動かないコンピュータForum


動かないコンピュータ・フォーラム 第28回

防衛庁データ流出事件裁判で残った謎を考える

動かないコンピュータ・フォーラム 主宰者
中村 建助=日経コンピュータ編集

日経コンピュータを読む理由No.1 「動かないコンピュータ」連載が単行本になりました。12月9日全国の書店で発売

 今回の動かないコンピュータ・フォーラムでは、いわゆる防衛庁データ流出事件について取り上げてみたい。この事件にも「動かないコンピュータ」にかかわる重要な問題があると思うからだ。

 事件自体はまだ記憶に残っている方も多いと思う。防衛庁のネットワークにかかわる情報が、構築ベンダーの富士通の下請け企業のエンジニアから外部に流出し、その情報を入手した人間が流出したデータの買い取りを求めた事件である。今年4月17日には、防衛庁データ流出事件に関連して逮捕された3人の被告に対する第一審判決が下った。3人の被告はいずれも有罪となった。

 防衛庁データ流出事件にかかわる問題について、今だからこそ分かる事実を含めて再度問題を提起したい。今回のフォーラムに対する、皆さんからのご意見をお待ちしています。皆さんのご意見は、このページの下方にある「Feed Back!」から書き込んで頂けるようになっています。

データが流出したため改修へ

 この事件について「動かないコンピュータ・フォーラム」で取り上げようと思った理由はいくつかある。

 まず第一に、実際に防衛庁のネットワークに関する情報が流出したことで、防衛庁のネットワークを改修しなければならない状態になったことだ。もちろんネットワークは物理的には何の問題もなかったが、外部にデータが漏れてしまったことに対応するために改修作業を実施した。

 防衛庁は2000年から全国200カ所の拠点を結ぶネットワークのIP化を進めていた。富士通はこの作業を10億円を超す金額で請け負っていた。このネットワークのIP化に伴うデータが流出したのである。流出したのは、防衛庁の各拠点で利用する機器に割り振ったIPアドレスやネットワークの構成図である。

 事件が発覚した後、富士通はネットワークの流出したデータに関連する部分を自費で改修した。具体的には、ネットワークに割り振ったIPアドレスを書き換えたのである。全国200拠点に点在する機器のIPアドレスをすべて書き換えるために、富士通は数千万円をかけたといわれる。

傍聴しても分からなかった流出の経緯

 そもそも富士通が、外部の人物から防衛庁のネットワークから流出したデータについて買い取りを示唆されたのは昨年6月のこと。その後、データの買い取りを示唆した人物が次々にマスコミの取材に応じたために、事件の存在が公になった。

 これに対して富士通は、昨年8月に恐喝未遂の疑いで神奈川県警中原署に告訴状を提出。昨年11月4日には、神奈川県警と中原署が恐喝未遂容疑で4人を逮捕した(その後、さらに1人が逮捕され、当初逮捕された内の2人は不起訴となった)。起訴された3人の被告は、全員が富士通に対して恐喝の意志があったことを認めた。

 本誌は、今年1月の初公判から可能な限り同事件に関する裁判を傍聴してきた。だが裁判を傍聴した今でも、依然として解明されない問題が残っている。それはデータ流出の経緯である。

 防衛庁のネットワークに関するデータを持ち出した富士通の下請け企業のエンジニアは、法廷でデータ入手の経緯について、「作業に必要だったために、自分のノートパソコンにネットワークのデータをコピーさせてもらうよう要請して、データをコピーした」と話した。その後、金銭に困っていたことから、このデータを恐喝に利用することを考えたというのである。

 さらにこのエンジニアは法廷で、「自分以外にも約10人のエンジニアが自分のパソコンにネットワークのデータをコピーしていた」と証言している。データ入手の経緯はあくまで作業に必要だったためで、悪意のあるものではなかったというのである。

 恐喝未遂の容疑で逮捕されたエンジニアが、当初からデータを故意に持ち出そうとしていたならば、富士通が万全の対策を取っていても防ぐことは難しかっただろう。ただし、この場合でも富士通には、防衛庁に対する報告義務を果たしていなかった責任は生じる。

 しかし、データの流出の過程がこのエンジニアの主張する通り、故意でなかったとすれば問題は深刻だ。データの流出自体は日常的に起きており、今回たまたまこれを悪用しようという人間の手にデータが渡ったことになるからである。富士通は防衛庁データ流出事件以後、下請けを含めたデータの管理体制を大きく見直しているが、少なくとも以前は、下請け企業の管理がずさんだったと言われても仕方がないことになる。

