アカウント名:
パスワード:
高木浩光さんの日記にある、社会保険事務所の人の言葉 「 わたしたち職員くらいにしか分かりません 」個人的には、この言葉が全てだと思います。
同じく高木浩光さんの日記から抜粋すると、・性同一性障害で性別を変更した人の全てに、特定4桁から始まる基礎年金番号が再付番されるわけではなく、 そのうち「年金分割記録を保有する者」(離婚により年金を分割した場合で生じる)について、そのような基礎年金番号が再付番される。・再付番された場合、元の基礎年金番号と2つの基礎年金番号を持つことになる。とあるので、上記条件の場合、特殊(例外?)の運用が発生するのではないのかと考えられる気がします。一人につき基礎年金番号が二つ発生するなんて、社会年金が始まった当初は「要件に含まれてなかった」のかと。
という事で、言い方を以下のようにすれば良かったのかなぁなんて思ったりする。 「同一人物で基礎年金番号が二つ存在する人に対しては、それを一目で識別できる番号4桁を付与する」みたいな感じにしておけば。「性同一性障害者」という前提でなければ、良かったのかもね。
後、以下はあくまでも僕の個人的な見解です。僕はこのシステムを考えた人は、「性同一性障害者」に対する理解があったと思います。何故なら、番号で識別できない場合にどの様に確認するかを考えてみると・・・ ・社会年金事務所の職員は、訪れた人全員に対して「性同一性障害者」かどうかをDBで確認しなきゃならない。 となると、手間はかかるし時間もかかってクレーマーがうるさそう。 ・社会年金事務所の職員は、何も考えずに通常の書類を出した時に、 訪れた人に「実は私・・・」って言わせる事になってしまうんじゃないかと。 社会年金事務所ってきっと一般の人もいると思うので、その状況でそれを言わせるのはどうかと。その問題を一気に解決させる為に、こんな手段を考えたのではないのかと思います。「性同一性障害者」の話って、ホントここ数年で有名になった話だと思います。となると、いきなり「システム大更改!」って訳にもいかないでしょうし、小手先でも一目で分かる様にしないと、それこそ「毎回言わなきゃならないのは苦痛だ!」ってなりそう。という事で、僕はこの仕組み自体を悪いとは思いません。バレなきゃね。そういう意味では、今回の高木さんの日記は、ちょっと過剰反応の様な気がします。
#何でもかんでも「情報公開すれば良い」ってものじゃないのになぁて最近思ったりする。#「知らない方が幸せ」って事も結構多い気がするんだけどなぁ・・・。
29.国家による個人識別番号とその利用システムのあり方 ~ プライバシーの観点から 〇高木浩光・山口利恵 ・渡辺創 (産業技術総合研究所)
> saitohさん
貴重な情報、ありがとうございます。弘前ではさすがに生で見る事はできませんが、記事などになったら参照させて頂きます。
更に詳しい情報ありがとうございます!
予稿は読みたい気もしますが、学会員じゃないので・・・。後出しでも良いので、掲載されたら読んでみようと思います。
データベース的に主キー(プライマリキー)を利用者に見せるのは悪手ですので、大前提として、今回のように主キーの一部に意味を持たせている設計は、そびえたつ糞です。
なんですが、運用上、キーの一部を利用者が知る必要がある場合でも、キーの一部から、意味が洩れてはいけません。特に重要なプライバシー情報なら。
情報理論に詳しい人には通じると思いますが、これは、暗号の一種です。
AならばB というのを、暗号鍵Aを使うと平文(ひらぶん)Bが得られるという意味だとすると、今回は、Bから容易にAが得られるので、暗号鍵が暗号鍵の意味を満たしていません。
暗号理論でいうところの、アルゴリズムを秘匿するタイプの暗号 です。
今回のアルゴリズムは、「性同一性障害(かついくつかの条件を満たす)なら8500」 というアルゴリズムで、「8500なら性同一性障害(かついくつかの条件を満たす)」ということです。
仮にこの番号を変えたとしても、アルゴリズムの秘匿だけで成り立っている暗号なので、脆弱性の穴は埋められません。
誰が出した要件でこうなっているのか分かりませんが、まあ、そういうことです。
非常に分かり易い説明、ありがとうございます。
>データベース的に主キー(プライマリキー)を利用者に見せるのは悪手です
おっしゃる通りです。
>運用上、キーの一部を利用者が知る必要がある場合でも、>キーの一部から、意味が洩れてはいけません。特に重要なプライバシー情報なら。
これに関しては、少しだけ意見が違います。(もちろん主キーでない事前提ですが)今回の場合、性同一性障害の方の場合、ある種の「例外パターン」だと思います。その為、出来れば参照するキーでそれを区分けされていれば、すぐにその「例外パターン」の運用を行う事になると思います。もちろん、今回は(一般的に)表に出ていない情報の見分け方が漏れてしまったので、それはやってはいけなかった事だと思います。とはいえ、運用上の話からすると、キーを見て判別できるのは、ありがたい話だと思います。
>情報理論に詳しい人には通じると思いますが、これは、暗号の一種です。
ゴメンなさい、情報理論は僕はあまり詳しくないのですが、分かり易く書いて下さった為、僕でも理解できた(つもり)です。
>仮にこの番号を変えたとしても、アルゴリズムの秘匿だけで成り立っている暗号なので、脆弱性の穴は埋められません。
結論としては、上記の様な状態は変わらないので現在の方式は誤っているという解釈でよろしいでしょうか?
