総務省が、自治体の調達IT機器を政府認定製品のみに限定する方針を固めた。中国製品は認定対象に含まれておらず、事実上の排除になる。6月にも省令を改正し、2027年夏から運用開始の見通しだという。
私はこのニュースを読んで、「やっと動いたか」という安堵と、「もっと早くできなかったのか」という焦りを同時に感じた。今回は、単なる調達ルールの話にとどまらない、情報漏洩・情報戦・そして国家の存立に関わるリスクについて、自分の考えを整理しておきたいと思う。
0.アイキャッチ
何が決まったのか──総務省の動き
総務省は2026年5月20日、自治体が使用するIT機器(パソコン、タブレット、通信機器など)について、国家サイバー統括室や経済産業省の評価制度で認定された製品のみを調達するよう義務付ける方針を固めた。
政府機関では2019年からファーウェイ・ZTE製品が事実上排除されてきたが、今回の省令改正によってその対象が全国の自治体に広がることになる。
総務省の有識者会議の報告書では、自治体がサイバー攻撃を受けると「被害が政府機関へ波及する蓋然性が高い」と明記されている。これが今回の政策の根拠だ。
2.総務省の省令改正タイムライン
なぜ中国製品が危ないのか
中国では、2017年に施行された「国家情報法」によって、企業や個人が国の情報活動に協力することを義務付けられている。法律の条文は明快で、「国家情報機関の活動を支援し、協力し、協助しなければならない」とある。
つまり、中国製のハードウェアやソフトウェアを使っている限り、理論上は「中国政府が要求すれば情報を渡す義務を持つ企業の製品」を使っていることになる。
バックドア(隠れた通信経路)が仕込まれているかどうかは、外部からは証明しにくい。だが仕込まれていても不思議ではない構造が、法制度として整備されているのが実態だ。
重要なのは、「今のところ被害が確認されていない」という議論が安全の根拠にならない点だ。気づかれずに情報が抜かれていることを「被害ゼロ」とは言わない。
1.中国製IT機器から国家転覆への連鎖リスク
情報漏洩が「情報戦敗北」につながる理由
個人情報が漏れるだけなら「プライバシー問題」で済むかもしれない。だが自治体が保有する情報は、それだけにとどまらない。
自治体のサーバーには、住民基本台帳・税務・社会保障・土地登記・選挙人名簿など、国家運営の根幹となるデータが集まっている。これらを長期間・静かに収集されれば、相手国は以下のことができるようになる。
- 特定の政治家や官僚の家族構成・資産・行動パターンを把握し、ハニートラップや脅迫に使う
- 企業の取引先・契約情報を抜いて産業スパイに活用する
- 選挙に関わる人物の個人情報を使って世論工作・偽情報拡散の標的リストを作る
情報戦とは銃を使わない戦争だ。相手の意思決定に偽情報を流し込み、内部から分断させ、自国に都合の良い方向に誘導する。そのために必要なのは、ターゲットの「詳細な個人データ」と「弱点の把握」だ。自治体のITインフラが侵されれば、この材料を国家規模で供給することになる。
3.自治体データが情報戦の武器になる
自治体が狙われると、国家が揺らぐ
自治体のシステムが政府機関のネットワークと接続されている場合、そこは「より堅固な政府システムへの踏み台」になる。
セキュリティの世界では「チェーンの強さは最も弱いリンクで決まる」という原則がある。中央省庁のシステムをどれほど強化しても、そこと接続している地方自治体のシステムが脆弱なら、そこから侵入される。
さらに恐ろしいのは、長期的な情報収集によって「国家の意思決定そのものを操る」可能性だ。重要な政策決定者の弱みを握り、選挙結果を歪め、世論を誘導し続ければ、銃弾を一発も使わずに国家を転覆することができる。これはSFの話ではなく、ハイブリッド戦争(軍事・非軍事の複合的手法)として、すでに複数の国で実践されていることだ。
自治体のPCやルーターは、そのための「入口」になりうる。
