10月7日に情報セキュリティ政策会議が開かれた。「何を今頃」という声が聞かれたし、新聞の報道でも情報セキュリティ政策会議やその事務局に当たる内閣官房情報セキュリティセンター(NISC)の対応は不十分だという指摘もあった。
私も当事者の一人(情報セキュリティ政策会議の構成員)だし、二つの新聞の取材を受けた側でもあるので、責任の一端を担っている。確かに、取材では、政策会議やNISCに問題ないと言ったわけではない。
しかし、私が指摘したのは以下の三点。
(1)自民党時代と比べて民主党政権はこの問題にあまり関心を持っていない。少なくとも政策会議の開催頻度や時間設定は減ってしまっている。私が参加するようになってからは、政策会議が開かれるたびに議長である官房長官が代わっており、毎回議論をやり直さないといけない。
(2)総理大臣決定だけで設置されているNISCは他の官庁と比べて基盤がどうしても弱くなり、人材も生え抜きではなく出向組でできているので、強力なリーダーシップを発揮できるわけではない。
(3)各国のサイバーセキュリティ対策は、インテリジェンス機関(諜報機関、情報機関)が主導している。日本ではインテリジェンス活動が広く認知されているわけでもなく、政府・民間に覆い被さるセキュリティ・クリアランス(保秘制度)も整っていない。そのため、海外の政府との情報交換・共有がしにくい。
この三点が組み合わさると、どうしても政策会議とNISCにできることは限られてくる。特に、(3)について取り上げてくれた報道はたぶんなかったと思う。
それでも、2005年からこれまで二十数回開催されてきている分けだし、政策会議とNISCは粛々とやるべきことをやってきている。三菱重工の報道があって慌てて対策を打ち出したわけではない。来るべきものが来たというだけだ。その三菱重工への攻撃も、これまでのものと特別違っているわけではなく、いろいろな企業に行われてきているものの一部に過ぎない。例えば、経済産業省が7月にとりまとめた「サイバーセキュリティと経済」研究会の中間とりまとめにはそれなりに詳しく書かれている。
ジャーナリズムの機能は権力のチェックであるから、政府のやることにそれなりに厳しくなるのは分かる。しかし、これまでやってきたことに対する公平な評価があったかどうかという点ではやや不満だ。特に、クルクルと代わる政権側の陣容と、2年ごとのサイクルで代わる官僚側に比べて、政策会議の民間構成員はそれほど入れ替わりが激しくなく、安定している。そこがある程度の継続性を担保している。
ともあれ、情報セキュリティ政策会議とNISCの認知が高まったことは良かったとしよう。これから何をするかが問われることになるだろう。