に自分の必要な品物があるかどうかをチェックす るといったことが可能になる。レジ係がいない店舗 も現われるかもしれない。購入した品物はショッピ ングカートに入ったまますべて電子的にチェックさ れ、顧客の口座に対して代金が請求される。自宅で は、探し物をする際にRFID技術が役立つだろう。 ヘルシンキでは、最も身近な例として、新しいト ラベルカードにRFID技術が使用されている。ヘルシ ンキ地域の公共交通機関では、この新しいカードが、 紙製の乗車券に取って代わりつつある。Helsinki Metropolitan Area Council(YTV:ヘルシンキ・メト ロポリタン・エリア・カウンシル)、Helsinki City Transport(HKL:ヘルシンキ市交通局)、VR(フィンラ ンド鉄道)が共同でこのプロジェクトを進めている。 トラベルカードの利用状況はデータベースに記録 され、輸送能力に関する計画を策定する際に使用さ れる。トラベルカード利用者の移動情報は保存され 検索が可能であり、こうしたデータは、深刻な犯罪 の捜査の際にも利用されている。 YTVは、このトラベルカード・システムにおいて、 顧客のサービスと保護のために必要となる情報を記 録している。こうした情報は、トラベルカードの発 行、利用者の連絡先や住所の変更、紛失した際の持 ち主への返還、紛失した際の登録抹消リストへの掲 載、カード利用の停止などの場合に使用される。 要求があれば、マルチユーザー・トラベルカード 所有者の個人データやビジネスIDがシステムに記録 されることもあるが、そうした記録が外部に持ち出 されるのは、法による要求あるいは当局の命令があ った場合に限られる。YTVと市のサービス拠点の職 員およびシステム担当者は、システムに記録された 顧客データ、利用された期間や、利用者によるカー ドへのチャージ額のほか、直近のサービス利用記録 を閲覧し更新する権利が認められている。ただし、 交通機関を利用中のデータを閲覧することはできな い(RFIDについての詳細はhttp://www.rafsec.com/ およびhttp://www.idesco.fi、トラベルカードについ てはhttp://www.matkakortti.net/english/ index.htmlを参照のこと)。 導入以来、このトラベルカードに対しては、市民 の間から厳しい非難の声が上がった。理論的には、 利用者のIDと交通機関における移動ルートを結び付 けることが可能なためである。データ保護オンブズ マンがこの問題を公にしたのを受け、YTVは方針を 変更するに至った。 4.フィンランドにおけるプライバシー強化技術 (PETs in Finland)*************************************** Nokia(ノキア)社ほどの規模のハイテク企業を生んだ国 であることからもわかるとおり、フィンランドは、セ キュリティーを手掛ける、数多くの興味深い企業を擁 している。以下にそれらの製品を簡単に紹介する。 F-Secure(エフ・セキュア)は、ウイルス対策、ファ 欧州におけるプライバシーと技術について —— 151 電子政府・電子自治体のプライバシーに関する調査研究 報告書 イル暗号化、ネットワークセキュリティー、携帯機 器向けのセキュリティーといった、さまざまなソフ トウェアを開発している。同社の大半の製品は、デ スクトップからサーバー、ノートブックから携帯端 末に至るまで、あらゆる主要なプラットフォームに 対応する。F-Secureは、広範に及ぶ、集中管理され た最新のセキュリティー対策をもってビジネスをサ ポートし、企業の真の機動力を引き出す。 (http://www.f-secure.com) Miotec(ミオテック)は、スマートカードとチップ技 術関連のソフトウェアを開発しており、国際的に展 開している通信事業者に対して、メモリカードやプ リペイド式テレフォンカードとして使用されるスク ラッチカードを提供している。同社はそのほか、安 全な電子取引のためのマイクロプロセッサーチップ 搭載カードの開発および製造も行なっている。 Miotecの非接触カードは、ロジスティクス、身分証 明、発券業務などの用途に利用されている。RFIDや 公開鍵基盤(PKI)などの技術を1枚のカードに統合し、 アクセス管理、就業時間管理、情報ネットワークへ の安全なログインに利用することもできる。Miotec が開発したカードオペレーティングシステムである MioCOSにより、さまざまなPKIやバイオメトリクス (生体認証)を利用したカードの構築も可能になる。 MioCOSのモジュール構造は、同社の携帯機器向け 製品の基盤となっている。 (http://www.miotec.fi/) Secgo(セクゴ)は、従業員用の安全な遠隔アクセス、 顧客や提携企業との安全なエクストラネット、安全 な無線LAN、モバイル環境の管理を手掛ける。その ほかゲーム機器、リサイクル機器、自動販売機など の安全なネットワークと監視、さらに高度なセキュ リティーを要する軍および政府のネットワークのた めのソリューションを提供している。Secgoのソリ ューションは、政府、銀行をはじめとする金融機関、 ISP、製造業、軍など、厳格なセキュリティーが要 求される分野で広く利用されている。 またSecgoは、デジタル無線通信における公開標 準であるTETRAにおいていち早く独自のソリュー ションを提供している。TETRAは、欧州通信標準 化協会(European Telecommunications Standardisation Institute)が定めた標準規格で、政府 をはじめとする公共機関の厳格なネットワークに対 応できるよう設計されている。1994年に誕生して以 来、TETRAは今日では稼動中の30以上のネットワ ークで利用され、世界中で100件近くの契約が結ばれ ている。Secgoは、高度なネットワークセキュリテ 152 —— 欧州におけるプライバシーと技術について ィーを確立する認証キー配布(Authentication Key Distribution:AKD)ソリューションの開発と提供に おいて大きな役割を担っている。 (http://www.secgo.fi/index.html) Setec(セテック)は、世界中の大手通信事業者対して、 安全な電子認証を行なうSIMカードを軸としたソリ ューションの開発と製造を手掛けている。例えば SetecのeSIM 3Gは、第三世代(3G)携帯電話ネットワ ークの標準規格であるUMTS(Universal Mobile Telecommunications System)に対応した最新のSIM カードとなっている。eSIM 3Gカードは、GSMと3G の両方に対応するため、現時点で提供されているす べての携帯電話サービスに利用できる。使用してい るのはPKI技術である。またeSIM 3GカードはSIMア プリケーションツールキットを全面的にサポートし ているため、事業者は、情報、エンターテインメン ト、ゲームなどのサービスだけでなく、モバイル電 子商取引やモバイルバンキングについても、高度な セキュリティーを備えたサービスを構築し、提供す ることが可能である。 (http://www.setec.fi/) SSH Communications Security(SSHコミュニケーシ ョンズ・セキュリティ)の技術は、高度なセキュリテ ィーを備えた遠隔接続の分野における事実上のイン ターネット標準となっている。SSH Secure Shell(SSHセキュア・シェル)は、2台のコンピュータ ー間のTCP/IP接続を保護するアプリケーションであ り、Telnetのセキュリティー強化版として使われる ことが多い。接続はアプリケーション層の上で暗号 化されるため、SSHの提供するセキュリティーは、 ネットワーク接続の速度や種類に影響されない。 SSHはクライアント/サーバーソフトウェアであり、 常にクライアントが安全な接続を開始し、サーバー が応答することになる。 (http://www.ssh.com/) 5.その他の問題 (Other issues) 大部分のユーザーは、新しい技術のリスクに気付い ていない。ただし一部には、そうしたリスクを非常 に懸念している人もいる。後者のケースは、人々が オンラインにおける注文や支払について不安を感じ ていることに表われている。データとプライバシー 保護の意義に関する急激な変化が、こうした状況を 招いている一因である。また最近では、メディアが 情報セキュリティーに関する違反行為について報道 電子政府・電子自治体のプライバシーに関する調査研究 報告書 する機会も増えたため、多くの国民が情報セキュリ ティーの重要性に気付き始めている。 ユーザーは、情報セキュリティーにおける端末機 器の重要性も理解していないかもしれない。製品を 購入した時点では、機器やインターネット接続にお ける情報セキュリティーの意味を知らず、セキュリ ティーにかかわる内容の重要性を適切に認識してい ない。このことは恐らく、各個人に対する情報セキ ュリティーについての最大の脅威となるが、企業が かかわってくる場合はとりわけ危険性は高まる。紛 失した機器に、業務上の秘密やパスワードをはじめ とする取り扱いに注意を要する情報が含まれている かもしれないのである。 消費者は最近、インターネット接続やサービスの 提供に際して、ISPが情報セキュリティー面での努力 を怠っていると批判するようになった。ISPがマーケ ティングにおいて製品の機能ばかりを強調し、情報 セキュリティーについては法律で定められた最低限 の内容しか通知していないというのである。例えば、 システムへの不法侵入者を阻止するファイアウォー ルを、消費者向けのセキュリティー機能として標準 装備することが求められている。多くの人々は、現 実的に一般消費者には管理が困難であると思われる 部分については、その責任を負わせるべきではない と考えている。 概してフィンランドの教育システムにおいては、情 報セキュリティーについての訓練が不足している。教 育の現場では技術面の訓練が中心となり、履修できる コースも少ない。ニュースをはじめとするメディアが 情報セキュリティーを取り上げるようになり、この問 題への人々の意識も向上してきた。ただし、主として リスクという観点からの議論である。情報セキュリテ ィーに関してユーザーが参考にできる資料にはさまざ まなものがある。例えば、Finnish Information Society Development Centre(TIEKE:フィンランド 情報化社会開発センター)による市民のための情報セ キュリティーガイド、財務省が特にユーザー向けに作 成した冊子(電子メール、ウイルス対策など)、サービ スプロバイダーおよびウイルス対策企業が顧客に配布 する電子的な資料や印刷物などである。そのほか情報 セキュリティーに関するさまざまな講座やトレーニン グも設けられている(FICORA Report)。 6.考察と結論 (Implications and conclusions) フィンランドの経験から、今後のプライバシー問題 に関する公共政策について以下のとおり提言する。 • プライバシー政策の影響を受けるすべての当事 者の意見を考慮すること。とりわけ市民の間か らは、政策決定のプロセスにおける透明度を高 めるべきだとの非難の声が上がっている。 図1.情報セキュリティーにおける重要な機能(○)と必要条件(△)――FICORAレポートより 欧州におけるプライバシーと技術について —— 153 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • 個人情報を情報データベースに結びつける際は 細心の注意を払うこと。例えば公共交通機関は、 交通量の測定や輸送経路の最適化の目的で収集 したデータに、利用者の身元を関連付ける必要 はない。 • 使いやすく、費用も手ごろなプライバシー保護 技術を採用すること。例えばフィンランドが導 入した国民IDカードの普及率が低いのは、追加 的に高価なハードウェアを購入し、使用法を学 ぶ必要があることに原因がある。 • 執行力のあるプライバシー問題専門家として政 府が設置したデータ保護オンブズマンは、非常 に有効に機能している。データ保護オンブズマ ンとその事務局は高い評価を得ている。 154 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §2-3.フランスにおけるプライバシー強化技術 1.はじめに (Introduction) (Privacy Enhancing Technologies in France) Jerome Thorel <目次> 1.はじめに(Introduction) 2.法的整備の状況(Legal landscape) 3.政策および技術の変化(Transformations in policy and technology) 3-1.電子行政と電子政府(Electronic administration and e-government) 3-2.電子政府の実際(E-government in practice) 3-3.相互利用禁止の原則(The no-crossing principle) 4.フランスにおけるプライバシー強化技術(PETs in France) 4-1.電子認証と公開鍵基盤(Electronic certification and PKI) 4-2.暗号化によるプライバシー強化(Encryptionbased privacy enhancements) 4-3.暗号化と匿名性(Encryption and anonymity) 5.その他の問題(Other issues) 5-1.スマートカード・システム(Smart card systems) 6.考察と結論(Implications and conclusions) フランスで最初にプライバシー権が認知されたのは 19世紀半ばである。その後、1970年に民法典(Civil Code)に盛り込まれた。プライバシー権は1958年憲法 では明文化されていないが、1994年に憲法院 (Constitutional Court)において、この権利は暗黙の うちに認められているという判断が下された(EPIC & Privacy International「Privacy and Human Rights 2002」 http://www.privacyinternational.org/survey/phr20 02/)。 1974年、市民のさまざまな身元証明を単一の識別 子に統一することを目的とした政府計画(コード名 SAFARI)の存在が発覚し、フランス政界を揺るがし た。この計画は市民的自由の擁護派の非難の的とな り、「フランス人狩り」(la chasse aux francais)と呼 ばれた。この計画は、すべての行政上のデータベー スをつなぐ、部門を越えた巨大な情報共有を目指す ものだった(「SAFARI ou la chasse aux francais」、 Le Monde(ル・モンド)1974年3月21日)。このことが 問題化した結果、フランス議会はプライバシーを公 的および私的な侵害から保護する強力な法律を通過 させることができた。これが、データ保護法(Data Protection Act/Loi Informatique, aux Fichiers et aux Libertes)(「Loi n°78-17 du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes」 http://www.cnil.fr/textes/text02.htm)である。この 法律に基づき、1978年にData Privacy Commission/Commission nationale de l'informatique et des libertes (CNIL:情報処理と自由のため の国民委員会)が設置された。 それ以来、フランス共和国では、データベース間 の「架け橋」を作る試みに抵抗して成果を収めてき たが、一部に例外もある。例えば、議会は1998年、 ある特定の状況において社会保障制度の個人データ にアクセスする権利を税務当局に与えた。CNILは1 年後にこの計画を承認したが(社会保障および税に関 するデクレについてのCNIL勧告 http://www.cnil.fr/textes/text084.htm)、オブザーバ ーらは一貫して、この例外はデータ保護法の精神と 根本的に矛盾するという見解を示している。 「相互利用禁止」(non-crossing)という分別ある原 則は、電子政府計画について考えるにあたり、常に 念頭に置かれていた。1995年のインターネット革命 において初めて現れた「電子選挙」の夢はいまも、 行政関連情報に市民がアクセスしやすくすることと、 「相互利用禁止」という原則との間の微妙な調整によ って保たれている。 欧州におけるプライバシーと技術について —— 155 電子政府・電子自治体のプライバシーに関する調査研究 報告書 プライバシーとプライバシー強化技術に関してフ ランスの置かれた状況を理解するにあたり、重要な 文化的事象が他に2つある。 第1に、かねてからフランスでは、暗号は政府が所 有すべきものとみなされてきた。総じて、政府は暗 号化アルゴリズムを開示すべき理由があるとは考え ず、政府が鍵の管理を掌握するシステムに固執して きた。現在も、特定の強固な暗号を使うには許可が 必要である。 第2に、スマートカードはフランスで長い歴史があ る。PINコードを必要とするチップが埋め込まれた クレジットカードが20年以上も使われ続けている。 2.法的整備の状況 (Legal landscape) EU(欧州連合)加盟国として、欧州プライバシー指令 「95/46/EC」(European privacy directive 95/46/EC) を国内法として施行するために、フランスは1998年 にデータ保護法を修正すべきだった。フランスは2度 にわたって期限を破り、2002年になっても、選挙の せいでこの件に関して何ら著しい進展がなかった。 1999年7月、欧州委員会(EU Commission、ブリュッ セル)はフランスおよびその他加盟8ヵ国を修正不履 行の理由で提訴した。またフランスは2000年1月、特 に電子通信を対象とするプライバシー指令「97/66」 (privacy directive 97/66)の施行を怠っている加盟5ヵ 国のリストにも挙がった。 社会党の前政権(1997年7月〜2002年4月)は1997年8 月にデータ保護法修正法案の準備を始めたが、1998 年3月に発行された議会報告書以降、法案審議は会期 中何度となく延期された。同法案は2001年7月18日に 閣僚会議で採択され、2002年1月30日に下院で第一読 会にかけられた(「Projet de loi relatif a la protection des personnes physiques a l’egard des traitements de donnees a caractere personnel et modifiant la loi n°78-17 du 6 janvier 1978」 http://www.assemblee-nat.fr/dossiers/cnil.asp)。そ の後、すでに上院に提出され、2003年中に審議され る予定である。 この法案が通過すれば、民間のデータ処理に対す るCNILの権限は拡大されるだろう。CNILはデータ 悪用に対して(1〜15万ユーロの)罰金を科すことがで きるようになり、アクセスと修正に関する個人の権 利が強化される。しかし、政府の大規模な情報シス テムや(fichiers de souverainet 統治のファイル)と呼 ばれる新たなデータベースに対するCNILの規制力は 弱まるだろう。ここには、国家安全保障、防衛、公 安、刑事制度などに関するデータベースが含まれる 156 —— 欧州におけるプライバシーと技術について ことになっている。このようなシステムは、司法警 察のデータベース(Systeme de traitement des infractions constatees:STIC 違反調書処理システ ム)などの警察記録も含む。これは被害者や容疑者の 氏名を含む複数の警察記録を一本化するという、内 務大臣による提案である。ここには、有罪判決を受 けたことのない人の情報も含まれる。STICにはこの ほか、EU全域にわたる不法入国者や政治亡命者のデ ータとバイオメトリクス(生体認証)ファイル―― Schengen Information Systems(SIS:シェンゲン情 報システム)とEurodac(ユーロダック)――のうちフラ ンスに関する部分も含まれる。CNILは、このような システムを創設するデクレ(政令)を審査する権限を失 うことになる。この改正は、STIC施行に政府が経験 した困難を受けての措置だと考えられている。STIC が最初に計画されたのは1995年だったが、CNILがし ぶしぶ賛成した後、2000年7月にようやく施行された (「Privacy and Human Rights 2002」)。 現右翼政権は最近、国内安全保障法案(Projet de loi pour la securite interieure:PLSI)を修正し、 fichiers de souverainet(統治のファイル)への特別な 「アクセスおよび修正の権利」を新たに追加すること を承認した(「Projet de loi pour la securite interieure」、下院法律委員会の報告、2002年12月18 日)。しかしながら、中には問題の多い修正も含まれ ている。下院での第一読会で、法執行機関が処理記 録、トラフィックデータ、加入者データを請求する 際に、電子令状の使用を認める条項が加えられた。 この形式の令状により、警察は物理的にサービスプ ロバイダーに立ち入らなくても、 「遠隔地からの捜索」 が可能となった。このため、顧客や加入者の身元を 確認するために、インターネット事業者、携帯電話 や固定電話の事業者、銀行、その他あらゆる民間部 門のデータベースからそうした請求が激増する可能 性がある。 Nicholas Zarkozy内務大臣は、法執行機関のファ イル共有についてさらに野心的な計画を考えている。 