[OPINION] 特定秘密保護法とサーバ管理者

私の職業上・職務上知っておかなくてはならないと思うので。

内閣情報調査室と各省庁が協議した資料が法案成立直前の12月5日に社民党の福島議員に提供されました。公開された資料の中で警察庁の担当者の質問に内閣情報調査室が回答した部分があります。

「Q.特定秘密が電磁的方法により記録されたサーバーのメンテナンス業務等は特定秘密の取扱い業務に含まれるか(警察庁)」
「A.サーバーのメンテナンス業務等が特定秘密の取扱い業務に該当するか否かは、特定秘密の知得を伴うことが無いと断定することはできない(=知得を伴うので取扱業務に該当する)(内閣情報調査室)」

ネタ元 via セキュリティホールメモhttp://nohimityu.exblog.jp/21051507/

どういうことかというと、業者が特定秘密が入っているサーバーをメンテナンスしたら特定秘密の取扱い業務になるということです。
万が一、その情報が漏えいされでもしたら、保守業者は罰せられる恐れもあります。
漏らしてないよとか、見てないよ、知らなかったよ、で済めばいいのですけど証明は難しいでしょう。

国会中継を見ていて私は可哀想に思ってしまったほど野党の攻撃の矢面に押し出された森担当大臣(その後ろに隠れたり、退席してステーキ食べに行った偉い人たちは酷いと思う。森大臣に謝れ!)が、困りながら確実性の取れない答弁をやっていたような資料ではなく、現場での運用上の確認なので、ほぼこの通りに実行するつもりであろうという協議内容です。

通常、まともで誠実なサーバー業者ならば、顧客のサーバーを探って機密情報が含まれているかチェックなんかしませんが、特定秘密が入っているサーバーを覗くことができるというだけで取扱い業務に該当するわけです。
特定秘密が入ってるかなんて知らなくても。
まぁ、日々、サイバーセキュリティをアレコレ考えてる自分としては、その判断は妥当だと言えます。

しかし、そのようなメンテ作業をした担当者に、例えば上司や周囲の人が「作業はどうだった?」って報告を求めただけで独立教唆罪になります。たぶん、厳密に運用したら。

なお、特定秘密の取扱い業務ができる人は適性検査等で認められた人らしいので、サーバーメンテナンス業者は適性検査を受けておくことが事前に求められるかもしれませんね。
適性検査ってのが何なのかわからないですが、思想チェックとかされるのかもしれませんし、性格判断とか占いみたいなものかもしれません。私なんかはFacebook使ってるので不合格になるかもしれません。

通常、公的機関のシステム保守は職員ではなく業者がやっていることが多いでしょう。
職員さんはシステム管理に特化した業務なんかやってたら、他の重要なお仕事ができなくなっちゃいますから。
しかし、特定秘密が電磁的に記録されたサーバー管理を職員さんがやらなくてはならなくなるとしたら、これは一大事です。
というわけで、サーバー管理業務ができる専門知識を持つ特定秘密取扱職員となれるチャンスが来たりするんだろうか、と夢想したり。
(たぶん、今日12月10日は公務員が羨望の眼差しで見られる日)

最近はクラウドコンピューティングを公的機関が活用するケースが増えていますけど、中に何が入っているかサービス提供会社にはわかりませんし、そもそもシステムが何なのか自体も知らないでしょう。
また、そういうサーバーの場合はRAIDなハードディスクが使われていて、日常的に故障するディスクを交換していきます。
壊れたハードディスクとはいえ、そのデータのサルベージは可能ですので、もし特定秘密が含まれていればデータを読み取ることができます。(RAID1なら確実。RAID5とか6,10は難しいけど)
つまり、特定秘密を知得できるということになります。

ある日、自分が管理者パスワードを知っている仮想サーバ上にある特定秘密が漏れた。それを捜査している警察の人が私の所にやってきて、とりあえずお近くの警察署まで任意同行を求められる。場合に寄っちゃ拘留されちゃう。下手すれば起訴されて実刑くらう。
なーんて日は、まぁ可能性としてないとは断定できない、という程度のものでしょうけれど。

と、この一部分だけ見ても運用に大きな問題がある法律です。このまま運用できるとは考えにくいので、短期間で修正を繰り返すと予想してます。もちろん、突然サーバー管理者が逮捕されて投獄なんてことは起こらないと希望的観測を持っております。

じゃないと怖いよね。