一向に収まる気配のない自治体からの個人情報の漏えい。漏えい対策に本腰を入れて取り組み始めた自治体が出てきた一方、対策が不十分な自治体も多いことが明らかになった。
住民情報や顧客情報の漏えいに、原子力発電所の情報の漏えい、警察の捜査情報の漏えい——、今やどんな情報が外に漏れても不思議ではない怖い時代になった。
自治体からの情報漏えいも枚挙に暇がない(下図)。事件を見ていくと、その多くが盗難、あるいはパソコンやネットワークの知識不足により起こったものだということが分かる。セキュリティ関連の業界団体「日本ネットワークセキュリティ協会」(JNSA)が6月に発表した2004年度の個人情報漏えいの調査結果によると、情報漏えいの4分の3までが、盗難や紛失・置忘れ、誤動作や管理ミスによるものとなっている。内部不正行為や不正アクセスなどは少数だ。
例えば、私物のパソコンを庁内に持ち込んで個人情報を扱っていると、パソコンを持ち出した際に車上荒らしに遭えば、個人情報が漏えいする。ファイル交換ソフト「Winny」に感染するウイルスにより、私物パソコンに保存していた業務データが漏えいするケースも後を絶たない。
自治体は、左下のグラフにあるような情報漏えい対策を徹底し、職員が情報を外に持ち出さない体制をいち早く整備する必要がある。
個人情報に対する関心の高まりもあり、各対策の実施状況は昨年より改善に向かっている。とはいえ、まだ満足できる段階にはない。個人パソコンの持ち込み禁止はようやく半数が対応している状況。35.6%の自治体は、きちんとデータを消去せずにパソコンを廃棄している。情報漏えいが頻発する背景には、こうしたセキュリティ対策の実態がある。
研修で意識を底上げ監査で問題を洗い出す
手を打つべきことは多い。まずは、役所・役場が組織として取り組むべき方針(セキュリティポリシー)を制定し、ルールを定めることから始めるべきだろう。セキュリティポリシーの制定率は総務省の後押しで上がっているが、その内容はまだ十分とは言えない。基本方針はほとんどが制定しているが、職員が実践することになる具体的な作業手順などをまとめた「実施手順」は約半数しか制定していない。
次に、職員への周知徹底だ。パソコンの持ち帰りを禁止していたとしても、職員がその危険度を認識しておらず、持ち帰っていれば、ルールがあっても意味がない。セキュリティ研修で職員の意識を高め、「監査」により、現状の不備を調査、できれば抜き打ちで調査して、各部署に問題点を改善させることが有効だ。
現在のところ、セキュリティ研修の実施比率は39.0%と少ない。しかも、その対象が「課長以上」などと管理職に限定しているケースも多い。
セキュリティ監査の実施比率も、内部監査が18.0%、外部監査が10.0%にとどまっている。監査を積極的に実施して、現状改善に役立てている自治体もある。小田原市は、添付ファイルの付いた怪しいタイトルのメールを職員に送付して、開封したり、添付ファイルを開いたりしなかったかを確認するユニークな試みを行っている。1回目は半数以上の職員がメールを開封していたものの、2回目には開封率が2割未満に減ったという。
山梨県大月市では昨年外部監査を実施、外部の要求水準と現場の意識の違いを実感したという。例えば、サーバー室の入退出について、大月市では実際にカギをかけて管理していたが、監査では「誰がカギをかけたことを確認したのか」「確認したことをどこに記録したのか」と指摘を受けた。このように、内部の基準ではなく、外部の客観的な基準を参考にしてセキュリティ対策を見直せば、その効果が上がるはずだ。
情報漏えいを防ぐためにハードディスクを無くす
最近では、愛知県豊田市(写真)、厚木市など、パソコンログオン時の個人認証にICカードを採用する自治体も増えている。“物理的なカギ”を使うことで、ID/パスワードだけでは運用が甘くなりがちな状況から脱却できる。今回の調査でも、5.4%の自治体がICカードや生体認証を導入している。
パソコンからの情報漏えいを防ぐため、クライアントにハードディスク(HDD)を内蔵しない端末「シンクライアント」の導入を進める自治体も登場し始めた。端末にデータがなければ盗難や紛失でもデータは漏えいしない。静岡県富士市は当初、クライアント管理コストの低減のためシンクライアントを導入、現在はセキュリティ対策と両にらみで導入を進めている。2003年度までに1210台のシンクライアントを導入、今年度も120台を導入した。「最終的にHDD搭載タイプをなくす方向で考えている」(富士市)。
神奈川県藤沢市は、Windowsの標準機能を利用してクライアントのHDDにファイルを保存できない仕組みを昨年導入、データはサーバーに保存する体制にした。ただしこの仕組みには抜け穴があり、ある方法を使えばクライアントにデータを保存できる。こうした問題を解決するために、今年12月にシンクライアントを1400台導入する予定だ。