全組織的な取り組みでセキュリティレベルを国際標準まで引き上げ[2]神奈川県藤沢市

ISMSを全組織に浸透させるために

　「ISMS認証取得のために行ったリスクアセスメントでは、適用範囲であるIT推進課全職員の協力を得て、保有する3,000以上の情報資産の洗い出しを行いました。その後、洗い出された保護すべき情報資産を、種類や価値などに応じて約70のグループに集約してリスクの分析と評価を行いました」と、藤沢市 企画部 IT推進課 主幹の須山純子氏は話す。「規程類についても、既存のセキュリティポリシーとの整合性の確認や一部内容の見直しを行い、規程や要綱の新規作成に当たっては、自治体特有の表現などに一言一句の確認が必要でした」。

　ISMSを全組織に浸透させるためには、情報セキュリティポリシー、同基本方針、服務規程、文書規程など既存の関連規程との整合と統合を図る必要があり、膨大な時間と労力が費やされたという。

　しかし、苦労や困難はあったものの、ISMSの認証取得により「組織の情報セキュリティ管理体制の整備が図られ、また組織の情報セキュリティの体質強化ともなり、対外的にも信頼性を向上させることにつながったと考えています」（須山氏）。

シンクライアント導入や情報セキュリティ研修などの先進的取り組み

　このほかにも、藤沢市では情報セキュリティに関連する先進的施策に積極的に取り組んできた。

　2006年に、サーバベースのコンピューティングシステムを導入することで、パソコン端末自体にはデータが残らないようにし、パソコン使用時には指紋による生体認証を行うようにした。シンクライアントの導入は、サーバによるアプリケーションやファイルなどの一元管理を可能とし、運用・管理コストの削減にもつながった。

　2007年には、大規模災害など不測の事態発生時における情報システムの業務継続性を確保する、藤沢市情報システムに関する業務継続計画（IT-BCP）＜地震編＞策定に着手。緊急時対応訓練も定期的に実施し、実施結果を予防措置としてフィードバックさせている。

　情報セキュリティに関する集合研修は、階層別・職種別にきめ細かな研修プログラムを設定し、「コンピュータ利用管理者」と「IT推進リーダ」に対してはそれぞれ1回2時間、年3回の研修を実施。事務職や消防職員に対する新採用職員研修、独自システム導入課を対象とする職員研修、保育士及び行政職II表職員を対象とする研修など、さまざまな切り口から最新の情報をテーマとした研修を行っている。

　「いつでも必要なときに、何度でも繰り返し」受講できるeラーニングも活用している。情報セキュリティ研修は必修で、コンテンツの各章ごとにテストがあり、100点をとらないと修了できない。最後に次年度へ向けたアンケートのすべてに回答して初めて研修を修了することができる。2007（平成19）年度の研修対象者は2,308人で、受講率は100％だった。

大事なことは個人の意識とトップの理解

　「IT推進課では、2002（平成14）年度から『パソコンセキュリティ実態調査』を行っています。当初は、個人持ち込みのパソコンがないか、承認外の外部機器が接続されていないか、パスワードのメモが貼付されていないか、などのチェックを連絡なしに該当課へ出向いて行うので、結構嫌がられていたようです」と、須山氏は笑う。現在はシンクライアントが導入されているので、業務系システムとシステムを独自に導入した課のパソコンの実態調査に焦点を移し、事前に調査対象課によるセキュリティの自己採点をしてもらったうえでヒヤリングと調査を行うようになった。「情報セキュリティで重要なのは一人ひとりの意識だと思います。セキュリティは自らを守ることでもあり、目標管理は各課で責任を持ってもらうことが必要です」。

　また、藤沢市のセキュリティレベルをISMS認証基準まで引き上げることができた重要な要素として、須山氏は「トップの理解があったこと」を挙げる。市長と副市長の理解に加えて、全庁での取り組みとして情報セキュリティの向上を図ったことが、事業の推進を後押しし、財政的な裏づけを得ることにもつながったという。ここには、他の自治体の参考となる重要なメッセージが含まれているといえるだろう。

（本稿内容は2008年4月末 現在のものです。）