筆者紹介 佐藤徳之(さとう・とくゆき)マーシュジャパン ディレクター、シニアバイスプレジデント。1989年に入社以来、日本、米国において企業のリスクマネジメント構築に従事。マーシュジャパンは、リスクマネジメントおよび保険関連サービスを提供する世界最大手企業である米Marsh Inc.の日本法人。2004年度情報化推進国民会議専門委員。 |
日本でも、ようやく個人情報保護や情報セキュリティになどに対するリスクマネジメントの策定に着目する自治体が出てきた。しかし多くの自治体における対策は、まだまだ不十分なのではないだろうか。
一例として、ある自治体を実際に訪れて調査した際に、気付いた点をまとめた項目を掲載する。この自治体の場合、住民の個人情報に関する取り扱い方法および管理方法に関しては目を覆うばかりの状況であった。ただ、いくつか自治体を訪れて感じたのは、一部の先進的な自治体を除けば、こうした自治体の方が“普通”なのかもしれない、ということだ。
(1)戦略(ストラテジック)リスク関連:条例や契約関連リスクを含む
- 電子自治体化に関するリスクマネジメントの必要性が十分に認識されていない。そもそも電子自治体化で生じるリスクに対する認識が非常に希薄であるのに加えて、リスクマネジメント関連の責任者も決まっていない。
- 使われないリスク(裏を返せば、どうしたら住民=ユーザーに利用してもらえるか)的な観点からの具体的な取り組みがなされていない。
- リスクマネジメントの重要性について、首長からのメッセージがない。
- アウトソーシング事業者との契約で、アウトソーシング活用の際の責任分担(サービスレベル・アグリーメント:SLA、漏洩した場合の罰則など)が明確にされていない。
(2)操業(オペレーショナル)リスク関連:職員などの人的リスクを含む
- システム導入計画は情報システム課を中心に作成しているが、システム予算およびシステムと事業者選定の決定権限は各主管部署が握っており、選定にあたっての統一ガイドラインがない。
- 職員へのITスキル向上に対する要求や、業務の電子化から生じるストレスによって、職員の障害(ストレスによる労働災害生など)やモラール欠如が生じる可能性に対して対策を立てていない。
- IT化の推進によって課の職員数が削減される可能性があり、その場合に業務変革と業務負荷によるストレスによって、職員の障害(ストレスによる労働災害生など)やモラール欠如が生じる可能性に対して対策を立てていない。
- パスワード変更は、人事異動の際しか実施していない。
- 重要な情報資産は地下の書庫に保管されており施錠管理されているが、中にコピー機が設置されているため、重要情報のコピーを容易に持ち出せる。
(3)災害(ハザード)リスク関連
- バックアップデータを庁内の金庫に保管しているため、大災害が発生した場合にすべての情報資産が滅失する可能性がある。
- オフィス、サーバールーム共に、消火用の設備が泡消火栓しかない。書類が多いオフィスでは、水で消火できるスプリンクラーが必要。水に弱い機器を集中管理しているサーバールームでは、ガス系の消化設備を備えるべきである。
- サーバールームに対して、地震対策が一切実施されていない。
(4)財務・金融(フィナンシャル)リスク
- 保険手配に関しては過去のものを引き継いでいるだけで、十分な検討および検証が全くなされていない。
- BCP(Business Continuity Planning:事業継続計画)を念頭に置いた対策が全くなされていない。
ここで、(4)のBCPの重要性について説明したい。昨今、民間企業でのBCP普及については様々な動きが出てきている。例えば内閣府の中央防災会議は、「民間と市場の力を活かした防災力向上に関する専門調査会」を設置し、2004年10月に「民間と市場の力を活かした防災戦略の基本的提言」を、2005年に「事業継続ガイドライン」を公表している。
