|
エストニアのデジタル国家では、公的データベースのガバナンスが法制度として確立していることを前提として、組織や分野を越えた情報交換の仕組みとして、X-Roadを採用している。X-Roadを利用して様々な個人データをインターネット上で安全に交換するために、X-Roadの維持管理において特にセキュリティを重視している。 X-Roadのデータ交換は、「X-Roadメッセージ」という形式で行い、メッセージを送信する組織の秘密鍵によって署名され、すべてのメッセージがログに記録される。この時、メッセージヘッダーとメッセージ本文の両方がログに記録されるが、ログを暗号化して保存するかは、各組織(セキュリティサーバ)の管理者で設定する必要がある。 X-Roadのセキュリティで問題とされることの一つに、「政府が定めるセキュリティ標準の実装が義務付けられる公的機関と、そうした義務のない民間企業との差」がある。もちろん、両者の差を埋めるためにセキュリティサーバ(データ交換のセキュリティを確保するための共通ソフトウェア)があるのだが、X-Roadに参加する民間企業には、セキュリティサーバの設定や運用について裁量となる部分が、公的機関よりも広く残されている。 ログの主な役割は「否認防止」であるため、X-Roadによって処理されるすべてのメッセージは「デジタル証拠」として採用できるようにしてある。 否認防止を有効にするためには、「データ交換の完全性」と「メッセージとX-Roadメンバー間の繋がりの識別」を事後に確認できる必要がある。具体的には、欧州eIDAS規則に準拠するeシールとタイムスタンプを使用しているが、この措置はX-Roadの根拠法令で明確に規定している。 Xロードのログには、監査ログ、メッセージログ、システムサービスログの3種類がある。監査ログは、リクエストの結果が成功か失敗かに関係なく、ユーザーが構成したシステム状態または構成への変更が記録される(セキュリティサーバおよび中央サーバ)。 X-Roadは、収集、記録、整理、保管、変更、開示、個人データへのアクセスの許可など、個人データに対して実行されるすべての操作で、欧州の一般保護データ規則(GDPR)に準拠する義務がある。ログを「デジタル証拠」とするためには、識別が必須となるため、X-RoadのログもGDPRの適用対象となる。 図表:X-Road Security Architecture 
0 コメント
会員限定オンライン勉強会:ウクライナ危機から考える電子政府の安全保障で使用した資料を編集して、その一部を一般公開しました。内容は、ウクライナ危機に関するものが大半で、電子政府の安全保障に関するスライドは少なくなっています。
ウクライナおよびロシアの皆さまの、一日も早い平和と安全をお祈りします。 
日本の公正取引委員会から「(令和4年2月8日)官公庁における情報システム調達に関する実態調査について」が公開されました。 公正取引委員会は、政府全体の取組を踏まえつつ、「競争政策の観点から、今後の情報システム調達について、ベンダーロックイン(ITベンダーによる過度な顧客囲い込み)が回避されることなどにより、多様なシステムベンダーが参入しやすい環境を整備することが重要である」と認識しているようです。 日本の電子政府において、ベンダーロックインを生み出してきた背景には歴史的な構造問題があるとされますが、エストニアでも、ベンダーロックインのリスクはゼロではありません。特に小規模な自治体が、主に予算の事情から、特定のITベンダーのソフトウェアに依存するケースがありました。 しかし、国や自治体などの法令で定める公的業務を処理する情報システムは、原則ソースコードを公開する仕組みがあるので、ベンダーロックインのリスクをコントロールしやすくなっています。例えば、小規模な自治体では、民間企業が提供する文書管理システムなどを利用していましたが、国の機関がオープンソースで文書管理システムを作ったことで、民間サービスの利用が少なくなっています。 内務省の情報技術開発センターが開発したしたオープンソースのWebベース文書管理システム「DELTA」は、数多くの組織で利用されていますが、それが実現できるのも文書管理の方法やメタデータが標準化・共通化されているからです。下記の図で言えば、各組織でカスタマイズするのは「ビジネスロジック」の箇所になります。  オープンソースは、脆弱性の管理も含めてメンテナンスが大変ですが、内務省の情報技術開発センターは、エストニア政府のIT組織の中で最も規模が大きく、住民登録データベースの開発管理などを行っており、その実力には定評があります。そのため小規模な自治体でも、安心して「DELTA」を利用することができます。  エストニアの情報機関「Estonian Foreign Intelligence Service」が「エストニアにおける国際安全保障環境2022」を公開しました。英語版(エストニア語版とほぼ同じ内容)「International Security and Estonia 2022」もあります。 全体構成は、次の通りです。 第1章:ロシアの軍事問題 第2章:ロシアの外交政策 第3章:ロシアの国内政策 第4章:中国 第5章:テロリズムと不法移民 一見してわかるように、ロシアに関する記述が多いですが、中国の脅威についても触れており、中国とロシアの関係(決して蜜月ではないが、軍事研究などの特定分野や状況に応じて協力連携する)も解説しています。また、増加傾向にある不法移民についても独立した章を設置しています。エストニアには、常に「ロシアが旧ソ連のような国に戻るのではないか」という危機感があります。他国への脅威は、ロシアの外交政策の主要なツールになっています。 2022年2月22日現在、ロシアによるウクライナへの侵攻の可能性が問題になっていますが、NATO加盟国であるエストニアから見たロシアの分析を知ることで、現在のウクライナの状況を理解しやすくなると思います。