bannerkantou.gif


市町村は情報セキュリティ対策の強化を
総務省自治行政局地域情報政策室地域情報化係長
高島史郎



 地方公共団体の情報資産に対しては、従来からの脅威に加え、インターネットの普及に伴う新たな脅威が増大している。
 そうしたなか、地域住民の個人情報を含む情報資産を守るには、すべての地方公共団体が早急に「情報セキュリティポリシー」を策定し、その運用をチェックする「情報セキュリティ監査」を実施することが不可欠だが、情報セキュリティポリシーを未だに策定していないところが25・6%(平成16年4月1日現在)もある。また、都道府県域によっても取り組みにばらつきが見られ、このままでは地域間格差の拡大が危惧される。
 総務省においては、これまで『地方公共団体における情報セキュリティポリシーに関するガイドライン』や『公共ITにおけるアウトソーシングに関するガイドライン』の作成、「高度情報セキュリティ研修」の実施など、セキュリティ対策の強化促進へ積極的に取り組んできた。今後、電子自治体の構築が本格化し、運用段階へ移行すれば、地方公共団体が取り組むべきテーマも、情報セキュリティポリシーの策定から運用に関する評価・点検を行う「情報セキュリティ監査」の実施へとシフトすることになる。情報セキュリティ監査は、情報セキュリティポリシーの策定が前提ではあるが、できる限り早期にすべての地方公共団体において実施されることを強く期待している。
 このため、総務省としては、『地方公共団体情報セキュリティ監査ガイドライン』を作成し昨年12月に公表した。ここで作成した地方公共団体情報セキュリティ管理基準は、国際規格等を踏まえつつも地方公共団体の特性に配慮したものである。
 地方公共団体が監査を実施する際にはこの管理基準を基に監査項目を追加あるいは削除しながら、その時々の監査目的に見合った個別管理基準を策定してもらえればいい。なお、年度内に情報セキュリティ監査に関する解説書をまとめる予定で、11月以降、そのドラフトを活用した地方公共団体向け説明会を全国各地で開催する予定である。
 地方公共団体の情報セキュリティ対策については、社会情勢等の変化により再検討を行う余地もあると思うが、こうした課題への対応策の研究等を行う支援組織として、今年5月には「地方公共団体セキュリティ対策支援フォーラム」が設立された。
 情報セキュリティ対策はその場限りのものではなく、継続したマネジメント活動にほかならない。その点では、情報セキュリティ監査を実施しなければ完成度の高い情報セキュリティポリシーを策定したところで情報セキュリティ対策は“絵に描いた餅”終わる。これからの地方公共団体には、電子自治体の構築を契機に住民との相互理解の下、地域特性を活かした豊かな地域社会を築くことが求められているのである。(談)



バックナンバーへ戻るspacer新風トップへ