同大臣はSTICとJUDEX――憲兵隊(これも司法警察 機関であるが、憲兵の地位は軍人である)が使用する 同等のシステム――との相互アクセスを認めること を目指している。PLSIは一般の政府職員に対しても、 これらのデータベースにアクセスして、安全保障関 連職の候補者の品行やパスポート、ビザの申請をチ ェックすることを認めている。これらは、2003年1月 28日の第一読会で議員が承認した条項に含まれる (「Projet de loi pour la securite interieure」 、第一読 会、2003年1月28日 http://www.assembleenat.fr/12/ta/ta0079.asp)。 CNILはこの計画に反対し、「個人のプライバシー 電子政府・電子自治体のプライバシーに関する調査研究 報告書 権に関する深刻な懸念」を引き起こすと主張してい る(「Position de la CNIL sur le PLSI - fichiers de police judiciaire et fichier national automatise des empreintes genetiques 」、2002年10月24日)。これら の懸念の中には、ファイルへのアクセスを認められ る人々の数が現在の約4万人(警察官と憲兵)から10倍 に増える可能性があることも含まれる。2003年1月、 複数の市民団体NGOからなるグループ La Federation Informatique et Libertes(情報処理と自 由のための連盟)は、CNILの検証後STICに発見され た欠陥のリストを公表した。このリストによると、 システムの20〜25%に欠陥があるという(Federation informatique et libertes「Les erreurs du STIC」 、 2003年1月11日 http://www.vieprivee.org/comm99)。 PLSIはまた、1998年のDNAデータベースに軽犯罪 の容疑者も含めることを要求している。イギリスの 例に倣い、今後100万人にまで増やすことが目標であ る(「PLSI - L ere du soupcon」、2002年12月10日 http://www.vie-privee.org/news55)。 以下のリストは、プライバシーに大きな影響を及 ぼすその他の法律をまとめたものである。 • 電子メールと電話の監視(通信内容)――1991年 の法律(n°91-136, 10 July 1991)は、政府情報機 関が(主に国家安全保障やテロリスト事件に関し て)申請する通信傍受が、独立の委員会CNCIS の監視の下に置かれることを規定している。司 法当局も破毀院(Cour de Cassation)の統制の下 で捜査目的の通信傍受を申請できる。電子メー ルの傍受に関しては、1991年の法律が有効であ り、修正の必要はない。しかし2003年には、政 府は通信傍受をデジタル時代に対応させる法的 手順をとるべきである。 • ビデオ監視――1996年10月のデクレ(政令)によ って施行された1995年の法律(n°95-73, 21 January 1995)以前に明確な規制は存在しなかっ た。どのようなシステムも州知事(State Prefet) に申告しなければならない。CNILは、公共の 場でのビデオ監視システムについてごく限られ た権限しか持たない。 • 2001年11月15日、議会は2001年9月11日の米国 同時多発テロ事件を受けて、新たに反テロリズ ム条項が盛り込まれた法律「日常の安全に関す る法」(Loi sur la Securite Quotidienne:LSQ) を制定した。制定された法律には、データの保 有および政府による暗号鍵への強制アクセスに 関する条項が含まれている。データの保有に関 して、現在インターネット・サービス・プロバ イダー(ISP)や通信会社は最高1年間、加入者の トラフィックおよびロケーションのデータを記 録、保存することが義務づけられている。この 条項を採択することにより、フランスはプライ バシーと電子通信に関する2002年7月12日のEU 指令「2002/58」(「1997/66」指令に代わるも の)に先んじて、データ保有原則を確定した。フ ランスの暗号使用に関する規則は非常に複雑 で、対応しにくい。1999年の新しい規則では、 暗号の「利用は自由」だが、長さ128ビット以 上の暗号鍵を使用する場合は申告とライセンス が必要であり、プロバイダーの場合には認可が 必要となる(12)。2001年に制定されたLSQは、 暗号管理体制に最後の修正を付け加えた。第1 は、暗号化されたメールへの合法的アクセスを 目的とした暗号解読特別チームの創設。第2は 「政府による暗号鍵へのアクセス」体制である。 これは、裁判所令状が要求する暗号鍵の提供を、 個人、またはソフトウェアやサービスのプロバ イダーが拒否した場合、その行為を犯罪とみな すというもの(13)。 「デジタル経済法案」に盛り 込まれている条項によれば、今年は暗号に関す る規則が改正されるという。 [編注:(12)(13)という番号は原文のまま。一連の脚注 とは別の書式のため、そのままにしてある。] 3.政策および技術の変化 (Transformations in policy and technology) 2003年3月に承認される見通しの国内安全保障法案 (PLSI)は、最近のEU指令を遵守しつつ情報社会に取 り組むために準備が進められている、多数の立法措 置の一つに過ぎない。こうした法令の中には、通信 関連の一括法案、デジタル経済法案(Projet de loi pour la confiance dans l economie numerique)、EU 著作権指令を支持する法案(Projet de loi de transposition de la directive europeenne sur le copyright EUCD)、および現在審議中の凶悪犯罪対策法案 (Projet de loi de lutte contre la grande criminalite) などがある。 3-1.電子行政と電子政府 (Electronic administration and e-government) フランスはこれまで、「行政の電子化」(administration electronique)に関して数々のイニシアティブを 欧州におけるプライバシーと技術について —— 157 電子政府・電子自治体のプライバシーに関する調査研究 報告書 とってきた。しかし、こうした取り組みは主に、白 書(livres blancs)、報告書、勧告書の作成という形で 行なわれている。これらの文書は、政府からの要請 を受けて法律家、公務員、国会議員が作成する。 1998年に始まり、現在までに作成された報告書の数 は20を数える(「Les rapports de l'administration electronique」 http://www.men.minefi.gouv.fr/webmen/informations/rapports/rapp̲ae.html)。 1998年当時、電子行政業務への取り組みは、多く が時代遅れとなった公共インフラやコンピュータ ー・システムの近代化につながると考えられていた。 Jean-Paul Baquiast氏は最初の報告者として、次のよ うに述べている。 (Jean-Paul BAQUIAST「Propositions sur les apports d Internet a la modernisation du fonctionnement de l Etat」首相への報告書、1998年) フランスでわれわれの考えているような政府を 発展させるためには、地球規模の情報社会の要 となるインターネットを完全に制御しなければ ならない。政府はこのことからくる制約を、ぜ ひとも克服しなければならない。その見返りと して、政府は果たすべき近代化と発展の機会を 手に入れる。つまり、まさに国家とその政府の 未来がかかっていることになる。 l Etat, tel que nous le concevons en France, doit pour evoluer maitriser completement Internet, clef de la societe mondiale de l information. Celle-ci impose a l Etat des contraintes qu il doit surmonter. Elle lui ouvre en contrepartie des opportunites de rajeunissement et de developpement qu il doit saisir. C est donc bien l avenir de l Etat et de ses administrations qui est en cause. 最近議会報告を行なったPierre de La Coste氏は、行 政改革省次官の要請に基づいて作成した調査報告書 「ハイパー共和国」(Hyper-Republic)の導入部に、次 のように書いている。 (「L Hyper-Republique - Batir l administration en reseau autour du citoyen」行政改革省次官への報告 書、2003年1月8日 http://www.internet.gouv.fr/francais/textesref/rap delacoste/hyper-republique.PDF) 電子行政が引き起こす問題は、ほぼ完全に社会 的かつ文化的なものである。より正確に言えば、 法的または技術的なものとして映るすべての問 158 —— 欧州におけるプライバシーと技術について 題(例えば、インターネット・セキュリティーや デジタル署名などに関連した問題)は、実際には 社会問題の表層に過ぎず、要するに、伝統的な フランス行政と新しいネットワーク文化の対立 でしかない。 つまり、1992年に計画総庁(Commissariat General du Plan)が政府のコンピューター化に 関する報告を行なって以来、公的機関における 情報処理の管理は過去10年間ほとんど進歩して いない。それゆえ、情報システムに責任を持つ のがトップの管理レベルであることは極めて稀 である。通常はより低い管理レベルに任され、 個々の部門が管理していることも多く、こうし た情報システムに関する問題が幹部のレベルま で伝わりにくくなっている。 Les problemes poses par l administration electronique sont presque uniquement de nature sociologique, voire culturelle. Mieux : tout probleme pretendument juridique ou technique (lie a la securite sur Internet ou a la signature electronique, par exemple) n est en fait que le masque d un probleme sociologique, tenant simplement a l antagonisme entre la tradition administrative francaise et la nouvelle culture du reseau. Enfin ... le management de l informatique publique n a guere evolue depuis une dizaine d annees et le rapport du commissariat general du Plan sur l informatisation de l Etat de 1992. Ainsi, la responsabilite des systemes d informations est tres rarement attribuee au niveau d une direction, elle echoit au mieux a une sous direction, voire a un simple bureau, ce qui empeche souvent que les problematiques liees aux systemes d information soient portees fermement au niveau du comite des directeurs. フランス初の「情報社会に向けた国家計画」 (Preparer l entree de la France dans la societe de l information:PAGSI)は、1998年に当時のLionel Jospin首相が発表したものである。最近では、2002 年にJean-Pierre Raffarin首相がRE/SO 2007計画を立 ち上げている(RE/SO 2007」 http://www.internet.gouv.fr/francais/textesref/RE SO2007.htm)。この2つの時期の間に、行政サービス における電子通信の使用と適法性/承認を容易にす る目的で、数多くの規則、デクレ(decret、政令)、省 電子政府・電子自治体のプライバシーに関する調査研究 報告書 令(arrete)、通達(circulaire)が作られ、その数で判断 する限り電子政府はまさに現実のものとなってきて いる(「Ressources utiles concernant l Administration electronique」 http://www.men.minefi.gouv.fr/webmen/informations/rapports/ress̲ae.html)。 例:--複雑な行政手続きの簡素化を促すデクレ98-1083 号(Decret no 98-1083 relatif aux simplifications administratives) --政府ウェブサイト上での法的データ普及を促す 通達(Circulaire relative a la diffusion de donnees juridiques sur les sites Internet des administrations) --「公式行政手続きの簡素化」に関連した通達お よびデクレ(Circulaire(s) et decret(s) relatifs a la simplification des formalites et des procedures administratives ) しかしこれらの措置は、真に市民の方を向いたもの とは言い難い(例外については後述)。その主な目的は デジタル手続きの合法化であり、とりわけ事業契約 の認証に使用される電子署名の合法化に重点が置か れている。 例:--電子署名に関連する認証技術の適用についての 法律、2000年3月13日2000-230号(Loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative a la signature electronique) --電子署名に関連する民法典条項の改正について のデクレ、2001年3月30日2001-272号(Decret n°2001-272 du 30 mars 2001 pris pour l application de l article 1316-4 du code civil et relatif a la signature electronique)(電子署名に関する デクレ http://www.legifrance.gouv.fr/texteconsolide/ARHCG.htm) 2001年8月、デクレに基づき行政関連情報通信技術庁 (l Agence pour les technologies de l information et de la communication dans l administration: ATICA) [訳注:サイトの表記を採用した http://lessites.service-public.fr/cgibin/annusite/annusite.fcgi/nat6?lang=fr&orga=490 より] が発足し、首相官邸の監督下に置かれること になった。ATICAは各種政府機関による情報技術の 取り組みを調整する (「ATICA Decree - 22 aout 2001 portant creation de l Agence pour les technologies de l information et de la communication dans l administration」 http://www.legifrance.gouv.fr/texteconsolide/PRH <図1: フランスにおける電子政府のタイムテーブル> Description Mise a disposition d’ information statique Etat Pratiquement acheve Points de blocage Grandes difficultes de mise a jour des informations anciennes - manque de structure de l’info Solutions Moderniser l’infrastruscture et l’organization de production des site administratifs Calendrier 1996-2004 Deuxiéme niveau Mise a disposition d’ information utilisables En voie d’ achevement Nombre, complexite ou absurdite de certains formulaires papier Supprimer, simplifier 1998-2004 Troisiéme niveau Teleprocedures Teleservices En course Pieces annexes Manque d'interoperabilite Signature electronique Regrouper par familles de teleprocedures Passer a l'etape suivante 2000-2005 Quatriéme niveau Decloisonnement En projet Protection des donnees personnelles Contrat de confiance Communication 2002-2012 Premier niveau 欧州におけるプライバシーと技術について —— 159 電子政府・電子自治体のプライバシーに関する調査研究 報告書 GY.htm)。 2002年の新たなRESO計画(RESO plan、「RE/SO 2007」http://www.internet.gouv.fr/francais/textesref/RESO2007.htm)の下で、将来ATICAは電子行政 庁(Agence pour l administration electronique: AAE)と改称され、より多くの責務を担うことにな る。その中には、電子行政サービスの完全性とセキ ュリティーを確保する各種政策の実施や、2003年1月 の電子政府報告書(「ハイパー共和国」報告書 http://www.internet.gouv.fr/francais/textesref/rap delacoste/hyper-republique.PDF)で勧告されている プライバシー強化技術の導入などが含まれている。 3-2.電子政府の実際 (E-government in practice) 欧州委員会は18ヵ国(EU加盟15ヵ国、ノルウェー、 アイスランド、スイス)における電子政府のサービス の質を調査し半年ごとに研究報告を行なっているが、 その第3次報告書が2003年2月6日に公表された。 eEurope(欧州電子化計画)が及ぼす影響を計りたい欧 州委員会は、「分析対象として20項目の基本行政サー ビスからなる共通リストを定義し、12項目の市民向 けのサービスと8項目の事業向けのサービスとに分類 した」(eEurope(欧州電子化計画)――電子政府のバロ メーター http://www.europa.eu.int/pol/infso/ index̲fr.htm) この調査の基準に照らした場合、フランスの格付 けは平均すると第2段階の「一方向」サービスとなる。 その他の格付けは、第0段階が「開発」、第1段階が 「情報」、第3段階が「双方向」、そして完全に電子化 に対応した第4段階が「交流」となっている。 税務総局(Direction generale des impots:DGI)は 例外である。DGIは2001年に「所得の電子申告制度」 (TELE-IR)を導入し、市民が書類に記入せずに所得 申告を行なえるようにした。このサービスは2002年3 月11日〜25日の2週間で、2001年の申告数に対して7 倍以上となる11万5149件のオンライン申告を記録し た。また、DGIへの認証を行ない「税務書類」にア クセスするために、約15万人が自分自身のデジタル 証明書をダウンロードしている。証明書は3年間有効 となっている。個人税務書類に関する相談は2002年3 月29日までに10万件を超えた。DGIは2002年に第2の サービスを立ち上げ、市民が実際に電子証明書を通 じて税金を支払える「第4段階」の業務手続きを整え ている(税務当局のポータル http://www.impots.gouv.fr)。 もう一つの試みとして、DGIは2001年、民間企業 が徴収した付加価値税をオンラインで申告できる 「TELE-TVA」を開始した(付加価値税は、1500万ユ ーロ以上の売上がある企業に課されている)。この制 160 —— 欧州におけるプライバシーと技術について 度では、企業が年間の付加価値税をオンラインで支 払うことも可能である。