特にロシアのサイバーインテリジェンスやハイブリッド攻撃への理解は欠かせません。ウクライナに対するインテリジェンスセンターは2014年から組織されています。エストニアでも、毎年のようにロシアのスパイが逮捕されています。 日本や欧米のメディアによる情報だけを見ていると、ロシアが国際的に孤立しているように思えるかもしれませんが、実際には独立国家共同体(CIS)以外にも、インド、ベトナム、パキスタン、スリランカなど、ロシアとベラルーシの合同演習に参加(オブザーバーを含む)する国は少なくありません。日本のメディアではあまり触れていませんが、ルーマニアとウクライナに隣接するモルドバ共和国も重要なプレーヤーとなります。ガス供給とエネルギー安全保障には、多くの国が関係しています。 欧米によるロシアへの経済制裁が進むほどに、ウクライナを初めとしたロシア周辺国の脅威が拡大するとも言えるので、関係国による今後の落としどころを見極める必要があるでしょう。 画像出典:International Security and Estonia 2022 
エストニアでは、政府機関等が公的業務を遂行する上で作成する文書は、原則として電子文書として作成します。ここで言う電子文書は、標準化されたメタデータを含むもので、必要に応じてデジタル署名が付されます。外部から紙文書を受け取る場合は、電子文書化した上で、元の紙文書を廃棄することも可能です。   法令で公文書のウェブ公開を義務化しており、公開用インターフェースとして各政府機関のウェブサイトに文書検索閲覧の機能が設置されています。機関に転送された意見・通知・メモ・助言などは対象外ですが、主な公文書は情報公開請求すること無しにウェブ閲覧が可能になっています。  エストニアでは、2010年頃から、文書管理から情報管理へ移行するために、法改正を含む様々な改革が行われました。上記の「電子文書の原則」もその一つです。情報管理は、データ管理、ドキュメント管理、コンテンツ管理の3つに分けています。 データ管理は、データベースによる情報管理を意味します。データベースが制度や分野ごとに整理・確立されているのに対して、ドキュメント管理は組織ごとに行われます。そのため、組織横断的に情報を再利用する場合は、データ管理の方が適していることになります。一般的に、情報量としてはドキュメントの方が大きく、その中から制度の実施・運営に必要な情報が抽出されてデータベースに格納されます。  公共情報へのアクセスと公的データベースの管理・監督について規定する公共情報法は、その目的を「民主的および社会的法の支配と開かれた社会の原則に基づいて、国民とすべての人が、公共利用を目的とした情報にアクセスする機会を確保し、国民が公務の遂行を監視する機会を創り出すこと」と定めています。 「国民が公務の遂行を監視する機会」を確保するために、エストニアのデジタル国家では、透明性(Transparency)、責任追及性(Accountability, Responsibility)、追跡可能性(Traceability)が重要になりますが、情報管理においては、監査可能性(Auditability)も求められます。  エストニアのドキュメント管理で、日本と大きく異なるのは、作成から更新、アーカイブや廃棄に至るまでの各ドキュメントに関する全ての活動が、活動主体である公務員等の個人識別コードに紐づけられていることです。紙文書に比べると、電子文書の改ざんはより困難であり、証跡を残さずに公的データベースへ不正アクセスすることは、ほぼ不可能となっています。  日本でも、文書管理から情報管理へ移行することで、デジタル社会に対応した透明性の高い政府を実現しやすくなるのではないでしょうか。 ジェアディスでは、2021年5月30日、「電子政府と安全保障について」をテーマに会員および関係者限定のオンライン勉強会を開催し、1. 安全保障の概観 2. 電子政府と安全保障 3. 日本の課題を解説しました。今回は、その内容の一部をご紹介します。 エストニアにおける安全保障上の脅威としては、「ロシアの軍事活動増加と侵略の影響」が筆頭にありますが、最近では、エストニア情報機関の年度レポートで「中国の情報工作を中心とした影響」が指摘されています。 勉強会開催後の北大西洋条約機構(NATO)における首脳会談でも、中国のハイブリッド攻撃に対する脅威について、NATO全体としても公式に明言されるようになりました。 Brussels Summit Communique Issued by the Heads of State and Government participating in the meeting of the North Atlantic Council in Brussels 14 June 2021 https://www.nato.int/cps/en/natohq/news_185000.htm China’s growing influence and international policies can present challenges that we need to address together as an Alliance. We will engage China with a view to defending the security interests of the Alliance. We are increasingly confronted by cyber, hybrid, and other asymmetric threats, including disinformation campaigns, and by the malicious use of ever-more sophisticated emerging and disruptive technologies. エストニアにおける国家安全保障(national security)の一般的な定義は、次のようなものです。 ・国家とその国民が内部の価値観と目標を外部の脅威から保護する能力のこと ・セキュリティを確保するために、既存の法的秩序、ガバナンス、または国家の完全性を脅かす外部および内部要因に関する情報が収集され、評価され、脅威を軽減または排除するための適切な対策が講じられる。 ・すべての正常に機能している国には、安全保障の責任当局があるが、独裁政権(ナチス、ソ連、ラテンアメリカ諸国など)では、そのような当局は、政治的反対者・反対派の抑圧者になっている。 このように脅威から国民や国土を保護するためには、情報の収集・評価が重要であることがわかります。 国家安全保障には、軍事安全保障、経済安全保障、生態学的安全保障、社会思想文化安全保障、政治的安全保障などがありますが、現在は分野・領域を超えた安全保障へ移行しています。  分野・領域を超えた安全保障に対応して、戦い方も変化しています。例として、中国の超限戦、米陸軍のマルチドメイン作戦(MDO)、ロシアのハイブリッド戦、日本の領域横断作戦などがあります。 また、実体領域やデジタル領域に加えて、電磁波領域や認知領域があり、認知戦(Cognitive Warfare)を考えるにあたり、仮想領域と認知領域を繋ぐアプローチが必要とされています。 技術(テクノロジー)の重要性は、どの領域や戦闘でも高まっており、EUの研究機関でも、ハイブリット戦で必要となる技術を整理しています。最近ニュースで話題になった「極超音速」も含まれています。  世界の安全保障を考える上で欠かせないのが、エネルギーの安全保障です。現在、再生可能エネルギーが注目を集めていますが、世界のエネルギー需要展望について、国際エネルギー機関(IEA)が描くどのシナリオでも、2040年における化石燃料の割合は高いままです。 日本は海に囲まれた島国で、海外とつながるパイプラインも整備されていないため、原油及び石油製品だけでなく、天然ガスの輸入についても海上交通路(シーレーン)の地域リスクを考える必要があります。エストニアでは、2019年にフィンランドとのパイプライン(Balticconnector gas pipeline)が完成したことが注目を集めました。 サイバー攻撃については、エストニアの経験が参考になるでしょう。有名なのは、2007年の国家サイバー攻撃です。これは、エストニア政府機関や民間サービスに対する大規模な「DDoS攻撃」が発生した事案で、メディアや銀行のウェブサイトが機能停止になり、エストニア政府は国外とのインターネット接続を遮断して、電子政府への被害を最小限にとどめました。この事案を受けて、2008年に首都タリンにNATOの研究施設「サイバーディフェンスセンター」を設置しています。  2007年の大規模サイバー攻撃の後、2008年の南オセチア戦争(ロシア-グルジア戦争)は、従来の戦闘領域(陸海空、宇宙)の主要な戦闘行動と同期した協調的なサイバースペース領域攻撃の最初のケースとされています。さらに、世界初の本格的なハイブリット戦と位置付けられる、2014年のクリミア危機(ロシアのクリミア侵攻)では、通信機器のサプライチェーンリスクが顕在化しました。こうした影響工作やハイブリット戦への対応策を検討する場として、NATO戦略的コミュニケーションセンターやハイブリッドCoEなどがあります。 中国の脅威については、「一帯一路」構想、サイバー強国戦略とデジタルシルクロード、デジタル人民元などの理解が必要になります。特に中国の国家安全保障に関する法律は、政治、国土、軍事、経済、文化、社会、科学技術、情報、生態系、資源、核と対象領域が広範囲に及んでいるので注意が必要です。  電子政府の安全保障については、私自身は次のように考えています。 分野を超えた様々な安全保障の問題に対して、電子政府を通じて、解決策や支援方法を提案・提供し、安全保障の向上に貢献することが、電子政府の重要な役割である。電子政府は重要情報インフラの一つであり、適切な情報セキュリティ対策は常に重要である。  デジタル安全保障とトラスト問題については、次の通りです。
エストニアのデジタル国家から見た、日本の電子政府への提言は、次の通りです。
最後に、今回の勉強会の内容一覧を載せておきます。 1. 安全保障の概観
2. 電子政府と安全保障
3. 日本の課題
 Cybernetica社のサイバー専門家によって作成された「電子投票における生体認証(biometrics)の実装の分析(技術文書:バージョン1.1)」が公開されました。本文書を読み解くことで、エストニアの電子投票の仕組みの理解が深まる内容になっています。 電子投票における生体認証の実装(2021年7月2日:エストニア語) 技術的な実現可能性、法的な問題、開発作業量の評価などを含む本分析では、電子投票に顔認識(facial recognition)を実装することは可能だが、プライバシー侵害と技術の複雑さの増大により、現在の「メリットを上回る可能性のあるリスク」を追加しています。 電子投票システムの技術面を支援するエストニア情報システム局(RIA)の見解では、「現在、顔認識技術について合意されたセキュリティ基準はなく、一度に多数の人々によって使用されるという広範な公的慣行がない」ので、電子投票において顔認識を使用するためには、「プライバシー、アクセシビリティ、および一般的なサイバーセキュリティに関する長期的なテストと事前の公開討論が必要である」としています。電子投票での顔認識の利用については、かなり慎重であると考えて良いでしょう。私もこの見解は賢明であると思います。 