原子力規制庁では、2025年に業務用スマホの紛失が少なくとも 6件、年度全体では 10件(うち2件未発見) 発生していたことが開示文書と担当者説明から判明しています。
📌 何が起きていたのか(要点)
- 紛失件数:2025年に少なくとも6件 行政文書の開示で確認された数。
- 2025年度全体では10件、2件は未発見のまま 原子力規制庁担当者が電話取材で回答。
- 紛失場所は多様 出張先ホテル周辺、飲食店からの帰宅途中の路上、研修会場から宿泊施設への移動中など。
- 中国での紛失事案も発生 2025年11月、私用で訪れた中国で職員が業務用スマホを紛失。端末には核セキュリティ関連の職員名簿が入っていた。
- 情報漏えいの可能性は否定できず セキュリティ専門家も「情報流出の可能性は否定できない」と指摘。
🔍 なぜ問題なのか
- 防災携帯(業務用スマホ)は約500〜600台 原発事故・災害時の緊急連絡用で、職員の氏名・電話番号・メールなどが登録されている。
- 核セキュリティに関わる情報が含まれるケースもある 特に中国での紛失事案では、非公表の職員名簿が入っていた。
- カウンターインテリジェンス(CI)センターへ報告された事案も存在 外国情報機関による諜報リスクが懸念されるレベル。
📉 管理上の問題点
- 「肌身離さず携帯」のルールが守られていない 数日にわたり端末確認を怠ったケースも記録。
- 紛失に気づくまで数日かかった事例も 緊急連絡用端末としては致命的。
- すぐ見つかった場合は報告書を作らないこともある 実際の紛失件数はさらに多い可能性。
🧭 今後の焦点
- 情報漏えいの有無の検証(現時点では被害確認なし)
- 端末管理ルールの徹底と運用改善
- 海外渡航時の端末持ち出しルールの見直し
- CIセンターとの連携強化
⚠️ 原子力規制庁の情報管理体制の課題(本質的な問題点)
1️⃣ 「緊急連絡インフラ」を“個人任せ”にしている構造
- 防災携帯(業務用スマホ)は 原発事故時の初動連絡網の中核
- しかし運用は「肌身離さず持つこと」という精神論ベース
- 紛失しても「数日気づかない」ケースが複数
- これは 組織的な管理ではなく、個人の注意力に依存している ことを意味する
👉 緊急対応組織としては致命的な設計不備
2️⃣ 紛失時の報告・記録が不統一で、実態把握ができていない
- 「すぐ見つかった場合は報告書を作らない」運用が存在
- つまり、公式の紛失件数は“最低値”でしかない
- 実際の紛失件数はもっと多い可能性が高い
- 情報管理の基本である インシデント管理(ログ・再発防止)が成立していない
👉 インシデント管理の欠如は、情報漏えいリスクの温床
3️⃣ 海外渡航時の端末管理ルールが曖昧
- 中国での紛失事案では、
- 私用渡航
- 核セキュリティ関連の職員名簿を保存
- 紛失後にCIセンターへ報告
- 本来、海外渡航時の端末持ち出しは厳格なルールが必要
- しかし、規制庁では「個人判断で持ち出し」が可能な状態だった
👉 国家レベルの情報リスクに対して、組織のガバナンスが追いついていない
4️⃣ 端末のセキュリティ設定が“最低限レベル”
報道内容から推測できる構造的問題:
- 端末に職員名簿を保存できてしまう
- 紛失後の遠隔ロック・ワイプの運用が不明確
- データ暗号化の徹底度も不透明
- MDM(Mobile Device Management)運用が弱い可能性
👉 「端末を落としても情報は守られる」状態が作れていない
5️⃣ 情報分類とアクセス権管理が甘い
- 核セキュリティ関連の名簿が「防災携帯」に保存されていた
- 本来、
- 機密区分
- アクセス権
- 保存先 を厳格に分離すべき
- しかし、職員の裁量で情報を端末に保存できる運用になっている
👉 情報の“棚卸し”と“分類”が機能していない
6️⃣ 「緊急連絡網」と「機密情報端末」が混在している
- 防災携帯は本来、
- 緊急連絡
- 災害時の通信確保 が目的
- しかし実態は、
- メール
- 名簿
- 文書 など、業務端末としても使われている
👉 目的外利用が常態化し、リスクが増幅
7️⃣ 組織文化として“情報管理の優先度が低い”
- 紛失が繰り返されても改善されない
- 「見つかったからOK」という文化
- 情報管理を“形式的なルール”として扱っている
- 原子力規制という高リスク業務に対して、情報セキュリティ文化が成熟していない
👉 文化的課題が最大の根本原因
No responses yet