bannertokusyu.gif


特集タイトル


やまざき・たくや 1996(平成8)年、東京大学法学部卒、同年、通商産業省入省。大臣官房総務課、資源エネルギー庁公益事業部公益事業制度改正審議室係長、産業政策局新規産業課(13年1月に経済産業省経済産業政策局新規産業室に組織変更)課長補佐を経て、14年5月より現職。



昨今、情報漏洩や盗難などの事故が相次ぎ、官民を問わず情報セキュリティに対する意識が高まっている。これは市町村にとっても電子自治体実現に向けて見過ごせない課題といえるが、そのために何をすればいいのか、あるいは現状の対策に欠陥はないのかなどの判断は難しい。そうした場合のひとつの指針となるのが、先頃誕生した『情報セキュリティ監査制度』だ。新制度について、経済産業省の山崎琢矢課長補佐に話を聞く。



◆情報セキュリティ政策室の役割について教えてください。
山崎 
「情報セキュリティ」は、今後のIT社会を支える重要なインフラに位置づけられます。情報セキュリティ政策室では、経済立国・日本における「情報セキュリティ政策」を社会全体で考えていくため、平成14年度末をひとつの目標として電子政府のセキュリティ確保へ取り組んできました。その成果として『ISO/IEC15408』に基づく情報セキュリティ評価認証基準や『情報セキュリティマネジメント(ISMS)認証制度』を創設したほか、今春には企業や政府などの情報セキュリティ対策について客観的な評価を行う『情報セキュリティ監査制度』の運用を開始。これらの成果をベースに今後、電子政府の情報セキュリティ環境整備に着手します。経済産業省が「電子政府のセキュリティ」というと不思議な顔をされる方も多いのですが、電子政府はIT経済社会のひとつのモデルであり、これを“お手本”として民間市場へと広げ、最終的には社会全体のセキュリティレベルの底上げを期待しています。
◆大企業を中心として一部の民間企業では、情報セキュリティ対策を強化する動きも目立ってはきたものの、社会全体で見れば、まだ少数派といわざるをえませんね。
山崎 
そうですね。最近、情報システムや組織体におけるセキュリティ対策の不備に起因する問題が相次いでいますが、こうした事故は個人情報の漏洩・盗難による人権侵害、企業情報や機密情報の漏洩による経済的損害、あるいは情報システム全体のダウンといった被害をもたらし、経済社会に与える影響も大変深刻です。このままいけば、セキュリティ対策をとっていない企業は取引先や顧客からの信頼を得られなくなるでしょう。しかし、これまでは「情報セキュリティ監査」という言葉だけが先行して、この定義を明確に示す指針がなかったため、企業がセキュリティ対策へ取り組んでも外部に対してその正当性を説明することができませんでした。こうしたニーズの一方で、産業界からは「情報セキュリティ監査」をビジネスにしたいとのシーズも高まっています。情報セキュリティ監査制度は、こうしたニーズとシーズの“結節点”になると捉えています。

企業や政府など多様なニーズへ柔軟対応

◆情報セキュリティ監査の仕組みについて教えてください。
山崎 
監査には、情報セキュリティ対策について不備がないことを示す「保証型監査」と、不備な点を指摘する「助言型監査」があります。これを活用することで、(1)自分では気づきにくい情報セキュリティの欠陥の指摘を受けることができる、(2)自分では構築が難しい「情報セキュリティマネジメント」の確立ができる、(3)取引先や顧客、国民などに対しての信頼の獲得ができる――といった効果が期待されます。また、情報セキュリティ監査制度は政府や企業、業種や規模を問わず、いろいろなニーズに柔軟に対応できるのが特徴です。例えば、セキュリティポリシーを持っていないところでは「助言型」によってポリシーを作るところから始めることが可能ですし、すでにISMS認証を取得している組織であれば保証型、あるいは保証型と助言型を組み合わせて、より高度な対策整備へと活かすこともできます。ご存じの通り、情報セキュリティ対策は一度実施すれば終わりではなく、脅威は日々刻々と変化し、守るべき情報資産も変わっていくなかで、企業や政府も対策を進化させていかなければなりません。特に、情報漏洩などの多くは組織内部の人的原因で発生していますが、こうしたことを未然に防ぐためにも組織全体でPDCAサイクルに則った「情報セキュリティマネジメント」を確立することが重要です。


