地方公共団体における情報セキュリティポリシーに関するガイドライン
総務省が9月29日に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公表しています。平成18年2月に情報セキュリティ政策会議が決定した「第1次情報セキュリティ基本計画」を受け、平成13年3月に策定した同ガイドラインの見直しを行ったそうです。
「地方公共団体における情報セキュリティポリシーに関するガイドライン」の公表
地方公共団体における情報セキュリティポリシーに関するガイドライン」(別添1(PDF))
「地方公共団体における情報セキュリティポリシーに関するガイドラインの見直しについて」(別添2(PDF))
寄せられた御意見の概要及び御意見に対する考え方(別添3(PDF))
以下を考慮してガイドラインの見直しを実施したとの事ですが、
1)個人情報の漏えい等の情報セキュリティ侵害事案の状況
2)情報セキュリティに関する新たな対策技術の動向
3)政府機関の情報セキュリティ対策のための統一基準
4)情報セキュリティに関する国際規格等
これらはすなわち、
1)⇒個人情報保護法対応
2)⇒自治体におけるLGWANや住基ネットの整備、電子自治体の推進等への対応
3)⇒中央省庁を対象とした政府機関統一基準の準用
4)⇒ISO/IEC27001、ISO/IEC27002の参照
という事だと思います。
今回のガイドラインでは、情報セキュリティ基本方針と情報セキュリティ対策基準の上下2文書のガイドラインであること、PDCAサイクルを回すことが明記されており、個々の情報セキュリティ対策も強化されていますので、このガイドラインに沿った基本方針と対策基準を策定し、運用すれば、自治体における情報セキュリティも確実に向上するのではないかと思います。
ちなみに、地方公共団体における平成18年4月1日現在の個人情報保護条例の制定状況及び情報セキュリティポリシーの策定状況(PDF)によると、以下の通り、都道府県の情報セキュリティポリシー策定率は100%、市区町村では96.2%となっています。「第1次情報セキュリティ基本計画」を受けて早々と情報セキュリティポリシーを改訂した自治体もあるようですが、ほとんどの自治体は今回のガイドライン改訂を受けて、これから一斉に見直しを行っていくのではないでしょうか。
【都道府県】
○個人情報保護条例 : 全47団体(100%)が制定済み
前回(平成18年4月1日時点。以下同じ)同様
○情報セキュリティポリシー : 全47団体(100%)が策定済み
前回同様【市区町村】
○個人情報保護条例 : 全1,843団体(100%)が制定済み
前回から0.2ポイント増加
○情報セキュリティポリシー : 1,843団体中の1,773団体(96.2%)が策定済み
前回から1.1ポイント増加
ここで私が疑問に感じるのは2点。1点目は、(これは地方自治という構造上の問題でもありますが)「次世代ブロードバンド戦略」や「電子自治体オンライン利用促進指針」と同様に、自治体の推進力により対応に大きな差異が生じる事。元々、残り3.8%70団体は情報セキュリティポリシーを策定できていないわけで、今回のガイドライン改訂にすぐに対応できる自治体は限定されるのではないでしょうか。
2点目は、情報セキュリティポリシーだけ策定して、絵に描いた餅になっている自治体が多数考えられる事。私が監査した自治体でも、情報セキュリティポリシーだけで下位規定がなく、職員全員に情報セキュリティに対する意識が広まっていないという自治体がありました。
今回のガイドラインに従って情報セキュリティ対策基準を策定し、適切に運用すれば問題はなくなるのですが、力のない自治体ほど、対応ができず、世間を騒がす事になってしまうのではないかと思います。
それから、ガイドラインの中で、私が注目した点が2点あります。1点目は、情報資産の分類方法を重要度に基づく分類から、機密性、完全性、可用性に基づき分類することに変更した点。ISO/IEC27001では、情報資産の分類指針を決定する旨記載していても、分類方法については組織の決定にゆだねられています。NISCのFIPS199と同じ分類方法を採用したという事です。
2点目は、外部委託管理。推奨事項とはいえ、自治体の受注条件にISMSが入ってくる事で、ISMS認証取得組織も、まだまだ伸びるのではないかと思われます。
○外部委託契約の契約項目として、事故時の委託先の公表等を明記
○外部委託を行う場合の委託先選定において、委託先の情報セキュリティ対策状況をISMSの国際規格の認証取得状況等を参考にして判断することを規定【推奨事項】
【参考サイト】
地方公共団体における個人情報保護条例の制定状況等(平成18年4月1日現在)
地方公共団体セキュリティ対策支援フォーラム
【本ブログ関連記事】
次世代ブロードバンド戦略2010
「電子自治体オンライン利用促進指針」
自治体の「情報セキュリティ監査実施状況および推進課題に関する検討」報告書
FIPS199に見る情報及び情報システムの分類方法
政府機関統一基準適用個別マニュアル群
| 固定リンク
コメント