ひろみちゅ先生ほど「知らぬが仏」の言葉が当てはまる人はいないと思いますね。ま、それでも、「バレたら終わり」なシステムが良くないのは変わらない。
>という事で、僕はこの仕組み自体を悪いとは思いません。バレなきゃね。>そういう意味では、今回の高木さんの日記は、ちょっと過剰反応の様な気がします。
いやいやいや、どう考えてもバレるしネットで広まるでしょう。年金事務所を退職する職員全員の脳内からこの割り当て番号の記憶だけ消せるようなスーパー技術でもあれば話は別ですがね。
>社会保険事務所の人の言葉> 「 わたしたち職員くらいにしか分かりません 」>個人的には、この言葉が全てだと思います。
あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?
>いやいやいや、どう考えてもバレるしネットで広まるでしょう。
今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
>あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?
一応、退職する際の「守秘義務」があるので、まずはそれが一つ。後は・・・自覚してもらうしかないですねぇ。経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
#でも最近のツイッター騒ぎとか見てると、逆に新人の方が平気で漏らしそうな気がする・・・
#2377274で返信をつけたものです
>>あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの>>従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?>>一応、退職する際の「守秘義務」があるので、まずはそれが一つ。>後は・・・自覚してもらうしかないですねぇ。>経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
私がもともとの返信で問題提起したのは「(自分のプライバシーに属する情報を知った)相手が、その情報を別の人間に勝手に教える」ということについてではありません。それより前の段階で生じている「自分のプライバシーに属する情報を、自分の意思とは関係なく、相手に伝えてしまう」ということについてです。
企業の経営者や従業員は、経理部門の従業員に自社の財務状況を知られるということについて、あらかじめ納得したうえで、組織を作り仕事を任せ働いています。性同一性障害で性別変更手続きを行った年金加入者も、年金機構のDBに自分の性別情報が登録され、業務上その情報にアクセスする必要が生じた年金機構職員が、性別変更しているという地事を確認することについて、あらかじめ了承したうえで、年金に加入しています(本当は不満があるのかもしれないが)。しかし、勤務先や役所・民間施設の窓口で、性別変更情報へのアクセスがまったく発生しない手続きのために年金番号を提示するときは、加入者は「性別変更者という情報を相手に伝える」ことを許可したわけではありません。
・年金番号に属性情報が組み込まれていて、年金機構で関連業務で従事したことのある人間は見ただけでそれがわかる。・その人たちは社会全体に散らばっていて、年金機構以外の場所で自分の年金番号に接する経路上のどこかにいるかもしれないこれでは自分のプライバシーについての情報を自分でコントロールできない社会になってしまいます。
>年金事務所を退職する職員全員の脳内からこの割り当て番号の記憶だけ消せるような>スーパー技術でもあれば話は別ですがね。
と書いたのはそういうことです。
>>いやいやいや、どう考えてもバレるしネットで広まるでしょう。>>今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
本当に分からないといえればそれで良いのでしょうが、実際には個人のモラル頼み。故意・事故で漏れた場合は膨大なコストをかけて番号を変更しなければいけない。そんな爆弾をこれから先ずっと抱え込んでまでこの仕組みを維持しようとする理由がわかりません。必要な属性情報は全部DBに入ってるのに、なんで人間がIDから判別する必要があるんですかね?
ところで、ネット上のこの件についての議論を見ると、識別番号を知りうるのは年金機構の職員だけ(だから職員を縛れば大丈夫だ)と思っている人がほとんどのようですが・・・性別変更済みの年金加入者が自分の番号を見る、ということは、みんな考えていないんでしょうかね?これを防ぐために「前半4桁」を「年金機構だけが知る秘密の4箇所」に変更したとしても、性別変更済みの加入者が3人も集まって互いの番号を突き合わせれば、ほぼ確実にバレてしまうんですけどね
> >いやいやいや、どう考えてもバレるしネットで広まるでしょう。
> 今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。何故入れ替えた後は分からないと思うのかが分からない。発行された本人だって分かるのに、
> 経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
「会社の財務状況」は一般的に部外秘ではないので、社内ではベラベラ喋りますよね。更に、社外にも少
えっと、まず># むきにならずに落ち着いて反論した方が、皆にとって有益になります。
ムキになってるつもりはないですよ。でもそう見えたのなら反省します。
>いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。
少なくとも、現時点では同じフォーマット(最初の4桁)にするとは明記されてませんし、どこをどう見たらそう判別できるかは判明していないし、表ざたにはならないでしょう。根掘り葉掘り調べたい人はそこまでするでしょうが、逆に僕はそこまでする人の神経を疑います。「そんなに知りたいのか?」って感じで。
>「会社の財務状況」は一般的に部外秘ではないので、社内ではベラベラ喋りますよね。
はっきり言います。そんな経理の人はクビにすべきです。経理の人って、お昼ごはんも一人で行くのが基本です。もちろん経営陣には話すでしょうが、それ以外の人達に喋る人は経理失格です。(知り合いに経理1級持ってる人がいて、そう言ってました)
>更に、社外にも少なくとも半期毎に公表されますよね。
会社の全てが公表される訳ではないですよ。IR情報から、そんなに細かい情報を得られるのでしょうか?(例えば、その会社がメインに投資してる部門とか)
>新人じゃなくても、飲み屋でいい気分で大声を出して社外秘の話をしてるおっさんはたくさん居ますね。
ああ、いますね(苦笑)。僕はお酒飲まないので、あまり飲み屋に行かないのですが、それでもある程度は。でも、自分も飲んでる訳で、そこまで気にしないかと。
>そこで「新人」と限ったのは、「ツイッター騒ぎ」ぐらいしか見てないと言う事?
