banneruser.gif


情報セキュリティポリシーの策定で
職員の意識改革を
静岡県裾野市


裾野市DATA 住所 静岡県裾野市佐野1059番地
電話 055-992-1111
面積 1138.39平方キロメートル
人口 5万3463名(H15.5.1現在)
URL http://www.city.susono.shizuoka.jp/



柏木信博裾野市企画部情報管理課係長(左)
杉山幸彦裾野市企画部情報システム室室長(右)


セキュリティポリシー策定に向けて

◆今年2月、総務省より情報セキュリティポリシーを早期に策定するよう事務連絡が発信されました。裾野市ではすでにその前から策定へ取り組まれていたわけですが、きっかけはなんだったのでしょうか。
杉山 
電算処理を外部委託するようになってから、セキュリティについては危機感を抱き、対策を研究してきました。データを外部に出す場合は弁護士などで構成された「個人情報保護審査会」で業者の審査を行ったり、データの授受を「受け渡し書」で管理したりと、従来から独自の取り決めに則ってやってはいたのです。そんななか、住民基本台帳ネットワークや総合行政ネットワークの影響で、セキュリティに対する関心が高まってきたものですから、これを機会にいままで個々別々だったものを体系立てて成文化し、セキュリティポリシーとして完成させようと、真っ先に取り組むことにしました。
◆具体的には、どのような作業を行われたのですか。
杉山 
策定にあたり、まず「電子自治体推進会議」を設立しました。これは助役をトップに部長クラスで組織されています。平成14年12月にこの「電子自治体推進会議」を開き、そこでセキュリティポリシーの策定が正式に承認されたことを受けて、次長級で構成された「行財政事務改善委員会」で策定手順の確認をしてもらったのです。次いで、今年2月には、全職員を対象としてセキュリティのセミナーを開催し、ここでアンケートも実施しました。さらに、関係するすべての課でセキュリティの専門家を交えながら職員とのヒヤリングを実施し、現時点での各課の取り組み状況と問題点を把握しました。これらの結果をもとに原案を作り、確認・修正作業を行い、最終的に電子自治体推進会議および庁議に諮って承認を得たという流れです。
◆セキュリティの専門家の協力を得てよかった点は、何ですか。
柏木 
専門家はセキュリティポリシー策定のポイントと、そのために何をするかという段取りがわかっていますから、そのスケジュールに合わせて、われわれは粛々と作業を進めていけばいい。また、各課へヒヤリングを行ったことで、自分たちの環境に合ったセキュリティポリシーを策定することができましたが、この際に第三者の視点でリスク分析をしてもらえたのも、専門家ならではですよね。さらに、最先端技術の内容まで文書に盛り込むのは専門家でなければ無理ですし、自前で策定した場合は、どうしても妥協してしまうため、そういったセキュリティホールをなくす意味でも“プロ”に参加してもらって正解だったと思います。自分たちだけで作ろうとすれば相当苦労したでしょうが、アドバイスをいただいたことでスムーズに策定ができました。むしろ大変なのは、これから職員にどうやって浸透させていくかということですね。

全職員で継続した取り組みを

◆なるほど。職員の理解を深めるためにどのような方法をお考えですか。
柏木 
セキュリティポリシーの内容を絶えず確認できる状態にしておく必要がありますが、数十ページもの原文をそのまま掲示しても、誰も読まないですよね(笑)。ですから、「最低限、何を守ってほしいのか」をわかりやすくまとめたダイジェスト版を作り、これをグループウェアの掲示板に掲示して、まずは職員に興味を持ってもらうことから始めます。疑問に思ったことは原文で確認してもらいながら運用し、ある程度、内容を把握した頃、もう少し詳しい研修を行いたいと思っています。また、その場合は、専門的な部分を説明するために、内部講師だけでなく、外部講師をお願いすることも考えています。
杉山 その研修内容も職員が理解できたかどうかを、つかめるようなものにしたいと思っています。あくまでも業務を動かすのは人ですから、個人の資質を高め、自分でセキュリティを守るという気持ちを保つのが非常に大事なのです。慣れてくるとついつい初心を忘れ、自分に甘くなってしまうこともありますので…。その対策として、セキュリティポリシーを職員が実践しているかどうかのチェックも検討中です。その方法は今後の検討事項ですが、ウィルスや不正なインターネット接続、あるいはサーバへの負荷をチェックできる監視システムの強化など、システム的に解決できることは、うまく採り入れていきたいと思っています。
◆セキュリティポリシーの策定を検討している市町村へアドバイスをお願いします。
杉山 
こういう世界は日進月歩なので先を見据えるのが非常に難しいのですが、それぞれの市町村が、情報資産を守りつつ住民にうまくサービスを提供できる、最善の方法を考えていかなければなりません。たとえば明日地震がおきて、いま現在市町村が持っている情報がなくなる可能性もあるわけですよね。データの紛失・盗難やテロというのもありえない話じゃない。そんなトラブルのときに行政情報が消滅してしまうのを防ぐためには、バックアップを含めた堅牢なセキュリティの構築が必須です。とかく市町村というのは、こういったものについては「早からず遅からず」という傾向がありますが、トラブルはいつどこで発生するかわかりませんから。はじめは手探りでも、早急に対応していかなければならない問題だと思います。


記者の目
今後の展望としてさらに徹底した対策を検討されている話をうかがい、「まさかと思うようなことがセキュリティホールになりうる。それを埋めていくためにはまず、強固な情報セキュリティポリシーという土台を早急に築かなければならない」ということを学びました。



バックナンバーへ戻るspacer新風トップへ