「セキュア・ジャパン2008」(案)に関する意見

2008年5月22日
(社)日本経済団体連合会
情報通信委員会
ITガバナンスワーキンググループ

「セキュア・ジャパン2008」(案)は、「セキュア・ジャパン2007」の実施状況を踏まえつつ、「第1次情報セキュリティ基本計画」の目標実現に向けて、2008年度に実施する具体的行動計画と2009年度の重点施策の方向性を示すものである。
本案について、第6章「2009年度に喫緊に取り組むべき課題」を中心に、下記のとおり意見を述べる。

「セキュア・ジャパン2008」(案)に関する意見の募集
http://www.nisc.go.jp/active/kihon/sj2008.html

1.重要インフラ連絡協議会(CEPTOAR-Council)の早急な創設 (P.28)

重要インフラのICT障害の未然防止、発生時の被害拡大防止、迅速な復旧及び再発防止においてCEPTOARが果たすべき役割は重大である。官民連携の情報共有体制の一層の強化を図るためにも、現在検討中の重要インフラ連絡協議会の創設を早急に実現すべきである。

2.政府における情報セキュリティ体制の強化 (P.62)

NISCの体制・機能を拡充するとともに、権限を強化し政府機関の情報セキュリティ管理の一元化を図るべきである。これを実現するためには、米国FISMAのような、府省庁横断的かつ強制力のある法的根拠をもって推進する必要がある。

3.電子政府の情報セキュリティを企画・設計段階から組み込むための方策(SBD)の推進 (P.62)

SBD(Security by design)は、情報システムにセキュリティ機能を正しく組み込むためのルールである。各府省庁が、情報システムを開発する際、このルールに沿って、システムの企画段階からセキュリティを考慮した設計を行うことにより、各府省庁システムのセキュリティ強度が高まることが期待される。SBDは、政府機関の情報セキュリティ対策の見える化・効率化のためにも重要な施策であり、NISCのリーダーシップの下、SBDの検討を加速化するべきである。

4.中小規模府省庁・自治体の情報セキュリティ対策の底上げ支援 (P.62)

現状では、各府省庁・各自治体の業務プロセスがバラバラであるため、このまま情報セキュリティ対策を推進すると、膨大なコストが掛かることが懸念される。効率的に情報セキュリティ対策の底上げを行うには、まず府省庁間・自治体間の共通業務の標準化や業務効率化を徹底的に実行したうえで、行政業務の電子化と情報セキュリティ対策を並行して行うべきである。

5.政府機関における安全な暗号利用の促進 (P.63)

政府機関におけるより安全な暗号アルゴリズムへの移行に関しては、各企業が極力低コストで対応できるよう配慮すべきである。
また、国によっては暗号化製品の持ち込みや現地での使用について申請・許可が必要であるという規制があり、日本企業がビジネスを展開する上で弊害となっているため、国として継続的に規制緩和の働き掛けを行う必要がある。

6.情報セキュリティ人材の重点確保 (P.63)

各府省庁の情報セキュリティ強化を図るには、高度な専門知識を有するICT人材を配した上で、各府省庁におけるリスク管理権限及び責任の所在を明確化し、ガバナンスを強化することが重要である。
高度ICT人材が不足している状況は官民とも同様であり、産・学・官が連携して継続的・安定的に高度ICT人材を育成する仕組みを確立するとともに、人材を受入れる際には明確なキャリア・パスを提示すべきである。

7.国際連携の強化 (P.63-65)

国際的なスパムメール対策や、アジア域内におけるセキュアなビジネス環境構築に向けた取組みに関しては、本案の第6章で複数項目に亘って述べられているが、是非とも強力に推進していただきたい。その際には、各府省庁が個別に取組むのではなく、日本政府として取組みを一本化することが重要である。

8.サイバー犯罪の被害者救済 (P.65)

サイバー犯罪の取り締まり強化を推進することは当然であるが、一方で被害者の救済に係る施策も検討する必要がある。例えば、サイバー犯罪を受け、日本人が外国人にプライバシーを侵害された場合、訴えの受け皿となるべきプライバシー管理組織を一元化するなどの取組みも推進すべきである。

以上

日本語のトップページへ