エストニアでは、これまでに11回のインターネット投票が全国規模で実施されており、投票の検証や監査機能など、何度もシステムが改善されてきました。そのセキュリティの中心には、投票者を特定するデジタルID(デジタルアイデンティティ)があります。顔認識を利用する場合でも、投票者がIDカードの本人と同じであることを保証する必要があります。 顔認識については、エストニアでも電子公証などで既に導入実績がありますが、制御された環境での公証人が関与する電子公証と、多数の市民が様々な環境からリモートで参加する電子投票では、考えなければならないリスクシナリオや、顔認識導入によるシステム全体(規約の見直し、追加のハードウェア、使いやすさの低下など)への影響はかなり異なります。データ保護の影響評価など、GDPR上の措置も必要になります。 しかし、電子認証・署名の機能を持つIDカードの利用も、完璧ではありません。これまでに有罪判決はありませんが、介護施設における高齢者のIDカード利用で、施設長などが起訴されたことは何度かあります。また、モバイルデバイス上で実行されているマルウェアによるモバイルIDの悪用の理論的な可能性も認識されています。インターネット投票で、電子認証・署名に加えて、さらに顔認識を導入することで、より安全性が高まる可能性があります。注意:もちろん、電子認証・署名の代わりに顔認識を利用することではありません。 以前紹介したように、エストニアには「自動生体認証データベース(ABISデータベース)」が構築されているので、このABISデータベースに対して特定の顔写真データを照会することは可能です。ただし、ABISの顔写真データは独自の個人識別子を使っている(氏名や生年月日、個人識別コードを直接結び付けていない)ため、電子投票で利用する場合は少し工夫が必要になります。 インターネット投票に顔認識を導入する方法としては、顔認識の結果を投票への電子署名の一部に組み込んだり、顔認識結果のリンクを挿入したり、暗号化した顔写真を監査時に検証する等が考えられるでしょう。 電子投票は、エストニアの憲法で保障された選挙権(投票の自由、均一性、普遍性、直接性および秘密性の原則)の行使を、インターネット上でも実現するためにあります。この原点を忘れることなく、より便利で安全なインターネット投票とするために、今後のさらなる検証に期待したいと思います。 経済通信省の政府機関で、国の電子政府インフラサービスの開発・管理、政府のサイバーセキュリティなどを担当する、エストニア情報システム局(RIA)から「身分証明書写真の違法ダウンロード」について、2021年7月28日に報道発表がありました。
RIAでは、7月20日に政府ポータルの企業サービスにおける従業員のアクセス権限管理(代理機能)について、従業員データの管理不備(不適切なアクセス制御)があったことが発表されたばかりです。 エストニア情報システム局(RIA)は、日本で9月にスタートするデジタル庁と機能が重なる部分も多いので、日本のデジタル庁の役割を考える上で何かの参考になればと思います。 (1)事件の概要 「身分証明書写真の違法ダウンロード」についての概要は、次の通りです。
(2)悪用されたセキュリティの脆弱性 写真仲介サービスは、写真を取得するために5つのサブシステムによる追加の検証が必要になるように構成されていましたが、容疑者は、リクエストの正当性を適切に検証していないアプリケーションの脆弱性を発見し、これを悪用しました。その結果、容疑者は、個人名と個人識別コードの情報だけで、あたかも本人が自分の写真をリクエストしたようにシステムに誤った認識をさせて、写真仲介サービスから写真をダウンロードすることに成功したようです。 RIAの専門家は、同様のセキュリティ脆弱性を排除するために、写真仲介サービス以外のサービスについてもテストして、攻撃の可能性は検出されませんでしたが、引き続き検証・ 監視を続けるとしています。 今回の事件では、「偽のデジタル証明書を使用」とありますが、その詳細についての発表は今のところありません。考えられるのは、証明書の検証が不十分だったので「(本人の氏名と個人識別コードを含む)なんちゃってデジタル証明書」を「本人の正式なデジタル証明書」とシステムに認識させることが可能だったのではないかと推測されます。 (3)事件の発覚と対応の流れ 7月16日:認証サービスを管理する「SK ID Solutions」が、リクエスト数の増加をRIAに通知 7月21日:RIAは、追加の監視を通じて身分証明書DBからの写真データの大量ダウンロードを検出し、サービスを停止 7月22日:RIAは、ドキュメント内の写真がダウンロードされた可能性のあるIPアドレスを記録し、その情報を警察に転送 7月22日:RIAは、写真仲介サービスの制御メカニズムの操作の原因を特定するために内部検査を開始 7月23日:警察は、データをダウンロードした疑いのある男性を拘束し、最初の手続き上の措置を実行 7月23日:RIAは、脆弱性を修正した写真仲介サービスを再開。利用者は、これまで通り自分の身分証明書写真をダウンロード可能に 7月23-27日:RIAは、他のサービスで同様の攻撃の可能性をさらに確認 今回の事件で幸運だったのは、「容疑者がエストニア国内で活動していたため、早期に逮捕できたこと」と「ダウンロードされたデータが、容疑者が利用していたデータベースから他のコンピュータに送信された形跡がなかったこと」だと言えるでしょう。 ただし、データが他のコンピュータに送信された可能性を完全に排除できる段階ではないため、容疑者の犯行の動機などさらなる捜査・検証が必要になります。特に、オンライン面接等による本人確認(eKYC)などのサービスで悪用される可能性には、注意する必要があります。 事件が起きてしまったことは残念ですが、関係機関による日常的なセキュリティ監視と連絡連携が、適切に機能していることを確認できたことは、良い収穫だったのではないかと思います。 2021年7月23日から8月8日まで、2020年東京オリンピック競技大会が開催され、エストニアからも、陸上競技やレスリングなど36名の選手が参加します。
