地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や参考にすべき部分について
- INDEX
-
総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、国家組織としてセキュリティに対する取り組みの指針や目標となる部分です。
今回は、地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や、参考にすべき部分についてご説明します。
地方公共団体における情報セキュリティポリシーに関するガイドラインとは
まずは、地方公共団体における情報セキュリティポリシーに関するガイドラインについて、簡単に説明します。
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 2 年 12 月版)
上記を参考にしておりますので、お時間のある時に公式のPDFにも目を通しておくことをおすすめします。
地方公共団体における情報セキュリティポリシーに関するガイドラインの目的
一言に地方公共団体と言っても、組織の規模を問わなければ数限りない団体があります。それぞれが独自に情報セキュリティに努めているような状況において、情報セキュリティポリシーを策定や見直しする際に役立てて欲しいと作られたのが、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の目的です。
地方公共団体における情報セキュリティポリシーに関するガイドラインの経緯
総務省では、地方公共団体や官公庁など、日本が「世界最先端の情報セキュリティ先進国」となることを最終的な目標として掲げており、段階的にガイドラインの見直しを続けています。ITが普及する速度、ITが進化する速度にあわせてセキュリティの強化は必要です。
しかし、技術に人が付いていけてない、もしくは、現場が間に合わないといったような状況があるのも事実です。各種専門家と共同で作成したガイドラインを適宜アップデートすることで、日本全体における情報セキュリティの強化を促していると言えます。
地方公共団体における情報セキュリティポリシーに関するガイドラインの考え方
ガイドラインでは「情報セキュリティの確保に絶対の安全はない」という文言があります。同時に地方公共団体の提供するサービスは民間などで代替できないケースが多く、個人情報の利用を前提としているものも少なくないことから、強固な情報セキュリティが必要になります。もちろんこれまでもネットワークやシステム、プログラムやデバイスも含めてセキュリティ強化を行ってきてはいますが、さらに人的な部分のセキュリティを強化すること、強化し続けることが大事というのが、ガイドラインの基本的な考え方と言えます。
地方公共団体における情報セキュリティポリシーに関するガイドラインの必要性
地方公共団体や組織においてセキュリテインシデントが発生した場合、直接的な被害を受けるのはその組織に属する民間の人間です。個人情報の内容によっては個人を特定するどころか、悪用できてしまう可能性も高いでしょう。国家として、国民を守るために情報セキュリティポリシーが必要であることを、このガイドラインは示しています。同時に、基本方針や対策基準を骨格として策定することで、最低限のセキュリティレベルを確保することにもつながります。
地方公共団体における情報セキュリティポリシーに関するガイドラインの実施サイクル
・策定/導入 「ポリシー/実施手順の策定/周知」
・運用 「対策の実施/障害時の対応」
・評価 「監査/点検」
・見直し 「ポリシー/実施手順の更新」
上記は、情報セキュリティポリシーのガイドラインにおける実施サイクルの基礎となる部分です。PDCAサイクルになっており、改善を続けることで、より強固な情報セキュリティになる仕組みと言えます。地方公共団体においては、直接的に国民の情報に影響することを考えると、「安心・信頼」できる仕組みであることは大前提です。国民が安心して情報を預けられること、また、生活や人生における手助けとなる公的なサービスを利用してもらうためにも、情報セキュリティの強化及び改善は必須であると言えるでしょう。
もっと知りたい! 公共団体600団体が導入実施した「三層の対策」とは? >>
地方公共団体における情報セキュリティポリシーに関するガイドラインの参考にすべき部分
次に、地方公共団体における情報セキュリティポリシーに関するガイドラインの、特に参考にすべき部分をいくつか見てみましょう。
情報セキュリティポリシーの策定及び導入の手順
ガイドラインの情報セキュリティポリシーの策定や導入の手順は非常に参考になります。最低でも地方公共団体と同レベルの情報セキュリティポリシーの策定につながりますし、根拠や効果のない情報セキュリティポリシーを作らずに済みます。
そもそもガイドラインとは目標や指標となる資料ですから、何もわからないまま策定や導入を行うよりも、各種専門家が協議し、総務省として提示したガイドラインを参考にすることは、効果的と言えるでしょう。
情報セキュリティポリシーの運用・評価・見直しの流れ
ガイドラインの情報セキュリティポリシーの運用・評価・見直しの流れも参考になります。特に情報セキュリティにおいては適宜アップデートしなければセキュリティ性を確保し続けることが難しいので、評価や見直しという考え方は絶対に取り入れるべきです。また、IT関連に疎い業界や業種によっては、情報セキュリティは敬遠しがちですし、運用や評価、見直しといった段階まで想定できていないこともあります。しかし何らかの顧客情報、個人情報を取り扱うのであれば、得手不得手や向き不向きではなく「情報セキュリティ対策は絶対に必要」と考えべきです。
ガイドラインの例文を参考にした骨格作り
ガイドラインには例文もあるため、情報セキュリティポリシーを作成する際の骨格作りにも役立ちます。同時に最低限どこまで考えるべきか、何を知っておくべきかの理解にもつながります。ガイドラインの話だけを見ているとわかりにくい部分はありますが、情報セキュリティポリシーは「サイバー攻撃に対する必要最低限の要素」であり、その必要最低限の要素も満たせず、顧客やユーザーに迷惑をかける結果となる可能性を忘れてはいけません。なぜ、このような策定が必要なのか、運営や評価、見直しが必要な理由への理解も深めるようにしましょう。
具体的なPDCAサイクルや権限や担当の設定
ガイドラインに記載されているPDCAサイクルも非常に参考となります。同時に権限の割り振りや担当の設定など、運用するための人員や役割についても考えるようにしましょう。環境によっては情報セキュリティが軽視されたり、疎かになったりすることもありますが、DXの推進、ITの進化に伴って必要な業務・作業であると理解しましょう。例えば、企業や組織として必要な業務や手順があるように、情報セキュリティについても軽視や疎かにしないことが大切です。
物理的・人的・技術的セキュリティの再構築
ガイドラインを通じて、物理的、人的、技術的セキュリティの再構築も検討しましょう。例えば、情報セキュリティに関する担当や部署がなければ構築すべきです。これからの時代、ITに関する法的な整備もさらに強化されることが予測されます。情報セキュリティが疎かであることで罰則、あるいはサイバー攻撃による被害を実際に受けてしまう可能性も否めません。普段の業務や作業に加えて、しっかりと情報セキュリティ対策をすること、情報セキュリティポリシーの策定、運用、評価、見直し(改善)となる仕組みを導入することをおすすめします。
まとめ:最終的にはシステムや業務プロセスにガイドラインを適用しなければならない
今回は 地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や参考にすべき部分についてご説明しました。
こういったガイドラインに関する説明を見ていると「詳しいことはわからないけれど、必要だということはわかっている」と頭を悩ませる場合もあるでしょう。同時に「どうやって情報セキュリティを導入、運営すれば良いかわからない」と考えることもあるかもしれません。
もし、情報セキュリティに関する部分でお悩みであれば、当社の提供する「AssetView」をおすすめします。情報セキュリティポリシーを運用するために必要な情報セキュリティに関する機能を備えている他、情報資産やIT資産を守るための機能がありますので、ぜひともこの機会にご相談、お問い合わせください。