「自治体の“セキュリティ格差解消”には,データセキュリティ基準が必要」――ITpro 電子行政では先月,こんなタイトルのコラムを掲載した。自治体の情報セキュリティ対策に詳しい山崎文明氏による寄稿である(当該記事はこちら)。

 住基ネットを使ったサービス拡充,社会保障カードの創設など,政府は今後,全国横断的な電子行政サービスを拡充させる方向だ。山崎氏はこうした動向を踏まえ,自治体のセキュリティ対策を行っていくうえでは,主観的なリスク分析によらず客観的で明示的な実装対策基準が策定されるべきだという考えを示した。そして,コラムをこう結んでいる。

日本全国どの市町村に住もうが,均質で最良の情報セキュリティが保証され,安心して電子自治体の恩恵を享受できる日が来ることを願ってやまない。

 この結びに異論のある人は少ないのではないだろうか。そして,現在の各自治体のセキュリティ対策が「(一定以上のレベルで)均質」だとは言い難いことについては,大方の読者の皆さんにも,直感的にはご同意いただけるのではないかと思う。

 では,自治体のセキュリティ対策レベルには、実際どのくらい差があるのか。日経BPガバメントテクノロジーが7月29日に発表した「e都市ランキング 2008」の調査で,自治体間の“セキュリティ格差”の実態が明らかになった。「e都市ランキング」とは,全国の市区町村の情報化の進展度を調査したもので今回が9回目。全国1481自治体から回答を得た(回答率81.1%)。

 下図は,「e都市ランキング 2008」のTOP100自治体の情報セキュリティ対策の取り組みについて、全国平均と比べたものである。TOP100自治体ともなると,対策はさすがにかなり進んでいる。だが,全国平均を見ると,初歩的な対策はともかく,一歩踏み込んだ対策となるとまだまだ行き渡っていないことが分かる。

図●自治体の情報セキュリティ対策
図●自治体の情報セキュリティ対策
e都市ランキング上位自治体と全体平均を比較

 まず,情報セキュリティポリシーの策定状況を見てみよう。「基本方針+対策基準」はほとんどの自治体が策定しているが,「実施手順」を策定している自治体は全国平均だと5割台にとどまる(TOP100自治体はほぼ100%策定済み)。個人情報の庁外持ち出しについては,電子データの場合は全国平均でも7割以上の自治体が規定を設けているが,紙文書では5割強まで落ちる。これに対して,TOP100自治体はいずれも9割以上が基準を設けている。

 パソコン廃棄時にハードディスクのデータを消去することがルール化されている自治体は,全国平均でも87.2%と高い実施率だったが,いざ情報流出が起こったときの対応手順を用意している自治体は5割強でしかない。

 システム的な対策も,全国平均で見ると実施率は低い。「システムのアクセスログの保存・検査」57.2%,「Webアプリケーションのぜい弱性のチェック」33.8%,「重要なデータの暗号化」22.6%という結果だった。

自治体は,自らのセキュリティ対策レベルを住民に知らせるべき

 こうした自治体間の“セキュリティ格差”は,一朝一夕では縮まらないだろう。現実問題として,担当者は必要性を痛感していても,システム的な対策を導入したり監査を実施する予算が取れないという悩みを抱えている自治体も多いようだ。対策が遅れている自治体が,一斉に力をいれてセキュリティ強化に取り組んだとしても,全体的なレベルを引き上げるには数年はかかるだろう。

 こうした“セキュリティ格差”は地道に縮めていってほしいと思うが、他方、住民には自分の個人情報がどのように守られているのかを知る権利があるのではないだろうか。(それぞれのセキュリティ・レベルにかかわらず)各自治体は,このことを明らかにするべきではないか。政府の情報セキュリティ政策会議は7月25日,「次期情報セキュリティ基本計画に向けた第1次提言」を公表した。この提言には,「(情報セキュリティの)最適な水準の対策の効果的・効率的な実施と説明責任の明確化という要素が新たに加わるべき」とある。政府のセキュリティ政策において「重要インフラ」の一つとして定義されている地方自治体においても,説明責任の明確化はこれまで以上に求められてくるはずだ。

 内閣官房情報セキュリティセンター(NISC)は,各省庁の情報セキュリティ対策の実施状況について,その都度テーマを絞ってA~Dの4段階で評価・公表している(発表資料〔1〕発表資料〔2〕)。例えばこのような形で,各地方自治体のセキュリティレベルも明らかにしていくことはできないだろうか。地方自治体の場合,NISCのような評価の実施主体をどこにするかを決めるのが難しいかもしれなが,それならば,まずは各自治体が統一的な基準でセルフチェックを行い,それぞれが自主的にレベルを公表することからスタートしてもよいのではいだろうか。公表の枠組みさえできれば,公表しない合理的な理由はないように思える。