2005年11月11日 (社)日本経済団体連合会 情報通信委員会 ITガバナンスに関するワーキンググループ |
現在、わが国は世界最先端のICT利活用国家に向け、e-Japan戦略のもとで官民挙げての取り組みを推進しているが、この実現にはネットワークを安心、安全に利活用できる環境が必要不可欠であり、官民における物理・サイバー両面でのセキュリティ対策強化が重要である。しかしながら、個人情報漏えい事故の発生、あるいはホームページ改ざんやDOS(サービス不能攻撃)等のサイバー攻撃が頻発していることからも、現在の情報セキュリティ対策ではまだ不十分であり、今後一層の対策の強化が必要である。
日本経団連では、この問題について、2005年3月に公表した「企業の情報セキュリティのあり方に関する提言」において、「政府が自らの取り組み強化を通じ、民間へのベストプラクティス・モデルを提示」することで、わが国全体として確保すべき情報セキュリティ水準と方向性を示すことを提案している。今回パブリックコメントに付されている「政府機関の情報セキュリティ対策のための統一基準(以下、政府機関統一基準)」は、政府機関が最低限遵守すべきセキュリティ対策を明確にすることで、政府全体のセキュリティレベルの底上げを図るものであり、評価できる。また、政府機関統一基準は、民間企業が自主的に情報セキュリティ対策を考案する上でも参考になるので、知識や経験を共有できるよう、官民が積極的に連携することが必要と考える。
その一方で、政府機関統一基準に基づいて、政府の情報セキュリティ対策のレベルを向上させることができるかどうかは、各府省庁の確実な実行にかかっている。従って、PDCAサイクル、特に「C(Check)」および「A(Act)」が確立できるかどうかが重要である。米国のFISMA(Federal Information Security Management Act)の実施状況も参考とし、以下のような実効性のある対策を盛り込むべきであると考える。
しかし、現在の政府機関統一基準ではこれらが明示されている部分はない。さらに確実な実施のためには、上記趣旨を踏まえ、内閣官房情報セキュリティセンター(情報セキュリティ政策会議)のリーダーシップの強化も必要である。
日本経団連としては、政府機関統一基準が、政府横断的に適用されることで、政府全体の情報セキュリティ強化に繋がり、またわが国全体のセキュリティ対策の方向性が明らかになることを期待する。
以上の認識のもと、「II.個別論点」のとおり、パブリックコメントに対する意見を述べる。
内閣官房パブリックコメント:
http://www.bits.go.jp/active/general/comment.html
各府省庁は、政府機関統一基準の内容を直接取り込む、あるいは構成や表現を変えて盛り込むなどして省庁対策基準に適切に反映させるものとされている。
ここで、反映させる期限が明確にされていない場合、政府機関における情報セキュリティ対策レベルを統一的に向上させるという目的が早期に達成されない恐れがあるため、対応期限を明示すべきである。
なお、対策の中には、各府省庁において省庁対策基準の大規模な改訂を行なう必要があるものもあると考えるため、個別項目ごとに期限を記載する方法が妥当である。
各府省庁に1人、最高情報セキュリティ責任者を設置して事務を統括させるように規定しているが、これだけだと各府省庁での対策が中心となり、政府全体という視点が希薄になる恐れがある。従って、企業で言うところのCISO(Chief Information Security Officer)に相当する、政府としての最高情報セキュリティ責任者を設置する必要があるのではないか。
できれば専業が望ましいが、最高情報セキュリティ責任者(又はアドバイザー)による連携会議を設置し、その議長を責任者とすることでも対応可能と考える。
障害等が発生した際には行政事務従事者より情報セキュリティ責任者へ報告することが規定されているが、その情報の一般公開については規定がない。障害等が発生した場合に、その原因や対処方法等の情報を共有することは、情報セキュリティ対策水準の向上に不可欠である。従って、どのような場合について、どのような方法で開示するかをルール化することが必要である。
その際、技術的安全措置(暗号化等)の有無等がどのような位置づけになるかも明確にしてもらいたい。これは個人情報漏えいのケースなどにおいて、民間でも参考になるものと考える。
情報セキュリティ監査責任者は、年度情報セキュリティ監査計画の整備にあたり、最高情報セキュリティ責任者の承認を得ることを要請されている。しかし、監査予算などはともかく、監査対象を被監査者が承認することでは、監査の独立性が担保されないのではないか。
現在は「規定整備者が、適時検討して必要があると認めた場合」および「行政事務従事者が、自らが実施した情報セキュリティ対策関連事項に課題および問題点を認める場合」に見直しを行なうものとしているが、監査または自己点検の結果、問題点を指摘された場合も見直しを行なうべきことを明記すべきである。特に監査については、監査調書における報告項目として「要改善点」および「対策を実施するまでの期限」を明記すべきである。
情報の作成時に、行政事務従事者が格付けを行い、あわせて取扱い制限の必要性の有無を検討することとされているが、担当者の判断にのみ委ねる場合に、政府全体として統一がとれた分類がなされない恐れがある。従って、何らかの政府横断的かつ具体的なガイドライン等が必要ではないか。
定義上、端末にはPDA等を含むとしているが、ここに携帯電話等(携帯電話・PHS等)を含むのかどうかは明確でない。
昨今は通信にあたり携帯電話等を用いるケースが多く、かつ、これらは単なる通信機器ではなく、大量の情報を保存できるため、紛失等に備えたセキュリティ対策が必要である。従って、端末における対策を考慮するにあたり、携帯電話等についても明確な規定を設けるべきではないか。
インストールしてはならないソフトウェアを定めることとされているが、ソフトウェアは日々新たに開発されており、それを全てフォローすることは不可能なので、「インストールしてもよいソフトウェア」の限定列挙を原則とすべきではないか。
今回の政府機関統一基準は、各府省庁をその対象としているが、実質的に府省庁業務の一部を行なっていると考えられる独立行政法人等についても、本基準の対象とすべきである。ただし、各独立行政法人の実情に鑑み、全団体を一律対象とすることは必ずしも適切ではないということであれば、外部委託の部に、独立行政法人を明記することでも、目的は達成できると考える。