監修・NPO日本ネットワークセキュリティ協会
文・丸山満彦(監査法人トーマツ エンタープライズリスクサービス部 シニアマネジャー)
このコラムが始まった2003年10月における自治体の情報セキュリティポリシーの策定状況は、47都道府県のうち44団体(93.6%)、3204市区町村のうち1590団体(49.6%)でした。それから1年後の2004年10月では47都道府県の全て(100%)、3053市区町村のうち2468団体(80.8%)と確実に増加してきています。総務省では2005年4月1日には100%を目指しているようです。
■図1:情報セキュリティポリシー策定状況の推移 |
![]() |
「地方公共団体における情報セキュリティポリシー等の策定状況」(総務省、2004年12月3日発表)より |
■情報セキュリティポリシーは正しく遵守されているのか
ここで問題となるのが、それでは、情報セキュリティポリシーは正しく遵守されているのか? という問題です。ここでいう「正しく遵守されているか」という意味は、リスクに応じて適切な対策が整備され、確実に遵守されているか、ということを意味します。
この点となると、疑問符がつくのではないでしょうか。各団体のセキュリティポリシーのなかには、総務省が示したひな型を名前だけ書き換えて議会に上げ十分な議論もないままに成立しているものもあるようです。各団体ごとに、置かれている地理的、物理的、文化的な環境が異なりますし、業務内容も異なるものがあるなかで、果たしてそれが妥当なセキュリティポリシーと言えるでしょうか。
■図2:都道府県の情報セキュリティ対策実施状況の推移 |
![]() |
■図3:市区町村の情報セキュリティ対策実施状況の推移 |
![]() |
■図4:平成16年4月現在における都道府県と市区町村の情報セキュリティ対策実施状況の対比 |
![]() |
総務省「地方自治情報管理概要」(2002年10月、2003年10月、2004年10月)を参考に作成。
また、セキュリティポリシーは作成したものの、現場に対しては十分な教育も行わず、存在していることすら十分に認識していない団体職員が存在したり、知っていても回りで誰も遵守していないために、ポリシーを無視している現場担当者(委託先を含む)がいないでしょうか?
もし、実際がこのような状況であるならば、たとえセキュリティポリシーが策定されていても、電子自治体が進めばすすむほど、市民の個人情報の漏えいの危険性が高まり、自治体の業務の停止の可能性が高まっていると言えなくもありません。
上の図は、2002年、2003年、2004年4月現在の都道府県(図2)および市区町村(図3)の情報セキュリティ対策の実施状況です。それぞれの項目について着実に実施率は増加していますが、都道府県と比較した場合の市区町村の実施率の低さが目立ちます(図4)。そして、実施率の低い項目の内容をよく見ていただければ、当面の課題も見えてくるのではないかと思います。
情報セキュリティ監査の実施については、さらに状況が厳しいようです。この点については、次回に詳しく触れたいと思います。
|