2006年03月05日

防衛・企業秘密保全に関する若干の提案


 ここ数年、防衛情報の漏洩が時折ニュースとなるが、つい最近も二件ほどが報道されていた。

 海上自衛隊の暗号情報など、ネットに流出か
 首相、防衛次官に情報管理徹底を指示

 防衛庁、三菱電機に厳重注意 新規の契約停止

 前者は、海上自衛隊の隊員が私物のパソコンで秘密情報を取り扱い、かつそのパソコンでWinnyによる流出が起こったというもの。
 後者は、陸自SAM(地対空ミサイル)の性能諸元に関する秘該当情報が、三菱電機〜三菱総研を経て朝鮮総連から北朝鮮に漏洩したというもの。

 秘密漏洩にはさまざまな経路が考えられ、それぞれについて秘密保全上の対策がとられてはいるが、今回は上記2件に類するようなケースについて、若干の提案をしてみたい。




 まず、Winnyをはじめとするファイル交換ソフト絡みでの秘密漏洩事案というものは、ひとり防衛庁に限らず、近年さまざまな組織団体で露見しているが、事案として露見してくるようなものは氷山の一角に過ぎない可能性も高いということを思うべきだと思う。
 今回の海自事案においても、ネット上の掲示板書き込みがあったこと、またそれを発見したということは、偶然性も高い。

 こうした漏洩は、主として、パソコンを業務と私用で併用することが重大な原因としてあり、あるいはそうした併用を行っていない場合であっても、当該パソコンが外部のネット環境に接続している場合にはウィルス等への感染から事態を招き得る。

 したがって、保全すべき情報を取り扱うような業務においては、業務用パソコンの私的利用が厳禁されるべきであるし、また、業務上においてもパソコンが外部ネット環境から断絶されている必要がある。

 これは実にわかりやすい話だろう。

 が、いかなる組織もそれは人間の組織であって、頭で理解できるということと、人間的情動ということはまた別だ。

 例えば自衛隊について言えば、明らかに、大いに官用のパソコンが不足しているのが津々浦々各部隊の現状だ。
 今時、パソコンなしではいかなる業務もできない。が、しかし官品のパソコンは不足している。やむを得ず私物のパソコンを持ち込んで使わざるを得ない場合が出てくる。
 年々状況は改善されつつはあるが、例えば、官品PCは曹士隊員が使用し、幹部は極力自腹を切ってPCを購入という環境もしばらく以前まではごくごく普通だった。
 今回の海自事案は、こうした状況起因に類する。

 僕の認識する限り、自衛隊の秘密保全に関する教育は相当に徹底しており、また隊員個々の意識もかなり高い。
 そこで起こる今回のような事案は、保全意識の弛緩という面よりは、私物パソコンをめぐる人間心理的な隙間的な状況から起こる面が強いと思う。
 (もちろん意識の弛緩ということが全くないと言い切ることはできないが、そうした「人間の意識」というものについて常時100%の完璧を期待し、それに依頼するようなシステムは正しいシステムではない)

 日米同盟強化に伴う情報秘密保全関連の協定を目指す目下の防衛庁として、こうしたことに対応する対策のひとつとしては、実に基本的な施策ではあるが、まず必要なだけのパソコンを十分に調達、配分するということがあるだろう。
 およそ机を持ってパソコンで業務を行う隊員に官品が行き渡るべきだ。(性能上の償却が激しいパソコンではあるが、リースという選択肢もある)
 一方で、今日においてさまざまな情報アクセス上のインターネット環境は不可欠であるから、そこからstand aloneな部内ネットワークとは別に、外部環境にアクセスし得るマシンも必要となる。

 これらを大々的に整備するとなると、いくら単価がしれているとはいえ、その数からかなりの予算額は必要となるが、ここは、秘密保全対策費としてそこに盛り込み、一括して予算要求すべきだ。今のタイミングならば、政治的にもその説得力は一定のものを持つだろう。(と言って今回のタイミングは逃したが、今回の保全事故を踏まえて補正で、あるいは次年度要求で考えてみてはどうだろう)

