平井デジタル相は脱PPAPで電話でのパスワード別送を推奨したのか?

要約: していない.記者会見の主眼はPPAP(自動暗号化ZIPファイル)の廃止であり,パスワード別送は限定的な状況を念頭に置いていると思われる(機密性の高い情報).特に電話は別経路の一例に過ぎない.

次のツイートが話題になったことは記憶に新しいでしょう.


このツイートは11月24日に平井デジタル相が開いた記者会見の記事の紹介ツイートですが,「パスワードを電話で教える」という点で急速に拡散しました.
当日の記者会見の書き起こしが内閣府のページにアップロードされたので,この記事ではデジタル相の具体的な発言を見ていきます.

内閣府の対応

記者会見の初めに,デジタル相は次のように述べています(強調引用者).

まず私から、自動暗号化ZIPファイルの廃止について報告します。以前お話ししたとおり、アイデアボックスで投票数が第1位であった自動暗号化ZIPファイルの廃止については、先週17日の会見で、内閣府内閣官房で廃止する方向で検討を進めているとお話ししましたが、明後日26日に廃止をする予定ということになりました。明後日からということですね。内閣府内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています
 一方で、個人情報等の気密性(引用注: 機密性の誤字)の高い情報を含むファイルを送信する際には、例えばファイルにパスワードをかけるとともに、全く別の経路でパスワードを知らせるということが、まずは適切な対応ではなかったのかと思います
 他省庁の状況についても、NISCと連携しながら実態調査を進めており、その結果を踏まえて、ZIPファイル送信、送付と同じ経路でパスワードを自動で送る方式については廃止するということを促したいと思っています。
 このような取組は、政府内だけでなく、民間にも影響のあるものと考えておりまして、民間企業の対応なども注視しつつ、今後どのようなセキュリティ向上策をとっていくことが望ましいのか、これも実際にいろんなところで仕事をされている民間の方々に、イデアボックスの中にでもまたアイデアを送っていただきたいと思います
 このような例は利用者目線でデジタル改革を進める、そして国民の利便性を実現していくという意味では重要ではないかと思っています。ZIPファイルは以上です。

つまり,まず内閣府ではメールの添付ファイルを自動的に暗号化ZIPしてパスワードを同じ経路で伝送するシステムが運用されており,それの利用を取りやめるということが記者会見の主要なメッセージであることが分かります.
そして別経路を用いてパスワードを伝送するのは機密性が高い情報(個人情報等でしょう)を送信する場合の方法の一つとして挙げられています.まだ電話の話は出ていません←ここ大事.
また,より望ましい方法を模索している段階であることが伺えます.

では,電話でパスワードを送るという話はどこで出てきたのでしょうか.それは会見後の質疑応答のタイミングです.

(問)冒頭にあったZIPファイルについてお尋ねしたいと思います。26日から廃止ということですけれども、26日以降内閣府内閣官房からはどういった形式でファイルの送信をされるのでしょうか。
(答)それはまだ決まっていません(引用者注: 今は決まっているのでこの記事も最後まで読むこと)。いろんなやり方を考えなければいけないと思うんですけれども、セキュリティ上、今のZIPファイル、その運用というのは非常にまずいと思います。かえって危険性が高いと思っているので、そこはこれから検討するということですし、お話ししたとおり、実際いろんなファイルのやりとりを民間の方々も頻繁にやっておられますので、民間の方々の知恵も是非投稿していただければありがたいと考えています。

(問)やり方が決まるまで、暫定的にパスワードとかを付けずに送るということになるんですか。
(答)それは、パスワードを送るとしても、要するに今は同じルートで送っていましたよね。さっきお話ししたとおり、それは絶対にやってはだめと。ですから電話で教えるとか、そういうことにならざるを得ないんじゃないですか。

(問)それか、メールで送るとしても、別のメールとかアドレスとか。
(答)御社は専門家なので、是非アドバイスをください

というわけで,電話はパスワードを送る必要がある場合の方法の一つとして挙げられているのにすぎず,例えば大部分をパスワード暗号化 + 電話によるパスワード伝送に移行するという話ではないのだと分かります.
実際,ITMediaの記事によると内閣府は自身の運用するストレージサービスを主に用いるようです.

 内閣府情報化推進室によると、今後は外部へのファイル送信には内閣府のストレージサービスを活用し、ファイルを共有する。外部の事業者などには内閣府のシステムにアクセスするためのURLとログインパスワードを発行。URLやパスワードは1回限りの使い捨てになるという。

 一方、内閣府のシステムにアクセスできない事業者に対しては、メールでファイルを送信するが、プロジェクトの立ち上げ時に決めたパスワードを利用して開封してもらう。単品ファイルの場合は、WordやExcelなどの暗号化機能を使い、複数のファイルを送信する際はZIPファイルでまとめて暗号化する。単発事業の受注者に対しては、例外的な運用として電話などでパスワードを共有するという。

ストレージサービスにアクセスできない事業者*1では暗号化パスワードを別経路で最初に伝えておくという方式とのことです.
あくまでもこれは例外的なケースではないでしょうか.面倒なセキュリティは回避されがち(そして元よりも残念になってしまうもの)なので,パスワード別送が常態化しないようにうまくやってほしいものです.

民間への波及

内閣府の決定は民間にも波及しているようです.うーん残念.
どのような方法を採用するのが良いのかは以下の記事が参考になりました.ぜひご覧ください.
zenn.dev

以降ではセキュリティ対策よりもなぜ皆さんの心の中に「パスワードの電話伝送が使われていくのだ」という信念が宿るようになったのかを少し考えます.

ツイッターの反応

11月24日から「電話 パスワード」という語を含むツイートかつRTが50以上のものをを検索しました.いくつか取り上げてカテゴリ分けします.

メディア

特に産経新聞のツイートが一番最初に来たものであることから,「電話パスワード」の拡散に大きな役割を果たしたように思われます*2
メディアを批判したくなった人には「〇〇はクソ」って言うけれど… - 井山梃子歴史館をどうぞ.

まとめサイト

インターネットアルファ(疑念系)

インターネットアルファ(大喜利系)

「電話パスワード」報道への批判

これらの感想ツイートや上で挙げた電話パスワード採用ツイートから分かるように「電話でパスワードを送るようにするべきだと国は考えている」という信念はある程度広まっているようです.
自分はそんなことないんじゃないかなあと思いますが(実際内閣府もストレージサービスがメインのようです),人間はニュースを読まずにリツイートしてしまう存在なので難しいですね.
幸いにして,インターネットのおかげで一般人でも一次情報にアクセスしやすくなっています.例えば記事冒頭の記者会見要旨へのリンクに飛ぶのは一瞬ですし,平井デジタル相は自身のYouTubeチャンネルにも動画をアップロードしています.
www.youtube.com

表面的な情報に対して瞬発的にいっちょ噛みするのはなかなか楽しいのも分かりますが,具体的に起こったことやニュアンスを確認してみるのも健全だと思います.
例えば

  1. いったん(1-2週間)放置して落ち着いてから続報や公式発表を探してみる*3
  2. (まともな)本を探して読んでみる.教科書が良いですよ
  3. センセーショナルでないやり方で議論・発言してみる*4

ということを自分は心掛けるようにしています.皆さんもぜひ.

*1:これがどういうものなのかが自分はよくわかりません.事業者側で対応できていないということでしょうか?

*2:一応「暫定的」とは書いてありますが

*3:でも内閣府の書き起こしはもう少し早く出てほしい…

*4:皆さんのコメントもお待ちしています