いや、最近ツイッター騒ぎが多いので、例えで出しただけです。
おいおい、「俺は気にしない」以上の主張が何も無いじゃないかw
> ムキになってるつもりはないですよ。でもそう見えたのなら反省します。
反省もしてないし、
>おいおい、「俺は気にしない」以上の主張が何も無いじゃないかw
そうですか?自分としてはそのつもりはないんですが・・・。逆に、何を求めてるのでしょう?
という事で、逆に聞かせて下さい。
>いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。何故こう思うのでしょうか?
#あー、冷静に見たらムキになってました。失礼しました。今回は冷静なつもりです。
>「同一人物で基礎年金番号が二つ存在する人に対しては、それを一目で識別できる番号4桁を付与する」みたいな感じにしておけば。>「性同一性障害者」という前提でなければ、良かったのかもね。
今までの話を総合すると、「8500」は性同一性障害者の方"のみ"に対して割り振られる番号です。報道が事実ならば、その言い回しはただの屁理屈でしかありません。議論の余地なく、性同一性障害者という前提で割り振られた番号だからです。
>・社会年金事務所の職員は、訪れた人全員に対して「性同一性障害者」かどうかをDBで確認しなきゃならない。>となると、手間はかかるし時間もか
>今までの話を総合すると、「8500」は性同一性障害者の方"のみ"に対して割り振られる番号です。>報道が事実ならば、その言い回しはただの屁理屈でしかありません。
「物は言い様」だと思うんです。実際は「性同一性障害者のみ」でも、表向きでは「一人に二つの基礎年金番号がある人」にしておけば、余程根掘り葉掘りしない限り、分かる事ではないと思います。
>というか、性同一性障害者か否かに関わらず、DBに問い合わせをするでしょう。普通。
あー言われてみればそうかもしれません。この部分に関しては僕が誤ってました。申し訳ありません。
>これは私もその通りだと思うのですが、しかし番号で識別するのは如何にも悪手ですし、
ん~、「臨時対応」としては、悪い手ではないと僕は思います。ただ、マニュアルにストレートに書き過ぎただけかと・・・。
>この運用で対処してしまうと、そもそもシステム改修検討という段階に進みません。
「性同一性障害者」対応の為だけに、システム改修検討まで行くものでしょうか?それこそ「税金の無駄遣い」って騒ぐ人も多くなりそうな気もします。
>その「バレなきゃ」が恐ろしく難しいため、今回のように番号まで判明してしまったのです。>なぜなら公務員でなくても、例えば会社の庶務担当の方でも閲覧可能な番号だからです。
今回は年金機構のマニュアルが外部から閲覧できた事によって、判明したものです。逆に言えば、今後は「社外秘」扱いにすれば、バレる確率は減ると思います。
>高木氏が声をあげたことによってやっと、システム改修に話が進む可能性がでたと考えます。
逆に言えば、高木氏が声をあげなければ、ここまで広まらなかったと思いますし、スラドでタレこまれる確率も低かったかなぁと。ニュース記事になったとはいえ、大多数が「ふ~ん」で終わると思うのですが。
>表向きでは「一人に二つの基礎年金番号がある人」にしておけば、>余程根掘り葉掘りしない限り、分かる事ではないと思います。
それはどうでしょうか。運用上では、「この番号の人は性同一性障害者」として扱う、つまり公務員の方はそういう認識にならざるを得ないわけです。勿論公務員がただの一人も口外しなければ発覚しませんが、「人の口に戸は立てられぬ」という言葉もあります。私は、難しいと思います。
>ん~、「臨時対応」としては、悪い手ではないと僕は思います。
臨時対応とは何処にも書かれていません。実際「8500」が広まったため、別の番号にして裁番し直したそうです
>運用上では、「この番号の人は性同一性障害者」として扱う、>つまり公務員の方はそういう認識にならざるを得ないわけです。>勿論公務員がただの一人も口外しなければ発覚しませんが、>「人の口に戸は立てられぬ」という言葉もあります。
それは古今東西変わらない事だと思いますし、他の事案でもある事だと思います。ただ、現代は噂(真贋含む)が一気に広まる世界ではあるので、難しい問題なのは確かですね。
>臨時対応とは何処にも書かれていません。
ゴメンなさい。勝手に「臨時対応」にしちゃいました。
>実際「8500」が広まったため、別の番号にして裁番し直したそうですので、>システム改修がなければ、今後もずっとこの対応を続けるのだと思います。
そう思います。ただ、「先頭4桁で判別」というフォーマットをそのまま使うかは不明です。もう少し複雑化されてるとは思いますが、そこを突っつくのは野暮だと思います。
>高木氏はニュースを見てブログを書いただけです。
