内閣官房が2026年4月に公表した指名停止措置の対象に、情報処理推進機構(IPA)の名があることがSNS(交流サイト)などで話題になっている。IPAが再委託先の契約違反行為を把握し、国家サイバー統括室へ報告したことが発端だった。委託先選定の難しさが浮き彫りになった。
「契約相手方として不適当である」――。内閣官房が2026年4月10日に公表した指名停止措置で、こう指摘されたのがIPAだ。指名停止期間は2026年4月10日から同年9月9日までの5カ月間。この間、内閣官房が実施する競争入札などに参加できなくなる。
IPAは経済産業省のIT政策実施機関として、セキュリティー関連の情報発信や評価制度の運営、デジタル人材の育成などを担う。企業に対し、委託先の情報セキュリティー対策などの啓発もしている。そうした立場のIPAが、なぜ指名停止措置を受けたのか。内閣官房国家サイバー統括室を2026年4月23日に取材した結果、適切に管理していたと見られるIPAが不適当と断じられた経緯が判明した。
デロイト傘下の再委託先が不正行為、IPAが発見・報告
国家サイバー統括室は例年、独立行政法人などに対する監査業務をIPAに委託していて、2025年度も同様だった。IPAは同業務を複数の企業に再委託した。そのうちの1社であるデロイト トーマツ グループ傘下のストーンビートセキュリティ(以下、ストーンビート)が「情報セキュリティ対策等に係る契約違反行為」(内閣官房発表資料より)をしていた。IPAが定期的に再委託先のセキュリティー状況を確認する中で、ストーンビートセキュリティの契約違反行為を発見し、国家サイバー統括室へ報告した。
国家サイバー統括室は委託先に対して、厳格な情報管理の徹底を求めている。しかし、ストーンビートは作業実施場所に関する指定を破るなど複数の契約違反を犯していた。内閣官房国家サイバー統括室制度・監督ユニット監督班の小久保勝之内閣参事官は「IPAは契約の適正な履行の確保に努めていた。ストーンビートに対して定期的に聴取などを適切に行い、ストーンビートの契約違反行為も迅速に適正に報告してくれた。真摯な対応だった」とIPAの対応を評価する。
