川村和士
| 所属(通称) | 内閣府系シンクタンク「公共設計研究所(KPSI)」 |
|---|---|
| 専門 | 情報政策、公共データ運用、行政システム倫理 |
| 主な研究テーマ | 匿名化・監査ログ・データ最小化 |
| 得意分野(自称) | “数字の語り”とされる手法 |
| 活動時期 | 2006年以降(複数のプロジェクトで確認されている) |
| 代表的な提唱 | 「三層監査」モデル |
川村和士(かわむら かずし)は、日本の研究者として知られている人物である。近年はの扱いをめぐる実務的提言で参照されることが多いとされる[1]。一方で、業界内部では「彼の“数”は計算より先に物語を作る」とも評されている[2]。
概要[編集]
川村和士は、日本の領域においての運用設計を“制度”ではなく“手順”として捉え直した人物であると説明されることが多い[3]。
彼の名が広く知られたのは、行政のデータ共有が加速していた時期に、匿名化の議論へ「監査可能性」を強く持ち込んだためであるとされる。なお、川村は講演のたびに「匿名化は“消す”のではなく“証明する”ためにある」と語ったと記録されている[4]。
ただし、川村の提案は一部で「実装が先で、概念が後から付く」とも批判されており、研究会では“提唱の順番”が論点化するほどだったとされる[5]。この点が、彼の評価を理解しにくくもしているといえる。
経歴と業績[編集]
川村は内の旧制大学(改組前の名称としてがしばしば挙げられる)で基礎を固めたと説明される。卒論は「監査ログの統計圧縮」に関する内容だったとされ、当時の研究メモが大学資料室で“未整理の箱”として保管されているという逸話がある[6]。
その後、彼はの関連会合に参加し、2006年頃からの標準化草案に関与したとされる。特に、ある会合で「監査ログの冗長度を係数1.73で抑えるべき」という主張を行い、議事録に“係数”だけが残ったことが、のちに「数式が先に踊る人」と評される発端になったとされる[7]。
また川村は、匿名化アルゴリズムの性能評価に関する共同研究で、再識別リスクを「99.6%の安心」ではなく「3つの手順で検証できること」として再定義したとされる。さらに、検証手順の順序を変えると結果が変わることを示し、データガバナンスの教育カリキュラムに影響を与えたとされている[8]。
物語的起源:川村理論の“生まれ方”[編集]
時計台会議と「三層監査」[編集]
川村理論の起源として、にある古い会議室(“時計台”と呼ばれていた部屋)がしばしば語られる。ある夜、担当官が持ち込んだUSBメモリが暗号化不十分であったことが発覚し、急遽「ログを取っていたか」を追うことになったとされる[9]。
その場で川村は、監査を単一の仕組みに任せるのではなく、(1)データ発生源ログ、(2)加工・転送ログ、(3)閲覧・応答ログの三層に分けるべきだと提案した。さらに各層に対して「削除してはならない“例外ファイル”」を最大で1024件まで確保する運用が必要だ、と具体化したと伝えられる[10]。
面白いのは、この“1024件”が技術的な上限というより、会議室のホワイトボードに残っていた紙の裏面の余白サイズ(縦×横で約32×32格子)から決まったという点である。この逸話が広まることで、川村の理論は「制度なのに手触りがある」と評価されるようになったとされる[11]。
公共データの“語り口”実験[編集]
川村は、に関する説明文を“統計”ではなく“物語”として設計する研究も行ったとされる。具体的には、データ利用者向けページの冒頭に「このデータは誰の手から、どの作業台に乗ったか」を1段落で書かせ、利用申請の却下率が12%下がったという結果がしばしば引用される[12]。
この実験は(NII)の共同企画として進められたとされるが、実際の共同発表は当時の担当者の異動で数か月遅れ、ポスターだけが残ったという。結果として、川村が語り口を作った主導者だと誤解される形で広まったとも指摘されている[13]。
ただし川村自身は、説明文の改善が“利用者の安心”ではなく“監査のしやすさ”を増やしたからだと説明したとされる。ここで重要なのが、彼が「安心度」を心理指標ではなく、監査要請の平均応答時間(平均2.41日)で測った点である[14]。
社会に与えた影響[編集]
川村和士の活動は、単なる研究にとどまらず、行政内の調達や運用の“言い方”にまで浸透したとされる。特に、系の調達仕様書には「匿名化の達成基準」ではなく「監査の到達基準」という表現が入り、ベンダーがそれに合わせたログ設計を行う流れができたとされる[15]。
