鈴木正朝先生に訊く！「個人情報保護法制2000個問題」ってなんですか？

第2回　「2000個問題」視点で読み解く、日本年金機構事件と東京オリンピック

小泉真由子（編集部）[著]

2015/07/31 06:00

通知

　「個人情報保護法制2000個問題」について、鈴木正朝先生に論点を整理していただく本連載。第2回目は日本年金機構と東京オリンピック・パラリンピック。2000個問題とどんな関係があるんでしょうか？

通知

東京オリンピック・パラリンピックまでになんとか

―　前回、東京オリンピック・パラリンピックの話がでましたが、関係あるんですか？

鈴木　もう、みんながみんな、東京オリンピック・パラリンピックの話しをしているじゃないですか。世界的なイベントなので、当然ながら、いろんな人がターゲットにするんだろうなと。

―　サイバーテロのターゲットに。

鈴木　そう。多くの関係者がみなさん2020年までにテロやサイバー攻撃の対策をせねばと言っています。しかし、なんというか、危機意識はあるけども、あまり具体案になっていないような気がします。目的に応じた組織づくりというか、権限の整理、監督の強化の部分でしょうか。やはり既存の役所の組織や権限については、センシティブな話題ですから、問題提起が弱くなりますよね。

―　既存の役所の組織や権限……全員うつむいてしまいそうな話題です。

鈴木　今回の日本年金機構の個人情報漏えい事件については、日本年金機構が独立行政法人なので、「独立行政法人の保有する個人情報の保護に関する法律」が適用されます。それを主管しているのは、総務省行政管理局になります。でも、年金業務を所管しているのは厚生労働省で、目下、批判の矢面に立っています。これがサイバー犯罪ということになれば警視庁、国外からの攻撃となれば防衛省も関係しそうですね。

　今回の漏えい問題の原因究明や対策については、主にNISC（*内閣サイバーセキュリティセンター）が対応しているようですけども。結局、外から見ると、明確な責任も権限もないNISCがメインになっているのではないかと。総務省は告示を出して終わりなのか。厚労省はIT問題に踏み込まないのかと。毎回こんな軸があるかないかわからないような役割分担で大丈夫なのかと不安になりますね。

―　NISCのほかに、ITわかってるやついないのかと。それで大丈夫なのかと。

鈴木　ええ。中央省庁間の官官協力体制だってこういう状況なのに、2000個問題として指摘しているところのメインは、地方自治体ですからね。特に小さな市区町村レベルでこの問題が起きたらどうなりますか。それぞれが独立して、自律的に取り組まねばならない建前になっています。個人情報保護条例の中で個人情報を定義し、安全管理義務を定め、情報セキュリティ基準も自ら策定することになっています。それぞれの組織内で、CSIRT（Computer Security Incident Response Team）やSOC（Security Operation Center）を立ち上げて、独自にスキルあるIT人材を育成登用していくのでしょうか。

　日本年金機構の問題は氷山の一角であることは誰もがわかっているはずです。標的型メールは国内の多くの組織に撃ち込まれているはずです。これに限らずさまざまな脅威にさらされているはずですが、漏えい等のインシデントが発生している自覚すらない場合も多いでしょうし、事故があっても特に報告も公表もしていないことも少なくないでしょう。

―　対応どころか、何が起きたのかさえわからない可能性がある、と。

鈴木　先進的な地方自治体のいくつかは対応しているでしょうが、多くは、たぶんノーガード戦法ですよ。スキルもなければ、金もない。まさになす術なく、標的にされるままというところはあるでしょう。このあたりを放置して東京オリンピック・パラリンピックを迎えることになるわけです。組織、権限に手を入れるところまで踏み込まずに本当に大丈夫かと思うわけです。

―　東京オリンピック・パラリンピックの後も世界は続きますしね。

鈴木　もちろん、まずは5カ年計画ということで東京オリンピックをターゲットに進めるのは良いことではないかなと思います。その後も次の5カ年計画で対応していけばいいと思います。財政は年々厳しくなるとは思いますが。

　しかし、ホワイトハッカーを民間から集める計画もあるようですが、現状の報酬で優秀な人を必要な人数揃えることができるのか。一般の民間企業や、それにブラックマーケットの方が、その数倍払うでしょう。もちろん報酬額が全てではありませんが。従来の人事や組織体制のままでは限界もあるでしょう。

　国の省庁単位ですら対応するのが困難な時に、ましてや地方自治体、そして独立行政法人等がどうやれというのか。役所に集められて、対応に努めよと檄を飛ばされたり、説明を受けてもね。なんというかおざなりというのか、投げやりというのか、竹槍というのか。

―　竹槍……2000個問題を含む、人事、組織の問題であると。

鈴木　ここへきて安保法制の話も始まったように、国際情勢としては緊迫しているっていうことのようですが、偶発的局地的なホットウォーのリスクもさることながら、これからはやっぱりサイバーウォーのリスクも高かろうと。国外からのサイバー攻撃が増えているであろうことは、だいたいみんなが察しているところです。

―　情報セキュリティっていうと日本だと、ともすればビジネスレイヤーの話になりがちですからね。

鈴木　ええ。情報セキュリティの問題って、やっぱりナショナルセキュリティの問題の上に積み重なっている上位レイヤーにあるんだろうなぁと。ビジネス面ばかりに閉じて見ていられる時代ではなくなっているなとひしひしと感じているところです。

次のページ
日本年金機構が提起した問題

この記事は参考になりましたか？

印刷用を表示

関連リンク: 第1回　個人情報保護法ってひとつじゃなかったのか！
鈴木正朝先生に訊く！「個人情報保護法制2000個問題」ってなんですか？連載記事一覧: ニッポンの未来と2000個問題

第2回　「2000個問題」視点で読み解く、日本年金機構事件と東京オリンピック

第1回　個人情報保護法ってひとつじゃなかったのか！

もっと読む

この記事の著者: 小泉真由子（編集部）（コイズミ　マユコ）

情報セキュリティ専門誌編集を経て、2006年翔泳社に入社。エンタープライズITをテーマにイベント・ウェブコンテンツなどの企画制作を担当。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事