日立製作所の社員がシステム管理業務の中で入札情報を不正に得ていたとして、国立国会図書館が刑事告発に踏み切った。しかし、アクセス制限をかけていなかったとの情報があり、図書館側にも問題があった可能性が出ている。
日立では、2010年4月から業務委託を受けて、国会図書館内ネットワークシステムの運用管理をしていた。
SEは、権限で職員専用フォルダを閲覧
ところが、日立の広報IR部によると、システムエンジニア1人が、11年6月に担当になってから複数回にわたって、図書館職員専用フォルダ内の入札情報を勝手に閲覧していた。それは、次期ネットワークシステムについての他社提案書や参考見積りなどだったという。このSEは、情報をコピーしたうえで、上司や営業担当者ら4人にメールなどで情報提供していた。そして、落札できなかったものの、情報を元に入札へ参加したこともあった。
国会図書館の総務課によると、図書館の職員が14年3月27日、貸与したパソコンでこのSEと共同作業をしていたところ、ファイル履歴に入札情報の閲覧記録があるのに気づいて問題が発覚した。
図書館では、アクセス権限を悪用して情報を得ていたとして、日立に社内調査を求めた。その後、結果報告を受けたものの、不十分であり調査には限界があるとみて、6月16日になって、日立の社員2人を公契約関係競売等妨害の罪で警視庁に告発した。また、日立を6か月、子会社5社を3か月の指名停止措置にした。
日立でも、情報を不正取得していたことを認めて、複数の社員を懲戒解雇にするなど5人を処分した。役員についての処分も、20日の取締役会などで決めるとしている。
日立によると、処分されたSEは、その権限で職員専用フォルダを閲覧できる状態だった。業務だとはいえ、委託先が入札情報をも閲覧できたことに問題はなかったのか。
国会図書館「落ち度はなかった」
情報セキュリティ対策などを進めている情報処理推進機構(IPA)では、セキュリティセンターの研究員がこう指摘する。
「一般論として、システム管理者であっても、委託先として閲覧できてはいけないものがあります。こうしたものについては、閲覧できないようにアクセス制限をするのが対策になります」
さらに、その状態での不正アクセスを防ぐために、委託元が委託先を監視することも大切だと言う。
「まず、閲覧履歴などのログを取ることですね。作業報告をしてもらうことも必要だと思います。委託先に任せ切ってしまうと不正の恐れがありますので、監視を強化しなければなりません」
国立国会図書館では、日立のSEがなぜ入札情報を閲覧できてしまったのか。この点について、総務課の担当者は、「こちらでも確認中であり、捜査中ということもあって、お話はできません」と取材に答えた。しかし、閲覧できたことに対し、「落ち度はなかったと考えています」と明言した。担当職員を厳重注意など何らかの処分にしたかについては、「お答えできません」とした。
ネット上では、国会図書館の指名停止措置について、「甘すぎだろ」「図書館だけじゃなく、国の発注停止すべき」といった厳しい声も出ている。この点については、図書館では、「指名停止期間などは、適切だったと考えています」と言っている。