目黒区役所は2003年度内に、情報システムのセキュリティに関する具体的な運用規約「情報セキュリティ実施基準」を作成する。同区役所の全職員が対象だ。情報の重要さによって本人確認を何回行うか、パスワードを何桁にするか、などを取り決める。総務省が決めたガイドラインは参考にせず、すべて独自に策定する。
目黒区役所は2002年8月1日に、セキュリティに関する規定の大枠を示した「情報セキュリティ基本方針」と、基本方針を実現するための実施体制や対策を記した「情報セキュリティ対策基準」を制定した。住民基本台帳ネットワークが稼働した2002年8月5日の前に、ここまではでき上がっていた。今回作成する「実施基準」は、「対策基準」に沿って実際の業務で行う手順など、さらに細目を決めるものである。
ただし今回作成するのは、運用規約のひな型に相当するもの。約60ある同区役所の部署にこのひな型を配布して、その後、業務の内容や手順に沿うように各部署が運用規約の詳細を決める。
総務省は2003年度内に、すべての自治体がセキュリティ・ポリシーを策定することを目標としている。にもかかわらず、住基ネットの運用が開始されて1年近く経った現在でも,セキュリティ・ポリシーを策定していない自治体は多い。その意味で、目黒区の取り組みは早いと言える。
目黒区役所のセキュリティに関する取り決めの特徴は、外部のコンサルタントやITベンダーに頼らず、同区の企画経営部情報課が独自に策定していることだ。運用規約の策定を担当する目黒区役所の伊東桂美(けいみ) 企画経営部情報課長(写真)は、その理由を「外部に策定を頼むと高くつくからだ」と説明する。総務省が決めたセキュリティのガイドラインを参考にする方法もあったが、「内容が日々の業務に落とし込まれていないのでわかりにくかったため、独自でやろうと決めた」(伊東課長)。
全部署への運用規約の配布に先立ち、情報課は2002年12月に情報課用の運用規約を作成し、業務に適用してきた。住民基本台帳ネットワークが機能拡張される2003年8月25日までに、現在の情報課用のセキュリティ運用規約を見直し、内容を強化。強化した情報課版の運用規約を基に、全部署に配布する運用規約を策定する。
【補足】上記記事内で「総務省が決めたガイドラインは参考にせず」とあるのは、「全く目を通していない」という意味ではありません。実際の作業過程ではガイドラインの内容も精査しました。ただ、精査の結果、ガイドラインの内容をそのまま適用するよりは、大枠の基本方針から目黒区役所として策定すべきと判断しました。