高木氏のブログの影響力は大きいと思います。高木氏が取り上げたから、実際にそういった目にあった人のブログも目に付いた訳で。もし僕が同じ様なブログ書いても、大して影響力はないと思います。
>大多数が「ふ~ん」で終わるとしても、残りの少数の記憶には残るでしょう。>性同一性障害者を差別するような思考の持ち主には、特に。
そうですね、それは否めません。個人的には「悪趣味だなぁ」とは思いますが、そういう人達がいるのも現実ですね。
>ここで騒いでおかないと、今後別のシステムでも同様の運用を行おうとするでしょうし。>騒ぐことには意味があると思います。
「パブリックコメント」の様な形で、意見を取り入れるのは良いとは思いますが、今回の様な騒がれ方は、あまり良くないような気も・・・。あまりにも「性同一性障害者」の部分がピックアップされてますし、その方々が「被害者」でシステム側が「加害者」という構造になってる気がします。
>もしかしたら、備考欄にちょっと書き足しておけば、完全に>ランダムな番号を使っても運用が回るかも知れません。
それはそれで、バレた時にまた騒動になる気も・・・。
>現状では、それすらも議論に上がっていないように(報道からは)思えます。
そうですね、現状「番号を振り直して対応」という時点で議論に上がってないかと。ただ、他でも言いましたが、「性同一性障害者」の為だけに、どれだけのお金を使う事になるのか(全国規模ですしね)。またそれはそれで色々と・・・。
この議論に参加するなら、マイナンバー制度を巡る議論の推移ぐらい抑えろ。住基ネットの番号の話でもいいから。
>この議論に参加するなら、マイナンバー制度を巡る議論の推移ぐらい抑えろ。>住基ネットの番号の話でもいいから。
そんなに細かい話は知らないですけど、僕自身はこのシステムに賛成派です。その方が管理は圧倒的に楽になると思うんですけど。
マイナンバー制度の是非がニュースになってた時は、「何をそんなに気にしてるんだろう?どっちにしろ年金番号で番号ついてんじゃん」って思ってたくらいです。
#ひょっとしたら、僕の考え方って少数派?お気楽に考えすぎ???
職員なら分かるというのが怖いですねふとした切っ掛けで番号を目にした職員が、あの人は性同一性障害だよ、と家族や知人に漏らすことはありうると思います
>職員なら分かるというのが怖いですね>ふとした切っ掛けで番号を目にした職員が、あの人は性同一性障害だよ、と家族や知人に漏らすことはありうると思います
それはあると思います。ただ、それは「性同一性障害」だけでなく、他の場合でもありえる話だと思います。
基本的に、そういう事を外に話さないのは、そういった仕事にあたる職員の自覚が必要だと思います。
ここは意図的に読み飛ばしているんですか? 「職員くらいにしかわかりません」というが、基礎年金番号は、住民票コードとは違って、勤務先に提出することもある、いわゆる「見える番号」である。
>ここは意図的に読み飛ばしているんですか?>「職員くらいにしかわかりません」というが、基礎年金番号は、住民票コードとは違って、勤務先に提出することもある、いわゆる「見える番号」である。
読み飛ばしたつもりはなかったのですが、僕の書き方はその様に誤解されても仕方ありません。大変失礼しました。
で、「見える番号」なので、見る人は「職員+勤務先で年金手帳を管理する人+α(分からない部分)」といった所でしょうか?とりあえず、「特定の人達」は番号を見る機会があるという事になると思います。
その「特定の人達-職員」は、番号の意味を知らなければ、何も気付かない訳ですよね?で、今回フォーマットを変えた事によって、「特定の人達-職員」には分からなくなりました。フォーマットが漏れなければ、「職員のみ」が分かるという前提も正しくなると思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
言い方変えればよかったのかなぁ? (スコア:4, 興味深い)
高木浩光さんの日記にある、社会保険事務所の人の言葉
「 わたしたち職員くらいにしか分かりません 」
個人的には、この言葉が全てだと思います。
同じく高木浩光さんの日記から抜粋すると、
・性同一性障害で性別を変更した人の全てに、特定4桁から始まる基礎年金番号が再付番されるわけではなく、
そのうち「年金分割記録を保有する者」(離婚により年金を分割した場合で生じる)について、そのような基礎年金番号が再付番される。
・再付番された場合、元の基礎年金番号と2つの基礎年金番号を持つことになる。
とあるので、上記条件の場合、特殊(例外?)の運用が発生するのではないのかと考えられる気がします。
一人につき基礎年金番号が二つ発生するなんて、社会年金が始まった当初は「要件に含まれてなかった」のかと。
という事で、言い方を以下のようにすれば良かったのかなぁなんて思ったりする。
「同一人物で基礎年金番号が二つ存在する人に対しては、それを一目で識別できる番号4桁を付与する」
みたいな感じにしておけば。
