弁護士法人ITJ法律事務所

裁判例


戻る

主文
1 原告らの請求をいずれも棄却する。
2 訴訟費用は原告らの負担とする。
事実及び理由
第1 原告らの請求
1 被告は,住民基本台帳法に基づく住民基本台帳カードの交付に関して,公金
を支出し,契約を締結若しくは履行し,又は債務その他の義務を負担してはならな
い。
2 被告は,P1に対し,2000万円を支払うよう請求せよ。
第2 事案の概要
本件は,名古屋市の住民である原告らが,住民基本台帳法(平成11年法律第
133号(以下「改正法」ともいう。)による改正後のもの。以下「住基法」とい
うが,条文を引用する場合は,単に「法」と表示する。)に基づく住民基本台帳ネ
ットワークシステム(以下「住基ネット」という。)が憲法13条等に違反するも
のであり,これを前提とする住民基本台帳カード(以下「住基カード」という。)
の交付に関して公金を支出することや,その原因となるべき契約を締結する行為な
ども違法であると主張して,被告に対し,①地方自治法242条の2第1項1号に
基づき,上記公金支出行為等の差止めと,②同項4号に基づき,支出が確定した公
金2000万円の損害賠償を市長の地位にあったP1(以下,個人としての同人を
「P1市長」という
。)に請求するように求めた住民訴訟である。
1 前提事実等(争いのない事実,各項末尾記載の証拠により容易に認定できる
事実等)
(1) 当事者
ア 原告らは,いずれも名古屋市の住民である。
イ 被告は,名古屋市の長としてその事務を管理,執行する機関である。
ウ 返還請求の相手方とされたP1市長は,名古屋市の長として,住基カー
ド等の調達契約を締結し,その代金支払債務を確定させた者である。
(2) 住基法の定める住基ネット等の概要
ア 住基ネット
住基ネットとは,法30条の2以下に基づいて創設され,市町村長が本
人確認情報(氏名,生年月日,性別,住所及び住民票コード並びにこれらの変更情
報)を都道府県知事に通知し,法30条の10第3項所定の委任都道府県知事が本
人確認情報を指定情報処理機関に通知し,並びに都道府県知事及び指定情報処理機
関が本人確認情報の記録,保存及び提供を行うためのコンピュータネットワークシ
ステムであって,各市町村に設置されたコミュニケーションサーバ(以下「CS」
ともいう。),各都道府県に設置されたサーバ(以下「都道府県サーバ」とい
う。),指定情報処理機関に設置されたサーバ(以下「全国サーバ」という。),
端末機,電気通信関係装置(ファイアウォールを含む。),電気通信回線,プログ
ラム等により構成されてい
る(平成15年総務省告示第601号による改正後の電気通信回線を通じた送信又
は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関
する技術的基準(平成14年総務省告示第334号。以下「セキュリティ基準」と
いう。)第1の1参照。乙2の1ないし3)。
なお,住基ネットのイメージ概略図は,別紙1及び別紙2のとおりであ
る。
イ 住民票コード
住民票コードとは,11けたの番号(無作為に作成された10けたの数
字と1けたの検査数字)であって,市町村長がそれぞれの市町村の住民の住民票に
対して割り当てるものである(法7条13号,30条の2第1項,第2項,改正法
附則3条,住基法施行規則(以下,条文を引用する場合は,単に「規則」と表示す
る。)1条)。
ウ 指定情報処理機関
都道府県知事は,総務大臣の指定する者(指定情報処理機関)に対し
て,本人確認情報処理事務を行わせることができるところ(法30条の10第1
項),全国47の都道府県知事すべてが総務大臣の指定した指定情報処理機関であ
る財団法人地方自治情報センターに本人確認情報処理事務を行わせている。
エ 市町村長から都道府県知事への本人確認情報の通知
市町村長(なお,法38条1項により,政令指定都市においては,政令
で定めるところにより,区長が市長とみなされている。)は,住民票の記載,消除
又は法7条1号から3号(氏名,生年月日,性別)まで,7号(住所)及び13号
(住民票コード)に掲げる事項の全部若しくは一部についての記載の修正を行った
場合には,当該住民票の記載に係る本人確認情報を,市町村に設置されたCSから
住基ネットを通じて都道府県サーバに送信することによって,都道府県知事に通知
する。この通知を受けた都道府県知事は,本人確認情報を,政令で定める期間保存
しなければならない(法30条の5)。
オ 都道府県知事から指定情報処理機関への本人確認情報の通知
都道府県知事は,上記エにより市町村長から通知を受けた本人確認情報
を,都道府県サーバから住基ネットを通じて全国サーバに送信することによって,
指定情報処理機関に通知する。この通知を受けた指定情報処理機関は,本人確認情
報を磁気ディスクに記録して,政令で定める期間保存しなければならない(法30
条の11第1項ないし3項)。
カ 指定情報処理機関による本人確認情報等の提供
(ア) 指定情報処理機関は,住基法別表第1の上欄に掲げる国の機関又は
法人(以下「国の機関等」という。)から同表の下欄に掲げる事務の処理に関し,
住民の居住関係の確認のための求めがあったときに限り,政令で定めるところによ
り,保存期間に係る本人確認情報を提供する(法30条の10第1項3号,同条の
7第3項)。
(イ) 指定情報処理機関は,①市町村の執行機関であって住基法別表第2
の上欄に掲げるものから同表の下欄に掲げる事務の処理に関し求めがあったとき及
び②市町村長から住民基本台帳に関する事務の処理に関し求めがあったときには,
政令で定めるところにより,保存期間に係る本人確認情報を提供することができる
(法30条の10第1項4号,同条の7第4項)。
(ウ) 指定情報処理機関は,①他の都道府県の執行機関であって同法別表
3の上欄に掲げるものから同表の下欄に掲げる事務の処理に関し求めがあったとき
及び②他の都道府県の都道府県知事から,当該都道府県の区域内の市町村の住民基
本台帳に住民に関する正確な記録が行われるよう,市町村長に対する必要な協力の
求めがあったときには,政令で定めるところにより,保存期間に係る本人確認情報
を提供する(法30条の10第1項5号,同条の7第5項,第10項)。
(エ) 指定情報処理機関は,①当該他の都道府県の都道府県知事を経て当
該他の都道府県の区域内の市町村の執行機関であって同法別表第4の上欄に掲げる
ものから同表の下欄に掲げる事務の処理に関し求めがあったとき及び②当該他の都
道府県の都道府県知事を経て当該他の都道府県の区域内の市町村長から住民基本台
帳に関する事務の処理に関し求めがあったときには,政令で定めるところにより,
保存期間に係る本人確認情報を提供する(法30条の10第1項6号,同条の7第
6項)。
(オ) 指定情報処理機関は,国の行政機関がその所掌事務に必要があると
して,都道府県知事に対して,保存期間に係る本人確認情報に関して資料の提供を
求めたときには,同資料の提供をする(法30条の10第1項7号,37条2
項)。
キ 都道府県知事による本人確認情報等の提供
(ア) 都道府県知事は,①区域内の市町村の執行機関であって条例で定め
るものから条例で定める事務の処理に関し求めがあったときには,条例で定めると
ころにより,保存期間に係る本人確認情報を提供するほか,②区域内の市町村の執
行機関であって法別表第2の上欄に掲げるものから同表の下欄に掲げる事務の処理
に関し求めがあったとき及び③区域内の市町村の市町村長から住民基本台帳に関す
る事務の処理に関し求めがあったときには,政令で定めるところにより,保存期間
に係る本人確認情報を提供することができる(法30条の10第3項,1項4号,
同条の7第4項)。
(イ) 都道府県知事は,他の都道府県の執行機関であって条例で定めるも
のから条例で定める事務の処理に関し求めがあったときは,条例で定めるところに
より,他の都道府県の執行機関に対し,保存期間に係る本人確認情報を提供する
(法30条の7第5項2号)。
(ウ) 都道府県知事は,当該他の都道府県の都道府県知事を経て当該他の
都道府県の区域内の市町村の執行機関であって条例で定めるものから条例で定める
事務の処理に関し求めがあったときには,条例で定めるところにより,保存期間に
係る本人確認情報を提供する(法30条の7第6項2号)。
(エ) 都道府県知事は,国の行政機関がその所掌事務に必要があるとし
て,保存期間に係る本人確認情報に関して資料の提供を求めたときには,同資料を
提供する(法30条の10第3項,1項7号,37条2項)。
ク 市町村長による本人確認情報の提供
市町村長は,他の市町村の市町村長その他の執行機関であって条例で定
めるものから条例で定める事務の処理に関し求めがあったときは,条例で定めると
ころにより,本人確認情報を提供する(法30条の6)。
ケ 住基カード
住基カードとは,住民票に記載された氏名及び住民票コードその他政令
で定める事項が記録されたカードをいう(法30条の44第1項)。
住民基本台帳に登録されている者は,その者が記録されている住民基本
台帳を備える市町村の市町村長に対して,所定の交付申請書を提出して,住基カー
ドの交付を求めることができ,交付を求められた市町村長は,その者に対し,住基
カードを交付しなければならない(法30条の44第2項,第3項)。
住基カードの交付を受けている者は,それを紛失したときは,直ちにそ
の旨を市町村長に届け出なければならず,また,転出をする場合その他政令で定め
る場合には,当該住基カードを市町村長に返納しなければならない(法30条の4
4第5項,第6項)。
また,市町村長その他の市町村の執行機関は,住基カードを,条例の定
めるところにより,条例に規定する目的のために利用することができる(法30条
の44第8項)。
コ 住民票の写しの広域交付
住民基本台帳に記録されている者は,その者が記録されている住民基本
台帳を備える市町村の市町村長(以下「住所地市町村長」という。)に対し,自己
又は自己と同一の世帯に属する者に係る住民票の写しの交付を請求することができ
る(法12条1項)ほか,住所地市町村長以外の市町村長に対し,住基カード又は
総務省令で定める書類(旅券又は運転免許証等)を提示して,住民基本台帳を備え
る市町村以外の市町村長に対し,住民票の写し(ただし戸籍の表示,選挙人名簿の
登録,国民健康保険の被保険者の資格に関する事項,介護保険の被保険者の資格に
関する事項,国民年金の被保険者の資格に関する事項,児童手当の受給資格に関す
る事項,米穀の配給に関する事項などの記載を省略したものに限る。)の交付(以
下「広域交付」という
。)を請求することができる(法12条の2第1項,規則5条2項)。
住民票の写しの広域交付の請求があった場合には,住基ネットを通じ
て,①請求を受けた市町村長(以下「交付地市町村長」という。)は,住所地市町
村長に対し,政令で定める事項(住民票の写しの広域交付の請求があった旨,請求
者の氏名及び住民票コード,請求者及び請求者と同一の世帯に属する者のうち住民
票の写しに記載する者,世帯主及び世帯主との間柄並びに住民票コードの記載の請
求の有無)を通知し,②住所地市町村長は,交付地市町村長に対し,政令で定める
事項(氏名,生年月日,性別,住民となった年月日,住所及びその住所を定めた年
月日。なお世帯主及び世帯主との間柄又は住民票コードの記載の希望があったとき
にはこれらの事項も含む。)を通知することとされている(法12条の2第2項,
第3項,第5項,住基法
施行令(以下,条文を引用する場合は,単に「令」と表示する。)15条の2)。
サ 転入転出特例
転出をする者は,あらかじめ,その氏名,転出先及び転出の予定年月日
を市町村長に届け出なければならず,転入の届出の際には,転出証明書の添付が必
要である(法24条,22条2項,令23条1項)が,住基カードの交付を受けて
いる者が,付記転出届(転出届であって,当該届出に係る書面に法24条の2第1
項の手続による届出をする旨が付記されたものをいう。)をした場合には,最初の
転入届については,転出証明書の添付が不要となる(法24条の2第1項,令24
条の2。以下「転入転出特例」という。)。
転入転出特例による転入届があった場合には,住基ネットを通じて,①
当該転入届を受けた市町村長(以下「転入地市町村長」という。)は,その旨を付
記転出届を受けた市町村長(以下「転出地市町村長」という。)に対して通知し,
②転出地市町村長は,転入地市町村長に対して,政令で定める事項(転出前の住
所,転出先及び転出の予定年月日,国民健康保険の被保険者である者についてはそ
の旨及びその者が退職被保険者等である場合にはその旨,介護保険の被保険者であ
る者についてはその旨,国民年金の被保険者である者については,国民年金の被保
険者の種別並びに国民年金手帳の記号及び番号並びに児童手当の支給を受けている
者についてはその旨)を通知する(法24条の2第3項ないし5項,令24条の
4)。
シ 改正法の施行経緯の概略
(ア) 改正法附則1条2項(個人情報の保護に万全を期するため所要の措
置を講ずること)は公布の日(平成11年8月18日)から施行された。
(イ) 改正法附則1条1項ただし書2号所定の指定情報処理機関の指定,
本人確認情報の処理及び利用等の準備行為に関する規定等は,平成11年政令第3
02号により,平成11年10月1日から施行された。
(ウ) 住民票コードの記載及び本人確認情報の保存・提供に関する規定等
は,平成13年政令第430号により,平成14年8月5日から施行された(いわ
ゆる住基ネットの第1次稼働)。
(エ) 改正法附則1条1項ただし書3号所定の転入転出特例,住民票の写
しの広域交付及び住基カードの交付に関する規定等は,平成15年政令第20号に
より,平成15年8月25日から施行された(いわゆる住基ネットの第2次稼
働)。
(3) 名古屋市における住基ネット構築の取組
ア 名古屋市における住基ネットへの接続状況等
名古屋市においては,平成2年に導入した既存住基システム(既存の住
民基本台帳電算処理システムをいうが,名古屋市においては「住民基本台帳サブシ
ステム」がこれに該当する。乙12)や既存住基端末(既存の住基システムにおけ
る端末機器をいう。)などをもって既存ネットワークが構成されていたところ,同
ネットワークは,ファイアウォールを介して中間サーバと,中間サーバは,ファイ
アウォールを介して名古屋市のCSとそれぞれ接続され,さらに,名古屋市のCS
は,ファイアウォール及び交換装置を介して他の県内市町村のCS,愛知県サー
バ,他の都道府県サーバ,他の都道府県内のCS,全国サーバと接続されて住基ネ
ットが構築された。なお,名古屋市の既存ネットワークは,ファイアウォールを介
してインターネットに接
続している。
上記接続状況のイメージ概略図は,別紙3記載のとおりである(乙4
8)。
イ 住基カード原盤に関する公金支出等
(ア) 平成15年度
名古屋市は,住基カード4万枚の交付を予定し,同市の平成15年度
一般会計補正予算に住基カードの原盤(以下「住基カード原盤」という。)の調達
経費として4200万円を計上した(乙27の1・2)。
名古屋市市民経済局長は,助役以下代決規程(平成12年名古屋市達
第40号)7条1項,別表第1財務関係5号に基づき,平成15年5月2日,住基
カード原盤2万枚の購入を決定した。
P1市長は,同年6月5日,住基カード原盤2万枚の納入について一
般競争入札に付したところ,同年7月16日の開札の結果,凸版印刷株式会社(以
下「凸版印刷」という。)が落札した。そこで,P1市長は,同月22日,名古屋
市を代表して,凸版印刷との間で,住基カード原盤2万枚を945万円(消費税含
む。)で購入する旨の契約を締結し,凸版印刷は,同年8月15日までに住基カー
ド原盤1万枚を,同年9月12日までに,同1万枚をそれぞれ納入した(甲2,乙
1,28,43)。
名古屋市市民経済局地域振興部区政課長P2は,平成16年1月5
日,上記購入代金945万円を支出するよう命令し,名古屋市収入役は,同月22
日,凸版印刷に対し上記購入代金を支払った(以下「本件公金支出」という。乙2
8)。
(イ) 平成16年度
名古屋市は,平成16年度一般会計予算に住基カードの調達経費とし
て630万円を計上した(乙29)。
ウ 住基カード発行用端末機賃借に関する公金支出等
(ア) 平成15年度
名古屋市は,平成15年度一般会計予算に住基カード発行用端末機の
賃借料(リース料)として2851万6284円を計上した(乙30)。
名古屋市は,平成15年5月1日,住基カード発行用端末機器を月額
18万8370円で賃借する旨の賃貸借契約を締結し,同年8月1日,さらに住基
カード発行用端末機器を月額215万5398円で賃借する旨の賃貸借契約を締結
し,これら端末機械の引渡しを受けて,使用を開始した(乙32の3,35の3,
弁論の全趣旨)。
名古屋市収入役は,市民経済局企画経理課長の支出命令に基づき,平
成15年6月30日から平成16年4月30日までの間に,上記賃料(リース料)
合計1931万5254円を支払った(乙32ないし42の各1ないし3,弁論の
全趣旨)。
(イ) 平成16年度
名古屋市は,平成16年度一般会計予算に住基カード発行用端末機の
賃借料(リース料)として2812万5216円を計上した(乙31)。
(4) 監査請求
原告らを含む名古屋市の住民240人は,平成15年7月17日ないし同
月24日,名古屋市監査委員に対し,地方自治法242条1項に基づき,平成15
年度予算に計上された住基カードの作成経費4200万円の支出の差止めのための
措置,及び,仮に作成経費が支払われている場合には,その返還のための措置を,
それぞれ講ずるように請求した(甲1)。
これに対し,名古屋市監査委員は,同年8月14日付けで,上記住民らに
対して,住基カードの作成経費の支出は,地方自治法242条1項所定の違法・不
当な公金の支出には当たらず,措置する必要は認められない旨の監査結果を通知し
た(甲2)。
(5) 本訴提起
原告らは,平成15年9月10日,本訴を提起した。
2 本件の争点
本件公金支出その他住基カードの交付に関する支出,契約の締結及び履行並
びに債務負担行為(以下「本件公金支出等」という。)は,違法な公金支出に該当
するか。具体的には以下の各点が争点となる。
(1) 住基ネット及び住基カードは,国民のプライバシー及び個人の尊厳を侵害
する点で憲法13条に違反するか。
(2) 法36条の2及び改正法附則1条2項所定の措置を講ずることが,改正法
の施行条件であるか。
(3) 住基ネット及び住基カードは,個人情報の漏えいの危険性がある点で,法
36条の2及び改正法附則1条2項に違反するか。
(4) 住基ネットはほとんど効用がないから,住基カードの発行に公金を支出す
ることは,最少経費・最大効果を定めた地方自治法2条14項及び地方財政法4条
1項に違反するか。
3 争点に対する当事者の主張
(1) 争点(1)(住基ネット及び住基カードは,国民のプライバシー及び個人の
尊厳を侵害する点で憲法13条に違反するか)について
(原告らの主張)
ア プライバシー権が憲法13条によって保障されること
プライバシー権は,憲法13条によって保障される憲法上の権利であ
る。このことは,憲法学説上ほぼ異論がないほか,最高裁判所が,プライバシー権
の用語を直接的に使用したことはないものの,しばしば憲法13条に言及しつつ,
プライバシーや私生活上の自由の法的保障を承認し,公法上及び私法上の保護を認
める判断を下していることからも明らかである。
イ 住基ネットは国民の個人情報を一元的に管理する点で憲法13条に違反
すること
従来,行政の各分野において行政効率を高めるために,その目的ごとに
別の番号(以下「限定番号」ともいう。)が付されていたが,これは個人のプライ
バシーと行政効率化の要請のバランスをとったものとして一定程度許容され,国民
の理解が得られてきた。
しかし,国は,改正法に基づき,日本在住の国民全員に対して11けた
の数字から成る住民票コードを付した。この住民票コードは,すべての行政分野に
利用できる番号(以下「共通番号」という。)であるという点で,運転免許証番号
や年金番号等の限定番号とは質的に異なっており,国民総背番号制の基礎となるも
のである。国は,住基ネット稼働により,住民の氏名,性別,生年月日,住所,住
民票コード及びそれらの変更履歴の6情報を,市区町村から都道府県のサーバ,指
定情報処理機関を通じて取得することができるようになったが,氏名,生年月日よ
りも検索機能においてはるかに優れた住民票コードをマスターキーとして利用する
ことにより,「名寄せ」(正確には「番号寄せ」)を行い,国民の個人情報を一元
的に管理・支配するこ
とが可能となる。
現に,行政機関の保有する個人情報の保護に関する法律(平成15年法
律第58号。以下「行政機関個人情報保護法」という。)8条2項は,法令の規定
する事務の利用のために相当な理由があると行政機関が認めれば,その保有する情
報の目的外使用や他の行政機関等への提供を許容している。
このような国家による個人情報の一元的管理によって,原告らのプライ
バシー及び個人の尊厳を侵害されることはいうまでもなく,これを可能とする住基
