内閣官房が毎年行ってきた独立行政法人のシステムの脆弱（ぜいじゃく）性などを監査する事業が今年度、実施できていないことがわかった。法令上、唯一受託できる情報処理推進機構（ＩＰＡ、東京）が４月、再委託先の情報管理体制の不備で５か月間の契約の指名停止を受けたためだ。サイバー攻撃の脅威が増す中、国の監査体制の盲点が露呈した形となる。（安田龍郎）
問題となっているのは、全ての独立行政法人と、日本年金機構などの特殊法人・認可法人の計約１００法人を対象に、基幹システムの脆弱性や管理体制などを調べる国の監査事業。２０１４年制定のサイバーセキュリティ基本法に基づくもので、１６年の法改正で高度な技術を持つＩＰＡのみに委託可能となった。ＩＰＡは年度初めに内閣官房と随意契約を交わし、内閣官房の許可を得て複数の事業者に再委託してきた。
監査では、ハッカー役が外部からの侵入テストなどを実施。機密情報を扱うため、内閣官房は契約で、担当者以外が入室できない事業所内の部屋を作業場所に指定し、再委託先にも順守義務を課している。
内閣官房国家サイバー統括室やＩＰＡによると、ＩＰＡが昨年度の事業を再委託したデロイトトーマツグループの「ストーンビートセキュリティ」（東京）で昨年１０月、従業員が指定外の場所で作業していたことが発覚。他にも複数の違反が確認された。
情報漏えいはなかったが、監査の一部を完遂できず、内閣官房は今年４月、「契約相手として不適当」などとしてＩＰＡとストーン社を９月まで指名停止とした。ＩＰＡの指名停止は初めて。これに伴い、年度初めの契約ができず、約５億円の予算を計上している今年度の監査事業もストップした。
ＩＰＡは読売新聞の取材に、「業務を最後まで継続させる上で課題はあった」と説明。ストーン社の親会社のデロイトトーマツサイバー（東京）は「業務管理体制の不備があり、セキュリティー専門会社として重く受け止めている」とコメントした。同室は「再発防止策も含め、対応を検討中」としている。
先端技術を持つ独法などを狙ったサイバー攻撃は近年、相次いでいる。宇宙航空研究開発機構（ＪＡＸＡ）は２３年以降、複数回攻撃にさらされ、個人情報などが一部漏えいした。最新ＡＩ（人工知能）モデル「クロード・ミュトス」はシステムの脆弱性を特定する能力が極めて高いとされており、サイバー攻撃の脅威は増している。
情報セキュリティーに詳しい立命館大の上原哲太郎教授は「監査はセキュリティーへの意識を高める効果もある。政府は着実に実施できるよう、指名停止のルールの適否についても検討すべきだ」と指摘する。
◆情報処理推進機構＝国の情報セキュリティー対策の中核を担う経済産業省所管の独立行政法人。４月１日時点の職員数は７２３人で、情報セキュリティ白書の発行や国家資格の情報処理安全確保支援士などの試験運営も担う。ＡＩの安全対策を行う「ＡＩセーフティ・インスティテュート」も設置されている。