システム開発の海外発注に警鐘~スウェーデンの事件に注目

投稿者:nakajima 投稿日時:月, 2017-07-31 01:14

 すべての社会生活が情報通信ネットワーク基盤の上に成立する現代社会では、一段と情報セキュリティーが重要さを増してきている。外部攻撃からシステムをどう守るか、というサイバーセキュリティーだけが問題ではない。システム開発のプロセスを厳格に管理することも重要だ。そのことを痛感させる事件がスウェーデンで起きた。
 スウェーデンの交通庁システムから大量の個人情報が流出した、という事件である。990万人の人口の内、ざっと800万人の個人情報が流出した可能性があるという。個人情報としては免許証に記載されるデータが丸ごと流出した可能性があるという。さらに軍の機密情報や要人の車両の運行情報なども含まれているとされ、特に情報機関要員の秘匿情報が洩れた恐れがあるという。
 情報流出の原因は、スウェーデン政府が交通庁システムをIBMに発注し、IBMはこの開発を東欧の企業に下請け発注した。この東欧企業の従業員はスウェーデンの個人情報にアクセスする資格はないが、システム開発のプロセスで全データにアクセスすることができるようになっていた。さらにシステムの完成後もアクセスできる状態が続いていて、ここから情報が流出したとされている。
政府の重要情報が流出した責任を野党から追及されて、ロベーン首相は7月27日、内相と社会基盤相を更迭したが、なお野党側は国防相の辞任を要求している。場合によっては内閣総辞職もある、と予想する向きもあって、当分、スウェーデンの政情は大きく揺れそうだ。
 政府の情報システムの発注では、日本でも、落札した大手SI企業がコスト削減のために賃料の安いアジア企業に下請け発注していたと見られている。国内景気浮揚対策で行われた業務が海外に流れていては「景気対策」の趣旨に反するのではないか、と、当時、JASPA内部で問題視する声が強く、専務理事だった横尾良明(現事務局長)氏らが、経済産業省に意見を求めたことがあったが、経済産業省はとりあってくれなかった経緯がある。
 その外注先の国の1つが現在米国や日本にサイバー攻撃を仕掛けてきていると見られている。政府システムの開発業務の一部がその国に下請け発注されていたとなると、システムの内容が筒抜けになっている恐れも否定できない。安易な海外発注は情報流出のリスクを長く引きずることにならないか。スウェーデンの事件は、日本のシステムの安全性にも疑問を投げかける。
 政府システムは、開発工程を再点検して、リスク排除の作業が必要になるかもしれない。