市民の情報を守り、市民への説明責任を果たすこと

　　情報セキュリティ対策への取り組みは、企業はもちろん、全国の自治体にとっても喫緊の課題です。市民の個人情報を大量に扱う自治体においては、その公共性を考えると、民間企業以上に厳しい対策が求められていると言えるでしょう。ただし、各自治体がバラバラに対応していては、効果的な対策はまず不可能です。

　2001年3月、総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公表（2006年9月に改定）。すべての自治体は、このガイドラインに沿って地域の実情に即した情報セキュリティポリシーを策定し、ポリシーに沿った対策を実行することが求められています。ただし、多くの自治体が財政難にあえぐ中、効果的な対策を打てないのが実態だといいます。

　こうした中、藤沢市は、常に積極的なIT施策を実行してきたことで注目されています。前述の総務省のガイドラインを受け、2002年5月に「藤沢市情報セキュリティポリシー」を策定。このポリシーに基づく対策を実施するとともに、「情報セキュリティ委員会」を設置し、副市長を最高情報統括責任者（CIO）とする体制を作りました。

　さらに、2006年3月に改定された「藤沢市地域IT基本計画」の中で、さまざまな情報セキュリティ施策を示し、指紋認証とICカード、監視カメラによる入退室管理、シンクライアントの導入、セキュリティ意識向上のための職員の研修などを実施してきました。2006年8月には、セキュリティ対策への取り組みを市役所という組織全体に根付かせる目的で、情報セキュリティマネジメントシステム（ISMS）認証を自治体としては全国で8番目、神奈川県内では初めて取得しました。

　こうした功績が認められ、藤沢市は2008年2月に内閣官房情報セキュリティセンターより表彰を受けました。その理由は次のような評価からです。藤沢市情報セキュリティポリシーなどに基づく内部・外部監査を実施し、国際規格の情報セキュリティマネジメントシステムの認証を先行的に取得するとともに、シンクライアントや生体認証の導入、IT-BCP策定に取り組むなど、先進的な取り組みは他の地方公共団体などの模範となる顕著な功績がありました。その取り組みの中心を担ったのが企画部IT推進課です。自治体にとっての情報セキュリティが持つ意味を、藤沢市役所 企画部IT推進課 主幹須山純子氏は次のように説明します。

　　「私たちは市民の皆さんの膨大な個人情報を扱っていますから、万が一個人情報が漏れたら市民に与える影響は甚大です。仮に事件・事故で情報が漏えいした場合、その経緯を説明する責任が発生します。その他、情報の改ざんを防ぐことやシステム障害等によるシステムの中断を防ぐことも、すべての自治体が取り組むべき重要な課題と考えます。情報セキュリティは単に“情報を守る”だけではなく、市民の安全・安心、そして市民の利益を守ることであり、市民に対して、どのように情報資産を守っているか説明する責任があると思います」（須山氏）。

　なお、ISMS認証適用範囲は「IT推進課執務室」「コンピュータ室」「ネットワーク」としました。情報を集中管理しているこうした部門から適用することでセキュリティを確保し、順次適用範囲を拡大していこうと考えたのです。

規程文書の作成とリスクアセスメントがハードルに

企画部IT推進課の入り口には、情報セキュリティセンターより贈られた表彰状と並んで、情報セキュリティマネジメントシステム（ ISMS ）認証の登録証が飾られている

　　IT活用では先進的な藤沢市だけに、多くの自治体から視察団が訪れますが、ISMS認証取得についての質問を受けるたびに、須山氏は次のように答えると言います。

　「取得に向けて、ＮＥＣソフトにはコンサルタントとして入ってもらいましたが、自分たちだけで取得することは難しかったと思います。職員の負担は大きく、もちろん経費もかかります。ですから、視察にいらっしゃった方には『大変ですよ』と正直に答えます。私たちの場合は、職員がやる気になって、上司がそれを認めてくれたのも大きいですね。現場のやる気も大切ですが、トップの理解は絶対に必要です」（須山氏）。　

　認証取得に向けては、リスクアセスメント、規程の作成（ISMS文書化作業）、内部監査、研修、審査など、広範囲な作業が必要になります。中でも「規程の作成」と「リスクアセスメント」が大変だったと言います。規程の作成に関しては、ISMS特有の表現と役所特有の表現のすり合わせに苦労しました。

