令和4年度決算検査報告
独立行政法人海技教育機構(以下「機構」という。)は、平成28年11月に、機構本部(以下「本部」という。)、海技大学校、国立海上技術学校4校(注1)及び国立海上技術短期大学校3校(注2)(以下、これらを合わせて「学校」という。)の計8校、5練習船(注3)等において、情報共有が円滑に行える情報通信ネットワークを構築した上で、情報システムの安全性を確保するためにインターネットからの分離(以下「インターネット分離」という。)を行うことを決定し、次のように計画した。
① 第1期工事として、パーソナルコンピュータ(以下「業務用端末」という。)やサーバ等を賃借して、本部、学校、練習船等の各拠点に設置するなどしてLANを構築し、本部と学校との間(以下「陸上拠点間」という。)及び本部と練習船との間(以下「船陸間」という。)に情報通信ネットワークを構築する。
② 第2期工事として、インターネット分離用サーバ及びファイル無害化サーバ(以下、これらを合わせて「分離用サーバ」という。)等を賃借して、各拠点に設置するとともに、インターネット分離用のソフトウェア(以下「分離用ソフトウェア」という。)のライセンスを賃借して、業務用端末にインストールする。これにより、業務用端末を外部から遮断された環境とインターネットに接続可能な環境とに分離して操作できるシステム(以下「分離システム」という。)を構築する。
③ 30年4月から分離システムの運用を開始する。
機構は、上記計画の第1期工事として、29年2月から11月までの間に11契約を締結した上で、同年12月までに各拠点にLANを構築するなどの工事を行うことにしていた。そして、第1期工事の実施を前提として、29年8月に第2期工事として一般競争入札により三菱HCキャピタル株式会社(令和3年3月31日以前は日立キャピタル株式会社。以下「会社」という。)との間で、「情報セキュリティ強化対策に係わるインターネット分離及び保守業務」(当初契約額114,903,360円、最終変更後契約額138,523,481円。以下「分離契約」という。)を締結し、平成30年1月から令和5年4月までの間に会社に対して計138,523,481円を支払っていた。
第1期工事及び第2期工事のために締結した計12契約の主な内容及び工事等の期間を表すと、図1のとおりである。
図1 第1期工事及び第2期工事のために締結した契約の当初の契約期間等
機構は、業務で取り扱う情報の中には個人情報等があることから、これらをインターネット分離によって確実に保護するために、各拠点間に通信網の一種であるVPN(注4)を構築することとしていた。VPNの構築に当たり、開発に係るコストを抑制し工程の手戻りを防ぐには、工事の計画や契約等の内容を踏まえ、事前に各拠点間においてVPNの構築が可能かどうかを検証した上で着手することが必要となる。このVPNに係る検証及び構築については、分離契約の仕様書において、契約の対象外であるとされ、プロジェクト計画書においても、機構の業務であるとされており、第1期工事で賃借したVPNルータ等を用いて本部の情報通信システム室(以下「担当部署」という。)が行うべきものとされていた。
また、会社が分離システムを構築するためには、IPアドレス(注5)等のネットワーク情報が必要となり、適切な時期にIPアドレス等を設定しなければ工事が進められないことになる。このIPアドレス等の情報については、情報セキュリティ上、部外に秘匿を要するものであるとして、機構が自ら設定して会社に提供することとしており、分離契約において、機構に支援・情報提供義務があるとされていた。
平成29年8月に締結した分離契約の当初の契約期間は、29年8月25日から令和5年3月31日までとなっており、その契約期間の内訳は、分離システムの構築が平成29年8月25日から30年3月31日まで、サーバ類の賃貸借及び保守が29年10月1日から令和5年3月31日までなどとなっていた。その後、機構は、分離システムの構築に遅れが生じたことなどを理由にその構築期限を延長等するため、計5回の変更契約を締結していた(表参照)。
表 第1回から第5回までの変更契約の概要
| 変更
回数 |
契約日 | 変更契約の概要 | 契約金額の
