bannerkanmatsu.gif


第3回
監査を受ける際の留意点
仙台市総務局情報政策部情報政策課主幹(セキュリティ対策係長事務取扱)
地方公共団体セキュリティ対策支援フォーラム セキュリティ監査部会員

鎌田洋志


 仙台市では、18年度監査事業者の協力を得て助言型内部監査を導入し、セキュリティポリシー等のルールの遵守状況(全職員対象のアンケート調査および22か所の訪問調査)と市民利用施設予約システムの運用(8か所の訪問調査)について監査を実施しました。

監査の目的を理解し前向きに監査を受ける

 監査の目的は、情報セキュリティの現状を正確に確認し、そのレベルを安心できるところまで向上させることです。そのため、監査人にありのままの現状を確認してもらうことが必要であり、取り繕うことには何の意味もありません。
 監査を受けることは、監査後の改善をするための準備のようなものです。皆さんは、情報セキュリティ事故が起きてから対応することより、リスクを減らし事故を起こさないよう予防することの方が、ずっと良い方法であるということをお分かりと思います。このために専門家が手助けをしてくれるのですから、監査を受けることをチャンスと前向きに捉えていただきたいと思います。
 また、不幸にして訪問調査対象から外れた場合であっても、セキュリティレベルを向上させるチャンスと捉え、セキュリティ対策を再検討し、疑問があれば監査期間中にセキュリティの担当部署に相談してください。担当部署を通じて、専門家のアドバイスが得られるかもしれません。

監査事業者とのコミュニケーションを十分に

 監査事業者は情報セキュリティの専門家ですが、行政の専門家ではありません。行政の専門家は、監査を受けるあなたです。あなたは監査を受けるにあたり、監査事業者に業務の内容や手順を分かりやすく説明し、理解してもらわなければなりません。
 行政は、究極の多角経営ともいうべき組織であり、保育所、病院、道路建設、消防、上下水道、音楽ホール、斎場や墓地など、相互に関連のない多種多様な業務を組織のなかに包含しています。行政の監査経験を有する監査事業者を選定したとしても、すべての業務の監査経験があるということは、まず期待できません。そのため有効な助言を得るためにも、業務の目的、背景、制度を理解してもらった上で、情報をどのように活用しているのか、その活用段階でどのような情報の保護対策をしているのかを伝えることが必要となります。
 また、監査事業者とのコミュニケーションをとるなかで、日頃感じている問題点などを相談してみるのもいいでしょう。もちろん、監査には時間の制約があるので“要点を簡潔に”です。きっと、有効な助言が得られるはずです。

できるだけ実現可能な改善提案をしてもらう

 監査は、改善につなげるために実施するものです。そのためには、専門家の視点からの有効な改善提案を得たいものです。業務に見合った実施可能なものであること、情報セキュリティを向上させるものであることを、共に満たす有効な提案を受けるため、監査事業者とのコミュニケーションが特に重要です。
 なお、改善にあたっては、厳しい財政事情などさまざまな制約もあるので、短期的に取り組むべき提案、短期的には対応が困難ながら中期的に取り組むべき提案に区別してもらうのも良いのではないでしょうか。
 本市が監査で受けた指摘には、お恥ずかしい話ですが、重要情報の紛失や盗難につながる「リスク」として机上および執務室の整理整頓がありました。整理整頓は、費用をかけずに実施することができる、立派なセキュリティ対策なのです。


監査を通じて意識の向上を図る

 情報セキュリティ対策は、必ずしもすべてを遵守しなければ業務遂行が不可能という性質のものではありません。
 そのため、セキュリティ意識が低い組織では対策が疎かにされ、事故にまで至らない小さなミスが起こりがちです。そして、度重なるミスが事故につながるということを繰り返し、その度にセキュリティ対策の遵守を指示することになりがちです。そうならないよう、セキュリティ意識を高める契機として監査を活用し、組織のセキュリティレベルを向上させていかなければなりません。
 本市では、監査事業者の提案により、全課長対象の研修を2回実施するとともに訪問調査対象課を対象とした研修も実施しました。監査結果を周知し、セキュリティ向上に活かすための有効な手法であったと評価しています。

リスクは減らすものなくすことはできない

 セキュリティリスクをゼロにするためには、すべての情報を使用後直ちに復元不可能な方法で廃棄してしまわなければなりませんが、それは実施不可能です。この矛盾は解決できないまでも、緩和することが必要になります。
 ゼロにすることができないリスクを、許容レベルまで減らすために実施するのがセキュリティ対策です。その対策が有効に機能しているか確認し、改善するために監査は有効な手段です。
 皆さんも本稿で述べた視点も含めながら、セキュリティ監査を実施されてはいかがでしょうか。


●地方公共団体セキュリティ対策支援フォーラムについて
地方公共団体および有識者、民間企業、関連団体等の連携の下、地方公共団体の情報セキュリティ対策支援を目的に設立された組織。地方公共団体の入会費・年会費は無料。詳細はホームページ(http://lg-sec.jp/)まで。



バックナンバーへ戻るspacer新風トップへ