電子政府のサービス提供とそれにともなう個人情報の把握について、最近原口総務相もtwitterでいろいろと報告しているところだ。おもに共通ID化（住基ネットのIDを使うという方向も当然議論されている）の漏洩による他の個人情報の紐付け問題がよく議論されているようだが、それだけではいかにもバランスの悪い議論だろう。

１）秘匿性：これはいうまでもなく権限のない人が特定の人物の情報にアクセスできないようにするということで、上で述べた話しはこの範疇だろう。単に認証の問題だけではなく、どう情報を保存するかとか、単一IDにどこまでのアクセス権を付与すべきかと言うアクセスコントロールに関する議論。

２）完全性：いってみれば改ざん防止ということである。わかりやすいのは，一度記録した情報を不正に書き換えたり消したり、無から捏造することができないようにするということ。純情報技術的にはそういうことだが、実際の運用まで目を配れば、そもそもお上に記録されたその人の情報が不正確であったり誤りであることがわかった場合、それを本人あるいは本人に準ずる正確な情報と権限を持つものが適切に訂正できる、という制度的保証を含む。

３）可用性：適切な情報利用権限のあるものが、ほしいときに欲しい情報を十分現実的なプロセスで得られること。DoS(Denial of Service)攻撃などはこの可用性に対する攻撃だ。

一般にはこの３つが情報セキュリティの３大要素として知られているのだが、これはA）情報の保持者　とB) 情報の利用者、ならびにこの二者間の通信路の保護を念頭においたセキュリティモデルの下での話だ。政府が国民の個人情報を保持するにあたっては、A)情報の保持者は政府機関であり、B)情報の利用者は政府機関であったり本人であったり他人であったり不特定だ。ここにはC)情報のオリジン（原保持者）もしくは情報の対象者（ターゲット）という存在を加えたモデルが必要になる。そうすると、考慮すべき情報セキュリティのための要素としてあえてもう一つあると強調したくなる。

４）アクセス履歴の可視性：
だれが、いつ、どのような権限で、どの自分の情報へのアクセス要求し、
だれが、いつ、どのような権限で、それを許可したのか
その情報の対象者が確認ができるということ。

mixiではあしあとと言う形で不完全ながら実現されている（mixiではどの情報にアクセスしたのかはわからないし、時刻の粒度も粗い）、あれのことである。

アクセス履歴が見えると、政府が自分に関して何をしているのか、個人が知りやすくなるし、業務と直接関係のない出歯亀的不必要なアクセスを抑制することができる。この権利・機能は、単なる情報の秘密保護ではなく、個人情報の保護という観点からは４つ目の要素として並列して上げてもよいくらいのインパクトがあると思っている。

この観点について協調する議論をそれほど頻繁に見かけないのだが、たぶんアクセス制御の観点から１）の中の詳細技術として語られているのかもしれない。しかしこの要素は、詳細ではなく、ポリシーとして一番トップに語られるのが適切だと思う。

エストニアでは個人情報のアクセスには公開鍵基盤による認証とアクセスコントロールが厳密に行われていて、かつ、個人情報へのアクセスログは管理され、本人のみが確認することができる仕組みがあり、不正アクセスがあった場合の摘発を容易にしている。

「税の広場」第１３３号 [「税の広場」] - メルマ！

個人が無制限に自分の情報のアクセス履歴を閲覧できると、司法関係や、国税などの捜査機関は困ると言い出すだろう。一定の条件では考慮する必要があるかもしれない。しかし一時的に秘匿されたとしても時間が経過したあとや裁判などの状況ではすべからく本人に開示されるべき性質のものだと考える。

先日の外務省の対米密約問題ではないが、いずれ全部公開されるというのと、闇に消える、というのでは全く対応が違ってくるからだ。

この観点からの議論は原口大臣にはtwitterで訴えてみたが、いまのところ特筆大書されるような形では表にでてきてない。原口五原則にも陽にははいってはない（完全性についての言及はあるのに）。いずれ課題として具体的議論が行われることを望む。