「性同一性障害者」という前提でなければ、良かったのかもね。
後、以下はあくまでも僕の個人的な見解です。
僕はこのシステムを考えた人は、「性同一性障害者」に対する理解があったと思います。
何故なら、番号で識別できない場合にどの様に確認するかを考えてみると・・・
・社会年金事務所の職員は、訪れた人全員に対して「性同一性障害者」かどうかをDBで確認しなきゃならない。
となると、手間はかかるし時間もかかってクレーマーがうるさそう。
・社会年金事務所の職員は、何も考えずに通常の書類を出した時に、
訪れた人に「実は私・・・」って言わせる事になってしまうんじゃないかと。
社会年金事務所ってきっと一般の人もいると思うので、その状況でそれを言わせるのはどうかと。
その問題を一気に解決させる為に、こんな手段を考えたのではないのかと思います。
「性同一性障害者」の話って、ホントここ数年で有名になった話だと思います。
となると、いきなり「システム大更改!」って訳にもいかないでしょうし、
小手先でも一目で分かる様にしないと、それこそ「毎回言わなきゃならないのは苦痛だ!」ってなりそう。
という事で、僕はこの仕組み自体を悪いとは思いません。バレなきゃね。
そういう意味では、今回の高木さんの日記は、ちょっと過剰反応の様な気がします。
#何でもかんでも「情報公開すれば良い」ってものじゃないのになぁて最近思ったりする。
#「知らない方が幸せ」って事も結構多い気がするんだけどなぁ・・・。
Re:言い方変えればよかったのかなぁ? (スコア:2)
29.国家による個人識別番号とその利用システムのあり方 ~ プライバシーの観点から 〇高木浩光・山口利恵 ・渡辺創 (産業技術総合研究所)
Re:言い方変えればよかったのかなぁ? (スコア:2)
> saitohさん
貴重な情報、ありがとうございます。
弘前ではさすがに生で見る事はできませんが、記事などになったら参照させて頂きます。
Re:言い方変えればよかったのかなぁ? (スコア:2)
Re:言い方変えればよかったのかなぁ? (スコア:2)
> saitohさん
更に詳しい情報ありがとうございます!
予稿は読みたい気もしますが、学会員じゃないので・・・。
後出しでも良いので、掲載されたら読んでみようと思います。
Re:言い方変えればよかったのかなぁ? (スコア:1)
データベース的に主キー(プライマリキー)を利用者に見せるのは悪手ですので、
大前提として、今回のように主キーの一部に意味を持たせている設計は、そびえたつ糞です。
なんですが、
運用上、キーの一部を利用者が知る必要がある場合でも、
キーの一部から、意味が洩れてはいけません。特に重要なプライバシー情報なら。
情報理論に詳しい人には通じると思いますが、これは、暗号の一種です。
AならばB というのを、暗号鍵Aを使うと平文(ひらぶん)Bが得られるという意味だとすると、
今回は、Bから容易にAが得られるので、暗号鍵が暗号鍵の意味を満たしていません。
暗号理論でいうところの、アルゴリズムを秘匿するタイプの暗号 です。
今回のアルゴリズムは、「性同一性障害(かついくつかの条件を満たす)なら8500」 というアルゴリズムで、
「8500なら性同一性障害(かついくつかの条件を満たす)」ということです。
仮にこの番号を変えたとしても、アルゴリズムの秘匿だけで成り立っている暗号なので、脆弱性の穴は埋められません。
誰が出した要件でこうなっているのか分かりませんが、まあ、そういうことです。
Re:言い方変えればよかったのかなぁ? (スコア:2)
非常に分かり易い説明、ありがとうございます。
>データベース的に主キー(プライマリキー)を利用者に見せるのは悪手です
おっしゃる通りです。
>運用上、キーの一部を利用者が知る必要がある場合でも、
>キーの一部から、意味が洩れてはいけません。特に重要なプライバシー情報なら。
これに関しては、少しだけ意見が違います。(もちろん主キーでない事前提ですが)
今回の場合、性同一性障害の方の場合、ある種の「例外パターン」だと思います。
その為、出来れば参照するキーでそれを区分けされていれば、
すぐにその「例外パターン」の運用を行う事になると思います。
もちろん、今回は(一般的に)表に出ていない情報の見分け方が漏れてしまったので、
それはやってはいけなかった事だと思います。
とはいえ、運用上の話からすると、キーを見て判別できるのは、ありがたい話だと思います。
>情報理論に詳しい人には通じると思いますが、これは、暗号の一種です。
ゴメンなさい、情報理論は僕はあまり詳しくないのですが、
分かり易く書いて下さった為、僕でも理解できた(つもり)です。
>仮にこの番号を変えたとしても、アルゴリズムの秘匿だけで成り立っている暗号なので、脆弱性の穴は埋められません。
結論としては、上記の様な状態は変わらないので現在の方式は誤っているという解釈でよろしいでしょうか?
