パブリックコメントのなりすまし脆弱性


私がこの件を初めて知ったのはこのEngadgetの記事だったのだが、政府の知的財産戦略本部が募集したパブリックコメントアップルジャパンが投じたとされる意見書の件。


その後、そもそもそれは本当にアップルジャパンの意見なのかという疑問がつけられている。

というわけで、内閣官房 知財戦略推進事務局へ問い合わせてみました。結果は「たしかに虚偽の団体名を送信することは理論上可能」。そして「アップルジャパン(株)として受け付けたコメントに担当者名と連絡先が記載されていたことは確認しているが、とくに事務局側から照会した事実はない」。

驚いたのはパブリックコメントの提出にあたり、「たしかに虚偽の団体名を送信することは理論上可能」だということだ。この件自体は既に募集が締め切られているので、募集要領を確認することができない。代わりに他の現在進行中のパブリックコメントの募集要領を見てみる。

概ねどの官庁でも手順は統一されているようで、要するに意見提出の方法としては、電子メール・郵送・FAXの3通りである。上記の内閣官房IT担当室の入力フォームのページを見ていただけば分かるが、団体名と住所(都道府県)と連絡先の入力を求めているだけで、実にあっさりしたものである。はてなにユーザー登録する時の方が、よほど記入事項が多かった。


このフォームからの実際の送信は電子メールを利用することになるわけだが、平文のメールならやろうと思えば送信元の偽装もできるわけだ。郵送ならもっと簡単である。FAXなら発信者番号の記録次第だが…。


というわけで、パブリックコメントの提出者の偽装は「理論上可能」などというレベルではないということはよく分かった。いいのかこれ。



じゃあどうしたらということを少し考えてみる。


まず提出者側に身元証明を義務づけることは可能ではある。電子的な手段によるなら電子証明書が、郵送によるなら内容証明が利用できるだろう。FAXによる提出は廃止。ただ、これをしてしまうと、意見提出の敷居が上がってしまって、もともとの制度趣旨には沿わないだろう。


意見提出と同時に自社のホームページにその旨ニュースリリースとして出せば、「提出した」ことの証明として実用的には十分だろうが、これでは「提出していない」ことの表明はできないから騙りは防止できない。


意見提出を受けた政府・公官庁が再確認をするというのは手間を考えると非現実的である。業界団体が参加の企業に絨毯爆撃を要請するというのはよくあることなので、それを一々再確認するというのはコストとして馬鹿馬鹿しい。そういえばソフトバンクがYahooBBユーザーにパブリックコメントへの投稿を呼びかけるなんて事例もあった。政府の意に沿わない意見を提出した企業に「これ提出したのはお宅様ですか?」なんて確認の電話がかかってくるというのもあんまりよろしくなさそうである。


パブリックコメントとして寄せられた意見は最終的に今回のように公表されるわけだが、個人はともかく、団体の場合は団体名・法人名が公表される。結局、これをもって「身におぼえの無い方は申し出て下さい」というまさに現在の状態はやむをえないのかなと思う。全てのパブリックコメントの結果発表に目を通し、自分の企業が何故か載ってたりしないか確認するというのも馬鹿馬鹿しいが、どのみち自分に関連する政策についてのものであれば目を通すだろうし、全く縁もゆかりもないものならば騙られても大過ない…のかな。我ながらぐだぐだな結論である。




さて今回のアップルの件だが、アップル自身が否定も肯定もしていない現状で、あれが真正にアップルの意見かということは私には断言できない。ただ、心証としてはアップルのものじゃなかった説に傾いている。


理由はその現時点でも否定も肯定もしていないところで、最終的に公表されるものだと分かっていたはずだから、本当に出していたのなら肯定するだろうということだ。では何故否定しないかということだが、否定した場合、じゃあアップルの意見はどうなのかという話になって面倒な立場に追い込まれる。下手なことを言えば外圧と見なされるだろうし、上手なことを言わなければ、今回の件で「さすがアップル」的に盛り上がっている人々に水を浴びせる結果になるだろう。


さすがに内閣官房が問い合わせすれば回答するだろうと思うが、少なくとも内閣官房に今のところその気は無さそうである。「あの(過激な)ご意見は本当にお宅様のものですか?」なんて電話はやっぱりかけづらいのだろう。



気になるのは、これが騙りであった場合、または今後騙りが実際に発生した場合で、それって私文書偽造などの犯罪になるのかということだ。どうなんだろう。



.