PR

日立総合計画研究所・編

 近年、住民の個人情報流出、ハッカーの侵入によるホームページの改ざんといった事件が増加していることから、政府/地方自治体においても、情報セキュリティの確保に対する関心が高まっています。

 情報セキュリティの確保には、ファイアウオールや侵入検知システムなどの技術的な対策に加えて、セキュリティ対策の基準や業務手順を明文化したセキュリティポリシーを策定することが重要です。しかし、セキュリティポリシーを策定するだけでは、厳密に実施・運用していなかったり、技術の進歩に合わせた見直しが行われずに、形骸化してしまう恐れもあります。

 ISMS (情報セキュリティマネジメントシステム)とは、セキュリティポリシーの策定だけにとどまらず、それに基づいた具体的計画の実施・監査やセキュリティポリシーの定期的見直し、さらに、組織内でのセキュリティ管理体制も含めた包括的な情報セキュリティ対策の枠組みを意味します。

 ISMS の規格としては、 1999 年に英国規格協会( BSI )が策定した BS7799 が事実上の標準となっています。この BS7799 は、 BS7799-1 と BS7799-2 の 2 つのパートで構成されます。 BS7799-1 は ISMS の具体的ガイドラインを定めたもので、 BS7799-2 は ISMS の認証制度の仕組みを定めたものです。

 BS7799-1 は 2000 年に国際標準化機構( ISO )によって、 ISO/IEC17799 として国際標準化されました。日本では 2002 年に、 ISO/IEC17799 を JIS X 5080 として JIS 規格化しました。 2003 年 4 月より経済産業省主導で情報セキュリティ監査制度が始まりましたが、この情報セキュリティ管理基準は JIS X 5080 を基にしています。

 また、経済産業省の外郭団体である日本情報処理開発協会 (JIPDEC) は、「ISMS 適合性評価制度」と呼ばれる情報セキュリティマネジメントシステムの審査・認定制度を実施しており、これは BS7799-2 をベースにした制度です。

BS7799

 BS7799-2 や ISMS 適合性評価制度など第三者のチェックにより ISMS 適合性評価の認定を取得することは、行政の情報セキュリティ対策に対する住民の信頼感を築き、アカウンタビリティを果たすという意味で意義があります。

 地方自治体では千葉県市川市が国内で初めて 2003年10月に、BS7799-2とISMS適合性評価制度の認証を取得しました。市川市が取得した認証は、( 1 )住民票・印鑑証明書・税などの証明書交付に関する窓口業務、( 2 )住基ネット・電子申請に関する内部業務、( 3 )情報センターにおける情報資産管理に関する業務などを対象としています。 BS7799-2 や ISMS 適合性評価制度では、組織すべてを対象とせずに範囲を限定することも認められているので、市川市のように一部の業務について認定取得することも可能です。

 ISMS は、 PDCA サイクルの考え方が根底にあります。これは策定したセキュリティポリシーを基に、 Plan (計画)、 Do (実行)、 Check (評価)、 Act (改善)のサイクルを繰り返すことで、情報セキュリティのレベルを向上することが目的です。 PDCA サイクルの実施によって、行政の情報セキュリティ対策の精度を高め、住民がより安心して利用することのできる電子政府/電子自治体の実現が期待されます。