秘密電子計算機情報流出等再発防止に係る抜本的対策について

平成18年3月28日

1 はじめに

 防衛庁では、海上自衛隊の護衛艦「あさゆき」の秘密情報流出事案が判明したことを受け、防衛庁全体としての再発防止に関する抜本的な対策について検討するため、2月24日に、髙木防衛庁長官政務官を委員長とし、事務次官、官房長、全局長、陸・海・空幕僚長をはじめ防衛庁内の全機関の長などをメンバーとする秘密電子計算機情報流出等再発防止に係る抜本的対策に関する検討会を設置した。
 検討会は、同日に第1回の会合を開催し、部外有識者の方々からもご意見を頂きながら、これまで4回にわたり、制度、技術、教育、設備など各種側面から必要な対策について検討を行うとともに、秘密保全、情報セキュリティ及び懲戒処分の個別分野ごとに検討を行う作業グループを検討会の下に設け、合計13回の検討を重ねてきたところであるが、これまでの検討結果を踏まえ、この度、秘密電子計算機情報流出等再発防止に係る抜本的対策について、その基本的な事項を次のとおり取りまとめたところである。
 これらの対策を実現に移す上では、その詳細についてさらに検討を深める必要があるが、この度の秘密情報流出事案が防衛庁に対する国民の信頼を著しく裏切るものであることを真摯に受け止め、同種事案を確実に防止し、国民の信頼を取り戻すため、今後、早急にこれらの対策を実施していくこととしている。

2 情報セキュリティの観点からの抜本的対策

〔ポイント〕

○ 職場から私有パソコンを一掃するため、官給品のパソコン約5万6千台を緊急調達

○ データの持ち出しによる情報の流出を防止するため、業務用データを可搬記憶媒体に保存する場合にはデータを自動的に暗号化

〔具体的対策〕

(1)新たな技術の導入等技術的・設備的対策の実施

① 職場から私有パソコンを一掃するため、官給品のパソコン約5万6千台を緊急調達する。

② 可搬記憶媒体に保存されるデータを自動的に暗号化、ICタグを使用する等により、可搬記憶媒体の無許可持ち出しを防止する。

③ インターネット利用時の接続先制限機能、メール自動検査機能等により、ネットワークを通じた情報流出を防止する。

④ シンクライアントシステムに関し、導入が可能なものについて逐次導入を進める。

⑤ 情報通信技術の進展を踏まえ、防衛庁に必要とされるセキュリティレベルに応じたOSを検討する。

(2)制度の見直し

① 官品パソコンを調達後、職場での私有パソコンの使用を全面禁止する。また、私有可搬記憶媒体の使用の全面禁止、可搬記憶媒体の集中管理など、情報流出防止に向けた規制を強化する。

② インターネット上への流出事案判明時の対応を迅速・的確に行えるよう、秘密情報以外についても全庁的な事案対応要領を策定する。

③ 抜き打ちを含めた制度の遵守状況調査を行うとともに、制度見直しと物理的対策を組み合わせ、制度の実効性を確保する。

(3)教育の強化

① 情報セキュリティや秘密保全に関する制度や情報流出防止に関する情報について、職員の階級及び取り扱う情報に応じた定期的な教育を実施する。その際、理解しやすい教育資料を作成する。

② 情報システムへのログイン時に各種セキュリティ情報を自動的に表示させるなど、情報システムを活用した周知方法を改善する。

③ 情報セキュリティに関する各職員の疑問へきめ細かな対応を迅速に行うため、個別の情報システムの維持管理等について相談を受けていたシステム管理者の他に、情報セキュリティに関する専門的知見を有する部署に相談窓口を設置する。

3 秘密保全の観点からの抜本的対策

〔ポイント〕

○ 秘密文書等について、その内容を精査し、「庁秘(機密・極秘・秘)」のうち「機密」「極秘」を、より重い罰則により担保される「防衛秘密」へ1年を目途に移行させ、抑止効果を向上

○ 秘密指定の厳格化措置等を講じることにより、過剰な秘密指定を防止するとともに、不必要な秘密文書等を削減

○ 秘密を扱う全職員に対し、規則遵守の「誓約書」提出を義務付け、流出事案等を引き起こした者は、保全に関する信頼性の回復等が認められない限り秘密へのアクセスを無期限に排除

○ パソコン内データの抜き打ち検査、所持品検査等、検査態勢の強化

〔具体的対策〕

(1)抑止力の強化

① 秘密文書等について、秘密区分及び秘密の内容を精査し、高度な秘匿を要するにもかかわらず、相対的に軽度の罰則の担保の下に置かれている「庁秘(機密・極秘・秘)」を、より重い罰則により担保される「防衛秘密」へ1年を目途に移行させ、最終的には庁秘の「機密」「極秘」を廃止する。

② 秘密を必要最小限のものとするため、秘密指定の厳格化措置等を講じることにより、過剰な秘密指定を防止するとともに、不必要な秘密文書等を削減する。

③ 秘密の流出事案等を生起させた者は、人事上の処分に加え、保全に関する信頼性の回復等が認められない限り、秘密取扱業務から無期限に排除(秘密情報へのアクセス排除)する。

④ 管理者・保全責任者について、規則上、部下職員に保全規則を遵守させる義務、教育・監督義務等を明記し、職責を明確化するとともに、これに違反した場合の処分基準を明確化する。

⑤ 秘密保全に係る重い責任を自覚させるため、秘密を取り扱う全職員に対し、「誓約書」の提出を義務付ける。

(2)検査態勢の強化

① 可搬記憶媒体等による秘密情報の持出しを防止するため、立入禁止区域等への出入りに際し、抜き打ち検査を含む所持品検査を制度化する。

② 秘密情報の不適切な保存を防ぐため、秘密の取扱いを許されていないパソコン内に保存されているデータの抜き打ち検査を制度化する。

③ 秘密に関わる契約企業に対しても抜き打ち保全検査を実施する。

(3)秘密保全関係規則の整理・統合

 現在、文書等や電子計算機情報で別々の関係規則の整理・統合を図る。

4 懲戒処分の観点からの抜本的対策

〔ポイント〕

○ インターネット社会における情報流出事案について違反行為を類型化し、管理者責任を含めて厳しく処分される旨処分基準を明確化することにより、関係者の保全意識と責任の自覚を高めるとともに、処分による抑止力を強化

〔具体的対策〕

(1)秘密漏洩に関する処分基準の見直し

 自衛隊法等により保護される秘密を漏洩した場合について、刑事罰の有無等も踏まえ、故意・過失、秘密の種類に応じ違反行為を類型化し、処分基準を明確化する。

(2)情報の取扱義務違反に関する処分基準の新設

① 情報保全義務違反

秘密漏洩の結果が生じたかどうかを問わず、部内情報(秘密以外のものも含む。)の取扱に関する義務違反行為自体について類型化し、処分基準を明確化する。

② 情報管理者等義務違反

情報の取扱者のみならず、管理者、保全責任者について、上司等としての職責を明確化し、その義務違反行為について類型化するとともに結果責任を踏まえた処分基準を明確化する。

(3)厳正な処分

上記のような再発防止策を実施することのほか、徹底的な事案の究明を行い、関係職員に対して厳正な処分を行う。

ページの先頭へ戻る