スポンサードリンク

平成27年は5年に一度の国勢調査の年です。今回は本格的にインターネット回答が導入される初めての国勢調査になります。

前回平成22年には東京都のみで試験的にインターネット回答が実施されていました。私も当時は東京都民でして、記憶があいまいですがインターネットで入力したような気がします。

で、インターネット回答用のIDとパスワードの配布について、議論が起きているようです。

 5年に1度の国勢調査が9月10日、全国で一斉にスタートした。今年は初めて、PCやスマートフォンから回答できるインターネット回答を全国的に採用。ネット回答用のID・初期パスワードが記入された紙の入った封筒を、10日~12日にかけ、国勢調査員が各世帯に配布した。

 この封筒について、「郵便受けに無防備に入れられ、誰でも盗み取れ取れそうな形で配布されている場合がある」という指摘がネットに投稿され、セキュリティを不安視する声が上がっている。国勢調査を運営する総務省統計局の担当者は、「封筒を郵便受けに入れる場合、詐取されないよう入れてもらうよう国勢調査員を指導しているが、指導の徹底が行き届かなかったかもしれない」と話している。

出典:国勢調査のパスワード入り用紙、無防備に郵便受けに? 総務省「調査員の指導、行き届かなかったかも」 (1/2) – ITmedia ニュース

この記事では、リスクについて以下のように記述しています。

 一方で、回答用のID・初期パスワードには個人情報は含まれておらず、第三者に渡っても、個人情報などが漏れる心配はないという。

 ネット回答する際は、IDと初期パスワードでログインし、世帯人数や氏名、住所、電話番号などを回答し、パスワードを再設定した上で内容を送信する――という流れ。パスワードが再設定されると初期パスワードではログインできなくなるため、回答済みの世帯の初期パスワードを持っていても、回答内容を閲覧したり、改ざんすることはできない。

出典:国勢調査のパスワード入り用紙、無防備に郵便受けに? 総務省「調査員の指導、行き届かなかったかも」 (2/2) – ITmedia ニュース

記事では、①IDと初期パスワードは無作為に配布するものであり、それ自体に個人情報は含まれていないこと、②回答時に初期パスワードを必ず変更するようになっていること、を理由としてセキュリティ上のリスクがないと主張しています。そして、第三者がなりすまして別の回答をすることだけがリスクであるかのようなことが書いてありました。

私は以下の点でやはりセキュリティ上の問題であると考えています。

まず、IDと初期パスワードが書かれた紙がポストに突っ込まれた状態で放置されている状況を考えます。悪意の第三者がその紙を覗き見た場合、IDと初期パスワードが漏れます。さらに、当然ですがその紙が投函された家がどこかを物理的に把握することができます。すなわちID・初期パスワード・住所の組み合わせが第三者に漏れることになるわけです。

パスワードの安全性というのは確率だけの問題です。破れないパスワードというものは存在しません。でなければ誰もログインできないですから。今回のように一回しか利用しないサイトであり、二度と入力しないはずのパスワードに対して安全性の高いパスワードをどれだけの人が設定するかは非常に疑問です。複雑なパスワードを自力で考えるにしても乱数生成ソフトを使うにしても、安全性の高いパスワードを設定するのはかなり高いリテラシーを要求される作業です。多くの人は初期パスワードをちょっとだけ変えたものや、自分の氏名を少し変形した文字列など、容易に推測できるパスワードを設定している可能性が高いです。

実在するIDが知られることも問題です。何もない状況でIDとパスワードの組み合わせを当てるということは偶然に正しい組み合わせにヒットする確率を格段に下げることができます。かつてはユーザーフレンドリの観点からIDやパスワードは入力欄から桁数がわかり、入力を間違えるとどちらを間違えたのかエラーメッセージでわかる(「IDが存在しません」なのか「パスワードが違います」なのか)ようなサイトも多かったのですが、最近ではあまり見掛けなくなりました。

国勢調査では、その世帯に住む人の氏名・生年月日・勤務先などを入力します。世の中には本人確認を住所や生年月日で行う企業がまだまだ多くあります。この企業にこの氏名の社員が存在するという情報は悪用のし甲斐のある情報です。それ単体では漏れても大した影響のなさそうな情報でも、他の情報と紐づくと大きなリスクになるのが個人情報です。

まぁ、実際にはパスワードを破っても一世帯分の情報しか得られないし、その労力を考えると現実的にはそこまでやる人がいるとは思わないんですけれど、安直に初期パスワードが漏れたって何も個人情報は漏れない、などと言い切る人があまりにも多いので、ちょっと思うところを書いてみました。

今回の場合、個人レベルでやれることは、やはり複雑性の高いパスワードを設定することに尽きます。乱数生成ツールは世の中にいくらでも出回っています。そのようなツールを使って最大限複雑なパスワードを設定されることをお勧めします。

関連記事

情報セキュリティスペシャリスト試験の結果発表
情報セキュリティスペシャリスト合格証書

LINEで送る
Pocket