「電子フォーム変換」(EFI) と、従来の「電子データ交換」(EDI)という、2種類 のネットワーク・システムが利用できる。2001年5月 1日に始まったTELE-TVAは、毎年300万社の利用が 見込まれ、約1600万件の税金申告が行なわれること が確実である。TELE-TVAのネットワークは、フラ ンスの民間銀行や公認銀行でも採用されているプロ トコルを使用して安全性を確保している(TeleTVA の説明、技術プロトコル、重要な事実 http://www.impots.gouv.fr/documentation/pratique/teletva/plaquette2.pdf)。 この制度について、欧州委員会の電子政府政策に関 する調査報告書は次のような見解を示している。 (eEurope(欧州電子化計画)――電子政府のバロメーター http://www.europa.eu.int/pol/infso/index̲fr.htm) 最高の実績を示しているのは国庫に収入をもた らすサービス(主に税金と社会保険財源負担税 (contributions sociales))である。フランスは手 続き全般(登録、判定、提出、および納税義務が ある場合の支払い)のオンライン化を進めている ことにより、100%という最高の評価を得た上 位5ヵ国の一つに数えられる。 Les services qui conservent la meilleure performance sont les services generateurs de revenus (principalement impots et contributions sociales). La France compte parmi les 5 pays atteignant la note maximale de 100 %, correspondant au traitement integral du cas en ligne (enregistrement, decision, remise, et paiement le cas echeant). 3-3.相互利用禁止の原則 (The no-crossing principle) 電子政府プロジェクトに「相互利用禁止」原則が適 用されたのは、公開討論が行なわれ始めた2年ほど前 のことである。 2000年11月、フランスはウェブポータルservicepublic.fr(「Arrete du 6 novembre 2000 relatif a la creation d un site sur internet intitule service-public.fr 」 http://www.legifrance.gouv.fr/citoyen/jorf̲nor.ow? numjo=PRMX0004473A)を開設し、政府と市民の電 子的な相互作用における新たな段階に入った。すべ ての公式文書や法的手続き用の各種用紙を一括して 取り扱うリソース提供の場として、このプロジェク トは市民と行政サービスを結ぶパーソナライズされ たポータル(mon.service-public.fr)となる予定である。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 2000年11月15日に施行されたデクレ(政令)には、次の ように記されている。 (「Decree monservicepublic.fr」http://www.fonction-publique.gouv.fr/reforme/cire/2001/ cire̲index.htm) 共サービスの導入は政府内でデータの分割また は共有が新たに行なわれることを意味してお り、それゆえプライバシーを確保するための強 固な個人データ保護を当然含む、新たな規則が 必要とされているのである。 パーソナライズされたmon.service-public.frサイ トは、2005年までに運用を開始し、これにより 各ユーザーはオンライン上で自身と政府とのや りとりをすべていっしょに管理できるようにな る。2002年3月まではこの体制の技術面におけ る予備調査の期間とし、行政関連情報通信技術 庁(ATICA)が運営にあたる。 .. l Etat se donne pour objectif que soient proposees en ligne, d ici a 2005, toutes les demarches administratives des particuliers, des associations et des entreprises, ainsi que les paiements fiscaux et sociaux. II s agit d ... acceder rapidement a toutes les informations administratives, effectuer en ligne et de maniere sure toutes ses demarches avec les services publics, retrouver l historique de ses demarches passees et stocker en ligne, a son gre et en toute securite, les donnees administratives qui le concernent. ... La generalisation des teleservices publics implique de nouvelles formes de partage ou d echange de donnees entre les administrations, et donc la definition de nouvelles regles ... qui devront naturellement s accompagner d une forte securite des donnees personnelles necessaire a la protection de la vie privee. Un site personnalise mon.service-public.fr sera propose d ici a 2005 a chaque usager pour lui permettre de gerer en ligne l ensemble de ses relations avec l administration. L ATICA est chargee de mener, d ici a mars 2002, une etude technique prealable de ce dispositif. 9.11後の状況――つまり、 「日常の安全に関する法」 (Loi sur la Securite Quotidienne:LSQ)を含むテロ対 策立法措置――により、政府は新たなプライバシ ー・ガイドラインの必要性を認識した。そのため、 当時のMichel Sapin公共サービス・政府改革大臣は 公開討論会を開催した。Sapin大臣は、Pierre Truche破毀院(最高裁判所)名誉裁判長率いる法律専 門家グループに助言を求め、データの共有と整理番 号をつけられることへの不安を伴うプライバシー問 題――フランスのパラドックス――の解決法を白書 にまとめるよう要請した。Sapin大臣は、データ・プ ライバシーの「ニューディール政策」を求めている。 (「Administration electronique et protection des donnees personnelles」、2002年1月 http://www.ladocumentationfrancaise.fr/brp/notice s/024000100.shtm) ……フランス政府は電子政府に向けて、2005年 までに個人、団体、企業向けの行政サービスと 手続き、税金と社会保険料の支払いのすべてを オンライン化することを目標としている。重要 なのは……あらゆる行政情報に素早くアクセス でき、公共サービスの手続きがすべてオンライ ンで確実にできるようにすること、関連のある 行政データについて自由に、かつ安全に、過去 の手続きの履歴を調べられ、オンラインで保存 しておけることである。大規模なオンライン公 この白書では、下記の例を含むさまざまな政策の方 針や疑問点を掘り下げている。 • 暗号技術などによるアクセス管理を伴うパーソ ナライズされたアカウントとポータルの開設(ま た、暗号技術には単一鍵方式、複数鍵方式のい ずれを使用すべきか)。フィンランドやイタリア で実用化されているような、デジタル証明を埋 め込んだチップシステムによる国民IDカード。 以上2案のいずかの選択、あるいは併用。 白書は、次の構想についても検討している。[訳注: これは原文では前段落の末尾にある文章。改行ミス と思われる] • 個人情報の使用または変更、あるいはその両方 について、定期的に(たとえば毎月)情報提供を 受ける特別な権利の法整備。 Truche名誉裁判長の白書が発表された後、Le Forum des droits sur l internet(FDI:インターネッ ト権利フォーラム)というグループが2002年に開催し たオンライン公開討論が、この諮問機関によって再 欧州におけるプライバシーと技術について —— 161 電子政府・電子自治体のプライバシーに関する調査研究 報告書 開された(オンライン・フォーラム http://www.foruminternet.org/forums/descr.php?f =7)。こうした動きは主に、下記事項を含むデータ・ プライバシーの議論へと発展した。 • 提案された内容は、相互利用禁止の原則を犠牲 にすると思われる。 • 市民は「個人ポータル」プロジェクトに対し、 依然として大きな懸念を抱いている。 • 間違いなく信用できるという約束が必要になる ……これはいくつかの行政改革によってもたら されるかもしれない。 • オンラインの個人ポータルの問題は、個人デー タ保護の古典的原則の再認識を促している。 • 身分証明とセキュリティーに対する技術的解決 策は、小さなカード1枚を除いて、人目につか ない状態に置かれているのかも知れない。 FDIの最終勧告は、www.monservice-public.fr[訳 注:前出mon.service-public.frの誤りかもしれません] の枠組みと個人向け行政ポータル(portail administratif personnalis:PAP)を支持する内容であったが、 IDや電子証明を持たないユーザーがポータルにアク セスできる可能性について検討している。 FDIの調査は、セキュリティーとプライバシーが 大きな懸念になっていることを明らかにした(図2参 照)。FDIは18%の人がポータルに反対している理由 について調査を行なった。 <図2>:2002年9月のFDIによる調査。調査対象者の 18%がmon.service-public.fr上に構築される 「ポータル」に反対した理由を尋ねたもの。 • 機密性の確保が非常に困難 60% • 政府の全機関からアクセスを可能にする、 行政データの集中化に対する不安 28% • IDの窃盗を懸念 18% FDIは政府に以下のような勧告を行なった。 • データの相互共有は1987年の法律を厳守し、同 意の下でのみ実施されうる(「Recommandation 162 —— 欧州におけるプライバシーと技術について du Forum des droits sur l'internet」 、2003年2 月3日 http://www.foruminternet.org/recommandations/lire.phtml?id=493)。 • 個人向け行政ポータルは、ハイパーテキスト・ リンクを使用してユーザーが各種の行政サービ スへアクセスできる単純な歩道橋のような存在 であるべきであり、ユーザーの行政情報の詳細 を単一の行政アカウントに集中させるべきでは ない。 • 個人向け行政ポータルの機能は利用の任意性と 可逆性の原則に依存する。 • 個人向け行政ポータルの計画は、法律により実 施され、規制される。 • 1978年1月6日の法律により定められたアクセス 権と修正権は、こうした機能がオンラインで実 行できるような形で規定されるであろう。 • 1978年の法律を改正し、個人データを含む政府 保有のファイル同士を相互参照する場合に報告 義務を負わせる法的機構を用意すべきである。 そして個人向け行政ポータルの機能について は、身元証明にスマートカードまたは電子証明 を利用することは可能であろう。 2003年1月の最新の報告によると、「フランスのパラ ドックス」が電子政府を構築するうえでの大きな障 害と考えられるという。De La Coste氏は、相互共有 の例外が本質的に存続するならば、「ビッグ・ブラザ ー」は手を変えてくる可能性もあるとして、以下の ように述べている。 (「L Hyper-Republique - Batir l administration en reseau autour du citoyen」行政改革省次官への報告 書、2003年1月8日 http://www.internet.gouv.fr/francais/textesref/rap delacoste/hyper-republique.PDF) ……問題はもはや、個人情報データベースの悪 用や共有がなされるかどうかを判断することで はない。問題は、誰がそれを行なうのかを理解 することである――政府自身か、あるいは、自 ら構築した壮大な電子商取引プロジェクトに、 政府が規制するものだけを提供する公式文書の 名称を故意に与えた、巨大ソフトウェア・メー カーか? もしフランス政府がネットワークを 通じて行政や機能の境界を実際に取り払うよう 電子政府・電子自治体のプライバシーに関する調査研究 報告書 になれば、もし欧州各国が「各国のネットワー クを結ぶネットワーク」として再編されること になれば、政府機関には何の障害もなくなるで あろう……。 さもなければ、Orwellが想像したものとは形が 異なるものの、彼の描いた悪夢が現実となるこ ともありない話ではない。なぜなら、情報技術 の扉を開いてきたいくつもの巨大集団は、境界 を取り払うことや、政府に代わって手に入れる 個人情報を関連付けることを躊躇しないであろ うし、ことフランスにおいては、そうした集団 にあえて対抗する弱々しい法の防壁など、苦も なく乗り越えてしまうであろうから。ビッグ・ ブラザーは、国家の支配者になるどころか、国 家の最悪の敵となるであろう。 ...la question n est plus de savoir si les fichiers de donnees personnelles seront exploites et croises. La question est de savoir qui le fera : l Etat lui-meme ou bien le grand Editeur de logiciels qui a maladroitement donne a son grand projet de commerce electronique le nom d un document officiel que ne delivre que l Etat regalien ? ... Si l'Etat en France parvient a decloisonner son administration et a fonctionner reellement en reseau, si les Etats europeens parviennent a former eux-memes un ≪ reseau d'Etats en reseau ≫, ils n auront aucune difficulte... "Dans le cas contraire il n est pas impossible que se realise le cauchemar Orwellien, mais pas sous la forme prevue par son auteur. Car les grands groupes qui detiendront les cles des technologies de l information ne se priveront pas de decloisonner et de croiser a la place des Etats les informations personnelles qui tomberont en leur possession, et feront sauter les barrieres juridiques derisoires que ceux-ci tentent de leur opposer, notamment en France. Big brother, loin d etre a la tete de l'Etat, sera son pire ennemi. 4.フランスにおけるプライバシー強化技術 (PETs in France)********************************* 4-1.電子認証と公開鍵基盤 and PKI) 2002年、フランスでは3万5000件のデジタル証明書が 発行された(「Infrastructures a cles publiques: Certplus profite des hesitations de l Etat」01net、 2002年9月13日 http://www.01net.com/article/193408.html)。発行したのは主に、ITサービス企 業、大手銀行、信用供与機関などで構成される民間 のコンソーシアムである。デジタル証明書の発行者 はすべて、認証局(CA:Certification Authority)とし て「信頼できる第3者機関」(TTP:Trusted Third Party)の資格も有する。 業界最大手はCertplus社(仏サートプラス社―― Gemplus社(仏ジェムプラス社)、France Telecom社 (フランス・テレコム社)、Banque Populaire銀行(仏 バンク・ポピュレール銀行)、VeriSign社(米ベリサイ ン社)の合弁企業)で、市場の75%を占有している。こ れまでは、フランス経済・財政・産業省(Minefi)が導 入した付加価値税納税システム(TeleTVA)が、デジ タル証明書発行を手がける民間企業への強力な刺激 剤となってきた。この納税システムを支える認証局 は以下の通りである。 • BNP Paribas Enterprise Authority社(仏BNPパ リバ・エンタープライズ・オーソリティー社) • Certinomis社(仏サーティノミ社――ラ・ポスト と提携) • Certplus社 • ChamberSign(チェンバーサイン、欧州の商工会 議所が設立) • Certigreffe(サーティグラフ、商事裁判所が設 立) • Click & Trust(クリックアンドトラスト • Banque Populaire銀行の認証サービス [訳注:Certplus社と原文にあるが、後で出てくる記 述ではBanque Populaire銀行が行なっている認証サ ービスとなっている。下記の資料のサイトにも Banque Populaire銀行の名が出ている] • Banque Populaire銀行 • Credit Lyonnais銀行(仏クレディ・リヨネ銀行) • SG Trust Services社(仏SGトラスト・サービス 社、Societe generale(仏ソシエテ・ジェネラ ル・グループ)が設立) • Credit Agricole銀行(仏クレディ・アグリコール 銀行) • CCF-HSBC(英HSBC傘下のフランス商業銀行) (経済・財政・産業省の資料より http://www.finances.gouv.fr/dematerialisation̲icp/dematerialisation̲declar.htm) (Electronic certification 欧州におけるプライバシーと技術について —— 163 電子政府・電子自治体のプライバシーに関する調査研究 報告書 デジタル証明書は、大手企業、中小企業、および 法律家や医師といった専門職の個人に発行されるの が一般的である。しかし最近は、個人向けに発行さ れるケースが増えてきた。例えば、Banque Populaire銀行ではClick & Trust [訳注: https://www.click-and-trust.com/での表記であ る](クリック・アンド・トラスト)という新しい認証 局で証明書発行サービスを展開しようとしている。 また、商事裁判所が安全に企業間取引を行なえるよ う設立したシステムCertigreffeは、サービスの対象 を一般消費者にまで拡大することを決定している。 4-2.暗号化によるプライバシー強化 (Encryption-based privacy enhancements) コンピューター・セキュリティーを提供する企業、 とりわけ外国の企業は、フランスで「一般消費者向 け」暗号化ソフトウェアを開発する過程で規制の問 題と戦ってきた。この原因は、前述したように、政 府が複雑な規則を設けていることにある。例えば、 暗号鍵の長さが128ビットを超える場合は規制が増え る。このような制限を超える暗号化ソフトを販売す る場合は(販売先が企業でも個人でも)、銃器取扱業者 のように必ず許可を得なければならない。 2001年11月に反テロリズム条項を盛り込んで制定 された新しい「日常の安全に関する法」(LSQ)に基づ き、あらゆる「機密を守るためのソフトウェアの開 発企業」は、警察が令状を示して鍵の開示を求めて きた場合、それに従って開示できるよう暗号鍵をす べて管理しなければならない。暗号鍵を開示しない 場合は、3年の禁固刑と罰金4万5000ユーロが課され る可能性がある(Federation informatique et libertes(情報処理と自由のための連盟)「Cryptographie: un pas en avant, deux pas en arriere」、2002年9月 17日)。