 | ||||
 |
 |
 |
|
広報誌 ネット&ライン>No.107 |
|
 |
 | ||
 | ||||
 |
 | |
|
|
1 ISMS認証の取得 平成16年1月26日、三鷹市では情報セキュリティ対策の一環としてISMS Ver.2.0及びBS7799-2の認証を受けました。 この認証対象範囲としているのは、庁内の情報システムやコンピュータ等を所管する情報推進室及び住民記録、戸籍、印鑑などの取扱いを行う市民課(市内4か所の市政窓口も含みます。)の二つの課の業務です。 2 取組みのねらい 昨今、企業・団体等における情報の漏えいや資料の紛失などの情報セキュリティ事故が頻繁に報告されています。また、地方公共団体の業務においてもコンピュータやインターネットなどICTの利用が近年飛躍的に進み、利便性の向上とともに新たな脅威にさらされることが危惧されています。 特に、平成15年8月の住基ネットの第2次稼動や現在準備作業を進めている電子申請・電子調達の導入など、ICTを活用する業務範囲の増大に伴い、市が保有している市民の皆さんの個人情報を含む「情報」を適切に管理することが必要なことだと考えられます。 また、本市も参加した電子自治体推進パイロット事業(平成13〜15年度)の際に行った、来庁した市民の方を対象としたヒアリングにおいても、電子申請等による利便性の向上に期待するとともに、個人情報を含む情報管理のあり方等についての不安の声が寄せられました。 このようなことから、市役所内で保有する情報について、市民全体の共有財産として安全に管理するとともに、市民サービスのために適切な利用を図ることが不可欠なものと考え、今回情報セキュリティマネジメントシステム(ISMS)の構築を行い、情報セキュリティ管理の徹底を図ったものです。 3 ISMS構築作業の概要 市が管理する情報を適切に管理することを目的に整備に着手したISMSの構築は、平成15年4月庁内担当者を集めたプロジェクトチームを編成し、ISMS及びBS7799の規格の内容を理解することから始まりました。 これまで個人情報保護条例に代表されるように市民の方の個人情報を漏えいから保護するという機密性の点に重点をおいてきた取組に加え、完全性(情報の正しい状態を保持すること)、可用性(情報を必要なときに利用できること)の点からも管理をしていくことの重要性を確認していきました。しかし、この初期の検討作業では両規格の要求事項とともに、その記述が英文の規格をできるだけ忠実に翻訳していることから生じる日本語としての読み取りにくさに出会い、困惑を感じました。 その後は、セキュリティ基本方針の作成からはじめ、管理すべき情報の洗い出し、リスクの識別、リスク評価作業へと準備作業を進めたのですが、このリスク評価、リスク分析の作業に苦労し、大変多くの時間を要することとなりました。 それは、このリスク評価の中で、これまで明確に意識することのなかった、なんとなく判断をしていたに過ぎなかった“情報”という目に見えないものを可視化(リスト化)し、それぞれに管理責任者を指定する作業を行う必要があったからです。本来は、日常の業務の中で行われていなければならないことなのでしょうが、はっきりとした手順は整理されていなかったのです。 そのため、かなりの苦労をすることとなりましたが、結果として、プロジェクトチームのメンバーをはじめ、関係者の中で、情報を適切に管理することの必要性、大切さというものを共有することにつながったものと思います。 4 運用と見直し リスク評価の結果を反映するように、管理方策の全面的な見直しを行い、また、これらの対策を実施していくために必要な手順や規程等の整備も行い、平成15年10月ISMSの運用を開始しました。 さらに、ここまで整備を進めてきたISMS の運用状況等を確認するために2日間をかけて、職員の手による内部監査を実施しました。この監査により、関係者の理解が深まるとともに、規程等を整備した際には気づかなかった不都合や見落としなどが散見されたので、改めて必要な改善を行いました。 5 認証審査 その後は、認証審査機関の審査員による11月の予備審査、12月の初回審査(第1次段階)、平成16年1月の初回審査(第2次段階)へと一連の審査を受けることとなりました。 この審査を大変緊張して向かえることとなったのですが、いくつかの観察事項について指摘を受けたものの、審査員から認証登録を推薦する旨の報告を受けることができました。その後、一連の事務手続きの後、平成16年1月都内の自治体として初めて認証取得をすることができました。 このことは、市の情報セキュリティ対策が一定の水準以上にあること、それを継続的に維持・改善できる体制にあることが認められたことであると考えています。 6 平成16年度の取組 平成16年度の取組として、認証対象部署の拡大に取り組んでいます。今年は市民部内の4課(税務担当部門)を対象として、前年度と同様な作業を進めています。また、選考して認証を受けた2課についても、改善と見直し作業を順次行っています。 この対象部署の拡大により、市民の皆さんの情報を大量に取扱う主要な部署をカバーすることとなります。 また、認証審査機関の審査員による第1回目の継続審査を平成16年7月に受けました。 初回審査以降、審査員からの指摘事項などへの対応・改善を進めてきたのですが、さらにまたいくつかの点について観察事項として指摘を受けました。このことにより、見直しと改善を継続することの重要性を改めて認識することとなりました。 7 今後に向けて 前述したとおり、これまで市の情報管理は、個人情報保護条例に代表されるように、市民の皆さんの個人情報を保護するという観点を中心として取り組んでいました。しかし、今回のISMS整備の取組の中で、この機密性に加えて、情報の正しい状態を保持すること(完全性)、情報を必要なときに利用できること(可用性)の観点も併せて適切な管理に努めていくことの重要性を強く認識することとなりました。これに加え、計画(P)、実施(D)とともに見直し(C)、改善(A)まで含めた体系的な取組の大切さを関係者全員が感じたことが大きな成果といえると思います。 また、情報セキュリティ対策について、様々な対策の検討を進めていく中で、最大の弱点は我々職員のセキュリティ意識であり、日ごろからの情報取扱いの留意であると感じられました。これを改善するための職員研修の充実に取り組んでいきたいと考えています。 今後は、ISMSの運用の中で、継続的で組織的なセキュリティ対策の実施と見直し・改善に努め、現在取り組んでいる電子自治体の構築や市民との協働のまちづくりのために必要な市民の皆さんから信頼される情報の取扱いを目指していきたいと考えています。 |
 |
 |