情報セキュリティポリシーを条例に

日経BPガバメントテクノロジー

2007.08.10

　「幹部職員が多忙を理由になかなかセキュリティ研修を受けてくれない」「内部監査を行おうと計画したが、何の根拠に基づいて行うのかと反発された」--自治体の情報セキュリティに関する取材の過程でよくこうした声が担当者の間から聞こえてくる。市区町村の情報化進展度を調査した「e都市ランキング 2007」によると、「ウイルス対策ソフトを導入している自治体が97.3％、ファイアウオールを導入している自治体が94.4％」である一方「ルール面の対策は十分とはいえない」という傾向が現れているようだ（関連記事）。

　要するに、少なからぬ自治体関係者にとって「セキュリティ対策＝不正アクセスやウイルス対策」という認識なのであろう。情報セキュリティ対策は業務と一体であるという考え方が浸透していないのである。その結果、「セキュリティ担当者がうるさく言っても反発されるだけ」という状態になってしまう。

どうやって首長の責任を明確にするか

　情報セキュリティ対策がマネジメントの課題であることを理解したうえで、組織としてのトータルな情報セキュリティを高めるためには、とりわけ自治体のような縦割り組織においてはトップダウンの効果は高い。まずは首長が情報セキュリティを重視していることを内外に示すべきだ。

　やり方はいろいろある。千葉県市川市や神奈川県藤沢市、大阪府豊中市など、先進的な自治体はISO27001の認証を取得している。地方公共団体セキュリティ対策支援フォーラム（LSフォーラム）は、自治体自らが“オーディットレディ”（保証型監査を行う用意ができた）と宣言し、その宣言に対する保証型情報セキュリティ監査を行うことで住民への説明責任を果たす枠組みである「オーディットレディ（Audit Ready）プログラム」を用意した。格付投資情報センターなど4社が準備している「情報セキュリティ格付け」への参加も選択肢の一つとなるかもしれない。

　ただし、いずれの方法も共通の弱点がある。おそらく「先進的な首長がいる自治体しか関心を示さない」ということである。残念ながら、そもそもITに深い関心を寄せている首長自体、あまり多くないというのが現実だ。

条例を根拠にITガバナンス強化

　そこで、「先進的」ではない自治体にとっては敷居の高い取り組みに着手する前に、まずは「情報セキュリティポリシーそのものを条例化してしまう」という方法が有効なのではないだろうか。ほぼ100％に近い自治体が制定している情報セキュリティポリシーを条例化し、その条文を市民に公開することで「根拠」を強めるのである。加えて、「規則」だと教育委員会や企業部門など組織ごとにポリシーを策定しなくてはならないが、「条例」なら一つのポリシーを自治体全体のルールとすることができる。

　少ないながらも、それを実践している自治体もある。東京都多摩市、埼玉県小鹿野町などが「情報システムの管理運営に関する条例」という名称で情報セキュリティも含めたITガバナンスに関する条例を制定している。

　例えば、小鹿野町では「小鹿野町情報システムの管理運営に関する条例」「小鹿野町情報システムの管理運営に関する規則」「小鹿野町情報システム管理運営委員会規則」「小鹿野町教育委員会が管理する情報システムの管理運営に関する規則」が、情報セキュリティポリシーに該当する。条例には首長の責任が明確に示されている。2005年10月の合併を機に、先行する多摩市の条例を参考に制定したとのことである。「自治体では情報セキュリティポリシーは内部文書として扱うことが多いが、住民にもセキュリティ対策を知らせて、住民監視の下で推進すべきと考えた。細かい運用手順まで公開するわけではないので、公開することによる脅威よりメリットの方が大きいと判断した」という。

　学校における個人情報の取り扱いについても、小鹿野町ではポリシーに基づいて原則例外を認めない管理を行っている。多くの自治体にとって、学校の情報セキュリティ対策は悩みの種だ。まず、教育委員会は情報システム部門の管轄外となっているケースが多く統制が難しい。「先生が生徒の個人情報を自宅に持ち帰る」というワークスタイルが常態化している職場も多いようだ。また、教員はそれぞれ受け持ちの授業があるために一斉のセキュリティ研修も難しいという事情もあるという。

　これに対し小鹿野町の学校では、町役場のルールに準じて、教員は所属長（校長）に文書を提出して許可を得なければ、生徒の個人情報を持ち出すことはできない。個々の教員の“ローカルルール”が通じなくしたのである。また。同町ではLASDEC（地方自治情報センター）が提供する情報セキュリティに関するeラーニング研修を実施したが、教員らも含め全職員が受講したという（残念ながら全員が終了できたわけではないが、LASDECによると、ある程度以上の人数の登録者全員が、少なくとも途中までは履修したという例は珍しいそうだ）。

　もちろん、条例の制定は“はじめの一歩”に過ぎない。小鹿野町のセキュリティ・ガバナンスの高まりは、情報セキュリティ担当職員の日々の努力があってのことだ。学校に関していえば、合併を期にシステムの管理を町の情報システム部門に一元化したことも、セキュリティ・ガバナンスが強まった一因となっている。だとしても、条例の存在が情報セキュリティ対策推進の後押しとなっていることは間違いなさそうである。

　小鹿野町の条例は、町村合併をきっかけに情報システム部門の担当職員の発案で進められた。多摩市の場合も、セキュリティポリシーを策定する過程で庁内で立ち上げたワーキンググループから条例化の案が出てきたという。首長によるトップダウンに限らず、職員や地方議会の議員の立場からも条例制定に向けての働きかけは可能だ。「情報セキュリティポリシーの条例化」に取り組む自治体が、もっと増えてもよいのではないだろうか。