文:川口耕一 ネットワークリスクマネジメント協会(NRA) 理事・事務局長
地方公共団体の多くは、情報セキュリティの専門職員の育成や確保に悩まされています。情報セキュリティ関連業務に専念できるだけの時間・人員・予算の確保は困難であり、ある程度の専門知識が必要とされる分野となるとなおさらです。よしんば内部監査を実施できるノウハウを持つ職員に恵まれたとしても、数年に一度の人事異動が待っています。ノウハウの継承を考えて対処しておかなければ一から出直しになってしまいます。
このような環境的要因のため、必然的に、外部の専門家に依頼して内部監査のコンサルティングを受けることも多くなります。言い換えれば、内部監査はもちろん外部監査においても、地方公共団体をフィールドとする外部専門家には自治体業務に関する知識が求められる、ということになります。自治体業務とは、組織・業務内容・住民基本台帳などの特殊なシステム・予算・調達・法制度・議会対応等々自治体特有の事項ですが、それだけでなく、例えば都道府県庁と市町村庁とで組織、業務、住民とのスタンスが異なることなども、外部専門家は理解しておく必要があります。
しかし、地方公共団体では、専門家を選定する際の情報不足や、監査専門家の自治体業務知識に関するスキルへの疑問から、なかなか安心して外部のコンサルティングを導入できないようです。外部の専門家の側では、自治体業務の知識習得手段の少なさ、業務知識の習得度合いを第三者に判断してもらう材料がないなど、参入の難しさを感じている人も少なくありません。地方公共団体の情報セキュリティ監査を促進するためには、このようなミスマッチを解消する必要があります。
そこで、自治体職員を中心とした任意団体である地方公共団体セキュリティ対策支援フォーラム(LSフォーラム)は、「自治体業務知識研修」の企画を立ち上げました。研修の対象者は、JASAの公認情報セキュリティ監査人(CAIS資格)登録者をはじめ、地方公共団体市場への参入を目指す情報セキュリティ監査人など、情報セキュリティ監査およびそれに関連する分野での業務経験がある人としています。日本セキュリティ監査協会(JASA)との連携のもと、ネットワークリスクマネジメント協会(NRA)が実施を担当することとし、2006年11月からスタートしました。
この研修を企画した狙いは、地方公共団体における情報セキュリティの内部/外部監査実施の促進です。
まず、地方公共団体の業務や法制度について基礎知識を有している外部の監査人を増やすことが必要です。外部監査人が情報セキュリティ監査に必要な自治体業務の知識を持つことによって、情報セキュリティ監査の円滑な実施が可能となります。
並行して、地方公共団体の不安の払拭も目指します。自治体業務を理解している外部監査人の存在を周知することにより、「自治体業務に無知な監査人が来るのではないか」と考える地方公共団体にも安心感をもっていただければと考えています。
修了試験に合格した受講者には、自治体業務知識を習得したことを客観的に証明できるように修了証を発行しています。さらに、研修修了者はNRAの研修サイトで名簿を公開するとともにJASAのCAIS資格登録者名簿への反映を行い、経済産業省の情報セキュリティ監査企業台帳内にも掲載されています。名簿を公表することで、地方公共団体が監査主体を選定する際のひとつの判断尺度になります(研修修了者にとっても、名簿の公表は潜在顧客へのPRにつながります)。
カリキュラム内容や使用するテキストは、実践的な研修を提供するという観点で作り上げ、講師陣には情報政策に携わった経験がある地方公共団体職員経験者(現職者を含む)や地方公共団体に関する知識が十分にある方を招いています。研修期間は二日間で、具体的なカリキュラムは下表に示すとおりです。
1日目 |
午前 |
--オリエンテーション-- |
|
午後 |
|
|
なお、本連載第4回で紹介されているように、2007年度現在、財団法人地方自治情報センター(LASDEC)による内部監査アドバイザーの派遣が8自治体において試行されています*。アドバイザーには、自治体業務の知識がありかつ情報セキュリティ監査の経験が豊富な監査人としての能力が求められます。今回の試行派遣にあたって、NRAでは自治体業務知識研修の修了者をLASDECに推薦しました。このように自治体業務知識研修、CAIS制度、内部監査アドバイザー派遣事業などの様々な取り組みが、地方公共団体の情報セキュリティへの対応力につながり、社会全体の安心に還元されていくことを期待しています。
* LASDECによる内部監査アドバイザー派遣事業は2008年度の正式スタートを目指している。各自治体へのアドバイザーの派遣に係る費用はLASDEC負担となる予定。
|