ネット自体が,憲法13条に違反するものである。
なお,住基ネットがプライバシーを保障した憲法13条に違反すること
は,私立大学の学生の学籍番号,氏名,住所及び電話番号を記載した参加者名簿を
大学が警察署に提供した事案において「プライバシーに係る情報として法的保護の
対象となり,本人の同意を得ずに警察に提供した大学の行為はプライバシーを侵害
するものとして不法行為を構成する」旨判断した最高裁判所平成15年9月12日
第二小法廷判決・民集57巻8号973頁からも明らかである。
ウ 被告の主張に対する反論
(ア) 被告は,住民票コードは,住民票に対して付せられたものであっ
て,国民に対して付せられたものではない旨主張する。しかし,住民票コードが国
民一人一人に対し,個人を識別するために(あるいは本人確認のための道具とし
て)付せられたことは多言を要しない。被告の主張は,本件裁判及び全国で係属中
の住基ネット裁判が問題としている共通番号を国民全員に強制的に付することによ
り国民を管理する住基ネットの本質論を回避するためのものにほかならない。
(イ) また,被告は,住基ネットは地方公共団体共同のシステムであっ
て,国の下に全国民の個人情報を一元管理するものではない旨主張するが,地方公
共団体共同のシステムという言葉は実態とかけ離れており,住民票コード付きの個
人情報が指定情報処理機関を通じて国に流れる以上,国による一元管理,国民の管
理・監視が可能となる。
エ 小括
住基カードは住基ネットを不可欠の前提とするものであるから,住基ネ
ットが憲法13条に違反する以上,市町村長が住基カードを発行することも憲法1
3条に違反するのであって,本件公金支出等は,違法な公金の支出に当たる。
(被告の主張)
原告らの主張は争う。
原告らの主張する「名寄せできるようにすることにより,国民の個人情報
を国家が一元的に管理」する状態が具体的にどのような状態を指すのかは不明であ
り,また,それがいかなる内容の法益をどのように侵害するのか具体的に主張され
ていないので,上記主張は,それ自体失当である。
住基ネットは,本人確認情報のみを管理する地方公共団体共同のシステム
であって,国のもとに全国民の個人情報を一元管理するものではなく,国家による
国民の強権的な管理・監視体制を築くものでもない。
また,住民票コードを住民票に付した理由は,住基ネットというコンピュ
ータネットワークを構築するに当たり,行政において個人の確実な特定を可能と
し,かつ迅速かつ効率的な検索を実現するために不可欠であるからである。すなわ
ち,氏名・住所を用いてアクセスする方法には,①各市町村において使用漢字や表
記などの記載方法が異なる可能性があること,②処理の際に大きな負荷がかかり,
効率性が失われること,③氏名や住所が同一の場合があること,④氏名や住所は変
更されることがあり,それに備えて過去の履歴をすべて保存するのは効率的でない
ことなどの問題がある。
そして,住民票コードは,無作為の番号で,住民の申請によりいつでも変
更することができ(法30条の3),民間部門がこれを利用することは禁止されて
おり(法30条の43,44条),行政機関がこれを利用する場合も,目的外利用
の禁止,告知要求制限等の規定によって利用が制限されている(法30条の34,
同条の42,同条の43)から,国の機関等と他の国の機関等との間で住民票コー
ドを利用してデータマッチングすることは禁止されている。
したがって,仮に,プライバシー権が憲法13条で保障された人権である
としても,住基ネットが憲法13条に違反する旨の原告らの主張は,理由がない。
(2) 争点(2)(法36条の2及び改正法附則1条2項所定の措置を講ずること
が,改正法の施行条件であるか)について
(原告らの主張)
ア 法36条の2及び改正法附則1条2項所定の措置は法30条の44を含
む改正法の施行条件であること
法36条の2第1項は,「市町村長は,住民基本台帳……に関する事務
の処理に当たっては,住民票……に記載されている事項の漏えい,滅失及びき損の
防止その他の住民票……に記載されている事項の適切な管理のために必要な措置を
講じなければならない。」と規定し,2項は,これを事務の委託を受けた者にも準
用している。また,改正法附則1条は,1項本文において「この法律は,公布の日
から起算して3年を超えない範囲内において政令で定める日から施行する。」とし
た上で,さらに2項において「この法律の施行に当たっては,政府は,個人情報の
保護に万全を期するため,速やかに,所要の措置を講ずるものとする。」と規定し
ている。これらは,国会審議において,国民総背番号制,プライバシーの侵害及び
セキュリティ等の不安
が強く指摘され,その対応として特に定められた重要な規定である。このような立
法経緯及び附則が附帯決議と異なり法律そのものであることにかんがみると,これ
らは法30条の44を含む住基ネット関係の改正法の施行条件と解すべきであっ
て,これを充足していない限り,同規定は施行されてはならない。
イ 施行条件を充足していないこと
(ア) 被告は,行政機関個人情報保護法をもって所要の措置が講ぜられた
と主張するが,住基ネット第1次稼働の段階では,同法が成立していないから,施
行条件を充足していないことは明らかである。
(イ) また,平成15年5月に同法が成立したものの,本件公金支出時点
ではいまだ施行されていない(平成17年4月1日施行)上,同法には,①利用目
的の特定(3条1項),利用目的の変更(3条3項),目的外利用及び他機関への
提供(8条2項)について行政機関が広い裁量を有していること,②人種,民族,
思想,信条,宗教,犯罪歴及び社会的差別の対象となる社会的身分などのいわゆる
センシティブ情報の収集制限がないこと,③二つ以上の記録システムに含まれる複
数の情報をコンピュータでデータマッチングすることを禁止する規定がないこと,
④制度の運営を監督・監視する第三者機関の規定がないことなどの問題点があるこ
とから,同法はいわば「行政機関による個人情報利用促進法」であるとの批判を受
けており,個人情報の
保護に万全を期すための措置が講ぜられているとはいえず,住基ネット関係の規定
の施行条件はいまだに充足されていない。
ウ 小括
したがって,現時点においても法30条の44を含む住基ネット関係法
規の施行条件は満たされておらず,本件公金支出等は,法36条の2及び改正法附
則1条2項に反して違法である。
(被告の主張)
原告らの主張は争う。
ア 法36条の2及び改正法附則1条2項は,法30条の44を含む改正法
の施行条件ではないこと
法30条の44を含む住基ネット関係法規が,法36条の2及び改正法
附則1条2項を施行条件とする旨の明文規定は一切存在しない。むしろ,改正法
は,同法附則1条1項本文の規定により,公布の日から起算して3年を超えない範
囲内において政令で定める日等から施行することとされており,法律上,個人情報
保護法案が成立すると否とにかかわらず,法令で定められている日に施行すること
が義務付けられているから,個人情報保護法制が整備されることを施行条件として
いないことは明白である。
イ 所要の措置が講じられたこと
なお,改正法附則1条2項は,国会審議の過程において,民間部門をも
対象とした個人情報保護に関する法整備を含めたシステムの整備の必要性について
幅広い議論がされ,住基ネットについては,改正法において十分な個人情報保護措
置が講じられているものの,なお漠然とした不安,懸念が残っていることを踏ま
え,議員修正によって加えられたものであるところ,政府は立法機関でなく,自ら
法律を制定することができないから,同項にいう「所要の措置」とは,政府におい
て法律案を検討,作成し,国会へ提出することを意味するものと考えられ,政府と
しては行政機関個人情報保護法案を国会に提出したことにより所要の措置を講じた
ものと考えられる。
したがって,原告らのこの点に関する主張は失当である。
(3) 争点(3)(住基ネット及び住基カードは,個人情報の漏えいの危険性があ
る点で,法36条の2及び改正法附則1条2項に違反するか)について
(原告らの主張)
法36条の2は,地方公共団体の首長に対して個人情報の安全管理義務を
課しており,改正法附則1条2項は,政府に対して個人情報の保護に万全を期する
ための所要の措置を講ずることを義務付けているところ,現状の住基ネット,名古
屋市の住基ネット接続方法等,住基カードには情報漏えいを防止する対策が不十分
である点があり,上記の要請が全うされていない。
このようなセキュリティに問題がある状況で,住基カードを発行すること
は法36条の2及び改正法附則1条2項に反して違法であり,そのための公金支出
等も違法である。
ア 運用関係者による情報漏えいを防止すべき措置について
(ア) 刑罰や監督による不正行為の抑止効果
a 刑罰
被告は,住基ネットの運用関係者に秘密保持義務を課し,違反した
者には通常の公務員の守秘義務違反よりも重い刑罰を科していると主張する。
しかしながら,刑罰の加重によって不正行為を防止する効果を期待
することはほとんどできない。なぜならば,第1に,最近の個人情報の流出事件の
多くは過失によるものであるにもかかわらず,刑罰の対象となるものは故意犯に限
定されており,第2に,故意犯に対する刑罰として2年以下の懲役,100万円以
下の罰金では抑止効果がないからである。
b 報告・立入検査等の監督
被告は,上記罰則のほかに,指定情報処理機関は,総務大臣,都道
府県知事から報告・立入検査等の監督を受けることを挙げる。
しかしながら,住基ネットのコンピュータシステムそのものは極め
て専門的であり,監督する側にその知識がなければ監督できないのが実情であり,
総務大臣や都道府県知事による監督ではその効果は期待できない。
(イ) アクセスログの定期的解析と調査
被告は,定期的にアクセスログの解析を行い,不正使用の兆候を検出
したときは必要な対策等が実施されると主張する。
しかしながら,コンピュータ通信は,その性質上,即座に情報が流失
するものであり,兆候を発見したときでは既に手遅れである。また高度の技術を持
つハッカーの場合,アクセスログも残さないので,侵入されたことすら気づかない
ことがあるといわれている。
(ウ) 住民に対する本人確認情報提供状況の開示
被告は,準備が整った都道府県から順次,個人に対しても当該個人の
本人確認情報提供状況の開示をすることにより,不正使用の端緒が判明するように
すると主張する。
確かに,この制度は,事後的な個人情報の不正使用に関する端緒とな
り得る。しかしながら,これとても既に流失した後の事後的なものであることに変
わりはなく,流失の防止策としては不十分である。
(エ) 住民票の写しの広域交付における不正防止
被告は,一定時間に一定数以上の住民票の写しの広域交付要求があっ
た場合は,これを停止する措置が講じられていると主張する。
しかしながら,紙媒体の住民票の写しを大量に不正請求することは考
えにくく,それよりもデジタル情報の不正取得が懸念されるから,上記措置が働く
場面はほとんどないであろう。
イ セキュリティ対策について
(ア) 重要な情報の分散化への逆行
コンピュータの専門家によると,内部者の故意過失による流失,外部
からの侵入を防止する手だてをいかに施したとしても,これらを防止することはで
きないとのことである。とするならば,重要な情報の流失による被害を最小限に食
い止めるには,近時の欧米等のITの考え方に見られるように,情報を堅牢なシス
テムの中に集中させて防護するのではなく,最初から情報を集中化させず,分散化
することが必要である。住基ネットは,このような傾向に逆行しており,古い考え
に基づいている。
(イ) 保有情報の限定
被告は,保有情報が6情報に限定されているとして,センシティブな
個人情報が住基ネット上で流れることはないと主張する。
しかし,住基ネット上に流れるのは,氏名,生年月日,性別及び住所
の4情報だけでなく,住民票コードが含まれている上,現在DV(ドメスティッ
ク・バイオレンス),ストーカー,性同一性障害者などへの配慮から戸籍事務のオ
ンライン化,戸籍事務取扱準則制定標準の改正の検討がなされているように,4情
報だけだから大丈夫という軽率な考えは否定されている。
ましてや,転出転入手続の特例の場合は,6情報の外,さらに世帯主
との続柄,戸籍の表示,転出前の住所,転出先及び転出の予定年月日並びに国民健
康保険,介護保険,国民年金及び児童手当の支給に関する情報も一緒にネット上に
流れるのであり,システム自体が危険な設計になっている。
(ウ) 本人確認情報の利用及び提供の制限
被告は,利用目的を法律で限定しており,法改正による以外に利用事
務の追加はできないとする。
しかし当初93事務だけであったのが,住基ネット第2次稼働前に2
64事務に拡大されており,また264事務だけでは到底住基ネットを稼働させた
実益が発揮できず,今後も法律による追加がなし崩し的になされることが予想され
る。
(エ) 住民票コードの利用制限
被告は,住民票コードは住民の申請で変更できるほか,民間部門が住
民票コードを利用することが禁止されていると主張する。
しかし,住民票コードを変更しても,変更履歴の情報が付くので追跡
することができ,変更したことにはならない。また,民間部門が住民票コードの告
知を要求することは禁止されているものの,任意に提供を受けることは禁止されて
いない。したがって,住民が民間部門との契約の必要から,「任意に提供する」こ
とを迫られることがあり得る。そのほか,民間部門が,住民票コードをデータベー
ス化して他に提供することが予定されるものを構築することは禁止されているが,
自社の使用する目的でデータベース化することは許されている。
なお,被告は,国の機関等と他の国の機関等との間で住民票コードを
利用してデータマッチングすることは禁止されていると主張するが,その根拠は明
らかではない。
ウ 外部の侵入防止対策について
被告は,住基ネットにおいては,外部の侵入防止対策として物理的なセ
キュリティ対策や,専用回線を使用し電気通信回線経由による侵入に対する対策等
がとられているところ,東京都品川区の機器への模擬攻撃によっても侵入は成功せ
ず,その安全性が確認されていると主張する。
しかしながら,平成15年9月ないし11月に長野県で行われた侵入実
験(以下「長野県侵入実験」という。)の結果が示すように,セキュリティ対策が
無力であることが実証されている。被告の主張するように,住基ネットの安全性が
確認されているのであれば,国は,長野県が提唱している合同侵入実験を行うべき
である。
また,専用回線を使用しているとの総務省の説明は虚偽であり,この点
を指摘されるや,総務省は物理的専用回線ではないが「論理的に他回線と完全に隔
離された専用回線である。」と言い換えている。
エ 住基カードのセキュリティ対策について
(ア) 非接触型カードの危険性
住基カードは非接触型カードであるから,保有者本人が知らないうち
に情報を読み取られる,あるいは改ざんされるなどの危険性が存する。
(イ) 住基カードの独自利用サービスの記録情報の制限
被告は,住基カードの中に様々な個人情報が蓄積されることはないと
主張する。そうであれば,多目的サービスの実行ができなくなり,矛盾している
(例えば「事故,急病等で救急医療を受ける場合,あらかじめ登録した本人情報」
はどこに登録されるのかが説明できない。)。
オ 名古屋市におけるセキュリティ対策について
住基ネットの第2次稼働で,氏名,生年月日,性別,住所のほかに,本
籍,世帯主,続柄,介護保険などのセンシティブな情報が住基ネット上を流れるこ
とになるが,名古屋市は政令指定都市の中で唯一,住基ネットが庁内LANを経由
してインターネットと接続しており,セキュリティに重大な危険性がある。
(被告の主張)
原告らの主張は争う。
住基ネット及び住基カードのセキュリティが脆弱で個人情報漏えいの危険
性があることは,原告らが主張立証責任を負っているところ,本件において,住基
ネット及び住基カードのセキュリティが脆弱で個人情報漏えいの危険性があること
が明らかになったとは到底いえない。
すなわち,住基ネット及び住基カードに高度かつ十分なセキュリティ対策
が講じられていること,名古屋市においてもセキュリティ基準以上の十分なセキュ
リティ対策が講じられていることは,下記に詳論するとおりである。
ア 運用関係者による情報漏えいを防止すべき措置について
住基ネットにおいては,以下のとおり本人確認情報保護措置が講じられ
ており,運用開始以来,不正行為等は生じていない。
(ア) 重い刑罰や監督による不正行為の防止
住基法や行政機関個人情報保護法は,住基ネットに係る事務の関係者
や本人確認情報の提供を受ける行政機関の関係者に対し,知り得た本人確認情報に
関する守秘義務を課し(法30条の17第1項,第2項,同条の31第1項,第2
項,同条の35第1ないし第3項,行政機関個人情報保護法53条ないし55
条),その違反には重い刑罰を科する旨を定める(法42条は,国家公務員法や地
方公務員法よりも重い2年以下の懲役又は100万円以下の罰金を定めている。)
ほか,指定情報処理機関に対する監督措置(総務大臣の権限について,法30条の
16,同条の18,同条の19,同条の22第1項,同条の23第1項,同条の2
5,委任都道府県知事の権限について同条の22第2項,同条の23第2項)を定
め,情報漏えいや不正な目的
での提供等が生じないような措置が講じられている。
(イ) 照会条件の限定
本人確認情報の検索に際して,①即時提供の場合,「住民票コー
ド」,「氏名及び住所」又は「氏名及び生年月日」を入力しないと本人確認情報の
提供を受けられない仕組みとなっており,②一括提供の場合も,①と同様に,照会
元から送られてきた「住民票コード」,「氏名及び住所」,「氏名及び生年月日」
等のファイルに,都道府県サーバ又は指定情報処理機関サーバにおいて,本人確認
情報を追記して照会元にファイルを返送するなどの措置が講じられている。
このように,担当者が当該個人情報を容易に検索できないような措置
が講じられている。
(ウ) 操作者識別カード認証によるアクセス制御
本人確認情報は,CS,都道府県サーバ及び全国サーバ内に保存され
ており,端末機には存在しないところ,住基ネットにアクセス権限のない者がアク
セスできないようにするため,端末機の住基ネットアプリケーションを起動し,本
人確認情報データベースにアクセスするには,操作者識別カードと端末機との間で
相互認証を要求しているから,アクセス権限のない職員や外部の者が本人確認情報
データベースへアクセスすることはもちろん,住基ネットアプリケーションを起動
することもできない。
その上,操作者識別カードの種別により,システム操作者が住基ネッ
トの保有するデータ等へ接続できる範囲を限定している。
(エ) アクセスログの定期的解祈と調査
指定情報処理機関は,定期的に全国サーバのアクセスログの解析を行
い,万一不正使用の兆候を検出した場合,緊急時対応計画等に基づき必要な連絡,
対策等が実施される。また,市町村及び都道府県も,指定情報処理機関に対し,住
民のアクセスログの解析要請を行うことができる。
(オ) 住民に対する本人確認情報提供状況の開示
都道府県サーバ及び全国サーバに,本人確認情報提供状況の開示用デ
ータ(提供先ないし検索元,提供年月日,利用目的等)を生成する機能を実装する
ことにより,都道府県は,平成15年10月1日から,本人確認情報提供状況の開
示用データの保存を開始し,同年11月以降,順次,それぞれの個人情報保護条例
に基づく住民からの請求があった場合,その開示を行うこととした。
このように,当該個人に対しても,本人確認情報の提供状況を明らか
にすることにより,不正使用の端緒が分かるようにしている。
(カ) 住民票の写しの広域交付における不正防止
交付地市町村の特定の操作者識別カードから一定時間に多量の住民票
の写しの広域交付要求があった場合は,住所地市町村において,システム上,広域
交付を停止する措置が講じられている。
(キ) 担当職員に対する教育・研修
国は,市町村の住基ネット担当者を対象としたセキュリティ研修会
を,また,本人確認情報の提供を受ける国の機関等の担当職員向けの研修会を,そ
れぞれ適宜に実施している。
イ セキュリティ対策が講じられていること
住基ネットについては,体系的な制度面,技術面及び運用面における様
々な措置が講じられることにより,高いセキュリティが確実に確保されている。
(ア) 制度面からの対策
a 保有情報の限定
都道府県・指定情報処理機関が保有する情報は,法律上,前記4情
報,住民票コード及びこれらの変更情報の本人確認情報に限定されている(法30
条の5第1項,令30条の5,規則11条)。
また,住民票の写しの広域交付,転入転出特例等の際には,市町村
から市町村へ続柄等の情報も送信されるが(令15条の2第2項及び24条の
4),これら情報送信は,すべて任意の二つのCS間で直接行われるので,当該通
信が都道府県サーバや全国サーバを通過したり,そこに保有されることはない。
b 本人確認情報の利用及び提供の制限
本人確認情報の提供を受ける行政機関の範囲や利用目的を法律で具
