文:石川 家継=地方自治情報センター 自治体セキュリティ支援室 室長
自治体や政府、大学など公共的な機関の個人情報漏洩事件や不正アクセス被害、システム障害の発生について、地方自治情報センター(LASDEC)自治体セキュリティ支援室では、独自に集計をとっています。毎日のように発生するこれらの事態について、今年度上半期(平成19年4月~9月)の状況についてまとめました(下図)。
図●公的機関の情報セキュリティ事故/事件の件数(平成19年4月~9月) |
|
上半期の事故や事件は計93件でした。そのうち81件が情報漏えいです。機関別に見ると68%が自治体で、一番多く発生しています。また業務別に見ると行政が一番多く、教育、医療と続いています。
市町村は住民情報の宝庫と言っても差し支えありません。その現場でこれだけの事故や事件が発生している実態があります。
情報セキュリティ監査の実施状況――まだ低い監査の実施率
自治体の情報セキュリティ監査(以下監査)については、都道府県では取り組みが進んでいるものの、市町村においてその実施率は、20.8%(H17)、29.1%(H18)、28.6%(H19)(総務省調査)となっており、監査への取り組みが中々進んでいないという実態が見えます(参考:総務省「電子自治体に関する主要な指標の推移」)。
個人情報保護条例は全市町村で、情報セキュリティポリシー(以下ポリシー)は97%の市町村で策定されています。いくつかの市町村にアンケートを行ったところ、ポリシーは策定したが、ポリシーに基づく情報資産の把握やリスク評価は難しく、なかなか実施できていないという状況があります。これが、自治体が監査を実施できない理由の一つにもなっています。ほかにも「新たな業務なので、過去の実績もなくどのように取り組んでよいのかわからない」「外部監査の予算が認めてもらえない」などの要因が、監査が進展しない理由となっているようです。
外部監査に係る経費の予算要求については、多くの地方公共団体で、予算化されにくいという声を聞きます。自治体の会計に関する監査は、地方自治法に毎会計年度少なくとも1回以上行うことが規定されています。しかし情報セキュリティ監査は地方自治法や他の法律でも規定されていません。法律で規定されていない事業への予算配当は、どこの自治体でも優先度が低くなるでしょう。監査経費への予算獲得は、セキュリティ担当部署の熱心な説明と情報セキュリティに対する財政当局の理解にかかっているといえます。このようなことから、情報セキュリティ監査も地方自治法で規定して欲しいという意見を自治体職員の方から聞くこともあります。
外部監査をまず実施してから内部監査へ――吹田市の事例から
このような中、外部監査の経費を予算化し、内部監査より先にまず外部監査を実施した団体の事例を紹介します。
大阪府吹田市情報政策室(以下情報政策室)では、平成15年度にポリシーを策定しました。情報政策室ではポリシーは策定したが、ポリシーの規定どおりにきちんと実行されているかどうか確認しなければならないと考え、監査の実施を模索していました。財政状況の厳しい自治体でまず考えられるのは、経費のかからない内部監査です。しかし内部監査は監査人の養成が必要です。今まで行っていない業務なので、監査自体のノウハウがありません。
そこで情報政策室が考えたのは、外部監査を先に行うということです。その理由は、実際の監査のときに監査人について回ることで、監査のイメージかをつかむためでした。さらに監査人の監査の手法を情報政策室の職員が学ぶこともできると考えました。情報政策室では、庁内で内部監査の監査人を養成するには、国からのガイドラインやいろいろな監査の解説書などで勉強することが必要なのはもちろんですが、監査の現場を見ることが一番の早道と判断したようです。「百聞は一見にしかず」です(余談ですが、昨年度LASDECでは、内部監査とはどのようなものかドラマ仕立てのビデオを制作し、自治体に配布しました。そのほかにもLASDECでは、自治体の情報セキュリティのレベルアップに向けて様々な支援を行っています。下記コラムも併せてご参照ください)。
情報政策室では、ポリシー策定の翌年の平成16年度に、次年度(H17)の外部監査実施のための予算要求を行いました。予算折衝では、住民への説明責任など監査の必要性を説明したことはもちろんですが、国の政策の一環ということも財政当局に説明し、外部監査の経費を予算化できたといいます。
外部監査の対象は、大型汎用機システムと庁内データ共有システム(グループウェア)、そして無線LANシステムの三つでした。情報政策室のシステムを中心に、まず自らのシステムを監査することから始めています。こうすることにより他の部署からの協力が得られやすくなります。
情報政策室では平成18年度に外部監査を実施し、情報政策室職員の監査に対する知識と経験が向上したところで、内部監査の実施へと向かいました。吹田市情報セキュリティ内部監査実施要領などを策定し、今年8月には、内部監査を実施しました。
内部監査を行ったのは、国民年金システム(担当:国保年金課)と、教育情報システム(担当:教育センター)の二つのシステムです。これを監査するのは、それぞれ市民課と中央図書館が担当するという「相互監査方式」としました。内部監査の客観性を保つための工夫です。吹田市では、各部署は5年間のうち監査部門と非監査部門のどちらか一方を必ず担当することとしています。
なお、内部監査の結果は、監査項目である「組織のセキュリティ」や「人的セキュリティ」では、80%以上の達成率という良好な結果が得られたといいます。さらに吹田市では、全職員を対象としたセルフチェックを今年中に実施することとしています。
一般的な方法にこだわることなく、PDCAサイクルの確立を
一般的に内部監査は、職員の情報セキュリティに対する意識を高めることができるといわれており、外部監査は客観性や専門性を確保できるといわれています。また外部監査には、助言型監査と保証型監査があります。
総務省の「地方公共団体における情報セキュリティ監査に関するガイドライン」では、一般的に情報セキュリティ対策の向上を図るには、最初に継続的な内部監査と合わせて助言型監査を行い、必要に応じて保証型監査を行うこととされています。
そうした意味では、吹田市の外部監査から内部監査という方式は、ガイドラインでいう「一般的」な方法ではなかったかもしれませんが(注)、セキュリティ対策のPDCAを確立できているといえます。各自治体の事情に合わせた情報セキュリティ対策を推進することが大切ではないでしょうか。
(注) 平成18年度の総務省調査では、監査を実施している市町村のうち、約32%が外部監査のみの実施でした(ただし、これらの団体すべてが、吹田市のように何らかの目的意識を持ってあえて外部監査をまず先に実施したのかについては未確認です)。
|
|