IPAルール3
1.コロナワクチンの大規模接種センターの予約システムに不備
コロナワクチンの自衛隊の大規模接種センター予約システムが、市町村コードや接種券番号、年齢などが接種対象者のもの以外でも予約が取れてしまう「ザル」の状態であることを5月19日に、朝日新聞、毎日新聞などのマスコミが報道しました。

これに対してネット上では、「国のシステムなのにひどい」という意見の一方で、主にエンジニアやセキュリティの専門家と思われる方々から反論が多く出されています。また官房長官や防衛大臣などは「法的措置も検討する」と発言しています。

・岸防衛相、朝日新聞出版と毎日新聞に抗議へ 架空の接種券予約で|産経新聞

2.IPAのルール
ところで、昨日ごろからネット上でよく見かけるのが、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」であるという、エンジニアやセキュリティ専門家の方々の主張です。

IPAのルール2

・脆弱性発見・報告のみちしるべ ~発見者に知っておいて欲しいこと~(統合版)|IPA

・脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」 ワクチン予約システムの欠陥巡り|ITmediaニュース

しかし、このツイートの画像やURLなどにもあるように、この「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というのは、IPA(独立行政法人 情報処理推進機構)のルールのようですが、それは法令なのでしょうか?(かりにこれが法令であれば、「法の不知はこれを許さず」という法律上の原則もあてはまるわけですが。)

この点、ベネッセ個人情報漏洩事件の民事訴訟で、事業者(ベネッセ)の講じるべき安全管理措置が争われた事例において、当時の経産省の個人情報保護ガイドラインに法的拘束力を認めるものの、IPAのガイドラインには法的拘束力はないとして、ベネッセのIPAのガイドライン違反を違法としなかった裁判例があります(千葉地判平成30.6.20)。

・ベネッセの個人情報漏洩事故につき経産省ガイドラインの法的拘束力を認めるも情報処理推進機構のガイドラインの拘束力は認めなかった裁判例-千葉地判平成30・6・20

そもそも法律は主権者である国民から選挙で選ばれた国会議員の国会で作られるのが原則であり、その法律の細部を定めるために官庁が政省令(法施行令)や、さらにその政省令の細目を定める施行規則や、通達・指針・ガイドラインなどを作ることになっています。

IPAは経産省の傘下団体ではありますが、官庁ではないので、IPAのガイドラインなどに法的拘束力を認めなかった裁判所の判断は妥当だと思われます。(そもそもエンジニアなどIT業界・業種以外の普通の一般人にとっては、「IPAって何?おいしいの?」レベルだと思われますし。

つまり、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というのは、IPAのルール、つまり"SE村・IT村の内部ルール"に過ぎないと思われます。

そのため、同様に、「システムの脆弱性を見つけたら、まずは運営者に報告するのがルール」というIPAのルールに違反したとしても、報道したマスコミなどの行為が直ちに違法となるわけではないことになります。

したがって、エンジニアやセキュリティ専門家の方々が、IPAのルールを、報道をしたマスコミや国のシステム開発を批判している一般人への反論の論拠に使っても、それはあまり説得力がないのではないでしょうか。

3.国とマスコミとの関係
マスコミの報道は国民の「知る権利」に奉仕するものであり、民主主義社会の前提となるものなので憲法21条1項の表現の自由の保障の下にあるとされています(最高裁昭和44年11月26日判決・博多駅テレビフィルム事件)。

そして、国とマスコミの報道・取材との問題については、情報源の外務省の国家公務員に秘密を漏示することをそそのかした新聞記者の取材・報道が刑事裁判で争われた裁判において、裁判所は、「真に報道目的であるとき」等の場合には、記者の報道等は形式的には「そそのかし罪」の構成要件に該当するとしても、正当業務行為にあたり違法性が阻却されると判示しています(最高裁昭和53年5月31日判決・外務省秘密漏洩事件)。

今回の大規模接種センターの予約システムの問題を報道したマスコミの行動についても、かりにそれが国などに対する業務妨害罪などの刑事上の罪に形式的には該当する余地があるとしても、当該報道は、国民の生命・健康に関連するワクチン接種に係るシステムの問題であり、国民の重大な関心事であるので、実質的には報道目的ありとして、正当業務行為であり違法性が阻却され無罪となる可能性があるのではないでしょうか。

今回問題となっている大規模接種センターの予約システムは、国があらかじめ公表した「東京23区および大阪府の75歳以上の高齢者に大規模接種センターで接種する」という方針・計画に反して、23区外や75歳未満の住民などでも予約可能であったこと、つまり国・計画の方針に対して予約システムが設計段階で間違っていることが大きな問題であると思われます。

コロナから国民の生命・健康を守るために重要なワクチンを国が接種するための予約システムは、国の方針や計画をきちんと反映したものでなければならないはずです。

そうでなければ、国があらかじめ考えている接種する住民の優先順位を守ることができず、また公平・公正でなければならない国のワクチン接種などの行政行為が公平性・公正性が失われるおそれがあります。

あるいは予約システムの設計上の大きな誤りは、ワクチン接種の恣意的な運用や、間違ったな運用を許してしまうかもしれません。

しかしそれは国の行為として大きな危険をはらんでいます。わが国が国民主権の国であり、国民の福利のために国が存在する以上は、国の行為に間違いや誤りがあった場合などには、主権者である国民がそれを批判するのは正当ではないでしょうか(憲法11条、97条)。

国民が国を監視し、批判あるいは応援して政治に参画するためには、その前提として様々な情報や多様な意見が必要です。その国民の政治への参加の「助っ人」として、マスコミ・報道機関が国を取材し、批判的に報道することも、民主主義国家においては重要なことと思われます。

■参考文献
・野中俊彦・中村睦男・高橋和之・高見勝利『憲法Ⅰ 第5版』396頁

■関連する記事
・デジタル庁のプライバシーポリシーが個人情報保護法的にいろいろとひどい件-個人情報・公務の民間化
・コロナ下のテレワーク等におけるPCなどを利用した従業員のモニタリング・監視を考えた-個人情報・プライバシー・労働法・GDPR
・【デジタル関連法案】自治体の個人情報保護条例の国の個人情報保護法への統一化・看護師など国家資格保有者の個人情報の国の管理について考えた
・健康保険証のマイナンバーカードへの一体化でカルテや処方箋等の医療データがマイナンバーに連結されることを考えた
・LINEの個人情報・通信の秘密の中国・韓国への漏洩事故を個人情報保護法・電気通信事業法から考えた