セキュリティに不安

叩かれっぱなしの厚労省

　7月5日、総務省は厚生労働省が提供している電子申請・届出システムにセキュリティホールがあって、システム侵入などの被害を発生させる可能性があると発表、利用者に最新バージョンを削除するよう呼びかけた。またマイクロソフトの最新OS「Windows Vista」および「Internet Explorer７」では正しく動作しないことを改めて掲示した。柳沢厚労相の「女性は産む機械」発言、宙に浮いた年金情報問題に続き、叩かれっぱなし。無謬の原則はもはや通用しない。（中尾英二（評論家）●取材／文）

　総務省の発表によると、厚生労働省電子申請・届出システムでは、サン・マイクロシステムズ社Java─2ランタイム・エンバイロメント（JRE）を採用している。ところがJREの最新バージョン「JRE1・4・2─14」以前の複数のバージョンに、セキュリティホールがあることが確認されたという。

　総務省はホームページで、
　「JREを有効にしている場合、悪意あるWebサイトを閲覧した際、JREのセキュリティホールを攻撃され被害を受ける可能性があります」
　としている。

　これに続けて、
　「つきましては、このような被害を回避するための方法として、（1）Javaプラグインのオフ、（2）JREの削除がありますので、次のいずれかの操作を実施していただきますようお願い申し上げます」
　とJREの削除を呼びかけた。

　併せて、「【重要】Windows Vista及びInternet Explorer７のご利用について」と題し、Windows Vista」および、「Internet Explorer7」で厚労省電子申請・届出システムが正しく動作しないことを改めて掲示した。いったいどうなっているの？　が正直なところだ。

■相互運用性がない

　NHKをはじめ、民放各局が当日夜のニュースで一斉に報道、翌朝には日刊各紙が大見出しを付けた。しかし厚労省のJREをダウンロードしている人が個々に対応してくれるのを待つしかない。被害が発生したとき、政府はどのような対応を取るのかも定かでない。迷惑千万なこと甚だしい。

　迷惑を受けているのは一般の利用者ばかりではない。国の仕事を代行している都道府県や市区町村の電子申請・届出システムも、一部が各省庁のシステムと連携しているため、それぞれに異なるソフトを用意しなければならない。端末ごとにプロトコルが違っていた時代と同じことが、電子行政システムでも起こっている。

　加えて中央官庁から送られてくる各種の統計調査原票がある。Excelで作成され、その中に埋め込まれたマクロは誰が検証しているのか、まったく分からない。役所がやることには絶対に間違いがないという「無謬の原則」に立っているので、検証する必要性を認めないのだ。

　「自治体の職員は数字を入力するだけでいい、という“お上”の考え方がいまだに生きている。埋め込まれた方程式がはじき出す結果に、自治体の職員が責任を負えないというのはいかがなものか。加えてセキュリティの問題がある」

　オープンソースソフトウェアの利活用で知られる栃木県二宮町企画課情報管理室長の海老原慎一氏は言う。中央官庁から送信されてくるExcelファイルを情報管理部門がチェックしてから原課に渡すようにしている市町村が増えている。そのうえに今回のセキュリティホール問題だ。中央省庁は何をやっているのか。何がこのようなトラブルを起こしているのだろう。

■ITの専門家がいない

　「中央省庁に的確なITへの対応を求めるのは無理」と言うのはCSKホールディングス代表取締役で情報サービス産業協会副会長でもある有賀貞一氏。

　「中央官庁の中枢を握っているキャリア官僚は、通常2年、短いと1年とちょっとで異動する。財務省は国家予算の編成と管理、経産省は産業振興という“本業”があって、それに従事するのがキャリア官僚の本流なので、ITは傍流の傍流だから、本気で取り組まない」

　内閣府に関連省庁担当者連絡会議が設置され、そこで電子行政システムのガイドラインや共通基盤などを検討・策定しているが、ITの専門家がいない。ノン・キャリア官僚はことなかれ主義にどっぷり浸かり、結局はシステムを担当するプライムのITベンダーの言うがままに動いている。

■サン名指しは責任の転嫁

　総務省の発表には、「サン・マイクロシステムズ社が公表しているJRE脆弱性を解消するための準備が整い次第」とあって、JREの安全性を保証しなかったサン・マイクロシステムズ社に責任を転嫁するような表現が散見される。

　これに反論するのは、名指しされたサン・マイクロ日本法人の中村彰一郎氏だ。「当社は総務省に対してJREの対処方法を通知していた。内閣官房からも6月下旬、各省庁に通達している」

　JREにセキュティホールの問題があることをすでに通知し、対応策を示していたのだから、問題は的確に対応しなかった当該省庁にある、というのだ。

　中村氏の憤りは収まらない。

　「しかもシステムを担当しているのは当社ではない。なぜ当社の名をわざわざ表示するのか」

　事実、厚労省の電子申請・届出システムを担当しているのは日本ユニシスだ。他省庁は対応したのに、厚労省がサン・マイクロの通知を無視したに過ぎない。日本ユニシスは「現在バージョンアップ中で、1週間以内に対応を完了する」という。

　結果として「便利になります」と喧伝して、セキュリティの不安をばらまく。問題の大きさは、「100年安心」を売り物にしたあげくに5000万件もの“宙に浮いた情報”を放置していた年金と比べれば小さいかもしれない。だが1週間で解決するからといって、看過できることではない。共通するのは「共同無責任体制」と「無謬原則の崩壊」だ。