　「我々としては、ISMS独自の表現を理解するのに苦労しました。たとえば、ISMS独自の言葉の言い回しに『確実にする』という表現があります。『情報セキュリティを確実にするための』といった使い方をするのですが、どこまでセキュリティを確保すれば『確実』とされるのか、その判断基準がわからず、時間がかかりました。逆にＮＥＣソフトは、役所の言葉で文書を作り上げていく難しさを感じたのではないかと思います。役所特有の言い回しについては、担当部署に正しいかどうかをひとつひとつ確認しつつ、何度も見直しながら作成していきました」（須山氏）。　

　リスクアセスメントでは、3000もの文書・システムなどの情報資産を洗い出し、情報の種類や価値を基準に70のグループに分類、リスクを評価していきました。洗い出しに1か月、そのあとのリスクアセスメントに2〜3か月を要しました。　

　「リスクアセスメントと言われても、何をどうやったらいいのか、まったくわからない状態からのスタートでした。とても苦労しましたね。ただ、規程の作成も含めて苦労した分、私たちのISMSの考え方に対する理解は深まったと感じています。この経験は、今後のセキュリティ対策を考えるうえでも貴重な財産になるはずです」（須山氏）。

　ISMSの認証取得が2006年であったので、3年目の2009年が更新審査の年に当たります。現在は更新審査に向け、日常からの予防活動などを徹底しているところです。一般企業の場合、3年も経過するとポリシーの形骸化が始まっているケースが少なくありません。しかし、藤沢市にその心配はないようです。たとえば、藤沢市では年3回、情報セキュリティ研修を開催。IT推進課だけではなく他の課と共催するなどして、できるだけ多くの職員が関われるように工夫しています。また、研修の講師を市内の大学から招くなど、地域と一体となった取り組みも行っています。　

　職員全員を対象に個人情報保護と情報セキュリティのe-ラーニング研修も実施。いずれも100点を取らないと修了できないという厳しいものです。今では、日常の中で自然と「これは予防策にあたる」、「これは障害報告を作成すべきものである」といった判断が、コンサルタントの力を借りなくてもできるようになったと言います。

　今後のISMSの認証更新について、須山氏は次のように語ります。

　「2009年度は、住民情報を一括して扱う『市民窓口センター』をISMS認証の適用範囲に入れる予定です。それ以降については、社会状況を見ながら判断することになりますが、ISMSの考え方そのものは、今後も継続して広めていくつもりです。自治体としては、できうる限りのセキュリティ対策を、優先順位を考えながら実施していくことが大切だと思います」（須山氏）。

災害時の業務継続計画であるIT-BCPも策定

　　もともと、情報セキュリティ対策は災害対策と深いつながりがあります。災害時に情報システムをいかに維持し、情報を守るかが問われるからです。こうした考え方に立ち、藤沢市では「藤沢市情報システムに関する業務継続計画（IT-BCP）＜地震編＞」を策定しました。これは、2008年8月に総務省が公表した「地方公共団体におけるICT部門の業務継続計画（BCP）策定に関するガイドライン」に沿ったものです。その目的は、地震をはじめとする大規模災害など、不測の事態発生時における情報システムの業務継続性を確保することにあります。　

　藤沢市は、震度6強にも耐えられる免震構造の藤沢市総合防災センターを2002年に建設。センター内には、消防本部、災害対策課などに加えてIT推進課も組み込まれており、サーバー類もすべてこの建物に集約。2006年には庁内のパソコンをシンクライアントに変更することで、データがサーバーに一括して保存されるようにするなど、情報セキュリティ対策と災害対策を一体化して進めてきた経緯があります。

　IT-BCPの策定に当たっては、休日・夜間に震度6強の地震が発生したことを想定して、リスク分析や業務に対する影響度分析が行われました。リスク分析の際には、ISMS認証取得時に整備した情報資産台帳を活用し、作業の軽減を図ったということです。

　2008年8月には、全庁の課等の長による参集防災訓練の際に、IT推進課は独自で、IT-BCP策定後、初の緊急連絡訓練を実施。職員の緊急連絡状況を把握するなど、策定された方針にしたがい、具体的なプランが実行に移されています。