地方公共団体における情報セキュリティポリシーに関するガイドライン改定

2006.11.09

文・石井　恭子（日立総合計画研究所会システム・イノベーショングループ主任研究員）

　2006年9月に総務省は、地方自治体を対象とした情報セキュリティポリシーのガイドラインとなる「地方公共団体における情報セキュリティポリシーに関するガイドライン」の改訂版を発表しました。

　地方自治体は、住民個人や域内企業に関わる機密性の高い重要な情報を数多く保有しています。インターネットやPCなどのITの普及に伴って、こうした情報を使った業務もITを利用して処理されるようになっています。

　一方、ITの発展と普及に伴い個人情報の漏えいといったトラブルが後を絶たなくなっています。こうしたトラブルは住民の地方自治体に対する信頼を揺るがしかねないと言えます。そこで、ITに関連したトラブルを未然に防ぎ、万が一発生した際には迅速に対応することがますます重要になっています。そのために、各自治体で情報セキュリティポリシーを策定し、社会環境の変化や技術の進化に応じてポリシーを改善することが求められます。

　総務省は既に2001年時点で、各自治体が情報セキュリティポリシーを策定する際の参考情報として「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定しています。その後2003年には、IT技術の発展に伴い(1)外部委託に関する管理、(2)情報セキュリティ監査、(3)無線LANなどの新たな記述を追加しました。

　政府の情報セキュリティ政策会議は2006年2月に「第1次情報セキュリティ基本計画」を策定しましたが、その中で、地方自治体において情報セキュリティ対策が徹底されていないという問題意識に基づいて総務省に上記ガイドラインを見直すよう求めました。それを受け、また、2003年以降に発生した情報セキュリティ関連のトラブルや新たな技術の動向や政府の対策の動向を踏まえて、今回のガイドライン全面改定となりました。

　新しいガイドラインの変更点は、主に三つあります。

　第一に、社会環境の変化や技術の進化に対応している点です。例えば、新ガイドラインは、Winny（ウィニー）などのファイル交換ソフトの利用による情報漏えいを防止するための対策や、生体認証（バイオメトリクス）などの最近技術の適用動向に関する規定を追加しています。

　また、情報セキュリティに関する取り組みをこれまで以上に強化するために、各自治体が必要に応じて対策を講じることが望まれる場合には「推奨事項」と明記しました。例えば、「情報セキュリティの専門家をアドバイザーとして置く」「情報セキュリティ委員会で毎年度改善計画を策定する」などの項目です。さらに、地方自治体の業務の民間委託が拡大している現状を踏まえて、情報セキュリティを確立するためには、民間との連携や地域における広報啓発や注意喚起といった取り組みも必要となることを記しています。

　第二に、政府全体の情報セキュリティに対する取り組みの中に、新ガイドラインが位置付けられていることを強調している点です。つまり、新ガイドラインは、「第1次情報セキュリティ基本計画」や、その下で決定された「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針（重要インフラ指針）」を踏まえて策定されています。

　例えば、新ガイドラインは、重要インフラ指針で列記された項目に対応しています。また、重要インフラ指針に従って、作成、入手、保管、送信、運搬、提供・公表および廃棄という情報のライフサイクルに着目した対策を盛り込んでいます。さらに、これまでは情報資産を重要度に基づいて分類することを推奨していましたが、重要インフラ指針に従って基本的に機密性、完全性、可用性に基づいて情報資産を分類・格付けし、取り扱い上のルールを決めることを推奨する内容に変更しています。

　第三に、実際に情報セキュリティポリシーを定める地方自治体の担当者を意識して、表現を分かりやすくした点です。例えば、ガイドラインを「総則」「情報セキュリティ基本方針」「情報セキュリティ対策基準」の三章構成に整理し「情報セキュリティ対策基準」の各項の説明も「趣旨」、「例文」、「解説」の三部構成に統一しました。また、「情報セキュリティ対策基準」を、各自治体でPDCAサイクルを回すことを意識した順番と内容に変更しました。さらには、「情報セキュリティ対策基準」の「例文」に記した内容を地方自治体で実施する際、具体的に誰が権限を持ち、誰が責任を負うのかを表形式にまとめた「権限・責任等一覧表」を参考資料として加えました。

　総務省が毎年発表している「地方自治情報管理概要」によると、2006年4月時点で既に全都道府県と、96.2％の市町村が情報セキュリティポリシーを策定しています。しかし情報セキュリティポリシーは、時代の変化や技術の進歩に対応して見直し、実践していくことで実効性が高まります。したがって、各自治体が新ガイドラインも活用して情報セキュリティポリシーを見直すことが期待されます。