2003年11月中旬、山形県の住民基本台帳ネットワーク(住基ネット)・システムのデータが28時間にわたり正常に更新されなくなった。市町村でのデータの変更が県や国のシステムに反映されなかったのだ。この影響は県内の44市町村すべてにおよび、更新が遅れたデータは700数十件だった。直接の原因はハードの故障。2重化対策をしていたにもかかわらずサーバーがダウンした。
業務が始まったばかりの2003年11月17日月曜日午前9時、山形県庁で住基ネットに関する業務を担当する総務部市町村課の電話が鳴り響いた。電話は、市町村-県-国にまたがる住基ネット全体を監視している地方自治情報センター(LASDEC)から。LASDEC担当者いわく、「先週金曜に更新されたはずの市町村からの変更データが来ません」―――。
住基ネットは大きく分けて市町村システム、県システム、国システムの3層構造になっている。住民データは基本的には市町村システムで管理され、出生や婚姻などで住民情報が変われば、まずは市町村システムのデータが変更される。その後、変更分のデータを市町村システムから県システムへ送信。県のシステムに集まったデータを国のシステムが再度集約する仕組みだ。山形県の場合は、各市町村が最低でも1日1回は変更データを送っている。
ハードが故障するも予備部品がない
LASDECからの電話を受けた市町村課の長谷川耕二行政専門員(兼)行政係長はさっそく、山形県の住基ネット・システムの構築・保守を担当しているNTTデータに原因究明とシステム復旧を依頼した。しかし、県システムのサーバー(県サーバー)が止まっていることはわかったものの、なぜ止まったのか、その原因がなかなかつかめない。
障害の原因を突き止めることができたのは、同日午後5時になってからだった。原因は、県サーバーに組み込んでいる耐タンパー装置の故障。耐タンパー装置とはサーバー内のデータが不正に取り出されようとした場合に、内部のデータを消去したり、ハード自体を壊したりするための装置である。山形県では本来の用途に加え、通信データの暗号化/復号化にも耐タンパー装置を使っていた。
耐タンパー装置が故障したら県サーバーは動かないため、2重化して万全を期していた。1台が壊れても、残りの1台だけで処理が続けられる。にもかかわらず、17日の時点ではどちらとも作動しなくなった。
調べたところ、外部から攻撃を受けたり物理的な衝撃を加えられたりして故障したわけではなかった。といって、二つが同時に壊れたとは考えにくい。長谷川係長は、「1台は前から壊れていて、残りの1台が17日に壊れた可能性が高い」と語る。実はこの耐タンパー装置、故障しても故障したことを知らせるエラー・メッセージが画面上に出てこない。そのため、1台が故障した状態にあったとしても、県やLASDECにはそれがわからなかった。
原因と復旧策さえわかれば、あとは部品を交換するだけ。ここでちょっとした問題が起きる。肝心の交換部品が山形県内になかったのだ。製造元であるNECに確認したところ、交換用の部品が置いてあるのは最も近い場所でも仙台市。急きょ仙台市から取り寄せる手配をした。さらに仙台市には1台分の部品しかなかった。結局、もう1台分の部品は東京の工場から新幹線で取り寄せた。18日火曜の午前0時40分には何とか両装置の部品交換が完了した。
一つの市だけがトラブル解決せず
山形県は18日の午前8時30分になってシステムを再び立ち上げた。17日のうちに処理するはずだった市町村の変更データの受信と、国のサーバーへのデータの送信である。30分ごとにLASDECからデータ更新が完了した市町村のリストが送られてきた。午前8時30分、9時、9時30分、時間とともにリストに記載される市町村名が増えていく。だが、完了していいはずの上山(かみのやま)市だけが、いつまでたっても出てこない。
「他の市はうまくいっているのに上山市だけ出てこないのはおかしい。上山市のシステムだけが何かおかしいかもしれない」と、県による原因究明と別に、上山市にもシステムに問題がないか探るよう依頼した。先に原因を見つけたのは上山市だった。だが、上山市のシステムに問題があったわけではない。やはり県サーバーの故障が原因だった。
通常、市町村サーバーからのデータを県サーバーが受け取り、処理が正常に完了すると、市町村サーバーへ完了した旨の確認データを送り返す。だが、県サーバー側の原因で上山市だけ確認データを受け取れなかった。そのため、上山市のサーバーは県サーバーからの確認データ返信を待っている“待ち受け状態”のままになった。前のデータ送信がまだ終了していないと判断したため、新しい変更データを送信しなかったのである。
わずか1分のズレ
話は、11月14日金曜日の午後5時59分に戻る。県サーバーと市町村サーバーが通信できるのは、平日の午前8時30分から午後6時までの間。上山市はそのスケジュールに合わせて、1日の最後に当日分の変更データを県サーバーに送信した。だが、その日は県サーバーは上山市からのデータを受け取ったものの、データ更新が完了したときには午後6時を過ぎてしまった。
こうした場合、翌日もしくは週明けに確認データを送り返す。いつもなら、これで問題にはならない。だが、今回は週明けの17日朝に確認データを返すはずの県サーバーは止まっていた。山形県は18日の朝に県サーバーを再び稼働したものの、上山市のサーバーへ確認データを渡す処理があるという事実を引き継いでいなかった。上山市のサーバーは確認データが来ないので月曜になっても“待ち受け状態”のままだった。
こういった経緯を突き止めた上山市は、「システムを強制的に終了して、待ち受け状態を解除しデータを再送信できるようにした」(長谷川係長)。上山市の作業が完了し、上山市のデータ更新が完了したのは18日午後1時5分。LASDECからの連絡を受けてから28時間後のことだった。この間、市町村での窓口処理が遅れるなどの影響はなかった。
後でわかったことだが、ほとんどの場合、変更データを受信して確認データを送り返すまでにかかる時間は「1分もかからない」(長谷川係長)程度。午後6時ぎりぎりのタイミングで送った上山市にだけ、このトラブルが発生した。
今回の反省を踏まえて長谷川係長は、「具体的な内容は言えないが、2003年12月末に今回と同じような故障が起きないような対処を耐タンパー装置に施した」と語る。製造元のNECは、「今回起きた耐タンパー装置が故障した原因や対処策は山形県に納入した機器固有のものであり、他のユーザーが使っている耐タンパー装置で同じ障害は起きない」と説明している。
それでも山形県は万が一のために、予備部品を山形市内に用意している。ただ、耐タンパー装置が故障した場合にそれがわかるようにする仕組みについては「まだ対処中」(長谷川係長)である。運用面では、「各市町村に県サーバーへのデータ送信を午後6時直前ではなく、時間を余裕を持って実施するようお願いした」という。
