ひょうご防災ネットアプリの保守運用でラジオ関西が県の承認なく再委託を繰り返し、北朝鮮籍と報道されたIT技術者がプログラム修正をした事案について、重大な事態を招いたラジオ関西への指導内容を確認したい。
報道当日に報告を求め当該技術者が省電力化作業のみ関与・情報流出や不正プログラムなしを確認し公表、第三者機関検証も実施している。
役員に事務手続適正化を直接指導し、担当者名簿提出・面接による身分確認・現地調査を徹底、約30万件のダウンロードを得て信頼回復に努めた。
ラジオ関西が令和5年度も同業務を継続することには問題がある。
入札参加資格登録で商業登記簿・住民票等の提出を求め、外為法で北朝鮮居住者への支払いは原則禁止のため業務委託は事実上不可能だ。
再委託の運用方法を明確化しても、北朝鮮の意を受けたIT技術者が身分を偽り請負業者そのものになろうとした場合に防げるのか、税金の北朝鮮流出を懸念している。
身分詐称には把握が困難で限界があるが、情報セキュリティ対策指針改正で再委託先の名簿提出義務化と契約の見える化により不正資金流出の抑止を図る。
韓国政府は北朝鮮IT労働者について勧告を出している。
抜き打ちのビデオ通話など厳格な認証が必要だ。
セキュリティ・クリアランスの視点を導入し、身分詐称時のペナルティ、従事者リストの提出、損害費用の請求条項を盛り込んで、契約上のリスクを下げられないか。
情報セキュリティ対策指針改定で再委託含む全従事者名簿作成、事業者選定時の組織・人的側面の安全管理措置確認、契約後の定期報告と監査を運用化だ。
指針不遵守時の損害賠償と元請の全責任を契約明記し、主要システムへ外部監査を実施し全庁点検を進める。
民間ではセキュリティ業務を外注から内製化へ切り替え、ゼロトラスト・CSIRTを設置する動きが加速している。
第三者への検証委託や外部監査への依存は危険だ。
庁内CSIRTの仕組みを取り入れ、警察の持つ情報を共有して脅威に備えるべきだ。
物理・人・技術・運用の各観点でセキュリティ対策を実施し民間にも求めている。
庁内は情報担当セクションが推進し外部監査で第三者視点も加えており一定のセキュリティは確保しているが、今後の巧妙化を見据え最新の知見を取り入れて確保に努める。