孫社長を窮地に追い込むソフトバンクのセキュリティ対策リスク

　http://diamond.jp/series/machida/10037/
  町田徹（ジャーナリスト）【第37回】 2008年07月25日

ソフトバンクモバイルを傘下に持つ孫正義ソフトバンク社長が電気通信事業の経営者としての矜持を問われている。

　きっかけは筆者が、19日発売の『週刊現代』に寄稿した「ソフトバンク第2世代携帯400万台のセキュリティが破られていた」という記事だ。これにより、同社のＰＤＣ（第2世代携帯電話）ユーザー400万人の財産やプライバシーが侵されかねないリスクの存在が露呈し、進行中の総務省による調査でも、その可能性がほぼ確認されつつあるからだ。

　それにもかかわらず、当のソフトバンクモバイルは「暗号技術が破られたという具体的な事実は一切認識しておりません」と、リスクを矮小化する強弁を続けている。

　こうしたソフトバンクモバイルの態度には、業界内で「やはり、新参者で常識がない。何よりも通信の秘密の維持に全力を傾けなければならない電気通信事業経営の鉄則を踏み外している」と強い批判の声があがっている。

ＮＴＴドコモや総務省に
問題の責任を転嫁

　同社が、こうした態度を続ければ、電気通信事業法に基づく「業務改善命令」や「技術基準適合命令」などの発出が避けられないとの見方もある。

　簡単に記すと、筆者が『週刊現代』で報じたポイントは、音声通燭任△譟▲如璽芯命・任△譟■丕庁辰狼蚕囘､飽店羌蚕僂・砲蕕譴討､蝓・从・鮃屬犬覆韻譴弌・駭辰涼羶箸呂發舛蹐鵝▲如璽芯命・盍殕腓砲気譴襯螢好・・个討④燭箸いΔ海箸澄・・鹿仂w)斜徐ぢ　この技術を開発したのは、携帯コンテンツの開発・供給などを本業としてきたアクアキャスト（本社東京港区、清水真社長）という情報ベンチャーだ。

　ラフに言うと、携帯電話の通信は通信中の高速移動を可能にするために、基地局間で個人を特定する信号がやり取りされているが、この信号には通信内容の本体部分より脆弱な部分があり、アクアキャストは、この部分から暗号を解読することに成功したという。

　同社は、この脆弱性を強化する技術について、ＮＴＴドコモと共同で特許を出願しており、今年2月には広く異論がないかどうかをチェックする特許の公開も始まっている。

ＮＴＴドコモは、1994年にＰＤＣサービスを最初に開始した事業者だ。ＰＤＣの国内標準化に最も寄与した経緯もある。現在、約800万のＰＤＣユーザーを抱えているが、サービスの開始後もアクアキャストとの間で開発したセキュリティの向上策だけでなく、他の多くの対策も講じてきた経緯がある。

　一方、過去2、3ヵ月の取材を通じて、浮かび上がってきたのは、ソフトバンクモバイルが問題の発覚までとってきた姿勢だ。ソフトバンクモバイルは、自社が負うべき通信事業者としての責任を、総務省やライバル企業に転嫁し、自社は何もする必要がないと強弁する姿勢に終始してきた。「ＰＤＣはドコモが開発した規格。暗号が破られたのならば、責任はＮＴＴドコモやそれを認めた総務省にある」と言い、Ｊフォン、ボーダフォン時代も含め自社サービスとして 10数年以上も提供してきた事実を無視して、他者に責任を押し付ける姿勢をとってきた。

　孫正義社長は出版前日に、『週刊現代』が拙稿を掲載することを察知し、総務省幹部にコンタクト。その際に、総務省にも責任があると懲りない主張をしたため、部下たちが冷や汗をかきながら「いつもの我がまま。どうか無視して下さい」と懇願する始末だったとの話も聞こえてきた。

