エントリ

住基ネット「個人離脱」、1人削除に最大3500万(2006年12月9日15時3分 読売新聞)

 このニュースによりますと、かなり大変な状況みたいです。

 さらに問題なのは、このような問題があることが今頃になってようやくわかったのか、ということです。

 裁判で負けることなど考えてもいなかったのか?
 原告の主張を認めるとどういうことになるのか、という反論は検討しなかったのか?
 ほかにも住基ネットからの離脱を求める市民が続出したらどうなるのか?

 この訴訟の関係者全員の状況認識の甘さが露呈したニュースのようです。

| コメント(24) このエントリーを含むはてなブックマーク  (Top)

コメント(24)

で、箕面市はどうするんでしょう?
上告に方針転換できないでしょうし、府や国は「上告断念したのはそちらでしょう?」と言うでしょうから、市が全額負担?
残るは、原告のお情けにすがるしかない?(確定しても判決執行しない=削除・離脱断念を納得してもらう。ただし、他の件で最高裁が違憲と判断するまで)

削除するのに3500万円もかかるゆっるーいシステムを導入するのがいけない。

私の妹は、とある企業の下請け会社で住基ネットのデータパンチをしています。かなり忙しいようで、残業も結構あります。(もちろん、他のデータパンチの仕事もありますよ。)
住基ネットのシステムを作ること自体にかなりのお金をつぎ込んでいると思いますが、
システム自体は、どれくらい利用されているんでしょうか?簡単にパンチが出来るのに、削除するのに、大金を払うなんて変な感じです。そんなに難しいシステムを作ったんでしょうか?近いものがEXCELで作れるようなシステムなら、たいしたシステムとは言えないと思います。しかも「データを削除したら、サーバーがダウンする」システム自体、おかしいと思います。(少しだけシステムを教わりました。)

コンピュータ、システムもの、発注者側は「あれもこれも」とアイディアを出して、創るのは業者ですから、業者がこうだと言えばそうなるので、結局、わけ分からないまま言いなりになっているのではないでしょうか(特に官の場合)。

知り合いに日立のSEがいて住基ネット導入に携わってましたけど、たぶん国の方から、
「登録削除するのは死んだ人だけだ」
と言われてそのまま作っちまったんだろうな…。

削除できないシステムはあり得ないわけで、そのためのコストは作った側の事情に過ぎない。

バカなシステムであるというニュースですね。
どこかに(システム的な)非常口があるのが当然だと思うけど。

>酔うぞ さん

>バカなシステムであるというニュースですね。

 そう思います。
 信じられないほどオバカなシステムです。

 いまだに、このニュースは本当なのかな、という思いがあります。

酔うぞさんのおっしゃる通り、どこかに逃げ道がないと、万一の場合、例外の場合に、こういう苦労するんですよ。あと、サーバーを何台も通すのは、危険だと思います。1台のサーバーがダウンしたら、すべてストップしてしまいます。こういうシステムを作る時、いわゆる素人さんだけの依頼してきた通りにシステムを組んでしまうと、こういうことになってしまいます。1人でもシステムが判る人間を入れた方が良いのです。そうすれば、このシステムについて検証してもらうこともできますから。受注を受けたシステム屋が検証してもダメですね。客観的に見られないと思うので。

システム設計を専門とする立場から私見です。
設計に関しては与えられている情報が少ないので、ある程度の予想を交えて書きます。

またこの読売新聞の記事はミスリードを誘わせる内容になってますね。
このの記事で問題になっている点を要約すると以下のようになります。

・住記ネットのデータベースシステムは、「住民票コード」を空にできるようにはなっていない。

これには合理的理由があり、何らかの理由で住民票コードが発行されないまま住民票が出来てしまうことを防止する狙いがあります。
また、住民票コードを重複して発行する、ということも同じ機能で防止できます。
「削除するとサーバがダウンする」という話はこの部分に係ります(重要)。本来できないことをしようとしてエラーになるわけですから。
原告の要望(というか判決)は「住民票コード」のみを削除することであるが、それはシステム設計上できないし、リスクの観点からもするべきではない、ということです。