Re: (スコア:0)
ひろみちゅ先生ほど「知らぬが仏」の言葉が当てはまる人はいないと思いますね。
ま、それでも、「バレたら終わり」なシステムが良くないのは変わらない。
Re: (スコア:0)
>という事で、僕はこの仕組み自体を悪いとは思いません。バレなきゃね。
>そういう意味では、今回の高木さんの日記は、ちょっと過剰反応の様な気がします。
いやいやいや、どう考えてもバレるしネットで広まるでしょう。
年金事務所を退職する職員全員の脳内からこの割り当て番号の記憶だけ消せるようなスーパー技術でもあれば話は別ですがね。
>社会保険事務所の人の言葉
> 「 わたしたち職員くらいにしか分かりません 」
>個人的には、この言葉が全てだと思います。
あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?
Re:言い方変えればよかったのかなぁ? (スコア:2)
>いやいやいや、どう考えてもバレるしネットで広まるでしょう。
今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
>あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?
一応、退職する際の「守秘義務」があるので、まずはそれが一つ。
後は・・・自覚してもらうしかないですねぇ。
経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
#でも最近のツイッター騒ぎとか見てると、逆に新人の方が平気で漏らしそうな気がする・・・
Re:言い方変えればよかったのかなぁ? (スコア:1)
#2377274で返信をつけたものです
>>あのー、その「全て」の中には、元職員が民間企業に再就職して、そこの
>>従業員の年金番号に接する立場になるというケースは含まれているのでしょうか?
>
>一応、退職する際の「守秘義務」があるので、まずはそれが一つ。
>後は・・・自覚してもらうしかないですねぇ。
>経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
私がもともとの返信で問題提起したのは「(自分のプライバシーに属する情報を知った)相手が、その情報を別の人間に勝手に教える」ということについてではありません。
それより前の段階で生じている「自分のプライバシーに属する情報を、自分の意思とは関係なく、相手に伝えてしまう」ということについてです。
企業の経営者や従業員は、経理部門の従業員に自社の財務状況を知られるということについて、あらかじめ納得したうえで、組織を作り仕事を任せ働いています。
性同一性障害で性別変更手続きを行った年金加入者も、年金機構のDBに自分の性別情報が登録され、業務上その情報にアクセスする必要が生じた年金機構職員が、性別変更しているという地事を確認することについて、あらかじめ了承したうえで、年金に加入しています(本当は不満があるのかもしれないが)。
しかし、勤務先や役所・民間施設の窓口で、性別変更情報へのアクセスがまったく発生しない手続きのために年金番号を提示するときは、加入者は「性別変更者という情報を相手に伝える」ことを許可したわけではありません。
・年金番号に属性情報が組み込まれていて、年金機構で関連業務で従事したことのある人間は見ただけでそれがわかる。
・その人たちは社会全体に散らばっていて、年金機構以外の場所で自分の年金番号に接する経路上のどこかにいるかもしれない
これでは自分のプライバシーについての情報を自分でコントロールできない社会になってしまいます。
>年金事務所を退職する職員全員の脳内からこの割り当て番号の記憶だけ消せるような
>スーパー技術でもあれば話は別ですがね。
と書いたのはそういうことです。
>>いやいやいや、どう考えてもバレるしネットで広まるでしょう。
>
>今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
本当に分からないといえればそれで良いのでしょうが、実際には個人のモラル頼み。
故意・事故で漏れた場合は膨大なコストをかけて番号を変更しなければいけない。
そんな爆弾をこれから先ずっと抱え込んでまでこの仕組みを維持しようとする理由がわかりません。
必要な属性情報は全部DBに入ってるのに、なんで人間がIDから判別する必要があるんですかね?
ところで、ネット上のこの件についての議論を見ると、識別番号を知りうるのは年金機構の職員だけ(だから職員を縛れば大丈夫だ)と思っている人がほとんどのようですが・・・
性別変更済みの年金加入者が自分の番号を見る、ということは、みんな考えていないんでしょうかね?
これを防ぐために「前半4桁」を「年金機構だけが知る秘密の4箇所」に変更したとしても、性別変更済みの加入者が3人も集まって互いの番号を突き合わせれば、ほぼ確実にバレてしまうんですけどね
Re: (スコア:0)
> >いやいやいや、どう考えてもバレるしネットで広まるでしょう。
> 今回番号を全て入れ替える(入れ替えた?)訳ですが、その番号が分からなければ良いのかと。
いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。
何故入れ替えた後は分からないと思うのかが分からない。
発行された本人だって分かるのに、
> 経理の人が、自分の会社の財務状況を社員にベラベラ喋る人はいませんよね。
「会社の財務状況」は一般的に部外秘ではないので、社内ではベラベラ喋りますよね。
更に、社外にも少
Re:言い方変えればよかったのかなぁ? (スコア:2)
えっと、まず
># むきにならずに落ち着いて反論した方が、皆にとって有益になります。
ムキになってるつもりはないですよ。でもそう見えたのなら反省します。
>いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。
少なくとも、現時点では同じフォーマット(最初の4桁)にするとは明記されてませんし、
どこをどう見たらそう判別できるかは判明していないし、表ざたにはならないでしょう。
根掘り葉掘り調べたい人はそこまでするでしょうが、
逆に僕はそこまでする人の神経を疑います。「そんなに知りたいのか?」って感じで。
>「会社の財務状況」は一般的に部外秘ではないので、社内ではベラベラ喋りますよね。
はっきり言います。そんな経理の人はクビにすべきです。
経理の人って、お昼ごはんも一人で行くのが基本です。
もちろん経営陣には話すでしょうが、それ以外の人達に喋る人は経理失格です。
(知り合いに経理1級持ってる人がいて、そう言ってました)
>更に、社外にも少なくとも半期毎に公表されますよね。
会社の全てが公表される訳ではないですよ。
IR情報から、そんなに細かい情報を得られるのでしょうか?
