 | ||||
 |
 |
 |
|
広報誌 ネット&ライン>No.107 |
|
 |
 | ||
 | ||||
 |
 | |
|
|
他人事でない個人情報漏えい事件 個人情報の漏えい事件が連日のように報道されている。印象に残るのは、民間企業の漏えい事件だが、地方公共団体の個人情報漏えい事件の発生頻度は、民間の比ではないようだ。16年7月、民主党の長妻昭衆院議員が政府に対して個人情報の漏えい事件に関する報告を求めている。政府答弁によると13年4月から16年5月までの約3年間に個人情報の流出事件が378件確認されている。問題は、その内訳にある。独立行政法人関係11件、国の行政機関関係が63件、民間事業者124件、地方公共団体関係180件と報告されている。民間124件に対して地方公共団体180件であるからその差は、1.5倍とも見て取れるが、母数の違いに気付く必要がある。民間事業者の数は、地方公共団体の100倍は優にあるはずであり、発生確率という観点でこの数字を見た場合、その異常さが際立つ。報告されている事案は、氷山の一角とも考えられる。自治体職員による「些細な」個人情報の私的利用などを考え合わせると自治体に対する不信感は拭えない。 電子自治体のたどり着く先 究極の電子自治体の姿を一言で表せば、「市民に対するワンストップ・サービスの提供」である。インターネットを介してすべての手続きが完結する。その裏には、広範囲に及ぶ個人のプライバシー情報がデータベース化されているはずだ。合理的な情報システムを指向すればするほど、個人情報保護法第2条に定義がある「個人情報」すなわち「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの」を中心に、ありとあらゆるプライバシーとみなされる情報が記録されたデータベースを構築せざるを得ないはずだ。個人情報が統合されたデータベース上の個人データが漏えいした場合の被害が深刻なものとなることは、明らかだ。特に電子データのまま、インターネットを介在して漏えいするという事態に至った場合は、回復不可能な損害となる危険がある。インターネットを介した個人情報漏えい事件、例えばホームページ・システムの設定ミスやハッカーによる犯行を原因とした漏えい事件の先例では、漏えいした個人情報が掲示板サイトなどで公開され、それを見た者がまたその個人情報を自身のパソコンに取り込み、別の掲示板で公開するといったことが行われている。プライバシーの侵害を理由に掲示板から削除しても、また漏えいした個人情報が掲示板に書き込まれ、公開され続けるということが繰り返されているのである。一度、サイバー空間上に漏えいした個人情報は、回収不可能であり、被害者の精神的苦痛やプライバシー権の侵害は、回復不可能な損害ともなりかねない恐ろしさがある。自治体が取り扱う個人情報の質や件数を視野に入れた場合、自治体に求められる情報セキュリティは民間のそれ以上に高度なものでなければならないはずである。 課題は、情報セキュリティポリシーの実効性担保 自治体における情報セキュリティの向上施策として、情報セキュリティポリシーの策定が求められている。岐阜県下市町村を筆頭に既に策定を終えた自治体も多い。今、問われているのは、そのセキュリティポリシーの実効性である。策定を終えたとする自治体にあって、その存在が職員に認知されていないケースや、実践されていないケースは珍しくはない。情報セキュリティ対策には、職員の倫理や規律に依拠するものと物理的対策に代表される実装面での対策がある。情報セキュリティポリシーの実効性は、この両面から担保される必要がある。いずれの課題も一朝一夕には、改善されない。したがって、情報セキュリティポリシーを策定したとして、実効性を担保するためには、人、物、金が必要であることは明かで、予算措置が講じられなければならないことも事実である。首長は、もとより議員諸兄の理解が不可欠である。セキュリティ対策に対する予算がないとの声は、どの自治体にも共通しているが、嘆いているだけでなく、首長及び議員に対する理解を求める努力もまた、大切な市民の情報を扱う職員の責務だろう。 仮に首長及び議員の理解が得られたとして、実装面での対策は、取組に労を要しない。問題は、職員の情報セキュリティに対する意識の向上である。とりわけ個人情報の取扱いに対する気配りは、一度や二度の職員研修で大きく変えられるものではない。一例を挙げれば、京都府宇治市の住民基本台帳データ漏えい事件を始めとして、テストデータとして使用された個人情報が漏えいした事案も珍しくない。