｢国立国会図書館｣開発中のシステムにサイバー攻撃､再委託先から侵入…情報漏洩の責任はどこに？"根本的な解決策"として注目の★評価制度

国会図書館、IIJ、ソリューション・ワンはいずれも声明を発表したが、攻撃の手口や侵入経路などの詳細は明らかにされていない。しかし、国会図書館の利用者情報の一部が開発用データとしてソリューション・ワン側に保存されていた可能性は十分に考えられるということで、それこそが今回の問題の本質を示している。

ソリューション・ワンのサーバが侵害されたのであれば、一次的な技術的責任は同社にある。だが、それだけでは問題の全体像を説明できない。本件が象徴するのは、「情報を扱う最終責任は発注元にある」という現代の情報管理の大原則である。

国会図書館は、リプレイス業務の契約段階で、IIJおよび再委託先であるソリューション・ワンのセキュリティ管理をどこまで審査し、どれだけ厳格な基準を課していたのか。また、開発テストのために既存利用者データの一部を提供していた可能性が高いが、その際に「本当に第三者提供が必要だったのか」「提供する根拠は十分か」「利用者への説明は適切だったのか」も問われる。

委託先が個人情報を取り扱う場合、発注元は管理体制を直接把握し、評価し、改善を求める義務がある。形式的な契約書だけでは不十分であり、実際の運用が伴わなければ意味をなさない。今回のように、最も守りが弱い箇所から攻撃されるのは、サイバー攻撃の常套手段である。

「委託先経由」の事故、イセトーの教訓は生かされたか

今回の国会図書館の事案は、近年相次いで発生した委託先経由の情報流出事件と構造がよく似ている。2024年には印刷・発送業務を担うイセトーがランサムウェア攻撃を受け、数十自治体・企業の個人情報が大量に流出した。

この事件で明らかになった問題は、イセトー自身の管理の甘さにとどまらない。真に深刻だったのは、数千の委託元組織が「委託先であるイセトーのセキュリティ水準を評価していなかった」という事実である。

契約上のセキュリティ条項が存在していても、それが実際に運用されているかを確認しなければ意味がない。イセトーの教訓は「委託先の評価を怠れば、自組織も被害者になる」ということだった。しかし今回の国会図書館の事案を見る限り、その教訓が十分に生かされたとは言いがたい。