体的に規定し,これを限定している(法30条の6,同条の7第3項から第6項ま
で,同条の8及び別表)。なお,法30条の6,同条の7第4項2号,第5項2
号,第6項2号の場合は,具体的な利用事務等は条例において規定されるが,これ
は法律の委任に基づくものであり,法律と民主的意義において同等であることなど
から,何ら問題はない。
また,国の機関等が提供を受ける場合は,法改正による以外に利用
事務の追加はできない。
さらに,本人確認情報の提供を受ける者についても,目的外の利用
又は提供が禁止され(法30条の34),都道府県知事及び指定情報処理機関も,
法律の規定によらない本人確認情報の利用及び提供が禁止されている(法30条の
30)。
c 責任体制の確立
住基ネットの各機器に関する市町村,都道府県,指定情報処理機関
の管理責任の範囲を明確化し,それぞれ責任を持ってセキュリティを確保している
ほか,総務省,指定情報処理機関,都道府県及び市町村において,セキュリティに
対する対策や監督措置等が講じられている(法30条の9,同条の11第7項,同
条の15,同条の18,同条の22,31条)。
d 住民票コードの利用の制限
諸外国では,特定の番号を複数の行政分野のみならず,民間におい
ても広く活用している国があるが,我が国においては,住民票コードの民間利用の
在り方等について検討した結果,以下のとおり,これを厳しく制限することとし
た。
(a) 住民票コードは無作為の番号で,住民の申請によりいつでも変
更できる(法30条の3)。
(b) 民間部門の住民票コード利用を禁止している。特に,民間部門
が契約締結時の住民票コード告知要求及び住民票コードの記録されたデータベース
で他に提供されることが予定されているものの構築に対して,都道府県知事は中止
勧告や中止命令を行うことができる。都道府県知事の中止命令に違反した者は,1
年以下の懲役又は50万円以下の罰金が科せられる(法30条の43及び44
条)。
(c) 行政機関が住民票コードを利用する場合も,目的外利用の禁
止,告知要求制限等の規定により利用が制限(法30条の34,同条の42及び同
条の43)されており,国の機関等と他の国の機関等との間で住民票コードを利用
してデータマッチングすることは禁止されている。
e 各関係機関における緊急時対応計画の策定
セキュリティ基準においては,都道府県,市町村及び指定情報処理
機関は,緊急時対応計画を定め,本人確認情報の漏えい,削除及び改ざん等(以下
「漏えい等」という。)の危険が具体的に発生した場合には,被害拡大を防止する
ための措置等を講ずることとされている。具体的な応急的な措置として,市町村長
又は都道府県知事は,住基ネットとの切断等の措置を講ずることができ,不正アク
セス等が発生した場合にも,それぞれの緊急時対応計画に基づき適切な対応がなさ
れる。
(イ) 外部からの侵入防止対策その1(物理的なセキュリティ対策)
セキュリティ基準において,建物等への侵入の防止等,重要機能室の
配置及び構造,入退室管理,磁気ディスク,構成機器及び関連設備等,データ・プ
ログラム・ドキュメント等の管理等,外部からの侵入に対する物理的なセキュリテ
ィ対策を,関係機関に義務付けている。
特に,市町村における住基ネット及びこれに接続している既設ネット
ワークにおける対策については,「住民基本台帳ネットワークシステム及びそれに
接続している既設ネットワークに関する調査表(チェックリスト)」に基づく市町
村の自己点検と,これに基づく都道府県,指定情報処理機関及び総務省による指
導・助言によって,対策の強化・徹底が図られている。
(ウ) 外部からの侵入防止対策その2(電気通信回線経由による侵入に対
する対策)
①CS,都道府県サーバ及び全国サーバ間の通信は,すべて専用回線
及び専用交換装置で構成されたネットワークを介して行い,また,全国サーバと国
の機関等サーバとの間は,専用回線又は磁気媒体でデータ交換を行うことにより,
論理的な閉鎖的ネットワークが実現されており,②暗号技術評価委員会において安
全性が確認されている公開鍵方式により,サーバ間で相互認証を実施し,また,通
信が終われば廃棄される共通暗号鍵を使用した暗号通信を実施し,③住基ネットの
通信プロトコル(ネットワークを介してコンピュータ同士が通信を行う上での約束
ごとの集合)は汎用的なプロトコルを使用せず,独自プロトコルを使用し,また,
必要な箇所に指定情報処理機関監視ファイアウォールを設置して,インターネット
で用いられるプロトコル
の通過を遮断し,④住基ネット全体で徹底したコンピュータウィルス・セキュリテ
ィホール対策を実施し,⑤指定情報処理機関監視ファイアウォールやIDS(侵入
検知装置)を設置し,不正な通信の厳重な遮断と24時間常時の監視を行い,⑥ソ
フトウェアの統一による住基ネット全体の高度なセキュリティ確保が実現されてい
る。
(エ) 外部監査等によるセキュリティの確保
a 外部監査による市町村のセキュリティ確保
指定情報処理機関と総務省が作成したチェックリストに基づき,市
町村は,平成15年1月ないし2月,セキュリティ対策の自己点検を実施した。上
記自己点検の結果を踏まえて,総務省は,平成15年5月13日,住基ネット担当
課長会議を開催し,この点検結果を踏まえて,都道府県において,市町村に対し必
要な技術的指導を行うことを要請した。
これを受けて,再度,市町村が自己点検を行ったところ,各都道府
県,総務省及び指定情報処理機関における徹底した技術的助言,指導の実施,市町
村の積極的な取組により,すべての市町村において,重要点検項目の7項目につい
て満点を達成した。また,その他の項目についても,第2次稼働に向け,市町村の
セキュリティ対策は大幅に向上した。
また,平成15年1月から3月までの間,全国108団体の市町村
において,外部監査法人によるシステム運営監査を実施し,その結果をセキュリテ
ィ強化に活用した。
b 模擬攻撃によるセキュリティの確認・強化
平成15年10月10日から12日までの間にアメリカの監査法人
クロウ社のセキュリティ部門により,ペネトレーションテスト(模擬攻撃)が実施
された。その結果,住基ネットの主要な機器への侵入は成功せず,脆弱性も見いだ
せず,住基ネットの安全性が確認されている。
(オ) 住基カードのセキュリティ対策
住基カードについても様々な対策を講じることにより,セキュリティ
を確保している。
住基カードについて講じるべきセキュリティ対策等は,住基法及び住
基法の規定に基づく「住民基本台帳カードに関する技術的基準」(平成15年総務
省告示第708号による改正後の平成15年総務省告示第392号。以下「住基カ
ードセキュリティ基準」という。)等により定められている。
a 住基カードのセキュリティ対策の基本的考え方
住基カードの交付は希望する住民に対してのみ行われ,携帯は義務
付けられていない。
住基カード内の住基ネットで利用する領域から独立した空き領域を
利用して,様々な住民サービスを提供することができるが,市町村の独自サービス
の範囲は,市町村が条例で定める目的に限定され(法30条の44第8項),市町
村が許可したサービス以外のサービスを提供できないシステムとなっている。ま
た,どのような市町村独自サービスを受けるかについても,住民が選択できる。
また,住基カードの領域のうち市町村独自サービスに割り当てられ
た部分には,特に必要性がある場合を除き,利用者番号以外の個人情報を記録しな
いこととされており,カード内に,様々な個人情報が蓄積されることはない。さら
に,住基ネットに係るアプリケーションのために割り当てられた領域は,市町村長
その他の執行機関,都道府県知事その他の執行機関又は国の機関等に限り,かつ法
に規定する事務又はその処理する事務であって,法の定めるところにより当該事務
の処理に関し本人確認情報の提供を求めることができることとされているものの遂
行のため必要がある場合のみ,活用することができる。すなわち,それ以外の場合
に,住基カードに記録された住民票コードを利用することは一切禁止されている。
そのほか,住基カードの券面記載は,4情報のみに限定されてお
り,さらに,希望する場合には,氏名のみのカードも選択できる(規則38条)。
b 技術面のセキュリティ対策
住基カードには,中央演算装置付きの半導体集積回路を組み込んだ
カード(以下「ICカード」という。)を用いることとされ,これにより,①暗証
番号の設定,②発行前の不正利用防止のための情報設定,③住基ネットと住基カー
ドの相互認証,④アクセス権限の制御,⑤アプリケーションごとの独立性の確保,
⑥外部から情報の読み取り又は解析ができない仕組みの確保(耐タンパー性),⑦
券面の偽造等の防止,⑧国際標準化機構及び国際電気標準会議(以下「ISO等」
という。)の規格第15408の認証及び同規格による評価を受けたカードを利用
することなどの対策を講ずることが可能となり,高いセキュリティが確保されてい
る。
c 管理・運用面のセキュリティ対策
発行前の住基カードの適正管理,適切な交付,発行委託の制限,発
行した住基カードの適正管理等を行っている。
(カ) 長野県侵入実験の結果について
原告らは,長野県侵入実験の結果が示すように,住基ネットのセキュ
リティ対策が無力であることが実証されていると主張する。
しかし,長野県侵入実験は極めて特異な条件の下で行われた上,同実
験では,庁内外の端末からセキュリティ対策の不備を突いて庁内LANへ不正に侵
入できることは明らかになっておらず,また,ファイアウォールに対する攻略は成
功していない。そのほか,既存住基サーバ内のデータが万一書き換えられたとして
も,その情報は,自動的にCSに送信されるのではなく,別途送信する必要があ
る。
これらの事情に照らすと,①全国の市町村のいずれかのCSが乗っ取
られて踏み台となり,住基ネット網を介して,他の市町村のCSや都道府県サーバ
及び全国サーバ内にある本人確認情報が漏えいする危険,②全国の市町村にあるい
ずれかのCSに直接不正侵入されることによって,当該市町村の住民の本人確認情
報が閲覧,改ざん等される危険,又は③全国の市町村にあるいずれかの既存住基サ
ーバに不正侵入されて個人情報が書き換えられ,その情報が住基ネットを通じて送
信される危険などは,長野県侵入実験によりその存在が判明したとはいえない。
したがって,長野県侵入実験により住基ネットのセキュリティ対策が
無力であることが実証された旨の原告らの主張は,根拠を欠いた憶測にすぎず,か
えって,外部のインターネットから庁内LANへの侵入及び庁内LANからCSセ
グメント(市町村設置ファイアウォールと指定情報処理機関ファイアウォールによ
り通信制御されたCSが設置されるエリア)への侵入にことごとく失敗したことか
ら,住基ネット本体の本人確認情報に対する危険性がないことが明らかになった。
ウ 名古屋市における独自のセキュリティ対策
名古屋市は,セキュリティ基準に基づく住基ネットのセキュリティ対策
のほか,以下に述べるようなセキュリティ基準以上の名古屋市独自のセキュリティ
対策を講じており,かつ,十分な個人情報の保護措置がとられているかについて,
名古屋市個人情報保護審議会のチェックを受けている。
(ア) 制度面での対策
名古屋市は,住基ネットの運用に当たり,セキュリティを確保するた
めの組織・体制について規定した「名古屋市住民基本台帳ネットワークシステムセ
キュリティ組織要綱」,住基ネットに係るアクセス管理,情報資産管理,本人確認
情報管理,住基カード管理について規定した「名古屋市住民基本台帳ネットワーク
システム管理要綱」及びサーバ等の障害により市民サービスが停止する場合や不正
行為による脅威の可能性が高い場合等の緊急時の対応について規定した「名古屋市
住民基本台帳ネットワークシステム緊急時対応計画書」をそれぞれ策定し,住基ネ
ットのセキュリティの確保に努めている。
この「名古屋市住民基本台帳ネットワークシステム緊急時対応計画
書」においては,住基ネットのセキュリティを侵犯する不正行為又は障害が発生
し,それにより個人情報の保護が図れないと判断された場合には,名古屋市の判断
で住基ネットとの切断を行うこととしている。
また,住基ネットの第2次稼働が平成15年8月25日に開始するこ
とや,名古屋市独自の事務においても個人情報の電子計算機処理が急速に進んでい
る状況を踏まえ,個人情報の保護をより推進するため,同月22日,名古屋市個人
情報保護条例(平成8年名古屋市条例第28号)の一部を改正し,職員や委託業務
の従事者が個人情報を不正に取り扱った場合の罰則(1年以下の懲役又は50万円
以下の罰金)を設けるなど,職員による不正行為の防止を図っている。
(イ) 外部からの侵入防止対策
a CSに対する不正な通信の遮断及び監視
名古屋市では,住基ネット上の本人確認情報を既存住基システムで
行われた異動処理に連携して即時に更新するため,住基ネットを既設ネットワーク
に接続しているが,既設ネットワークとCSとの間には市町村設置ファイアウォー
ルを設け,既設ネットワーク側からの不正な通信を遮断する設定となっている。ま
た,既設ネットワークと市町村設置ファイアウォールの間には,住基ネットに必要
なデータのみを蓄積した中間サーバを設置するとともに,当該中間サーバと既設ネ
ットワークの間にもファイアウォールを設置し,セキュリティ基準に定められた以
上の措置を講じている。
なお,ファイアウォールについては,毎日定期的にログの内容を確
認し,不正な通信が行われていないかを監視している。
b インターネットとの接続に係るセキュリティ対策
セキュリティ基準では,住基ネットと接続する既設ネットワークが
インターネットに接続する場合については,「既設ネットワークの管理責任者は,
既設ネットワークを外部ネットワークに接続するための手続,方法等を定め,接続
及び運用に関する業務を総括的に管理すること」及び「既設ネットワークと外部の
ネットワークを接続する場合は,既設ネットワークと外部のネットワークとの間に
ファイアウォールを設置し,厳重な通信制御を行うこと」の二つの事項が規定され
ている。
このうち,前者については,「名古屋市行政情報ネットワーク運用
管理要領」及び「名古屋市インターネット接続運用管理要領」を定め,総務局企画
部情報化推進課長をネットワーク管理者として,行政情報ネットワークの運用管理
を総括させている。また,後者については,行政情報ネットワークとインターネッ
トとの間にファイアウォールを設置し,厳重な通信制御を行っている。
名古屋市は,さらに独自に上乗せした対策を行っている。まず第1
は,ファイアウォールには,別途設置されているウィルスチェックサーバと連携し
て,ファイアウォールを通過する通信について,ゲートウエイ型のウィルスチェッ
クを行わせており,発見したウィルスを駆除若しくはファイルごと削除を行ってい
る。当然ながら,ウィルスのパターンファイルは,継続的に最新のものに更新させ
ている。第2は,インターネットとの接続点周辺に,侵入検知装置を設置し,名古
屋市行政情報ネットワーク(との接続点のファイアウォール)に入ろうと試みる通
信を監視している。
(ウ) システム監査の実施
名古屋市では,専門的知識を有する監査法人に委託し,平成15年2
月,住基ネットのセキュリティ対策について独自にシステム監査を実施した。この
監査では,住基ネットに係るセキュリティ管理体制等の整備状況及び技術面の妥当
性について,関連資料の閲覧,ヒアリング,観察等の方法により検証が行われた結
果,42項目について改善の必要があるとの指摘を受けたため,速やかに所要の措
置を講じた。さらに,同年5月に改めて改善の状況について監査法人による監査を
行い,改善が進んでいることの確認を受けている。
また,名古屋市は,地方自治法252条の19第1項に規定する指定
都市であるため,区役所及び支所において本人確認情報を扱う事務を行う(法38
条)ことから,住基ネット第2次稼働後の平成16年2月から3月にかけて,区役
所及び支所21か所において監査法人による監査を実施した。その結果,緊急かつ
重大なセキュリティ上の問題はなく,よりセキュリティを高めるために検討の必要
性があるとされた23項目についても,速やかに所要の措置が講じられた。
(エ) 名古屋市情報あんしん条例の制定
名古屋市では,住基ネットの第2次稼働に際して,名古屋市個人情報
保護条例を改正し,個人情報保護が適切に行われるよう取り組んできたが,平成1
6年4月,名古屋市が保有する情報の保護及び管理に関して,基本的な仕組みを定
めた名古屋市情報あんしん条例(平成16年名古屋市条例第41号)を施行した。
これによれば,市長,行政委員会等の実施機関は,名古屋市の保有する情報システ
ム及びネットワークに関して,人的,物理的及び技術的に情報保護対策を講ずるこ
とが義務付けられるほか,自己点検,システム監査を実施することが求められてい
る。
エ 小括
以上のとおり,住基ネット及び住基カードについては,高度かつ十分な
セキュリティ対策がとられており,個人情報の漏えいのおそれはない。したがっ
て,住基カードの交付は,法36条の2及び改正法附則1条2項に反するものでは
なく,そのための公金の支出が違法となることはないから,原告らの主張は根拠が
ない。
(4) 争点(4)(住基ネットはほとんど効用がないから,住基カードの発行に公
金を支出することは,最少経費・最大効果を定めた地方自治法2条14項及び地方
財政法4条1項に違反するか)について
(原告らの主張)
地方自治法2条14項は,最少経費・最大効果の公金支出を義務付けてお
り,地方財政法4条1項も,目的達成のための必要最少限度の経費支出を義務付け
ているところ,これらの規定は,単なる訓示規定ではなく,地方自治体に対する法
的義務を課したものである。そして,国が行うべき事業を自治事務の名の下に地方
公共団体に責任と費用負担を押しつけることは,地方公共団体の自主性・自律性の
尊重を定めた地方財政法2条2項や地方自治法1条の2第2項の精神に反するとい
うべきである。
ア 住基ネット及び住基カードの効用は経費に見合わないものであること
住基ネットの立ち上げ費用は全国で804億9400万円であり,今後
その維持費用として毎年190億3600万円を要するとされている。このような
巨額の費用に比べ,住基ネット及び住基カードにはほとんど効用がない。このこと
は,住基カードの発行枚数が全国で36万1420枚(人口比0.3パーセント。
ただし,交付開始後1年経過時点),名古屋市で5329枚(同0.2パーセン
ト。ただし,平成16年8月末時点)にとどまっており,総務省が当面予想してい
た同3パーセントと比較して実に33分の1でしかないことからも明らかである。
このように,住基ネット及び住基カードは費用対効果の観点を全く欠くものであ
る。
イ 住基ネット及び住基カードには効用が乏しいこと
(ア) 住民票の写しの広域交付について
被告は,交通・通信手段の発達により住民票写しの広域交付の要請が
高まっているところ,住民票登録地以外の地域からでも住民票の写しの交付を受け
られることが住基ネットのメリットであると主張する。
しかし,①そもそも,住民票の写しの広域交付を請求することは,一
生の間にほとんどないこと,②住基カードを保有しなくても,運転免許証,パスポ
ート,顔写真付きの住民カードなどにより本人確認を受ければ住民票の写しの広域
交付を受けられること,③現在でも,郵送によって(数日間の日数はかかるもの
の)同様の便益を受けることができることなどに照らすと,立ち上げ費用と維持費
用を合わせて1000億円近い経費のかかる住基ネットのメリットとしては薄弱で
ある。
(イ) 転入転出特例について
被告は,住基カードを保有する者は転入転出特例を受けることがで
き,郵送によっては同様の効果が得られない旨主張する。
しかし,住基ネット及び住基カードがなくとも,今まで居住していた
市町村に対し,「転出証明書郵送交付申請書」を郵送し,返信用封筒と切手を同封
すれば,(数日間の日数はかかるものの)転出証明書の交付を受けることができ,
それを転入市町村に提出すれば足りる。すなわち,160円の切手代を負担すれ
ば,転入市町村に1回行くだけで済むことは住基カードを保有する場合と同じであ
る。逆に,住基カードを利用する場合には,①まず住基カード交付申請と住基カー
ドの受領をするために住民票登録地の市町村に出向く必要があり,②住基カードの
交付を受けるため手数料(通常500円)を負担し,③他の市町村への転居の際,
転出市町村に付記転出届をし(郵送の場合には切手代80円を負担する。),④転
居者が転入市町村に転入届
を提出するという手続を要するから,住基カードを使用する場合の方が手間と費用
とが余分にかかることになる(この点に対して被告は何ら反論しない。)。
しかも,住基カードは,発行する市町村から借りているにすぎないの
であって,転居をする場合には,これを返還する必要があり(法30条の44第6
項),手数料は無駄となってしまう。転入市町村で新たに住基カードの交付を受け
ようとすると,再度手数料が必要になる。
そして,実際の転居には,転出届及び転入届だけではなく,学校の転
