■地方自治体における情報セキュリティは、情報を守るだけでなく、住民を守る重要な役割を担っている。そこで、地方自治体の情報セキュリティ監査促進と住民の安心を得るための枠組みとして注目される、社会的合意方式を取り入れた「オーディットレディ(Audit Ready)」に対する取り組みや、地方自治体を監査する監査人に求められる知識などについて、地方自治体のキーパーソンにお話を伺った。(構成:日本セキュリティ監査協〔JASA〕)

規定作りの次は情報セキュリティ対策の運用
「監査に対しては、自治体によって温度差がある」

大木氏の写真
JASA顧問
工学院大学情報学部教授
公認情報セキュリティ主席監査人
大木 英二郎氏

石川氏の写真
地方自治情報センター(LASDEC)
自治体セキュリティ支援室室長
石川 家継氏

大木 地方自治体における情報セキュリティの現状、監査への取り組み状況などについて教えてください。

石川 総務省が全国の自治体を対象にした調査によると、昨年度の個人情報保護条例への対応は100%、情報セキュリティポリシー策定も96.2%で、今年度も100%に近い数字が出てくると見られています。このように規定作りは着実に成果をあげていますが、規定通りに対策が正しく実行できているかとなると話は別で、昨年度のセキュリティ監査の実施状況は、都道府県が78.7%、市町村が29.1%でした。今年度は若干ポイントが高まると予想されていますが、依然として地方自治体の情報セキュリティへの取り組みにはばらつきがあります。

大木 そうした現状を踏まえ、実際に市区町村から見た情報セキュリティ、監査の現状、課題などを教えてください。

川端 現場としては、一般的に先進的な自治体とそうでない自治体とでかなり温度差があると感じています。担当者は必要性を十分認識していても、全庁的な展開ができないのが現状です。それに輪をかけて、ここ最近財政的に厳しくなっており、法で制定されていない情報セキュリティ監査に自主的に予算をかけるのは、言葉は適切ではないかもしれませんが、贅沢ではないかという雰囲気があるのも事実です。

問われる監査の価値
住民への説明責任に有効な保証型監査

川端氏の写真
敦賀市
総務部技監情報管理課長 IT推進室長
川端 純一氏

小室氏の写真
ネットワーク
リスクマネジメント協会(NRA) 事務局長
小室 武春氏

大木 確かに、地方自治法で規定できれば、予算要求がしやすいという話をよく聞きますね。ただ、情報セキュリティ対策の現状を知るには、監査以外に実証できないといっても過言ではありません。監査の必要性は十分認識されているものの、対応が遅々として進んでいないのは、監査の価値そのものが正しく理解されていないことが問題です。また、情報セキュリティへの取り組みは、地方自治体や企業を問わずトップの意思が大きく影響します。どこにプライオリティを置くか、その姿勢が問われています。自ら進んで情報セキュリティの現状を知ることが大切だと思います。

 情報セキュリティ監査の必要性について述べさせていただきましたが、住民にとっての情報セキュリティとは何か、保証型監査注1)の枠組みをキーワードに解説してください。

注1) 保証型監査――保証型情報セキュリティ監査は、監査される側の情報セキュリティマネジメントやコントロールが、監査手続きを実施した限りにおいて適切(又は不適切)であることが表明される。保証型監査には3つのタイプがあり、各々目的によって使い分ける。
* さらに詳しくは連載第1回「保証型情報セキュリティ監査とは?」へ

小室 先ほど示されたセキュリティ監査の実施状況を例にとると、監査を実施している市区町村を除く、約70%が有効に機能しているかをチェックしていないわけです。「決めました、やります」というのは簡単でも、「実際にそれをやっています、改善しています」というところまでやらないと、住民の理解は得られないのではないでしょうか。また、監査は実施したが、結果を住民に公表している市区町村はごくわずかです。今後はセキュリティ監査の次のステップとして、セキュリティ監査を実施した結果、こういう問題があったがこのように改善をしておりますので安心してくださいと、住民にピーアールをすることが重要です。その際、保証型監査という枠組みが必要になってくると思います。

大木 JASAでは助言型監査注2)と保証型監査と大きく2つのタイプに分けて取り組んでいます。助言型監査はこれからセキュリティ対策の質を高めていこうというのが主たる目的です。一方、保証型監査は、監査した内容を監査人が担保し、ステークホルダー(利害関係者)に公表して安心していただくというのが主たる目的です。住民に監査の結果を公表する場合は、保証型監査が大きな役割を果たすと思います。

注2) 助言型監査――助言型情報セキュリティ監査は、情報セキュリティマネジメントの改善を目的として、問題点を検出し、必要に応じて改善提言が表明される。コンサルティングと助言型監査は、どちらも情報セキュリティ対策に対して助言をしますが、コンサルティングはコンサルティング先とコンサルタントの2者の関係、助言型監査は監査を受ける側、利害関係者(想定利用者)、専門の監査人という第三者が介在することが最も大きな違い。
* さらに詳しくは「知って得する情報セキュリティ講座」へ 

 なお、保証型監査は外部監査となります。そこで、地方自治体における外部監査の現状、課題を教えてください。