総務省は、地方自治体が実施するセキュリティ監査の基準となる「地方公共団体における情報セキュリティ監査のガイドライン(仮称)」をとりまとめ、12月中にも全国の自治体に通知する。

 監査のガイドラインは、総務省が自治体向けにまとめた「地方公共団体における情報セキュリティポリシーに関するガイドライン」に則して、庁内でセキュリティポリシーを順守できているかを、自治体が自ら認識できるようにすることを主な目的としている。

 具体的には、監査のガイドラインに4つの内容を盛り込む。

 (1)監査でのチェック項目──自己監査もしくは外部に監査を委託する場合を想定したチェック項目を用意する。セキュリティ・ポリシーを、PDCA(計画、実行、チェック、改善)サイクルで運用できているか把握する。

 (2)技術的検証──ファイアウオールやルーターなどのネットワーク機器の設定が正しいかといった調査や、侵入検査によるネットワークの脆弱性診断を実施する。

 (3)監査を委託する場合の留意事項──監査人の行為規範の制定や、委託する際の基準など。

 (4)監査を委託する際の契約手順──手順のほかに契約書のひな型を作成し掲載予定。

 総務省は、自治体での監査の実施を促すため、自治体のレベルに合わせて監査のガイドラインを利用できる仕組みを考えている。「監査のチェック項目は全部で数百項目にのぼる見込み。この数百項目の中に重点項目を設けて、まずはそこから実施することで徐々にレベルアップできるようにする」(総務省の斉藤一雅 自治行政局地域情報政策室長)。さらに予算面でも、交付税など自治体への財政措置を検討している。

(鈴木 淳史=日経BPガバメントテクノロジー)