- ホーム
- > セキュリティ優良取組事例インデックス
- > 情報セキュリティ体制のより一層の強化をめざした「共同監査」を実施[1]
情報セキュリティ体制のより一層の強化をめざした「共同監査」を実施[1]長崎県佐世保市
WMV形式:19.08MB
情報セキュリティの強化が求められるなかで、その体制をどう構築していくかは大きな課題である。自治体にとっては、監査のノウハウがないことに加えて、毎回、外部の監査に頼っていては予算措置として適切かどうか、また主体的に情報セキュリティを強化するという意識向上につながらないのではないか、という懸念も出てくる。長崎県佐世保市は、 公的な資格を持つ専門家の支援を受けて、市職員によるセキュリティ監査を行うことを「共同監査」と規定し、2005年度に監査委託事業者を中心とした情報セキュリティ監査を実施。これによるノウハウを得たことを受けて、2006年度は監査委託事業者の助言を得ながら市職員主体の監査を行った。
佐世保市(させぼし)
| ■位 置: | 長崎県の北部にあり東シナ海、佐世保湾、大村湾に面する県内第2の都市。「平成の大合併」では、2005年4月1日に旧吉井町、旧世知原町と合併、翌年3月31日に旧宇久町、旧小佐々町と合併して市域を拡大した。海岸部は各所に半島や岬がある入り組んだ地形のリアス式海岸となっている。佐世保港外から平戸まで約25kmの海上は、大小208の島がある九十九島で、西海国立公園に属している。 |
|---|---|
| ■面 積: | 364.00km2 |
| ■人 口: | 25万4,305人、10万1,031世帯(2008年3月1日現在) |
| ■沿 革: | 明治から昭和初期にかけては、旧日本海軍の軍港のまちとして発展。1902年に市制に移行。太平洋戦争終結後は、佐世保港が貿易港に指定され、1952年には米海軍基地、さらに翌年には海上警備隊佐世保総監部(現海上自衛隊佐世保総監部)が設置された。1992年、市の南部に工業用地として開発された埋立地を転用してオランダの景観を模した自然共生型アミューズメント施設「ハウステンボス」がオープン、観光地としての賑わいも見せている。 |
2004年度に情報セキュリティポリシーを策定し本格運用を開始
佐世保市が情報セキュリティ監査をスタートさせるきっかけは、2004年度に情報セキュリティポリシーの本格運用を開始したことである。
情報セキュリティポリシーのなかには、定期的な監査の実施が盛り込まれており、情報セキュリティポリシーを基本方針として、その対策基準について電子情報取扱要綱を定めた。さらに実施手順として佐世保市情報セキュリティ管理基準、ネットワークや接続される端末の運用管理要綱を定めている。
つまり「情報セキュリティポリシーを基本とした、ピラミッド構造の情報セキュリティ対策」を基本体系として運用している。
情報セキュリティポリシーの運用開始とともに、管理職および一般職を対象に情報セキュリティ研修を実施。2005年度には、情報セキュリティの管理手法について改善や見直しを図った。
佐世保市企画調整部情報政策課行政情報係の熊本立人氏が、「地元のベンダに開発委託をして、まず情報資産管理システムを導入し、各課の電子情報、文書情報、端末情報を適正に管理できるようにシステム化しました。併せて、各課で情報資産の適正管理のための自己点検のルール化を図りました」と語るように、ITをベースにして情報セキュリティ管理体制の強化にも着手している。そしてサンプリングした5部署を対象に最初の情報セキュリティ監査を実施した。
最初は監査のノウハウを得るために監査委託事業者との共同監査を実施
最初の段階では、セキュリティ監査を実施するためのノウハウは十分とはいえなかった。このため、「最初の監査は、外部の専門家と電子情報セキュリティを担当する情報政策課、そして文書情報セキュリティを担当する総務課の職員で監査チームを作って行いました」(山中課長)。
つまり外部の専門家を主体として監査を実施し、職員がそのノウハウを吸収することも監査の目的とした。佐世保市企画調整部情報政策課課長の山中高寛氏は、外部の専門家を加えたことで、「監査に関するノウハウ取得とともに、第三者的視点による改善点の把握や対策の実施、さらにセキュリティポリシーや情報取扱要綱の見直しなどの際の適切な助言を得ることができました」と語る。
最初の監査でいくつかの課題が見つかった。例えば、「日常の文書情報から電子情報の管理についても、初歩の段階からセキュリティ保持が適正に運用されているかどうか、という基本的な指摘も出ました」(熊本氏)というような、情報セキュリティポリシーをはじめとする各種の必要な規定が職員レベルまで完全に落とし込まれているか、という指摘だった。
佐世保市は情報セキュリティ強化のために、各部署が年4回の自己点検を実施することになっているが、それが100%理解され、運用されているかどうかは疑問だということがわかった。
- WMV形式:19.08MB