校届その他転出地でのいろいろな手続を要するのが通例であるから,住民票の移動
の手続が簡易かどうかだけの議論は余り意味がない。
(ウ) 住民票の写し等の提出の不要化(住民の負担軽減・行政手続の簡略
化)について
また,被告は,住民は住民票の写し,年金受給のための現況届,身上
報告書等の提出の負担が解消されると主張する。しかし,住民票の写しの提出だけ
が省略されたところで,住民の負担はほとんど減らない(例えば,パスポートの申
請手続では,他にも戸籍謄本や写真,ハガキ等の提出が必要である)。また,現況
届は年金の受給者にとって問題となるにすぎないから,何故に生まれたばかりの赤
ちゃんや年金の受給資格のない者を含めた全国民に対して住民票コードを付さなけ
ればならないのかが説明されていない。
(エ) 公的個人認証のサービスについて
被告は,利用者署名符号及びこれに対応する利用者署名検証符号を住
基カードに記録することにより,公的個人認証サービスを受けることができるか
ら,住基ネット及び住基カードは電子政府・電子自治体を実現するための基盤とな
ると主張する。
確かに,電子政府等の実現のためには,インターネットを利用すると
きの本人確認(いわゆる「なりすまし」の排除)が必要である。
しかし,電子申請を希望する国民は全体の数パーセント程度にとどま
る上,電子申請のために必要となる電子署名の認証は民間(例えば,日本認証サー
ビス)によるものでも構わないとされている(ちなみに,外国人や法人は,公的個
人認証を受ける余地はない。)から,住基カードが電子政府・電子自治体の実現の
ために必要であるとはいえない。
(オ) その他
そのほか,被告は,①市町村が条例で定める多目的利用に使うことが
できる,②本人確認が迅速にできる,③公的な身分証明書としても使うことができ
るなどと主張する。
しかしながら,①については,可能性を挙げているだけであって,現
在,全国3200余の市町村のうち室蘭市,水沢市,福光町,志雄町,福井市,掛
川市,知多市,日南町,新見市,大牟田市,宮崎市の11市町が条例を定めている
にすぎない。また,名古屋市については,偽造,個人情報保護の観点から多目的利
用をしていない。
そして,②については,その必要性はなく,③については,ICを格
納した高価な住基カードでなくとも,これまでの多くの市町村が発行する硬質紙な
いしプラスチック製の身分証明書で足りる。
ウ 電子政府の実現と住基ネットとの関係について
被告は,電子政府・電子自治体の実現のためには公的個人認証が必要で
あり,公的個人認証のためには住基ネットが必要であると主張する。
しかし,もともと電子政府・電子自治体の実現の構想と住基ネットが結
びついていないことは,住基法改正法の成立時期が平成11年であるにもかかわら
ず,被告が「住基ネットが平成12年ころから電子政府・電子自治体の実現のため
の必要不可欠な制度として位置づけられた」と述べていることからも明らかであ
り,電子政府・電子自治体の実現の要請と住基ネットの必要性を強引に結びつける
被告の主張は誤りである。
エ 小括
以上のとおり,住基ネット及び住基カードにはほとんど効用がなく,住
基ネットの導入及び住基カードは費用対効果の観点を全く欠くものである。したが
って,多額の予算をかけて住基カードを購入すること自体が最少経費・最大効果を
定める地方自治法2条14項及び地方財政法4条1項に違反するのであって,本件
公金支出等は違法である。
(被告の主張)
原告らの主張は争う。
ア 地方自治法2条14項,地方財政法4条1項の趣旨
地方公共団体は,その事務を処理するに当たり,住民の福祉を増進する
ことが第一義的な目的であり,その実現に努めなければならないのはもとより,住
民の責任とその負担によって地方自治が運営されるものである以上,常に効率的に
処理されなければならず,最少の経費で最大の効果を挙げることが要請されてい
る。地方自治法2条14項は,かかる基本原則を規定し,地方財政法4条1項は,
かかる基本原則を予算執行の立場から簡潔に表現したものである。
もっとも,地方自治法2条14項は,「……ようにしなければならな
い」との文言からも明らかなように,純粋な訓示規定にとどまり,個々の支出行為
を違法ならしめるものではないと考えられるから,違法事由としては地方財政法4
条1項違反の有無を問題とすれば足りる。
イ 地方財政法4条1項違反の判断基準
ところで,予算の執行において,事務の目的を達成するために何をもっ
て必要かつ最少の限度というべきかは,当該事務の目的,当該経費の額のみなら
ず,予算執行時における経済状態,国民の消費及び生活の水準等の諸事情の下にお
いて,社会通念に従って決定されるべきものであるから,予算の執行権限を有する
財務会計機関の社会的,政策的又は経済的見地からする裁量にゆだねられていると
解すべきである。
したがって,当該具体的な支出の違法性の有無については,諸事情を上
記各見地から総合的に判断し,当該公金支出が社会通念上著しく妥当性を欠き,裁
量権の濫用に当たると認められる場合に限って違法となると解するのが相当であ
る。
ウ 本件公金支出の適法性
以下の各点に照らせば,住基カードの発行に係る本件公金支出は,当該
事務の円滑な遂行という目的達成のために必要不可欠な行為であって,そのための
支出金額も妥当といえる金額であるから,P1市長の行為が上記の「社会通念上著
しく妥当性を欠き,裁量権の濫用に当たる」と認められる余地は全くなく,住基カ
ードの交付に係る支出が,地方財政法4条1項等に違反するものでないことは明白
である。
(ア) 市町村長は,法30条の44第3項に基づき住基カードを発行する
事務を行わなければならない。なお,住基ネット及び住基カードが,憲法13条や
法36条の2及び改正法附則1条2項に抵触するものでないことは,既述のとおり
である。
(イ) 被告は,当初,名古屋市の人口の約2パーセントに当たる4万枚の
住基カードの調達を予定し,平成15年度一般会計補正予算において,その購入経
費として4200万円(原盤1枚当たり1050円)を計上した。そして,P1市
長は,平成15年7月22日,原盤カード2万枚を合計945万円で購入する契約
を業者との間で締結し,平成16年1月22日,同金額を支出した。
また,住基カードの交付には,原盤カードに住民の氏名等を印刷する
ための住基カード発行機が必要となるところ,被告は,そのリース料として,平成
15年度一般会計予算に約2851万6000円を計上した。そして,P1市長
は,平成15年度において,住基カード発行機23台のリース代金1931万52
54円を支出した。
これらの金額は,業者数名による一般競争入札を行い,最低価格(住
基カード原盤については1枚当たり472円50銭)で申し込んだ業者との間で締
結された契約に基づくものであって,公正な手続により確定したものである。
(ウ) また,被告は,平成16年度一般会計予算において,1万枚の原盤
カードの調達経費630万円及び住基カード発行機23台のリース料約2812万
5000円を計上した。
予算の執行は,計上した予算の範囲内でしか支出できないところ,平
成16年度も原盤カードが前年度の1枚当たり472.5円で落札されるとは限ら
ないから,630万円を予算に計上したものである。
エ 住基ネット及び住基カードの効用
住基ネット及び住基カードは,下記のとおり,行政サービスの向上及び
行政事務の効率化に大きく寄与し,電子政府・電子自治体実現のために必要である
から,この点からも,住基カードの発行に関する支出は,「目的を達成するための
必要且つ最少の限度」を超えるものでないことは明らかであり,本件公金支出が地
方自治法2条14項及び地方財政法4条1項に違反するとはいえない。
(ア) 住基ネットの導入の経緯及び目的
高度に情報化された現代社会において,既に民間部門では,コンピュ
ータ・ネットワークシステムが構築,活用されており,顧客サービスの向上及び業
務の効率化が積極的に進められてきている。このような中にあって,行政も,全国
的な広がりをもった住民の移動や交流という実態に合わせて,行政サービスを的確
かつ効率的に提供していく必要性があり,また,高齢者や被災者等の弱者に対する
配慮の行き届いた社会を構築するためのセーフティネットも必要である。
そのためには,市町村や都道府県の区域を越えた本人確認システムが
不可欠であり,行政部門においても,民間部門と同様に,情報通信技術を的確に活
用することが必要不可欠といえる。
ところで,住民基本台帳の全国的な電算化が進んでいたことから,こ
れをネットワークで接続すれば,全国的な本人確認システムが安価に構築できる
し,住民にとっては面倒な行政手続が簡略化され,行政職員の削減も可能となる。
まさに住基ネットは,このような発想から生まれたシステムであっ
て,その目的は,行政サービスの向上と行政事務の効率化である。
(イ) 電子政府・電子自治体実現のための住基ネットの必要性
住基ネットは,平成12年ころから,「電子政府・電子自治体」の実
現のための必要不可欠な制度であるとの位置づけがされることとなった。すなわ
ち,我が国は,電子政府戦略の点で諸外国よりも遅れていたため,ITを基盤とし
たBPR(ビジネス・プロセス・リエンジニアリング)を実行しなければ諸外国と
の競争に負けるなどの強い危機感の下,平成12年7月7日,内閣総理大臣を本部
長とするIT戦略本部とP3氏を議長とするIT戦略会議が設置された。IT戦略
本部とIT戦略会議の合同会議は,同年11月27日,「5年以内に世界最先端の
IT国家となる」ことを目標とする「IT基本戦略」を立案し,これに対応して,
国会も,高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に推
進することを目的とする「
高度情報通信ネットワーク社会形成基本法(IT基本法)」を制定した。さらに,
平成13年1月22日,「IT基本戦略」を衣替えした「e-Japan戦略」が
決定,発表され,その後,IT基本法35条に基づいて策定された「e-Japa
n重点計画」が発表された。その中で,平成15年度を目標として,その前提条件
となる社会環境を構築するために電子政府の実現を推進することとなった。すなわ
ち,平成15年度には,「原則として24時間,自宅やオフィスからインターネッ
トを利用して実質的にすべての行政情報の閲覧,申請・届出等の手続,手数料納
付・政府調達手続が可能」となるような社会を目指すこととされ,その後,政府
は,行うべき施策を定めた各種計画を次々と策定し,着実に実行してきた。
このような電子政府・電子自治体の基盤となる不可欠なシステムが,
ネットワーク社会における本人確認手段としての住基ネットである。すなわち,住
基ネットの導入によって,①広範な行政事務において,住民負担の軽減と行政事務
の効率化及び正確性の向上を実現し(下記(ウ)c),②行政手続のインターネット
申請を実現し(下記(ウ)d),さらに,③市町村のネットワーク化による住民基本
台帳事務の簡素化及び広域化を実現することができる(下記(ウ)a・b)のであ
り,もって,我が国社会の発展に寄与するものである。
(ウ) 具体的効用
a 住民票の写しの広域交付
住基カードは,住民票の写しの広域交付を受ける場合の本人確認資
料として利用でき(法12条の2第1項),当該請求を受けた交付地市町村長は,
住所地市町村長に対して,請求があった旨を通知し,住所地市町村長は,交付地市
町村長に対して,必要事項を通知して,交付地市町村長が請求に係る住民票写しを
作成,交付する(同条の2第2項ないし4項)。そして,上記各通知は,規則の定
めるところにより,電気通信回線を通じて,電子計算機から相手方の電子計算機に
送信する方法により行う(同条の2第5項)。
この点につき,原告らは,①運転免許証等を提示すれば住基カード
を必要としないこと,②現在でも,郵送によって同様の便宜を受けることができる
こと,③住民票登録地以外からの住民票の写しの申請が一生の間にほとんどないこ
となどを理由に,住基ネットのメリットはない旨主張する。
しかし,①の点については,運転免許証等を有しない者にとって
は,住基カードは広域交付のために必須のものである。また,運転免許証等を有す
る者にとっても,住基カードによる広域交付も可能とする点で,利便性を高めるも
のである。②の点については,郵送による住民票の取得は可能であるが,住民票の
広域交付に比較して日数を要する。③の点については,住民票の写しの交付は膨大
な枚数に上っており,また,交通や通信手段のめざましい発達により,住民の生活
圏や行動範囲は飛躍的に増大し,市町村や都道府県の圏域を越えた住民の交流や移
動が一般化している中で,広域交付の要請は高まっていることを考慮すると,住民
票登録地以外からの住民票の写しの交付のニーズは十分にあるというべきである。
b 転入転出特例(住民の転入・転出事務の簡素化)
法24条の2によれば,住基カードの交付を受けている者があらか
じめ郵送等により付記転出届を行い,転出地市町村長が当該付記転出届に基づいて
転出の処理を行い,その後,転入地市町村長において付記転入の処理を行うことに
より,転出証明書情報が転入地市町村長に送信されることから,転入に際して転出
証明書の添付が不要となり,他の市町村への転居の手続で窓口に行くのが転入時の
1回だけとなる。
この点についても,原告らは,①郵送による転出届の提出及び転出
証明書の取得によって,同様の便宜を得ることができること,②実際の転居では,
転出届及び転入届だけではなく,学校の転校届その他転出地でのいろいろな手続が
必要であり,住民票の移動の手続が簡易か否かどうかだけの議論は余り意味がない
旨主張する。
しかしながら,これまでの郵送による転出届は,急に住所を移動す
ることが決定し,旧住所地で届出を行う時間的余裕がない場合等にのみ認められる
例外的なものであり,また,この方法では,転出証明書が本人あてに送付されるま
での間は転入手続を行うことができないし,返送料を負担しなければならないな
ど,住民にとって必ずしも簡便な手続であるとはいい難く,市町村にとっても,郵
送による転出届を受けて転出証明書をその住民の住所地に郵送する手続があったこ
とから,事務処理上の負担が大きく,不便な手続であったというほかない。次に,
②の点については,学校の転校届のために市町村役場に赴くことを要するものでは
ないし,その他の所要の手続についても住民が郵送により行うことができるから,
原告らの主張は妥当ではな
い。
c 住民票の写し等の提出の不要化(住民の負担軽減・行政手続の簡略
化)
住民基本台帳は,市町村ごとに設けられているから,他の市町村,
都道府県及び国の機関等は,従来より,当該市町村の住民に関する氏名,住所等の
情報を必要とする場合には,住民に対して,事務ごとに住民票の写しの添付等の負
担を課していた。そのため,平成14年度において約8500万枚という膨大な枚
数の住民票写しが提出されていた。
そこで,住民の負担軽減,行政の効率化及び事務の正確性の向上を
図るため,法30条の6,同条の7,同条の8,同条の10の各規定により,一定
の場合に本人確認情報の提供ができることになった。すなわち,住民は,パスポー
ト申請の際の住民票の写し,年金受給者の提出すべき現況届,身上報告書,恩給受
給者の提出する受給権調査申立書に必要な市町村長の証明印等の提出の負担が解消
され,あるいは解消が予定され,行政側としても,事務効率の向上や,事務の正確
性の向上が実現することになる。その他,国の機関等による本人確認情報の利用ス
ケジュール及び利用法の概要は,別紙4のとおりである。
d 公的個人認証サービスに住基ネットが寄与すること
さらに,電子署名に係る地方公共団体の認証業務に関する法律(平
成14年法律第153号)が施行されると,同法3条4項の規定により,電子証明
書を住基カードに記録することができるようになり,これにより公的個人認証サー
ビスを受けることができるようになる。
これは,行政手続のインターネット申請の基盤となるものであり,
平成14年12月6日に成立した上記法律を含む行政手続オンライン化関係3法
(他の2法は,「行政手続等における情報通信の技術の利用に関する法律」と「行
政手続等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備
等に関する法律」である。)によって,国民と行政機関との間の申請・届出等の手
続約2万1000と行政機関相互の間の手続約3万1000の合計5万2000の
手続がオンライン化されることとなった。
e その他
さらに,住基カードは,①市町村が条例で定めることにより,多目
的カードとして活用でき,②カードに格納された住民票コードにより,本人確認が
スピーディかつ確実に行うことができるなど,電子政府・電子自治体において,キ
ーデバイスとしての役割を果たし,しかも,③公的な身分証明書としても活用でき
る。
第3 当裁判所の判断
1 主張・立証責任の所在について
本訴は,地方自治法242条の2第1項1号に基づく差止請求と同項4号に
基づく損害賠償等請求(ただし,平成14年法律第4号による改正後のもの)を内
容としているところ,後者については,当該地方公共団体が,請求の相手方とされ
た者に対して,実体上の損害賠償請求権ないし不当利得返還請求権を有しているこ
とが前提となるから,その発生原因事実について,原告側が主張・立証責任を負う
というべきである。また,前者についても,住民訴訟が,自己の有する権利・利益
と関わりなく,住民たる資格において,地方公共団体の違法な財務会計行為を是正
し,もってその財政運営の健全化を図る客観訴訟であることにかんがみると,差止
めの対象たる行為が違法であることは,原告側において主張・立証すべきである。
2 争点(1)(住基ネット及び住基カードは,国民のプライバシー及び個人の尊厳
を侵害する点で憲法13条に違反するか)について
(1) 住基カードの発行に関する公金支出の違法性との関係
原告らは,住基ネットが共通番号である住民票コードを用いて国による全
国民の個人情報の一元管理を可能とするものであるから憲法13条に違反し,これ
を不可欠とする住基カードも同様である旨主張するところ,住基ネット及び住基カ
ードのいずれもが改正法に基づいて創設されたものであるから,上記主張は,住民
票コードを前提とする住基ネット本体に関する規定が憲法13条に違反して無効で
あり,したがって,これと不可分一体の住基カードに関する規定も同様に無効であ
るというものと解される。
しかるところ,被告の主張によっても,住基カードは,単体でもある程度
の有用性が存在するものの,その効用の大部分は,住基ネット本体と一体化されて
使用されることによってもたらされるものであり,また,住基カード自体にも,住
民票コード等が記録されることになっている(法30条の44)から,仮に住民票
コードを用いることが違憲の原因となるのであれば,住基カードに関する規定が違
憲として無効とされる余地はあると考えられる。
そこで,以下では,原告らの主張する憲法13条違反の点について検討を
加える。
(2) プライバシーの権利について
プライバシーの権利をどのように理解するかについては,いろいろな考え
があるが,一般には,自己に関わる情報を開示する範囲を自ら決定することのでき
る権利と構成するのが相当である(原告らも,このような内容のものとして理解し
ていることは,その主張に照らして明らかである。)。
プライバシーの権利をこのように把握するならば,憲法19条,21条1
項,同条2項後段,35条,38条などは,その一側面あるいは行使の一場面を保
障するものと理解することができるが,さらにこれらの規定によって直接保護の対
象とされない場合であっても,個人の尊厳を指導原理とする憲法13条の幸福追求
権に含まれ得るというべきである(被告も,プライバシーが憲法13条で保障され
た権利であることを積極的に争っていない。)。
もっとも,このことは,自己に関する情報であれば,そのすべてが同人の
コントロール下に置かれなければならないことを意味するものではなく,表現の自
由を定めた憲法21条1項や公務員の選定・罷免権を定めた15条1項などの反射
的効果として制約を受けることがあり得るし,また,一口に自己に関する情報とい
っても,思想・信条など個人の人格的自律に直接関わり,プライバシーのいわば中
核に位置するような情報と,かかる人格的自律には直接には関わらない客観的・外
形的事項に関する情報に大別されるところ,共同社会においては,他人と全く無関
係に存在することは不可能であるから,後者については絶対的な保護の対象となる
ものではない。したがって,当該情報の内容・性質,当該情報の利用目的,当該情
報の収集の態様などを
総合考慮して,その侵害の当否を決すべきであり,当該個人の明示的な同意を得な
い場合や当該個人の意思に反する場合であっても,当該情報の保有・提供がプライ
バシーの権利の侵害とならないこともあり得るというほかない。
この点について,原告らは,大学が,講演会に参加を申し込んだ学生の学
籍番号,氏名,住所及び電話番号の情報を本人の同意なく警察に提供した行為が不
法行為を構成すると判断した最高裁判所平成15年9月12日第二小法廷判決を援