(例えば、その会社がメインに投資してる部門とか)
>新人じゃなくても、飲み屋でいい気分で大声を出して社外秘の話をしてるおっさんはたくさん居ますね。
ああ、いますね(苦笑)。
僕はお酒飲まないので、あまり飲み屋に行かないのですが、それでもある程度は。
でも、自分も飲んでる訳で、そこまで気にしないかと。
>そこで「新人」と限ったのは、「ツイッター騒ぎ」ぐらいしか見てないと言う事?
いや、最近ツイッター騒ぎが多いので、例えで出しただけです。
Re: (スコア:0)
おいおい、「俺は気にしない」以上の主張が何も無いじゃないかw
> ムキになってるつもりはないですよ。でもそう見えたのなら反省します。
反省もしてないし、
Re:言い方変えればよかったのかなぁ? (スコア:2)
>おいおい、「俺は気にしない」以上の主張が何も無いじゃないかw
そうですか?自分としてはそのつもりはないんですが・・・。
逆に、何を求めてるのでしょう?
という事で、逆に聞かせて下さい。
>いやいやいや、どう考えてもその変更後の番号がバレるしネットで広まるでしょう。
何故こう思うのでしょうか?
#あー、冷静に見たらムキになってました。失礼しました。今回は冷静なつもりです。
Re: (スコア:0)
>「同一人物で基礎年金番号が二つ存在する人に対しては、それを一目で識別できる番号4桁を付与する」
みたいな感じにしておけば。
>「性同一性障害者」という前提でなければ、良かったのかもね。
今までの話を総合すると、「8500」は性同一性障害者の方"のみ"に対して割り振られる番号です。
報道が事実ならば、その言い回しはただの屁理屈でしかありません。
議論の余地なく、性同一性障害者という前提で割り振られた番号だからです。
>・社会年金事務所の職員は、訪れた人全員に対して「性同一性障害者」かどうかをDBで確認しなきゃならない。
>となると、手間はかかるし時間もか
Re:言い方変えればよかったのかなぁ? (スコア:2)
>今までの話を総合すると、「8500」は性同一性障害者の方"のみ"に対して割り振られる番号です。
>報道が事実ならば、その言い回しはただの屁理屈でしかありません。
「物は言い様」だと思うんです。
実際は「性同一性障害者のみ」でも、
表向きでは「一人に二つの基礎年金番号がある人」にしておけば、
余程根掘り葉掘りしない限り、分かる事ではないと思います。
>というか、性同一性障害者か否かに関わらず、DBに問い合わせをするでしょう。普通。
あー言われてみればそうかもしれません。
この部分に関しては僕が誤ってました。申し訳ありません。
>これは私もその通りだと思うのですが、しかし番号で識別するのは如何にも悪手ですし、
ん~、「臨時対応」としては、悪い手ではないと僕は思います。
ただ、マニュアルにストレートに書き過ぎただけかと・・・。
>この運用で対処してしまうと、そもそもシステム改修検討という段階に進みません。
「性同一性障害者」対応の為だけに、システム改修検討まで行くものでしょうか?
