スタートページ主張・講演

地方自治体の
情報セキュリティ対策と個人情報保護について

本稿は、2007年11月20日・21日に神奈川県海老名市殿の職員研修で行った講演の要旨を、同市のご了承を得て掲載したものです。

目次
1 個人情報漏洩等の実態
 (1)地方自治体の情報セキュリティ対策の体制は急激に改善された
 (2)地方自治体関連の個人情報漏洩等事件
2 情報セキュリティの基本と自治体での特殊性
 (1)セキュリティ対策の基本
 (2)自治体での特殊性
 (3)説明責任が重要
3 個人情報保護法の意義と過剰反応問題
 (1)個人情報保護に関する流れ(行政機関を中心に)
 (2)過剰反応の例

ここでは、「個人情報保護」と「情報セキュリティ」を混同して取り扱っています。地方自治体では、情報資産の多くが個人情報に関係しているため、これらをわけて考えるのは困難だからです。


1 個人情報漏洩等の実態

(1)地方自治体の情報セキュリティ対策の体制は急激に改善された

総務省「情報セキュリティ対策の状況調査」2002年によれば、当時の情報セキュリティポリシーの策定状況は、地方自治体ではわずか12.2%が実施済でした。これは、民間大企業の28.5%に遠く及ばず、中小企業の9.6%に近い数字であり、地方自治体の情報セキュリティ対策が遅れていることが指摘されていました。

ところが、e-Japan戦略での電子自治体推進により、状況は一変しました。総務省「地方自治情報管理概要」2007年によると、すべての自治体が、情報セキュリティポリシーや個人情報保護規程を策定しています。それに対して民間企業では、野村総合研究所「企業における情報セキュリティ実態アンケート調査2006」によると、個人情報保護規程は個人情報保護法対応により82.9%と高くなっていますが、情報セキュリティポリシーは56.6%にとどまっています。
 情報セキュリティ監査の実施や情報セキュリティ教育の実施でも、都道府県ではほぼすべてが実施しており、市区町村でも民間企業と同じ程度の実施率になっています。

海老名市の電子自治体化は進んでいます。日経パソコン「e都市ランキング 2007」では、海老名市は総合で全国1606自治体中58位、神奈川県29市町村中9位です。神奈川県での順位が不本意に思われますが、藤沢市が2位、横須賀市が5位、隣の厚木市が7位というように神奈川県のレベルは非常に高いのです。全国の市と区の平均と比較すると、5つの評価分野のすべてにおいて、海老名市は大きな得点を得ています。
 今日のテーマである情報セキュリティの分野は、セキュリティポリシーの制定、情報セキュリティ監査の実施、セキュリティ対策の実施、ウイルス対策などが評価項目になっていますが、海老名市は神奈川県で6位になっています。5つの分野でも特に情報セキュリティ対策に力を入れていることがわかります。
 皆様の努力に敬意を表します。

このようなランキングは、質問者が重要だと想定した質問項目に、○×の回答により評価するのが通常で、対策はしているが実効があったかどうかまで調査するのは困難です。そのため、この結果に一喜一憂するのは不適切です。
 しかし、外部者が、どのような項目を重視しているのか、他の自治体での状況と比較して自庁の状況はどうかなどを知るにのには適切な資料になります。外部監査の一つとして考えるのが適切です。

(2)地方自治体関連の個人情報漏洩等事件

このように地方自治体の情報セキュリティ対策は整備されてきたのですが、それでも個人情報漏洩等の事件は日常的に頻発しています。以下はSecurity NEXT(http://www.security-next.com/)から抜粋しました。

●書類紛失・盗難

●記録媒体の紛失・盗難

このように、個人情報の入った紙の書類やUSBメモリなどを庁外に持ち出して、紛失したり盗難にあったりする事件は日常的に頻発しています。それが発生する局面は多様です。しかも、「8」のような記録媒体の多様化にも留意する必要があります。特に携帯電話は、機能が充実しており、重要な情報が蓄積されているので注意する必要があります。

