◆今回の注目NEWS◆

「第2次情報セキュリティ基本計画」(案)に関する意見の募集について(内閣官房情報セキュリティセンター,12月10日)

【ニュースの概要】内閣官房情報セキュリティセンター(NISC)は,「第2次情報セキュリティ基本計画」(案)を公表,意見募集を開始した(2009年1月13日18時締め切り)。


◆このNEWSのツボ◆

 わが国の情報セキュリティ政策については,2006年に「第1次情報セキュリティ基本計画」が策定され,これが根幹となっているが,同計画が2008年度で計画年限を迎えるため,これを引き継ぐ「第2次情報セキュイリティ基本計画」の策定作業が始まっている。現在,その「案」が公表され,パブリックコメントに付されている。

 政府の情報セキュリティ政策については,平成18年に奈良先端大の山口英教授を,内閣官房情報セキュリティセンター(NISC)の情報セキュリティ担当補佐官に迎えて以来,その取り組みが加速されており,第1次情報セキュリティ基本計画は,その最初の成果と言うべきものであった。今回の第2次計画は,第1次計画を引継ぎ,それを更に発展させようとするものである。だが,政策の網羅性という意味では,非常に広範であり,完成度は高いと思われるが,他方,政府として「何が本当に重要であると考えているのか?」という点については,少し見えにくい感じがする。

 筆者は,情報セキュリティに関して,ここ数年の間に明らかになったポイントが幾つかあると考えている。それは,

  1. インターネットなどのIT手法は,今や行政サービスの重要な核となってきている。従って,セキュリティも,行政サービスの不可欠な要素ではあるが,そこには「コストと効果」を無視することは出来ない(例:公的個人認証サービスの利用の停滞や,共通電子自治体システムの利用の低迷)
  2. さらに言えば,そもそもネット社内における安全の確保を政府が100%保証することはできず,自己責任とのバランスをどう確保するかが重要である。
  3. 今日のIT社会においては,ネットワーク・ITの利用の安全は,デジタルとアナログの両面が密接不可分に結びついて守られているが,他方,100%の安全を確保するのは難しい。このため,事故・事件は起こる…という前提の対策を,どう備えていくかが重要になる。

 特に「3.」については,企業においては今や「常識化」しており,JIPDECに対する個人情報漏洩の際の届出の仕組みなどは,比較的有効に機能していると考えられる。2003年に経済産業省が「事故前提社会」というコンセプトを発表したが,まだまだ十分浸透したとは言い難いように思える。

 こうした観点から本計画を読むと,例えば,「第3章:今後3年間に取り組む重点政策」において,「政府機関における事業継続性確保・緊急対応能力の強化に係る検討」や「『事故前提社会』への対応力強化に向けた事業継続性確保・緊急対応体制等の強化」といった問題意識は見て取れる。しかし,あまりに多くの項目が並んでいる中で,そこに埋没してしまっている感は否めない。

 今後の広報活動や,実際の政策展開において,過去3年間の第1次計画の間に明らかになった,新たな課題に対応しつつ,メリハリの効いた「政府の考え方と対応」が明らかになってくることを期待したい。

《関連情報・記事》
第1次情報セキュリティ基本計画
山口英・NISC情報セキュリティ補佐官 インタビュー
経産省が「情報セキュリティ総合戦略」を策定,官民が連携するための指針に

安延 申(やすのべ・しん)
フューチャーアーキテクト社長/COO,
スタンフォード日本センター理事
安延申 通商産業省(現 経済産業省)に勤務後,コンサルティング会社ヤス・クリエイトを興す。現在はフューチャーアーキテクト社長/COO,スタンフォード日本センター理事など,政策支援から経営やIT戦略のコンサルティングまで幅広い領域で活動する。