NHKの選手検索ページで、各選手のプロフィール、参加予定や試合結果などが確認できるので、日本人選手とともにエストニア選手の応援もよろしくお願いします。 7月24日には、女子フェンシングのエペ個人 3回戦で、エストニアのユリア・ビラエワ選手が、日本の佐藤希望選手と対戦し勝利しましたが、続く準々決勝でルーマニアのアナ マリア・ポペスク選手に惜しくも敗れてしまいました。 エストニア選手を応援するときは、ぜひ次のエストニア語にもチャレンジしてみてください。エースティ (Eesti)の意味は、日本語で「エストニア」です。 エースティ (Eesti)、エースティ、エースティ !! 当協議会のラウル理事が応援方法を動画で紹介しています。 2021年7月15日、エストニアの身分証明書法に重要な改正がありました。
今回の改正により、これまで確立されていた「身分証明書データベース(15条の2)」に加えて、「自動生体認証データベース(ABISデータベース(15条の4))」が構築されることになります。ABISデータベースは、身分証明書の発行時に収集される生体認証データ(顔画像、指紋等のデータ)について、身分証明書データベースから切り分けて管理するものです。 ABISデータベースの生体認証データ(および経歴データ)により、個人を特定(識別)したり身元を確認したりすることができます。「個人の特定」と「身元の確認」は、異なる処理です。 「個人の特定」は、個人のID(本人識別)データとABISデータベース内のいくつかのデータセットを比較します。「身元の確認」は、個人の身元データと、その人に関して以前にABISデータベースに入力された身元データを比較します。 身元の確認と検証は、個人が誰なのか不明である、本人の身元に疑問がある、複数の人の身元データを使用していると疑う理由がある場合などに実施されます。 「身元の確認」は、いわゆる「成りすまし」や「背乗り(身分・戸籍の乗っ取り)」を防止する観点から重要な処理ですが、日本では実施されていません。「身元の確認」において不可欠な生体認証データが管理されていないからです。(遺体の身元確認はあります) 日本で「身元の確認」と言われているものの多くは、実際には「身分証明書等(本人確認書類)の確認」であり、エストニアの身分証明書法で定める「身元の確認」ではありません。身元確認の脆弱性は、北朝鮮による日本人拉致問題など重大な人権侵害を引き起こす原因にもなります。 「身元の確認」は、デジタルIDの信頼性とも深く関係しています。「身元の確認」ができない状況では、政府機関等によって発行されたデジタルIDであっても、赤の他人に発行されている可能性が高くなるからです。残念ながら、日本におけるトラスト制度の確立に向けた検討では、本質的な「身元の確認」については、ほとんど議論されていないように思います。 2021年現在、日本のパスポートは信頼度ランキングで世界1位になっています。外国工作員や犯罪者にとって、「成りすまし」や「背乗り(身分・戸籍の乗っ取り)」がしやすい日本は、まさに天国と言えるかもしれません。 エストニアでは、新型コロナに関するPCR検査の結果やワクチン接種の実施を証明できるデジタル証明書が発行されています。
新型コロナのデジタル証明書には、次の3種類があります。 1 EUデジタルCOVIDテスト証明書 2 EUデジタルCOVID感染証明書 3 EUデジタルCOVID免疫証明書 「EUデジタルCOVIDテスト証明書」は、Sars-Cov-2のPCR検査の陰性結果を証明し、「EUデジタルCOVID感染証明書」は、同PCR検査結果が陽性であったことを証明します。「EUデジタルCOVID免疫証明書」は、COVID-19の予防接種を受けていることを証明します。 デジタル証明書は、エストニアの全国医療データベースである「健康情報システム」に記録される医療データに基づいて発行されます。 デジタル証明書が欲しい人は、健康情報システムと連携する患者ポータルにログインして、デジタル証明書の作成を指示すると、EUの要件に準拠した証明書が作成されます。3つの言語(エストニア語、英語、ロシア語)に対応したデジタルドキュメント(PDFドキュメント)としてダウンロードでき、スマートフォン等の画面で提示したり、印刷して利用することができます。親が子供の証明書を必要とする場合など、法定代理人も作成できます。 EU共通のデジタル証明書には、改ざんから保護するためのデジタル署名付きのQRコードが含まれています。証明書をチェックする際に、QRコードがスキャンされ、署名が検証されます。 デジタル証明書は、EU全域で有効ですが、特定の国への入国等を許可するものではありません。入国等の条件は国によって異なりますが、デジタル証明書を使用することで、自己隔離などの特定の制限が免除されることがあります。 デジタルCOVID免疫証明書(予防接種証明書)には、個人データに加えて、証明書番号があり、予防接種を受けた病気(COVID-19)、有効成分、免疫準備、ワクチンの販売承認保有者、投与回数、免疫化の日付と国、証明書発行者の詳細などが記載されます。 エストニアでは現在、欧州医薬品庁によって承認された4つのワクチン(AZ、ファイザー、モダーナ、J&J)が接種されています。 ジェアディス会員限定で開催した勉強会「デジタル改革関連法案について」の動画(質疑応答部分を除く)を公開しました。 2021年4月12日現在、デジタル改革関連法案のほとんどが衆議院を通過して、参議院で審議中となっていますが、「地方公共団体情報システムの標準化に関する法律案」だけ衆議院で審議が継続しています。