行政のセキュリティ投資はどうするべきか？：システム部門Q＆A（35）（2/2 ページ）

[木暮 仁，＠IT]

行政と民間では、情報セキュリティでの基本が異なる

○情報セキュリティ対策の基本

　情報セキュリティの基本的な考え方は、一般的に次のようなものです。

1. リスクの大きさは、それが発生したときの被害の大きさと、その発生確率の積で与えられる
2. リスクをゼロにすることはできない。リスクの小さいもの、すなわち被害が少ないものや発生確率が小さいものは受容リスクとして考える
3. 情報セキュリティ対策とは、情報システムの脆弱点を減らし、すべてのリスクの大きさを受容リスク以下にすることである
4. その受容リスクのレベルは、リスクが発生したときの損害期待値とセキュリティ対策の費用とのバランスで設定する

図表2：リスクと費用のバランス

　この考え方は民間企業では納得できますし、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」（2001年3月策定、2003年3月一部改定 ※1）でも似たような内容になっています。しかし、筆者は、行政にはこれと異なる考慮事項があると思うのです。

※1：関連リンク
地方公共団体における情報セキュリティポリシーに関するガイドライン（総務省）

○低確率・高被害への対処

　「リスクの大きさ＝被害の大きさ×発生確率」の式そのものには違いがないとしても、その評価には民間とは異なる尺度が必要だと思います。

　震度の大きい地震は発生確率が低いのでリスクの大きさは小さくなりますが、そのような大震災のときこそ、自治体の情報システムが稼働していることが求められます。単純な計算で受容リスクだとすることはできません。

○確率と可能性との違い

　住基ネットでは、セキュリティが大きな問題になりました。部外者の筆者には実態は分かりませんが、行政の主張を聞く限り、そのセキュリティ対策は通常の民間企業の個人情報を取り扱うネットワークよりも高く、漏えいが発生する確率は比較的小さいと思います。

　ところが、住基ネットに反対する論調では、その発生確率を問題にしているのではなく、情報システムの脆弱性を指摘し、リスクが発生する可能性を問題にしているのですね。その論調の是非はともかく、そのような不安があることは確かですので、自治体でのセキュリティ対策は民間とは異なる尺度が求められるといえましょう。

責任が取れない−説明責任が重要

　そもそも自治体は、情報システムでのトラブルがあっても、実質的な責任を取ることができないのです。民間企業では、執行責任者である経営者が引責辞職することもできますし、倒産・廃業という責任の取り方もできます。株式会社の最高意思決定者である株主は、株価が下がるという形で責任を取ることができます。

　しかし、自治体ではそれができません。個人情報漏えいで被害者に慰謝料を払うとしても、それは税金を無駄遣いしただけですし、知事や市長が引責辞職しても、かえって選挙のために税金を使ってしまいます。倒産して再建団体になれば、住民税や公共料金の値上げやサービス低下につながり、迷惑を被るのは住民です。すなわち、責任を取るのは住民なのです。しかも、職員の身分については住民は関与していないのです。

　実質的な責任が取れないのであれば、住民への説明責任が問われます。例えば、

• リスクを冒してまでシステム化する必要があるのか
• 受容リスクの設定レベルは適切か
• セキュリティ対策のコスト配分は最適か

　などを明確に説明する義務があります。

　ところが、上述のWinnyにおける漏えい事件の公開のように、自治体は民間企業よりも説明責任を果たしていないように思われます。総務省は「市町村の業務システムの導入及び運用に要する経費等の調査」（※2）を公表していますので、費用はそれなりに把握できるのですが、その成果として住民税がどれだけ低下したか、サービスがどれだけ向上したかを数字にしたものを筆者は知りません。

※2：関連リンク
市町村の業務システムの導入及び運用に要する経費等の調査（総務省）
共同アウトソーシング：業務システムの導入及び運用に要する経費等の調査結果（地方自治情報センター）
市町村の業務システムの導入及び運用に要する経費等の分析（富士通総研）

　また、受容リスクのレベルをどのようにして決定したのかを住民に納得させる必要があります。例えば、情報漏えいやWebサイトの改ざんなどの事件がよく報道されています。しかし、それをゼロにするのは過剰なセキュリティ対策になりますから、ある程度の事件が起こるのは（不謹慎ですが）むしろ適切だともいえます。

　「どのレベルにすると、どの程度の費用と危険があるのか？」を、松・竹・梅のケースで示し、どれが最適なのかを説明できることが求められます。セキュリティレベルを公表するのは問題があるにせよ、第三者機関に監査させること、その監査に耐える資料を整備しておくことが必要です。

　また、あまり費用を掛けなくても効果のある手段を追求することが重要です。事件の報道を見ると、高度な技術を用いた攻撃による被害ではなく、職員や関係者の個人PCや、記憶媒体の紛失・盗難、自宅PCにおけるWinny利用などによる流出事例が目立ちます。これらの対策では、職員へのPC配布など費用が掛かる場合もあるでしょうが、職員のセキュリティ意識改革のような、あまり費用の掛からない対策が大きな効果があります。

　それなのに、新電子自治体共同研究会のアンケート調査（※3）によると、「情報セキュリティに関する職員の低い意識」と「過失による機密情報の漏えい・持ち出し・紛失」が上位2位になっています。職員教育を行ってはいるのでしょうが、もっと徹底した対策が求められます。ここでも「情報セキュリティ対策はシステム部門の仕事」というような縦割り意識がなければよいのですが……。

※3：関連リンク
自治体のセキュリティ管理、「職員の意識」に加え新たな懸念が浮上（ITmediaエンタープライズ）

まとめ

• 自治体の情報セキュリティ対策は、表面的にはかなり整備してきたが、実効はいまだ不十分であり、仏作って魂入れずの感がある
• 自治体の情報セキュリティ対策では、低確率・高被害のリスク対策、脆弱性での事故発生可能性など、民間企業とは異なる尺度が必要になる
• 自治体は結果責任を取ることができないのだから、住民への説明が非常に重要になる
• 特に低コストで可能な対策を追求するべきである。職員の意識改革を徹底させることが重要だ

この記事に対するご意見をお寄せください　managemail@atmarkit.co.jp

筆者プロフィール

木暮 仁（こぐれ ひとし）

東京生まれ。東京工業大学卒業。コスモ石油、コスモコンピュータセンター、東京経営短期大学教授を経て、現在フリー。情報関連資格は技術士（情報工学）、中小企業診断士、ITコーディネータ、システム監査など。経営と情報の関係につき、経営側・提供側・利用側からタテマエとホンネの双方からの検討に興味を持ち、執筆、講演、大学非常勤講師などをしている。著書は「教科書 情報と社会」（日科技連出版社）、「もうかる情報化、会社をつぶす情報化」（リックテレコム）など多数。http://www.kogures.com/hitoshi/にて、大学での授業テキストや講演の内容などを公開している