文:小室 武晴=ネットワークリスクマネジメント協会 事務局長

 最近、私のメールアドレスに迷惑メールが多く届くようになりました。対策ソフトを使用して自動的に削除しているのですが、それにしても毎日数十通の迷惑メールにはうんざりしています。どこかから私の個人情報が漏れているのではないか、と疑ってみたくもなります。実際、迷惑メール送信業者の間でメールアドレスリストが売買されているという話も耳にしますので、きっとどこかからメールアドレスが漏れているのでしょう。あちこちに個人情報を登録しない、公開しない、といった基本的な対抗策しか取れないのが何とももどかしい限りです。

 ところが、自分の個人情報を外部には一切登録したくないと思っても、登録せざるを得ないところがあります。その一つが自治体です。住民の義務として自分や家族の個人情報を住民登録しなければなりません。住んでいる自治体の情報セキュリティ対策がどうなっているか考えるまでもなく、個人情報を預けなければなりません。

情報セキュリティに対する取り組みは住民に伝わっているか?

 地方分権の時代を迎えて、自治体は様々な問題に直面しています。行財政運営を取り巻く厳しい環境の中で、いっそうの業務の効率化が求められています。近年本格化してきた「電子自治体」の目的の一つが、業務の効率化であることは言うまでもありません。パソコンやネットワークを活用することで、転記作業に代表される非効率な業務を効率化し、その時間を住民福祉の向上などに結びつく創造的な業務にあてることができるからです。そして、もう一つの目的が住民の利便性向上です。電子申請システムの活用により、従来は何度も役所に足を運ばなければならなかった手続が、自宅や会社からネットワークを通してできるようになってきました。

 このように電子自治体が発展していく中で、住民にとっての心配の種は「自分の個人情報はしっかり守られているのだろうか。わが町の情報セキュリティ対策はどうなっているのだろうか」というものでしょう。

 現在、ほとんどの自治体において全庁的な情報セキュリティ対策に取り組む枠組みができあがっています。ほとんどの自治体では情報セキュリティポリシーを策定済ですし(図1)、個人情報保護条例についてはすべての自治体で制定されています。

図1●自治体の情報セキュリティポリシー策定状況(2006年4月1日現在)
自治体の情報セキュリティポリシー策定状況(2006年4月1日現在)
出典:総務省「地方公共団体における個人情報保護条例の制定状況等(平成18年4月1日現在)

 しかし、自治体の情報セキュリティに対する取り組みは住民に十分伝わっているのでしょうか。自治体で情報セキュリティ業務に携わった経験から申し上げますと、住民に対して情報セキュリティに対する取組みをお伝えするのは、正直なところ難しいというのが実感です。理由は大きく2つあります。

  1. ただでさえとっつきにくい情報セキュリティ。概略を説明しても抽象的で分かりにくいし、詳細に説明しようとすると、専門用語の解説から始める必要があるため、ますます分かりにくいものになってしまう。
  2. 対策内容を詳しく説明することで、弱点を公開してしまうことにもつながる。

 そのうえ、情報セキュリティ対策は、「定期的にチェックして継続的に改善している」ということについての説明が求められます。「対策を施しました」だけではなく「チェックして改善しています」ということを住民に示すことが重要なのです。

住民への説明責任のための情報セキュリティ監査=オーディットレディ

 住民の個人情報を預かる自治体にとって、「住民の皆様が納得できる情報セキュリティ対策をきちんと運用しています(=PDCAサイクルをきちんと回しています)」ということを住民に説明することが重要です。住民が安心して行政に参加・協力できるような雰囲気を醸成していくことが、今後ますます求められると考えられるのではないでしょうか。

 情報セキュリティ対策の実施状況を住民に説明する場合、例えば情報セキュリティ監査報告書をホームページで公開するという方法をとっている自治体(例えば千葉県など)もあります。ただ、改善点や脆弱性をどこまで公開するか、悩んでしまう自治体も多いのではないでしょうか。そこで、「自団体が行っている情報セキュリティ対策を、住民に対して的確に伝える手段のガイドライン的なものはないか」という発想から考え出されたのが「オーディットレディ(Audit Ready)」という枠組みです。

 自治体は、ある一定の水準(=住民が納得する水準)を超えるようにセキュリティ対策を推進し、内部監査を実施し改善していきます。その水準を達成できたとき、団体自らが(首長が)オーディットレディ(=監査の準備ができた。)と宣言します。そして外部機関による保証型情報セキュリティ監査によるお墨付きをもらい、その結果を公表することで、住民に対する説明責任を果たそうというものです。(図2)

図2●「オーディットレディ」の運用イメージ
情報セキュリティマネジメントがきちんと運用され、外部監査人などの第三者がチェックする準備ができたということを首長自らが宣言することを、オーディットレディと名づける。この宣言と、第三者による検証結果とを住民に公表することで、地方公共団体の住民に対する説明責任を果たすことを狙いとする。
「オーディットレディ」の運用イメージ
出典:地方公共団体セキュリティ対策支援フォーラム「『オーディットレディ(Audit Ready)プログラム』の検討

 オーディットレディの枠組み(「オーディットレディ(Audit Ready)プログラム」)は、地方公共団体セキュリティ対策支援フォーラム(LSフォーラム)セキュリティ監査部会が昨年度から検討を続けてきたものです。今年度は日本セキュリティ監査協会(JASA)と連携し、従来からの認証制度(ISMS等)との住み分けや、オーディット・レディの宣言を出す水準や宣言に沿って行った監査結果の公表範囲・方法などについての具体的な基準、住民に公表するタイミングなどの検討を進め報告書をまとめて公表する予定です。そして2008年度からは、この仕組みが普及していくような働きかけを自治体や国に対して行っていきます。このオーディットレディの枠組みにより、各自治体の情報セキュリティに対する取組みが加速され、地方分権時代にふさわしい地方自治の基盤としての情報セキュリティの確保が検証できることを期待しています。

◆          ◆          ◆

 自治体にとっての情報セキュリティとは、「情報を守る」という側面だけで論ずることはできません。「情報を守る」というより「住民の利益、安全、安心を守る」という観点で進めていくことが重要だと考えます。守るべき情報はしっかりと守り、共有すべき情報は積極的に行政と住民との間での共有化を図り、ともに協力し合ってよりよい社会を実現することが求められるてくるでしょう。住民が安心して行政に参加・協力していくことができるためにも、住民に対する説明責任を果たしていかなければなりません。LSフォーラムとJASAでは、それを実現する道具としてオーディットレディの枠組みが広く認知され、普及するように努力してきたいと考えています。



小室 武晴(こむろ・たけはる)
ネットワークリスクマネジメント協会事務局長 
元埼玉県総務部IT企画課セキュリティ担当主査。地方公共団体セキュリティ対策支援フォーラムセキュリティ監査部会副部会長。総務省:自治体ISACの具体化のための調査研究会委員、地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する検討会専門委員、職員の情報セキュリティレベルの認定に係る調査研究委員会委員。システム監査技術者。情報セキュリティアドミニストレータ。JASA資格認定委員。