修正案を含む法案や審議状況は、衆議院の第204回国会 議案の一覧で確認できます。 今回の勉強会では、デジタル改革関連法案として、次の6法案を解説しています。 1. デジタル社会形成基本法案 2. デジタル庁設置法案 3. デジタル社会の形成を図るための関係法律の整備に関する法律案 4. 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案 5. 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 6. 地方公共団体情報システムの標準化に関する法律案 また、デジタル改革関連法案の解説の前に、これまでの日本の電子政府の取組みを概観する中で、最近の立法状況として、デジタル手続法(デジタル行政推進法)、官民データ活用推進基本法、サイバーセキュリティ基本法なども簡単に解説しています。 法案の解説と並行して、エストニアの法制度も紹介しています。エストニアでは、日本がデジタル改革関連法案で実現しようとしていることの多くを、非常にシンプルかつ低コストな方法により、すでに実現しています。日本もエストニアも、目指すところはあまり変わらないと思いますが、その実現方法については、法制度の組み立て方も含めて、かなり異なっていることを知ってもらえればと思います。 最後のまとめとして、日本のデジタル社会の今後の課題として、次のようなものを挙げておきました。
2021年2月6日現在、日本の厚生労働省の「新型コロナウイルス接触確認アプリ(COCOA:COVID-19 Contact-Confirming Application)」 のページに次のような告知があります。 "このたび、Androidをお使いの方について、9月末より、アプリ利用者との接触通知が到達していないことが判明いたしました。このアプリを御利用いただいている多くの国民の皆様の信頼を損ねることになり深くお詫び申しあげます。厚生労働省としては、2月中旬までに障害を解消すべく取り組むとともに、品質管理を徹底いたします。引き続き国民の皆様に広く安心して本アプリを御利用いただけるよう、しっかり取り組んでまいります。" 詳細については、Android版接触確認アプリの障害について(令和3年2月03日:厚生労働省健康局 結核感染症課)が出ています。 ※2月18日に、接触確認アプリ「COCOA」の修正版(「1.2.2」)の配布を開始しました。 民間企業のAPIに依存する公的なアプリケーションは、利用者の利便性や普及促進といったメリットがある一方で、品質管理が難しい面があると思います。エストニアでも、新型コロナウイルス接触確認アプリがリリースされていますので、その概要を整理しておきます。日本におけるデジタル庁の役割を考える上で、参考になれば幸いです。 はじめに伝えておきたいのは、エストニアでは情報システムの開発や公的データベースの確立について、法令でかなり詳細かつ厳格に規定されているということです。つまり、大統領や首相、IT大臣と言えども、法令で定められた手順を省略するような命令を下すことはできず、情報システムを実際に開発・管理する組織や人が、明らかに無理なスケジュールを課されたりしないことが、制度として保証されているのです。 エストニアの国民は、「政府や政治家は信頼しないけど、デジタル国家は信頼している」と言われます。政権や政治家は変わっても、「デジタル国家を通じて国民が政府の仕事を監視できる」という基本は変わらないことへの信頼と言えます。 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) (2)アプリの特徴 (3)アプリの利用状況 (4)アプリの更新 (5)アプリの開発とセキュリティ対策 (6)アプリの保守管理 (7)プライバシーへの対応と根拠法 (8)健康委員会とTEHIKについて (9)コミュニティの運営と組織文化 (1)エストニアの新型コロナウイルス接触確認アプリ:HOIA(ホイア) エストニアの新型コロナウイルス接触確認アプリ「HOIA(ホイア)」が公開されたのは、2020年8月です。日本のCOCOAのリリース(6月19日)と比べて、ちょうど2か月遅れのスタートです。HOIAの企画・開発にあたっては、個人データの保護を所管するデータ保護調査局などによるチェックがあり、必要な法令の改正を実施したことで、8月のリリースになったと考えられます。 新型コロナに関する詳細については、エストニアにおける新型コロナへの対応についてをご覧ください。  (2)アプリの特徴 HOIAの主な特徴は次の通りです。
日本のCOCOAは「1メートル以内15分以上」が接触通知の条件(密接な接触と見なすことができる暴露)ですが、HOIAは「2メートル以内15分以上」となっています。この条件は国によって微妙に異なるようで、例えばスイスのSwissCovidは「1.5メートル以内15分以上」となっています。 アプリへの陽性登録の時に、日本では保健所から発行された「処理番号」が必要になりますが、エストニアでは陽性登録に必要となる「自分が感染したという情報(匿名コード)」を、患者ポータルを経由して健康情報システム(全国規模の医療データベース)から取得します。これは、HOIAアプリ用に新しいデータベースが作成されないことを意味します。なお、13歳未満の子供は、保護者の患者ポータルで確認します。 技術的な説明を含むアプリの詳細については、SARS-CoV-2コロナウイルス近接接触検出アプリケーションHOIAで確認できます (3)アプリの利用状況 2021年2月6日までに、エストニアの人口約130万人に対して、HOIAのダウンロード数は262,334です。