日本ネットワークセキュリティ協会「改訂版 2006年度 情報セキュリティインシデントに関する調査報告書」では、2006年における民間企業を含む個人情報漏洩事件について、漏洩媒体比率(件数)では紙によるものが43.8%、USBメモリなどの可搬記録媒体によるものが8.2%であり、これだけで全体の過半数になっています。しかも、漏洩した被害者数では、可搬記録媒体によるものが56.6%を占めています。

また、漏洩原因比率(件数)では、紛失・置忘れが29.9%、盗難が19.0、誤操作が14.7%など、不注意による漏洩が多くを占めています。

とかく情報セキュリティというと、ウイルスや不正アクセスが話題になりがちですが、
  ・紙やメモリなどの紛失や盗難など、非IT分野の対策が重要
  ・IT部門など限られた人ではなく、全職員の問題としてとらえることが重要
ことに留意するべきです。

不注意への対策としては、「個人情報は預かりもの」の認識が重要です。他人から現金や品物を預かったら善管義務が生じます。とかく情報は目に見えないことにより、その認識に欠けることが多いので、個人の認識向上が求められます。情報持ち出しには、申請書提出を義務付けるのは、直接の被害の防止にはならなくても、意識の喚起には有効です。
 でも、そのようなシツケだけではなく、パソコンにUSBなどを接続させないシステムにしたり、パソコン利用で個人認証したりするなどのシカケを講じることも必要です(これらは海老名市では採用済)。
 さらには、業務環境の改善が求められます。

●Winnyによる流出

ここでは、P2Pでのファイル交換ソフトへのウイルスによる違法な情報流出のことを、Winnyによる流出ということにします。あれほど大きな社会問題になったのに、日経ITpro「約85%の自治体がWinny対策を実施「e都市ランキング2006」中間報告より」では、庁内での利用禁止をルール化した自治体は半分以下であり、特に対策を講じていないのが14.6%という状況です。それでも、85.4%は何らかの対策をしていることにより、庁内からの流出はなくなりました。ほとんどが自宅パソコンからの流出です。これも自宅業務が問題になります。

●外部からの不正アクセス

比較的件数が少ないのですが、サーバなどのセキュリティホールを突いた攻撃は深刻です。特に行政サイトでは、次の弱点があります。

(注)DoS攻撃:標的になるサーバに大量のデータを送りつけることにより、正規のサービスをさせないようにする攻撃です。銀行強盗が盗難車を使うように、DoS攻撃者は直接に標的を攻撃するのではありません。あらかじめセキュリティの弱いサーバにウイルスを仕掛けておきます。それを踏み台といいます。そして、攻撃者の指令により多数の踏み台になったサーバから一斉に標的に大量のデータを送りつけるのです。

●不正利用による被害

これもセキュリティホールを突いた攻撃ですが、その原因が職員がいかがわしいサイトを閲覧したために、攻撃された例です。
 そもそも職場のパソコンやインターネットを私用に使うのは服務規程違反です。これを取り締まるために、不適切なサイトにはアクセスできなくするフィルタリングをかけることができます(海老名市でも対策済です)。また、企業で従業員の電子メールやWeb閲覧などの行動を監視するのは、通信の秘密だとの意見もありましたが、現在ではあらかじめ周知しておけば合法であるとの見解が一般的になっています。

●誤操作

人間は間違いをします。間違いを防ぐには常に意識を高めておくシツケが重要ですが、それとともに、間違いが起こらない、起こってもすぐに発見できるシカケが必要です。そのようなシカケをフールプルーフといいます。
 18のような操作ミスはよく起こります。証券会社の社員が、60万円の株を1株売却するのを間違えて1円で60万株を売却すると入力して、大騒ぎになったこともあります。入力データが妥当でないときは警告を出すようにプログラムにチェック機能を持たせることが必要ですが、どのようなチェックをするのが妥当なのかは、利用者でないとわかりません。この証券会社のときはシステムから警告が出たのですが、それも見落とされたそうです。見落とさないような警告画面にするのも利用者が指摘する必要があります。また、18のような操作で重要なファイルが破壊されたり改ざんされたりしないように、ファイル側にプロテクトをかけておくことも必要です。
 19のような発送業務や20のようなプログラム作成は外注するのが一般的ですが、そこでのトラブルについても発注元の責任が問われます。19では、チェック体制が適切に機能しているかどうかを発注元が監督する責任がありますし、20では、発注者が適切な受け入れテストをすれば、このようなトラブルは発生しなかったはずです。
 とかく業務委託では丸投げになりがちです。しかし、発注元に監督責任があることを認識してください。個人情報保護法ではそれが条文に明記されています。

