情報システムの脅威には、
自然災害(地震、風水害、火災など)
機器の故障・誤動作(ネットワークの断線、コンピュータのダウンなど)
人間の過失(誤入力、プログラムミスなど)
人間の故意(ウイルス、不正アクセスなど)
などがあります。
一方、情報セキュリティ対策とは
機密性(Confidentiality)
保全性(Integrity)
可用性(Availability)
を確保することだとされています。CIAとすれば覚えやすいでしょう。
そして、これらが不十分なことを脆弱性といいます。
一般に、脅威そのものをなくすことが困難ですが、CIAを高める(脆弱性を少なくする)ことにより、脅威がインシデント(事故・事件)になる確率、インシデントになったときの被害の大きさを小さくすることができます。
リスクの大きさは
発生確率 × 発生時の被害の大きさ
で表現できます。
発生確率が大あるいは被害の大きさが大、すなわち、大きなリスクに対しては、情報セキュリティ対策を講じることにより、リスクの大きさを小さくする必要があります。
それに対して、小さなリスク
・日本沈没のような、被害は大であっても発生確率が小さいもの
・1枚の名刺を紛失するような、発生確率は大きくても被害が小さいもの
までも防ごうとすれば、膨大な費用がかかるわりには効果がありませんから、そのようなリスクは受け入れることにするのが妥当です。それを受容リスクといいます。
いいかえれば、情報セキュリティ対策とは、すべてのリスクを受容リスクのレベルに引き下げることだといえます。
それでは、その受容リスクをどの程度にすればよいのかが問題になります。
受容リスクのレベルを大にすれば、対策費用はかかりませんが、被害費用が大になります。受容リスクのレベルを小にすれば、被害費用は小さくなりますが、対策費用が大になります。それで、被害費用と対策費用の合計が最小となるように受容リスクを設定するのが適切だということになります。
現実には、被害費用も対策費用も客観的に定量化するのは困難でしょうが、基本概念としては、このような考え方は妥当でしょう。
地方自治体での情報セキュリティ対策では、民間企業とは異なる特殊性があります。
情報セキュリティの対策費用も被害費用も税金です。過剰対策は税金の無駄使いですし、個人情報漏洩の補償金も税金で賄われます。すなわち、民間企業と異なり、地方自治体は結果責任を負うことができないのです。だからこそ、民間企業以上に説明責任が重要なのです。
受容リスクをどのレベルと考えるのが最適なのか、対策費用が適切に配分されているかを、説明できることが求められますし、それを第三者が監査することも必要です。
民間企業では、
・ISMS適合度評価制度
・プライバシーマーク制度
などがポピュラーですが、地方自治体でも考えるべきでしょう。
毎日新聞「MSN毎日インタラクティブ(現在サービス終了)」(2006年5月1日)では、同新聞で報じられたウィニーを介した情報流出事件(2005年4月~2006年3月の1年間)で,流出経緯や内容をホームページで公開した件数を、行政と民間で比較しています。民間では44件流出事件のうち、34件(77%)が公開しているのに対して、行政では59件のうち13件(22%)しか公開していません。サンプル数が少ないことから、これで断言するのは危険ですが、行政は民間よりも説明責任の認識が低いようです。
情報セキュリティ対策の第三者評価として外部監査が注目されています。ところが、その結果を公表することについては、地方公共団体セキュリティ対策支援フォーラム「情報セキュリティ監査の推進課題」2006年によると、「セキュリティ対策の向上に役立てばよい」が14.6%、「一定の成果を挙げた時点で検討する」が41.2%であり、過半数になっています。現状がどうなのかを住民に知らせることは説明責任として重要だと思います。
最近では、事故・事件を公表することが多くなってきました。ところが、多くの内容は、「これこれの事件があった」と公表し「被害者に対して事情を説明し謝罪を行うとともに、原因の追及を行い、今後このような事件が発生しないよう、さらに対策の強化を講じる」という「おわび型」です。
私たちが求める説明とは、「おわび」ではないのです。他の地方自治体や民間企業が「他山の石」として活用できるための「ノウハウ提供型」の情報公開なのです。責任追及をするのではなく、どのような脆弱性が脅威をインシデントに変えたのかを淡々と分析して、再発防止の手段を具体的に示すこと、そして、一定期間後にその手段の成果を報告することなのです。
このような事例集は貴重です。民間企業とくらべて地方自治体は不買運動などの関連被害が少ないので、安心して(?)公表できるでしょうし、失敗の被害を少しでも回収することは納税者への義務だと思います。ぜひお願いしたいと思います。
住民、マスコミ、議会などは、とかく、トラブルが発生すると責任を追及するのに、費用対効果からの指摘や適切な措置をしたことへの評価はしません。しかも、その責任追及が個人への攻撃になったり政争の具にされがちです。これでは、説明責任を求めたり、トラブルの積極的な公表を求めることはできません。
社会が、情報セキュリティに関する健全な知識を持つことが必要です。