サイバーディフェンス研究所(東京都千代田区)上級分析官で、日本サイバーディフェンス(同)シニアエグゼクティブアドバイザーの名和利男さんがこう説明する。
「どんなに対策をしたとしてもセキュリティーシステムには必ず穴があり、問題が起きることを前提としなければいけません。重要なのは情報漏洩などの問題が起きたとき、その被害をいかに最小化するかということです。しかし、政府は『問題はない』『安心して』という発言を繰り返し、最小限に被害をとどめる仕組みや努力がどうなっているのか、説明していません。これは国民にリスクを隠蔽(いんぺい)しているようなもので、不誠実な対応に見えます」
どうしたらいいのか。名和さんはこう説明する。
「アメリカでは行政府から独立した米国政府説明責任局がサイバーリスクを精査して、行政府に改善を促しています。何が改善でき、できていないのかも開示しています。日々進展する脅威に対し、こうした検証の体制は不可欠ですが、日本にはその仕組みが乏しいです。透明性のない制度は、隠蔽や虚偽などが起こる危険性が飛躍的に高まります。致命的な問題が内在し、将来、甚大な被害につながる可能性があります」
横浜市や練馬区の問題については、
「システムの問題はシステムをつくった事業者側の問題ではなく、発注者側の問題です。どういったリスクに対し、どこまで対応するのかというのは、発注側にしか判断できません。過剰なアクセスというのは当然想定される事態で、見積もりが甘かったのでしょう。練馬区で新たに作った対応策も根本的な解決にはなっていないです。これでは担当者が替わったときに、また見直される可能性もある。本来であれば、法律やテクノロジーに落とし込んで、同じ問題が起きない体制を整えるべき話だと思います」
と指摘している。
情報漏洩のリスクに注目が集まるが、それだけではない。他の先進国では特に、国が共通番号を導入することについて慎重に議論されてきた経緯がある。