暗号化された電子メールの内容を提出するよ う求める令状が発行された場合、この義務は一般市 民にも適用される(Certplusによる電子メールの暗号 化と認証のための解決策も参照のこと。 http://www.certplus.com/cadres.htm?rub=offre$ssr ub=certif̲serveur$page=certif̲serveur.htm)。 4-3.暗号化と匿名性 (Encryption and anonymity) 10年以上にわたって厳しい規制が障害になっていた ため、フランスで暗号技術の自由な利用を求める活 動家は、おそらくほかの国よりも多いはずである。 2002年9月、Free Software Foundation(FSF:フ リーソフトウェア財団)フランス支部は注目すべき進 展を発表した。同財団のGNUプロジェクトが、GNU 版PGP暗号化ソフトをすべて配布してもよいという 許可を、首相直属の情報システム・セキュリティー 164 —— 欧州におけるプライバシーと技術について 中央局(Direction centrale de la securite des systemes d information:DCSSI)から得たという。この ソフトは、強力な暗号作成ソフトPGPのオープンソ ースGPL(General Public License)版である。128ビッ トを超える長さの暗号鍵を使う場合は、ソフトウェ アの配布者は特別な許可が、またユーザーは申告が 必要となる。問題は、ソースコードが自由に使え、 誰でもコピーできるため、GNU版PGPの「ユーザー」 が皆「配布者」にもなり得るという点である。 DCSSIは法に基づいて、フランス支部に対し、配布 するGNU版PGPすべてについて特別な許可をとるよ う要求することもできたはずである。しかし、実際 にはDCSSIは、このソフトウェアについて単一の許 可を与えた(FSFE-France(フリーソフトウェア財団 フランス支部)の声明)。 2001年に登場して市民に支持されたプロジェクト に、Renseignementsgeneraux.netというものもある。 名称はles Renseignements generaux(RG:警察の情 報部)を真似ているが、一般市民がデータファイルへ のアクセス権を行使できるようにするため、オンラ イン・フォームへのアクセスを提供している。各ア クセス要求は、そこからCNIL(情報処理と自由のた めの国民委員会)に送られる。 そしてもう一つ、No-log.netは、インターネット・ プロバイダーのGlobenet社(仏グローブネット社)が始 めたサービスである。このサービスでは、データを 保存しておく範囲を制限できる。ログはすべて暗号 化され、暗号鍵はGlobenet社の3幹部の間で共有され ている。 5.その他の問題 (Other issues) 5-1.スマートカード・システム (Smart card systems) Groupement d interet economique Cartes Bancaires (Gie-CB:フランス銀行カード協会)[訳注:原文のま ま。しかし、http://www.cartes-bancaires.com/GB/ Pages/FrameMissions.htmによると<Groupement des Cartes Bancaires>の表記になっている]は、民間 部門および公共部門のほぼすべての銀行からなる民間 のコンソーシアムである。フランスでは、PINコード が必要なチップが埋め込まれたクレジットカードが20 年以上も使われてきている。 Gie-CBはインターネット上で同じシステムを使お うとした(Cybercomm(サイバーコム)プロジェクト) が、これは商業的には失敗だった。このシステムで は、パソコンに接続する携帯式のスマートカード読 み取り機を使うことが想定されていた。しかし、ハ ードウェア・システムの費用を負担するのは消費者 電子政府・電子自治体のプライバシーに関する調査研究 報告書 とされ、消費者は関心を示さなかった。 フランスのcarte bancaire(銀行カード)のセキュリ ティーについては、専門家やハッカーが批判し、弱 点を見つけようと挑戦を続けてきたが、そのほとん どは無駄に終わった。唯一の例外は1999年の事件で、 コンピューター技術者Serge Humpich氏が、任意の4 桁の数字をPINコードとして認証するスマートカー ドを作成し、それを複製すれば「万能カード」を量 産できることを証明した。Gie-CBは、このような 「機密情報」を公開したとしてHumpich氏を訴えた。 裁判所が下した判決は、執行猶予つきの10ヵ月の禁 固刑であった。 フランスで登場した最新の金融システムは電子財 布Moneo(モネオ)で、ベルギーのProton(プロトン)や オランダのChipknip(チップニップ)に相当する。 Moneoを発行しているのはBMSというコンソーシア ムで、Gie-CBの主要銀行が後援している。電子マネ ーのスマートカード・システムであるMoneoは、新 聞販売店、レストラン、パン屋などでの小額の買い 物にも使える。しかし、消費者団体UFC - Que Choisir(フランス消費者同盟)からは、このシステム は一般消費者にとって費用の負担が大きすぎるとい う批判が出ている。さらに重要なのは、銀行の依頼 があればMoneoは利用者の取引データ、販売時点情 報などの詳細をすべて記録できるという点である。 しかしBMSは、Moneoが「匿名の」システムである と主張し続けている。 最後に、パリとリヨンの公共交通機関がサービス を開始した、2種類のスマートカード・システムを紹 介する。パリの公共交通システムNavigo(ナビゴ)は Calypso(カリプソ)の技術に基づいており、Moneoの ような電子財布になる可能性がある。非接触型スマ ートカードであるこれらの交通パスでは、プライバ シー侵害の可能性が非常に高い。法的資格が一切な いにもかかわらず、私的なデータがすべて記録され、 保存されている。パリでは記録は4年間保存され、リ ヨンでは13ヵ月保存されることになっている。 6.考察と結論 (Implications and conclusions) フランスではセキュリティーとプライバシーの問題 が電子サービスの導入を阻む要因になり得る。 Pierre de La Coste氏は以下のように述べている。 一部の行政手続きはまだオンライン化されてい ないが、それは、こういった業務には署名や暗 号化の手段が確立していることが不可欠だから である。TeleIRやTeleTVAを作った機関のよ うな特筆すべき例外を除くと、ほかに電子署名 を使うオンライン手続きを利用できる省庁はな い。……経済・財政・産業省以外の省庁は成り 行きを見守ろうとしているようであるが、この 姿勢を変えようとする動きがないと、確実な身 分証明を要するオンライン手続きへの移行が遅 れる可能性がある(※)。 [編注:※原文には前掲注3参照(Ibid note 3.)とあ るがどれか不明。Pierre de La Coste氏の文章の引用 という内容から判断して、前述の「調査報告書「ハ イパー共和国」(Hyper-Republic)」ではないかと思わ れるが、<http://www.internet.gouv.fr/francais/ textesref/rapdelacoste/hyper-republique.PDF>内 でこの文章はヒットしない] <図3>:2002年9月にFDIが行なった調査。 調査対象者の51%が電子政府サービスを利用する意思がないと答えた理由を尋ねたもの。 • 行政職員には直接応対してほしい 59% • 自宅でも職場でもインターネットにアクセスすることがない 40% • インターネットを利用したことがない、もしくは仕組みを十分に理解していない 28% • 行政業務に関してはインターネットはまだ安全な媒体とは思えない 11% • インターネット経由でアクセスできる行政サービスをほとんど、あるいはまったく知らない 6% • オンラインの行政手続きは、まだ複雑すぎて実行できないと思う 6% 欧州におけるプライバシーと技術について —— 165 電子政府・電子自治体のプライバシーに関する調査研究 報告書 Certaines procedures administratives ne sont pas encore en ligne car elles necessiteraient la mise en place de moyens de signature ou de cryptage. Aux notables exceptions pres que constituent TeleIR et TeleTVA, les autres ministeres ne disposent d aucune teleprocedure grand public associant une signature electronique. ... il semble que les administrations autres que les Finances fassent preuve d un attentisme qui pourrait conduire a un retard pour les teleprocedures ayant des besoins d identification securisee, si aucune action rapide n etait engagee afin de lever l attentisme actuel. 最後に、国民は電子政府のサービスや技術を利用す る機会が少なく、慣れていないことも、オンライ ン・システム導入の妨げになっている。多くの調査 結果(図3参照)でも、国民は行政とのやり取りでは直 接対面するほうを好むことが示されている。さらに、 インターネットを利用している国民も、まだ比較的 少ない。こういった行政サービスの有用性や、セキ ュリティー機能が組み込まれていることがわかって いても、なかなか利用へと結びついていない。総じ て、国民は今なお躊躇しているのである。 166 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する国際調査研究 報告書 §2-4.プライバシー強化技術と英国 (Privacy Enhancing Technologies and the United Kingdom) Ian Brown、Simon Davies、Wendy Grossman <目次> 1.はじめに(Introduction) 2.法的整備の状況(Legal landscape) 3.政策および技術の変化(Transformations in policy and technology) 4.英国におけるプライバシー強化技術(PETs in the UK) 4-1.インターネットプロトコル・バージョン6 (IPv6) 4-2.公開鍵基盤(PKI) 4-3.暗号化(Encryption) 5.その他の問題(Other issues) 6.考察と結論(Implications and conclusions) 1.はじめに (Introduction) 英国は成文憲法を持たないという意味で他の諸国と 異なる。そのため本質的に「判例法」に基づいてい るが(根本的には「紳士協定」)、この事実は、国の基 本的な性質において次の二つの帰結をもたらしてい るといえよう。第一に、こうした社会では、国民が 政府に対して高い信頼を寄せることになる。第二に、 成文憲法が不在なために、公共政策の決定に携わる 者たちは、自分たちが、ほとんど民意を問うことな く物事を決定できる、選ばれた人間なのだという考 えに陥る傾向にある。英国の議会制度では、市民の 中では反対意見が多いように思われる場合ですら、 あるいは実際に法の原則に反する場合でも、過半数 の議席を占める党は法案を通過させることが可能な のである。 英国政府における公務員は、目立つ存在ではない が非常に重要な役割を担っている。省における閣僚 の在任期間の平均がおよそ11ヵ月であるのに対し、 公務員は退職まで同じ部門にとどまる傾向にある。 その結果、政府が変わった後でも同じ法案が浮上す ることがある。その典型的な例としては、政府によ る暗号鍵へのアクセスに関する法案が挙げられる。 元来はJohn Major元首相(保守党)が在任中に提出さ れた法案であったが、Tony Blair首相(労働党)になっ た後も、内容はほとんど修正されなかった。1996年 に保守党政権が提出したIDカードに関する法案は、 2002年の労働党政権下で、若干の修正が加えられた だけで再提出されている。 英国は欧州連合(EU)加盟国であるにもかかわらず、 歴史的経緯のために国民の多くは、自らを純粋な欧 州人であるとは考えていない。こうした意識がある ために、セキュリティーおよび通信といった分野に おいて英国が講じる措置は、米国の法執行当局の意 向を反映した内容になる傾向がある。 しかしデータ保護およびプライバシーの分野にお いては、英国はEUの取り決めにより、EU指令に従 って法律を制定する必要がある。英国議会は1998年、 欧州人権条約(European Convention on Human Rights:ECHR)に沿う形で国内法を整備するために、 人権法(Human Rights Act)を可決した。英国の法律 において、プライバシー権に関する規定が設けられ たのはこれが初めてのことであった。 プライバシー保護に関しては、情報コミッショナ ー事務局(Office of the Information Commissioner)が 責任を負う。以前は、データ保護登録官(Data Protection Registrar)と呼ばれたこの独立機関が、デ ータ使用者の登録簿を管理し、法の執行にあたる。 またコミッショナーは「通信(データ保護とプライバ プライバシー問題とプライバシー保護技術について —— 167 電子政府・電子自治体のプライバシーに関する調査研究 報告書 シー)規則」(Telecommunications(Data Protection and Privacy)Regulations)の執行にも責任を負う。 英国におけるプライバシーの状況は混乱している。 ある面で英国民は、プライバシーを強く意識し、こ れを擁護する。一方でここ数年、集会の自由、プラ イバシー、活動の自由、黙秘権、言論の自由など多 くの権利を実質的に制限する、犯罪や公共秩序に関 する法律が可決されている。英国では監視カメラ (CCTV:閉回路テレビカメラ)が街中の至るところに 設置されている。この監視カメラの本来の目的は、 犯罪の防止と探知にあったが、近年では繁華街にお ける管理、そして「反社会的行動」を抑制するため の重要な手段となっている。現在、優に100万台を超 える監視カメラが公共の場を監視しており、ロンド ン市民は通常、1日約300回はカメラにとらえられて いると推計される。そのほか被告の権利の制限、 DNAテストの義務化、データ保有、監査義務、デー タ照合などを法律で規定することが、公共政策の重 要な要素となってきている。 2.法的整備の状況 (Legal landscape) 議会は1984年、データ保護法(Data Protection Act) を承認しており、同法はさらに1998年に改正されて いる。また最も新しい法律は2000年3月1日に施行さ れており、これによって英国の法律は、EUのデータ 保護指令(Data Protection Directive)の要件を満たす ものとなった。同法は公共部門と民間部門の双方の 活動に関して規定しており、情報コミッショナーが 法の執行にあたる。 一方で英国は、プライバシー侵害にあたる多くの 規則を制定してきた。こうした法律は通常、国家安 全保障や法執行、移民政策を監督する内務省が主唱 する。ただし暗号化サービスを提供する事業者の登 録や、デジタル署名の法的有効性を定めた2000年の 電子通信法(Electronic Communications Act)など一 部の法律は、貿易産業省から提起された。 1985年の通信傍受法(Interception of Communications Act)に替わる法律として2000年7 月、調査権限規定法(Regulation of Investigatory Powers Act:RIPA)が制定された。これは内務省の 長たる内相に、通信の傍受に必要な令状を発行する 権限を与えるものである。同法はまた、通信サービ ス事業者に対し、事業者のネットワークにおける 「適正な傍受能力」の提供を義務付けている。対象と なるのは電話会社、携帯電話網を運営する事業者、 インターネット・サービス・プロバイダー(ISP)であ るが、必ずしもこれらに限定されない。政府は2002 168 —— 欧州におけるプライバシーと技術について 年6月、調査権限規定法に基づき約200の公的機関に 対してデータへのアクセス権を与えることを提案し、 対象となる機関のリストを作成した。対象には、地 方自治体や特殊法人からパリッシュ(地方行政区)議 会、多数の政府機関、さらには情報コミッショナー までもが含まれており、これらの組織は令状なしに、 閲覧したウェブサイトの履歴、通話および電子メー ル、携帯電話の位置情報の記録などを調査できると されていた。しかし各方面からの抗議を受け、政府 は再考のためにリストを撤回せざるを得なくなった。 結局、警察および軍事警察の高官、税関局、司法部 のメンバーに対して、暗号化した内容のプレーンテ キストの提出、場合によっては復号鍵の提出をユー ザーに要求することが許可された。これを拒否した 場合は、二年の拘禁刑となる。 法制化された内容の中には、その他にも問題をは らむ規定が含まれている。かつて警察が逮捕前に身 分証の提示を要求することは、限定された状況にお いてのみ可能だったが、現在では疑いがあるという 理由で、街頭で市民を呼び止め、取り調べを行なう 権限が警察に与えられている。逮捕された場合、 DNAサンプルが採取されて国のDNAデータベース に登録される可能性がある。1998年の「犯罪及び騒 擾法」(Crime and Disorder Act)は、犯罪と騒擾の抑 制を目的とした公的機関内での情報共有およびデー タ照合を規定している。 2001年9月11日に米国で起きた同時多発テロ事件 は、英国における監視の強化と個人プライバシーの 制限につながる取り組みを加速させることとなった。 例えば、2001年の「反テロ・犯罪・セキュリティー 法」(Anti-Terrorism, Crime, and Security Act)や 「刑事司法警察法」(Criminal Justice and Police Act)(http://www.hmso.gov.uk/acts/acts2001/200100 16.htm)などである。刑事司法警察法には、1984年の 「警察・犯罪証明法」(Police and Criminal Evidence Act)の修正条項が含まれており、既に認められてい た従来型の通信手段へのアクセス権に加え、電子的 な通信へのアクセス権を法執行機関に認める内容と なっている。 また英国政府は2002年、反テロ・犯罪・セキュリ ティー法に基づき、通信サービス事業者に対して電 子メールの通信記録、携帯電話の位置情報データ、 ウェブサイトの閲覧履歴などのデータを最長で5年間 保管することを義務付ける規定を提案した。 英国のプライバシー擁護派は、プライバシーを過 度に侵害する国内法に対し、欧州議会が何らかの保 護策を示してくれるものと期待していた。欧州議会 は、以前は目的を終えて不要になった通信データの 保有を禁止するとしてきたが、2002年に方針を転換 電子政府・電子自治体のプライバシーに関する調査研究 報告書 し、データの保有を認めることを決めた。同様に欧 州委員会は2003年2月、英国の航空会社が詳細な旅客 データを米国の治安当局に提出することを暫定的に 認めた。しかしこうしたデータに対して、米国では 法律上の保護措置を講じてないため、この決定は欧 州のデータ保護に関する規定に反するという主張が なされている。しかし米国は、データが提供されな ければ英国からの旅客機の飛行を禁止すると威嚇し ていたのである。 3.政策および技術の変化 (Transformations in policy and technology) 一般的な英国民は概して、情報におけるプライバシ ーについては時折関心を示す程度である。政府に新 たな監視権限を与えるとして物議を醸した二つの法 案――調査権限規定法(Regulation of Investigatory Powers Act:RIPA)および反テロ・犯罪・セキュリ ティー法(Anti-Terrorism, Crime and Security Act 2001)――が審議されている間も、国民の間から目立 った反応はなかった。 しかし特筆すべき例外もある。特に調査権限規定 法(RIPA)の厳格な条項をめぐる折衝では、主に意見 を述べたのは専門家であったとはいえ、暗号技術に 関する政策について広範な討議が行なわれた。200以 上の組織に通信データへのアクセスを許可する計画 は、メディアと国民の双方から強い非難を受け、内 務省は計画を撤回し、再考せざるを得なかった。デ ータの保有に関しても各方面から反対の声が上がっ た。例えば2003年初めには、全政党が参加する議会 のワーキンググループが、データ保有を非難し、代 わりにデータの保管を提案する報告書を提出した。 新しい提案は、特定の個人または組織が捜査の対象 となった際に事業者にデータの保管を義務付けると いうもので、「万が一のため」にすべてのデータを保 有するのとは異なる。しかし内務省は、データ保有 を強固に主張する態度を変えていない。 最も物議を醸したのは、「エンタイトルメント・カ ード」(entitlement card)と呼ばれる、事実上の国民 IDカードである。背後には一元管理された国民デー タベースがある。このカードの導入に際しての公開 の意見聴取(public consultation)は半年間に及び、 2003年1月に終了した。