4.チェーンの最弱リンク構造
上場企業も同じリスクを抱えている
今回の省令改正の対象は自治体だが、上場企業も他人事ではないと私は思っている。
上場企業は株主情報・財務データ・取引先情報・M&A計画など、競争上きわめて重要な情報を大量に保有している。そのシステムに中国製の通信機器や監視カメラ、業務PCが使われていれば、同じリスクにさらされる。
特に問題なのは「サプライチェーン」の問題だ。直接調達していなくても、取引先や子会社が使っている機器を経由して情報が流出することがある。ファーウェイ製ルーターを使っているパートナー企業との通信は、そのルーターを経由して傍受される可能性がある。
上場企業のガバナンスとして、IT調達基準にサイバーセキュリティリスクの観点を明示的に組み込むべきだと思う。「安い」「使いやすい」だけで機器を選んでいると、経営リスクに直結する時代になっている。
5.上場企業のサプライチェーンリスク
私の場合──国産ルーターを10年使い続けている理由
少し個人的な話をしたい。私は学生の頃から、マイクロ総合研究所(MRI)のルーターを愛用している。
きっかけは堅牢さへの不満だった。ELECOMやバッファローの製品を使っていた時期、私の使い方ではネットワークが不意に落ちることがあった。業務品質の安定性を求めて調べていくうちに、MRIという国産メーカーに行き着いた。導入してからは、落ちるという経験がほとんどない。
今では、「国産を使いたい」という意識も重なっている。外国製造の製品を自宅のネットワーク機器として使いたくない、という気持ちだ。この記事で書いてきたような国家情報法のリスクを知ってからは、その気持ちがさらに強くなっている。
10年稼働させても壊れない堅牢性には、いまも感服している。MRIのような国産メーカーが地道に技術を磨き続けていることは、日本のITインフラにとって本当に大切なことだと思う。個人ができることは小さいかもしれないが、「選ぶ」という行動の積み重ねが、国産IT産業の存続を支えることにもつながるはずだ。
もうひとつ、現実的な理由もある。現在、自宅では1Gbpsの光回線を使っているが、10Gbpsへの移行を意図的に見送っている。理由は、10G対応サービスではポート数の制限があるうえ、ZTE製の機器が事実上セットになっており、レンタルが必須となるケースがあるからだ。ZTEはこの記事で述べた中国の通信機器大手であり、政府調達からも排除されているメーカーだ。回線速度を上げるために中国製機器をネットワークの中核に置くという選択は、私にはできない。1Gbpsで現状十分な速度は確保できているが、それ以上に「使いたくない機器を強制される」という構造が、10G移行をためらわせている。
6.国産ルーターMRIを選んだ理由
私が思うこと──「使わない」だけでは足りない
今回の総務省の動きは正しい方向だと思う。ただ、「認定外製品を調達しない」というルールだけでは不十分だと感じている。
問題は今後の調達だけでなく、すでに導入済みの機器だ。全国の自治体に今どれだけの中国製機器が稼働しているかを把握し、段階的に入れ替える計画が必要になる。
また、認定制度の中身も重要だ。認定プロセスが形式的なものになれば、「認定されたが抜け穴だらけ」という状況になりかねない。評価の透明性と継続的な監査の仕組みが欠かせない。
もう一点、私が気になるのは「意識の問題」だ。自治体の担当者が「セキュリティのリスクを理解して判断する」という文化が育たないと、ルールだけ作っても形骸化する。サイバーセキュリティは技術部門だけの話ではなく、調達・財務・首長まで含めた組織全体の問題として捉えてほしい。
国家の情報インフラを守ることは、国民の安全と民主主義そのものを守ることだ。「まだ大丈夫」という楽観論を脱して、今すぐ動くことが必要だと私は強く思っている。
7.今すぐできる3つのアクション
更新履歴
第1稿投稿 2026年5月25日 01時40分(記事コンテンツアップ)
