文:石堂一成(東京コンサルティング代表取締役社長)
日経BPガバメントテクノロジーと東京コンサルティングが昨年実施した「自治体の情報システムに関する実態調査」(注)の結果から、個人情報保護に関して分析した。着眼点は、(1)情報セキュリティに関する体制・制度面での取り組みの充実度、(2)個人情報保護の達成レベルの二つ。自治体の個人情報保護対策は、全般的に形式的なレベルにとどまっており、このままではいつ事故が起こっても不思議ではない。
セキュリティ・ポリシーはほとんどの自治体(92.5%)が整備している。しかし、全般的に形式的な対策にとどまっており、実際にセキュリティを確保するための施策は不十分である。調査結果を見ると、定期的セキュリティ監査は25.5%、CSO(最高セキュリティ責任者)またはCSO相当職の設置が23.5%、セキュリティ専門の組織体か専任要員の設置が20.9%にとどまる。
ただし、セキュリティ教育・啓蒙活動はある程度充実していることから(49.5%が実施)、実質的な強化に向けての過渡期とも考えられる。
個人情報保護については、「ほぼすべてのデータについて重要度に応じた十分なレベルの対策を実現している」とした自治体は約半数(47.6%)である(図1)。逆に言えば、残り半数は対策不十分ということだ。
■遅れる個人情報保護対策、4割以上が「無策型」
自治体を情報セキュリティの体制・制度面の充実度と、個人情報保護レベルで見ると、4つのパターンに分けることができた(図2)。
 |
 |
|
【図2の見方】
(1)体制・制度面での充実度を「高」とした基準 ……「自治体の情報システムに関する実態調査」での情報セキュリティの取り組みについての8つの選択肢のうち「情報セキュリティ・ポリシーがある」「情報セキュリティに関する規定・規約の遵守に向けた教育・啓蒙活動を徹底している」と回答し、なおかつ1つ以上の他の取り組みも実施していた自治体を「高」とした。 (2)個人情報保護の達成レベルを「高」とした基準 ……個人情報保護対策について「十分なレベルの対策を講じている」と回答した自治体を「高」とした。 |
(1)優良バランス型
情報セキュリティの体制・制度面が充実しており、個人情報保護の対策レベルも高い。全体の21.4%がこのグループに属し、主として大規模自治体と3 大都市圏に集中していた。
このカテゴリーの自治体はCIOの設置、技術力、システム化構想など情報システム化の体制、ルールについても高いレベルにあった。
(2)実施遅れ型
情報セキュリティの体制・制度面は充実しているものの、十分な個人情報保護は達成できていない。体制・制度面の取組が結果に結びついておらず、形骸化している怖れがある。調査結果を見てみると、システム予算額/歳出は、4パターンの自治体の中で最も低い水準であった。
(3)フォロー不足型
情報セキュリティの体制・制度面の整備は見劣りがするもの、個人情報保護のレベルは高い。システム予算額/歳出は、4 パターンの中で最高である。一方で、実質的な体制や教育・啓蒙に裏打ちされた個人情報保護対策がなされているかどうか不安がある。
(4)無策型
このグループが全体の4割以上を占めているのは問題だ。情報セキュリティの体制・制度面での取組が不十分であり、個人情報保護も十分には達成できていない。主として、3大都市圏以外、小規模自治体に集中している。また、情報システム化についての体制・ルール整備も遅れている自治体が多い。
■セキュリティへの有効な投資は情報化ビジョンの確立から
では、これら4 つのパターンごとに、セキュリティ・レベル向上への打ち手を考えてみよう。まずは「(1)優良バランス型」を除く3パターンについて、それぞれ見ていこう。
(2)実施遅れ型の対策
まず、情報セキュリティ施策の目標成果を明確化する。その上で、情報セキュリティを実現する政策的な判断をする。その際、リスクの重大性・発生確率と個人情報保護対策コストを総合評価する必要がある。
(3)フォロー不足型の対策
個人情報保護対策が形式的な整備に終わっていないかを見直し、実効性を高めていく(意識面での強化、職員の訓練、ルール遵守度のフォロー、費用対効果のフォローなど)。
(4)無策型の対策
個人情報保護の実現すべきレベルとコストを設定する以前の段階といえる。まず、IT化に関する基本的な目的意識を確立するべきだ(全庁的な情報システム化ビジョンの確立、有効なIT投資、世の中の進んだ情報技術の活用など)。
「(1) 優良バランス型」も含め、全パターン共通の打ち手としてまず言えることは、情報セキュリティの重要性を認識し直すことだ。 セキュリティ対策は、業務効率化・職員削減には直結しないが、必須事項と考えなければならない。そして、少なくとも定期的セキュリティ監査は実施すべきである。
さらに、情報セキュリティに有効に投資するための基盤として、情報システム化の体制やルールを強化することを考える。小規模な自治体でも、投資の有効配分や外部委託業務の切り分けに注力して高いセキュリティ・レベルに到達することは可能なはずだ。実際、人口10万人以下の自治体でも、例えば兵庫県小野市や福島県須賀川市などは「(1)優良バランス型」に属しているのである。
(注)「自治体の情報システムに関する実態調査」とは
日経BPガバメントテクノロジーと東京コンサルティングによる共同調査。47都道府県と国763市・区(2005年5月3日時点)の計810団体を対象に実施。調査票は2005年6月下旬に郵送で送付し、2005年3月末時点での状況について回答を依頼した。有効回答数は417団体(回収率51%)。AP(アプローチ:システム化プロセス・体制)、AR(アーキテクチャ:システムの基本構造)、AC(アチーブメント:システム化効果)の3分野について分析し、全分野がAランクの「AAA」60団体を選出した。調査結果はWebサイト「ITpro 電子行政」および「自治体システム格付けサービス」で公開中。
※ この記事は『日経BPガバメントテクノロジー』第11号(2006年4月1日発行)に掲載されたものです。
