政府の情報セキュリティ政策会議(議長・安倍晋三内閣官房長官)が、わが国の情報セキュリティ問題全般に関する中長期計画となる「第1次情報セキュリティ基本計画(以下、基本計画)」と、金融、航空、電力などの重要インフラを対象とした「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針(指針)」を決定した。基本計画では情報セキュリティ問題に取り組む上での政府の基本理念を示すとともに、2006年度から3年間の重点政策の方向性を示した。引き続き「年度計画」を策定して具体的な施策に取り組むほか、重要インフラについては今回の指針に基づいて今年9月をめどに「安全基準等」を策定する予定だ。
e-Japan戦略に続く「IT新改革戦略」が1月に策定されたのに続き、IT社会を下支えする情報セキュリティの中長期計画が決定して、日本のIT国家戦略を推進する両輪が揃った。
これまで総務省、経済産業省、警察庁など各省庁でバラバラだった情報セキュリティの政策機能を統合・強化する動きが本格化したのは、04年2月に策定された「e-Japan戦略II加速化パッケージ」から。各府省の調整機能を担ってきた内閣官房情報セキュリティ対策室に、民間から情報セキュリティ補佐官として山口英・奈良先端科学技術大学院大学教授が4月に着任。委員会を立ち上げて半年間で政策推進のため政府中核機関を設置するなどの基本構想をまとめた。05年4月に従来の対策室を大幅強化した「内閣官房情報セキュリティセンター(NISC)」を、5月に政策決定機関となる情報セキュリティ政策会議を立ち上げ、わずか2年で組織づくりと基本計画策定までを成し遂げた。
基本計画は、4章構成で、第1章に基本理念、第2章ではセキュリティ対策の実施主体となる「政府機関・地方公共団体」、10分野の「重要インフラ」「企業」「個人」の4主体の役割を明確化、第3章で4主体ごとの目標を設定、第4章で今後の政策の推進体制を示した。
政府機関では、05年12月に策定した「政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)」が求める水準の対策を08年度までに全ての機関で実施する目標を設定。地方公共団体では、今年9月までに地方公共団体における情報セキュリティ確保に係るガイドラインの見直しを実施して対策を推進するとともに、06年度末までに情報共有を目指した「自治体情報共有・分析センター」(仮称)の創設を促進する。
重要インフラでは、05年12月に「重要インフラの情報セキュリティ対策に係る行動計画」が定められており、これに基づいて重要インフラの所管官庁と事業者が特性に合わせて「安全基準等」として定めて公表し、自主的に取り組む。重要インフラサービスの維持・復旧能力の向上を図るため各重要インフラ分野における「情報共有・分析機能(CEPTOAR)」を整備し、連絡協議会の創設も促進していく。
情報セキュリティは、技術革新や社会変革などで変化の激しい分野だけに、基本計画も3年で見直しを実施するほか、具体的な対策を盛り込む重点計画は年度ごとに策定する。政府機関統一基準も世界最高水準のセキュリティを実現するため、毎年見直しを実施するほか、対策の実施状況を検査・評価し、政府機関の対策の改善と政府機関統一基準の改善の両方に結びつけるPDCAサイクルの確立を目指す。重要インフラの指針も毎年見直しを実施し、「安全基準等」に反映するよう促していく。(ジャーナリスト 千葉利宏)
