○大
野元裕君 技術的に困難であるという場合には、そのほかの様々な
措置を私は講じる必要があると思っています。
今のお話で、例えば
警察庁のパソコンに対して、あるいはその端末に対して、不自然な
アクセスが何回も加えられた場合には分かるとおっしゃいました。ところが、実は
先ほど述べたEUCOMの
司令官であるスタブリデス米海軍大将のケースは、フェースブックというSNSに彼が出しているものを、そこからいろいろ調べて、彼の人間関係を調べて、ここをつけばこういった
情報が出るということをやられた。つまり、
警察庁の中のパソコンではなくて私用で使っているところでやられて、そういったものを組織的に恐らく把握をされて
攻撃をされたと。しかも、最終的には
正規な
パスワードで分からなかったという
状態があります。
これは官房副
長官なんでしょうか、お伺いをさせていただきたいんですが、
政府は、
政府機関の
情報セキュリティ対策のための統一基準群というものを定められて、
情報漏えいや不適切な
情報の取扱いがないよう
措置を講じていると私は承知をしています。ところが、
先ほど取り上げたような
連続自動入力プログラムを使用して、例えば
政府の人間あるいは官僚の方々が家庭で私用で使っている
パスワード等が盗まれた場合というのを
想定をされているか。
その一例を申し上げると、例えば私がどこかの省で働いているとして、家でSNSにログインをします。そのときの
パスワードが役所で使っている
パスワードと同じ場合には、私用で使っている
セキュリティー対策の低いところ、自分の家では
セキュリティー対策低い、そこで抜き取られてしまって、結果として、その
パスワードが役所で使うものと同じでそこで
アクセスをされるという可能性は、
先ほど申し上げたフェースブック等で彼の多分背景や友人まで分かっていますから、大いにあり得るし、その結果、業務あるいはシステム
そのものの錯乱ですとか混乱、こういったものが起きかねないと私は危惧しています。
この
中身を読むと、行政事務事業者に対して、管理者権限を持つ識別コードを付与された場合には、管理者としての業務遂行時に限定して当該識別コードを利用することと書いてあります。ところが、この管理者権限を持つというのは何かというと、これは辞書で引いてみたところ、アドミニストレーター、ルート権限、つまり
コンピューターあるいはその
ネットワークを管理する権限であって、端末の一管理者、これは出向者もいますし、あるいは様々な使う方もおられると思いますけれども、こういった全ての場合とは私は限らないのではないかと思います。
ついては、
政府の
情報統一基準を定められておられますが、やはり行政事務事業者に対して、
政府機関の
情報システムを利用する、端末に
アクセスする場合と私用、私の用で用いる場合の識別コード、符号等はやはり分けるということは明確に書かれた方が、あるいは、もしそうでないとしても、私が読んだ範囲では、辞書によるとそういうふうになってしまうので、明確に書かれた方がよろしいんではないかと思いますが、いかがでしょうか。