用するが,同判決は,大学による情報提供行為が法令に基づくものでなく,当該情
報を提供することへの承諾を求めることが困難であった特別な事情もうかがわれな
い事案に関するものであるから,上記判断と抵触するものでないことが明らかであ
る。
(3) 本人確認情報等の管理とプライバシーの侵害について
以上を前提として,まず,住基ネットを通じた本人確認情報等の取得,管
理,提供,利用を定める住基法の違憲性の有無について検討する。
ア 住民基本台帳の備付けと届出
住基法によれば,市町村長は,個人を単位とする住民票を世帯ごとに編
成して,住民基本台帳を作成しなければならない(法6条1項)ところ,住民票に
は,①氏名,②出生の年月日,③性別,④世帯主ないし世帯主との続柄,⑤戸籍の
表示,⑥住民となった年月日,⑦住所及び同一市町村内で住所を変更した場合はそ
の住所を定めた年月日,⑧新たに市町村内で住所を定めた場合の届出年月日及び従
前の住所,⑨選挙人名簿登載の事実,⑩国民健康保険の被保険者の資格に関する事
項,⑪介護保険の被保険者の資格に関する事項,⑫国民年金の被保険者の資格に関
する事項,⑬児童手当の受給資格に関する事項,⑭米穀の配給に関する事項,⑭住
民票コード,⑮その他政令で定める事項が記載される(法7条)。
また,住民は,当該市町村に転入した場合には,①氏名,②住所,③転
入の年月日,④従前の住所,⑤世帯主ないし世帯主との続柄,⑥転入前の住民票コ
ード等を,同一市町村内で転居した場合には,上記①ないし⑤を,他の市町村に転
出する場合には,①氏名,②転出先,③転出予定年月日を,それぞれ市町村長に届
け出なければならず(法22条ないし24条),世帯又は世帯主に変更があった場
合も同様に届け出なければならず(法25条),また,国民健康保険の被保険者等
である場合は,当該届出に付記するとされ(法28条,同条の2,29条,同条の
2,30条),この場合に,虚偽の内容を届け出た者(上記の付記を含む。)や正
当な理由なく届出をしなかった者は,5万円以下の過料に処せられる(法51
条)。
このように,住基法は,住基ネットの創設以前から,住民に対して本人
確認情報等の届出を強制し,市町村長がこれを基に住民票を編成して住民基本台帳
を作成すべきことを定めている。
イ 本人確認情報の内容及び性質
ところで,住基ネットによって都道府県知事及び指定情報処理機関がそ
れぞれ取得し,国,行政機関,都道府県,市町村に提供する個人情報は,転入転出
特例の場合を除き,①氏名,②生年月日,③性別,④住所に住民票コード(及びこ
れらの変更情報)を加えた本人確認情報に限られる(法30条の5,同条の11)
ところ,これらの各情報は,個人の人格的自律に直接関わらない客観的・外形的事
項に関するものにとどまり,思想・信条など個人の道徳的自律に関するものでない
ことは明らかであるから,秘匿の必要性が必ずしも高くないと考えられる。このこ
とは,立法論としての批判があることはともかくとして,不当な目的に基づくもの
でない限り,何人でも住民基本台帳を閲覧することができ,かつ,住民票の写しを
取得できるとされてい
る(法11条1項,12条2項)ことからも裏付けられる。
そうすると,住基ネットを通じて取得,保存,提供される本人確認情報
については,必ずしも秘匿の必要が高度なものであるとはいえない。
ウ 本人確認情報の利用目的
住基法は,「……住民の居住関係の公証,選挙人名簿の登録その他の住
民に関する事務の処理の基礎とするとともに住民の住所に関する届出等の簡素化を
図り,あわせて住民に関する記録の適正な管理を図るため,住民に関する記録を正
確かつ統一的に行う住民基本台帳の制度を定め,もつて住民の利便を増進するとと
もに,国及び地方公共団体の行政の合理化に資することを目的」とするものであり
(法1条),このことは,住民票に記載される情報が,本人確認情報のほかは一定
の行政事務に関する事項であることからも明らかである。
そして,住基ネットを通じて提供される本人確認情報は,法別表第1な
いし第5所定の行政事務や条例で特に定めた事務等を処理するために用いられると
されており(法30条の7,同条の8),それ以外の利用及び提供は禁止されてい
る(法30条の30,同条の34)から,その利用目的は正当なものというべきで
ある。
エ 本人確認情報の取得の態様
前記のとおり,市町村長は,個人を単位とする住民票を世帯ごとに編成
して住民基本台帳を作成しなければならないところ,その基礎となる情報は,基本
的には住民の届出によって取得される。
もっとも,市町村長は,定期的あるいは必要があるときは,そこに記載
された事項を調査するものとされており(法34条),その結果,住民基本台帳等
に脱漏,誤載があった場合には,届出義務者に対する届出の催告その他住民基本台
帳の正確な記録を確保するための措置を講ずるとされている(法14条1項)とこ
ろ,届出の催告以外の方法を取る場合でも,これに準ずる相当な手段によるべきこ
とは当然というべきである。
そうすると,市町村長による本人確認情報の取得の態様は,社会通念に
照らしても,是認できるものというべきである。
以上の検討によれば,本人確認情報は,絶対的な秘匿の対象となるもので
はなく,国や地方公共団体による利用目的も正当なものであって,その取得の態様
も社会通念上相当であると認めることができるから,住基ネットを通じた本人確認
情報の管理,利用自体がプライバシーの侵害として憲法13条に違反するとはいえ
ない(なお,転入転出特例の場合には,本人確認情報のほかに,転出前の住所,転
出先及び転出の予定年月日,国民健康保険の被保険者である旨の情報等が,転出地
市町村長から転入地市町村長に対して通知されるが,前記前提事実等(2)サ記載のと
おり,これらの情報は,都道府県サーバ及び全国サーバを経由することなく論理的
専用回線で構築された住基ネットによって直接通知されるのであり,また,これら
の情報は,転入地市町
村長が当該転入に係る住民票の作成に当たって必要な情報であることが明らかであ
るから,上記判断の妨げとなるものではない。)。
(4) 住民票コードによる一元的な情報管理の可能性について
ところで,原告らは,住基ネットは,個々の国民に対して住民票コードと
いう共通番号を付し,これをマスターキーとして利用して「名寄せ」を行うことに
より,国民の個人情報を一元的に管理,支配することを可能としており,憲法13
条に違反する旨主張する。
原告らのいう「一元的な情報管理」がどのような状態をいうのかは必ずし
も明白ではないものの,その主張に照らせば,ある行政機関が特定の国民の個人情
報を知りたいと考えたときに,コンピュータで住民票コードを入力して検索するこ
とにより,当該行政機関とネットワークで結ばれているあらゆる行政機関が保有す
る情報を直ちに入手することができる状態を指すと考えられる。
なるほど,かかる状態が実現したならば,行政機関は,その担当する事務
内容とは無関係に国民の個人情報を入手,利用できることになり,特にその収集す
る情報が,政治的意見や宗教的信条等にわたるときは,国家の国民個人に対する強
度の監視社会を成立せしめることになりかねず,そのような事態は,個人の自律と
尊厳を基本原理とする憲法13条に違反するとの疑いを否定することはできない。
しかしながら,前記のとおり,住基ネットの対象となる情報は原則として
本人識別情報に限定され,かつこれを提供,利用できる事務は法定されて,それ以
外の提供,利用が禁止されている(行政機関個人情報保護法8条2項は,この例外
を認めるものではない。)上,国や地方公共団体の執行機関は,住基法の規定する
事務の遂行のため必要がある場合を除いては,何人に対しても,住民票コードを告
知することを求めてはならないとされていること(法30条の42)などに照らせ
ば,住基法自体は,上記のような違憲の疑いのある事態を否定し,禁止しているこ
とが明らかであるから,技術的な見地からは,住基ネットが上記のような事態を可
能ならしめる基盤としての意味を持ち得るとしても,そのような可能性が存在する
だけでは,住基ネット
が憲法13条に違反するとはいえず,したがって,住基カードについても同様とい
うべきである。
(5) 小括
以上のとおり,住民票コードを前提とする住基ネット本体に関する規定
や,これと不可分一体の住基カードに関する規定が憲法13条に反する無効なもの
ということはできず,原告らの前記主張は採用できない。
3 争点(2)(法36条の2及び改正法附則1条2項所定の措置を講ずることが,
改正法の施行条件であるか)について
原告らは,法36条の2及び改正法附則1条2項は法30条の44を含む改
正法の施行条件であるところ,本件公金支出時はもちろん現在においても,これが
満たされていない旨主張する。
しかしながら,法36条の2第1項は,「市町村長は,住民基本台帳……に
関する事務の処理に当たっては,住民票……に記載されている事項の漏えい,滅失
及びき損の防止その他の住民票……に記載されている事項の適切な管理のために必
要な措置を講じなければならない。」と規定している(同条2項は,これを事務の
委託を受けた者に準用している。)ところ,その置かれた位置(住基ネットに関す
る第4章の2中ではなく,これに続く第5章雑則中に置かれている。)や,住基ネ
ットの運用については,市町村長のみならず,総務大臣,指定情報処理機関及び都
道府県知事らが関与するにもかかわらず,同項の主語が市町村長(2項は事務受託
者)のみであることをも考慮すると,同項は,文言どおり,市町村長が,住民票記
載事項の漏えい等を抑
止すべく適切な管理を行うべき義務を負うことを定めるものにすぎず,かかる義務
を履行したことが,住基ネット及び住基カードの関係規定の施行条件になっている
と解する余地はない。
また,改正法附則1条2項は,「この法律の施行に当たっては,政府は,個
人情報の保護に万全を期するため,速やかに,所要の措置を講ずるものとする。」
と規定しているところ,「この法律の施行に当たっては」とあって,施行条件であ
ることをうかがわせる「この法律を施行するためには」との表現になっていないこ
と,条件であるならば,その内容が一義的に明確でなければならないにもかかわら
ず,「所要の措置」と抽象的な表現が採用されていること,さらに,1項本文にお
いて「この法律は,公布の日から起算して3年を超えない範囲内において政令で定
める日から施行する。」と規定されており,2項の措置を講ずることが施行条件と
なっているのであれば,矛盾する内容となっていることなどに照らせば,同項は,
政府に対して,各議院
における附帯決議よりも重い政治的責務を負わせる内容のものにすぎず,改正法の
施行条件を定めたものと解する余地はないといわざるを得ない。
したがって,原告らの上記主張は採用できない。
4 争点(3)(住基ネット及び住基カードには,個人情報の漏えいの危険性がある
点で,法36条の2及び改正法附則1条2項に違反するか)について
(1) 個人情報の漏えいの危険性と本件公金支出の違法性との関係について
原告らは,①住基ネット全般,②名古屋市の住基ネット接続方法等,③住
基カードのいずれにおいても,情報漏えいを防止する対策が不十分であり,法36
条の2や改正法附則1条2項に違反していると主張する。
ところで,住民訴訟における違法性とは,当該財務会計行為自体が地方自
治法その他の法令によって定められた具体的な財務会計法規上の義務に違反するこ
とをいう(最高裁判所平成4年12月15日第三小法廷判決・民集46巻9号27
53頁)ところ,法36条の2及び改正法附則1条2項の趣旨は前記のとおりであ
り,これらが財務会計上の法規たる性質を有しないことは明らかであるから,仮に
名古屋市の設置した住基ネットが個人情報の漏えいの危険性を内包するとしても,
それだけで名古屋市長による本件公金支出が直ちに違法となるとは考え難い。まし
て,公金支出が私法上有効に成立した債務を履行するために行われたときは,当該
支出行為は違法とはいえないと解される(最高裁判所昭和62年5月19日第三小
法廷判決・民集41巻
4号687頁)ところ,原告らは,住基カード原盤購入契約や印字機械リース契約
が違法・無効であることについて何ら主張するものでないから,この観点からも,
本件支出行為が違法であるとの原告らの主張は,明確でないといわざるを得ない。
もっとも,名古屋市が発行する住基カードについては情報漏えい等の可能
性が高く,およそ住基法が予定しているものとかけ離れた性能しか有しないことが
明らかである場合には,これらの発行を目的とする契約締結行為等は,地方自治法
2条14項や地方財政法4条1項の趣旨を没却するものとして違法とされる余地が
あり,既に締結された原盤購入契約や印字機械リース契約についても,かかる事実
を契約当事者らが認識していたなどの特段の事情が存する場合には,当該契約は無
効とされる余地がないとはいえない。そして,住基カードと一体的に利用されるこ
とが予定されている住基ネット本体における情報漏えい等の可能性が高い場合に
も,以上の理が基本的には妥当すると考えられるから,このような限定的な場合に
限り,本件公金支出等が
違法となり得ると解するのが相当である。
なお,上記の情報漏えい等の可能性がどの程度存在するかについては,技
術的要素を重視するか人的要素を重視するかによって異なり得るし,前者について
も,技術開発の進展によってその水準が変化すると考えられるが,あくまでも本件
公金支出等の違法性判断の考慮要素である以上,その時点における技術水準等を前
提とし,社会通念に従って判断されるべきものと解される。
以下においては,このような観点から,住基カード及び住基ネット本体に
おける個人情報漏えい等の可能性について検討する。
(2) 住基カード自体のセキュリティ対策について
ア 住基カードの技術的基準
規則46条に基づき,住基カードのセキュリティについては,住基カー
ドセキュリティ基準が定められているところ,具体的には下記のような対策が講じ
られることになっている(乙8,47)。
(ア) 住基カード及び住基ネットアプリケーションの利用のためには,暗
証番号が必要であるところ,暗証番号は住基カードに記録された上,その照合は,
住基カード内部で行われ,暗証番号を住基カードの外部から読み取ることはできな
い(カードセキュリティ基準第2の2(1))。
(イ) 発行前の住基カードに対し,不正使用を防止するための情報を設定
する(住基カードセキュリティ基準第2の2(2))。
(ウ) 交付後の住基カードと住基ネット相互間の認証を行うための情報を
住基カードに設定し,同情報を住基カードの外部から読み取ることができないよう
にする(住基カードセキュリティ基準第2の2(3))。
(エ) 住基カードに記録された情報を保護するために,アクセス権限の制
御を行う(住基カードセキュリティ基準第2の2(4))。
(オ) 住基カードの半導体集積回路に物理的又は電気的な攻撃を加えて,
住基カードに記録された情報を取得しようとする行為に対し,情報の読み取り又は
解析を防止する(住基カードセキュリティ基準第2の2(5))。
(カ) 基本利用領域とそれぞれの条例利用領域は,住基カードの内部でそ
れぞれ独立し,割り当てられた領域以外には情報を記録し,又は記録された情報を
読み取ることができないようにされる(住基カードセキュリティ基準第2の
2(6))。
(キ) 住基カードの券面の偽造等を防止するための対策が講じられる(住
基カードセキュリティ基準第2の2(7))。
(ク) 上記(ア)ないし(キ)のセキュリティ対策を実施することを可能とす
るため,ICカードが用いられる(住基カードセキュリティ基準第2の1)。ま
た,その安全性を担保するため,住基カードは,ISO等の規格第15408の認
証を受けたもの(これに加えて,当分の間は,同規格の評価を受けて合格した設計
書に基づいて作成されたカードも許容される。)に限られる(住基カードセキュリ
ティ基準第2の3)。
イ 要約
以上の(ア)ないし(ク)によれば,住基カードのセキュリティ対策が不十
分であって,個人情報漏えい等の可能性が高いとは認められない。
ウ 原告らの主張の検討
この点について,原告らは,①住基カードは非接触型カードであり,保
有者本人が知らないうちに情報の読み取り,改ざんなどの危険性がある,②住基カ
ードに様々な個人情報が蓄積される可能性がある旨主張する。
しかしながら,①の点については,前記のとおり,住基カードについて
情報の読み取り,改ざんの危険性の防止措置が講じられているところ,これらの防
止措置が有効でないことをうかがわせる主張立証は存在しない。また,②の点につ
いては,確かに,条例利用領域内には,特に必要性が認められる場合には,利用者
番号等以外の個人情報を記録することも認められている(住基カードセキュリティ
基準第6の3(2))。しかし,様々な個人情報が蓄積されたからといって,これらが
漏えいする危険性が高いとはいえない上,そもそも,名古屋市は,セキュリティへ
の配慮の関係から条例による独自利用サービスを行っていないから,こと名古屋市
が発行する住基カードに限っていえば,そのような危険性を認める余地はない。
よって,前記判断を覆すことはできない。
(3) 住基ネット本体についてのセキュリティ対策について
ア 運用関係者らによる情報漏えい等の防止措置
(ア) 担当職員に対する教育・研修
国は,平成14年度以降毎年度,住基ネット関連のセキュリティ研修
として,市町村の住基ネット担当者を対象に,個人情報保護意識の向上及び住基ネ
ットの安全の確保等を目的としたセキュリティ研修会を実施し,今後も毎年実施す
る予定である。また,本人確認情報の提供を受ける国の機関等の担当職員向けの研
修会を,提供開始時及び適宜,実施している(乙5,弁論の全趣旨)。
(イ) 住基法の定める刑罰や監督
a 住基法による守秘義務及び同法等による処罰
住基法は,住基ネットに係る事務に従事する市町村,都道府県,指
定情報処理機関及び本人確認情報の提供を受けた国の機関等,地方公共団体の機関
等の職員に対し,本人確認情報処理事務に関して知り得た本人確認情報に関する秘
密又は本人確認情報の電子計算機処理等に関する秘密の保持義務を課し(法30条
の17第1項,同条の31第1項,同条の35第1項及び第2項),これに違反し
た者に対しては,2年以下の懲役又は100万円以下の罰金に処することとしてい
る(法42条)。
また,同法は,市町村,都道府県,指定情報処理機関及び本人確認
情報の提供を受けた国の機関等,地方公共団体の機関等の委託事業者に対しても,
同様に,その事務に関して知り得た本人確認情報に関する秘密又は本人確認情報の
電子計算機処理等に関する秘密の保持義務を課し(法30条の17第2項,同条の
31第2項,同条の35第3項),これに違反した者に対しても,2年以下の懲役
又は100万円以下の罰金を科すこととしている(法42条)。
b 指定情報処理機関に対する監督
指定情報処理機関は,役員の選任等の認可,解任命令(法30条の
16),本人確認情報管理規程の認可(同条の18),事業計画の認可等(同条の
19),監督命令(同条の22第1項),報告及び立入検査(同条の23第1
項),指定の取消し(同条の25)等を通じて総務大臣の監督に服するほか,都道
府県知事による指示(同条の22第2項),報告及び立入検査(同条の23第2
項)等の監督にも服することとされている。
(ウ) 操作者識別カードを使用した認証
本人確認情報は,CS,都道府県サーバ及び全国サーバ内に保存され
ており,端末機には存在しないから,市町村の職員が,転入届の処理等を始めとす
る住民基本台帳事務の処理に当たっては,端末機からCSにアクセスする必要があ
る。しかし,端末機からサーバにアクセスする際には,常に操作者識別カードと端
末機との間で相互認証を行わないと住基ネットアプリケーションが起動しない設計
となっている。すなわち,操作者識別カードを持たない職員等及び外部の者は,住
基ネットアプリケーションを起動すらできないし,本人確認情報データベースにア
クセスすることもできない。また,操作者識別カードの種別ごとに,住基ネットが
保有するデータ等へ接続できる範囲が制限されている(セキュリティ基準第4の
3(1),第4の4(1)ないし(
3),同(5)。乙2の1,乙5)。
(エ) 照会条件の限定
本人確認情報の検索に際して,①即時提供(端末機から照会条件を入
力し,都道府県サーバ又は全国サーバから即時に本人確認情報の提供を受ける方式
をいう。)の場合,「住民票コードの全部」,「氏名及び住所」又は「氏名及び生
年月日」のいずれかを端末機に入力しないと本人確認情報の提供を受けられない仕
組みとなっている。また,「氏名及び住所」又は「氏名及び生年月日」を入力する
場合には,前方一致検索が可能であるものの,そのためには,少なくとも「氏名の
先頭一文字及び住所全部」,「氏名全部及び住所の都道府県・市町村名を除いた先
頭一文字」,「氏名の先頭一文字及び生年月日全部」のいずれかの入力が必要であ
り,しかも,該当者が50人を超えるときは本人確認情報の提供を受けられない設
定となっている。
また,②一括提供(本人確認情報照会対象者の情報をファイル化して