増減(円) |
変更後の
契約金額(円) |
|---|---|---|---|---|
| 第1回 | 平成29年 10月2日 |
分離システムの構築期限を平成30年3月31日から同年9月30日に変更(6か月延長) | 増減なし | 114,903,360 |
| 第2回 | 30年 10月1日 |
分離システムの構築期限を30年9月30日から31年3月31日に変更(6か月延長) | 28,412,640 | 143,316,000 |
| 第3回 | 31年 3月1日 |
分離システムの構築期限を31年3月31日から令和2年4月30日に変更(13か月延長) | 増減なし | 143,316,000 |
| 第4回 | 令和元年 10月1日 |
消費税率の変更(8%→10%) | 1,728,720 | 145,044,720 |
| 第5回 | 2年 4月1日 |
2年3月に練習船への分離システム導入を取りやめた結果、同システムの構築期限を同年4月30日から元年12月31日に変更(4か月短縮) | △ 6,521,239 | 138,523,481 |
第1期工事及び第2期工事の施工箇所は、北海道から九州までの広範囲に所在する学校、航海訓練を実施するための練習船等となっていた。機構は、これらの各箇所における工事の進捗管理等を担当部署の職員(インターネット分離を決定した平成28年11月から当初契約の構築期限である30年3月末までの間における担当部署の職員数は室長を含めて2名から4名)で行うことにしていた。
分離契約については、前記のとおり、分離システムの構築に遅れが生じたことなどを理由にその期限を延長等するため、5回の変更契約が締結されていた。
そこで、本院は、合規性、経済性、有効性等の観点から、分離契約に係る機構の業務は適切に行われているか、特に、契約書、仕様書等に基づき、必要な業務を適時適切に行うなど発注者としての役割を十分果たしているか、また、分離システムは適切に構築されているかなどに着眼して、分離契約を対象として、本部において契約書、仕様書等の関係書類を確認するなどするとともに、契約の相手方である会社を対象として会計検査院法第23条第1項第7号の規定により検査することを決定して、それぞれ会計実地検査を行った。
検査したところ、次のとおり適切とは認められない事態が見受けられた。
機構は、分離契約において、当初30年3月までに分離システムを構築し、30年4月に運用を開始することとしていたが、次のとおりスケジュールを見直していた。
① 機構が、第2期工事の前提として行っていた第1期工事に時間を要したため、分離システムの構築期限を30年3月末から同年9月末に延長していた(第1回変更契約)。
② 30年4月に担当部署において3名のうち2名の人事異動による交代があったのに、分離システムに関する情報の引継ぎがほとんどなされなかったことから、後任者が必要となる作業内容を十分に把握しておらず、機構に支援・情報提供義務があるのに会社からの求めに応じて必要な情報を提供できなかったため、同年9月末になっても分離システムの構築を進捗させることができない状況となっていた。このため、機構は、作業スケジュールを更に6か月延長して、分離システムの構築期限を31年3月末に延長していた(第2回変更契約)。
③ 担当部署は、最大でも4名の人員で分離システムの対応に加えて通常業務も実施しており、上記の期限内に分離システムを構築することは困難であると判断して、構築期限を更に令和2年4月末まで延長していた(第3回変更契約)。
しかし、その後も分離システムの構築は予定どおり進捗せず、その運用開始は3年6月まで大幅にずれ込むことになった。
このように、機構が、分離システムの構築に係る事前の準備や検討を十分に行わず、進捗管理等も適切に行わなかったなどの結果、運用開始が当初予定の平成30年4月から令和3年6月へと大幅にずれ込むことになり、その過程において、次のような事態が生じていた。
前記のとおり、機構は、第1期工事で賃借したVPNルータ等を用いて機構が自ら各拠点間においてVPNを構築した上で、平成30年3月までに分離システムを構築することにしていた。VPNの構築に当たり、開発に係るコストを抑制し工程の手戻りを防ぐには、事前に各拠点間においてVPNの構築が可能かどうかを検証した上で着手することが必要となる。
