|
2008年7月18日 (社)日本経済団体連合会 情報通信委員会 情報化部会 ITガバナンスワーキング・グループ |
「情報セキュリティ政策会議」(議長:内閣官房長官)および内閣官房情報セキュリティセンター(NISC)では、情報セキュリティ政策の3カ年計画として、2006年に「第1次情報セキュリティ基本計画」を策定し、ICTの安心・安全な利用へ向けた取り組みを行っている。
同計画が2008年度末に計画年限を迎えるに当たり、「情報セキュリティ政策会議」の下に「基本計画検討委員会」を設置し、2009年度以降の新たな基本計画の策定に必要な情報セキュリティ政策のあり方および方向性に係る事項について調査検討が進められてきたが、この度、中間報告として「次期情報セキュリティ基本計画に向けた第1次提言」が取りまとめられた。本提言に関し、下記のとおり意見を述べる。
地方自治体は中央官庁に比べ、企業・個人にとって接点が広く、深い。国は地方自治体の自主性・自立性を十分配慮する必要があるとは言え、地方自治体における情報セキュリティの重要性を鑑みれば、以下の点を本基本計画に盛り込むことを検討するとともに、地方自治体間の手続きの違いや対応レベルの差をなくすよう業務プロセスの共通化を図るべきである。
NISCが府省庁横断的に実効性のある情報セキュリティ対策を徹底するためには、電子行政推進法案(仮称)が次期通常国会に提出される予定であることも踏まえ、米FISMAと同様の法制度を整備するなど、NISCの機能強化に向けた具体的方策を本基本計画に盛り込むべきである。
(1) 民間、公的機関を問わず、ISMS認証取得に向けた取組みは、情報セキュリティ推進に必須であるトップの認識を高める効果がある。したがって、認証取得を推奨・支援する活動が情報セキュリティ向上に繋がるという視点を、本基本計画に盛り込むべきである。
(2) ISMS認証取得数では日本が世界一であることを踏まえ、国際貢献の一つとして日本の経験から指摘できる改善・改良項目を積極的にISO規格へ発信・反映するべきである。
例:ISO27001付属書A11.7項における「モバイルコンピューティング」項と「テレワーキング」項の統合・改定。A12.3「暗号の利用」項の見直し。
(3) 自主的な内部監査であれ第三者による外部監査であれ、監査の実施は、PDCAを回すうえで必須のプロセスであり、情報セキュリティの維持・強化に有効である。したがって、企業や地方自治体の自主性・自立性を十分考慮したうえで、監査実施の普及拡大を推進する施策について検討するべきである。
政府、地方自治体、企業を問わず、情報セキュリティにおけるPDCAを着実に回すためには定量的な評価基準が不可欠である。また、地方自治体や企業における情報セキュリティ対策は自主的に行われるべきであるが、恒常的に対策に取組んでいる地方自治体や企業が市場で適正に評価されるには、やはり定量的な評価基準が必要であり、その設定に向けた検討を行うべきである。
電子行政の推進が急ピッチで進んでいることを鑑み、電子文書を含む公文書の安全な管理に向けた技術開発・標準化と、それを反映した法制度やガイドラインの整備が必要。また、その成果を民間にも開放し、私文書管理にも適用できるようにするべきである。
2010〜2011年にはアナログ地上波放送廃止後の周波数活用としての高速公共無線LANサービスや、家の固定電話と携帯電話の番号統一サービスが始まる計画があり、構内と構外、有線と無線等の区別の無い利用がビジネスでも個人でも進むと思われる。これまでのサービスのみを前提とした対応では対処しきれない課題が生じる可能性も視野に入れた検討を行い、必要に応じて本基本計画に課題を盛り込む必要がある。