都道府県サーバ又は全国サーバに照会し,これらのサーバから照会結果ファイルを
受け取る方式)の場合も,①と同様に,照会先から送られてきた「住民票コー
ド」,「氏名及び住所」,「氏名及び生年月日」等のファイルに,都道府県サーバ
又は全国サーバにおいて,本人確認情報を追記して照会元にファイルを返送するな
どの措置が講じられている(乙5)。
(オ) 住民票の写しの広域交付における不正防止
住所地市町村において,交付地市町村の特定の操作者識別カードから
一定時間当たり一定数以上の住民票の写しの広域交付要求があった場合は,システ
ム上,住民票の写しの広域交付を停止する措置が講じられている(乙5)。
(カ) アクセスログの定期的解析と調査
指定情報処理機関は,運用管理規程に基づき,定期的に全国サーバの
アクセスログの解析を行い,万一不正使用の兆候を検出した場合,緊急時対応計画
等に基づき,必要な連絡,対策等を実施する。
都道府県は,同様に,運用管理規程に基づき,定期的に都道府県サー
バのアクセスログの解析を行い,万一不正使用の兆候を検出した場合,緊急時対応
計画等に基づき,必要な連絡,対策等を実施するほか,指定情報処理機関に対し,
住民のアクセスログの解析を要請することができる。
また,市町村は,都道府県に対し,あるいは都道府県を経由して指定
情報処理機関に対し,住民のアクセスログの解析を要請することができる(乙
5)。
(キ) 住民に対する本人確認情報提供状況の開示
平成15年10月1日から,都道府県サーバ及び全国サーバにおい
て,本人確認情報提供状況の開示用データ(提供先ないし検索元,提供年月日,利
用目的等)を生成し,都道府県は,都道府県サーバの開示用データ及び指定情報処
理機関から送信された全国サーバの開示用データを保存することとし,同年11月
以降,準備が整った都道府県から順次,それぞれの個人情報保護条例により住民か
ら請求があった場合,その開示を行うこととした(セキュリティ基準第6の8(5),
乙2の3,乙5,弁論の全趣旨)。
(ク) 要約
上記(ア)ないし(キ)の各対策を総合すれば,担当職員に対する教育・
研修により本人確認情報保護の意識の向上が図られているほか,刑罰規定の整備や
監督措置,本人確認情報の照会に際する条件の限定,端末機のアクセス制御,多量
の住民票の写しの広域交付の防止などの措置が講じられることにより,正規の権限
を有しない者が住基ネットを通じて他人の情報に接し,これを利用することを抑止
するとともに,アクセスログの定期的解析及び住民に対する本人確認情報提供状況
の開示をすることを通じて,不正の兆候ないし不正行為の早期発見,調査及び再発
防止を図っていると認められるから,社会通念上,運用関係者らによる情報漏えい
の可能性が高いとはいえない。
(ケ) 原告らの主張の検討
この点について,原告らは,要旨,①運用関係者による情報漏えい行
為に対する罰則は故意犯に限定されており,しかも法定刑が軽すぎる上,総務大臣
及び都道府県知事による指定情報処理機関への監督は実効性がない,②全国サーバ
及び都道府県サーバのアクセスログの解析により,不正使用の兆候が発見されたと
きにはもはや情報が流失しており手遅れである,③本人確認情報提供状況の開示で
は,流出の防止策としては不十分である,④一定数以上の住民票の写しの広域交付
があった場合にこれを停止する措置が働く場面はほとんどないなどと主張する。
なるほど,どのような情報漏えい防止措置を講じようとも,技術水準
が日進月歩の今日において,完璧な効果を期待することはできず,また,住基ネッ
トを扱うのが人間である以上,そこに過誤等の入り込む余地が全くないとはいえな
いが,前記のとおり,情報漏えいの可能性の有無についての判断は,その時点にお
ける技術水準等を前提とし,社会通念に従って判断されるべきものであるところ,
原告らの上記主張はいずれも例外的な事態を前提としたものであり,上記(ア)ない
し(キ)の各措置が情報セキュリティの保全に寄与しているとの上記判断を覆すもの
とはいえない。
イ 制度面からの対策
(ア) 保有情報の限定等
都道府県及び指定情報処理機関が,それぞれ都道府県サーバ及び全国
サーバにおいて保存して保有する情報は,住基法上,本人確認情報(氏名,住所,
性別,生年月日,住民票コードとこれらの変更情報)に限定されている(法30条
の5第1項)。
なお,変更情報とは,異動事由(「転入」,「出生」,「職権記載
等」,「転出」,「死亡」,「職権消除等」,「転居」,「職権修正等」,「住民
票コードの記載の変更請求」,「住民票コードの職権記載等」のいずれか),異動
年月日と異動前の本人確認情報であり(令30条の5及び規則11条),国外転出
者等を除いて過去5年間分を保存し,保存期間経過後確実に消去することとしてい
る(セキュリティ基準第6の7)。
また,住民票の写しの広域交付,転入転出手続の特例等の際には,市
町村から市町村へ続柄等の情報も送信されるが(令15条の2第2項及び24条の
4),市町村のCSからの情報は,すべて直通の回路を通じて送信されるので,当
該情報が都道府県サーバや全国サーバを通過することも,そこに保有されることも
ない(セキュリティ基準第3の3(3))。
(イ) 本人確認情報の利用及び提供の範囲
本人確認情報の提供を受ける行政機関の範囲や利用目的は法律で具体
的に規定されている(法30条の6,同条の7第3項ないし第6項,同条の8,別
表第1から第5)。なお,市町村長ないし都道府県知事は,他の市町村の執行機関
ないし他の都道府県の執行機関に対して,条例で定める事務の処理に関して本人確
認情報を提供することができるが(法30条の6,同条の7第4項2号,同条の7
第5項2号,同条の7第6項2号),法律の規定により条例に委任されているので
あって,なお法律に基づく場合と同視することができる。
(ウ) 住民票コードの利用の制限
市町村長等の行政執行機関や指定情報処理機関は,住基法の定める事
務を遂行するために必要な場合を除き,住民票コードを告知することを求めてはな
らない(法30条の42)。
また,上記以外の者も,住民票コードの告知を求めてはならない(法
30条の43第1項)上,契約の締結に際して住民票コードの告知を要求したり,
住民票コードの記載されたデータベースで他に提供されることが予定されているも
のを構成したりしてはならない(法30条の43第2項,3項)。そして,都道府
県知事は,これに違反する行為が行われた場合,中止を勧告することができ(法3
0条の43第4項),中止勧告に従わない者に対しては,都道府県の審議会の意見
を聴いて中止命令を発することができる(法30条の43第5項)。そして,都道
府県知事の中止命令に違反した者は,1年以下の懲役又は50万円以下の罰金に処
せられる(法44条)。
なお,住民票コードは無作為の番号であり,住民の申請によりいつで
も変更できる(法30条の3)。
(エ) 管理責任の範囲の明確化
住基ネットの各機器に関する市町村,都道府県,国,指定情報処理機
関の管理責任の範囲を明確化し,それぞれ責任を持ってセキュリティを確保するこ
ととされている。
a 総務省は,制度を所管し,指定情報処理機関に対して監督を行う立
場から,指定情報処理機関への監督命令等(法30条の22),地方公共団体への
指導,助言・勧告等(法31条),本人確認情報処理規程の認可(法30条の1
8),セキュリティ基準の策定等の権限を有する。また,総務省には,①セキュリ
ティ面での緊急対応のために,住民基本台帳ネットワークシステム緊急対策本部及
び②住基ネットの運営等の在り方について幅広く調査審議を行い,総務大臣に意見
を述べるために,住民基本台帳ネットワークシステム調査委員会がそれぞれ設置さ
れている。
b 指定情報処理機関は,国の機関等に本人確認情報の提供を行う際に
は,あらかじめ国の機関等が行う個人情報保護措置等を定めた協定書を取り交わす
こととされており,また,指定情報処理機関は,本人確認情報の保護を図るため必
要がある場合には,国の機関等に対し,報告要求,情報提供停止等を行うことがで
きる。なお,指定情報処理機関には本人確認情報保護委員会が設置されている(法
30条の15)。
c 都道府県は,当該住民の本人確認情報の保護を図るため必要がある
場合には,指定情報処理機関に対し,あるいは,指定情報処理機関を経由して国の
機関等に対し,報告要求等を行うことができる(法30条の23第2項)。また,
都道府県には,本人確認情報保護審議会が設置されている(法30条の9)。
d 市町村は,都道府県・指定情報処理機関を経由して国の機関等に対
し,報告要求等を行うことができる。
(オ) 要約
(ア)ないし(エ)の措置を総合すれば,本人確認情報や住民票コードを
提供し,利用するに際しては,その目的が住基法によって厳しく限定され,また,
住基ネットに関与する行政機関等の権限と責任が明確化されることにより,制度面
から,情報漏えい等の不測の事態の発生を抑止する措置が講じられている上,万
一,情報漏えいが起きた場合の被害が最小のものとなるような制度設計となってい
ると認められる。
(カ) 原告らの主張の検討
a この点についても,原告らは,①重要な情報の流出による被害を最
小限にするには情報を分散すべきである,②保有情報の限定等について,ⅰ住基ネ
ット上を流れる情報には,住民票コードも含まれる,ⅱ氏名,住所,性別,生年月
日の4情報だけでも大丈夫とはいえない,ⅲ転入転出特例の場合には,世帯主との
間柄,戸籍の表示,国民健康保険に関する情報等も一緒に住基ネットを流通する,
③法律改正によって本人確認情報の利用及び提供の範囲がなし崩し的に拡大され
る,④ⅰ民間企業が任意の提供を受けることを禁止していないため,事実上住民票
コードの告知を要求される危険性がある,ⅱ民間部門が自ら使用する目的でデータ
ベースを構築することは許されている,ⅲ国の機関等と他の国の機関等との間で住
民票コードを利用しデー
タマッチングすることを禁止する根拠が明らかではない,ⅳ住民票コードを変更し
ても変更履歴が残るので変更前の情報を追跡することができるから,変更に意味は
ない旨を主張して,制度的側面からの対策も不十分であるなどと主張する。
b そこで検討するに,原告らの上記主張は,住基ネットにおける個人
情報の漏えい等の可能性が高いことを指摘するものではなく,情報漏えい等がある
ことを前提とした弊害や,事実上の危惧を指摘するものであって,つまるところ,
住基法(及び同法施行令やセキュリティ基準)に対する制度的批判にすぎないとい
うべきであるが,同法が憲法13条に反する無効なものと解することができないの
は既述のとおりである。
また,個別的に検討しても,①については,そもそも情報の分散化
は,負担の軽減と行政上の効率化を目的とした住基ネットの存在理由と正面から抵
触するといわざるを得ないこと,②については,本人確認情報等だからといって,
住基ネットにおいてそのセキュリティが軽視されているものでないこと,③につい
ては,法律改正によって本人確認情報を利用等できる事務が増加する可能性を否定
することはできないが,それが直ちに不当であるとか憲法13条に違反するもので
あるとはいえないこと,④については,上記のとおり,住基法は,民間部門による
住民票コードの告知要求やこれを記録したデータベースの構成を禁止しており,こ
れが遵守されない事態が考えられるからといって,住基ネットが情報漏えい等の可
能性の高いものであると
はいえないし,住民票コードを利用したデータマッチングを正面から禁止する規定
は置かれていないとしても,争点(1)についての判断で述べたとおり,国の機関等
は,提供を受けた本人確認情報を法別表第1掲記の事務の処理に限って用いること
ができ,他者にこれを提供,利用することはできないから,国の機関等と他の国の
機関等との間で住民票コードを利用したデータマッチングを行うことは許されてい
ないと考えられ,また,住民票コードの変更は,正規の権限を有しない情報取得者
に対する関係では,有用性を否定できないことなどを考慮すると,住基ネットにお
いて情報漏えい等の不測の事態の発生を抑止するとともに,万が一の場合における
被害を限定する制度的手当が講じられているとの前記判断を覆すものとはいえな
い。
ウ 外部からの侵入防止対策その1(物理的なセキュリティ対策)
セキュリティ基準においては,関係機関は,建物及び重要機能室への侵
入の防止等(第3の1(1)),重要機能室の配置及び構造(第3の1(2)),重要機
能室の入退室管理(第4の1),磁気ディスク,構成機器及び関連設備等並びにデ
ータ,プログラム,ドキュメント等の管理(第4の6,第4の7及び第4の8)
等,外部からの侵入に対する物理的なセキュリティ対策を義務付けられている(乙
2の1ないし3)。
したがって,これらが遵守される限り,権限を有しない者が住基ネット
関連の機器に物理的に接近することは困難であると認められる。
エ 外部からの侵入防止対策その2(電気通信回線経由による侵入に対する
対策)
(ア) 論理的専用回線による通信
住基ネットにおいては,CS,都道府県サーバ及び全国サーバ間の通
信は,すべて論理的な専用回線(物理的な専用回線ではないが,セキュリティ技術
を利用することによって,あたかも専用回線であるかのように利用できる仮想的な
ネットワーク)及び専用交換装置で構成されたネットワークを介して行われ,ま
た,全国サーバと国の機関等サーバとの間は,論理的な専用回線又は磁気媒体でデ
ータ交換が行われる(セキュリティ基準第3の3。乙2の1,5,弁論の全趣
旨)。
(イ) 相互認証
住基ネットにおいては,暗号技術評価委員会において安全性が確認さ
れている公開鍵方式により,通信を行うごとに意図した通信相手に接続されたこと
を相互に認証する仕組みが採用されている(セキュリティ基準第4の3(4))。この
公開鍵方式における秘密鍵は,指定情報処理機関が耐タンパー装置に封入設定後,
地方公共団体及び国の機関等に配送するため,第三者が内容を読み出したり,変更
することはできない。
また,通信相手の相互認証の過程で,耐タンパー装置内で通信の都度
共通暗号鍵を設定し,これをさらに公開鍵方式における公開鍵で暗号化した上で,
通信相手に送信するとされている(セキュリティ基準第4の3(5))ところ,住基ネ
ットにおけるデータ送受信は短時間であり,その都度共通暗号鍵が変わるため,盗
聴による恒常的な暗号鍵の解読は極めて困難である。
(ウ) 通信プロトコルの制限
住基ネットの通信プロトコル(通信規約)は,インターネットで用い
られる汎用的なプロトコルを使用しておらず,独自の住基ネットアプリケーション
による独自プロトコルによる通信を行っている(乙5,弁論の全趣旨)。
また,すべてのCSの住基ネット側,すべての都道府県サーバの住基
ネット側と端末機側(端末機側については,都道府県サーバと既存庁内LANを接
続しない団体を除く。),全国サーバの全方向及び国の機関等サーバ(全国サーバ
と接続しない国の機関等サーバを除く。)のネットワーク側に,それぞれ指定情報
処理機関監視ファイアウォールを設置して,インターネットで用いられるプロトコ
ルの通過を遮断している(セキュリティ基準第4の3(2),乙2の1,5)。
(エ) コンピュータウィルス・セキュリティホール対策
指定情報処理機関は,コンピュータウィルスの発生情報を常時入手
し,定期的に(危険度が高いものについては随時),全地方公共団体の全サーバ,
全端末に対して,パターンファイルを自動的に配付し更新している。
また,OS(ウィンドウズ,UNIX等)のセキュリティホール発生
情報を入手し,危険度が高いものは,システムの影響度を確認した上で全団体にセ
キュリティホール情報及び対応方法を通知し,その他のものは,システムの動作確
認後,サービスパックを適用するように通知している(乙5,弁論の全趣旨)。
(オ) 不正な通信の遮断と監視
a 指定情報処理機関監視ファイアウォール,IDS(侵入検知装置)
の設置による厳重な遮断と監視
指定情報処理機関監視ファイアウォールは,全国サーバと住基ネッ
トの間,住基ネットとCSとの間に設置され,あらかじめ正常なものとして設定し
た通信以外の通信を遮断するほか,不正アクセスの兆候等を検出する。
また,指定情報処理機関は,ネットワーク内にIDSを設置し,指
定情報処理機関のネットワーク監視室からCSとの間に設置されたファイアウォー
ルまでの範囲では常時,CSについては15分に1回の割合で機器が正常に作動し
ているか否かの監視(死活監視)を行っている。
そのほか,指定情報処理機関は,定期的なログの解析を行い,指定
情報処理機関監視ファイアウォールを通過した不正アクセスを検出した場合は,緊
急時対応計画等に基づき必要な連絡,対策等を実施する(セキュリティ基準第4の
9(3)(4),乙2の1,5)。
b 各サーバの保護
全国サーバ,都道府県サーバ及びCSと住基ネットとの間並びに国
の機関等サーバと全国サーバとの間には,いずれも双方向からの不正な通信を遮断
するため,指定情報処理機関監視ファイアウォールが設置されている(なお,国の
機関等の中には,回線を利用した通信の方法によらず,媒体交換の方法によるとこ
ろもある。)。
また,端末機を設置するため都道府県サーバ,CS,国の機関等サ
ーバと各既存庁内LANを接続する場合,それぞれ都道府県,市町村,国の機関等
が厳格に管理するファイアウォールないし指定情報処理機関監視ファイアウォール
によって,端末機・既存住基システム側からの不正な通信を遮断し,既存庁内LA
Nがさらに外部ネットワークと接続する一部の都道府県ないし市町村は,さらに都
道府県ないし市町村管理のファイアウォールを設置している(セキュリティ基準第
4の9(3)(4),第5の1(3)(6)イ,乙2の1,5,弁論の全趣旨)。
(カ) ソフトウェアの統一
①相互認証,②暗号化,③コンピュータウィルス,セキュリティホー
ル対策,④操作者識別カードと暗証番号による操作者確認,⑤本人確認情報データ
ベースへの接続制限,⑥データ通信の履歴管理及び操作者の履歴管理などの対策を
行うため,住基ネットのシステム全体で統一ソフトウェアが導入されている。
(キ) 内部点検や外部監査によるセキュリティの確保
a チェックリスト方式による市町村の自己点検
指定情報処理機関と総務省は,市町村における住基ネットとそれに
接続する既設ネットワークにおけるセキュリティ対策の徹底を図り,もって住基ネ
ットのセキュリティ強化を図るため,協力してチェックリストを作成し,市町村に
配布した。市町村は,平成15年1月ないし2月,これに基づきセキュリティ対策
の自己点検を実施した。
総務省は,平成15年5月13日,住基ネット担当課長会議を開催
し,この点検結果を踏まえて,都道府県において,市町村に対して必要な技術的指
導を行うことを要請した。
これを受けて,対策状況について自己点検結果を調査したところ,
平成15年8月8日の集計では,すべての市町村が,重要点検項目(①重要機能室
を設置できない場合,重要機器並びに磁気ディスク及びドキュメントについて,盗
難されたり,権限のない者が容易にアクセスすることができないように,適切な管
理を行う。②CS端末について,ウィルスの侵入の脅威を最小限にとどめるととも
に,外部への情報発信ができないようにするため,インターネットに接続できない
よう制限を行う。③CSと既設ネットワークの間にファイアウォールを設置し,適
切な運用管理を行う。④CSと既設ネットワークの間のファイアウォールについ
て,適切な設定を行う。⑤住基ネットと接続する既設ネットワークがインターネッ
トに接続する場合には,当
該既設ネットワークとインターネットとの間にファイアウォールを設置し,厳重な
通信制御を行う。⑥メールサーバ及びWWW(ワールドワイドウェブ)サーバ等の
公開サーバについて,DMZ(公開領域)上の設置など適切な対策を講じる。⑦公
開サーバ等について,最新のパッチを当てる。)につき満点を達成した。また,そ
の他の項目についても,市町村のセキュリティ対策は強化された(乙6)。
平成16年6月ころにも,各市町村において,同様の方式による自
己点検が行われ,平成15年度の重要点検項目については,すべての市町村が満点
を達成し,平成16年度の重要点検項目(①CS,CS端末,市町村設置ファイア
ウォールのOSのパスワードが容易に推測されることのないような措置を講じる。
②CS,CS端末,市町村設置ファイアウォールのOSについて,不正なアクセス
を予防するため,同じユーザIDで複数回パスワードの入力を間違えた場合,ロッ
クアウト(無効化)するように設定する。③CS端末の住基ネットアプリケーショ
ンを起動させるために必要となる操作者識別カードのパスワードが,容易に推測さ
れることのないような措置を講じる。④電気通信関係装置(ルータ,ハブ,ファイ
アウォール)に対して権
限のある者以外による操作を防止するため,電気通信関係装置へログイン,操作す
るためのユーザID,パスワードを適切に管理する。)についても,ほぼすべての
市町村が満点を達成した(乙54)。
b 外部監査法人による市町村のシステム運営監査
平成15年1月から3月までの間,全国108団体の市町村におい
