わが国の情報セキュリティ政策のグランドデザインを示す「第1次情報セキュリティ基本計画」が2月2日に正式決定した。「セキュア・ジャパン」の実現に向けて－－との副題が示すように、安全・安心を国造りの思想として位置づけ、IT社会においても情報セキュリティを国の文化として根付かせることを目指す。奈良先端科学技術大学院大学教授から2004年4月に民間人として政府の情報セキュリティ補佐官に着任して約2年、情報セキュリティ分野のインフラ整備に奔走してきた山口英氏に話を聞いた。（計画の概要は15面を参照）

千葉利宏●取材／文
馬場磨貴●写真

　――前回、BCNに登場していただいたのが着任して半年経った04年9月だが、わずか1年半で印象が変わりました。

山口　着任当初に比べると、体重が10キロ減った。それだけ政府の仕事が激務といえるのかもしれないが、別の見方をすれば、大学教授があまり働いていないのかも…（笑）。

　――政府の組織づくりから今回の基本計画の策定まで、情報セキュリティの取り組みも一気に進んできた感がある。

山口　国のIT政策は、情報通信技術を日本社会に浸透させていくための政策パッケージとして機能するようになってきた。先のe-Japan戦略によってITを利用できる社会環境が整備されてきたが、そのITの力を支えるのが情報セキュリティだ。今回の基本計画策定の意義は、第1にこれまで各省庁で個別に策定されていた政策を、政府全体の政策パッケージとして示すことができたこと。第2に各省庁で施策の足並みが揃わずに、抜けや優先順位のばらつきがあった部分を、全体の考え方やレベルを合わせたうえで、10年後のあるべき姿を見通しながら3年間の取り組みを示したこと。第3に重要インフラにかかわる事業者の役割を示し、サイバーテロだけでなく、防災やシステム障害、操作ミスなどもカバーすることを明確化できたことだ。

　――基本理念はオーソドックスと言える内容になったが…。

山口　ここに落ち着くまでに侃々諤々の議論があった。政府には行政サービスの提供、監督官庁、外交・安全保障などさまざまな役割があり、セキュリティを強化しようとすれば規制を強化する考え方もありうる。しかし、海洋貿易国、無資源国の日本が経済活動を通じて発展してきたことを考えれば、今後のあるべき姿を考えても「経済大国日本の持続的発展」に軸足を置くべきで、持続的発展を実現するには当然、国民生活の安全・安心と国家安全保障が不可欠になる。

　――今後の取り組みとして掲げた「新しい官民連携モデル」の構築の狙いは。

山口　情報セキュリティを実現するのに「誰が」「何を」するのかを突き詰めていくと、誰か1人で解決できる問題でないのは明らかだ。政府内には規制・指導で問題解決できると考える人もいるし、民間から政府組織に入ってみて思っていた以上に官民の距離感や感覚が遠いことも分かってきた。しかしセキュリティは現実主義で実現していくしかない。「Working Together」─共に働くことが問題解決のための最短距離であり、政府、重要インフラ、企業、個人の4つの主体の距離感を縮めていくことで、新たな官民連携モデルを構築していく必要がある。

　――その場合の責任分担の考え方は。

山口　ITがいろいろな社会システムに入り込むなかで、従来の社会構造がちょうど変わり始めている時期を迎えている。当然、そこで責任分担の問題も起こり始めており、どう落ち着かせていくかはこれからの課題だろう。例えばプロバイダ責任法のように、従来の通信事業者の責任分担からは考えられなかった法律も制定されており、そうした問題は今後さらに増えていくのではないか。

　――費用負担はどうあるべきか。

山口　最終的には受益者負担が原則だろうが、受益者とは誰か？という問題もある。そういう意味で、セキュリティ関連投資に対して減税が検討されているように官が果たす役割はあるだろう。経済活動や生活に足かせになるような投資でも困るし、これだけITに依存した社会では一定レベルのセキュリティは必要なわけで、そのバランスが重要だろう。政府、企業、個人の間でどう負担するかは、現状では“応分負担”と言うしかない。これから合意形成のための努力をしなければならない問題だ。重要なのは、機動的に考えること。政府内の人は政策の整合性や継続性を重視しがちだが、こと情報セキュリティに関しては目の前に出現した問題を全力で解決するのが重要なこと。基本計画も3年で、行動計画なども1年ごとに見直すことにしたのは、細かく最適化することが大事だからだ。

　――06年度の重点計画の方向性は。

山口　06年度は、「具体化」の第一歩。今までの計画作りから、具体的な形をどんどん作っていく。重要インフラのCEPTOARや安全基準はその重要な1つ。また、情報セキュリティに関する政府調達の基準をどう作るかも重要。技術開発、教育や普及啓発も具体化に入っていく。

　――インセンティブの必要性は。

山口　IT新改革戦略でも、06年にはIPv6を政府で導入するという話が盛り込まれたが、そうした政府調達のなかにセキュリティをどう位置づけるかは重要な要素だ。基本計画にも、政府調達で情報セキュリティに関する政府機関統一基準との連携を図ることを盛り込んでおり、評価基準をどうするかでインセンティブになると考えている。

　――中小企業の負担が増すとの懸念もあるようだが…。

山口　取引先の大手企業に合わせてEDIを使い分けなければならない現状では負担が増すとの指摘もあるが、IT新改革戦略の中でも中小企業の育成が盛り込まれ、それにはセキュリティも含まれてくる。当然、中小企業の負担感を分担するような仕組みを構築することが可能だと考えているし、政府も中小企業が対応できる施策を実現するために汗をかかなければならない。情報セキュリティはあまり過度にやりすぎると力をそぐ面はあるが、安全性、信頼性を高めることは企業成長のテコにもなるはず。そのバランスをどうとるかが重要だと考えている。