なので、次善の策として

・住記ネットのデータベースから原告の情報を全て削除する

という方法が採られることになったと思われます。しかし、

・住民のデータを削除するには、全ての住記ネットサーバのデータベースを一から作り直さねばならない

現実には作り直すと言うより、原告の情報をデータベースから完全に抹消する作業が発生だと思われます。
おそらく住記ネットはその性質上、住民が死亡したり国籍離脱してもその人の情報自体はデータベース上に残ります。
(現在の状態に「死亡」とか「国籍離脱」と表さるだけ)
その理由は、もちろん後から何らかの理由で修正しなければならなくなったとき、データそのものが無くては困るからです。
そして、データ自体を抹消する機能は用意されていないと考えます(普通に考えると抹消する必要はない)
原告は自分の情報をデータベース上に残したくないとのことなので、データの抹消をする必要があるわけです。

このデータの抹消は、行ってもサーバは落ちません(重要)。

抹消自体はデータベースから手作業で行うことが出来ますが、ここで問題なのが住記ネットは分散型データベースになっていることです。
住記ネットは各自治体のサーバが通信しあって互いの持っているデータを交換し、相互にバックアップを取る構造になっています。
これは例えどこかのサーバが落ちても他のサーバから落ちたサーバのデータが拾えるので障害に強いです。
しかし、データを抹消するとなると、全国すべての住記ネットサーバに対して抹消処理を行わなければなりません。
記事中の1500-3500万という数字はこれにかかる費用を指しています。
さらに、抹消した住民に対しての行政サービスは(住記ネットにより効率化されたはずなのに)職員の手作業で行わなければならなくなり、それに対して人件費が発生します。
読売の記事ではデータベースの削除か職員の手作業か2通りの運用方法と書かれていますが、これは相反しないことなので両方必要です。

まとめると、住記ネットのシステムに問題があるわけではなく、『本来不可能(必要なし)と定義したこと』を無理やりしようとするとコレだけの費用がかかりますよ、という話なのです。
しかし、ここのブログの方々は医療に対するJBMのように、
『住記ネットに対して住民票の削除を要求する住民を予見できなかったのでシステムに責任がある』
と仰るのでしょうか。(バカなシステムと書いてありましたし)
そうでないことを祈りたいです。

また、一人削除に3500万と書かれていますが、1人でも4人でも一度に作業を行えばかかる費用は一緒です。
ここも誤解を与えるような表現をしていますね。正しく情報を伝える記事を書いて欲しいものです。

住基ネットではありませんが、医療の分野でもレセプトオンライン化がこれからは必須になってきます。噂ではオンライン化しない場合は診療報酬が減額されるのだとか・・・(これはかなりの確率で確実情報です)。オンライン化とは患者情報とインターネットが直結すると言うことに他なりません。
参照ページ:http://www.soumu.go.jp/s-news/2006/060425_2.html
その際に患者情報がインターネットに漏れる可能性もある。でも、レセプトをオンラインにしないと減収になる・・・・。
オンライン化した暁に万が一患者情報が漏れた場合、この辺りの責任は誰がとるのでしょう。病院開設者でしょうか、国でしょうか?私はオンライン化を強制させた国にあると思うのですが。

>bg さん

>>信じられないほどオバカなシステムです。

と書いた張本人ですが、bg さんの「システムには責任がない」旨のご意見が、システムが仕様どおりに構築されていればシステム技術者に責任がないという意味であれば異論はありません。

 問題は、仕様です。

 実は私は25年ほど前に区役所の市民課で住民票関係の仕事を2年ほどしていました。
 制度上は、一旦作成した住民票原本をいきなりシュレッダーに放り込むというようなことは予定されていないはずですが、実際の仕事上はそのようなことが絶無であっといいますと、何件かあったようななかったような記憶があります(^^;;;

 本件は住基ネットシステムにそのようなこと(シュレッダー)を要求しているのではないかと思います。

 何がいいたいかと言いますと、制度を忠実になぞっただけのシステムでは、実務上予想されうる「融通を利かさなければいけない事態」に全く対応できないということです。

 変則的な事態に全く対応できないシステム、変則的な事態を全く予想していないシステムは、仕様として「オバカ」であると思います。

> 変則的な事態に全く対応できないシステム、変則的な事態を全く予想していないシステム
一概に「全く予測していない」とは言えません。
予測はしていたが、実装しなかった可能性もあります。
建前の問題があったり、コストの問題があったりします。

