内閣官房が毎年実施している、独立行政法人などのシステム脆弱性を監査する国の事業が、今年度は実施できていない状況にあることが分かりました。これは、法令上唯一の受託先である情報処理推進機構(IPA、東京都)が、再委託先における情報管理体制の不備を理由に、2026年4月から5か月間の契約指名停止処分を受けたことによるものです。
この事業は、サイバーセキュリティ基本法に基づき、約100の独立行政法人や特殊法人、認可法人を対象に基幹システムの脆弱性などを調べるもので、高度な技術を有するIPAのみに委託が可能となっています。監査の性質上、機密情報を扱うことから、指定された部屋以外での作業は禁止されていましたが、IPAが前年度に業務を再委託していたデロイトトーマツグループの「ストーンビートセキュリティ」(東京都)の従業員が、指定外の場所で作業を行うなどの違反が2025年10月に発覚しました。
情報の外部漏えいは確認されていないものの、監査の一部が完了しなかったため、内閣官房は2026年4月にIPAとストーンビートセキュリティの2社を2026年9月まで指名停止としました。これにより、約5億円の予算が計上されている今年度の監査事業が停止する事態となっています。
近年のサイバー攻撃の脅威について、宇宙航空研究開発機構(JAXA)が2023年以降に複数回の攻撃を受け、個人情報などが一部漏えいする被害が発生しています。さらに、システムの脆弱性を特定する能力が非常に高いとされる最新AIモデル「クロード・ミュトス」の登場などもあり、脅威は日々増しています。
この件に関し、情報セキュリティーの専門家である立命館大学の上原哲太郎教授は、監査によるセキュリティー意識の向上効果を挙げた上で、政府は確実に事業を実施できるよう指名停止ルールの適否について検討すべきであると指摘しています。
コメント