政府は、カードの導入が、給 付金の不正受給の削減、不法移民による労働の防止、 行政サービスの合理化、テロの抑止につながるとし て国民への理解を求めてきた。政府は1月中旬、意見 聴取のために作成した文書(consultation document) に対する反応は、圧倒的にこれを支持するものだっ たと述べた。しかしPrivacy International(プライバ シー・インターナショナル)とStand UK(スタンド UK)が開設した電話窓口およびウェブサイトには、 10日間で5倍以上の意見が集まり、そのほとんどが否 定的だった。 しかしながら一般市民の関心が、こうした法律の 影響に対処し得る技術に向かうまでには至っていな い。デフォルトの電子メールクライアントに暗号化 ソフトウェアを組み込んだISPは、国内ではわずか 一社にすぎない。ウェブや電子メールに匿名サービ スを提供する事業者も現れていない。 それどころか多くのプロバイダーは、ユーザーの プライバシーを制限するような方法でネットワーク を設定している。これはISP市場が成長してきた背 景に起因している。競争が激化したことでISPは、 比較的安価な固定料金のインターネット接続を提供 せざるをえない。そして多くのISPは、上りの帯域 幅のコストを抑えるためウェブキャッシュを使用せ ざるを得ず、必然的にユーザーが閲覧したサイトが 記録される。加えて、自社のネットワークから送信 されるジャンクメールを抑制するために、一部の ISPは、他のプロバイダーの送信メールサーバーへ の接続を遮断する。そうすればすべての送信メッセ ージは自社のメールサーバーを経由して流れること になるが、多くのの場合、すべての送受信メッセー ジについてその詳細が記録されることになる。 地方自治体の政府は、最も基本的なプライバシー 強化技術にさえほとんど関心を示していない。監視 カメラ(CCTV)は街中の至るところに設置され、その 映像は、撮影された人の承諾を得ないまま、そして 顔にマスキング処理もされないまま第三者の手に渡 っている(Clare Dyer「Suicide bid on CCTV may herald new privacy law」、The Guardian(ガーディ アン)2003年1月29日 http://www.guardian.co.uk/uk̲news/story/0,3604,8 84193,00.html)。ロンドンのニューアム区では、地元 の監視カメラに顔面認識ソフトウェアを使用してい る。ロンドン中心部を通行する際に「渋滞税」 (Congestion Charge)を課す制度では、カメラ撮影に より車両ナンバーが認識されるが、この情報は犯罪 者の追跡にも利用されることになる(Paul Harris、 Mark Townsend「Security role for traffic cameras」、 The Observer(オブザーバー)2003年2月9日 http://www.observer.co.uk/waronterrorism/story/ 0,1373,892081,00.html)。この制度を構築する過程で も、例えば匿名の前払い制といった、よりプライバ シーに配慮した課金システムについて公に議論され ることはなかった。 ロンドン地下鉄もまた、バスおよび地下鉄で利用 欧州におけるプライバシーと技術について —— 169 電子政府・電子自治体のプライバシーに関する調査研究 報告書 できる、高度な機能を備えた料金支払いカードを導 入しようとしている (http://www.londontransport.co.uk/tfl/prestige̲pro ject.shtml)。ゆくゆくはこのカードは、交通網内や その周辺にある、読み取り機を備えた店での買い物 にも利用できるようになる。カードには、身元を示 さずに現金による前払いを可能にするといった、プ ライバシー強化技術が一切採用されていないが、こ うした点について公に議論されることはほとんどな かった。この種のカードを利用したすべての決済や 交通手段の利用は、それぞれ関連付けることができ、 個人の特定も可能になる。 Privacy Internationalは2002年夏、英国の1000以 上の学校で指紋読み取り装置が導入されていること を突き止めた。指紋読み取り装置は、生徒が図書館 から本を借りる際の身分証明に用いられている (http://www.privacyinternational.org/countries/uk/ kidsprint/)。この読み取り装置のメーカーの顧客サ ービスマネージャーは次のように述べている。「学校 は、登録や出席状況、セキュリティーなどで多くの 懸案事項を抱えているのに、なぜ図書館システムに 取り組むのか、という疑問もあるかもしれません。 わが社は、はるかに先を行っています。どうぞご期 待ください」 (http://www.microlib.co.uk/images/events/revp2.jpg) 意外にも情報コミッショナー事務局は、この指紋 読み取りシステムを支持しており、このメーカーに 対して、当該のシステムは「データ保護法の遵守を 促進する」ことになると述べている (http://cgi.www.microlib.co.uk/cgibin/www.microlib.co.uk/default.asp?action=page&p age=/news/articles/A3/index)。 4.英国におけるプライバシー強化技術 (PETs in the UK)**************************** 英国では、国内企業、多国籍企業を問わず、プライ バシー強化製品を手掛ける企業の数は非常に限られ ている。以下に手短に列挙した内容からわかるよう に、この技術を取り巻く市場は、拡大というよりは むしろ縮小に向かっているように思われる。 SafeDoor(セーフドア)(http://www.safedoor. co.uk/)は、国際的な配送サービスを展開する Securicor(セキュリコ)による、匿名で商品を購入で きるサービスだった。顧客は、名前、住所、クレジ ットカード番号などの情報をあらかじめSecuricorに 登録しておけば、SafeDoorが発行するユーザー名と パスワードを使用して同社が提携するショッピング 170 —— 欧州におけるプライバシーと技術について サイトで買物ができるという仕組みである。 小売店への購入代金の支払いはSafeDoorが代行 し、その後会員のクレジットカードから代金が引き 落とされる。商品の配送はSecuricorが直接行なった。 従ってSafeDoorの会員にとって、販売業者に個人情 報を提供する必要は一切なく、クレジットカードの 不正利用に対する保護措置もいっそう強化されてい た。しかしこのサービスは、2002年5月をもって終了 し、現在のところ、同様のサービスを提供する配送 業者はいない。 インターネット・サービス・プロバイダー(ISP)の Demon Internet(デーモン・インターネット) (http://www.demon.net/)は、PGPによる暗号化およ び認証機能を組み込んだTurnpike(ターンパイク)と いう電子メールクライアントをすべての顧客に提供 している。Turnpikeでは、公開鍵を提供しているす べてのユーザーへのメッセージを自動的に暗号化し、 受信時に自動的に復号化が行なわれる。ただし送受 信者名、件名などのメッセージのヘッダー情報につ いては保護されない。 反テロ・犯罪・セキュリティー法(Anti-Terrorism, Crime and Security Act 2001)が可決されたことで、 政府は事業者に対してデータの保有を義務付ける権 限を有することになったが、Internet Service Providers' Association(ISP協会)はこれを阻止しよう としてきた。ISPは現在、通信データ(電子メールの 送受信者名、閲覧したウェブサイトなどの情報)を非 常に短期間(数時間あるいは数日という場合が多い)だ け保管している。これに対して政府は、こうした情 報の保有期間を最長で一年まで延長することになる 「任意の」規約作りを進めている。ISP各社は、情報 コミッショナーが示した法的見解に基づき、この政 府の要求を顧客プライバシーの不当な侵害だとして 拒否した(http://www.apig.org.uk/ispa.pdf)。ほとん ど唯一内務省だけが、人権に配慮したデータ保有措 置を講じることが可能だと考えており、引き続きそ の実施方法について業界の意見を求めている (http://www.apig.org.uk/homeoffice.pdf)。 4-1.インターネットプロトコル・バージョン6 (IPv6) 英国においてIPv6は、広く普及するまでには至って いない。これまで一般的に利用が可能だったのは、 2000年12月から2002年12月にかけてNTT Europe(NTTヨーロッパ)が試験的に提供したサービ スのみであった。同社は現在、商用サービスの開始 に向けて準備を進めている。 複数の研究機関のネットワークもまた、数年間に わたってIPv6を試験的に運用している。政府が出資 するプロジェクトBermuda 2(バミューダ2)は、英国 電子政府・電子自治体のプライバシーに関する調査研究 報告書 の学術機関ネットワークJANET(ジャネット)におけ るIPv6の展開に際しての問題点を調査している。こ の試験運用には主として、University of Southampton(サウサンプトン大学)、University of Lancaster(ランカスター大学)、University College London(ロンドン大学ユニバーシティ・カレッジ)が 参加している。 2002年にはUK IPv6 Task Force(UK IPv6タスク フォース)が結成され、国内のユーザーに対し、新し いプロトコルへの移行を促している。タスクフォー スのホームページ(http://www.uk.ipv6tf.org/)には、 上述したものも含め、IPv6推進にかかわる組織や活 動へのリンクが掲載されている。 4-2.公開鍵基盤 (PKI) 公開鍵基盤技術は、政府がこれを用いて「キー・エ スクロー」(暗号鍵の寄託)を義務付けようとしたこと から、1990年代後半に英国で物議を醸すこととなっ た。法案の内容は、組織および個人に対して、公開 鍵を認証するために秘密鍵を「信頼できる第三者」 (Trusted Third Parties)ネットワークのいずれかの 組織に寄託することを義務付けるものであった。法 執行機関が公開鍵で暗号化されたデータを復号化す る必要が生じた際には、これに対応する、寄託され た秘密鍵が提供される。この法案で特に問題となっ た条項は、この復号化の命令が発せられた人物に対 し、その事実の守秘を義務付けるという点である。 つまり捜査の対象となった人物は、結果的に有罪に なるか否かにかかわらず、仮に通信相手に対して相 手のプライバシーも侵害されたことを伝えると、刑 事罰を受けることになるのである。 民間の事業者は、セキュリティー上のリスクをも たらすという理由でこの法案に反対した。また国民 や市民的自由の擁護団体からも、プライバシーの観 点から反対意見が出された。こうした抗議を受けた 結果、キー・エスクロー計画は見送られ、認証局 (Certification Authorities)の今後の展開は、市場の動 向によることとなった。 証明書に対する需要は、今のところ非常に限られ ている。Royal Mail(ロイヤル・メール)は1998年、 Entrust(エントラスト)のPKIソフトウェアをベース にしたViacode(バイアコード)(http://www.viacode. com/)と呼ばれるサービスを開始し、多数の公共お よび民間部門の組織にデジタル証明書を発行した。 しかし「市場の成長が遅く、デジタル証明書の普及 状況も限定的であり、財務面で継続が不可能」との 理由から2002年8月にはサービスを停止した。英国商 業会議所(British Chambers of Commerce)も一時期、 Chambersign(チェンバーサイン)と呼ばれる認証サー ビスを提供していた。ただし、今なお電子サービス を利用する際の推奨プロバイダーとして税関局のウ ェブサイトに記載されてはいるものの、 Chambersignはもはや新たな証明書は発行していな い。 英国政府は依然として、デジタル証明書の普及に 努めている。中でも内国歳入庁や税関局などの機関 は、ユーザー名とパスワードの組み合わせという安 全性の劣るものでなく、証明書による認証済みの情 報を受け付けている。しかしViacodeと Chambersignが姿を消したため、こうした証明書の 発行元として認められているのは、Equifax(イクイ ファックス)とBT Trust Services(BTトラスト・サー ビシーズ)だけとなった (http://ggh.ukonline.gov.uk/GGH/GGHelp/0,2404,13 9261˜522700˜˜en,00.html)。 4-3.暗号化 (Encryption) 調査権限規定法(Regulation of Investigatory Powers Act:RIPA)により英国の法執行機関は、ユーザーに 対して復号鍵の提示や、指定された暗号データの復 号化を要求する権限を有する。これに対して有志か らなるあるグループが現在、こうした権限によりア クセスされ得る情報の量を最小限に抑えるため、mo-o-t(ムート)(http://www.m-o-o-t.org/)というソフト ウェアスイートを開発している。 m-o-o-tは、通信と保存されたデータの両方を保護 する。データへのリンクはセッションごとの使い捨 ての鍵を使って暗号化されるため、ユーザーは押収 された暗号文の復号化を強要されることがなくなる。 ファイルは、ステガノグラフィーを利用した多重フ ァイルシステムにより保存される。これにより、異 なるファイルが異なるパスワードによって保護され ることになる。従って法的要請を受けた場合、ユー ザーは重要度の低いファイルにアクセスするパスワ ードを一つ提示し、一方でより重要な情報を隠すこ とが可能になる。 英国におけるプライバシー強化技術の研究におい ては、Cambridge University(ケンブリッジ大学)の Computer Security Group(コンピューター・セキュ リティー・グループ)(http://www.cl.cam.ac.uk/ Research/Security/)が主要な役割を担っている。同 グループのRoss Anderson氏は、匿名を用いた医療 記録や暗号設計について広範な研究を行なっている。 またRichard Clayton氏は、インターネット通信にお ける匿名システムの欠陥とトレーサビリティー(追跡 可能性)全般について調べている。George Danezis氏 は、匿名で利用できる、あるいはその匿名の相手に 課金できる通信プロトコルの開発を行なっており、 欧州におけるプライバシーと技術について —— 171 電子政府・電子自治体のプライバシーに関する調査研究 報告書 Danezis氏の技術は、認証メカニズムだけを用いて秘 匿性と正当な否認を可能にするRon Rivest氏の Chaffinch(チャフィンチ)システムに実装されている。 またDanezis氏は、匿名メールを実現するリメーラー をさらに進化させたMixMinion(ミクスミニオン)の設 計チームの一員でもある。Andrei Serjantov氏は、理 論的な匿名フレームワークを開発しており、これを用 いてメール・ミキサーという匿名化ネットワークの利 用者が経験する匿名度を定量的に計測している。実際 の目的は、ユーザーに対して特定面における匿名性を 保証できるシステムを開発することにある。 Royal Holloway College(ロンドン大学ロイヤル・ ホロウェイ校)も、プライバシー問題にさほど重点を 置いていないものの、いくつかセキュリティー関連 プロジェクトを進めている(http://www.isg.rhul.ac. uk/research/projects.shtml)。同校は最近、USB暗 号化トークンの開発、将来の携帯電話機に求められ るプライバシーに関する必要条件の確立、欧州レベ ルの標準に照らした暗号アルゴリズムの評価といっ たプロジェクトに参加している。 規模は小さくなるが、他の大学にも研究グループ がある。Oxford University(オックスフォード大 学)(http://web.comlab.ox.ac.uk/oucl/research/areas /concurrency/research/security/)はセキュリティー プロトコルと情報フローの分析ツールの開発、 Salford University(サルフォード大 学)(http://sec.isi.salford.ac.uk/)は主にPKIの研究、 London School of Economics(ロンドン大学ロンド ン・スクール・オブ・エコノミクス) (http://csrc.lse.ac.uk/)は社会科学的視点によるセキ ュリティー問題の研究をそれぞれ行なっている。 政府は、さまざまな研究評議会(Research Council) を通じてプライバシー強化技術に関する一部の研究 に助成金を支給している。例えば経済社会研究評議 会(Economic and Social Research Council)は「電子 商取引におけるセキュリティーおよびプライバシー の人的問題」(Human Issues in Security and Privacy in E-commerce)プロジェクトに対して資金 援助を行なっている。同プロジェクトには「PETの 最新動向」(State of the Art in PETs)(http://www.hispec.org.uk/public̲documents/PETReview3%207.1.doc)調査が含まれてい る。工学・物理科学評議会(Engineering and Physical Sciences Research Council)もまた、セキュ リティーメカニズムの研究に定期的に資金を提供し ている。ただしこの研究にはプライバシー関する内 容はほとんど含まれていない。 172 —— 欧州におけるプライバシーと技術について 5.その他の問題 (Other issues) 政府はここ数年間に発行した主要な三つの研究報告 書の中で、プライバシー強化技術に関する問題を論 じてきた。これらの報告書は、この問題における政 府の今後の方向性を明確に示している。 業績・革新室(Performance and Innovation Unit) ――現在は内閣府の戦略室(Strategy Unit)に併合― ―は2002年、「プライバシーとデータ共有」(Privacy and Data-Sharing)(http://www.strategy.gov.uk/ 2002/privacy/report/)と題した報告書を発表した。 この報告書は、政府内での個人データ共有の増加に ともない生じる諸問題に言及している。こうしたデ ータ共有は、表向きは、より効果的で個人のニーズ に合わせたサービスが可能になり、労働党がいうと ころの「統合政府」(joined-up government)の実現に 寄与するとされ、政治課題として高く位置付けられ ている。ただし実際は、単に部門横断的なデータ共 有を意味するだけである。政府の主張によると、こ のデータ共有により、国民が(理論的には少なくとも) 民間部門に期待してきたような、合理的なサービス を提供できるようになるという。 報告書は、国民にこうした利益をもたらすために、 個人データのセキュリティーおよびプライバシーに ついて国民の信頼を得ることがきわめて重要である としている。また政府は、サービス提供のために必 要となる個人データの量を最小限に抑える「最小限 の侵害」の原則に従うべきであり、一方で国民に対 しては、個人データの管理および使用に関して最大 限の選択肢を提供するべきであると記されている。 また報告書は、プライバシーを強化し得るセキュリ ティー技術に関して一節を割き、 「プライバシー選択 プラットフォーム」(P3P)、PKI、バイオメトリクス (生体認証)、スマートカードなどの技術に触れ、こう した技術の政府内における潜在的な用途について論じ ている。さらに政府に対し、プライバシー保護に寄与 する可能性のある新技術を引き続き検討すること、ス マートカードを使った試験的プログラムを立ち上げる こと、さらには情報セキュリティー標準である「ISO 17799」を公共部門全体に適用し、個人情報保護に努 めることを提言している。こうした諸提案を実施に移 すための財源に関しては、政府の通常の予算策定プロ セスにおいて議論されることになる。 内務省は2002年、国民IDカード、いわゆる「エン タイトルメント・カード」の導入に関する公開の意 見聴取を実施した。このカードにより「英国におけ る法的資格を有する居住者に対し、きわめて信用度 の高い身分証明手段を提供する」「公共の目的のため に個人の身元を確定するため、必要に応じて全政府 電子政府・電子自治体のプライバシーに関する調査研究 報告書 機関が利用し得る明確な唯一の身元に関する記録が 存在することになる」「公共および民間部門双方から の商品やサービスを受ける資格が保障され、特に現 在そうした資格の証明が困難な人々に寄与する」と される。また「公共および民間部門の組織が、個人 の身元、商品やサービスを受ける資格や、英国内に おける就業資格を確認する際に役立つ」という。 しかし意見聴取にあたって提出された147ページに 及ぶ文書(http://www.homeoffice.gov.uk/cpd/entitlement̲cards/cards.htm)の中で、「プライバシー」 という語はわずかに10回しか登場しない。この事実 は、この問題に対していかに注意が払われていない か、そしてデータ保護の構想がどれほど強調されて いるかを示している。また文書では、プライバシー 強化技術について論じたセクションは特に設けられ ておらず、スマートカードおよびバイオメトリクス に関する説明はあるものの、大部分はこれらの技術 による不正利用の抑制に関する内容となっている。 