2009/04/21
週刊「行政情報化推進ニュース」mag2no440
=== Weekly Gyousei Jouhouka News =================
週刊「行政情報化推進ニュース」
2009/04/20号(no440号)
===================================
◎「新たな電子政府・電子自治体に求められる認証基盤とは、
その3 『オーストリアのeID』」
今回は、オーストリアの「eID」について、日本の電子政府のあるべき姿
の参考になると思われる。
○オーストリアの「eID」
オーストリアは「セクトラルモデル」と名づけた新たな国民ID管理方式を開
発・導入している。その運用管理、罰則についての法律「電子政府法
(The Austrian E-Government Act)」は2004年に制定している。
1.3つの運用モデル
オーストリアの産官学によるITセキュリティセンター(A-SIT )では、国民
ID番号の運用モデルを以下の3つに分類している
「eID in Austria-THE CITIZEN CARD」より)。
(1)フラットモデル(FLAT MODEL) ・・・ エストニアが採用!
複数のアプリケーション(APP1、APP2、APP3)に同じID番号(ID1 )を使う
方法である。
画面に表示され、新たに入力が必要な情報だけを入力すればよい。エストニ
アでは個人情報のアクセスには公開鍵基盤による認証とアクセスコントロール
が厳密に行われていて、かつ、個人情報へのアクセスログは管理され、本人の
みが確認することができる仕組みがあり、不正アクセスがあった場合の摘発を
容易にしている。
もっともシンプルなモデルである。日本では、住基コードを前提とした“国
民総背番号”の考えである。現状は、国民の不信感が存在し実現が困難なモデ
ルでもある。
(2)分離モデル(SEPARATED MODEL) ・・・ 現在の日本の電子政府など!
アプリケーション(APP1、APP2、APP3)ごとに全く関連の無い異なるID番号
(ID1 、ID2 、ID3 )をつける方法である。
アプリケーション間のID番号の連携は無いため、ひとつのアプリケーション
で利用されるID番号が知られても各アプリケーションの情報をアクセスできな
い。反面、ユーザはアプリケーションごとに必要な情報を入力する必要があり、
ユーザに負担がかかる。
“SSO”の仕組みが求められる。日本の企業では、OPEN−IDの活用
が進行中である。
(3)セクトラルモデル(SECTORAL MODEL) ・・・ オーストリアが採用!
アプリケーション(APP1、APP2、APP3)ごとに異なるID番号(ID1 、ID2 、
ID3 )を使うが、それ(ID)を介して行うことができる。この場合、基本とな
るID番号(ID)の管理には、十分な注意を払う必要がある。
オーストリアでは、よりセキュリティを高めるため、このセクトラルモデル
を複雑な形で実現して運用している。
2.オーストリアにおける国民ID番号の運用
オーストリアの国民ID管理方式の特徴は3つのレベルの国民ID番号
(ZMR-Zahl、SourcePIN、ssPIN)を連携して使うことであり、個々で使われる
技術、運営体制、罰則などは、すべて「電子政府法」に明記されている。この
3つのレベルの国民ID番号とその役割は以下の通りである。
(1)国民登録番号(ZMR-Zahl)
オーストリアでは、出生後すぐに国民登録機関(CRR:Central Register
of Residents)に登録される。登録時点で、CRRの内部ルールに従った番号
(ZMR-Zahl)がつけられる。この番号は公開される番号であり一生変わらない。
このほかに、会社を登録する商業登記機関(CR:Commercial Register)、
団体登録機関(RA:Register of Associations)、それに、在オーストリア
外国人はその他登録機関(supR:Supplemental Registers)に登録される。
これらの機関でも、CRRと同様に、登録された企業や団体、外国人に対して
ID番号が発行される。
日本の、住基コードに近い。
(2)SourcePIN
ZMR-Zahlに対して暗号処理(Triple DES:共通鍵暗号方式である「DES」を
三重に適用するようにした方式)を行うことにより、生成されるコード。
大統領が任命する裁判官、公務員を含む6名からなるデータ保護委員会の管
理のもとで実施される。
その他については連邦財務省の業務として実施され、暗号の鍵はデータ保護
委員会が管理する。
作成されたSourcePINは、非公開情報であり、作成後はeIDカードのみに格納
され、本人以外は知ることはできない。もし、SourcePINを作成後本人のeIDカ
ード以外に保存した場合は罰則の対象となる。
「社会保障カード」で想定される“国民ID”となる。住基カードの空き領
域への書込みが現実解かも・・・ 住基ネット関連の制度改定が必要!。
(3)ssPIN(Sector-specific IDs)
ssPINは実際にアプリケーションで使われる国民ID番号である。各アプ
リケーションあるいはアプリケーションを提供するセクターにあらかじめ
SectorIDが振られている。
SourcePINとこのSectorIDをつなぎ合わせた値に対して、
ハッシュ処理を行い、得られた固定長の数値列(ハッシュ値)がssPINで
ある。ハッシュ関数としてSha-1 を使っていて、ハッシュ値は 160ビットで表
される。もちろん、ssPINからSourcePINを推定することはできない。
法律では、ssPINはssPINの使用が許される管理者を除いて、どこかに記録/
保存することができないことになっており、使う都度作成してサービスを受け
る必要がある
(使う都度に入力→サービスを受ける→消去という手順を踏む)。
法律に沿ったssPINの運用をしなかった場合は罰金が科せられる。
このような仕組みにすることにより、市民はアプリケーションごとに異なる
ID番号を利用することができ、万が一、ひとつのアプリケーションのID番号が
盗まれたとしても、そのひとつのID番号を用いてその個人の他の情報を収集す
ることはできない。
また、データ保護委員会の許可を得る必要があるが、政府は、個人のZMR-Zahl
からsPINを発生させ、次に必要なサービス機関の複数のssPIN を発生させ、必
要な個人情報を収集することができる。
例えば納税申告の場合など、このような方法によって、個人の納税処理に関
連する情報を統合利用することができ、把握した情報を納税者に提示するサー
ビスを行うことができる。
平成21年04月20日 記
===================================