●その他の留意事項

最近の事例では見当たらなかったのですが、留意すべき事項をいくつか列挙します。

フィッシング
地方自治体を騙って、住民に同サイトを閲覧するようにリンクのある電子メールを送り付けます。ところが、このリンク先には、同サイトと極似した悪意のサイトにつながり、そこで住民が個人情報を入力すると、詐取されてしまうという手口です。同様な手口にサイトスクリプト・スクリプティングとかSQLインジェクションなどがあります。
これらの手口は巧妙なので、住民には対処できないこともあります。それで、検索エンジンなどにより、市と類似したサイトの存在をチェックするなどの対策も必要になります。
標的型(スピア型)攻撃
職員の情報が悪用される場合があります。最近は標的型(スピア型)攻撃が増大しています。例えば水道局の職員に浄水設備の技術紹介のふりをしてWeb閲覧をさせてウイルスに感染させるというような手口です。
ソーシャルエンジニアリング
人間の心理に付け込んだ攻撃です。中央官庁のふりをして情報セキュリティ責任者のユーザIDを聞き出すとか、情報セキュリティ責任者になりすまして、パスワードを聞き出すといった手口です。
その他にも、ごみ箱あさりをして秘密事項を入手するとか、コピー機からの取り忘れから入手するなどの手口もあります。

このように、情報漏洩の危険は、あらゆる場面に存在することに留意してください。

●内部犯罪への対処

内部犯罪や内部不正行為による個人情報漏洩は、件数は少なくても漏洩した被害者数は非常に大きいといわれています。日本ネットワークセキュリティ協会「改訂版 2006年度 情報セキュリティインシデントに関する調査報告書」は、漏洩被害者のうち内部犯罪や内部不正行為によるものが36%もあり、不明のうちこれに相当する疑いがあるものも加えれば60%にもなると報告しています。

外部からの攻撃への対処にくらべて、内部に対して対処するのは、仲間を疑っているようでやりにくいものです。性善説だの性悪説だのいわれますが、性弱説という考え方があります。「人間は誘惑に弱い」ので、手の届くところに重要な情報があり、見つからずに入手すれば、多額のカネになると思えば、つい魔が差すのは当然でしょう。対策を講じることは、仲間を誘惑から防ぐため、万一犯罪が起こっても嫌疑がかからないための安全保証をすることであり義務なのだというのです。


2 セキュリティ対策の基本と自治体での特殊性

(1)セキュリティ対策の基本

●情報セキュリティ対策とは

情報システムの脅威には、
  自然災害(地震、風水害、火災など)
  機器の故障・誤動作(ネットワークの断線、コンピュータのダウンなど)
  人間の過失(誤入力、プログラムミスなど)
  人間の故意(ウイルス、不正アクセスなど)
などがあります。

一方、情報セキュリティ対策とは
  機密性(Confidentiality)
  保全性(Integrity)
  可用性(Availability)
を確保することだとされています。CIAとすれば覚えやすいでしょう。
 そして、これらが不十分なことを脆弱性といいます。

一般に、脅威そのものをなくすことが困難ですが、CIAを高める(脆弱性を少なくする)ことにより、脅威がインシデント(事故・事件)になる確率、インシデントになったときの被害の大きさを小さくすることができます。

●対策のレベル

リスクの大きさは「発生確率 × 発生時の被害の大きさ」で表現できます。

発生確率が大あるいは被害の大きさが大、すなわち、大きなリスクに対しては、情報セキュリティ対策を講じることにより、リスクの大きさを小さくする必要があります。
 それに対して、小さなリスク
 ・日本沈没のような、被害は大であっても発生確率が小さいもの
 ・1枚の名刺を紛失するような、発生確率は大きくても被害が小さいもの
までも防ごうとすれば、膨大な費用がかかるわりには効果がありませんから、そのようなリスクは受け入れることにするのが妥当です。それを受容リスクといいます。

