bannerkanmatsu.gif


第1回
情報セキュリティ対策 取り組みの必要性と現状
特定非営利活動法人ネットワークリスクマネジメント協会理事
地方公共団体セキュリティ対策支援フォーラム監査部会長

大木栄二郎・工学院大学情報学部教授


 電子政府や電子自治体の取り組みが進み、あらゆる業務にITが活用される情報社会では、情報セキュリティの確保が不可欠なことは改めて強調する必要はないでしょう。しかし的確な対策を効果的に実施することは、そう簡単ではありません。
 平成17年11〜12月、NPO法人ネットワークリスクマネジメント協会(NRA)と、地方公共団体セキュリティ対策支援フォーラム(LSフォーラム)監査部会が協力して実施したアンケート調査では、回答を寄せた323の自治体のうち70%を超える236団体が「情報セキュリティ対策は十分とはいえない」と答えています。また、この情報セキュリティ対策のでき栄えをチェックし確認するのが「情報セキュリティ監査」ですが、調査では内部監査を実施したことのない自治体が73%超、外部監査を実施したことのない自治体は80%超となっています。これらから対策の必要性や重要性は理解しているものの、多くの自治体が情報セキュリティ監査へ未だ手付かずの状態にあることがわかります。


 情報セキュリティ監査は、経済産業省の「情報セキュリティ監査制度」総務省の「地方公共団体の情報セキュリティ監査の促進」でその基準等が示されていますが、ここで示されている監査項目が膨大で、概要を理解して計画的に取り組むだけでもかなりの知識と経験が要求されます。そのため、専門知識を持った職員が少ない自治体では、なかなか取り掛かりにくいのが実情です。
 しかし、情報セキュリティ監査は、これからの自治体の情報セキュリティの確保に重要な役割を果たす“欠かすことのできない施策”のひとつであり、これには大きく2つの目的があります。第一の目的は、情報セキュリティ・レベル向上の一環としてセキュリティ対策の実施状況やその有効性を確認することです。多くの場合、職員の中から監査人を指名し、さらにレベルを高めていくための管理活動の一環としてこの監査は行われます。また、第二の目的は、情報セキュリティ対策が一定の要件を満たしていることを独立の第三者による監査で確認し、その旨を住民等に説明することです。
 このような内部・外部の監査に取り組むには、すでに団体の情報セキュリティ対策が、住民等が期待する一定の水準に達していることが必要ですが、今すぐこの監査を実施できるところはそう多くはないのが実情でしょう。当面は第一の目的の内部監査を実施して、着実に情報セキュリティ対策のレベルを向上しつつ、近い将来に第二の目的の外部監査を実施して住民への説明責任を果たすことを視野に入れていただきたいと思います。なお、LSフォーラムでは、この第二の目的である外部監査を、「首長によるオーディット・レディ宣言」として制度化することを提言しています。


●地方公共団体セキュリティ対策支援フォーラムについて
地方公共団体および有識者、民間企業、関連団体等の連携の下、地方公共団体の情報セキュリティ対策支援を目的に設立された組織。地方公共団体の入会費・年会費は無料。詳細はホームページ(http://lg-sec.jp/)まで。



バックナンバーへ戻るspacer新風トップへ