わが国の情報セキュリティにおける第1人者である。府省ごとバラバラに施策が進められ「国全体として戦略がない」と言われてきた状況を打破するための“切り札”として政府組織の内部に乗り込んだ。「補佐官なんて、ダラダラやるポストじゃない」──民間との大きな違いを実感しつつ“スピード感”と“実効性”の2つを掲げ、21世紀IT社会のグランドデザインづくりに挑む。

政策の体系づくりに取り組む、政府の意思決定システムなどを改善へ

　──着任して4か月。外から見ていた時とは違いますか？

　山口　僕のバックグランドは、基本的には民間で、大学に籍を置きながら企業の方とコンサルテーション活動などを行ってきました。そうした感覚で内部に入ってみると、政府と民間のメカニズムが大きく違うことは誰もが判っていても、予想以上に違いますね。外から見るのとやるのでは大違いで、大学や民間の仲間たちにも、「自分だけにやらせておくなよ！」と言っているほどです。民間企業ではこの10年間に、トップマネジメントやガバナンスの意味が大きく変わってきました。トップダウン型の組織が増えて、中抜きが進んでいます。ところが、政府はそうした組織になっていない。「失敗しちゃいけない」、「間違いを起こしちゃいけない」という力が非常に強く働く。「間違い」とはトラブルを起こすという意味ではなく、整合性やロジックで間違っていないかどうかという意味ですが、そのチェック機構がたくさんある。それが“役所仕事”なのでしょうが、これだけ負荷のかかる組織に入ってみるとそのすごさは驚き、感動ですね。


　──何かと制約が多そうですね。

　山口　セキュリティ補佐官は、不思議なポジションで、直接の意思決定ラインに組み込まれていないのです。しかし、やっていることに対して直接、手を突っ込める立場でもある。言いたいことは言えますよ。ただ、言いたいことを言ったあとの反応が昔と違う。「じゃ、どうするの？」と直接、返ってきますから…。政府の審議会などに有識者として参加することはこれまでもありましたが、実行をどう確保していくのかを、これまで以上に僕自身、強く考えるようになりました。

　──着任後の活動はいかがですか？

　山口　茂木（敏充）IT担当大臣の指示で今年2月に策定されたe─Japan戦略Ⅱ加速化パッケージの中に、情報セキュリティ補佐官も盛り込まれ、4月に拝命して5月のゴールデンウィーク明けから着任しているわけですが、茂木大臣からは「限りなく常勤に近い非常勤で」とのリクエストがありました。現状でも奈良先端科学技術大学院大学との兼務ですが、5月からはこちらに常駐状態。やらなければならないことが多過ぎて大変です。いま取り組んでいるのは、情報セキュリティ政策の体系づくりです。情報セキュリティにかかわる政策や施策、対策がどのような構造になっていなければならないか。それを構築する方が大切だと考えています。これまでも情報セキュリティに関して政府が何もやっていなかったわけではなく、様々な政策を展開してきた。ただ、個別の政策は玉石混交で、良いものもあるが、無駄もあるのは事実でしょう。各省庁でそれぞれ行うのは良いが、政府全体として何を目標に取り組んでいくのか？──それが重要です。

　2002年に公表されたOECD（経済協力開発機構）のガイドラインにも書かれているように「セキュリティは文化」です。技術だけではダメで、それを取り巻く人、制度、設計思想、評価や責任の考え方、それらが出来上がってセキュリティが成り立つ。確かに、現時点で政府の施策は不十分な部分があり、それらを直す必要がありますが、対処療法的に行っていては終わらない。一過性の対策にしかなりません。補佐官の仕事は、予算をどう付けていくのか？ どんな技術を使っていくのか？ 技術の選定方法は？ 運用の基準をどう作るのか？ データ保護の問題は？ 情報セキュリティに関する政府の意思決定のシステムやメカニズムをどのように改善していくかが重要であって、DOSアタックやウイルスへの対策はすでに現場担当者が取り組んでいる問題です。

リスクに対する感性をいかに高めるか、実効性のある施策がポイント

　──府省間の連携機能が十分に働いていないとも指摘されます。

　山口　各府省ごとに、情報セキュリティに対するミッションが異なっていて、共通基盤がないとの指摘もあります。しかし、松下電器産業のような民間の大企業ではグループマネジメントが機能しており、グループ各社がバラバラに活動していても、それらを下支えする共通基盤はあるわけで、そのような基盤をどう作っていくかです。各府省が政策を競い合う既存のメカニズムは最大限に活用しながら、新しいメカニズムを考えたいと思っています。これまで情報セキュリティは、政府にとって“後付け”的な存在であったことは事実でしょう。しかし、いつまでも後付けで済むはずはありません。後付けにならないようにするには、そうなる仕組みを入れていく必要があります。具体的には全ての予算要求について、情報セキュリティとの関連があるかどうか、その施策の何％に関わるのかを明示させる方法があります。インターネットの世界では「セキュリティ機能が弱い」との批判に対して、技術標準団体のIETFが技術仕様RFC（Request for Comments）の中に必ずセキュリティコンサーンを書かせることを決めました。そうすることで、標準プロトコル（通信手順）を開発する技術者が否応無しにセキュリティを考えざるを得ない状況を生み出したわけです。この考え方は、すでに米国政府が導入しており、セキュリティコンサーンを書かなければ予算が出ない仕組みとなっています。

　──7月に始まった基本問題委員会も10月には第1次報告を出す予定ですね。

　山口　情報セキュリティの問題はこれまでも散々議論されてきて、問題の所在がどこにあるのかも判っているのです。様々な理由で実現できずにきて、もう何とかしなければならないことも十分に認識されている。あとはどう実行していくかだけ。どこまで実効性のある施策を詰めきれるかがポイントです。ただ、いくら急いでも、政府の意思決定システムは年度単位で、すでに来年度の概算要求も出揃ってしまったあと。いま議論していることも、再来年度の予算でなければ実現できないとなると、かなり辛いところです。

　かつて日本人は安全に対して鈍感だと評されていましたが、この10年間でリスクに対する感性は個人や民間企業においてはかなり高まってきたと言えるでしょう。また、情報システムを最大限に利用するためには、組織やビジネスモデルも単純化・軽量化を追及する必要がありますが、複雑な外部要件とのミスマッチを解決しながら民間企業は体質改善を図ってきました。そうしたリスクに対する感性や体質改善への意識を、政府でもいかに高めていけるかだと思っています。e─Japan戦略が始まった当初はインターネット分野で遅れていた日本も、いまでは置かれている状況が全く違います。ことブロードバンドと携帯電話では完全に突き抜けてしまった状況で、こんなに発達した市場は世界中探してもないでしょう。それだけに情報セキュリティに関しても、自分たちで独自に新しい構造を考えていくしかないのではないでしょうか？。求められているのは、スピード感です。

眼光紙背 ～取材を終えて～