 その上で、パソコンをはじめとする情報機器の部隊持ち込み持ち出し禁止の原則を考えるべきだろう。

 特に私物PCということでは、残務を持ち帰って家で仕事をしたいという気持ちは普通に生じる。あるいは残務処理のためではなくとも、私物ならば当然自宅で趣味や私用に使いたいのは当たりまえだ。

 職場では官品PCが必ずあたるようにし、かつ持ち出しは禁止が原則(原則というのは、従来の秘文書&物件持ち出しの規則に準じればよい)、また私物PCの持ち込みも禁じる。

 同時に、「パソコンをはじめとする」と書いたとおり、これからはPCだけではなく、他の情報機器についても持ち込み持ち出しを厳しく管理していくべきところにきているのではないかと思う。
 例えば携帯電話であり、例えばメモリースティックをはじめとする記憶媒体であり、あるいはデジカメであり…

 今の時世に携帯電話の持ち込み禁止などと言うと、大反発があってもおかしくはないが、既に民間企業においても、例えば個人情報保護の意識が高いところでは、私用携帯電話はロッカーまで、デスク、オフィスへは持ち込み禁止ということは普通になっている。今日の携帯電話はカメラ撮影ができ、メール送信もできるとなれば、スパイ的活動にどれほどの威力があるかは説明の必要もない。
 しかし同時にここでも、そこまでするからには業務上の便宜を補うだけのそれなりのフォローが必要であって、少なくとも各持ち場、幹部職員には職場内用の携帯電話が配分されている場合が一般的だ。
 前述した防衛予算上の包括的な秘密保全対策費には、こうした携帯電話等までもやはり含めるべきだろう。

 自衛官は平素秘密保全ということを強く意識し、個々の隊員から幹部まで、自らの職業的アイデンティティの一部にもなっていると自認しているが、実は民間企業においてそうした携帯電話の持ち込み禁止というほどのことが行われ、一方で自衛隊では自由に職場、デスクで携帯メールを打ち、あるいは(あまり言いたくないが)演習中であっても隊員が比較的自由に私用携帯でメールなどできる(もちろん配置部署による話だが)ということを考え合わせれば、組織的秘密保全意識が実は旧態依然であるかもしれないということをも考えてみるべきかもしれない。
 (もちろん、自衛隊側に立って反論するとすれば、そうした禁止禁止には限界があり、最終的には個人の自覚と意識に期待せざるを得ないのであって、そうした教育をしっかり行ない、意識を高めることで、秘密保全は保たれる、と言うこともできるのだが… しかし、罪を憎んで人を憎まずともいうとおり、まず環境をシステムを整備することが、より人間的な方策だと思う)

 またあるいは、記憶媒体についても同様だ。
 たとえばメモリースティックのようなものは、ファイルの移動に実に便利だ。便利過ぎる ^^;)

 もちろん、日々出入り口で持ち物検査などする必要はないが(少なくとも平時、通常の職場においては)、PCの持ち出し持ち込みや、小型記憶媒体の出入りが原則禁止であれば、そしてそうした秘密保全教育がこれまで程度に浸透しさえすれば、職場の目を盗んでそうした機器を持ち込み、使用することは相当に困難にはなるし、少なくとも心理的障壁は高くなる。

 そして重ねていうが、もしそうしたことを行なうには、それをフォローするだけの予算措置が必要だ。



 さて、後者の案件、三菱電機〜三菱総研からの朝鮮総連経由北朝鮮行きの秘密漏洩について。

 そもそも下請けに朝鮮総連関連企業を選定するなど、迂闊というにもあんまりな部分もあるが、そうした部分も含め、まず三菱総研には防衛秘密取り扱いに関する緊張感が不足している面が否めないと僕は思う。
 実は防衛関連事業にいわゆるシンクタンク系企業が参加するようになったのはここしばらくのことであって、いわゆる防衛産業の面々企業とは、防衛に携わってきた伝統経験が全く異なる。