国民保健サービス(National Health Service:NHS) は、カルディコット委員会(Caldicott Committee)を 設置し、治療や医学研究に直接関係のない、患者の 身元特定が可能な情報が流出する問題を調査した。 委員会は1997年12月、「患者の身元特定が可能な情報 に関する調査報告書」(Report on the review of patient-identifiable information)(http://www.doh. gov.uk/confiden/crep.htm)を発表した。報告書に記 載された16項目におよぶ提言のうち二つは、プライ バシー強化技術の使用を促すものであった――「特 に取り扱いに注意を要する情報が伝達される際には、 プライバシー強化技術の使用(例えば、NHS番号の暗 号化)が至急検討されなければならない」(提言10)、 「医療情報科学の指導を行なう機関は、プログラムの 一部にプライバシー強化技術を組み込むことが求め られる」(提言11)。しかしこうした報告がなされたに もかかわらず、医療費の支払精算システムといった 単純なケースにも見られるように、提言された内容 のほとんどは実行に移されていない。システム上、 医療機関への支払いに用いる治療記録には、患者の 名前と住所が含まれているのである (http://www.fipr.org/press/030205NHS.html)。秘匿 性に関するNHSの意見聴取は2003年2月に終了した が、意見聴取の結果がカルディコット委員会の調査 報告よりも影響を及ぼすものになるのかどうかはま だわからない。 6.考察と結論 (Implications and conclusions) 英国におけるプライバシーをめぐる状況はきわめて 交錯している。プライバシーは、メディアにおいて 公に議論されるテーマになっているが、歴代の政府 は、この問題に対して適切かつ十分な対応をとって いない。プライバシー強化技術の開発は限定的であ り、概して政府の政策方針においても支持されてい ない。 ただし一部には明るい兆しも見られる。信頼の獲 得は、産業界にとっても政府にとっても重要であり、 適切な認証システムがこれを後押しするかもしれな いのである。Royal MailはPKIソリューションとし てのViacodeを廃止したが、他のインフラが整備さ れるかもしれず、代わりにプライバシーを強化した 認証システムが組み込まれる可能性もある。電子技 術関連の業務全般を担うべく設置された内閣府の 「e-Envoy」からは、政府が積極的にプライバシー強 化を検討している様子がうかがえる(26)。こうしたシ ステムは国民の信頼を後押しすることになるだろう。 一般的に、プライバシー強化技術と公共政策がう まく結び付くことで、信頼の醸成につながるという 認識がある。統合政府の計画においては、プライバ シー強化技術の使用を計画に盛り込むことが信頼の 獲得につながるという理解のもと、この技術の可能 性が論じられた。その当時利用可能だった技術に関 する今では廃れてしまった議論だったにせよ、こう した動きが、産業界の関心を集め、適切な解決策が 生み出されるものと期待される。 英国内で市民が要求するものと政府が提供を望む かもしれないものを、技術が結びつける可能性があ る。最近の調査結果によると、電子政府への反応は これまでのところ比較的低調であるという(「電子政 府で遅れをとる英国」BBCオンライン http://news.bbc.co.uk/1/hi/technology/2794095.stm )。こうした結果を受け、政府が信用とプライバシー の問題に対してより真剣な取り組みを行なうことが 望まれる。 実際のところ、状況は厳しい。2002年9月の世論調 査では、英国の有権者の大半は、政府に私生活の詳 細を知らせはしないと回答した――個人データを安 全に保管するという点で政府は信頼するに足るとい う主張に対して、回答者の58%が異議を唱えたので ある(The Guardian(ガーディアン)「プライバシーへ の危惧が明らかに」http://www.guardian.co.uk/bigbrother/privacy/statesurveillance/story/0,12382,787 808,00.html)。 政府が事態に気付いていないわけではない。昨年、 政府高官のグループによる情報化政策(Senior Group on Information Policy)の議事録が、イギリス国営放 送BBCの番組Todayに「漏れる」という事件があっ た。議事録からは、政府が現在の国民による信頼が 欧州におけるプライバシーと技術について —— 173 電子政府・電子自治体のプライバシーに関する調査研究 報告書 低いことにかなり敏感になっており、データ共有の 今後の見通しに対する「国民の全面的な反発」を懸 念する姿がうかがえた。皮肉にも、BBCが「開かれ た政治」(Open Government)のプロセスに基づき議 事録の開示を政府に要求したとき、信頼について言 及された部分はほぼすべて削除されていた。また、 野党議員がデータ保護法(Data Protection Act)に基 づいて行なった自分自身に関するデータ開示請求に ついて、内閣府が各省に情報提供を命じたことに言 及された部分も、すべて削除されていたのである(出 典:Senior Group on Information Policy. Minutes of the meeting of 12th September 2002,London.)。どう やら政府の慣習はしばらく変わりそうにない。 174 —— 欧州におけるプライバシーと技術について 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §3 欧州における技術とプライバシー保護の動向 (Technology and Privacy Developments in Europe) 欧州委員会は、政策決定の支援を目的として European Research Area(ERA:欧州研究領域)を設 置し、EU(欧州連合)の諸条約によって法的・政治的 義務を負う研究プログラムを実施している。特にア ムステルダム条約(Amsterdam Treaty)を中心とする 諸条約によって、これらの研究プログラムは支えら れている。アムステルダム条約(Amsterdam Treaty) では、先進国の機能に研究および技術開発が果たす 重要な役割について論じるために、特に一章が設け られているのである。 ERAを推進するため、欧州委員会とEU加盟国、 欧州議会は、Framework Programmes for Research and Technological Development(FP:研究フレーム ワークプログラム)をはじめとする一連のイニシアテ ィブを実施している。第5次FP(FP5)は1998年から 2002年にかけて実施され、第6次FP(FP6)は2002年か ら2006年にかけて予定されている。FP6には、FP5 を17%上回る175億ユーロの予算が組まれたが、2002 年度はEU総予算の3.4%が割り当てられたのである。 各フレームワークの目標達成に際しては、「重点分 野」や「優先事項」が多数設定された。FP5、FP6 ではInformation Society Technologies(IST:ユーザ ーフレンドリーな情報社会)を重点分野の一つとして おり、この分野の多くの研究プロジェクトが、プラ イバシーと技術の問題を扱っているのである。こう したプロジェクトのいくつかでは、さらに研究を進 めるための「行程計画」(Roadmap)が立案され、ま たコンセプトを実証・証明するプロジェクトもある。 こうしたプロジェクトは「コンソーシアム」によっ て進められるケースが多い。コンソーシアムには、 NGOや各種業界団体(さらに業界の枠を越えた団体も あり、企業の規模も多国籍企業から中小企業にまで わたる)、大学や研究機関、それ以外の「専門性」と 「水準の高さ」を備えた機関など、幅広い分野の組織 が加わることが多い。 本項では、進行中の研究プロジェクトから数例を 取り上げて評価する。特にユーザーレベルでの Platform for Privacy Preferences(P3P:プライバシ ー選択プラットフォーム)、best practice guidelines for adherence to the EU directives(GUIDE:EU指 令遵守のための最善策ガイドライン)、Privacy Enhancement in Data Management in EHealth(PRIDEH:医療分野でのデータ管理における プライバシーの強化)、Privacy Incorporated Software Agent(PISA:プライバシーが組み込まれ たソフトウェア・エージェント)について考察する。 プライバシーと技術に関する第二世代の研究には、 現在二つの「開発計画」的なプロジェクトがある。 一つはプライバシーとモバイル通信に関する 「PAMPAS」、もう一つはプライバシーとID管理に関 するプロジェクト「RAPID」である。 ◆P3P データ保護指令(Date Protection Directive)95/46/EC の第10条および11条の規定を遵守するには、ウェブ サイトにプライバシーポリシーを掲載するだけでは 不十分である。ただし掲載されたプライバシーポリ シーは、法的責任を形成する可能性がある。 P3Pは、オンラインユーザーにプライバシー・プ リファレンスを管理するための技術的解決策を提供 するものである。プライバシーの取り扱いが、標準 化されたシステムに読解可読なフォーマットである XML(拡張マークアップ言語)に「翻訳」される。 Joint Research Centre(JRC:共同研究センター)によ ると、以下のような仕組みである。(図: 次頁) ユーザーがどこまでの情報を開示してもかまわな いかを設定すると、ブラウザーにインストールされ たP3Pが、サーバー内の「翻訳された」プライバシ ーポリシーとやりとりを行なう。W3C(ワールド・ワ イド・ウェブ・コンソーシアム)では次のように説明 している。 (http://www.w3.org/P3P/brochure.htmlより) P3Pを備えたブラウザーはこのプライバシーポ リシーを自動的に「読みとる」ことができ、消 費者のプライバシー・プリファレンスと比較す る。P3Pは、ユーザーが理解できる形でユーザ ーのわかる場所にプライバシーポリシーを掲げ ることで、ユーザーによる管理を強化し、さら に重要なことは、ユーザーが目で見て確認した 上で行動することを可能にする。つまりP3P仕 様は、個人情報をどんな環境でどんな形で開示 するかを判断したいウェブユーザーに、簡単で 定型的な手段を提供するのである。ウェブサイ トのプライバシーポリシーについてわかりやす い情報と選択肢が提示されるようになれば、ユ ーザーのオンライン取引に対する信頼性は向上 するであろう。 しかし、P3Pの有効性については様々な意見がある。 W3Cも、 「P3Pはプライバシーの最低基準を設定する ものではないし、サイトが掲示している手順に則っ て運営されているかを確認することもできない」こ とを認めている。 EU Data Protection Working Party(EUデータ保 欧州におけるプライバシーと技術について —— 175 電子政府・電子自治体のプライバシーに関する調査研究 報告書 (http://p3p.jrc.it/aboutP3P.phpより 護調査委員会)やEUが資金を出している研究の結果 からも、P3Pがデータ保護関連法規の遵守を保証す るものではないことが明らかになっている。しかし、 P3Pは透明性を大幅に引き上げるだけでなく、ユーザ ーのブラウザー環境と継ぎ目なく統合された形でこの 機能を提供する。P3Pのおかげで消費者は、サイトを 利用した取引の際にそのサイトが信頼するに足るデー タ処理ポリシーを持っているかを確認するために、長 く複雑なオンライン・プライバシー規定を隅々まで読 まなくてもすむようになり得るのである (JRCおよびPWC「GUIDES: Final Guidelines Document」ブリュッセル、欧州委員会、2002年4月 8日、p.42 http://eprivacyforum.jrc.it/defaultpage.gx?̲app.pag e=entity.html&̲app.action=entity&̲entity.object= KM------00000000000002C8&̲entity.name=guidelines.pdfで入手可能)。 欧州委員会の総局の一つであり、EUの政策決定に 科学技術面から独立した支援を行なうJRCが、P3P の有用性を示すための試作品の開発プロジェクトに 取り組んでいる。このプロジェクトには多くの目的 があるが、下にその一部を紹介する。 (http://p3p.jrc.it/aboutthisproject.phpから作成) 1. 消費者教育の実施:P3Pの試作品は、EUに商 用利用から独立した、P3Pのインタラクティブ な教育環境を提供する予定である。 176 —— 欧州におけるプライバシーと技術について 2. 消費者の信頼性を高める:P3Pの試作品によ り、オンライン電子取引に対する消費者の信用 と信頼を高め、ヨーロッパの電子商取引発展を 促進するという目標に貢献する。 3. 消費者の反応を理解する:試作品は、P3P標 準の実用化初期段階における規格の完成度を、 消費者の主観的立場から測定するために使われ る予定である。 4. 研究発展のための基盤整備:P3Pの試作品の 導入は、P3P規格の拡張に関する実験的研究の ための基盤を提供することになるであろう。特 にP3P規格を強化するための、安全で効果的な 調査と導入の可能性に関しての構造を提供する ことになるであろう。 5. 統合された研究基盤:P3Pの試作品によっ て、JRCがP3P規格について、最新のセキュリ ティー管理技術や、クッキー(cookie)破壊技術 や匿名化技術などのプライバシー強化技術 (PET:Privacy Enhancing Technology)につい て、評価する機会を提供する。 6. プライバシー遵守の基盤:データ保護規定の 効果の効率を促進する。EUの法規では、個人 電子政府・電子自治体のプライバシーに関する調査研究 報告書 データの保護は法的義務とされており、企業と 消費者が交渉する必要はない。P3Pは消費者を 支持するものである。規格の導入は、これらの 問題をより詳細に検討することを促し、商業分 野におけるプライバシー保護遵守のためのガイ ドライン制定などの問題解決を目的とした、 JRCの現在の活動を支持するものである。 P3Pプロトコルを推進する動きとしては、意味論的 構造の採用、プロキシ・サービスの開発、P3Pの分 散環境を創りあげるためのSOAPプロトコルの採用 などがある。 上記第6項で触れられたP3Pプロジェクトのガイド ラインについては、欧州委員会の研究を扱った次項 にその詳細を譲ることとする。一方、W3CもP3Pの 改定を計画しており、特にデータ収集の主な理由、 EU指令への遵守および対応に関する項目、たとえば どの司法管轄のデータが適用されるかについての説 明部分や、データの最大保存期間などについて改定 する意向である (Cranor, L.、Weitzner, D「Summary Report - W3C Workshop on the Future of P3P」バージニア州ダラ ス、W3C: Technology and Society Domain、2002年 11月12-13日http://www.w3.org/2002/12/18-p3pworkshop-report.htmlにて入手可能)。これらについ ては、ドイツのキールで開催される2003年6月の会合 でさらなる展開が期待されている。 ◆GUIDES:データ保護指令95/46/ECに基づく電子 ビジネス・ガイドライン(GUIDES: E-Business Guidelines on DPD 95/46/EC) GUIDESプロジェクトの主目的は、欧州の電子ビジ ネス企業がEUのデータ保護の仕組みにそった行動を 取る助けとなるような実用的なガイドラインを作成 することであった。従ってGUIDESは、EU指令によ って形成されたプライバシー原則を取り巻く、一連 の法的・技術的ガイドラインによって構成されてい るのである。GUIDESでは特にプライバシーに間する 技術的な問題、つまりHTTPプロトコル(ウェブ・ブ ラウザーやオペレーティング・システム(OS)、ならび に定位性が高く地理的位置情報を開示しがちなIPv6 などの先進技術による情報流出を含む)、ウェブ・バ グ、クッキー、電子プロファイリングによって持ち 上がった問題への取り組みに重きを置いている。 電子商取引について、GUIDESは以下のように指 摘している。 (JRC and PWC「Final Report -- GUIDES Deliverable D5.2.」ブリュッセル、欧州委員会、 2002年4月、p.5 http://eprivacyforum.jrc.it/default/page.gx?̲app.pa ge=entity.html&̲app.action=entity&̲entity.object= KM------00000000000002C8&̲entity.name=final.pdf) • ネット企業間の相互依存性が高まりつつあり、 相互間のデータの流れが増加している。これが、 個人データのプライバシーに対する大きな圧力 はとなっている。 • プライバシーポリシーの設置や信頼性を保証 する組織からの認証マークの取得がますます一 般的になってきている。しかしこれらの認証マ ークの「信用度」は必ずしも明確とは限らない。 • P3Pが、ネットワーク上で消費者のプライバ シー・プリファレンスを管理する、重要な技術 標準として認知されつつある。 • 多国籍企業は概ね、プライバシーポリシーや そのための手続きを制度化するための資源を有 しているようであるが、中小企業には概してこ れらの資源がない。 またモバイル商取引についても、GUIDESは以下の ようにまとめている。 • モバイル商取引に関する法規や標準の整備が 実情に追い付いていないのが現状である。 • 電子商取引のプライバシー強化技術(PET: Privacy Enhancing Technology)のいくつかが、 モバイル商取引用のプライバシー強化技術に応 用されている(モバイルP3P、WTLS(wireless transport layer security))。 • モバイル商取引におけるプライバシーの危険 性は、電子商取引のそれより複雑である。 • モバイル商取引のビジネスモデルは、 WAP(Wireless Application Protocol)中心で、 トランザクション量は少なく、しかも高コスト である。しかしGPRS/UMTS/CDMAが普及す れば、トランザクション量は増加し、プライバ シー問題はますます重要になるだろう。 こうした点を踏まえて、GUIDESプロジェクトは 1995年EU指令遵守のための「模範実施例」をまとめ た。提示されている対策の多くは、本質的には技術 的というよりむしろ、方針段階の内容である。しか し、技術面の推奨もいくつか盛り込まれている。 特に、データ保護に関するセキュリティー原則に ついて、GUIDESプロジェクトは以下を勧告している。 (JRC and PWC「GUIDES: Final Guidelines Document」ブリュッセル、欧州委員会、2002年4月 8日、p.31) 欧州におけるプライバシーと技術について —— 177 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • ネット企業は、ベンダーが提供するセキュリ ティー関連のソフトウェア・パッチすべてを確 実かつ迅速にインストールしなければならな い。信頼性の疑わしいソフトウェアはインスト ールしないことを徹底しなければならない。 • ネット企業は自社の電子商取引システムで実 際に使っているアプリケーションに割り当てら れたポート以外のインターネットのパケットを 受け付けないように、システムを設定しなけれ ばならない。 • ネット企業は、「信頼できる」ソースからダウ ンロードしたソフトウェアしか使用してはなら ない。 • ネット企業のシステム管理者は、電子商取引シ ステムのハードウェアへの物理的アクセスを厳 しく制御しなければならない。権限を与えられ たテクニカル・スタッフ以外は、システムにア クセスできないようにすることが必要である。 • ネット企業は、監視ログの分析と組み合わせて、 監査手順(データにアクセスしている者やアクセ スされたデータの追跡など)を定めることができ る。権限のないアクセスや異常な活動の追跡調 査を行なうことが、長期的なシステム・セキュ リティーとプライバシー保護に重要である。 • ネット企業は、データ保護を確実にするため、 安全なデータベース製品を使用することができ る。多段階のセキュリティー措置を施されたデ ータベースを用いれば、ユーザーがアクセスで きる領域とできない領域を区別してデータを格 納できる(OSのパスワードとは別に、データベ ース・エンジンのパスワードやデジタル証明書 を使ってアクセスを制限することで、セキュリ ティー層を追加することができる)。 • 電子商取引ネットワークへの接続前にユーザ ーの身元確認を行なうことは、情報リソース保 護の基本部分である。(……)パスワードおよび パスワード暗号化プロトコルによる認証システ ムは、侵入者がシステム侵入の糸口に使う抜け 穴を塞ぐのに役立つ。 • パスワード:リモート端末あるいはウェブブ ラウザーから入力されたパスワードの基本機能 は、今接続しようとしている人物が、自らがど ういう人物であると名乗っているかを、中央サ ーバーに対して提供することである。 • ウェブサイト上あるいは接続されたコンピュ ーター・システム上にある個人情報を保護する ため、物理的・技術的・手続き的手段を効果的 に実装しなければならない。 