2009年1月13日 (社)日本経済団体連合会 情報通信委員会 情報化部会 ITガバナンスワーキング・グループ |
「第2次情報セキュリティ基本計画」(案)に関し、以下のとおり意見を提出致します。
小規模な地方自治体も含め全ての地方自治体を対象として情報セキュリティ対策の促進に向けた具体的な施策を盛り込んでおり、特にベストプラクティスの共有や人的支援、人材育成を促進する支援を盛り込んだ点を高く評価する。
企業・個人にとっての行政の窓口は主に地方自治体であることに鑑み、地方自治体における情報セキュリティ水準を着実に底上げするとともに、今後は各地方自治体が自主的に情報セキュリティ対策の取組み状況を開示するなど、情報セキュリティ水準の「見える化」の促進に向けた仕組みづくりを推進すべきである。
情報セキュリティは今やIT統制、内部統制の観点から健全な経営に不可欠な要素の一つとなっていることに鑑み、経営層に対する啓発活動の推進等により経営者の意識向上ならびにISMSをはじめとする認証制度の普及を図るとした上で、政府自らが情報システム等の政府調達の競争参加者に対し、情報セキュリティ対策レベルの評価を入札条件等の一つとすることを明記した点は重要である。政府自らがこのような方針を示すことは、インセンティブの導入とともに、企業経営者の意識改革を促す効果があり、ひいては日本全体の情報セキュリティ水準の向上に繋がる。是非とも、中央省庁のみならず地方自治体も含めた全ての行政機関で同様の取組みを実践していただきたい。
本計画で述べられている「情報セキュリティガバナンスのための取組みが企業にとって過度の負担とならないよう、投資効果を測る手法を実際に活用可能にするための検討を促進」すること、並びに「企業の情報セキュリティ関連リスクに対する定量的評価手法の実用化を目指した研究を促進」することに賛同する。本計画の柱の一つである「事故前提社会」への対応力強化を図るうえでも、何らかの定量的評価水準に関するコンセンサスは不可欠であり、喫緊の課題としてスピード感をもって取組んでいただきたい。
わが国はISMS認証取得数で世界一を誇るなど、取組みや経験を積極的に国際社会へ発信するべき立場にある。また、国際貢献を通じて標準化に寄与することは、国際競争力向上の観点から見ても重要である。標準化を図るためには、途上国においては情報通信インフラの拡充が不可欠であり、財政面のみならず人材面、技術面での支援も必要である。その際には、政府が先鞭をつけ、民間の投資を呼び込むようなフレームワークが必要となろう。したがい、国と企業が連携しながら戦略的に国際貢献できる体制の整備には、より具体的な施策・工程表を検討いただきたい。
日本経団連が予ねて主張しているように、NISCが政府全体の情報セキュリティ対策において果たす役割が極めて重要であることを鑑みると、省庁横断的に、より強力に情報セキュリティ対策を推進するための権限強化は不可欠である。そのためには、米FISMAと同様に、省庁横断的なガバナンスが有効に機能するような法制度の整備が必要である。また、引き続き民間の人材活用等を通じ情報セキュリティ推進体制の強化に努め、NISCの重要性を内外にアピールしていただきたい。