一例として、の統合基盤で採用されたとされる運用テンプレートでは、監査ログの粒度(イベント間隔)を「平均で0.37秒、最大で9.8秒」に揃えることが推奨されたとされる[16]。この数値はベンダー側の要望に由来するという説もあるが、川村が講演で同じ“数字の並び”を使ったため、川村起点と見なされることが多い。
また川村は、データ利用をめぐる教育プログラムにも影響を与えたとされる。オンライン研修の課題は、架空の行政問い合わせ(“住民IDを含む照会”)に対して、三層監査の観点で回答手順を記述させる形式であったとされる。この課題の合格基準が「誤記率0.8%以下」だったため、受講者のノートが“監査の三行”で統一されていったという[17]。
批判と論争[編集]
一方で、川村の手法は「物語による制度化」と見なされることがあり、技術者からは不満が出たとされる。特に、三層監査の導入が“形式の増加”を生み、コストが上がったという指摘がある[18]。
また、匿名化に関して川村がよく使った「証明する」という比喩は、法務担当には理解されやすい反面、現場では実装の粒度に換算できず混乱したとされる。ある自治体で、監査ログの例外ファイルを“確保する”運用がベンダーの管理ポリシーと衝突し、月末だけログが欠損したことがあったという[19]。
さらに、川村が引用したとされる“監査可能性指数”が、後になって別研究グループの独自指標の焼き直しだった可能性が指摘された。川村本人は「呼び名が先行しただけだ」と説明したとされるが、編集側の記録では数式の出典が一部「未記載」とされていたと報告されている[20]。ただしこの論争は、彼の支持者が“引用の美学”より“運用の美学”を重視したことで、決着しきらなかったともされる。
主な関連語と概念[編集]
川村和士の影響下で用いられることが増えた概念には、、、などがある。これらは、いずれも“実装仕様の言語化”を目的としており、技術と行政実務の境界に位置づけられているとされる[21]。
また、川村は「数値の意味は値そのものではなく、値が置かれる順番で変わる」と述べたとされる。これが、ベンダー提案書の構成テンプレートへ波及し、冒頭に“安全性”を置くのではなく“監査手順”を置く企業が増えたという評価につながったとされる[22]。
ただし、概念の拡張が早すぎたために、現場では用語が独り歩きしたとの批判もある。たとえばを“到達”と読むのではなく“達成”として運用してしまい、監査体制が形式的になった例が報告されている[23]。このズレは、川村の提唱がもともと“説明の順番”に強く依存していたことを示す反証だと見る向きもある。
脚注[編集]
関連項目[編集]
脚注
- ^ 川村和士「三層監査の運用設計—行政ログは順番で変わる」『行政データ運用学会誌』Vol.12第4号, 2012, pp.31-58.
- ^ 田中玲子「公共データ説明文の語り口が与える効果」『情報社会研究』第27巻第2号, 2014, pp.110-139.
- ^ Smith, John A.「Auditability as Narrative Structure」『Journal of Governance Systems』Vol.8 No.3, 2016, pp.201-224.
- ^ 佐藤武「監査可能性指数の再検討と実装コスト」『ソフトウェア品質政策研究』Vol.5第1号, 2018, pp.77-96.
- ^ 内閣府政策評価局「行政システム倫理ガイドライン(暫定版)」『政策資料叢書』第44号, 2011, pp.1-64.
- ^ Matsumura, Aya「Exception File Management in Public Infrastructures」『International Review of Public Systems』Vol.3 Issue 1, 2019, pp.45-70.
- ^ 川村和士ほか「再識別リスクの“測り方”を変える」『データベース年報』第19巻第5号, 2010, pp.9-34.
- ^ Rossi, Marco「Log Granularity Targets and Vendor Behavior」『Proceedings of Civic Computing』Vol.14, 2020, pp.88-103.
- ^ 山本義明「“時計台会議”の記録と三層監査」『霞ケ関メモワール』第2巻第1号, 2021, pp.12-27.
- ^ 匿名「公共設計研究所の内部文書の所在について」『行政情報の来歴』第7巻第3号, 2015, pp.150-167.
外部リンク
- 公共設計研究所アーカイブ
- 行政データ運用学会(会員限定)
- 監査ログ実装センター
- 霞ケ関政策評価局・資料閲覧室
- 公共データ説明文研究グループ