いいかえれば、情報セキュリティ対策とは、すべてのリスクを受容リスクのレベルに引き下げることだといえます。

それでは、その受容リスクをどの程度にすればよいのかが問題になります。
 受容リスクのレベルを大にすれば、対策費用はかかりませんが、被害費用が大になります。受容リスクのレベルを小にすれば、被害費用は小さくなりますが、対策費用が大になります。それで、被害費用と対策費用の合計が最小となるように受容リスクを設定するのが適切だということになります。
 現実には、被害費用も対策費用も客観的に定量化するのは困難でしょうが、基本概念としては、このような考え方は妥当でしょう。

(2)地方自治体での特殊性

地方自治体での情報セキュリティ対策では、民間企業とは異なる特殊性があります。

●大災害への対処

大災害は発生確率が低いが被害が甚大です。このようなときこそ、地方自治体の情報システムが正常に稼働していることが期待されます。
 「リスクの大きさ=発生確率×発生時の被害の大きさ」の定義は同じだとしても、被害の大きさの測定尺度が民間企業とは異なると考えられます。民間企業でも社会的責任の観点からの事業継続計画が必要ですが、あくまでも被害の上限は倒産です。それに対して、地方自治体には上限が設定できないのです。

●確率と可能性の違い?

住基ネット論争を例にします。表面的な論点は個人情報の漏洩にあります。論理的には、住基ネットにおいて個人情報が漏洩する確率と、漏洩したときの被害の程度をどれだけと見積もるかを論議すべきです。
 ところが、反対派は「××の脆弱性がある」ことを指摘します。それに対して推進派は「○○の仕組みがあるから発生しない」と主張します。すなわち「確率=可能性」を尺度としています。また、情報が漏洩したときの被害の見積もりについては、どちらも具体的な数字を示していません。ここには、「リクスの大きさ」という概念はありません。
 まして、受容リスクをどのレベルに設定するのが妥当なのかの論議が行われていません。

すなわち、住基ネット論争は、情報セキュリティの観点ではなく、政争の観点でとらえているからでしょう。行政での情報セキュリティ対策では、このような観点も無視することができないのが残念です。

(3)説明責任が重要

●説明責任が重要な理由

個人情報漏洩の対策費用も被害費用も税金です。しかも、民間企業と異なり行政は倒産すらできないのです。市長が引責辞職をしても選挙に税金がかかるだけです。結局は住民が結果責任負うことになり、地方自治体は結果責任を負うことができないのです。だからこそ、民間企業以上に説明責任が重要なのです。
 ここで問題があります。とかく、情報セキュリティ対策が万全なことがよしとされがちですが、過剰対策も税金の無駄使いなのですから、その観点での監査も必要です。また、対策費用が適切に配分されているか、すなわち、費用があまりかからない対策を十分にしているかの監査も必要です。

新電子自治体共同研究会 (価値総研、第一法規、ガートナー)が行った地方自治体へのアンケート「自治体におけるセキュリティの懸念は『職員の低い意識』」 (2005年12月)では、自治体自身が抱く懸念として、「情報セキュリティに関する職員の低い意識」がトップに、その他、職員の不注意による事項が多く挙げられています。

「職員の意識向上」には、今回のような研修会を開催するのが一般的です。職員が本来の業務を離れて研修を受けるのですから機会損失が大きいとはいえますが、直接の費用があまりかかないし、効果が大きいので、有効な手段だと考えられます。さらにはe-ラーニングの活用なども考えるべきでしょう。

●未だ説明責任の認識は低い

話を説明責任に戻します。
 毎日新聞「MSN毎日インタラクティブ(現在サービス終了)」(2006年5月1日)では、同新聞で報じられたウィニーを介した情報流出事件(2005年4月~2006年3月の1年間)で,流出経緯や内容をホームページで公開した件数を、行政と民間で比較しています。民間では44件流出事件のうち、34件(77%)が公開しているのに対して、行政では59件のうち13件(22%)しか公開していません。サンプル数が少ないことから、これで断言するのは危険ですが、行政は民間よりも説明責任の認識が低いようです。