 もちろん逮捕されたエンジニアの話がすべて正しいのかどうかは不明だ。結局、データ流出の本当の経緯は今も謎のままだ。

下請け常態化の問題が明らかに

 発注者の知らない間に、システム構築作業が一次下請けから二次下請けへと、さらには三次下請けへと次々に発注されていく。外注が進むに連れて、作業の内容や責任範囲があいまいになっていく。当然、発注者や元請け企業による監督の目も届きにくくなる。その結果、発注者も開発を請け負った元請けのベンダーも思ってもいなかったようなトラブルが発生してしまう。

 防衛庁データ流出事件は、こうした日本のシステム開発で常態化している下請け構造の問題点を象徴的に示しているのではなかろうか。こういった問題はほかにも発生している。

 例えば、本誌4月21日号の「動かないコンピュータ」では、データ入力の多重下請けを原因とする仙台市役所のトラブルについて取り上げたばかりだ。仙台市役所は、同市に住む給与所得者に関する個人情報を記載した給与支払報告書を紛失した。紛失した書類は574人分に及ぶ。そして、紛失した書類は現在も見つかっていない。

 仙台市がデータ入力を依頼した給与支払報告書は、わずか5日間で作業を受注した元請け企業から、下請け、2次、3次下請けへと分散し、その過程で紛失してしまった。しかも下請けが進む過程では、実際に作業を請け負った2次下請けと3次下請けの間には、単に名義だけを貸したと思われる企業が別に2社も存在していた。

 もちろん記者は、下請け企業の利用を単純に否定するものではない。現実問題として、下請け企業を利用しなければシステムの開発を進めることができないからだ。下請け業務を手がけなければ会社を存続できない中堅・中小企業があることも知っている。

 しかし、この問題は放置してよいとも思えない。現実にデータ流出のような問題が繰り返し起きているからだ。とりあえずは以下のような対策が考えられるが、これでは不十分だろう。現実にはこれに類した対策を練っていても、存在していないはずの下請け会社が、いつの間にかプロジェクトに参加することがあるからだ。

 発注者が機密保持を重視した契約をベンダーと結ぶ。下請けを無断で利用できないようにする。ベンダーや下請けで働いている人間について、厳しく確認する。発注者の人間も作業現場に常駐する。

 ベンダーは、日頃から信頼できる下請けの育成を進める。下請けが無断で2次以降の下請けを利用することを厳しく制限する。

 とりあえず考えられる対策は以上のようなものだろうか。しかし、これらの対策が問題解決の決定打になるとも思えない。

 ここからが本題です。防衛庁データ流出事件や仙台市の文書紛失のような出来事を繰り返さないためにはどうすればよいでしょうか。皆さんのご意見をお待ちしています。

 なお本誌は、防衛庁データ流出事件について、2002年9月9日号のレポート「防衛庁のデータ流出で露呈、IT業界の下請け構造の危うさ」で詳しくレポートしています。よろしければご参照下さい。


 以下の「Feed Back!」欄で読者の皆様のコメントを募集中です。実名や所属組織の概要なしで書き込んでいただいて構いません。もちろん、引き続き実名、所属組織の概要を「Feed Back!」欄に書き込んで頂ければ、歓迎いたします。ハンドル・ネームを利用されても構いません。

 特定の法人や個人を誹謗中傷するような内容や、公序良俗に反する内容の書き込みは受け付けません。一度掲載した後でも、上記のルールにそぐわないメッセージがあると判明した場合には、掲載後も削除することがあります。ご了承願います。5月22日(木曜)締め切りの予定でしたが、都合により5月26日(月曜)午前10時まで延長させていただきます。

 いただいたご意見は、本フォーラムのほか、本誌Webサイトおよび本誌編集部発行の「日経コンピュータ Express Mail」、日経コンピュータ本誌、縮刷版など日経コンピュータ本誌の再録媒体において掲載させていただくことがありますので、ご了承ください。それ以外への転用は致しません。


 今回のテーマへの投稿は5月26日(月曜)午前10時で締め切らせて頂きました。ありがとうございました。みなさまのご意見を基にした総括記事は、5月29日木曜に当サイトで公開の予定でしたが、都合により6月2日(月曜)中に公開となりました。総括編をお待ちの皆様にお詫びを申し上げます。