行政のセキュリティ投資はどうするべきか？：システム部門Q＆A（35）（1/2 ページ）

同じセキュリティ対策であっても、民間企業と行政では考え方がまったく異なってくるはずだ。今回は、行政における情報セキュリティ対策のやり方について考えてみる。

自治体の情報セキュリティ対策は急速に整備された

　2001年ごろの自治体（中央省庁も含める）のITレベルは、民間に比べてかなり遅れており、「民間に学べ」が合言葉でした。情報セキュリティ対策の分野でも同様です。セキュリティポリシーの策定はセキュリティ対策の基本となるものですから、それが策定されていなければ、セキュリティ対策が進んでいないといえます。しかし、当時の自治体におけるセキュリティポリシーの策定状況は中小企業並みでした。

図表1：行政のセキュリティポリシー策定状況

　それが、e-Japan戦略などの電子自治体施策によって、自治体のセキュリティポリシーの策定が急速に普及していきました。総務省の「地方自治情報管理概要」2005年10月（2005年4月時点の調査）によると、情報セキュリティポリシーを策定しているのは、都道府県では100％、市町村でも92.5％になっています。

　個人情報保護条例も都道府県では100％、市町村でも98.0％が制定しています。民間企業では、大企業においてもこのレベルにはなっていません。セキュリティポリシー策定が情報セキュリティ対策の尺度になると仮定すれば、素晴らしいことです。もはや「行政に学べ」を合言葉にしてもよいでしょう。これは、自治体職員の方々の努力の成果であり、敬意を表します。

でも、仏作って魂入れずの体質のようだ

　一方で、「行政のセキュリティ対策が、実際にどれだけ機能しているのか？」となると、かなり雲行きが怪しくなってきます。民間企業と比較して多いのか少ないのかは、筆者には分かりません（読者の方へ：このような統計がありましたら教えてください）が、防衛庁での事件など、行政やその関連組織からの個人情報漏えい事件は多く伝えられています。

　日経BP社の調査（全国電子自治体会議 e都市ランキング2006 中間報告（2006年5月））によると、自治体におけるWinny対策の実施状況は、「庁内LANで動作していないかを調査した」と回答したのが38％、「庁内で動作させることをルールで禁止した」のが43.5％とのことです。逆にいえば、過半数の自治体では庁内にWinnyが存在しているかどうかすら分からない状態なのです。

　しかも、毎日新聞の調査（2006年5月1日）によると、2005年4月から2006年3月までの1年間に、Winnyを介した情報漏えい事件が新聞（全国紙、地方紙）で報じられた106件のうち、民間企業・団体から流出したケースは44件で、そのうちの34社（77％）がホームページ上で謝罪や経緯、再発防止策などを公開していました。これに対して、官公庁、警察、公立学校、病院などの公的機関では、流出したケース59件のうち、公開したのはわずか13件（22％）だけだそうです。

　また、セキュリティとは直接の関係はありませんが、読売新聞（2006年5月3日）は、2005年度の国税の電子申告・納税システム（e-Tax）利用率は0.4％であり、韓国の75％、米国の50％に遠く及ばない状態だと報じています。

　開始間もないこともありますが、これはあまりにも低い普及率です。住基カードは2003年8月に開始されましたが、2005年8月までの交付枚数は68万枚で、住基人口当たりの普及率は0.5％にすぎないとのことです（総務省）。IT新改革戦略では、これらの利用率を高めることが目標に掲げられていますが、まずシステムを構築してから利用率向上の対策を考えるというのは、民間企業では信じられないことですし、行政が推進しているEA（Enterprise Architecture）の考え方にも反しているでしょう。

　これらの数字を見ると、自治体は国から指導されたことは形式的に実行するものの、本来の目的の実現にはあまり熱心ではないし、都合の悪いことは公表しない体質のように感じてしまいます。仏作って魂入れずでは困ります。