国の本気度が伝わる自治体の責務を明確にしたサイバー法

　10月からマイナンバーを通知する通知カードの送付が始まり、マイナンバーへの関心も高まってきたのではないかと思います。そのような状況で出てくるのがセキュリティへの不安です。このような制度に対して懐疑的な方を中心として、例えば、番号が漏れてしまうことがあるのではないか、悪用されることがあるのではないかといった懸念が表明されるのです。

　記憶に新しいところでは、今年5月に標的型攻撃を受けた日本年金機構から約125万件の年金情報が流出しました。このような出来事があると、マイナンバーもセキュリティにも不安があるのではないかと思われてしまうのは仕方がないことかもしれません。

　ですが、政府がまったくの無策というわけではありません。

　日本年金機構への攻撃については、日本年金機構、内閣官房のサイバーセキュリティ戦略本部、機構を管轄する厚生労働大臣が立ち上げた第三者検証委員会の3者が詳細な報告書を出し、攻撃の手法やその顛末を明らかにしています。特にサイバーセキュリティ戦略本部が発表した「日本年金機構における個人情報流出事案に関する原因究明調査結果」は、現在の日本政府のサイバーセキュリティ対策の司令塔である戦略本部が作成しただけあって、その内容は極めて詳細なものです。

　起きてしまったことについては、それをできるだけ正確に把握し、的確な対策を立てる。絶対に安全なシステムというものがない以上、これが基本原則となります。この事態の正確な把握について日本政府は手を抜いているわけではないのです。

　サイバーセキュリティ戦略本部は、2014年のサイバーセキュリティ基本法の制定によって作られた組織です。このサイバーセキュリティ戦略本部と合わせて、従来からあった内閣官房情報セキュリティセンターを改組して内閣サイバーセキュリティセンターが設置されました。この内閣サイバーセキュリティセンターは、年金機構への攻撃に際して、機構の端末の異常を感知し、機構に通報していました。にもかかわらず、年金機構の対応が十分ではなかったために、被害が大きくなってしまったのです。

　今年の9月には、サイバーセキュリティ基本法に基づき、サイバーセキュリティ戦略が閣議決定されました。サイバーセキュリティ基本法やサイバーセキュリティ戦略については、専門家による解説も数多くなされていますが、注目したいのは、サイバーセキュリティ基本法において地方公共団体の責務というものを明確に定めた点です。

　サイバーセキュリティ基本法第5条には、以下のように定められています。

第5条　地方公共団体は、基本理念にのっとり、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有する。

　主にマイナンバーが使用されるのは自治体の事務の現場においてですが、国との連携を前提としたシステムですから、セキュリティに脆弱性を抱える自治体が存在すると、そこを介して国全体のシステムへの攻撃の危険性を増大させることにつながってしまいます。ですから、サイバーセキュリティに関する自主的な施策の策定と実施を責務として課しているのです。この責務を課すというのが重要なポイントです。自治体の自主性に任せる努力規定ではなく、責務を課す義務規定とした点に、国の本気度がうかがえます。

　年金機構の事案もそうですが、国を挙げての対策が求められているのです。現状では、マイナンバーそのものの導入に関するシステム開発への対応に自治体は追われていますが、合わせてサイバーセキュリティ対策にも十分に注意を払うことが求められています。

＜島根大学研究機構戦略的研究推進センター特任助教　本田正美＞