 もう一点は、現に今回三菱電機の側が制裁を受けているように、秘密データの伏せ字部分の取り扱いということに関する官民全般的な意識の低さということもある。

 イメージしにくい人もいるかもしれないので少し説明を加えると、防衛関連の資料において秘に該当する、とくに今回のような装備品の性能諸元に関わる数値については、その数値部分を空欄とし(テストなどの、「空欄にあてはまる…」の空欄のようになっている)、別紙として各空欄の数値の一覧表があり、それと照らし合わせて見るようになっている。

 今回の事案では、そうした穴抜きの文書の空欄部分に手書きで数値を書き込んだものを、三菱電機が三菱総研に渡していたということだ。

 そして今回はそれが北朝鮮まで流れていくという大きな動きを見せたためさすがにこうして表面化したが、実は、こうしたこと(空欄に手書きで数値を書く)といことは実に広く行われている、と僕は認識している。
 人間心理として気持ちはわかる、とにかく見にくいんだから。
 会議などの席上においても、あくまで自分用の資料として、そして当然しっかりと管理するつもりで、やはり耳で聞いた数値を空欄に書き込んでしまう。

 このあたりは、まさに個人の意識のレベルを上げていくしかないわけだが、少なくとも自衛官や歴とした防衛産業企業においては、たとえ上記のようにして個人資料に書き込んだとしても、その後の取り扱いについては一定の管理意識が伴っている(と僕は感じている)。
 今回の件においては、三菱電機社員側には、三菱総研に対する同様の意識レベルの期待が無意識にあったのだろうが、ところが実は三菱総研はさにあらず、といったところではないか、となんとなく僕は思っている。

 と、いろいろ推測してみたところで、所詮は報道記事程度の情報では真実の在処はわからない。
 で、それよりも、いくつかの対策的なことだが、

 まず、今回の件で防衛庁が三菱電機に制裁を与えるというのは、一定期間の防衛装備品の新規契約停止ということだ。
 こうした制裁は、これまでも調達上の企業側不祥事において過去にも発動されてきたのだが、ここには大きな問題がひとつある。

 それは、日本の防衛産業の層の薄さということだ。
 つまり、三菱電機には、三菱電機にしかできない装備品開発ということがあり、三菱を停止したから他の企業にやらせようというわけにはいかない部分が非常に大きいのだ。(とりわけ三菱電機はそうだ)
 通常この種の制裁においては、「やむを得ない場合」には制裁にかかわらず契約を結ぶことができる。そして実際、その「やむを得ない場合」は非常に多い。^^;)
 もしそうでなければ、国が企業を制裁していながら、その故に結局は国が重大な損失を被ることになってしまう。

 しかし、そうは言ってもやはり国も自在に三菱電機と契約をすることはできない。我慢できるところは我慢するしかない、ということで、いくつかの計画は遅滞することにもなる。
 企業側はといえば、社会的制裁性はもちろんあるが、経済的には、自社にしかできないことは結局自社にまわってくるわけで(たとえ若干時期が後倒しになったとしても)、そう大きなチャンスを失うとか、他者に持って行かれるなどということはあまりない。そういう意味では、経済的損失はそう大きなものではないともいえる。
 (とりわけ三菱電機について言うならば、あそこでしか不可能な技術は枚挙に暇がない。)

 そこでだが、多少の乱暴覚悟で僕が考えているのは、そうした制裁のあり方について、防衛産業分野と限る必要はないのではないか、ということだ。
 つまり、三菱電機という企業に対して防衛庁ではなく政府として新規契約を一定期間停止する、ということを考えてもよいのではないか、ということだ。

 防衛産業部門でなく、民生部門を含む三菱電機そのものに対する政府としての新規契約停止となれば、多くの民生分野では三菱電機はそれなりの損失を被りもし、競合他社に縄張りを持って行かれることもあるだろう。
 今回たまたま三菱だが、仮に電機関連で言うならばNEC、東芝、富士通などであっても同じだ。
 そうなれば当然社内における防衛分野への非難、叱責も大きくなるだろうし、当然ながら社としての対策であり改善ということが真剣に問われ、一定の監視態勢もできる。まさに社として他人事ではなくなり得る。