178 —— 欧州におけるプライバシーと技術について • ネット企業は、アクセスと認証の手続き、シス テム監査の仕組み、ならびに記録の完全性管理 のための適切な方法を確立しなければならない。 セキュリティー対策は、ネットワーク層におけるセ キュリティー・メカニズムを採用することが望まし い。GUIDESプロジェクトによれば、ネット企業は 以下の対策を講じるべきである。 (JRC and PWC「GUIDES: Final Guidelines Document」ブリュッセル、欧州委員会、2002年4月 8日、p.33,p.35) • パケットをあるネットワークから別のネット ワークにルーティングする際、パケットを選択 的に遮断することができるルーターの採用。パ ケット・フィルタリングによってスクリーニン グを行なうルーターのパケット選別は、どのよ うなパケットが通過できるかを定めた、予め定 義された規則による。 • 内部ネットワークと公共インターネットの間 にファイアーウォールを設置する。(……) • 侵入検知システムを採用し、情報システムや データの利用状況をほぼリアルタイムで監視 し、システムのセキュリティーやプライバシー ポリシーを脅かしそうなパターンの活動を遮断 しなければならない。 • プロキシサーバーの使用。 • ネットワーク・ハードウェアへの物理的アク セスを厳しく管理しなければならない。権限を 与えられたテクニカル・スタッフ以外が、シス テムにアクセスできないよう厳しく管理する。 • セキュリティー違反については適切な調査を行 ない、修正が行なわれなければならない。個人 に損害や問題が発生する可能性がある場合には、 ネット企業は、セキュリティー違反を検知した り対処するためのシステム監査機能を持つ電子 商取引システムを使用しなければならない。 • 高い防護力が必要とされるシステムには、ネ ットワーク・ケーブルに銅配線より光ファイバ ーを使用するほうが望ましい。光ファイバーは 銅配線を使った他のネットワークより傍受され にくいからである。 • アプリケーション層においても、ネット企業 は以下の対策を講じるべきである。 • サーバーとクライアント間の通信を保護する ために、サーバー認証、機密性を必要とするサ ービス、改竄される危険があるサービスには、 SSL(secure sockets layer)を使用する。 • 改竄されにくく、機密性の高い、認証を持つ 電子政府・電子自治体のプライバシーに関する調査研究 報告書 電子決済システムを使用する。 • モバイル商取引アプリケーションには、SSL と同じ機能を提供するWTLSを使用する。 • ソフトウェアのダウンロードに対して、認証 システムを用いることを検討する。ダウンロー ドしたソフトウェアに電子署名があれば、改竄 されていないことの証明になる。 • たとえば、否認防止などのために、クライア ントにもデジタル署名サービスを採用する。 • メッセージ・アプリケーションのセキュリテ ィーを確実にするために、安全なメッセージ・ システムまたはS/MIMEを使用する。 ◆PRIDEH:医療分野でのデータ管理におけるプラ イバシーの強化(PRIDEH: Privacy Enhancement in Data Management in E-Health) PRIDEHは、健康管理業界のプライバシー強化技術 (PET:Privacy Enhancing Technology)を研究し、 その採用を推進するプロジェクトで、将来的には他 の業界も視野に入れている。PRIDEHプロジェクト には、ベルギーに本社を置き、仮名による信用サー ビスなどのセキュリティー・サービスプロバイダー であるCUSTODIX、セキュリティーを強化したアプ リケーション・ソフトウェアの開発を行なっている WREN Computing(WRENコンピューティング)、さ まざまなアプリケーションのセキュリティー監査を 行なっているErnst & Young Audit(アーンストアン ドヤング・フランス法人の監査部門)の3社が参加し ている。 PRIDEHプロジェクトが主に問題としているのは、 通常は身元情報が情報管理のための「鍵」として使 われており、それがプライバシー問題につながって いる点である。そこでPRIDEHプロジェクトは、技 術を利用した仮名サービスによって、プライバシー 侵害の危険性を最小限にするデータ取り扱いの「安 全な」手段を提供しながら、しかも、さまざまなソ ースから集めた情報や経時的な情報を、蓄積したり 追跡したりする利点も残そうとしている。 この匿名サービスは、Trusted Third Party(TTP:信頼できる第三者機関)というコンセプ トを使っている。 PRIDEHの主張は、安全で実用的なセキュリティ ーを確保するには、匿名サービスなどのプライバシ ー強化技術を提供する、信頼できるサービスプロバ イダーが必要というものである。このようなプロバ イダーが安全なオペレーションを保証し、プロセス 中のすべての「鍵」とメソッドが保護される。 PRIDEHプロジェクトは、2003年秋に完了の予定で ある (詳細はhttp://www.prideh.custodix.com/参照)。 ◆PISA:プライバシーが組み込まれたソフトウェ ア・エージェント(PISA: Privacy Incorporated Software Agent) PISAプロジェクトの目標は、ユーザーのプライバシ ーを保護するための電子的仲介機能を開発すること である。ユーザーの個人識別情報への不必要なリン クをすべて除去するための、Identity Protector(IP: ID保護)と呼ばれるフィルターを取り入れている。そ の目的は、当初次のように述べられていた。 (http://www.singleimage.co.uk/pisa.htmより) 電子商取引やモバイル商取引のアプリケーショ ンでインテリジェントなエージェント(ショップ ボット(shopbot)、バイボット(buybot)、プライ スボット(pricebot)、あるいはロボットを短縮し て単にボット(bot)と呼ばれる)を利用している時 も、プライバシー強化技術(PET:Privacy Enhancing Technology)が市民のプライバシー を保護する安全な技術的解決策であり、プライ バシー保護指令が遵守されることを示すこと。 政府と産業界が協力して、プライバシーが保 護された新しいサービスを立ち上げること。 新しいオープン・スタンダード「プライバシ ーを保護したエージェント取引」(Privacy Protected Agent Transactions)を標準化団体に 提案すること。 つまりPISAプロジェクトのリーダーたちは、法的な 保護や自己規制のみに頼るよりも、プライバシー強 化技術が取り入れられた手段によって取引が行なわ れる方が、おそらく消費者のプライバシーをより効 果的に保護できる、と考えているということである。 PISAコンソーシアムは実証モデルを作成し、個人 データを危険から保護しながら、個人に代わって複 雑な取引を行なうことが可能なことを示そうとして いる。PISAの実証モデルには、多数の技術が取り入 れられている。 欧州におけるプライバシーと技術について —— 179 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • インテリジェントな検索およびマッチングのた めのエージェント技術 • プロファイルを作成し予測するためのデータ・ マイニングまたは同等の技術 • 取引の守秘性および個人データの保護のための 暗号化技術 PISAコンソーシアムの実証モデルは、PISAを二つ の例に適用したものだった。一つは就職サイトの検 索。そしてもう一つは、自動車および不動産購入の サイトである。 しかし、本稿執筆段階では著者の知るかぎり、こ のプロジェクトはまだ不完全である。 ◆モバイル環境におけるプライバシーとプライバシ ーおよびIDの管理(Mobile Privacy and Privacy and Identity Management) 欧州委員会情報社会総局は2002年、第5次研究フレー ムワークプログラム(FP5)のもと資金調達を行ない、 25の「行程計画」(Roadmap)プロジェクトを立ち上 げた。本稿では、これらの開発計画プロジェクトの うち、Pioneering Advanced Mobile Privacy and Security(PAMPAS:モバイル環境におけるプライバ シーおよびセキュリティーに関する先進技術の構築) と、Roadmap for Advanced Research in Privacy and Identity Management(RAPID:プライバシーお よびID管理に関する先進の開発計画)の2つについて 取り上げる。 (Information Society Technologies「Roadmap Projects in IST Key Action II -- New Methods of Work and Electronic Commerce」ブリュッセル、欧 州委員会、2002年8月21日、 http://www.ercim.org/reset/Roadmaps̲list.pdf参照) ◆PAMPAS 2002年6月に発足したPAMPASは、モバイル環境に おけるプライバシーとセキュリティーの問題を探っ て、2003年の第6次研究フレームワークプログラム (FP6)でさらなる研究を進めるためのフレームワーク の構築を目的としていた。PAMPASが目指すのは、 モバイルのサービスおよびシステムが、セキュリテ ィー、プライバシーおよびIDの管理の要求を確実に 満たすようにすることである。 Ericsson Eurolab率いる同プロジェクトは、プラ イバシーおよびID管理に関して、さらなる研究が必 要な多くの側面を洗い出した。その項目には以下の ようなものが含まれる。 (PAMPASから作成「Refined Roadmap for Pioneering Advanced Mobile Privacy and Security. 180 —— 欧州におけるプライバシーと技術について Pioneering Advanced Mobile Privacy and Security」、2003年2月28日Pioneering Advanced Mobile Privacy and Security, February 28 2003.) • 調整可能な匿名性を備えたプライバシー保護型 のモバイル・アプリケーション。アプリケーシ ョン特有のプライバシー保護方法の研究および 評価が求められている。これには、サービスと アプリケーションに応じて提供されるべき匿名 性の程度を測定するモデルの開発が含まれる。 「この研究により、一方では、(バナー・アプリ ケーションなどの)個別化とプライバシー問題と の妥協点を見つけ、もう一方では、(例えば現在 主流の匿名通信ソリューションの大部分は、帯 域幅の効率を犠牲にして匿名性を付与している が、)パフォーマンスとプライバシーとのバラン スを見出すのに役立つはずである」 • 匿名性と仮名性に関するモデル化には、さまざ まなレベルでの保護を提供する、例えばクラウ ズ(Crowds)やオニオン・ルーティング(Onion Routing)など多様なネットワーク・プロトコル が含まれるであろう。 • 認証におけるプライバシー。とりわけ「アクセ ス制御を可能にするために、あまりに頻繁に、 大量の個人情報が配布されている」問題 • 個人情報公開の制御を可能にする、ユーザー中 心のメカニズム • モバイル・ネットワークへのインターネット匿 名性ツールの採用 • ピアツーピア・ネットワークの匿名化 • Microsoft(マイクロソフト)社のMicrosoft Passport(マイクロソフト・パスポート)や Liberty Alliance(リバティー・アライアンス)の 認証メカニズムに対抗する、モバイル認証を基 盤としたシングル・サインオン方式の認証。 PAMPASは、モバイル通信事業者が独自の認 証モデルを開発して、これらの問題解決に重要 な役割を担うことを提案する。 • 位置情報ベースのサービスと位置に関するプラ イバシーの問題 • スケーラブルなプライバシー保護(Scaleable 電子政府・電子自治体のプライバシーに関する調査研究 報告書 Privacy Preservation)。「モバイル・ユーザー自 身が、匿名性の程度を実用的で信頼できる方法 で自分のために管理できる環境で」プライバシ ーと個別化のバランスを取れるよう、モバイ ル・ユーザーのプライバシーを保護する方策を 調査および評価することが含まれる。 このほかにも、さらなる研究が必要な数多くの項目 が確認されている。PAMPASの目的は、これらのテ ーマを新しい予算とフレームワークのもとで前進さ せることである。 PAMPASプロジェクトに関連して、デンマークの 企業Open Business Innovation(オープン・ビジネ ス・イノベーション)社が、プライバシーを強化する ワイヤレス・アプリケーション用の認証メカニズム を開発中である。同社は、オフラインでのプライバ シーを強化する信頼できるプロセス、つまり身元情 報の開示プロセスを預託する制度と、匿名性をサポ ートするプライバシー管理型の公開鍵基盤(PKI)を組 み合わせるアプローチを主張している。この方式は 特に、位置情報サービスとプライバシー強化型のワ イヤレス・クライアント機器に適用されることで、 エンドユーザーが、信頼できる、それぞれの関係が 切り離された複数のID情報を管理できるようにな る。こうしたシステムは、電子政府やマルチ・ハブ のヘルスケア業界には理想的なものといえる。Open Business Innovation社は、複数のIDを使い分けるプ ライバシー強化型の電子政府を目指すことによって、 国民IDシステムの中心的課題も解決されるだろうと 主張しているのである。 ◆RAPID RAPIDもまた、開発計画的プロジェクトである。 RAPIDプロジェクトには、業界、教育機関、研究所、 人権擁護団体の専門家が集まっており、プライバシ ー強化技術(PET:Privacy Enhancing Technology)、 ITセキュリティー、法とIT、社会経済問題といった 分野の専門家で構成されている。RAPIDの目的は、 プライバシーが保護された世界を実現するための、 技術的、法的、方法論的基盤を見出し、構築するこ とである。長期的な目標は、有用性やセキュリティ ーといった他の条件も尊重しつつ、市民のプライバ シーを真に保護する活力あるシステムを準備し、作 り上げることである。 (http://www.ra-pid.org/default/page.gx?̲ app.page=entity.html&̲app.action=entity&̲entity.o bject=KM-----00000000000003FE&̲entity.name=PETfactsheet) RAPIDの核となるコンセプトは、プライバシー強 化ID管理(PIM:Privacy Enhancing Identity Management)である。PIMは、各人が自らの個人デ ータを開示する際に、その性格や量を管理する手段 を提供する。PIMのコンセプトは、社会基盤や大企 業でのPETに適用されてきた。大企業によるPETの 研究は、PriceWaterhouseCoopers(プライスウォー ターハウスクーパーズ)、IBM、HewlettPackard(HP:ヒューレット・パッカード)、 Siemens(シーメンス)、Ericsson(エリクソン)の各社 を中心に行なわれている。 RAPIDが示すPIMの基礎となる要件は、以下に基 づくものである。 • EUデータ保護指令(EU Date Protection Directives) • ユーザー・プリファレンスと企業のプライバシ ーポリシー • ISO/IEC IS-15408に定められたセキュリティー 評価基準、コモン・クライテリア(Common Criteria)が以下の領域で求めている要件 • ユーザーが身元情報を開示せずにリソースまた はサービスを利用できることを保証する匿名性 (anonymity) • ユーザーが身元情報を開示せずにリソースまた はサービスを利用でき、かつその利用について 責を負うことを可能とする仮名性(pseudonymity) • 他者に自らの個々の利用を関連付けられること なく、ユーザーがリソースまたはサービスを利 用できることを保証する非関連性(unlinkability) • 他者、特に第三者に利用を観測されることなく、 ユーザーがリソースまたはサービスを利用でき ることを保証する非観察性(unobservability) またRAPIDは、PIMによって、特に、企業環境にお けるデータ保護規規制遵守に関するコストの削減、 統合的な法遵守の向上、セキュリティーの向上、シ ングル・サインオンなどの新たなサービス提供の可 能性がもたらされると考えている。 RAPIDがPIMを適用できると想定している主要分 野の一つは、電子政府によってもたらされると考え られている。各種データ統合プロジェクトにより、 データソースの集約および相互連結が進められてい る。しかしRAPIDによれば、多くの場合、中央への データ統合やデータの連結は、明確な目的の想定が なされないまま行なわれているという。実際にはデ ータの統合は、単にデータの結合が可能であるとい う理由だけから進められているように見受けられる。 プライバシーおよびデータ保護の観点から見ると、 これは明らかに問題であり、EU各国の電子政府開発 欧州におけるプライバシーと技術について —— 181 電子政府・電子自治体のプライバシーに関する調査研究 報告書 にあたっては、オンライン、オフラインにかかわら ず、政府と市民のあいだに多様な形式で情報をやり とりするための効率的なIDインフラが必要であると RAPIDは主張している。PKI(公開鍵基盤)や電子身分 証明書といった提案が出てくるのは自然なことでは あるが、RAPIDの見解では、電子政府のIDインフラ 内に幅広い匿名性や仮名性を可能とするシステムを 開発しなければならない。そしてまた、個人の属性 の部分集合である「部分的ID」(partial identity)や、 複数IDのサポートも必要である。 (Samarati, P.、Damiani, E.、Vimercati, S. D. C. d. 「Identity management PIM Roadmap: Multiple and Dependable Identity Management: R & D Issues」、 Roadmap for Advanced Research in Privacy and Identity Management(RAPID:プライバシーおよび ID管理に関する先進の開発計画)、2002年12月20日 http://www.rapid.org/default/page.gx?̲app.page=entity.html&̲a pp.action=entity&̲entity.object=KM-----000000000000042B&̲entity.name=draft-identitymanagementにて入手可能) RAPIDは、あらゆる適用領域で成功するID管理シ ステムであるためには、以下の条件を満たすことが 必要であるとしている。 ・確実性と信頼性。RAPIDの主要目標は、個々のユ ーザーの匿名性を保護し維持することであるが、一 方では、デジタルIDの信頼性を、他の当事者に完全 に保証する必要がある。したがって最終的には、そ うした取引から派生するデジタルIDに対する責任 を、誰かが負わなければならない。 ・情報開示の管理。どのような状況でどのようなID が使用されるかに関する決定権は、ユーザーに与え られなければならない。 クレデンシャル(credential: 資格証明書)の開示を最 小限に抑えることが、理想的であるように思われる。 RAPIDによれば「クレデンシャル」とは、ユーザー 自身によるものであるか他者あるいは他のプロセス に由来するものかにかかわらず、ユーザーに関する あらゆる情報を指す。 (Samarati, P.、Damiani, E.、Vimercati, S. D. C. d. 「Identity management PIM Roadmap: Multiple and Dependable Identity Management: R & D Issues」、 Roadmap for Advanced Research in Privacy and Identity Management(RAPID:プライバシーおよび ID管理に関する先進の開発計画)、2002年12月20日 http://www.rapid.org/default/page.gx?̲app.page=entity.html&̲a pp.action=entity&̲entity.object=KM-----000000000000042B&̲entity.name=draft-identity- 182 —— 欧州におけるプライバシーと技術について managementにて入手可能) しかし、従来のクレデンシャルは、個々の取引の 性質にかかわらず常に同量の情報を開示するもので あるため、こうした使い方には不適切である。その 取引の実行に必要な情報のみを過不足なく開示する ような、より近代的なプライバシーを考慮したクレ デンシャルが必要とされているのである。 プライバシー保護規定を遵守するには、技術的な 対応が必要であるとRAPIDプロジェクト参加者は考 えている。すなわち、 法規および規制を適切に遵守したポリシーを掲 示し、それを実行するというのが現在の傾向で ある。しかし、対外的に示されたプライバシー ポリシーに関する遵守の定義は、限定的になら ざるを得ない。なぜなら、そうした対外的なポ リシー(P3Pの使用など)は、極めて粗いもので、 さまざまに解釈する余地があるからである(対外 的役割および目的などの変動要素に対して設定 された、組織独自の内部的位置と手順に依存し てしまう)。たとえ綿密な対外的ポリシーであっ ても、それが意味を持つのは、組織が複雑な業 務プロセスを明示されたポリシーに合致させる ことができた場合で、しかもポリシーの確実な 実施が自動化でき確認できる場合だけである。 