しかし、担当部署は、VPNルータと分離用サーバ等を接続すれば問題なくVPNの構築が進められると考えていたことから、VPNの構築が可能かどうか検証する必要性を認識しておらず、VPNの構築の検証を行う予定を立てていなかった。また、会社は、運用開始予定の30年4月までに分離システムの設計及び構築をするために、機構に対して各拠点間におけるVPNの構築を同年1月までに行うよう依頼していたが、機構は、担当部署の当時の職員数が3名となっていて第1期工事の立会いのため対応できないなどの理由により、会社からの依頼に応じていなかった。このため、陸上拠点間の検証は当初の運用開始予定日より後の令和元年11月になって、船陸間の検証は同年12月になって、それぞれ初めて行われた。これらの検証の結果、陸上拠点間にはVPNを構築できるが、船陸間では従来用いられていたモバイル回線でVPNを構築してインターネット分離を行うと通信容量が不足して業務に使用できないこと、また、それを解決するためには経費が多額となることなどの問題点が判明した。この結果を踏まえ、機構は、2年3月に、練習船におけるインターネット分離を断念することを決定した。
このように、船陸間について、機構において分離システムを構築するために必要なVPNの検証等を事前に行うことなく、VPNの構築を前提とする分離契約を締結していたことから、分離システムが当初契約どおり適切に構築されず、船陸間の情報システムの安全性を確保するためのインターネット分離が実施されていないこととなった結果、5練習船に設置予定であった賃借機器等のうち、分離用サーバ10台及び分離用ソフトウェアのライセンス250本等(これらに係る支払額相当額42,602,934円)は、契約締結以降一度も使用されることのないまま、賃借期間終了後(5年4月)に会社に返還されていた。
前記のとおり、機構は、分離システムの構築に当たり、IPアドレス等の情報については、情報セキュリティ上、部外に秘匿を要するものであるとして、機構が自ら設定して会社に提供することとしており、分離契約において、機構に支援・情報提供義務があるとされていた。このため、会社は、機構に対して、遅くとも平成30年1月までに各拠点に係るIPアドレス等の情報を提供することを依頼していた。
しかし、機構は、(1)と同様に、第1期工事の立会いのために対応できないなどの理由により会社からの依頼に応じておらず、また、30年4月の人事異動により当該担当者が交代した際も事務引継が十分に行われなかったことなどから、その後もIPアドレス等の情報を提供していなかった。
そして、機構は、30年10月に自らIPアドレス等を設定することは困難であるとして、会社に対して本部のIPアドレス等の設定等を依頼し、機構のIPアドレス等の設定作業が遅れたことに起因するシステムエンジニア再配置費用23,120,640円及びIPアドレスの調査費用5,292,000円の計28,412,640円を追加費用とする第2回変更契約を締結していた。なお、当該追加費用28,412,640円には、船陸間の分離システム断念に伴い最終の変更契約により減額された練習船に係る代金5,029,200円を含むため、当該減額分を控除した23,383,440円が最終的な追加費用となる。
(1)及び(2)の事態について、全体像を示すと図2のとおりである。
図2 分離システム構築に係る事態の全体像
したがって、分離システムの構築の一部断念により使用されていなかったサーバ等に係る支払額相当額42,602,934円及び分離システムの構築に必要な情報が機構から適切に提供されなかったなどのために生じた追加費用の支払額23,383,440円の計65,986,374円が不当と認められる。
このような事態が生じていたのは、機構において、インターネット分離の実現可能性について事前の検討が十分でなかったこと、分離システムの構築に当たり必要な作業の進捗を適切に管理する体制が整っていなかったこと、工事の実施に当たり必要な業務を適時適切に実施することの重要性についての認識が欠けていたことなどによると認められる。