トップページへ 広報誌 ネット&ライン>No.100 最新号 バックナンバー

広報誌 ネット&ライン No.100 2003 春号
もどる

ITポータルサイト
地方自治体における情報セキュリティ
社団法人中部産業連盟 主任コンサルタント 松井順一


はじめに
 修正された個人情報保護法案が再び国会に提出されました。この法案の中身や今後についてここで述べるつもりはありませんが、個人情報を預かる組織は、法律の有無に関係なく、他人の情報資産を安全かつ適切に管理しなければならないことに変わりはありません。

1.地方自治体の情報
 地方自治体の持つ情報は、民間組織の持つ情報と比べ、プライバシーと資格・権利という観点から、その過敏性と重要性において大きく異なり、以下の点から、より高い水準での情報セキュリティ管理が求められます。
(1)機密性の高さ
 通常、民間組織の持つ個人情報は、住所、氏名などの情報を中心として、その個人の嗜好傾向、経験領域などの情報ですが、自治体の持つ情報の中には、個人の出生の秘密、病歴、収入、犯罪歴など、極めてセンシティブな情報が含まれています。
(2)影響力の大きさ
 自治体の持つ情報は、個人の資格や権利を裏付ける情報が含まれ、個人は社会活動や生活をする上で、この情報に基づき、相応の資格と権利を与えられています。
 この資格や権利に関する情報を操作すれば、不正に資格や権利を得たり、奪ったりすることが簡単にできてしまうのです。また、これらの情報の漏洩によっては、その人の人生を大きく変えてしまうこともあるのです。

2.地方自治体の情報セキュリティへの取り組み
(1)情報セキュリティに関する規制
 地方自治体は、行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律などの法律・規制によって、情報セキュリティが規制されています(昭和63年)。市町村においても全体の65.7%の2,161団体(14年4月現在)が個人情報の保護に関する条例を制定し、岐阜県においても69団体が条例を制定しています。しかし、これら条例の実効性担保においては、まだ課題が多く、コンプライアンス・プログラムの構築とその審査制度の必要性が求められています。
(2)情報セキュリティ認証制度
 情報セキュリティに関する認証制度は、情報システム・製品を対象とした「ITセキュリティ評価及び認証制度」、個人情報を対象とした「プライバシーマーク付与認定制度」並びに組織の情報資産を対象とした「情報セキュリティマネジメントシステム(ISMS)認証制度」があります。
 情報セキュリティマネジメントにおいて最も実効性の高い「情報セキュリティマネジメントシステム認証制度」は、その取得ハードルの高さから、「プライバシーマーク付与認定制度」の取得組織数の約1/4程度と少ないですが、この2年間で急増し、今後も大きく伸びることが予想されます。

ITセキュリティ評価
及び認証制度
プライバシーマーク
付与認定制度
情報セキュリティ
マネジメントシステム認定制度
規 格
 ISO15408 JISQ15001 BS7799-2
ISMS基準
審査対象
 情報製品・システム 個人情報保護プログラム 情報セキュリティ
マネジメント活動
認定機関
 NITE JIPDEC UKAS
JIPDEC
審査機関
 JEITA等(試験所) JISA、JMRA等 BSI、JQA等
取得数
 2製品 468団体 112組織

(3)地方自治体の認証取得状況
 現在のところ、情報セキュリティに関する認証取得をした地方自治体はありません。地方自治体から情報処理委託を受けているデータセンターなどの民間情報サービス業の認証はありますが、取得件数は、まだ少ない状況です。
 環境マネジメントシステム(ISO14000)の自治体の認証取得と同様に、情報セキュリティの実効性担保として認証制度の期待は大きく、これら認証制度について調査を開始している自治体があります。

3.情報セキュリティマネジメント
 組織では、さまざまな領域のマネジメントシステムが確立され、日々、運用されています。その中で、製品及びサービスの品質を維持向上させる品質マネジメントシステム、環境負荷の継続的軽減を目指す環境マネジメントシステム等の多くのマネジメントシステムは、利益・社会貢献の追求に向けた活動管理と改善の仕組み、過失や事故に対する保護の仕組みを構築していますが、情報セキュリティマネジメントは、それらマネジメントと大きく異なる点があります。
 他のマネジメントシステムと異なる以下の事を考慮し、投資と損失のバランスを追求しなければなりません。
(1)情報化社会のライセンス
 組織で運営されている品質や環境などのマネジメントシステムの多くは、最終的には、組織の利益を創出することに結びつけることができます。しかし、情報セキュリティマネジメントシステムは、あくまでも、最悪の事態の回避及び被害の最小化が目的であり、組織の利益を直接創出することに貢献しません。
 情報セキュリティマネジメントは、情報化社会の進展のための基礎であり、情報化によって社会や組織が大きく飛躍するためのライセンスであるといえます。
(2)気付く管理の追求
 情報セキュリティマネジメントの基本は「気付く管理」です。
 異常の起きていることにいかに早く「気付く」かが情報セキュリティマネジメントでは重要なことです。情報システムの中では、誰かが不正にアクセスし、情報をコピーしても、アクセスやコピーを監視したり、ログを取っていない限り、そのことに気が付きません。お金は盗まれれば無くなったことに気が付きますが、情報は、コピーされ持ち出されても気が付かないのです。
(3)攻撃への防護システム
 他のマネジメントシステムでは、過失や事故に対する保護の仕組みを構築しますが、情報セキュリティマネジメントシステムでは、それらに加えて、攻撃からの防護の仕組みを構築しなければなりません。他のマネジメントでは、組織が適切な活動をすれば、その責任を果たしたことになりますが、情報セキュリティマネジメントでは、組織が適切な活動をしていても悪意を持った者に攻撃され、結果として情報が漏洩したり、喪失したりすれば組織の管理責任を問われてしまうのです。
(4)情報セキュリティは自己への戒め
 情報システムへのアクセスのために、ID(識別番号)とパスワードを入力する仕組みがあります。組織内部では、お互いのIDやパスワードを知っているということはよくあります。「同僚だから」、「組織内部の人だからいい」、「IDやパスワードは、外部に漏れなければいいんだ」という考えがはびこっています。不正はしてはならないという組織文化を形成していかなければなりません。「ちょっとくらいいいや」という気持ちが、緩んだ組織文化をつくり、不正に鈍感になり、悪いことをしている意識が薄れていくのです。
 IDとパスーワードは、同僚である隣の人にこそ知られてはいけないのです。自分のIDとパスワードは自分しか知らないからこそ同僚を信頼でき、自分の責任を認識できるのです。情報セキュリティマネジメントは、自己への戒めです。お互いに信じ合い、気持ちよく仕事をしていくために、一つひとつの約束を守らなければなりません。