確定した感染者数約4.7万人に対して、HOIAへの陽性登録件数は3,133となっています。これらのデータは、コロナウイルスデータセットで確認できます。 エストニアと日本のアプリ普及率はどちらも約2割ほどですが、アプリに陽性登録する人の割合はエストニアの方が少し高くなっています。いずれにせよ、期待されたほど活発に利用されているとは言えず、利用者の増加と積極的な陽性登録の促進が課題と言えます。 HOIAは、自分の感染情報を確認するために患者ポータルへのログインが必要なのですが、モバイルIDとSmartIDだけが対応しており、最も利用者が多いIDカードは使えないことが、陽性登録件数の少なさと関係しているのかもしれません。 (4)アプリの更新 HOIAのiOS版は、2021年2月6日現在までに5回の更新があります。Android版の最終更新は2021年1月15日で、現在のバージョンが1.0.8になっています。更新の頻度は、日本のCOCOAとあまり変わらないと言えます。  (5)アプリの開発とセキュリティ対策 ※ 2月22日 ソースコードの説明を追記 HOIAの開発(設計、ソフトウェア開発、セキュリティ対策)は、日本の厚生労働省のような役割を担う社会問題省と有志企業12社が参加するコンソーシアムによって行われました。コンソーシアムは、社会問題省の配下にある健康委員会とTEHIKだけでなく、データ保護調査局、国家情報システム局など様々な政府機関とも連携・協力しています。 コンソーシアムには、日本でも知られているサイバーネティカ社やガードタイム社の他に、日本の富士通(富士通エストニアAS)も参加しています。  HOIAアプリの最初のバージョンは、コンソーシアムによって無料で開発され、EUPLライセンスの下で配布するためにエストニア政府に引き渡されました。日本のCOCOAと同様にソースコードと技術文書が公開されています(contact-tracing(dp3t-sdk-ios)も参照)。なお、エストニアではデジタル国家のソースコードを原則公開しており、国家情報システム局(RIA)がGitLabを使用して電子政府コードリポジトリを管理・運営しています。 HOIAは、DP-3Tライブラリを使用して構築されています。ソースコードの構成は次の通りです。
コンソーシアムは、社会問題省が主導し、TEHIKおよび健康委員会のデータ保護スペシャリストと協力して法的な分析も実施しています。アプリケーションの技術プロジェクト管理、設計、ユーザーエクスペリエンス分析は、Iglu社が担当し、バックグラウンドシステムのプログラミングはIcefire社とTEHIKが共同で行いました。 モバイルアプリの開発はMobiLab社が主導し、FOBSolutions社とMooncascade社の協力により実施されました。アプリのセキュリティ分析はGuardtime社とCybernetica社が実施し、アプリの侵入テストはClarifiedSecurity社が実施しました。Cybernetica社は、セキュリティドキュメントの作成も主導し、国際協力に大きく貢献しています。 Velvet社は、社会問題省と協力してHOIAのWebサイトと通信を処理し、ASA Quality Solutions社はアプリのテストに貢献しています。患者ポータルとアプリの連携に関する開発は、Heisi社が行いました。 HOIAアプリのセキュリティの維持と開発プロセスの流れは、次の通りです。エストニア電子政府のセキュリティ標準およびENISA文書に基づいています。詳細は、セキュリティレビューで確認できます。 セキュリティ要件と攻撃者のモデル>セキュリティ対策>アプリケーション開発>出荷前テスト>アプリ配布 なお、感染者の匿名コードを受信するHOIAアプリケーションのサーバーは、攻撃から保護されている政府クラウド(State Cloud)にあります。  (6)アプリの保守管理 HOIAは、新型コロナへの対応を所管する健康委員会が所有者となり、健康福祉情報システムセンター(TEHIK テヒック)が保守管理を行っています。Android版のコメント欄を見ると、TEHIKがこまめに回答していることがわかります。 TEHIKは、数多くの医療関連情報システムを保守管理しており、HOIAアプリの保守管理についても、組織やチームとして対応しています。TEHIKに確認していませんが、HOIAアプリの更新を含むメンテナンスは、eサービス管理部門が行っていると考えられます。  (7)プライバシーへの対応と根拠法 HOIAのプライバシーへの対応については、プライバシーポリシーで確認することができます。HOIAのデータ保護やプライバシーについては、健康委員会かTEHIKにメールで直接連絡することができます。 プライバシーの観点から見た場合、エストニアと日本の接触確認アプリの一番の違いは、「処理番号」の有無と言えるでしょう。 GDPRやエストニアのデータ保護法によると、厚生労働省がCOCOAで利用する「処理番号」は、個人データに該当すると思われるので、「処理番号」と「日次鍵」がリンクされた時点で、「日次鍵」も個人データとなってしまいます。 エストニアでは、当局が「処理番号」を発行することなく、患者ポータル経由で、感染情報をパーソナライズされていない形で取得することにより、正確な感染情報の登録を実現しています。こうした違いは、プライバシーの考え方というよりも、法令における個人情報・個人データの定義、オンライン上の本人確認手段の普及状況、医療データのガバナンスなどの違いによるものと考えます。 エストニアでは、接触確認アプリの開始にあたって、2020年7月に「健康情報システムに関する法令」を改正しています。具体的には、データ処理者の機能を一部修正し、6条の(9)のデータ提供で「感染者との接触を警告することを目的として、感染症の診断を確認するための識別コードを送信すること」を追加しています。 