さらに申せば、データをシステム上で抹消する方法が実はあって、その方法は『該当する住民票コードの個人データを全てダミーに置き換えて送信する』というものです。
モトケンさんの言う『シュレッダー』ではなく、書類全部を『黒塗り』してしまうイメージです。
住民票コードを消すのではなく、住民票コード以外のデータを無効化する、逆転の発想です。
この方法を使えば、コストはゼロですし、結果としてデータを無効化することについて両者の意味に差はないことはお分かりになると思います。

だが、この方法は実際には使えないと思われます。
なぜなら司法が『住民票コードの削除』を要求しているからです。
黒塗りの方法では住民票コードは残ってしまうので判決の要求を満たせられないと思われます。

これがもし判決で『住記ネットに登録されているデータを無効化すること』という判決だったら3500万がゼロになったのに、と思わずにはいられません。

最後に、情報システムに『融通を利かせなければならない事態に対応する』のは結構難しいです。
システム化できる融通もあれば、できない融通もあり、システム化できない融通は結局手作業です。
で、手作業を行うと今回みたいに何千万のお金がかかったりします。
私は、今回の削除にかかるコストはそれなりに融通を利かせた設計の結果だと思っています。

>bg さん

>予測はしていたが、実装しなかった可能性もあります。

 私から見れば大差ありません。
 予測は実装の前提問題という位置づけですから。

>これがもし判決で『住記ネットに登録されているデータを無効化すること』という判決だったら3500万がゼロになったのに、と思わずにはいられません。

 これは被告が、原告の要求に応じればどうなるか、という主張をしたのか
どうかという問題に関係すると思います。

 医療過誤訴訟とよく似た問題点があるようです。

>私は、今回の削除にかかるコストはそれなりに融通を利かせた設計の結果だと思っています。

 何千万ものお金がかかることが問題です。

 これ以上技術的な問題であなたと論争する気はありません。
 技術論では太刀打ちできませんから。

 結果として、えらいことになっている、ということが問題です。

 裁判所の判断、システム設計段階での問題、技術的に不可避の危険等いろいろ問題があるように思いますが、根本的には住基ネットシステム導入にあたってきちんと説明責任が果たされていたのか、議論が拙速ではなかったかというところに行き着くような気がしています。

 説明すべき立場の人に説明能力があったのかどうかも疑問です。

 言葉足らずでしたので補足します。

 bg さんの説明は住基ネットシステムの理解にあたってとても有益です。

 そもそも論争になっていません。

 ただ、私とbg さんとは視点が違うと思います。

 私としても、技術的に不可能または過大なコストがかかるシステムを構築すべきと言うつもりはまったくありませんので、その点の指摘は歓迎するところですが、bg さんの視点は技術屋さんの視点(皮肉ではなく)かなという気がします。

 私の視点は技術ど素人の視点だと思いますが(^^;

> >予測はしていたが、実装しなかった可能性もあります。
>  私から見れば大差ありません。
> 予測は実装の前提問題という位置づけですから。

> 結果として、えらいことになっている、ということが問題です。

結局、法曹の理論では結果しか考えてくれないんですね。
医療訴訟でも『結果として』ばかりですし。。。

参考までに、今回の改変コストについてもっと深く説明している文章を紹介します。
http://slashdot.jp/comments.pl?sid=343610&cid=1073819

> 根本的には住基ネットシステム導入にあたってきちんと説明責任が果たされていたのか、議論が拙速ではなかったかというところに行き着くような気がしています。

どれだけ根気よく説明をしても、納得しない人は納得しないと思うのですが、どこまでを持って『説明責任を果たした』といえるのでしょうか。
『俺が納得しなかったら説明責任は果たしていない!』というのは違うと思います。説明責任の定量化が必要なのではと思います。
『説明責任を果たした』と認められた事例はあるのでしょうか。

ところで、今後住記ネットを離脱した4人に対して行政サービスを行うために、毎年何百万単位で追加の運営費用がかかると予想されるのですが、これは住民にとって許される経費と考えられるでしょうか。