情報セキュリティ対策の第三者評価として外部監査が注目されています。ところが、その結果を公表することについては、地方公共団体セキュリティ対策支援フォーラム「情報セキュリティ監査の推進課題」2006年によると、「セキュリティ対策の向上に役立てばよい」が14.6%、「一定の成果を挙げた時点で検討する」が41.2%であり、過半数になっています。現状がどうなのかを住民に知らせることは説明責任として重要だと思います。

最近では、事故・事件を公表することが多くなってきました。ところが、多くの内容は、「これこれの事件があった」と公表し「被害者に対して事情を説明し謝罪を行うとともに、原因の追及を行い、今後このような事件が発生しないよう、さらに対策の強化を講じる」という「おわび型」です。
 私たちが求める説明とは、「おわび」ではないのです。他の地方自治体や民間企業が「他山の石」として活用できるための「ノウハウ提供型」の情報公開なのです。責任追及をするのではなく、どのような脆弱性が脅威をインシデントに変えたのかを淡々と分析して、再発防止の手段を具体的に示すこと、そして、一定期間後にその手段の成果を報告することなのです。
 このような事例集は貴重です(もし販売できればかなり高価で取引できましょう)。民間企業とくらべて地方自治体は不買運動などの関連被害が少ないので、安心して(?)公表できるでしょうし、失敗の被害を少しでも回収することは納税者への義務だと思います。ぜひお願いしたいと思います。


3 個人情報保護と過剰反応問題

(1)個人情報保護に関する流れ(行政機関を中心に)

●全体の流れ

ITの発展に伴い、個人情報保護が重要な課題となりました。そして、2003年に行政機関個人情報保護法、2004年には個人情報保護法(2005年全面施行)が公布されました。それにより、個人情報への関心が高くなりました。それはよいことなのですが、反面、それへの「過剰反応」が問題になってきました。
 個人情報保護法に関連して、「個人情報の保護に関する基本方針」(2004年閣議決定)で、全面施行後3年を目途に再検討することが決定しており、その3年後が2007年にあたります。それで、国民生活審議会個人情報保護部会は「個人情報保護に関する取りまとめ」(2007年)を発表しました。法律そのものは変更する必要はないが、基本方針の見直し、各省のガイドラインのあり方、過剰反応問題への対処などが提唱されています。
 この「取りまとめ」発表以降、検討が進められており、2008月3月には政令、基本方針等の改正が行われ、それを受けて、4月以降に各省ガイドラインの見直しの検討が開始される予定になっています。

●行政機関個人情報保護法

○目的(第1条)
「この法律は、
  行政機関において個人情報の利用が拡大していることにかんがみ、
  行政機関における個人情報の取扱いに関する基本的事項を定めることにより、
  行政の適正かつ円滑な運営を図りつつ、
  個人の権利利益を保護すること
を目的とする。」としています。すなわち「行政の適正かつ円滑な運営」と「個人の権利利益保護」を両立させることが目的です。

○開示請求者への提供
 利用及び提供の制限(第8条)では例外規定があり、その一つに、明らかに本人の利益になるときには提供できるとしています。
 また、保有個人情報の開示義務(第14条)では、次のような場合は開示請求者に開示できるとしています。
 ・法令・慣行で開示請求者が知ることができる情報
 ・人の生命や財産を保護するため、開示することが必要な情報
 ・公務員等の職及び当該職務遂行の内容に係る情報

○罰則(第53条~第55条)では、職員の個人情報取扱での罰則規定があります。
 ・個人データを含むコンピュータファイルの漏洩  2年以下懲役、百万円以下罰金
 ・不正な利益を図る目的での個人情報の提供又は盗用  1年以下、50万円以下
 ・職務以外の目的で職権を濫用した個人の秘密の収集  1年以下、50万円以下

