九州電力やらせメール問題検証サイト

九州電力のブログアクセス制限解除に関する事実調査の要請について

2011/11/21

平成23年11月21日

経産省資源エネルギー庁電力・ガス事業部政策課 御中

名城大学教授・弁護士    郷 原 信 郎

九州電力のブログアクセス制限解除に関する事実調査の要請について

 当職は、本年7月27日から同年9月30日まで、九州電力第三者委員会委員長として、本年6月26日の経済産業省主催の県民説明番組への賛成投稿要請等の問題に関する事実調査、原因分析、再発防止策の提案を行うなどの活動を行い、第三者委員会報告書を取りまとめて同社に提出した者です。

 同社は、本年10月14日、「佐賀県側との不透明な関係」を前提に原子力発電所に関する理解推進活動を進めてきたことが問題の本質であるとの指摘、佐賀県知事の発言が賛成投稿要請の発端であるとの客観的に疑う余地のない事実の認定など、同委員会報告書の核心部分を受け入れない独自の見解に基づく報告書を御省に提出したことで、御省枝野幸男大臣から厳しい批判を受けたにもかかわらず、その後一か月以上を経過した現在も、同報告書の内容を訂正した報告書を提出することもなく、枝野大臣及び第三者委員会側に反発する姿勢を取り続けています。

 11月16日付け読売新聞(西部版)朝刊の記事で、同社が看過できない重大な問題行為を行ったことを報じていますので、同記事を参考送付するとともに、御省において適切な措置を講じることを要請するものです。

 同記事によると、九州電力の社内では、特定のブログを社員に閲覧させるためにブログへのアクセス制限を解除したり、更新される度に役員に印刷して配布するなどしたりしているとのことです。しかも、会社側の説明によると、このブログへのアクセス制限解除は、上記のブログを含むYahooブログという極めて巨大な、かつ匿名性の高いサイト群全てに対するアクセスを一斉に解禁する措置がとられたとのことです。

 このブログの内容を確認したところ、枝野大臣が、当職の発言に呼応して、「やらせメール」問題で佐賀県と九電とを悪玉に仕立て上げることで原発問題に関する民主党政権の失政から世間の関心を他にそらそうと動いているなどと、枝野経済産業大臣と当職に対する根拠のない誹謗中傷や、第三者委員会報告書に対する言いがかり的な批判を、毎日大量に書き並べているものです。

 本来、社内ネットワークのセキュリティ確保や服務規律維持のために行われているはずのブログ等へのアクセス制限を恣意的に解除することは、公益企業たる電力会社においては許されないことだと思います。とりわけ、最近サイバー攻撃等に関してシステム管理の強化が求められ、原発を運営する電力会社には、社内システムの厳重な管理が求められている状況において、監督官庁の長である枝野大臣や同社が委託した第三者委員会への誹謗中傷を内容とする記事を掲載している正体不明のブログを社員に読ませて「社内世論」を誘導する目的で、大規模なブログのアクセス制限解除が行われたとすれば、公益企業として到底許されない行為です。

 ブログは匿名で誰でも簡単かつ気軽に開設・運営できるという性質を持ち合わせていることから、その閲覧によって様々なセキュリティリスクが発生し得るものであり、それが多くの企業においてブログへのアクセス制限が行われている理由と考えられます。

 「ブログ中の記事やコメントに記載されているURLをクリックしたら、いつのまにか別サイトに誘導され、そこでウィルスが搭載されているファイルをうっかりダウンロードしてしまう」という事態もあり得ます。

 しかも、最近では、見た目は通常のブログであっても、実は人間の目には見えない部分に特殊なプログラムが記載され、特定のウィルスに対して、データの破壊や情報の収集といった指令を出す仕組みが施され、ブログ自体がウィルスの司令塔の役割をしている例も発見されています。つまりブログがウィルスを遠隔操作するためのコントローラーとなり、攻撃者はブログを用いることで、従来よりも手軽に、ウィルスを遠隔操作することができるといわれています。

 このようなことから、企業等の大規模なシステムにおけるブログ閲覧の取り扱いは特に慎重に判断をしなければならない重要事項の一つといえます。

 大企業における情報セキュリティに関する施策としては、最上位の規定として「情報セキュリティ基本方針」があり、以下「情報セキュリティ対策基準」、「情報セキュリティ実施手順」といった下位規定が定められているのが一般的で、従業員のインターネットアクセスの制限、解除に関する各種の手続き的な取り決めについても、大規模な公益企業であれば、これらの規定が制定、実施されているはずです。

 九州電力において、上記のような大規模なアクセス制限解除措置がとられたのであれば、セキュリティ管理の諸規定に則って行われるのはもちろん、より一層慎重な事前検討があって然るべきです。

 もし、上記ブログ閲覧の解禁の措置が、特別な議論や検討を加えることなく、また慎重な手続きを経ることもなく、「経営陣にとって都合が良い」という理由で安易に行われたものだとすると、情報セキュリティに対する責任感の重大な欠如といえます。

 上記のようなアクセス制限解除の措置が、誰の要請又は指示によって、いかなる目的で行われたのか、また上記実施手順に乗っ取った手続きを踏んだのかを至急調査し、問題があれば、適切なアクセス制限を回復させるとともに、関係者に対する厳正な処分を行うなどの適切な措置をとる必要があります。

 また、仮に、同社において、情報セキュリティに関する規定が不十分なため、今回のような恣意的なアクセス制限解除を社内規定上抑止できないということであれば、原発等に関連するサイバー攻撃のリスク対応が求められる電力会社としては放置できない事態であり、ただちに是正する必要があります。

 しかし、上記新聞記事では、「ブログが登場し、第三者委報告書への疑問を指摘し九電にエールを送っていること」が同社社長の経済産業大臣や第三者委報告書への強硬姿勢の原因の一つと指摘しており、アクセス制限の解除の指示は同社長によって行われている可能性も高く、このような同社の眞部利應社長の姿勢等を考慮すると、同社が上記アクセス制限解除について自主的に適切な措置をとることを期待するのは困難と言わざるを得ません。

 監督官庁である御省におかれては、公益企業である同社が自主的事実調査を行うよう指導し、それに従わない場合には、御省独自に事実調査を行う必要があるものと思料します。

 よって、上記問題に対して適切な措置をとられるよう要請するため、本書面提出に及んだものです。