疑問文ばかりで申し訳ございません。

>bg さん

>結局、法曹の理論では結果しか考えてくれないんですね。

 重大かつ深刻な問題が生じたら、その原因を追及し、責任を負うべき者がいるならば責任を果たさせなければいけない、というのは当然のことであると思います。

 私が「問題だ」というのはそういう意味です。
 もっとも、誰も責任を負うべき者が見当たらないという場合も当然あり得ると考えています。

 bg さんの論調に、本件の事態は技術的にやむを得ないものという考えが感じられましたので、それに対する批判的なコメントになりました。

>>> 根本的には住基ネットシステム導入にあたってきちんと説明責任が果たされていたのか、議論が拙速ではなかったかというところに行き着くような気がしています。

 この点についてですが、正直に言えば、私は行政サイドは国民に対して、住基ネットシステムの安全性について虚偽説明をした、と考えています。
 本音を言えば説明責任以前の問題です。

 なお、私は

>『俺が納得しなかったら説明責任は果たしていない!』

という意味で「きちんと説明責任が果たされていたのか」と言ったのではありません。
 説明すべきことが説明されていたのかどうか、ということを問題にしているのです。

 説明すべきことの内容はケースバイケースだと思いますので、「定量化」というものは不可能だと思います。

>ところで、今後住記ネットを離脱した4人に対して行政サービスを行うために、毎年何百万単位で追加の運営費用がかかると予想されるのですが、これは住民にとって許される経費と考えられるでしょうか。

 今後の問題としてはこれが大問題だと思います。

 これを4人のわがままと見るか当然の権利と見るかによって答えは変わると思いますが、結論的には「許される経費」とは見たくないですね。
 行政システムとしてあまりにも不合理だからです。

 住基ネットの改善を前提にしての話ですが。

> 本件の事態は技術的にやむを得ないものという考えが感じられましたので
裁判所が下した決定を実行するため、これだけのコストが掛かるのは止むを得ない、と考えています。(そもそも3500万と決定したわけでもないですが)
住基ネットシステムそのものの問題、という話には言及しません。後からならなんとでも言えますから。

> 住基ネットシステムの安全性について虚偽説明をした
このあたりについては良く分かりません。
違憲判決の記事は読みましたが、『僅かでも漏洩の可能性があればプライバシー権の侵害』と言うことなのでしょうか。
漏洩の可能性があれば、どれだけ漏洩対策を行っても無意味なのでしょうか。

>  住基ネットの改善を前提にしての話ですが。
結局のところ、住基ネットをどう改善していけばいいのでしょう。
行政サービスは完全縦割りで、ある行政サービスで得た個人情報が他の行政サービスから参照できないようにすればいいのでしょうか?
モトケンさんはどう考えますか?

ところで、金沢であった違憲判決の控訴審で原告側が敗訴したようですね。
控訴審の判決が割れてしまったのですが、最高裁はどう判断するのでしょう。。。

技術屋の視点で発言させていただきます。
(問題点の詳細は不明ですが、ここではNo.12の見解が正しいと仮定します)

No.12 bg さんはコストゼロの代替案を提示しました。
これが技術上実施可能なら、システムに技術上の問題点は存在しないことになります。
ところが、融通の利かない判決文のせいで代替案を実施できないため、無駄金を使う羽目に陥った。
多くの技術屋はこう考えるでしょう。

内容について、例え話をいたしますと。

  ○条×項
   △が□なら☆とする。

これを無効にする場合、

  ○条×項
   本項を削除する。

こう書き換えると思います。
bg さんが提示した代替案は、これと同じ事です。
判決文が「○条×項」という記述を消せと求めているから、広範な変更が必要になるのです。

信じられないほどオバカな結果ですが、システムだけの責任でしょうか。

>生活習慣病予備軍さん
被控訴人が、代替案を主張していない以上、裁判では認められないみたいです。

原告側の「住民票コードを削除せよ」との主張に対し、自治体側は「住民票コードを削除する必要はない」と主張した。裁判で原告側の主張が認められたので、「住民票コードを削除せよ」という主張がそのまま通った。

自治体側が「削除すると言う方法もあるが、代替案として無効にすることも可能である。従って、住民票コードを削除してもしなくても実質的には同じである」と主張すれば、「削除せよ」と言う判決は変わったかも知れません。

と言う解釈でよろしいんでしょうか>法曹の方々

一部認容のロジックで、(国側が「イヤだ」しか言ってなくても)bgさまの言われる「黒塗り」を命ずる主文を出すこともできたんではないでしょうか。

(すみません、思いつきです。理解がおかしければご指摘下さい>諸兄)