て,外部監査法人によるシステム運営監査が実施された(弁論の全趣旨)。
c クロウ社による外部監査
指定情報処理機関は,平成15年10月10日から12日までの間
に,東京都品川区の協力を得て,アメリカの監査法人(クロウ社)のセキュリティ
部門による外部監査を実施した。
クロウ社は,指定情報処理機関に対し,住基ネットの主要な機器
(住基ネット-CS間のファイアウォール,CS-庁内LAN間のファイアウォー
ル,CS端末)に関するペネトレーションテスト(模擬攻撃)では,これらの機器
への侵入は成功せず,脆弱性も見いだせなかったとの結果を報告するとともに,庁
内LANに対してもチェックリストによる自己点検やセキュリティ監査を行うべき
であること,庁内LAN上のデータ送信における高度なセキュリティレベルを維持
するための方策を実施すべきであることを助言した(乙7)。
(ク) 要約
(ア)ないし(キ)によれば,住基ネットの内部から個人情報の漏えい等
が生ずる可能性は極めて乏しいと認められる上,電気通信回線経由による外部から
の侵入に対しても,論理的専用回線の採用等,相互認証・暗号通信,通信プロトコ
ルの制限,コンピュータウィルス及びセキュリティホール対策,不正な通信の遮断
と監視並びにソフトウェアの統一などのセキュリティ対策が施されていると認めら
れる。
もっとも,例えば,ファイアウォール(一般には,外部からコンピュ
ータネットワークへの侵入を防ぐために,不正なアクセスを検出・遮断するための
ソフトウェアないしかかるソフトウェアを組み込んだハードウェアを指す。)に
も,セキュリティホールが含まれていることがあり得るところ,攻撃者が,これを
利用してその機能を無力化することが考えられるし,ファイアウォールが正常な通
信と判断した通信の中には,コンピュータにとって有害なソフトウェアが含まれて
いることもあり得るので,個人情報の漏えい等が生ずる可能性は,皆無とまではい
えないが,そうであるとしても,現在の技術水準でおよそ考えられる対策が講ぜら
れている以上,その可能性が高いといえないことが明らかである。
(ケ) 原告らの主張の検討
a 原告らは,長野県侵入実験の結果によれば,外部の侵入防止対策が
無力であることが実証されていると主張するので,これについて検討するに,証拠
(甲42の1・2,50,58,62,70,71,74,75,77,乙52)
及び弁論の全趣旨によれば,以下の事実が認められる。
(a) 長野県侵入実験の方法
ⅰ 長野県下伊那郡α
平成15年9月22日ないし24日に行われたαの第1次調査
では,村役場のサーバ室の庁内LANのHUB,村役場に隣接する出先機関のLA
Nポート,庁内LANにダイヤルアップで接続されている出先機関のルータにそれ
ぞれ調査用コンピュータを接続して,実験が行われた。
同年11月25日ないし同月28日に行われたαの第2次調査
では,村役場のサーバ室の庁内LANのHUBに調査用コンピュータを接続して,
実験が行われたほか,村役場のサーバ室のラックを開錠し,CSセグメントにある
HUBに調査用コンピュータを接続して,実験が行われた。
ⅱ 長野県諏訪郡β
平成15年9月25日及び26日に行われたβの調査では,調
査用に構築した無線LANを利用して,町役場に隣接する建物から調査用コンピュ
ータを庁内LANに接続して,実験が行われた。
ⅲ 長野県東筑摩郡γ
平成15年9月29日ないし同年10月1日に行われたγの庁
内LANへの調査では,遠隔地からインターネットを経由した侵入実験が行われ
た。
ⅳ なお,いずれの実験においても,当該町村の管理するCSから
他のCS,都道府県サーバ,全国サーバへの攻撃は,試みられなかった。
(b) 長野県侵入実験の結果の概要
ⅰ αの庁内LANからの実験結果
αの庁内LANに接続したコンピュータから,既存住基サーバ
で使用されているOS(基本ソフト)の既知の脆弱性を利用して同サーバの管理者
権限を奪取することができた。また,既存住基サーバの管理者権限のユーザ名及び
パスワード設定に問題があったため,既存住基サーバにアクセスすることができた
ほか,データベースのユーザ名及びパスワード設定に問題があったため,データベ
ースの内容を閲覧することが可能であった。
そのほか,ファイル共有の設定に問題があったため,個人情報
を含む重要なデータファイルにアクセスすることが可能な状態であった。さらに
は,庁内WEBサーバが使用しているOSの既知の脆弱性を利用することによっ
て,同サーバの管理者権限を奪取することもできた。
庁内LANとCSとの間のファイアウォールには不要と思われ
るポートが開いていたものの,ファイアウォールの管理権限の奪取はできなかっ
た。
ⅱ αの出先機関からの実験結果
αの出先機関に設置されているダイヤルアップ・ルータから,
庁内LANに接続する際にパスワード等は必要でなかったほか,不正常な通信を制
御するためのパケット・フィルタリングも行われていなかった。したがって,攻撃
者は,αの村役場内のLANからの攻撃と同程度の攻撃を,αの出先機関から行う
ことが可能であった。
なお,一般住民が立入可能なところにも,同出先機関のLAN
端末が存在した。
ⅲ βの庁内LANからの実験結果
βの庁内LANに接続したコンピュータから,既存住基サーバ
で使用されているOSの既知の脆弱性を利用して同サーバの管理者権限を奪取する
ことができた。
しかし,既存住基サーバと市町村設置ファイアウォールとの間
の通信の解析を試みたが,十分に解析ができなかった。
ⅳ γの庁内LANへの侵入実験結果
インターネットに接続されたコンピュータから,γの庁内LA
Nとの間に設置された庁内ファイアウォール越しに庁内LANに設置された公開サ
ーバ群への攻撃を行ったが,既知の脆弱性がなかったために,同サーバの管理者権
限を奪取することができなかった。
ⅴ αの第2次実験結果
αの庁内LANに接続したコンピュータから,市町村設置ファ
イアウォールの管理権限を奪取したり,市町村設置ファイアウォールを越えた攻撃
によってCSの権限を奪取することはできなかった。しかし,同ファイアウォール
の中には不要と思われるポートが開放されているものがあったほか,ファイアウォ
ールのOSのバージョンが古く,サービス拒否攻撃に対する脆弱性が存在した。
CSセグメントに接続したコンピュータから,CSが使用して
いるOSの既知の脆弱性を利用してCSの管理者権限を奪取することができた。
CS端末には既知の脆弱性がなかったが,CSの管理者権限を
奪取後得られたデータを利用することによって,CS端末の管理者権限でログオン
することができた。
b 上記実験結果等によれば,①公開サーバ群及びファイアウォールに
対して適切な設定及び保守管理を行えば,インターネットを通じた既存住基システ
ム及びCS等への攻撃は極めて困難であること,②他方,庁内LANにいったん接
続することができれば,既存住基サーバ等が適切に管理されていない場合には,既
存住基サーバの管理者権限が奪取され,同サーバに保存されている住民票記載事項
に関するデータの削除,改ざん等を行うことが可能であり,削除ないし改ざんされ
たデータがCSを通じて,都道府県サーバ及び全国サーバに送信される危険性があ
ること,③市役所や町村役場以外にも,庁内LANへの接続が可能な場所が存在
し,その中には一般住民が立ち入ることが比較的容易なものもあること,④既存住
基システムないし庁内L
ANからファイアウォール越しに攻撃してCSの管理者権限を奪取することができ
なかったこと,⑤CSが適切に管理されていないと,CSセグメントからCSの管
理者権限を奪取することが可能であること,以上のとおり要約することができる。
このような状況を総合すると,庁内LAN及び既存住基システムの
セキュリティ対策が不十分であった場合には,これを介在させて住基ネットから個
人情報を取得し,あるいはそのデータを改ざんすることが不可能とはいえないとこ
ろ,長野県侵入実験の対象となった地方公共団体の中には,この点について危惧を
抱かせる状態にあったものが存在したと認められる。
しかしながら,上記の問題点は,厳密には,住基ネットそのものの
セキュリティに関するものではなく,庁内LAN等のセキュリティに関するものに
すぎないほか,適切な設定,保守管理が行われる限り,住基ネットに対する外部か
らの攻撃は極めて困難であると認められるから,住基ネット一般の情報漏えい等の
可能性を示すものではないといわざるを得ない。したがって,住基ネットについて
は,現在の技術水準でおよそ考えられる対策が講じられているとの前記判断を覆す
ものとはいえない。
(4) 名古屋市における住基ネットのセキュリティ対策
ア 制度面における対策
名古屋市は,セキュリティ基準に基づいて,「名古屋市住民基本台帳ネ
ットワークシステムセキュリティ組織要綱」,「名古屋市住民基本台帳ネットワー
クシステム管理要綱」及び「名古屋市住民基本台帳ネットワークシステム緊急時対
応計画書」を策定している(乙11ないし13)。
この「名古屋市住民基本台帳ネットワークシステム緊急時対応計画書」
では,住基ネットのセキュリティを侵犯する不正行為又は障害が発生し,それによ
り個人情報の保護が図れないと判断した場合には,名古屋市のセキュリティ会議
が,システムの停止等についての決定を行うこととしている。
また,名古屋市は,平成15年7月17日,名古屋市個人情報保護条例
の一部を改正して,職員又は委託業務の従事者が業務に関して知り得た個人情報を
自己若しくは第三者の不当な利益を図る目的で提供し,又は盗用した場合には,1
年以下の懲役又は50万円以下の罰金に処する旨の罰則を設けた(同条例32条。
乙14の1・2)。
イ 外部からの侵入防止対策
(ア) CSに対する不正な通信の遮断及び監視に関する措置
名古屋市は,セキュリティ基準第5の1(6)イに適合するように,既設
ネットワークとCSとの間に市町村設置ファイアウォールを設置している。さらに
名古屋市は,既設ネットワークと市町村設置ファイアウォールとの間に,住基ネッ
トに必要なデータのみを蓄積した中間サーバを設置するとともに,当該中間サーバ
と既設ネットワークの間にもファイアウォールを設置している(乙48,証人P
2。なお,別紙3参照)。
(イ) 名古屋市の管理する住基ネットに関する外部監査の結果
監査法人トーマツは,平成15年2月10日から同年3月27日まで
の間,名古屋市の依頼に基づき,名古屋市の管理する住基ネットに関する外部監査
を行った。技術面の監査の対象は,地域振興部区政課の管理に係るCS,中間サー
バ,CSの管理端末,中間サーバの管理端末,住基ネットと庁内LANとのファイ
アウォールに関する管理端末,CS端末(区役所,支所及びサービスセンターに設
置されているものを除く。)であった。これに基づき,監査法人トーマツは,同月
31日付け「名古屋市住民基本台帳ネットワークシステムに係るシステム監査報告
書(最終版)」を提出して,委託先に対してセキュリティ状況の報告を求めていな
いこと,機器類の最新状況が台帳で把握されていないこと,ユーザIDの権限の明
確化が不十分であること
,パスワードの有効期限の設定,最低けた数や複雑さの規定が不十分であることな
ど,42項目の問題点を指摘した(乙15)。
名古屋市は,上記問題点を検討して改善措置を講じた上,監査法人ト
ーマツに対して,改善状況調査を依頼したところ,同監査法人は,同年5月29日
及び30日に改善状況調査を実施し,これに基づいて,上記問題点のうち21項目
が「具体的対応作業が完了し,現在,運用中又は運用開始が可能な状況にあ」り,
20項目が「対応の方向性の検討が完了し,現在,具体的対応作業(略)を行って
いる状況にあ」り,1項目が「現在,対応の方向性を検討している状況にある」と
の報告を行った(乙16)。
さらに,監査法人トーマツは,平成16年2月24日から同年3月3
1日までの間,名古屋市の依頼に基づき,名古屋市の管理する住基ネットに関する
外部監査を行った。技術面の監査の対象は,16区役所及び5支所のCS端末,住
基カード発行端末であった。これに基づいて,監査法人トーマツは,同月31日付
けで「名古屋市平成15年度住民基本台帳ネットワークシステムに係るシステム監
査報告書」を提出して,市民課事務室の構造,操作者識別カードの貸与状況,住基
カードの保管枚数の確認等23項目についてセキュリティ上の検討すべき事項を指
摘した(なお,セキュリティを維持向上するため,区役所独自にマニュアルを作る
など,セキュリティ確保のために評価されるべき事項も指摘されている。乙4
9)。
(ウ) 既存ネットワークとインターネットとの接続に関する対策
a 運用管理要領等の制定
住基ネットと接続する既設ネットワークがインターネットに接続す
る場合には,セキュリティ基準第5の1(6)アにより,「既設ネットワークの管理責
任者は,既設ネットワークを外部ネットワークに接続するための手続,方法等を定
め,接続及び運用に関する業務を総括的に管理すること」が規定されているとこ
ろ,「名古屋市行政情報ネットワーク運用管理要領」及び「名古屋市インターネッ
ト接続運用管理要領」を定め,総務局企画部情報化推進課長をネットワーク管理者
として,行政情報ネットワーク(既設ネットワーク)の運用管理を総括させている
(乙2の1,弁論の全趣旨)。
b 名古屋市における独自対策
ウィルスチェックサーバと連携して,市町村設置ファイアウォール
を通過する通信について,ゲートウエイ型のウィルスチェックを行わせており,発
見したウィルスは駆除若しくはファイルごと削除を行っている。また,インターネ
ットとの接続点付近に,侵入検知装置を設置し,既設ネットワーク及びその接続点
とのファイアウォールに侵入しようとする通信を監視している(乙48,証人P
2)。
c インターネットとの接続状況に関する外部監査の結果
名古屋市は,平成15年8月11日,庁内LANと接続している公
開サーバ,庁内LANとインターネットとの接続点に設置されたルータ及びファイ
アウォールについて監査法人トーマツの外部監査を受けた。外部監査では,ポート
スキャン,各種自動スキャンツール,各種脆弱性検出スクリプト及び担当者へのヒ
アリングが行われた(インターネットから庁内LANへの侵入などの実験は行われ
なかった。)。その結果,ファイアウォールには特段の脆弱性は発見されなかった
が,公開サーバに脆弱性があり,インターネットからの不正アクセスによって,サ
ービス拒否状態にさせられたり,攻撃者から任意のコマンドを実行されたりする危
険性が発見された。特に電子メールサーバには,使用されているプログラムにバッ
ファオーバーフローの脆
弱性があるため,適切なバージョンにアップグレードすることが必要であると指摘
された(甲27)。
これを受けて,名古屋市は,同月20日及び21日に,電子メール
サーバのプログラムをアップグレードした(乙24,25)。
ウ 要約
上記のとおり,名古屋市はセキュリティ基準にのっとった制度面及び技
術面におけるセキュリティ対策を講じている上,これに独自のセキュリティ対策を
上乗せしていること,その有効性につき,適宜に外部監査を受け,その結果に基づ
いた改善措置を講じていること,インターネットと既設ネットワークとが接続され
る点についても一応セキュリティが確保されていることなどにかんがみると,名古
屋市における住基ネットの運用においては,住基法が予定している以上のセキュリ
ティが確保されており,少なくとも住基ネットを通じた情報の漏えい等の可能性が
高いとはいえない。
エ 原告らの主張の検討
この点について,原告らは,名古屋市は政令指定都市の中で唯一,住基
ネットが庁内LANを経由してインターネットと接続しており,セキュリティに重
大な危険性があると主張するところ,証拠(甲29,67,68,証人P2)及び
弁論の全趣旨によれば,平成15年8月12日から同月20日にかけて,名古屋市
の庁内LANに接続するパソコン28台が,コンピュータウィルスBlaster
に感染したこと,感染の原因は,名古屋市の職員3人が,名古屋市行政情報ネット
ワーク運用管理要領の定める承認を得ず,無断でPHSカードないし固定電話でイ
ンターネットと既存ネットワークとを接続したため,パソコン3台が感染し,その
後,庁内LANを通じて感染が拡大した(なお,同ウィルスの感染の際に,住基ネ
ットと既設ネットワー
クとの切離しは行われなかった。)ものであること,以上の事実が認められる。
しかしながら,上記事故は,当該職員が定められた手順を逸脱したこと
によりもたらされたものであって,住基ネットそのものがセキュリティ上の問題点
を内包しているとはいえないばかりか,前記のとおり,名古屋市は,インターネッ
トと既設ネットワークとの接続点に侵入監視装置を設置していること,CSと中間
サーバの間,中間サーバと既設ネットワークとの間にそれぞれファイアウォールを
設置していること,平成15年8月11日の監査法人トーマツによる監査結果を受
けて,電子メールサーバの使用するプログラムの更新を行う(乙25)などの対応
を行っていること,さらに,上記の事故によってもウィルスは既設ネットワークか
ら住基ネットに伝染することはなく,実害の発生はなかった上,名古屋市総務局情
報化推進課は,直ちに
各局区室に対し,無許可での接続禁止等の対応策を周知徹底するよう指示している
事実が認められること(甲67),これらを総合すれば,社会通念上,インターネ
ットの接続点からの攻撃に対しても,現時点における技術水準に対応した保護措置
が講じられていると認められ,少なくとも,インターネットの接続点からの攻撃に
より,住基ネットを通じた個人情報の漏えい等の可能性が高いとまではいえない。
(5) 小括
上記の検討結果によれば,名古屋市が発行を予定している住基カードや,
その構築した住基ネット本体は,セキュリティ上の問題点があって,情報漏えい等
の危険性が相当程度高く,およそ住基法が予定しているものとかけ離れた性能しか
有しないとはいえない。したがって,住基カードの原盤購入契約や印字機械リース
契約の締結行為等は,その余について判断するまでもなく,違法,無効なものとは
いえないから,本件公金支出等が違法となることもないと判断するのが相当であ
る。
5 争点(4)(住基ネットはほとんど効用がないから,住基カードの発行に公金を
支出することは,最少経費・最大効果を定めた地方自治法2条14項及び地方財政
法4条1項に違反するか)について
改正法附則7条は,「市町村長,都道府県知事及び指定情報処理機関は,施
行日前においても,新法第4章の2に規定する事務(住基ネットを利用した本人確
認情報の処理及び利用等)の実施に必要な準備行為をすることができる。」と規定
しているところ,法30条の44第1項,2項は,住民は市町村長に対して自己に
係る住基カードの交付を求めることができ,交付申請があったときは市町村長は住
基カードを交付しなければならない旨定めているから,市町村長が住基カードの発
行等のためにその原盤カードを購入し,必要な機器のリースを受け,これに要する
費用を支出するなどの行為を行うことは,住基法が当然に予定している(むしろ義
務付けている)ところと解される。
したがって,本件において,P1市長が,予算に計上された金額の範囲内
で,一般競争入札において最低価格を入札した業者との間で上記各契約を締結し,
その給付を受けて代金を支出すること(乙1,27の1・2,28ないし31,3
2ないし42の各1ないし3,43)は,法律の施行に必要な財務会計行為とし
て,適法というべきである。
この点について,原告らは,被告の主張する住基ネット及び住基カードの効
用(住民票写しの広域交付や提出の不要化,転入転出特例,公的個人認証サービス
等の行政サービスの向上と行政事務の効率化)はほとんどなく,したがって,本件
公金支出は地方自治法2条14項及び地方財政法4条1項に違反する旨主張する。
しかしながら,住基ネットの構築によってどの程度の行政サービスの向上と
行政事務の効率化がもたらされるか,それが果たして投入される導入費用,維持費
用と釣り合うものであるかなどの問題は,改正法の審議過程で論議されるべき問題
であり,これが成立して施行される以上,法律で定められた事務を処理することを
義務付けられた市町村長が判断すべき事項でないといわざるを得ない(被告の主張
するように,地方自治法2条14項が訓示規定にとどまるかどうかはさておき,同
項及び地方財政法4条1項が,住基カードの市町村長の交付義務を定めた法30条
の44の上位規範たる性質を有するものでないことは明らかである。)。
そうすると,単に住基ネット及び住基カードの効用が乏しいことを理由に,
本件公金支出が違法であるとの原告らの上記主張は,それ自体失当というべきであ
り,採用できない。
6 結論
よって,原告らの本訴請求は,その余について判断するまでもなく理由がな
いから,いずれも棄却することとし,訴訟費用の負担について行政事件訴訟法7
条,民事訴訟法61条,65条1項を適用して,主文のとおり判決する。
    名古屋地方裁判所民事第9部
          裁判長裁判官   加藤幸雄
             裁判官   舟橋恭子
             裁判官   尾河吉久