HOIAアプリ自体は、個人データを処理しないので、直接的な根拠法は無く、国家情報システム管理RIHAカタログにも登録されていません。しかし、アプリのライフサイクル中に、患者ポータルの同意を得て、個人情報が健康情報システムで処理される場合があります。個人データが患者ポータルで処理される場合、データ主体の権利は、GDPRの条項15、16、17、18、20、および21が適用されます。個人データの処理に違反した場合、エストニアのデータ保護調査官に苦情を提出する権利があります。 (8)健康委員会とTEHIKについて 健康委員会は、社会問題省(社会省)の組織として、健康管理、環境衛生、感染症、化学薬品、医療機器規制などを担当しています。今回の新型コロナへ対応についても、WHOや欧州疾病予防管理センターと連携しながら、中心的な役割を担ってきました。新型コロナの感染者データについては、データコントローラーとして、データの管理・分析やオープンデータ化などを実施しています。 健康委員会が所有する国家情報システム(根拠法に基づく公的データベース)として、医療専門家の全国登録DB、ヘルスケアサービスの提供のためのライセンスの全国登録DB、伝染病登録DB、医療機器DBなどがあります。 エストニアには、新型コロナが流行する前から、健康情報システム、患者ポータル、感染症登録データベースなどが整備されており、10年以上の運用実績がありました。これらのシステムやサービスが、日常的に医療関係者や市民に広く利用されていたことで、新たなデータベースや情報システムを構築することなく、新型コロナに対応することができたと言えます。  TEHIK(テヒック)は、社会保障、医療、労働分野のIT開発・管理を分野横断的に行う、社会問題省の組織です。健康委員会がデータコントローラーの役割を果たしているのに対して、TEHIKはデータプロセッサー(認定データ処理者)として機能しています。 エストニアのデータガバナンスの仕組みについては、ジェアディス公開講座:エストニアのデータガバナンスから見た日本の電子政府の現在と未来で詳しく解説しています。   エストニアでは、ほとんどの省庁がTEHIKのようなIT実働部隊を抱えており、各省庁の業務に必要なITシステム調達をそのライフサイクルを通じて支援しています。相互運用性フレームワークという決められた枠組みの中で、各組織は自主的に競争・開発できる一方で、組織や分野を超えた共同開発・共同調達が行えるようになっています。  (9)コミュニティの運営と組織文化 エストニアでは、Xロードの例を見るように、オープンな開発環境とコミュニティを大切にしてきました。X-Roadなど電子政府基盤の国際連携を目指してフィンランドを共同で設立した相互運用性ソリューション北欧研究所(NIIS)には、アイスランドが新たに参加し、Xロードを採用する国が今後ますます増えていきそうです。  エストニア政府は、オープンソースの活用について、すでに多くの実績と経験があり、そのノウハウは文書化され共有されています。次世代の公共サービスのデジタル化を目指して、ハッカソンも定期的に開催しています。新型コロナへの対応でも、官民学の有志によるcovid-19危機対策ツールが数多く生まれました。  
エストニアには、各省庁に様々なIT組織がありますが、共通するのは、透明性や公平性、オープンなコミュニケーションを重視していることです。人口が少なく常に人材不足に悩むデジタル国家は、他者の貢献を尊重し、相互に思いやり、人を大事にしているのです。エストニアの政府CTOは、「公共部門における技術者の原動力は情熱である」と言っています。 最後に、エストニア財務省のIT組織である情報技術開発センターが掲げる価値観(抜粋)を紹介しておきます。
2020年12月に開催したジェアディスの勉強会の内容を、2021年1月に再整理して録画したものです。2005年からエストニアで実施されているインターネット投票の仕組みを解説しています。さらに、エストニアの経験を踏まえて、日本で導入する場合の留意点等も解説しています。また、米国大統領選挙の投票集計システム問題(ドミニオン投票システム)についても、少し触れています。
勉強会でお話しした内容
この動画に関するお問い合わせ https://www.jeeadis.jp/contact.html オンライン勉強会への参加、資料のダウンロード等をご希望の方は、ぜひ会員登録をご検討ください。 https://www.jeeadis.jp/20837202502669620869.html
勉強会で使用した資料は、下記からスライドシェアでご覧になれます。
エストニアの新型コロナの感染状況等について、政府の公式データを見ながら解説しています。エストニアにも、日本の新型コロナウイルス接触確認アプリ(COCOA) と同じようなアプリ(HOIA)があり、日本と同じぐらいの割合(人口の2割ぐらい)でダウンロードされています。陽性登録率は約7%で、日本の登録率2%よりは少し高くなっています。
参考サイトは、下記の通りです。 コロナ統計データ https://www.koroonakaart.ee/en コロナウイルスデータ 健康委員会 https://www.terviseamet.ee/et/koroonaviirus/koroonakaart エストニア コロナ危機公式情報ポータル https://www.kriis.ee/ HOIAモバイルアプリ https://hoia.me/ 電子政府コードリポジトリ HOIA https://koodivaramu.eesti.ee/tehik/hoia |
Categories
すべて
Archives
4 月 2022
|
||||
RSS フィード