こうした課題に対し、従来からファイヤーウォールやワクチンソフトといったセキュリティ技術の適用を中心とした対策が採られてきました。しかし、最近では、権限を持たない職員による情報発信や、外部の業者による情報の持ち出しなど、技術的対応だけでは解決できない問題が増えています。そこで、技術的対応だけでなく、各部門において業務手順を明確化するなど、制度面も含めた総合的な対応について定めるセキュリティポリシーの策定とその実行が、政府や地方自治体において求められるようになっています。
セキュリティポリシーの策定と実行により期待される効果は次の通りです。第一に、技術面・制度面から情報セキュリティ確保のための対策が講じられることから、問題が生じにくくなります。第二に、対策などを明文化することにより、全職員で共通の認識を持つことができるため、仮に問題が生じても、迅速な対応が可能になります。第三に、誰が責任を持って対応するのかが明確になります。責任者が明確になれば、問題に対するより機動的な対応が可能です。
セキュリティポリシーを策定し、実行する手順は、具体的には次の通りです。まず各部門における情報セキュリティについての基本方針を定め、責任者を明確にします。その方針に従って、その部門でどのような情報を保有しているのかを棚卸しし、個々の情報を機密性や漏えいのリスクによって分類します。これによって、慎重に扱う必要がある情報が明確になり、重点的に対応すべき分野が明らかになります。例えば、機密性の高い個人情報が含まれたデータの管理を民間企業に任せていたにもかかわらず、管理体制が明らかでなかったといったような問題が発見できます。そして、重点的な対応が求められる分野については、技術の適用だけでなく、体制の整備や職員教育などの制度見直しも含めて、採るべき対策を明文化していくことになります。
策定した後は、セキュリティポリシーに従って、業務を遂行することが重要となります。セキュリティポリシー策定に時間と費用を費やしたにも関わらず実行が伴わないのでは、組織内の情報セキュリティを高めるという本来の策定の目的は達成されないからです。さらに、技術の進歩に伴い、想像もしていなかった問題が生じる可能性があるため、セキュリティポリシーは策定後も適宜見直すことが求められています。
政府では、内閣官房情報セキュリティ対策推進室が中心となり、2000年に「情報セキュリティポリシーに関するガイドライン」を定めています。このガイドラインに従って、各省庁は2003年度中にセキュリティポリシーを策定し、実行することになっています。
地方自治体において、2002年4月1日時点でセキュリティポリシーを策定していたのは全都道府県の46.8%、全市町村の21.0%に留まっています。地方自治体は住民の個人情報という機密性の高い情報を扱っていることから、今後セキュリティポリシーの策定と実行を進めていくことが求められています。総務省ではガイドライン「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公開しています。