戻る



採用情報


弁護士 求人 採用
弁護士募集(経験者 司法修習生)
激動の時代に
今後の弁護士業界はどうなっていくのでしょうか。 もはや、東京では弁護士が過剰であり、すでに仕事がない弁護士が多数います。
ベテランで優秀な弁護士も、営業が苦手な先生は食べていけない、そういう時代が既に到来しています。
「コツコツ真面目に仕事をすれば、お客が来る。」といった考え方は残念ながら通用しません。
仕事がない弁護士は無力です。
弁護士は仕事がなければ経験もできず、能力も発揮できないからです。
ではどうしたらよいのでしょうか。
答えは、弁護士業もサービス業であるという原点に立ち返ることです。
我々は、クライアントの信頼に応えることが最重要と考え、そのために努力していきたいと思います。 弁護士数の増加、市民のニーズの多様化に応えるべく、従来の法律事務所と違ったアプローチを模索しております。
今まで培ったノウハウを共有し、さらなる発展をともに目指したいと思います。
興味がおありの弁護士の方、司法修習生の方、お気軽にご連絡下さい。 事務所を見学頂き、ゆっくりお話ししましょう。

応募資格
司法修習生
すでに経験を有する弁護士
なお、地方での勤務を希望する先生も歓迎します。
また、勤務弁護士ではなく、経費共同も可能です。

学歴、年齢、性別、成績等で評価はしません。
従いまして、司法試験での成績、司法研修所での成績等の書類は不要です。

詳細は、面談の上、決定させてください。

独立支援
独立を考えている弁護士を支援します。
条件は以下のとおりです。
お気軽にお問い合わせ下さい。
◎1年目の経費無料(場所代、コピー代、ファックス代等)
◎秘書等の支援可能
◎事務所の名称は自由に選択可能
◎業務に関する質問等可能
◎事務所事件の共同受任可

応募方法
メールまたはお電話でご連絡ください。
残り応募人数(2019年5月1日現在)
採用は2名
独立支援は3名

連絡先
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所 採用担当宛
email:[email protected]

71期修習生 72期修習生 求人
修習生の事務所訪問歓迎しております。

ITJではアルバイトを募集しております。
職種 事務職
時給 当社規定による
勤務地 〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
その他 明るく楽しい職場です。
シフトは週40時間以上
ロースクール生歓迎
経験不問です。

応募方法
写真付きの履歴書を以下の住所までお送り下さい。
履歴書の返送はいたしませんのであしからずご了承下さい。
〒108-0023 東京都港区芝浦4-16-23アクアシティ芝浦9階
ITJ法律事務所
[email protected]
採用担当宛