米グーグルのメール共有サービス「グーグルグループ」を通じて、環境省による国際条約の交渉過程が誰でも閲覧できる状態になっていた問題がネットを騒がせている。
「中央省庁がGoogleの無料サービスなんて使うのが間違いだ」
「環境省Googleグループ使ってんの?自前たてた方がいいだろ」
こんな意見がツイッターなどに相次いで書き込まれているのだ。
「ただ『使うな』では同じ問題起きる」
今回問題になっているのは、メーリングリストのようなサービスで、メールのやり取りがウェブ上で見られるのが特徴だ。「オープンディスカッション」というグーグルの方針上、初期設定だとやりとりは世界中に「公開」されるようになっており、メンバー内限定にしたい場合は手動で「非公開」にする必要がある。
読売新聞によると、環境省は2013年7月10日、同サービスの利用が情報管理規定違反に当たるとして実態調査に乗り出した。 関係者の処分も検討するという。
環境省では、水銀の輸出入などを規制する水俣条約交渉について情報を共有するため、13年1月に同サービスの利用を開始。公開範囲を「公開」のままにしていたため、他国との2国間会議の内容や、全体会議で発言予定の文案などが、7月9日まで誰でも見られる状態だった。このほか、国土交通省、林野庁、復興庁も業務関連の情報を公開していた。
内閣官房情報セキュリティセンターによると、中央省庁の基本的な方針として、「情報の機密性に応じて取り扱いの統一基準があり、外部システムの利用については、許可が必要になる」としている。細かな運用などは各省庁による。
環境省の規定では、職員が外部情報システムを利用する際は届け出が必要で、機密性のある資料を扱う場合は、安全管理措置も義務付けられている。しかし今回届け出は行われず、さらに、重要な情報を扱うにもかかわらず、閲覧制限の措置もとられていなかった。条約交渉後にサービスを停止していなかったことも違反に当たるという。
要するに、今回の件では、グーグルのサービスを使うのは基本的には禁止されていて、問題の関係者らはそれを破ったということだ。
ただ、「そういった外部サービスを『使うな』ではなく、どうすれば安全に使えるかを考えないと、また同じ問題が起きるでしょう」――と情報セキュリティに詳しい株式会社ラックの西本逸郎CTO(最高技術責任者)は指摘する。
「省内のシステムは規定がガチガチで使えない」
仕事関係のやり取りにグーグルグループを利用しているというのは、素人目には驚きだが、西本氏によると役所では「珍しいことではない」。予算不足などの事情から、今回の例のように非公式に自前のシステムと併用せざるを得ない状況があるそうだ。
「自治体・公共団体は軒並み『チェック』だと思います。社内システムが使えるものではないんです。費用が削られている上、規定がガチガチで、民間や海外を飛び回る大学の先生とのやり取りが仕事上必要でも満足にできない。だから無料の外部サービスに逃げていくのは当たり前といえば当たり前。とくに、大学の先生なんてグーグルグループを使っている人は多いですから。今回の件では、『守れないルール』が横行していることもわかった」
実際、グーグルグループで検索してみると、自治体の契約に絡むメールなどが見つかる。
「自分たちがやっていなくても、(メールをやりとりする)相手がやっていたら、(外に)出てしまうことがある。簡単に言えば、相手がメーリングリストに断りなく自分のメールを転送していたとしたら、知らないうちに流出が起こったことになる。今回の問題は実はとても大きなもので、関係ない人はいない」(西本氏)
もちろん、だからといってすべての情報を外部情報システムでやりとりして良いわけではない。
「スノーデン事件でも明らかになったように、グーグルのデータはアメリカに監視されている可能性が高い。安全保障上の観点から言っても、条約交渉を平文で流すのなんて愚の骨頂。他にも、添付ファイルのパスワードをメールに併記していた事案もあった。データの取り扱いについての意識が日本人は低すぎる。条約や軍事関係のことなど、機密情報に関してはきちんとお金をかけて守ってやって欲しい」(西本氏)
重要なのは、情報の重要度によって、何をどこでやりとりしていいか、という意識を徹底することだそうだ。その上で、今回の話は教訓とするよりも、新たな情報の取り扱い方針を考えるきっかけにすべきということだ。