文:川口耕一 ネットワークリスクマネジメント協会(NRA) 理事・事務局長

 地方公共団体の多くは、情報セキュリティの専門職員の育成や確保に悩まされています。情報セキュリティ関連業務に専念できるだけの時間・人員・予算の確保は困難であり、ある程度の専門知識が必要とされる分野となるとなおさらです。よしんば内部監査を実施できるノウハウを持つ職員に恵まれたとしても、数年に一度の人事異動が待っています。ノウハウの継承を考えて対処しておかなければ一から出直しになってしまいます。

 このような環境的要因のため、必然的に、外部の専門家に依頼して内部監査のコンサルティングを受けることも多くなります。言い換えれば、内部監査はもちろん外部監査においても、地方公共団体をフィールドとする外部専門家には自治体業務に関する知識が求められる、ということになります。自治体業務とは、組織・業務内容・住民基本台帳などの特殊なシステム・予算・調達・法制度・議会対応等々自治体特有の事項ですが、それだけでなく、例えば都道府県庁と市町村庁とで組織、業務、住民とのスタンスが異なることなども、外部専門家は理解しておく必要があります。

 しかし、地方公共団体では、専門家を選定する際の情報不足や、監査専門家の自治体業務知識に関するスキルへの疑問から、なかなか安心して外部のコンサルティングを導入できないようです。外部の専門家の側では、自治体業務の知識習得手段の少なさ、業務知識の習得度合いを第三者に判断してもらう材料がないなど、参入の難しさを感じている人も少なくありません。地方公共団体の情報セキュリティ監査を促進するためには、このようなミスマッチを解消する必要があります。

 そこで、自治体職員を中心とした任意団体である地方公共団体セキュリティ対策支援フォーラム(LSフォーラム)は、「自治体業務知識研修」の企画を立ち上げました。研修の対象者は、JASAの公認情報セキュリティ監査人(CAIS資格)登録者をはじめ、地方公共団体市場への参入を目指す情報セキュリティ監査人など、情報セキュリティ監査およびそれに関連する分野での業務経験がある人としています。日本セキュリティ監査協会(JASA)との連携のもと、ネットワークリスクマネジメント協会(NRA)が実施を担当することとし、2006年11月からスタートしました。

 この研修を企画した狙いは、地方公共団体における情報セキュリティの内部/外部監査実施の促進です。

 まず、地方公共団体の業務や法制度について基礎知識を有している外部の監査人を増やすことが必要です。外部監査人が情報セキュリティ監査に必要な自治体業務の知識を持つことによって、情報セキュリティ監査の円滑な実施が可能となります。

 並行して、地方公共団体の不安の払拭も目指します。自治体業務を理解している外部監査人の存在を周知することにより、「自治体業務に無知な監査人が来るのではないか」と考える地方公共団体にも安心感をもっていただければと考えています。

 修了試験に合格した受講者には、自治体業務知識を習得したことを客観的に証明できるように修了証を発行しています。さらに、研修修了者はNRAの研修サイトで名簿を公開するとともにJASAのCAIS資格登録者名簿への反映を行い、経済産業省の情報セキュリティ監査企業台帳内にも掲載されています。名簿を公表することで、地方公共団体が監査主体を選定する際のひとつの判断尺度になります(研修修了者にとっても、名簿の公表は潜在顧客へのPRにつながります)。

 カリキュラム内容や使用するテキストは、実践的な研修を提供するという観点で作り上げ、講師陣には情報政策に携わった経験がある地方公共団体職員経験者(現職者を含む)や地方公共団体に関する知識が十分にある方を招いています。研修期間は二日間で、具体的なカリキュラムは下表に示すとおりです。

1日目
午前
--オリエンテーション--
●地方公共団体の法制度
法規解説:
自治体業務に関する知識を習得するために必要な「地方自治法」「行政機関個人情報保護法」「情報公開法」等
制度・団体:
「監査委員・外部監査制度」「指定管理者制度」「LGWAN運営協議会」等
午後
●地方公共団体の業務
地方公共団体の組織等:
庁内組織体系や市町村合併に伴う業務の効率化と課題、予算制度や議会、人事制度等組織の仕組み
業務区分とシステム構成:
地方公共団体サービスの代表的な業務を取上げ、業務区分や電子自治体として備えているべきシステム構成やネットワーク構成、業務を行うための運用体制、アウトソーシングの傾向
代表的な部署の業務の流れ:
業務内容、業務フロー、他部門との関係
年間の主なスケジュール:
監査のスケジュールを立てるためにも重要となる、議会開催や予算要求の時期など主な年間スケジュール
●地方公共団体のセキュリティ監査に関する調達プロセス
調達の種類:
一般競争、指名競争、随意契約において、地方公共団体が監査サービスを調達する上での前提となる契約上のプロセス
交換文書:
業務における機密保持契約、第三者再委託の禁止等、交換文書の取扱い

 なお、本連載第4回で紹介されているように、2007年度現在、財団法人地方自治情報センター(LASDEC)による内部監査アドバイザーの派遣が8自治体において試行されています*。アドバイザーには、自治体業務の知識がありかつ情報セキュリティ監査の経験が豊富な監査人としての能力が求められます。今回の試行派遣にあたって、NRAでは自治体業務知識研修の修了者をLASDECに推薦しました。このように自治体業務知識研修、CAIS制度、内部監査アドバイザー派遣事業などの様々な取り組みが、地方公共団体の情報セキュリティへの対応力につながり、社会全体の安心に還元されていくことを期待しています。

* LASDECによる内部監査アドバイザー派遣事業は2008年度の正式スタートを目指している。各自治体へのアドバイザーの派遣に係る費用はLASDEC負担となる予定。

川口 耕一 ネットワークリスクマネジメント協会 理事・事務局長
総務省「情報通信ソフト懇談会人材育成ワーキング」、厚生 労働省「医療情報ネットワーク基盤検討会」、地方 自治情報センター(LASDEC)「政治資金・政党助成関係の 届出等手続き関係の電子化システムに関する調査研究会」、 情報処理振興事業協会(IPA)「情報システム等の脆弱性 情報の共有に関する研究会」などの委員/幹事をつとめる。