2003年に指摘された問題にいまだに悪戦苦闘する日本政府・企業
私はコロナが蔓延する前の数年間、シンクタンクなどが主催するサイバー・セキュリティのセミナーや勉強会に、時間の許す限り参加するようにしてきた。サイバー・セキュリティの分野は日進月歩で、学習を怠ると取り残されてしまうという危機感を抱いたからだ。
しかし、そうした勉強会に参加して明らかになったのは、日本の政府や企業が、私が2003年に報告書で指摘した問題にいまだに悪戦苦闘し、克服できていないという現実だった。
勉強会に参加する大企業の上級研究員やサイバー担当役員は、問題の所在を依然として理解しておらず、質疑応答の際に、私が2003年に首相に提出した報告書に勉強会のテーマになっている問題が既に記載されていたことを指摘しても、世界からの後れを自覚する専門家は限られていた。
情報漏洩事件が発生すると、政府・自治体や同業他社は、まず「自分の組織は大丈夫か」と調査を行う。しかし、その時点でのセキュリティに関する知識や技術レベルで、しかも慌てて調べるわけだから、通り一遍の調査しかできない。当然ながら漏洩の証拠など見つかる訳がないのだが、悪いことに、日本の組織は漏洩の痕跡が見つからなかったことを根拠に安心してしまうのである。
このような日本的な「調査」においては、情報の取り扱いに関する検討委員会を立ち上げ、特定の文書をどの文書ロッカーに鍵をかけて保管するか、コンピュータ室の管理者を誰にするかといったことを決定し、書類にまとめて各部署に配布し、多くの場合、以上で一件落着となる。決められた通りに確実に実行されているかどうか、全組織を挙げて毎年チェックするところまでは至らない。サイバー犯罪者の能力は日進月歩で高まっているにもかかわらず、日本の多くの役所や企業は、ソフトウェア納入業者やコンピュータ管理会社に業務を丸投げした時点で、安心してしまうのだ。