加えて、綿密かつ強制力のあるポリシーは、デ ータの最小化に関して法規に準拠するかもしれ ないが、政府およびユーザーがデータ最小化を 要求したり確認したりできるかどうかは、その 多くの部分を、開発されつつあるプライバシー 強化技術の使用と認識に依存している。したが って、遵守の定義づけ、技術に対する適切な認 識と技術の発展、ポリシーを強制する手段なく しては、「遵守」には限定的な意味しかないの である。 (Herreweghen, E. v.、Waidner, M.、Bramhall, P.、 Cuellar, J.、Tappe, J.、Holtmanns, S.、Schasfoort, F.「Enterprise PIM Roadmap: Privacy Enhancing Technologies and Identity Management Systems in Enterprises 」、Roadmap for Advanced Research in Privacy and Identity Management(RAPID:プライ バシーおよびID管理に関する先進の開発計画)、2002 年11月17日 http://www.ra-pid.org/default/page.gx?̲ app.page=entity.html&̲app.action=entity&̲entity.o bject=KM-----0000000000000432&̲entity.name=draft-enterpriseに て入手可能) 電子政府・電子自治体のプライバシーに関する調査研究 報告書 RAPIDによる開発計画の策定は完了に近づいてお り、RAPIDは現在、Privacy and Identity Management for Europe(PRIME:ヨーロッパにお けるプライバシーおよびID管理)と名付けられた新プ ロジェクトとして、第6次研究フレームワークプログ ラム(FP6)の下での資金獲得活動に取り組んでいる。 IBM-France(IBMフランス)、IBM-Research Zurich(IBMチューリッヒ研究所)、 PriceWaterhouseCoopers, Dresden(プライスウォー ターハウスクーパーズ・ドイツ)、HPの各社および 欧州の多数の大学が同プロジェクトに参加している。 PRIMEは、個人に私的領域の支配権とID情報の管理 権を与える方法の開発を目的とした、4年間のプロジ ェクトである。また、PIM機能の普遍的な採用を推 進しようとしている。 とはいえ、このようなさらなる研究から生まれる 可能性のある技術については、現時点でも十分に予 想可能である。とりわけ、ソリューション開発に的 を絞った民間部門での研究はすでに実施されている。 例えばHP社は、おもにブリストルにある同社の研 究施設において、ID管理システムの研究を進めてき た。HP社の研究者たちは、要求されているのが単な るPKIよりも進んだID管理手法であることを理解し ている。特に求められているのは、プライバシーお よびデータ保護に対する信頼と尊重を深めるあり方 でエンティティーのID確認を可能とするようなシス テムである。比較的新しいソリューションでも不十 分なのである。 インターネットおよび企業・組織間において、 分散化したサービスのためにIDを連合させると いう現在の傾向は、一方ではユーザーやサービ スプロバイダーに新たなビジネス機会を提供す るが、他方では新たな脅威を生み出す。 Microsoft(マイクロソフト)社の.MyServices(マ イサービス)やLiberty Alliance Project(リバティ ー・アライアンス・プロジェクト)が提案してい るようなシングル・サインオン・コンポーネント を使えば、エンティティーはひとたび認証を受 ければ、複数のプロバイダーにより提供される 各サービスにアクセス可能となる。このプロセ スは、ハッカーまたは第三者により利用、濫用 される危険性がある。……こうしたプロセスに は安全性が必要であり、プライバシー保護法お よびデータ保護法令に準拠しなければならない。 (Mont, M. C.、Bramhall, P.、Gittler, M.、Pato, J.、 Rees, O.「Identity Management: a Key e-Business Enabler」、ブリストル、HP研究所、2002年6月12日 http://www.hpl.hp.com/techreports/2002/HPL2002-164.pdfにて入手可能) HP社の展望によれば、IDについては複数の「ビュ ー」(views)が利用できるようになるという。一部の ビューは直接所有者の管理を受け、一部のビューは 第三者の管理を受ける。クレデンシャルの選択的開 示がこの方式をサポートする。 ごく最近では、HP社は医療におけるIdentifierBased Encryption(IBE:識別子ベース暗号化)の導入 を発表している。各人のロール(職務)および許可状況 が頻繁に変更される動的コンテクストのもとで機密 性およびプライバシーを保護することに関しては、 PKIなどの従来型の暗号化技術よりもIBEが適してい るとHP社は提案している。 HP社によるシステム設 計の要件は以下のとおりである。 (Mont, M. C.、Bramhall, P.、Dalton, C. R.、 Harrison, K.「A Flexible Role-based Secure Messaging Service: Exploiting IBE Technology in a Health Care Trial」 、ブリストル、HP研究所、2003 年2月6日 http://www.hpl.hp.com/techreports/2003/HPL-2003-21.pdfにて入手可能) • プライバシーおよび機密性:メッセージはシス テムによりオブファスケート(obfuscated:不明 瞭化)される必要があり、少なくとも正規のユー ザーにより不明瞭化を解除され、読まれるまで は、その状態が維持されなければならない。 • ポリシーに基づく開示:開示ポリシーは、不明 瞭化された各メッセージと厳密に結び付けられ なければならない。メッセージに関連付けられ たポリシー(メッセージ送信者が定義)の定める 要件が満たされない限り、機密情報が開示され ないシステムでなければならない。 • 高度な認証:ユーザーはシステムにより高度な 認証を受けなければならない。システムはユー ザーのIDを確認したうえで、ユーザーの関連プ ロフィール(ユーザーのロールなど)を検索して 取り出し、それを開示ポリシーに照らし合わせ て確認することにより、ユーザーがメッセージ へのアクセス権を保持しているか否かを判断し なければならない。 • セキュリティー:システム全体のセキュリティ ーが確保されなければならない。データは不明 瞭化された状態で伝達および保存されなければ ならない。 欧州におけるプライバシーと技術について —— 183 電子政府・電子自治体のプライバシーに関する調査研究 報告書 • フレキシビリティー:システムは、機密情報へ のアクセスを限定するポリシーについてユーザ ーによるフレキシブルな指定を受け入れなけれ ばならない。(……)送信者が事前に受信者のID を知らなくとも、メッセージの不明瞭化および 送信が可能なシステムでなければならない。シ ステムは、ロールのためのレイトバインディン グ・メカニズム(Late-binding Mechanism)をサ ポートする必要がある。 こうした要件に対し、 IBEは以下の2つの特性を有する。 • IBE暗号鍵(公開鍵)として、あらゆる種類の文字 列が使用可能である。情報は、この文字列と共 に、信頼に足る特定の第三者(本論文ではtrust authority(TA:トラストオーソリティー)と呼 ぶ)と特異的に関連した「パブリックディテール」 (public detail)を使用して暗号化される。トラス トオーソリティーは、対応するIBE復号鍵を作 成できる唯一のエンティティーである。IBE復 号鍵は、重要リソースである局在的な秘密情報 にのみ依存するものであり、適切に保護されな ければならない • IBE復号鍵(文字列などのIBE暗号鍵と関連付け られたもの)の作成は、適切な時期まで延期する ことが可能である。言い換えれば、対応する IBE暗号鍵が(トラストオーソリティーにより)作 成されてから長時間が経過した後でも、IBE復 号鍵を作成することは可能である。 これにより、意図した電子メール受信者の「ロール」 をIBE暗号鍵(公開鍵)として使用し、機密電子メール を直接暗号化することも可能となる。あるいは、受 信者が現時点で要求されるロールに就いている場合、 トラストオーソリティーが必要なときに復号鍵を作 成することも可能である。どちらの場合にも、送信 者と受信者のあいだで秘密情報を共有したり保存し たりする必要はいっさいない。HP社は現在、政府機 関などの環境の動的コンテクストでも、このシステ ムの試験を実施している。 HP社と共にRAPIDに参加しているIBM社も、 PIMにおいて同様の研究を行なっている。IBM社は、 最小限の情報開示での認証処理を可能とするIdemix システムを開発している。このシステムの開発にお いては、データ保護の最善策はデータをまったく開 示しないことであるという考え方が基礎となってい る。これはデータ保護規定のデータ最小化要件を支 持する考え方で、実際の証明書や不要なデータを開 184 —— 欧州におけるプライバシーと技術について 示するのではなく、仮名やクレデンシャルを使用す る仕組みである。 (Camenisch, J.、Herreweghen, E. V.「Research Report: Design and Implementation of the Idemix Anonymous Credential System」、チューリッヒ、 IBM研究所、2002年6月17日 http://domino.watson.ibm.com/library/cyberdig.nsf /papers/A056C698C02D9C8A85256BDE00524F61/$ File/rz3419.pdfにて入手可能) また、IBM社は企業向けのプライバシー保護技術 の開発も手掛けている。同社のエンタープライズ・ プライバシー・アーキテクチャー(enterprise privacy architecture: EPA)では、各ビジネスプロセスの レベルにおいて、組織がどのように個人情報を使用 するかを確認し、EUを含む各国のデータ保護法令に 抵触する可能性のある部分を特定することが可能で ある。EPAは、ローカルのプライバシーポリシーを 管理するManagement Reference Model(マネージメ ント・リファレンス・モデル)と、個人特定の処理レ ベルで情報の収集および使用を監視してプライバシ ーを管理するTechnical Reference Model(テクニカ ル・リファレンス・モデル)とで構成されている。 IBM研究所によれば、欧州の各国政府はEPA開発に 前向きな反応を示しているという。EPAは今後、政 府の各省庁が複数機関にまたがるデータ管理を監視 する目的で使用するようになるものとIBM社では予 想している。 電子政府・電子自治体のプライバシーに関する調査研究 報告書 §4 提言と今後の方向性について (Recommendations and Future Directions) 欧州におけるプライバシーと技術の現状は、依然と してかなり混沌としている。 §1で見たとおり、EU(欧州連合)では域内での個人 データの扱いを揃えるべく強力な規制体制が敷かれ、 法整備においてもいくつか顕著な進展があった。し かしプライバシーの権利と実践に対しては、データ の融通性や国家安全保障の名の下に著しい侵害が行 なわれており、これが懸念材料となっている。ごく 最近、米国とEUのあいだで航空旅客の個人データの 引き渡しをめぐり協定が結ばれたが、これは妥当な 必要性の範囲をはるかに超えるものだった。 §2では、デンマーク、フィンランド、フランス、 英国の各国内のプライバシーと技術の現状をある程 度詳しく見た。各国ともEUの1995年の指令に対応し ながらも、その一方で、特にデータ保存や国民IDシ ステム、電子政府、「統合」(joined-up)データベース などに代表されるプライバシー侵害の方向にも向い ている。公正を期すために言えば、一部の国では複 数の技術の開発が進められてはいるが、最近の政策 がもたらしているリスクにはとても追いつけていな いというのが現状である。 §3で紹介したように、技術が果たす役割には希望 の兆しもある。EUレベルでは、多くの研究プロジェ クトと欧州の企業数社が現在、プライバシー権を推 進強化する技術や実用手法を開発している。だが、 残念ながら、重要な政策が立てられ、各国レベルで は戦略も実行に移されているものの、主要な技術の 実現にはまだ数年を要する。「プライバシー選択プラ ットフォーム」(P3P)はすでに存在するが、これが本 当にEU指令を遵守する手段となるかどうか、EUの プライバシー専門家は疑念を口にする。PISAはどう やらまだ未完である。PRIDEHはあまりにも単純す ぎる。GUIDESは単に実践に関する最上の専門知識 にすぎず、それだけでは執行力がない。技術と同じ である。PAMPASとRAPIDは、ある程度の光明と 言えるが、結局は「行程計画」(Roadmap)プロジェ クトにすぎず、第6次フレームワーク(FP6)の下に置 かれるべきさらに大きなプロジェクトの先駆けなの である。しかも、これらのプロジェクトは今後最大4 年を要するかもしれない。Hewlett-Packard(HP:ヒ ューレット・パッカード)社やIBM社、Open Business Innovation(オープン・ビジネス・イノベー ション)社などの企業も技術開発に取り組んでいる が、これらの企業のソリューションも普及するまで に同じくらい長くかかる可能性がある。加えて、企 業のソリューションについては、P3Pがデータ保護 原則を施行する力に関して受けたような綿密な調査 が行なわれていない。 最後に述べた、技術によるデータ保護原則の施行 という点は、特に見通しが立たない。データ保護法 によく謳われている公正な情報処理というと、コー ド化されて技術の中に組み込まれるのを待っている 技術操作のように聞こえるかもしれないが、現実に はそれは、非常に高度な社会技術的な作業である。 具体的に言うと、プライバシーの基本原理とは、デ ータの最小化――データ収集目的の限定とデータ収 集の制限――である。認証技術がこの原理をサポー トするであろうことはわかっているが、必ずしも認 証技術はこの原理を強制するわけではない。もう一 つの基本原理としてインフォームド・コンセントが あるが、事実を知らされたうえで個人が同意したの かどうかを技術的に判断するのはもちろん、どうす れば技術でこの点を強制できるのだろうか? データ への「合法的なアクセス」や、目的の妥当性などに ついても同じことが言える。プライバシーと技術は 絡み合っているかもしれないが、一方があれば他方 も実現すると当てにすることはできない。 RAPIDプロジェクトは、技術的方針に関するこれ らの主要な課題の一部を簡潔に要約している。 • 市民と政府の間ではプライバシーに関する交渉 が不可能な場合も多々ある。政府側へのデータ 提供は(法律で義務づけられている、あるいは何 らかの恩恵を得るため、といった理由で)強制的 な性質を持つためである。 • 政府と市民の間には、しばしば情報面での不平 等が存在する。テロやサイバー犯罪との戦いと いう現在の風潮から、こうした不平等は、政府 が市民のデータの管理体制をさらに強化する方 向へと拡大している。 • 相互接続によるデータの統合により、責任が曖 昧になる。プロジェクトがプライバシーに与え る影響への責任や、相互接続されたシステムで の責任の共有といった問題が生じるということ である。 • 想定外の目的が新たに設定されるのを防ぐこと はできない 新たな目的は、欠陥のある仮定(危険 な仮定も含む)に基づいていることが少なくない。 • 基本的な専門用語が曖昧である。「アイデンテ ィティー(身元情報)」の意味。いくつかのアイ デンティティーを(結果を問題にせずに)一つに 欧州におけるプライバシーと技術について —— 185 電子政府・電子自治体のプライバシーに関する調査研究 報告書 するということが意味するもの。「アイデンテ ィフィケーション(身元識別)」が持つ異なるシ ナリオと文脈。 それゆえ、これから始まるFP6のもとで資金提供を 受けるPRIMEならびにPAMPASプロジェクトも、 解決すべき社会法律的、経済的、哲学的問題を数多 く抱える。 たしかに、もっと楽観的な見方もある。HP社の Pete Bramhall氏はインタビューのなかで、比較的明 るい未来予想を披露している。 企業が応用できるプライバシー強化技術は、政 府や業界に採用され、同時にユーザーサイドの サポーティング技術も採用されていくと楽観し ている。だが、それにはしばらく時間がかかり、 忍耐と長期的な関与および投資が必要である。 私は、プライバシーはセキュリティーや品質と 同列のものだと考えている。最初のうちは経営 者に不要なコストと見なされ無視されていたが、 厄介な問題が起きて、あるいは直接的な利益が あることを指摘されて渋々採用され、そののち ライバル企業と差別化を図るために利用できる ものと考え直され、その後普及し、溶け込んだ。 長い時間がかかったが、うまく普及したし、そ れに値するものである。どの技術が成功するか という点については、(各国レベルというよりも EUレベルでの)規制、そしてその規制により企 業や政府機関がどのような影響を受けるかに左 右される。ユーザーは、特定の技術アプローチ を推進するのではなく、間接的に規制に影響を 及ぼし、その規制が、どの技術を実現するかの 選択(特定はしないが)を左右すると思われる。そ して、経済と市場が標準化を押し進める。 Bramhall氏は、ここに働く多くの要因を明快に示し ている。経済と市場、規制制度、技術、政府、業界、 そして何より重要なのは、「ユーザー」が間接的に影 響を及ぼす政策である。 各国のレポートは、「ユーザー」、市民、消費者、 公益法人、そして世論と一般の関心が、国の政策を 動かせるということを示している。しかしデータ保 護の現実を見ると、この原則は単に出発点として優 れているにすぎず、IDシステムや「統合政府」 、相 互リンクデータベース、データ保存といった提案の もとで原則は覆されかねないのが現状である。それ でも、知識を授けられれば、一般の人々は対応でき る。人々の気持ちが強制的に働けば、プライバシー への脅威を最小限に抑える政策が立てられたり、プ 186 —— 欧州におけるプライバシーと技術について ライバシー保護が政策的に推進されたり、技術的な 解決策が研究されたり、実際に技術が採用されたり ということにつながっていく。「ユーザー」が関心を 持ち、要求していければ、こうした強制力がかなら ず生まれるであろう。 実際のところ、技術、政策、市場、政府機関、業 界、世論の関係というテーマは、これまでのところ、 かなり学問的な論争の材料となっているにすぎない。 学問的研究は今後も間違いなく進められるが、さら なる行動も求められている。市民団体やユーザー団 体、RAPIDやPRIMEのプライバシー・アーキテク チャー・インフラ部門などの業界団体、Article 29 Working Group(アーティクル29ワーキング・グルー プ)などの政府の専門家、その他多くの関係者の行動 である。技術というものはたいてい、政策について の一般の理解を現実化するよう作られるものだが、 実際には、多く販売され、実装された技術が成功す る傾向がある。優れたプライバシー強化技術はこれ までも数多く生まれてきたが、その一方で、市場向 けには失敗した技術もほぼ同じくらいある。政策は、 信頼やプライバシー、基本的権利に関する世論や一 般の関心とに密接に結びついていなければならない。 世論は、ときには啓蒙を通じて形成することが可能 である。 現在のEUは、経済、財政面では保守的な環境にあ り、公共政策面では圧力のもとにある。好景気のあ いだは、誰もが新たな技術インフラやアーキテクチ ャーが革新的企業の手により開発されるものと夢見 ていた。その理由は、それが技術的に可能で、政治 的にも理にかなっている、もしくは少なくとも面白 そうだから、というものだった。当時われわれは、 技術採用についての経済理論を忘却し、一般の要求 とニーズを考慮に入れることを怠っていた。 Bramhall氏が指摘したとおり、今、技術を開発する にあたり、われわれは辛抱強くならなければならな い。同じことが現在の公共政策についても言える。 プライバシーの権利の侵害が起きているのは、その 機会が存在し、止むに止まれぬ必要性と切迫感があ るように思われているからである。現在の政策立案 者もやはり、公益についてや憲法などによる法的保 護に関する伝統的議論に耳を傾けるのを怠っており、 それゆえこの政策ブームもいずれ破綻に直面すると 予言しても、あながち的はずれではないであろう。 政府には、将来を見通して考える責任がある。一 般市民には、政府の指導者と政策に多くを求め、可 能な選択肢に関する詳しい知識を求める責任がある。 結局のところ、行き着く先はいつも同じで、重要な のは一般大衆と世論と公益だということである。こ れらの要素が、専門家によりプライバシーに関する 電子政府・電子自治体のプライバシーに関する調査研究 報告書 知識を与えられ、政策を形作るのである。このレポ ートは、プライバシー保護を支える技術上の選択肢 として追求すべきものは、現在も、おそらく将来も 多数あることを明確にしている。この意味で、将来 は決して暗くない。ただし、規制や技術だけに期待 しないことが肝要である。最も強力なプライバシー 保護策は、プライバシーの文化と、強い力をもつ規 制当局、政府の代表者の存在なのである。そして、 それらすべての努力を支えるのは、一般市民の意見 と専門知識にほかならない。 欧州におけるプライバシーと技術について —— 187
© Copyright 2024 Paperzz