2023年8月号 政府が企業の管理責任を問うケース
政府がサイバー攻撃を受けた当事者である富士通に異例の行政指導に踏み切った。「セキュリティー対策や監督体制、リスク管理に著しく問題があると判断した。情報漏洩事案が立て続けに発生したことは、極めて遺憾だ」。総務省は、富士通のガバナンス(企業統治)の不備を厳しく指摘した。システム障害の発生はつきものだが、点検後も同じミスを繰り返すのはガバナンス体制が上手く機能してないと言える。
問題になったのは、インターネット回線サービス「フェニックス」へのサイバー攻撃である。原因は富士通側がネットワーク機器の設定を誤ったことだが、富士通は不正アクセスを受けていることに気づくことができなかった。同社は政府機関や重要インフラを含む多くのシステム開発を手掛けており、現状のままでは安全保障上のリスクも大きくなると判断している。サイバー攻撃を理由にした電気通信事業法に基づく行政指導は初めてである。同法では「通信の秘密」の確保に支障があると判断した時に行政指導ができると定める。通信の秘密は憲法でも保障されている重要な権利である。
政府側のチェック機能にも課題がある。フェニックスは政府調達のクラウドの安全性を確認する「ISMAP」の登録クラウドに利用されている。ただ、フェニックスへの攻撃は現時点で監査対象ではない。2022年5月に判明した攻撃でも、政府は「再発防止策が実施されている」と判断し、富士通は再監査をパスしている。IT投資が活気づく中で、ITベンダーの需給は逼迫しており基幹システムが富士通の場合、「富士通外し」をする動きは取りづらい。既存ベンダーから容易に切り替えられない「ベンダーロック」状態に陥っている。
加えて、政府の個人情報保護委員会が、マイナンバ-制度を直接所管するデジタル庁に極めて異例の措置である行政指導を視野に入れ立ち入り検査をする。委員会は、全国民の個人情報管理体制が問われる事態に発展しており、システムを提供した富士通の子会社「富士通Japan」や自治体への行政指導も検討している。
システム障害が頻発するようであれば、盤石であるはずの行政との取引でも、影響が出てくる可能性は否定できない。富士通では事故発覚が相次いでおり、防衛省関連の案件も多く受けており安全保障に深く関わっている。グループ全体でセキュリティー体制構築とガバナンスの見直しが必要である。通信サービスやクラウドサービスは、国民生活や社会経済活動に欠かせない基盤として重要性が増している。社会インフラを担う企業に対し、政府がガバナンス(企業統治)の不備を厳しく問うケースが今後増えていくと考えられる。