PR
「市町村 情報化実態調査 セキュリティ編」
渡辺洋之
日経パソコン編集長

 最後のセッションでは、再び渡辺洋之日経パソコン編集長が登場、「市町村 情報化実態調査」のセキュリティ編の報告が行われた。

 まず渡辺氏は、自治体では多くの業務で個人情報を扱っていることから、「民間以上にセキュリティ対策が重要となるのが大前提」であるとしたうえで、「アンケートの平均値を取ると、民間に比べセキュリティ対策には3~5年の遅れがある」と指摘した(アンケートの集計結果は後述)。

 また、渡辺氏は「セキュリティはシステムの問題と人の問題」の2面があることに言及。システムに関しては、サーバーやパソコンでの対策にある程度の費用をかけることで解決できるとし、むしろ「人への対策」が見落とされがちであることを指摘。人への対策としては「セキュリティポリシーの制定」と「IT研修の実施」を挙げた。

 ここで人的な問題による実例として、三重県四日市市で起こった廃棄パソコンからの個人情報流出と、京都府宇治市で起こったシステム開発時の業者によるデータ不正流出を紹介。四日市市の事例では、職員がハードディスクのデータを消去しなかったという「知らないがゆえ」という要素があると指摘。IT研修で教育さえ行っていれば防げた事例とした。宇治市の事例では、テストデータで行えばすむはずなのに実データの持ち出しを許可してしまったという、データ管理の不備を指摘した。また裁判の結果(宇治市側の市民に対する賠償責任が確定)にも注目し、賠償の問題など、職員の処分だけではすまないという危険性に言及した。

■低いセキュリティ意識─73.6%の自治体がパソコンの持ち込み許可

 続けて、渡辺氏はアンケートの途中集計結果に移った。

 まずは「コンピュータウイルスの感染について」では、5割以上の自治体で感染経験があることに加え、3.3%の自治体から「感染の有無を把握していない」との回答があったことを問題視。このことから「感染経験なしと回答した自治体も、単に把握していないだけではないか」という不安すらあると指摘。また感染した後で、対策を強化している自治体が多かったことも報告した。

 ウイルス対策の実情としては、未対策の自治体が1.2%あることに注目。また「ウイルスを防ぐには対策ソフトが必要」とした上で、サーバーのみの対策では不十分であることに言及。外部ネットワークからのウイルスやアタックだけでなく、フロッピーなど記録媒体からの感染もあり得ることから、サーバーとパソコンの両面に対策を施す必要性は「ある意味で常識」と説いた。

 続いて、自治体のセキュリティ対策についての集計結果を紹介した。
  • セキュリティ対策がない自治体  … 18.5%
  • セキュリティポリシーがある自治体 … 18.4%
  • IT研修を実施している自治体 … 73.7%
  セキュリティポリシーの有無に関しては、政令指定都市では90%が制定しているのに対し、その他の市では23.6%という開きがあることに注目したが、規模の小さい都市では関心が薄いわけではなく、現状では予算的・マンパワー的に手が回りかねている状態であるという認識を示した。

 とはいえ、個人情報を扱う業務を行っていることを考えると、職員のセキュリティ意識が不十分という指摘も。「セキュリティは担当部署が確保している」という認識から、一般職員や幹部職員の間で重要性を認識していない傾向を挙げ、全職員にセキュリティ意識の徹底をすべきという考えを示した。

 次に「パソコンのデータ管理」について報告。廃棄時に穴を開けるなどして、ハードディスクを物理的に破壊するといった方法でデータの完全消去をしている金融機関の例を紹介。廃棄時のデータ消去をしていない自治体が64.3%もあることに警鐘を鳴らした。廃棄時のデータ消去をしない理由としては、「フォーマットやゴミ箱での消去で十分だと思っていた」という「知らないがゆえ」のケースが多いことにも言及し、職員の教育の重要性を改めて指摘した。

 パソコンの持ち込みに関しては73.6%が「許可」という結果だった。これは「一般企業の感覚としてはありえない数値」と警告した。「パソコンを持ってくるなというと仕事が進まない」「パソコンが不足している」という理由を挙げる自治体があったが、実際には1人1台を達成している自治体での持ち込み許可が約30%あることを報告。また「持ち込ませてもLANには接続許可させない」という回答もあったが、フロッピーディスク、CD、DVDなど記録媒体付きのパソコンによる情報流出の危険性を指摘。セキュリティ意識の欠如を危惧した。

 不正なアクセスに対するログをとることや、メールの内容や添付ファイルをチェックすることを公開することにより、抑止力になることにも言及。個人情報などの重要データを扱う以上、セキュリティ対策は性悪説の立場を取って万全に行うべきという考えを示した。

 渡辺氏は、改めて「個人情報を扱う以上、セキュリティ対策は不可欠」とし、システムでのセキュリティ対策を徹底すべきとした。一般企業ではシステム構築費用の7~10%がセキュリティに充てられているという実情も付け加えた。