「セキュア・ジャパン2009」(案)に対する意見

2009年5月29日
(社)日本経済団体連合会
情報通信委員会 情報化部会
ITガバナンスワーキング・グループ

情報セキュリティの確保は、世界最先端のIT利活用国家になるための大前提であり、電子行政を推進する上でも必須である。したがって、「セキュア・ジャパン2009」(案)における情報セキュリティ対策は、いずれも重要と考えるが、特に以下の8項目について意見を述べる。

1.NISCの権限強化(P.78)

NISCが政府全体の情報セキュリティ対策において果たす役割が極めて重要であることを鑑みると、省庁横断的に、より強力に情報セキュリティ対策を推進するための権限強化が不可欠である。そのためには、省庁横断的なガバナンスが有効に機能するような法制度の整備が必要である。また、引き続き民間の人材活用等を通じ情報セキュリティ推進体制の強化に努め、NISCの重要性を内外にアピールすべきである。

2.地方自治体における情報セキュリティ対策の促進(P.29)

小規模な地方自治体も含め全ての地方自治体を対象として情報セキュリティ対策の促進に向けた具体的な施策を盛り込み、特にベストプラクティスの共有や人的支援、人材育成を促進する支援を盛り込んだ点を高く評価する。
企業・個人にとっての行政の窓口は主に地方自治体であることに鑑み、地方自治体における情報セキュリティ水準を着実に底上げするとともに、今後は各地方自治体が自主的に情報セキュリティ対策の取組み状況を開示するなど、情報セキュリティ水準の「見える化」の促進に向けた仕組みづくりを推進すべきである。
予算や人員の限られている地方公共団体の対策を推進するために、例えば、地方自治体が標準的に保有する情報資産類(例:住民基本台帳、固定資産課税台帳等)を列挙し、それごとに、セキュリティ上望ましい媒体形態・保有場所を例示して、容易にリスク管理できるような方法・書式等を開発・提供することなども考えられる。

3.情報セキュリティガバナンスの「経営の一環としての位置付け」の確立(P.38)

情報セキュリティは今やIT統制、内部統制の観点から健全な経営に不可欠な要素の一つとなっていることに鑑み、経営層に対する啓発活動の推進等により経営者の意識向上ならびにISMSをはじめとする認証制度の普及を図るとした上で、政府自らが情報システム等の政府調達の競争参加者に対し、情報セキュリティ対策レベルの評価を入札条件等の一つとすることを明記した点は重要である。政府自らがこのような方針を示すことは、企業経営者の意識改革を促す効果があり、ひいては日本全体の情報セキュリティ水準の向上に繋がる。中央省庁のみならず地方自治体も含めた全ての行政機関で同様の取組みを実践すべきである。

4.情報セキュリティ対策の「合理性に裏付けられたアプローチの実現」(P.12、21、40)

情報セキュリティ対策として何をどこまで実施すればよいかという社会的合意が形成されていない現在、「合理性に裏付けられたアプローチの実現」により、コストと効果のバランスのとれた情報セキュリティ対策を実施する方針を示したことは評価できる。
情報セキュリティガバナンスのための取組みが企業にとって過度の負担とならないよう、投資効果を測る手法や、企業の情報セキュリティ関連リスクに対する定量的評価手法について早急に検討し、実際に活用できるようにすべきである。
例えば、各種リスクに関する発生頻度統計、損害額統計を整備・整理して、公表すれば、情報セキュリティに関するコストパフォーマンスの定量的な算出が容易になると考えられる。

5.標準化を含む戦略的国際貢献(P.72)

わが国はISMS認証取得数で世界一を誇るなど、取組みや経験を積極的に国際社会へ発信するべき立場にある。また、国際貢献を通じて標準化に寄与することは、国際競争力向上の観点から見ても重要である。標準化を図るためには、途上国においては情報通信インフラの拡充が不可欠であり、財政面のみならず人材面、技術面での支援も必要である。その際には、政府が先鞭をつけ、民間の投資を呼び込むようなフレームワークが必要となる。したがって、国と企業が連携しながら戦略的に国際貢献できる体制の整備のために、より具体的な施策・工程表を検討すべきである。

6.電子行政のセキュリティ確保(P.24)

日本経団連では電子行政の実現に向けた積極的な活動を行っている。今後電子行政推進の大前提となる国民・企業IDの早期導入に向けた検討が活発化すると思われるが、広く国民の理解を得るためにはセキュリティの確保が不可欠である。社会保障番号、納税者番号制度、国民電子私書箱などの検討の段階からNISCが参画し、安心なシステム構築に貢献すべきである。

7.「情報セキュリティ報告書」の位置づけ(P.17、77)

「情報セキュリティ報告書」の作成が、政府の施策(P.17)、および企業の施策(P.77)として、言及されている。いずれの施策も、情報セキュリティに関する取り組みを他者からわかりやすくするように開示するものであるが、NISCが各府省庁での情報セキュリティ関連の取り組みを把握するための施策である政府機関の「報告書」と、企業がステイクホルダーへの情報開示の一環として自発的に発行する「報告書」では、その記載すべき内容も、主体にとっての意義・位置づけも異なってくる。本施策の実施にあたっては政府各府省庁向け、企業向けの性格、位置づけの違いに留意したうえで取り組むべきである。

8.サイバー演習への参加等を通じた緊急時対応能力の強化(P36、P67、P69)

国際的枠組みを活用したサイバー演習への参加を通じて、政府各府省庁や重要インフラ防護事業者の緊急時における対応能力を高め、そこで獲得した知見を、国内外の組織内CSIRT連携などを通じて、段階的に民間企業に対しても活用できるよう、NISCは環境整備と演習に対する理解を促進するような文化の醸成、普及・啓発活動を行うべきである。

以上

日本語のトップページへ