システム屋です。
はじめて投稿します。

このシステムを構築した技術者の方々は、大変な苦労をされたはずで、「おバカなシステム」と両断されると、反発したくなる気持ちは良くわかりますけども。

モトケンさんが問題とされているのは、住基ネットの在り方、政策立案段階まで遡って、そもそも、このような「おバカなシステム」を導入したことの経緯だと思います。bgさん、生活習慣病予備軍さんは、現行の住基ネットを前提とした上で、住民データを削除する費用の(技術的)妥当性、削除の方法を論じておられ、失礼ながら、議論はすれちがっているように思います。

しかし、「個人情報の削除」ではなく、「住民票コードの削除」を命じるとは、確かに引っかかりますね。ネット上で判決文を見つけました。
--
「住基ネット訴訟」(豊中市・箕面市・吹田市・守口市・八尾市)
控訴審判決(全文)p.42
http://www.jca.apc.org/e-GovSec/DecisionSashitome/DecisionKosai.html#KNZK001

離脱請求権行使の合理性
d 離脱を実行するための手続費用
 控訴人らが住基ネットから離脱するために必要な措置は、単に住民票コード番号を削除するだけであるから、被控訴人らとしても極めて容易になし得ることである。このため、被控訴人らにおいて格別の費用等損害が新たに発生することもない。しかも、実際に住基ネットから離脱した国立市、矢祭町、杉並区、横浜市等の自治体においても、何ら行政上の不都合や障害は発生していない。
--

正直、分量がありすぎて読みきれませんが。
控訴人が「住民票コードの削除」を求め、これが認められた形でして、裁判官が判断したわけではないですね。控訴人が根拠としたのは、「実際に住基ネットから離脱した」先行自治体の例ですかね?

それで、総務省の「住民基本台帳ネットワークシステムの概要」ですが。
http://www.soumu.go.jp/c-gyousei/daityo/juki_gaiyo.html
市町村のところ、「既存住基システム」となっていますね。
もしかしたら、これは自治体によって、違うシステムになっているんでしょうかね。
で、他の自治体のシステムでは「極めて容易になし得ること」が、箕面市・大阪府ではそうではない?

行政は「完全縦割り」なのは事実でして、自治体ごとに別々の住基ネットシステムを作った、はありそうです。

システム屋です。
やはり、1,500万〜3,500万は、マスコミの捏造ですね。
元記事ですが、
--
削除できた場合、その後の運用方法は〈1〉原告を除く全市民のシステムを作り直し改めて接続する〈2〉サーバーから原告のデータを削除して、原告だけ文書で管理する――の2通り。作り直すには1500万〜3500万円の費用が必要
--
とあり、削除できた後の運用で、最大3,500万かかるかもしれない、という意味でして、削除の費用が最大3,500万ではないですね。

そして、この「運用」費用は、「システムの作り直し」。
要は住基ネット対応システムを1から作ると、3,500万かかる、というだけの話。数字を誇大に膨らませています。

「原告だけ文書で管理」した場合の費用は示されていませんね。

少しばかり悪質な記事だと思います。

新聞記者さんは、システムのことは素人です。従って、被告側(この場合、自治体でしょか)からの情報を、単に「垂れ流し」にしているから、専門家から見るとおかしな記事になるわけです。

しかも、新聞記者さん自身、「そんなものなんだろう」と思っているでしょう。とにかく、役所や国からにらまれ、記者クラブから放り出される方が、新聞社にとっては大事ですから(特落ちは致命傷だそうです)。

# ここまでくるとオフトピになっちゃいますが。
まだ判決文の一部を読んだだけですが、84ページから。
(イ)
〜前略〜
住民が住基カードをつかってそれらの(市町村が提供する)サービスを受けた場合には、その記録が行政機関のコンピュータに残り、それらの記録を住民票コードで名寄せすることも可能である。
住基カードに関する技術的基準(総務省告示第392号第5、3(2))では、条例利用アプリケーションに係るシステムにアクセスするための利用者番号に住民票コードを使用しないことが定められているが、総務省は、告示の改正によっていつでもこれを改めることができる。
(注:住民票コードは請求しても本人にも公開されない)

よって、住基ネット制度には無視できない欠陥がある、とのこと。

既に決められていることが丸ごとひっくり返されることが前提ってどうなのでしょう。
私にはトンデモにしか見えません。

法律相談へ

ブログタイムズ

このエントリのコメント