自治体の「個人情報保護条例」がネックになってFAXを使わざるを得ない…という話もあるようですが、個人的にはそれ以上に、国の規定する「個人情報保護法」において
- 情報のストックや利用に関して他人に制約を課すことにばかり関心が高い割に、その安全性の担保は仕組みを作らず人に依拠するだけになっている
- 関係者間での安全な情報受け渡しのためのフローやプロトコルがきちんと規定されていないこと
- 「関係者」の対義語になる筈の「第三者」が定義されていないために、個々の情報の受け渡しや共有の「範囲」の設定が現場で混乱を起こしていること
そのためか、国も自治体も(特にITから逃げ回りたい管理職や高齢職員は)「ITを用いた電子データの取り扱いや受け渡しに対してはやたらととやかく騒ぐ一方で、情報の受け渡しや共有手段のひとつであるFAXの利用については何も検証してこなかった」というのが実情だろうと思います。
例えば、FAXの利用上、「正しい送信先にFAXが送信されていて、かつ第三者にFAXの内容が漏洩していないこと」を送信側が毎回確認しエビデンスを残すようなことができているのかとなると極めて疑問なのですが、ITを利用する場面ではそこがうるさく問われたりします。もっともこれは行政だけではなく、多くの企業や教育現場等でも同じでしょう。
個人的には「FAX廃止」には非常に賛成でさっさとやってくれ…という考えですが、他方行政官署内部での(個人)情報の保護と利用についても両立させる必要がある…とは思っています。実際には現在のIT技術でもこれらを両立させることは既に可能な筈ですが、現状では官民問わずIT部門のリテラシーが低すぎて実現が追い付いていない感があります。
例えば、FAXを廃止した後にどうするのか…?という手段としてすぐに思い付くのがメールになります。ただ、現状の素のSMTPでは「個別に暗号化してパスワードを付与したファイルを添付し、そのパスワードを後送する」といういわゆる「PPAP」というやり方がよく使われていますが、このやり方自体既に
- メールの受信側で送信元の本人確認の手段がない
- パスワードを後送したところでメールの送信路が元のファイル添付のメールと同じになることが殆どで、悪意の第三者の元ではいくらでもパスワードごと傍受可能
このあたり、SMTPの電子メールを使用するのであれば、PKI(公開鍵暗号化方式)によるS/MIMEの利用がもっと推進されるべきだろうと思いますが、ファイルのやり取りが必要な場合ならファイル受け渡しサーバーを利用する形に変えるべきでしょうし、行政がよく行うワークフローである「申請」のようなものなら、基本的に暗号化したWebを使用する形を組織として整備することでFAXの代替を考えるべきではないかと思います。
あと、これも行政だけではなく民間でもよく見られることですが。現状のメールの利用に当たっては、組織内での「メールアドレス」の運用の仕方にも問題のある組織が多々見受けられます。最後にそこを指摘しておきたいと思います。
- 「組織で仕事をしている」ような場面の場合、行政側から送信するメールの送信元は「組織のアドレス」にすべきであるが、そういうアドレスの運用を面倒くさがり、担当者個人名のメールアドレスでのメール送信を強要する組織が多い
- 広報等、広く周知したいメールを送信する時に、宛先となる個々のメールアドレスを他に知らせたくない…という理由でBcc:に多数並べる運用をしている組織が多いが、これはダメ。そういうメールを送信したいのであれば、メーリングリストを作成し、そのメーリングリストをTo:なりCc:に書くべき。個々のメールアドレスが配布先に知られることがなくなり、かつBcc:に貼るべきアドレスをTo:やCc:に貼ってしまってメールアドレスを漏洩させるような事故の防止にも繋がる。
