ITmedia NEWS > 社会とIT >

富士通、相次ぐコンビニ交付サービス不具合に謝罪 「行政サービスへの信頼損ねた」 再発防止策を開示

» 2023年05月19日 20時40分 公開
[松浦立樹ITmedia]

 富士通は5月19日、富士通Japan製システムで相次いで発生しているコンビニ交付サービスの不具合などについて謝罪した。自治体向けに提供している「Fujitsu MICJETコンビニ交付」などに関連した一連のトラブルについて「住民が利用する行政サービスへの信頼を損ねた」と述べ、再発防止策を明かした。

富士通の声明(一部)

 まず同社では新たに、最高品質責任者(CQO)の役職を設け、同社のリスク・コンプライアンス委員会にCQOを加える。CQOと最高情報セキュリティ責任者(CISO)にはこれまでよりも強い権限を与え、情報セキュリティやシステム品質への具体策を策定。同委員会を毎月開催することで、迅速に実行する体制を作るという。

リスク・コンプライアンス委員会の組織構成

 システム品質については、各ビジネス領域や組織に依存していた従来の品質保証体制から、全社で品質基準を統制し、権限集中化を進めていたという。富士通Japanに対しては23年度中にこれを展開する計画だったが、直近で起きた問題を踏まえて「結果的には対応が間に合っておらず、特に行政サービスでは、品質統制が不十分なプロジェクトがあった」と認めた。

 改善策として、富士通Japanに対して品質統制の権限集中化を即時行う。具体的には「標準化されたプロジェクトマネジメント」「品質管理」「リスクモニタリングによる予兆検知」「現物確認」に取り組む。

 住民向けサービスに対しては「利用シーンや利用者の変化に適した実装技術に関する考慮が不足していた」と分析。「この原因を踏まえ、証明書発行処理の中でのトランザクション一意性担保に関する設計・実装・テストにフェイルセーフの組み込みを徹底する」と説明している。他にも、第三者がこの妥当性を検査する体制を構築しており、5月からすでに実行しているという。

品質統制・リスクモニタリングに関する設計・運用基盤の強化も実施

情報セキュリティの“再”・再発防止策

 情報セキュリティ対策の強化案にも言及。21年に起きたプロジェクト情報共有ツール「ProjectWEB」の不正アクセス問題を受け、22年度には全社で再発防止策を展開し、セキュリティ点検を実施していた。しかし、脆弱性を検知する仕組みが整っておらず、点検内容が不十分なプロジェクトがあったという。

 その結果23年3月に、法人向けネットワーク「FENICSインターネットサービス」でユーザーのIDやパスワードが窃取され、不正利用される案件が発生。これを踏まえて、同社は「脆弱性を検知する仕組みを整備し、客観性の高い方法でセキュリティリスクを可視化・把握することで、適切に対応する」とした。

 脆弱性を検知する仕組みの他、ネット上でアクセス可能なIT資産を把握できる仕組みを整備するという。またCISOにシステム稼働の差し止めの権限を付与し、セキュリティ統制予算についてもCISOの裁量下に置くことで、対応スピードや統制制度の向上を図る。

 他にも、セキュリティ責任者の人材像を再定義し、役割と責任を明確化して報酬制度などの見直しも実施。現場組織のセキュリティ体制の強化を行ったという。また、過去事案の原因や再発防止策をまとめた冊子も作成し、23年度下期中にWebサイト上で公開する予定。

情報セキュリティ対策のイメージ図

 「情報セキュリティやシステム品質に関わる事案によって損なわれたお客さまや社会からの信頼を回復し、当社のパーパスである『イノベーションによって社会に信頼をもたらし、世界をより持続可能にしていくこと』の実現に向けて、引き続き尽力する」(同社)

富士通の声明全文(1/3)
富士通の声明全文(2/3)
富士通の声明全文(3/3)

Copyright © ITmedia, Inc. All Rights Reserved.