公務員の情報セキュリティ不備、過失でも懲戒処分の対象に

　官公庁へのサイバー攻撃で、最初に大きな問題となったのは、2000年の科学技術庁のホームページ改ざんだと言われている。2011年以降、満州事変にかかわる歴史的事件（9月18日の柳条湖事件）に関連したと思われるサイバー攻撃が毎年問題になっている。

　2015年以降、この「特異日」とも言われた意図的な集中攻撃はなりを潜めているが、近年はアノニマスのオペレーションや組織的な威力偵察と思われるDDoS攻撃の増加が問題になっている。標的型攻撃においては、どの官公庁も日常的に攻撃にさらされているといっていい状態だ。

　近年はサイバー攻撃の脅威が増大し、官民問わず従来以上に厳重な情報管理・保全が求められる状況にある。こうした中で、国家公務員の人事行政を行う人事院は9月30日、公務員の懲戒処分の基準となる「懲戒処分の指針」の例示（標準例）を改正したと発表した。改正されたのは以下の箇所だ。

ア　職務上知ることのできた秘密を故意に漏らし、公務の運営に重大な支障を生じさせた職員は、免職又は停職とする。この場合において、自己の不正な利益を図る目的で秘密を漏らした職員は、免職とする。

イ　具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員は、停職、減給又は戒告とする

（「懲戒処分の指針 第2 標準例 1 一般服務関係（8）秘密漏えい」）

　これまでは、故意の情報漏えいについてのみ免職または停職にできると明記されていた。今回修正された標準例（ア）では、故意による秘密漏えいの目的が、不正な利益を得るためだった場合は「免職」とする文面が追加された。

　そして新たに追加された標準例（イ）では、命令されたり注意喚起された情報セキュリティ対策を怠った場合（セキュリティ対策での過失）でも、停職、減給、戒告されることが明記された。

　人事院が行った今回の改正にはどのような狙いがあるのだろうか。不十分なセキュリティ対策への罰則が明文化されることで、各省庁に対して職員を処分する際のルール作りを促しているといえるだろう。 あらゆる組織はインターネットや情報システムなしに業務は成立しない。そのため、服務規程や業務プロセスに、情報セキュリティの考え方は必須なのだ。

故意なのか過失なのかの見極めは依然として困難に

　今回の改定で注目すべきは「具体的に命令され、又は注意喚起された情報セキュリティ対策を怠った状態」とは何か？　という問題である。

　例えば、上司が「サイバー攻撃が増えているらしいが対策しているか？」と尋ね、部下が「アンチウイルスを入れています」と答えたとする。これだけで十分な対策といえるのだろうか。攻撃の種類によるので適切かどうかの判断は簡単ではない。また上司の指示もサイバー攻撃としかいっていないため、日ごろの対策のことを言っているのか、特定の攻撃についてなのかもはっきりしない。

　個別の状況をどのように判断するか。これは今回の改正に限った問題ではない。そのための指標としては「懲戒処分の指針」の中で「第1 基本事項」という代表的な事例を選び、それぞれにおける標準的な懲戒処分の種類を掲げたものに、考慮すべき事項などが規定されている。

　セキュリティ対策の有無は、無断欠勤、兼業規定の違反、政治活動、違法行為などよりあいまいになりがちだ。実際の事例が起きたときの運用を洗練させていくしかないだろう。

【次ページ】民間企業の法務およびIT部門も規定を見直せ