本番の個人情報をテストデータとして使用してはならないと情報セキュリティポリシーに記述することも重要であるが、それ以前に、本番の個人情報をテストデータとして使用することの是非について職員が判断できる必要があるだろう。やむなく使用を認めたとして、委託先民間事業者に本番の個人情報を渡しきりにして良いものだろうか。使用に際しては職員が立ち会う。使用後は、データの完全消去を職員が見届けるといった気配りが、ポリシーに記載のあるなしにかかわらず、自発的に行われる組織文化を形作っていく必要がある。 情報セキュリティポリシーに批判があるとすれば「あれも書いていない。」、「これも書いていない。」、「だから使えない。」の類である。おそらくそれらの批判は、当たっているだろう。情報セキュリティポリシーにすべてを書き尽くすことは不可能である。仮に書き尽くせたとして、その内容を頭に入れて実践できる者もいないはずである。情報セキュリティポリシーには、重要なことが書かれているのであって、記述されている内容は、象徴である。象徴を理解することで、求められる規範を自ら判断できる職員をどれだけ育成できるかが肝要である。情報セキュリティが文化であるといわれる由縁がそこにある。 実施が急がれるセキュリティ監査と小集団活動 情報セキュリティの担保は、職員のセキュリティに対する気配りが基本である。そのためにも早期に情報セキュリティの向上活動に取り組む必要がある。効果的な取組として職場単位の小集団活動を提案したい。職場単位で情報セキュリティあるいは個人情報保護の観点から現状の問題として認識される点を議論させ、課題としてまとめるのである。日頃、議論されることのない問題点も多くの職員が気に掛けていたことに安堵する一方で、日常の運用の危うさにハッとさせられる管理職も多いはずだ。自部門で解決できる問題は自部門で、他部門と協調しなければならない問題は代表者による委員会形式で、情報システムの改修を伴う問題は要望という形で整理し、優先順位を付けることで情報セキュリティに対する取組が一気に加速するのではないだろうか。 情報セキュリティは、目に見えない。見えないものに対する取組は、永続しない。小集団活動の持続は、いかに取組を可視化できるかにかかっている。課題を抽出し、優先度を付け、年度単位での実施計画を職場の意思として作成し、定期的に評価を加える活動が不可欠である。定期的な評価は、自発的な点検作業と第三者による監査によって行われる必要がある。技術的な評価を伴うセキュリティ監査は、外部の専門家に頼らざるを得ないが、ポリシーに対する準拠性(遵守性)の監査は、職員同士でも可能なはずだ。職場単位で相互に監査を行うことで情報セキュリティに関する新たな問題点が認識されたり、あるいは改善のためのヒントが得られたりといった効用があるはずだ。限られた予算を外部専門家への監査委託料として使うことも有効であるが、外部専門家を内部監査の指導や補助業務として活用することで、まずは、内部監査が職員自ら効果的に行える能力を高めることから始めてみてはどうだろうか。 監査をためらうな 自治体のセキュリティ監査の実施率が低いという現実がある。一つには、財政事情に起因することは、未だセキュリティ監査を実施していない自治体に共通しているもう一つの大きな原因は、監査に絶えられない現状である。先行して外部専門家によるセキュリティ監査を実施した団体の例でも、実際に監査を行った時間よりも監査報告書の文言の調整にかける時間の方が長いという皮肉な事態は、珍しくない。監査報告は、最終的には議会で報告され、監査報告書で指摘された問題点について議員から厳しい指摘が行われるためである。会計監査は、明確な会計基準の下に静的な過去の記録に対して行われる監査であり、「適正意見」が大半を占めるが、セキュリティ監査は、仮に技術的な監査であったとしても、その監査対象とされるシステムの設定を行うのは人である。生身の人間を対象とした監査で満点はあり得ない。第三者によって問題点が指摘され、改善がなされることにセキュリティ監査の本質がある。議員からの批判を恐れるのではなく、いち早く、他の自治体に先んじてセキュリティ監査を実施したことを誇るべきである。 個人情報保護法は、第3条でその理念について述べている。いわく「個人情報は、個人の人格尊重の理念の下に慎重に取扱われるべきものであることにかんがみ、その適正な取扱いが図られなければならない。」のである。自治体が扱う個人情報も、また、市民から信託されて預けられたものであることを思い、我が身のこととして個人情報の保護に取り組んで頂ければと思う。 |