　このほかにも、ソフトバンクモバイルが責任を転嫁する姿勢は、取材の過程で多数確認された。例えば、ＮＴＴドコモのセキュリティ強化はあくまでも研究開発段階での脆弱性の発見・対策とみられ、電気通信事業法第28条が電気通信事業者に報告義務を課している「重大事故」に相当するとは考えにくい。それにもかかわらず、「ドコモがリコールをせず、総務省に報告しなかったから、当社は問題の存在を把握できなかった。当社より、ドコモに落ち度がある」と強弁するような場面もあった。

　ちなみに、この種の重大事故について言うと、ソフトバンクモバイルは今年4月9日以降のわずか1ヵ月間に「重大な事故」に該当するサービスの中断を3回も起こした。その内訳はＰＤＣが1回、第3世代携帯電話（3Ｇ）が2回で、総務省は再発防止の行政指導をしたばかりか、それが実施されているかを確認する立ち入り検査まで行ったと公表している。

早急な対策を講じる
姿勢は見られず

　そして、もうひとつ深刻なのが、拙稿を掲載した『週刊現代』が出版され、問題が白日の下にさらされた後も、400万ユーザーのために早急に万全の対策をとる姿勢に転換できない経営の体質だ。

　ソフトバンクモバイルは、問題が発覚した後も、冒頭で記したように、「本日、一部メディアにおいて、弊社の第2世代携帯電話のセキュリティに関する報道がありましたが、当社といたしましては、暗号技術が破られたという具体的な事実は一切認識しておりません。また、これまでにお客様からの被害の申告は全くございません」と問題の存在そのものに疑問を投げかけることで、事の重大さを矮小化し、対策の先送りを正当化しようとする態度を修正していない。

実は、この姿勢は、総務省において、ＮＴＴドコモとソフトバンクモバイルが同席するヒアリングが行われ、その席で、ＰＤＣの暗号を解読する技術の存在をＮＴＴドコモが証言した後も一向に変わらなかった。こうした態度が、「ユーザー軽視だ」と関係者の間で大変なヒンシュクを買っているという。

　こうしたソフトバンクモバイルの懲りない姿勢を見て、通信業界で、電気通信事業法が規定する「業務改善命令」と「技術基準適合命令」の二つの発出を求める声が高まっている。

　前者は、事業法の第29条が規定するもので、「通信の秘密の確保に支障があるとき」にも発することができるものだ。

　また、後者は同法第43条に規定されている。そもそも同法の第41条は、「通信の秘密が侵されないようにすること」を「技術基準」として、その基準の維持を通信事業者に義務付けている。これに適合しないと認めるときは、第43条の技術基準適合命令を出して是正するよう求めることができるのだ。

ライバル他社からは
厳しい処分を求める声も

　総務省では、いきなり業務改善命令や技術基準適合命令を出すのは過激過ぎるので、手始めに、もう少し穏便な指導文書を発出してはどうか、との意見も根強いという。しかし、一向にソフトバンクモバイルが反省する様子もなく、400万のＰＤＣユーザーのセキュリティの穴を迅速に埋めようという姿勢を見せていないので、２つの命令を「当然、必要な措置だ」とみる向きもある。

　さらに、こうした措置でも不十分との見方もある。これまでセキュリティの強化を怠ってきた行為は、「むしろ経営としての怠慢であり、すでに単なる業務改善命令や技術基準適合命令といった是正策だけでなく、もっと厳しいペナルティを科すのが業界の信頼を維持するうえで必要だ」（ライバル事業者）といった声がそれである。4月からの3件のトラブルに加えて、同社が今回このような問題を抱えていたことが判明しただけに、悪質との見方を完全に否定するのは難しいという。

　いずれにせよ、ソフトバンクモバイルがこうした行為を繰り返すならば、同法第14条の「登録取り消し」、つまり事実上の市場からの退出命令や、同法第126条の「認定の取り消し」（公益事業特権の剥奪）、同法186条の「罰金」を求める声が説得力を増しかねないことを、孫正義社長は早急に肝に銘じる必要がありそうだ。