『地方行政と地域住民の広場』
(http://homepage2.nifty.com/npoais/)
<行政情報化ニュース>
◎『今日のニュース」
(http://homepage2.nifty.com/npoais/newsmain.htm)
1.政府・国関連サイト
・IT戦略本部、IT戦略の今後の在り方に関する専門調査会(第5回)( 09/04/09)
http://www.kantei.go.jp/jp/singi/it2/kongo/digital/dai5/5gijisidai.html
・経産省、「SaaSは中小企業におけるIT化の低迷を打開するカギ」経産省安田氏
各種業務アプリをSaaSで提供する「J-SaaS」の取り組みを披露(computerworld 09/04/10)
http://www.computerworld.jp/topics/cloud/141369.html
・LASDEC、地方自治体向けウェブアプリ脆弱性診断サービスの診断仕様を公開( 09/04/15)
http://www.security-next.com/010302.html
・日本発の仮想マシンはどのように作られたか(日経BP 09/04/17)
http://itpro.nikkeibp.co.jp/article/OPINION/20090415/328515/
2.県・市町村及び関係団体関連サイト
・北区、高電社のホームページ自動翻訳サービスを採用、外国人居住者への情報提供を充実(internet.com 09/04/14)
http://japan.internet.com:80/public/news/20090413/5.html
3.海外及び情報・通信関連サイト
・
4.その他・マスコミ
・ネオジャパン、SaaSサービスを提供( 09/04/10)
http://special.nikkeibp.co.jp/ts/article/0i0c/102326/
・コンビニのローソンが「Force.com」を採用、全情報をクラウドに(internet.com 09/04/15)
http://japan.internet.com:80/busnews/20090414/4.html
<情報セキュリティ、Winny(ウィニー)など個人情報漏洩いろいろ>
・総務省、地上デジタル放送国民運動推進本部会合参加者のメールアドレスが流出(security-next 09/04/13)
http://www.security-next.com/010284.html
・和歌山県、県メルマガで誤配信、読者の個人情報が流出(security-next 09/04/15)
http://www.security-next.com/010297.html
・横浜市青葉区、個人情報をホワイトテープで隠すも透けて個人情報が流出(security-next 09/04/17)
http://www.security-next.com/010319.html
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
◎セミナーのご案内
(http://homepage2.nifty.com/npoais/semina-.htm)
○「電子自治体セミナーinとうきょう2009」
日 時:平成21年5月15日(金)14:00〜(受付開始13:30〜)
場 所:虎ノ門パストラル 東京都港区虎ノ門4−1−1
http://www.jalan.net/uw/uwp0400/uww0401init.do?yadNo=308343
参加費:無料
申込み:下記申込書へご記入のうえ、Fax(049-245-1124)してください。
http://aispaml.hp.infoseek.co.jp/nposemina-2009mousikomi090515.pdf
または、ugi47372@nifty.com へメールでお申込みください。
14:00 〜 開会の挨拶 ・・・ NPO代表理事 諸橋昭夫
14:10 〜15:10 講演1 地方自治体の改革とは
木下 敏之 様(前佐賀市長)
15:15 〜16:15 講演2 「行政改革を導く電子政府・電子自治体への戦略」
廉 宗淳 様(e-corporation.com 代表取締役)
<休憩 15分>
16:30 〜17:30 講演3 日本一の電子自治体を目指して、浦添市行政ERPへの挑戦
上間 泰治 様(浦添市情報政策課課長)
<懇親会>
17:30 〜19:00 講演者を囲む交流会
お一人3000円のご負担をお願い申し上げます。領収書を準備いたします。
*詳細は後日お知らせいたします。
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
◎NPO法人 市民と電子自治体ネットワーク会員募集のご案内
○特定非営利活動法人 市民と電子自治体ネットワーク
http://homepage2.nifty.com/npoais
○「特定非営利活動法人 市民と電子自治体ネットワーク」入会のご案内
http://homepage2.nifty.com/npoais/npoindex.htm
・会員申込み(正会員・賛助会員(個人・法人)・ネット会員)
http://homepage2.nifty.com/npoais/npopwkaiinnboshuu.htm#会員申込書
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
以上
===================================
◎購読解除、配信先変更(解除後申込み)は、
『まぐまぐ』 http://www.mag2.com/ ID:18334
『E-Magazine』 http://www.emaga.com/ ID:aispamm
『Melma』 http://www.melma.com/ ID:m00001923
『RanSta』 http://www.ransta.jp/middlecategory_1201/ ID:1891
『カプライト』 http://cgi.kapu.biglobe.ne.jp/m/569.html ID:569
『melonpan』 http://www.melonpan.net/mag.php?001615
◎ご意見・ご要望・ご投稿は、ugi47372@nifty.com
===================================
メールマガジン 週刊「行政情報化推進ニュース」
発行元:NPO)市民と電子自治体ネットワーク
URL: http://homepage2.nifty.com/npoais/
================= Weekly Gyousei Jouhouka News ===
