調査結果の項目ごとの回答を分析していくと、都市圏・地方共通して、自治体の情報セキュリティ体制が抱える大きな問題点が浮かび上がる。
各自治体で、概して達成率が高いのが、「セキュリティポリシーの作成」「アクセスログの管理」「PCの入出管理」「クライアントPCの持ち出し制限」「職務・階層に応じたアクセス制限」といった項目だ。
総務省からの指導でまず徹底されたのが、「セキュリティポリシーの作成」で、これに関してはほぼすべての自治体で達成されている。また、「PC室への入出管理」「クライアントPCの持ち出し制限」に関しては、かつて自治体情報化の歴史の中で、汎用機からPCへの変換期に予算の関係でPCを導入できなかった時期があり、その際に個人PCを持ち込んで作業をする職員がいたため、これを暗黙の了解としていたところが多数あった。しかし最近では、自治体はこうした行為の禁止を徹底するようになり、調査でも高い達成率を示している。さらに、情報の重要度によってセキュリティレベルを設定し、情報のランクに応じて管理の仕組みを作る「職務・階層に応じたアクセス制限」も高い達成度が見られる。
これに対し、島田教授が「まだまだそこまでいっていない。それが大きな問題」と指摘するのが、これらの決まりごとを、有効なものとして実現する仕組みである。つまり、PDCA(Plan-Do-Check-Action)という流れを、日常業務の中で一連の流れとして回していくことが大事なのだが、それができていない、現状はまだ「セキュリティポリシー」を設定しただけ、制度や決まりを作っただけの、「仏作って魂入れず」的な状況なのだ。LASDEC(財団法人地方自治情報センター)ではe-ラーニングでの情報倫理・セキュリティ教育も行っているが、自治体での参加度は低いという。また、マンパワー的な理由から実施が困難な「情報資産の洗い出し」、金銭的に大きな負担が掛かる「外部監査の実施」なども、今後自治体が力を入れて取り組むべき課題である。
さて、調査から得られた結果の中で、特に「市・特別区」の部門で、幾つかの特徴的な自治体を紹介しよう。
ランク | 団体名 | 都道府県 | 総合得点 | 庁内情報化 | 行政サービス | 情報セキュリティ |
---|---|---|---|---|---|---|
1 | 藤沢市 | 神奈川県 | 221.0 | 73.1 | 76.8 | 71.1 |
2 | 市川市 | 千葉県 | 220.6 | 75.9 | 74.0 | 70.7 |
3 | 横須賀市 | 神奈川県 | 220.5 | 79.3 | 73.5 | 67.8 |
4 | 豊中市 | 大阪府 | 215.4 | 74.2 | 69.6 | 71.5 |
5 | 西宮市 | 兵庫県 | 211.2 | 71.4 | 72.0 | 67.8 |
6 | 岡山市 | 岡山県 | 208.9 | 70.3 | 69.6 | 69.0 |
7 | 高槻市 | 大阪府 | 206.6 | 69.1 | 67.2 | 70.3 |
8 | 三鷹市 | 東京都 | 202.9 | 64.6 | 70.1 | 68.2 |
9 | 足立区 | 東京都 | 201.3 | 74.2 | 71.6 | 55.6 |
10 | 武蔵野市 | 東京都 | 200.1 | 68.0 | 64.3 | 67.8 |
市・特別区総合ランキング(10位まで紹介)
情報セキュリティ部門では、大阪府豊中市が1位となり、その後に藤沢市、市川市、大阪府高槻市などが続く。同部門で豊中市が1位となった理由を島田教授は、「国策である地域情報化を早い時期から取り入れ、補助金の活用など資金もうまく取り入れてきた結果。また、政策推進部情報政策担当理事の松岡勝義氏が早い時期からセキュリティに取り組んできた点も大きい」と分析する。それまでさまざまなバージョンが混在していたWindows端末をWindows 2000に統一、さらにActive Directoryを構築したほか、端末利用職員すべてにICカードを配布、作業の詳細なログを取得可能にしたことなどが一例として挙げられる。
自治体で初めて情報セキュリティに関するガイドブックを作り、全職員に配布するとともに教育にも熱心に取り組んだ結果、これが横展開でほかの自治体のモデルとなったのが情報セキュリティ部門13位の横須賀市だ。同市は庁内情報化でトップ、総合ランキングでも3位となっている。
また、1999年、住民基本台帳データを利用して乳幼児検診システムを開発することを企図し、その開発業務を民間業者に委託したところ、再々委託先のアルバイト従業員が当該データを不正にコピーして名簿業者に販売し、さらにほかへ転売した結果、約22万人分の個人情報が漏えいするという極めて不名誉な事件が発生した。それをきっかけに「技術的に素晴らしい取り組み」(島田教授)によって「全国でも稀な例」と教授が評価するセキュリティを有するようになったのが宇治市である。地域イントラをVLANで分け、行政情報イントラ内はVLAN内にVPNを構築し、仮想的に多重化したシステムとなっている。このシステムでは、LAN上のプリンタに対する通信も暗号化されるため、これに対応したプリンタ(複合機)をベンダーに作成してもらうなどしているが、複合機以外は通信環境を変更することで対応している。このほか、同市も豊中市と同様、配布したICカード(この中には各職員に割り当てられたIPアドレス情報なども含まれる)とOSのユーザー権限を組み合わせることで、PCに制限を加えている。
地方自治体の情報セキュリティは、そのシステム・仕組みにおいては、全国的に高い水準にある。問題なのは教育・モラル・運用にあるというのが、今回の調査から得られた現状の分析結果だ。
最後に、地方自治体の情報セキュリティの今後はどうあるべきかという質問に、島田教授は次のように答えている。
「行政は強制力で情報を集めているから、自治体の職員はより高い倫理観を持つ必要がある。住民は行政を利用しないわけにはいかないため、情報セキュリティに関する自治体の責任は重い。役所に集まった個人情報は自分たちのものではなく、『お預かりしているもの』という意識が大切。この点において民間以上に、優れたセキュリティ体制を構築することが重要となる」(島田教授)
その一方で、あくまでも情報は活用してこそ意味のあるもので、「活用するためのセキュリティ」が必要であり、その対策が「べからず集」になってはいけないと島田教授は指摘する。さらに、セキュリティ問題の難しさは、万全な状態が存在し得ず、いわばいたちごっこが続くことにあるとし、絶えずPDCAのサイクルを回してセキュリティレベルを上げていく地道な活動が一番のポイントであると述べた。
Copyright © ITmedia, Inc. All Rights Reserved.