 もっとも、政府契約分が民需においてはたしてどれほどあるか、ということはあるのだが、さらにそこで踏み込んで僕が考えているのは、包括的な情報保護基準認定制度のようなものについてだ。

 「プライバシーマーク」というものを見たり聞いたりしたことのある人は少なくないだろう。
 個人情報保護関連の法整備が行われるようになってから、企業は個人情報保護に力を入れるようになっているが(今日のこの記事の前段でも少し触れたように)、日本情報処理開発協会が、プライバシーマーク制度というものを運営している。

 プライバシーマーク制度

 企業の個人情報保護能力に関する認定制度のようなもので、基準を満たせば、プライバシーマークの使用が許される。
 認定基準はある程度しっかりしていて、誰でも申請さえすれば簡単に承認を受けれるようなものではない。
 (資料として、上記HP内のプライバシーマーク 参考資料ページに、申請指針や企業のコンプライアンス・プログラム作成の指針、セミナー資料などがある)
 目下、認定事業者は3221社とのことだ。もちろん、基準を満たせなくなれば、認定取り消しもある。
 ちなみに、三菱電機も三菱総研も、プライバシーマーク許諾企業である。

 この取り組みは、個人情報保護に関する企業の意志と能力、制度整備などを評価するものだが、
 こうしたものの、広く包括的に企業の情報保護能力を対象にしたものをつくってもよいのではないか、と僕は思っている。(個人情報保護ということもその中に含んでよい。ISO(9001は品質、14001は環境)のように、クラスを分けたりしてもいいし)

 これは今日、そして今後いっそうそうなる可能性があるように、消費者の企業評価にもつながっていく(だから企業は等閑視できない)し、また政府調達も、あるいは企業間取引においても、こうした基準認定の有無が業者選定上の縛りにもなり得る。
 縛りと言ったが、実際には対象企業の能力を個々に調査判断する労を軽減することにもなるだろう。
 政府行政機関はもちろんだが、例えば今回の三菱総研にしても、件の朝鮮総連系ソフトウェア会社をそうした認定企業リストに照らし合わせるなら、当然リスト上にその名を発見することはできなかったろう。

 個人情報保護における企業の能力、姿勢を認定しようとするプライバシーマーク制度は、ただ認定、マーク使用許諾を行うというだけではなく、未だ日も浅くして、そうした個人情報保護に対する企業の意識向上ということ自体に大きく影響を与えている。(もちろんセミナー等も行われている)

 広く情報保護という枠で、そうした認定基準とその運用団体を整備してみてはどうか、というのがここでの話。
 今回はたまたま防衛秘密関連の切り口から話題としたが、一方で、秘密保護というのは企業における産業秘密においても当然きわめて重要な問題だ。
 契約先企業を選定するうえで、相手企業の情報保護基準認定の有無ということは、やはり調査負担の軽減にもなり得るし、逆に言えば自ら基準認定を目指し、その過程では社内規定やプログラム、教育訓練、職場環境の整備が必要となり、必然的に社としての情報保護レベルは実際に向上する。

 しばらく以前には、ISO取得で世を挙げて狂奔とも見える時期があったが(茶化しているわけではない)、あれはあれで現実に一定の効果を企業社会にもたらしもした。(企業の側、とりわけ担当者は実にたいへんな苦労をしたわけだが)

※ 長くなるので今日は端折ったが、例えば原子力発電所なども、業者選定には大いに注意を要する。既に情報保全上、ひいては安全保障上いかがと思われるようなことも散見される。


posted by Shu UETA at 15:49| Comment(1) | TrackBack(1) | 天下-その他 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
全国の政府調達情報(一般競争入札)を公開
Posted by 政府調達情報 at 2009年03月03日 17:12
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]


この記事へのトラックバック

人々の意識を高めることこそ必要〜道具を悪者にするのは本質ではない
Excerpt: 岡山県警で捜査情報(機密情報)がネット流出する事故が発生しました。ファイル交換ソフト「Winny」を介したそうです。Winnyにはセキュリティ的脆弱性があり、それを..
Weblog: タロットと癒しのセラピーで成長しました
Tracked: 2006-03-06 11:45
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。