●個人情報保護法

行政に関する事項では、次の条文があります。
 ・地方公共団体の責務(第5条)
 ・保有する個人情報の保護(第11条)
 ・区域内の事業者等への支援(第12条)
 ・苦情の処理のあっせん等(第13条)
 ・国及び地方公共団体の協力(第14条)
 第12条で民間企業への支援が定められていますので、個人情報保護法に関する知識が求められるのです。

●国民生活審議会個人情報保護部会「個人情報保護に関する取りまとめ」

過剰反応に関しては、次のような主旨がいわれています。

(2)過剰反応の例

国民生活センター「最近の個人情報相談事例にみる動向と問題点」2005年では、次のような相談事例をあげています。
○生命・身体に関するもの
 ・JR宝塚線(福知山線)の脱線事故。家族からの安否確認への回答で現場が混乱。
 ・「本人には病名を告知しないでほしい」と依頼していた。他の専門医療機関に見
  解を求めようとしたら、本人同意がないと病名を他院に知らせられないといわれた。
○学校・保育園に関するもの
 ・運動会や卒園アルバムなどの集合写真が制作できなくなった。
 ・40人クラスの中学校で、連絡網表に6人程度しか記載されていない。
○地域活動に関するもの
 ・自治会で防災マップを作ろうとしたが、地図に個人住宅を記入できない。

また、国勢調査は国民に申告義務があるのですが、国勢調査の実施に関する有識者懇談会報告(2006年)では、2000年調査の未回収率が1.7%だったのが、2005年では4.4%に急増しており、その原因の一つが個人情報保護の過剰反応だと指摘しています。

●過剰反応の原因

過剰反応の原因に、関係者自身が法律を理解していないことがあります。
 内閣府「個人情報保護に関する世論調査」2006年調査では、「名簿作成の中止で困るか」の問いに、「強く感じる」と「ある程度感じる」が過半数なのに、「学校や地域社会の緊急連絡網などの名簿は,本人から名簿の個人情報を削除してほしい旨の求めがあった場合には,その情報を削除することを明示した上で,作成・配布することもできることを知っているか」に対して、半数近い人が知らないと答えているのです。
 改善のためには、地方自治体からの周知活動が求められますが、総務省「地方自治情報管理概要」2007年によると、都道府県では過半数が周知活動を実施しているが、市区町村では10%にも満たない状況です。

防災会議は「災害時要援護者の避難支援ガイドライン」2006年3月改訂「災害時要援護者対策の進め方について」2007年3月などにより、「災害時に要援護者の避難支援等を行うためには、要援護者の名簿を作成し、平常時から、支援を行う防災関係部局と福祉関係部局や、自主防災組織、民生委員等と要援護者名簿を共有し、災害時に活用できるようにする必要がある。」としているのですが、徹底していないようです。

その徹底度が実際の災害での安否確認に影響したという指摘があります。笹原 英司「中越沖地震が教える過剰反応対策の必要性」ITproによれば、柏崎市では2007年3月に要援護者名簿を作成したばかりで周知徹底していなかったので、3日後でも安否の確認ができたのは2割程度であった。それに対して、2007年7月16日に発生した中越沖地震で、長岡市は2006年6月に作成して周知していたので、当日に全員の安否が確認できたといっています。

上記の世論調査では、「防災・防犯のための個人情報の共有・活用」に、「積極的に共有・活用すべき」が29.3%、「必要最小限で共有活用してもよい」が59.5%と圧倒的な多数が容認しています。また、「個人情報保護問題への関心」については、全体では「関心がある」が32.9%、「まあ関心がある」が40.6%で高い割合になっているのですが、要援護者と想定される70歳以上では、それぞれ24.9%、27.5%と低い割合になっています。
 関心が低いから名簿を作ってもよいというのは暴論ですが、本人よりも関係者が過剰反応しているようにも思われます。

そもそも個人情報保護法の主旨は情報主体(個人情報の本人)の権利保護にあります。「法律・内部規程遵守」は提供側の論理であり、「本人の利益になるか」は情報主体の視点です。そのバランスが必要です。過剰反応が問題になっていますが、「面倒に巻き込まれたくない」のは論外として、法律・内部規程に違反してまで提供するとなると、当事者に深刻なジレンマを強いることになります。基準の明確化が望まれます。