Enterprise Watch
最新ニュース

稲垣弁護士、「自治体は民間企業並みのセキュリティ意識が必要」

~行政情報セキュリティフォーラム

稲垣隆一弁護士
 12月9日・10日と開催されている行政情報セキュリティフォーラム(主催、社団法人日本経営協会)において、弁護士の稲垣隆一氏による「自治体における個人情報保護戦略」と題した基調講演が行われた。

 稲垣氏はまず、自治体における情報化の流れを整理し、「60年代より合理化という目的で、自治体での電算化が進められてきた。しかし現在、官民一体によるサービスを提供するなど、単なる合理化目的だけでない変化が起きている」と指摘。「インターネットの普及により、自治体が住民と直接結びついた今、情報の扱いに関する新たなルールを策定する必要に迫られている」と述べた。

 特に、自治体が保有する情報と民間企業が保有する情報の違いを強調。「自治体が保有する情報は、権力で得たもの。民間企業のようになんらかの金銭により得たものではないのが大きく異なる。だからこそ、その扱いは慎重にならなければいけない」とした。

 法制面では、各自治体ごとに個人情報保護条例が制定されているが、「条例を制定できている自治体は、全国で3/4にすぎない」と、不十分な点を指摘。「また、自治体によっては、制定さえすればいいとおもっているところもあるが、それは問題だ。重要なのはセキュリティマネジメントの部分。セキュリティを実現するためにリソースをどう配分するかを考えないと意味がない」と、形だけを整えるのではなく、実際の運用方法を明確にすることがセキュリティ対策に重要であると強調した。


 では、どのようにすればセキュリティマネジメントが行えるのか。その方法として、自治体が扱う情報の洗い出しからはじめる必要があると稲垣氏は指摘する。「まず、情報の取得・保管・利用・廃棄までのルートを洗い出すこと。これまで自治体内で別々に扱われていた個人情報を一元化して管理するわけだから、情報がどのようなルートをたどっているのかを整理しないことには管理できない。そして、それを一元的に把握するシステムを構築する必要がある。この部分は民間企業も同様に重要視している。自治体だからといって民間並みの基準を持たなくていいという話はない」と、民間企業と同等のセキュリティの意識を持つことを促した。

 セキュリティ対策は具体的にはどうすればよいのだろうか。「情報の流出のほとんどは、基本的には人の故意によるものと、人の過失により起きる。これは民間企業も同じ。ただし、民間企業の場合、個人情報の流出が発覚すると株価の下落など直接的な影響を受けるため、相当意識して対処している。自治体も民間企業並みに意識しないといけないだろう」と話した。

 自治体のセキュリティ対策には、ISMS(情報セキュリティマネジメントシステム)が有効であると稲垣氏はいう。「こういう話をすると、ISMSを取得しさえすればいいと考えがちだが、そうではない。ISMSの構築過程で行う、リスクの認識と対処法を検討することがセキュリティの意識改善に有効」と述べた。「一般職員は、セキュリティを厳密にといわれてもなにをどうすればよいかわからないもの。それをISMSの構築過程に参加させることで、自分が守るべき範囲が明確になる。また、対処できる範囲や優先順位も明確になり、どこまでできるのかを住民に示すことが可能になる」と、ISMSの構築により、セキュリティの優先度が定義できる点がメリットであることを説明した。「自治体側で枠組みや検討した痕跡があれば、もしも裁判などになった場合にリスク回避にも有効」とトラブル発生時にも役立つことも補足した。

 最後に稲垣氏は、「ISMSの取得により、対外的には情報セキュリティの信頼性の確保につながり、内部的には入札条件や電子商取引など事業競争力の強化につながる」とし、講演を締めくくった。



URL
  行政情報セキュリティフォーラムTOKYO
  http://www.noma.or.jp/show/secure/tokyo/
  社団法人 日本経営協会
  http://www.noma.or.jp/


( 福浦 一広 )
2003/12/10 00:00

Enterprise Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.