それこそ「税金の無駄遣い」って騒ぐ人も多くなりそうな気もします。
>その「バレなきゃ」が恐ろしく難しいため、今回のように番号まで判明してしまったのです。
>なぜなら公務員でなくても、例えば会社の庶務担当の方でも閲覧可能な番号だからです。
今回は年金機構のマニュアルが外部から閲覧できた事によって、判明したものです。
逆に言えば、今後は「社外秘」扱いにすれば、バレる確率は減ると思います。
>高木氏が声をあげたことによってやっと、システム改修に話が進む可能性がでたと考えます。
逆に言えば、高木氏が声をあげなければ、ここまで広まらなかったと思いますし、
スラドでタレこまれる確率も低かったかなぁと。
ニュース記事になったとはいえ、大多数が「ふ~ん」で終わると思うのですが。
Re: (スコア:0)
>表向きでは「一人に二つの基礎年金番号がある人」にしておけば、
>余程根掘り葉掘りしない限り、分かる事ではないと思います。
それはどうでしょうか。
運用上では、「この番号の人は性同一性障害者」として扱う、
つまり公務員の方はそういう認識にならざるを得ないわけです。
勿論公務員がただの一人も口外しなければ発覚しませんが、
「人の口に戸は立てられぬ」という言葉もあります。
私は、難しいと思います。
>ん~、「臨時対応」としては、悪い手ではないと僕は思います。
臨時対応とは何処にも書かれていません。
実際「8500」が広まったため、別の番号にして裁番し直したそうです
Re:言い方変えればよかったのかなぁ? (スコア:2)
>運用上では、「この番号の人は性同一性障害者」として扱う、
>つまり公務員の方はそういう認識にならざるを得ないわけです。
>勿論公務員がただの一人も口外しなければ発覚しませんが、
>「人の口に戸は立てられぬ」という言葉もあります。
それは古今東西変わらない事だと思いますし、他の事案でもある事だと思います。
ただ、現代は噂(真贋含む)が一気に広まる世界ではあるので、
難しい問題なのは確かですね。
>臨時対応とは何処にも書かれていません。
ゴメンなさい。勝手に「臨時対応」にしちゃいました。
>実際「8500」が広まったため、別の番号にして裁番し直したそうですので、
>システム改修がなければ、今後もずっとこの対応を続けるのだと思います。
そう思います。ただ、「先頭4桁で判別」というフォーマットをそのまま使うかは不明です。
もう少し複雑化されてるとは思いますが、そこを突っつくのは野暮だと思います。
>高木氏はニュースを見てブログを書いただけです。
高木氏のブログの影響力は大きいと思います。
高木氏が取り上げたから、実際にそういった目にあった人のブログも目に付いた訳で。
もし僕が同じ様なブログ書いても、大して影響力はないと思います。
>大多数が「ふ~ん」で終わるとしても、残りの少数の記憶には残るでしょう。
>性同一性障害者を差別するような思考の持ち主には、特に。
そうですね、それは否めません。
個人的には「悪趣味だなぁ」とは思いますが、そういう人達がいるのも現実ですね。
>ここで騒いでおかないと、今後別のシステムでも同様の運用を行おうとするでしょうし。
>騒ぐことには意味があると思います。
「パブリックコメント」の様な形で、意見を取り入れるのは良いとは思いますが、
今回の様な騒がれ方は、あまり良くないような気も・・・。
あまりにも「性同一性障害者」の部分がピックアップされてますし、
その方々が「被害者」でシステム側が「加害者」という構造になってる気がします。
>もしかしたら、備考欄にちょっと書き足しておけば、完全に
>ランダムな番号を使っても運用が回るかも知れません。
それはそれで、バレた時にまた騒動になる気も・・・。
>現状では、それすらも議論に上がっていないように(報道からは)思えます。
そうですね、現状「番号を振り直して対応」という時点で議論に上がってないかと。
ただ、他でも言いましたが、「性同一性障害者」の為だけに、
どれだけのお金を使う事になるのか(全国規模ですしね)。
またそれはそれで色々と・・・。
Re: (スコア:0)
この議論に参加するなら、マイナンバー制度を巡る議論の推移ぐらい抑えろ。
住基ネットの番号の話でもいいから。
Re:言い方変えればよかったのかなぁ? (スコア:2)
>この議論に参加するなら、マイナンバー制度を巡る議論の推移ぐらい抑えろ。
>住基ネットの番号の話でもいいから。
そんなに細かい話は知らないですけど、僕自身はこのシステムに賛成派です。
その方が管理は圧倒的に楽になると思うんですけど。
マイナンバー制度の是非がニュースになってた時は、
「何をそんなに気にしてるんだろう?どっちにしろ年金番号で番号ついてんじゃん」
って思ってたくらいです。
#ひょっとしたら、僕の考え方って少数派?お気楽に考えすぎ???
Re: (スコア:0)
職員なら分かるというのが怖いですね
ふとした切っ掛けで番号を目にした職員が、あの人は性同一性障害だよ、と家族や知人に漏らすことはありうると思います
Re:言い方変えればよかったのかなぁ? (スコア:2)
>職員なら分かるというのが怖いですね
>ふとした切っ掛けで番号を目にした職員が、あの人は性同一性障害だよ、と家族や知人に漏らすことはありうると思います
それはあると思います。
ただ、それは「性同一性障害」だけでなく、他の場合でもありえる話だと思います。
基本的に、そういう事を外に話さないのは、そういった仕事にあたる職員の自覚が必要だと思います。
Re: (スコア:0)
ここは意図的に読み飛ばしているんですか?
「職員くらいにしかわかりません」というが、基礎年金番号は、住民票コードとは違って、勤務先に提出することもある、いわゆる「見える番号」である。
Re:言い方変えればよかったのかなぁ? (スコア:2)
>ここは意図的に読み飛ばしているんですか?
>「職員くらいにしかわかりません」というが、基礎年金番号は、住民票コードとは違って、勤務先に提出することもある、いわゆる「見える番号」である。
読み飛ばしたつもりはなかったのですが、僕の書き方はその様に誤解されても仕方ありません。
大変失礼しました。
で、「見える番号」なので、見る人は「職員+勤務先で年金手帳を管理する人+α(分からない部分)」といった所でしょうか?
とりあえず、「特定の人達」は番号を見る機会があるという事になると思います。
その「特定の人達-職員」は、番号の意味を知らなければ、何も気付かない訳ですよね?
で、今回フォーマットを変えた事によって、「特定の人達-職員」には分からなくなりました。
フォーマットが漏れなければ、「職員のみ」が分かるという前提も正しくなると思います。