スタートページ＞ 主張一覧＞ 書評

情報セキュリティマネジメントの確立と向上のために

（財）地方自治情報センター『ＬＡＳＤＥＣ』２００６年４月号掲載

地方公共団体セキュリティ対策支援フォーラム編著
『やってみよう情報セキュリティ内部チェック』
自治日報社、2005年、ISBN4-915211-68-1、1,800円＋税
→購入サイト（アマゾン・コム）

○まず本書により実践を
　平成15年に総務省は「地方公共団体における情報セキュリティ監査の在り方に関する調査報告書」において「地方公共団体情報セキュリティ管理基準」を公表した。本書はそれをベースにして，具体的に内部チェックをするときのチェック項目や評価方法を示したものである。
　管理基準では、実に975の項番があるが、本書ではそれを82項目のチェックリストに要約し、各項目について、「解説」「確認する事項」「3段階の評価基準」「実施でのアドバイス」を見開き２ページに要領よくまとめている。
　電子自治体の進展に伴い、情報セキュリティの重要性が増大しており、ほとんどの地方公共団体はセキュリティポリシーを策定している。しかし、セキュリティ対策は形式面の整備だけでなく、実践が重要である。全庁的な継続的な運動として、PDCAサイクルにより成熟度を向上させることが求められるが、多くの地方公共団体では、そのような体制になっていないのが現状である。
　本書は、内部チェックを通して職員のセキュリティへの関心を喚起し、自ら積極的に関与することが重要であるとして、わかりやすいチェック方法を示し、調査の仕方でのアドバイスをしている。当初の取組みとして本書を活用することをお薦めする。

島田達巳『自治体の情報セキュリティ』
学陽書房，2006年，ISBN4-313-106094-9，2,500＋税
→購入サイト（アマゾン・コム）

　上書が管理基準に基づく網羅的なチェックリストであるのに対して，本書は地方公共団体での情報セキュリティとは何かという原点に立ち戻り，重点を示しているのが特徴である。
一方では情報セキュリティがいわれ，他方では庁内合理化のための情報共有や住民への情報公開が求められる。これらは背反するものではなく車の両輪であり，その重点としての原理原則がＩＴガバナンスと情報倫理なのだというのが，本書を貫く考えかたである。
　本書は二部に分かれる。一部は，編著者を含む3名の情報セキュリティ分野の著名な研究者の執筆で，倫理やコンプライアンスの観点，個人情報保護の観点，セキュリティ技術の観点など6章にわたり多角的な観点から，地方公共団体における情報セキュリティのあり方を解説している。上述の考えかたに貫かれているが，高邁な理論展開というよりも，豊富な現地調査やデータに立脚した実証的で具体的な解説になっており，堅苦しさを感じないで読むことができる。
　二部は９つの地方公共団体の事例であり，それぞれの推進責任者が執筆している。それだけに，単なる情報セキュリティ対策の経過や現状の紹介だけではなく，情報セキュリティへの背景や今後の展望などについて，どのような考えで取り組んでいるかがにじみ出ている。また，そこに注目して読むことにより，本書を地方公共団体におけるベストプラクティスとすることができる。