◆導入しても業績に結びつくものではありませんが、組織のセキュリティ体制や順法精神などを高めるには効果的な方法といえますね。
山崎 
バブル経済の崩壊以後、モラルの欠如による大手企業の不祥事が相次ぎ、改めて「経営のガバナンス(内部統制)」の在り方が問われています。いわば、こうした不祥事を防止・牽制するための仕組みを、セキュリティの面から補完するのがこの制度だといえるでしょう。
◆どういった業種・分野での利用を想定されているのでしょうか。
山崎 
まずは政府、公的機関から運用されていくと考えています。国家機密や国民の個人情報を扱う組織には、高い安全性が求められますからね。同様に民間企業でも医療機関のように公的色彩の強いところや、金融機関や電力業界など重要インフラを担う分野でも急速に普及するのではないでしょうか。例えば、医療機関で今後、電子カルテなどがやりとりされるようになると、病歴などプライバシー情報の漏洩が懸念され、誰もが「きちんとセキュリティが保たれているのかチェックしてほしい」と思うでしょう。さらに取引先や顧客からの要請をきっかけとして、一般企業での活用が広まっていくのではないかと見ています。
◆ということは、監査制度の最終目標は「保証型」なのですか。
山崎 
確かに本来の情報セキュリティ監査とは「保証型」だと思いますが、現状ではセキュリティを保証することは非常に難しい状況です。会計監査を例にしても、基準に従って適正意見が出せるようになるまでにはかなりの年月がかかっているわけですが、ITの世界は未だそこまで成熟していません。これにチャレンジしたのが「ISMS認証」であり、このISMSの創設によって、ようやく〈情報資産とシステムが安全かつ適正に管理されていることを保証する〉ことが可能となりました。これらを考えると、まずは助言型監査から始まり、それが主流となって徐々に保証型監査が広まっていく、という具合に普及するのではないでしょうか。

市町村はまず助言型から導入を

◆住民基本台帳ネットワークシステムの第2次サービス開始を目前に控え、住民の個人情報保護に対する意識が急速に高まっています。この点、監査制度とは市町村における情報セキュリティ対策に対して、いわば“お墨付き”を与えることになるわけで、住民の安心感・信頼感にもつながるといえます。
山崎 
そうですね。自治体の方もかなり関心を持っているようで、問い合わせも少なくありません。ただ市町村の場合、最初からあまり保証型監査にはこだわらない方がいいと考えています。例えば、総合行政ネットワークや住民基本台帳ネットワークシステムなど個別に対策整備してきたものを、組織全体へ拡大する必要はありますが、全体をいきなり保証するというのは大変ですし、何のための監査か分からなくなってしまう怖れもあります。むしろ、本来あるべき姿と現状のギャップを認識するためにも、まずは助言型監査から活用することが望ましいのではないでしょうか。その場合、「助言型ではお墨付きにならない」「指摘された不備を住民に公表できない」という意見がありますが、そもそも助言型監査を導入していることを公表すればいいわけですし、指摘事項については「今後こうした改善計画を考えている」と説明する姿勢が大切なのだと思います。
◆なるほど。特に市町村が情報セキュリティ監査制度を導入する場合は、情報化基本計画などと一緒に取り組む方が、より効果的なのではないかと感じているのですが。
山崎 
おっしゃる通りですね。市町村に限りませんが、日本では「事故は起こらない」ことを前提にセキュリティを考えがちです。こうした場合、事故が起こらないうちは「対策をしなくても大丈夫ではないか」となる。ところが一度事故が起こると、今度は必要以上に敏感となって“上塗りの上塗り”とでもいうべき対策を取ってしまう。本来やるべきはその中間なんです。情報セキュリティ対策を考えるにあたっては、事故が起こることを前提として、「そのための予防措置として何ができるのか」「起こった後に被害が拡大しないようにするにはどうするか」を考えることがポイントです。

制度導入の留意点

◆企業や自治体などが、情報セキュリティ監査制度を導入する際に留意すべき点はありますか。
山崎 
重要なのは、何を目的とするのかを明確にすることです。取引先との関係なのか、住民との関係で利用するのか、それとも組織体制の改善を目的としてやるのかという点ですね。それによって保証を重視するのか、助言を重視するのか、監査方法も変わってきます。ただ、例え監査を行っても100%の安全はありえません。監査制度は情報セキュリティ対策のPDCAの「C」――つまり改善活動の一部に過ぎないんです。本来あるべきセキュリティ体制と現状との間を埋めて、継続的な改善を図ることを通じて、取引先や顧客、あるいは自治体であれば住民の信頼獲得へとつなげていただきたいですね。
◆最後に経済産業省としての今後のご計画などについて教えてください。
山崎 
まったく新しい制度だけに、「監査制度とは何か」というテーマひとつを見ても、みなさんいろいろな考え方をお持ちです。このため、今回策定した基準もバージョン1.0とし、今後、ブラッシュアップを図っていく計画です。また情報セキュリティ監査制度の普及啓蒙活動も欠かせないでしょう。その点では、経済産業省主催のセミナーの実施などと合わせて、関係省庁と連携しながら制度普及に努めたいと考えています。とはいえ、情報セキュリティ体制の整備は、誰かに強制されて行うものではありませんし、最終的に制度をどう使うかは自らの判断です。IT社会を迎えたいま、市町村においても自分では分からないから誰か守ってくれというのではなく、主体的に自分は何をすべきかを真剣に考えていただきたいと思います。



バックナンバーへ戻るspacer新風トップへ