RSAカンファレンス2008特集 内閣官房情報セキュリティ補佐官 山口英氏インタビュー(1)
内閣官房情報セキュリティ補佐官の山口 英氏に、2008年4月23日(水)、24日(木)に開催されるRSA Conference Japan 2008の基調講演のテーマである「わが国の情報セキュリティ政策の第2段階に向けて」に関連して、2006年から3カ年計画として開始し、2008年に最終年度を迎
特集
特集
■RSAカンファレンス2008に参加される方へ
情報システムの社会基盤化が急速に進む中で、情報セキュリティ政策は、専門家だけではなく、わが国社会のあらゆる人たちに影響を与える政策になってきました。このため、情報セキュリティ政策に対する理解と、政策実施への参画をより広範に得るためにさまざまな形での啓発活動が必要になります。その一つとして、組織内で情報セキュリティやリスクマネージメントの責任を担っている人に向けた取組みがあります。しかし、残念ながらその職務を担っている人たちには、まだセキュリティのプロと呼べる人が少ないのが実状です。正しくメッセージを伝えていくためには、情報セキュリティの専門家に対して効率よくアウトリーチの活動を行うことが政策実施側としては重要だと考えています。
RSAカンファレンスに参加される専門家の方々には、政府の動きを理解していただければと考えています。また、情報セキュリティは特定の事業領域に限定される話ではないので、情報システムに関わる幅広い業種の方々に聞きに来ていただければと思います。もちろん、政策全般の話なので専門家だけではなく、広く誰にでも聞いていただける内容でお話したいと思っております。
■第一次情報セキュリティ基本計画の目論みはどういうところにあったのでしょうか。
2006年2月に決定した第一次情報セキュリティ基本計画は、政府にとって、初めての政府全体が取り組む情報セキュリティ政策パッケージでした。様々な施策を盛り込んだ政策パッケージとして構成しましたが、そこには三つの大きな考え方があります。
第一に、官民の役割分担を政府として明確に示すことです。
情報セキュリティに対する取り組みは、一体誰が何をするのかが、これまで明確ではありませんでした。例えば地震や大規模災害などは、行政組織が公的対応を取ることが多いし、その役割も明確です。
しかし、情報システムについてのリスクを考えたとき、日常生活や日常的な経済活動の中にリスクがあり、その責任は世の中に拡散されているのです。政府にも役割がありますが、企業、個人等にも、それぞれの役割があるのです。そのため、政府としては官と民の役割分担を明確に示すことと、各主体がどのように取り組んでいくのかということを示す必要がありました。第一次基本計画では、情報セキュリティ対策の実施主体を、政府・地方自治体、重要インフラ事業者、企業、個人の4つに分けて、それぞれの役割を明示し、政府が実施する政策を役割に応じてデザインするということを行いました。
第二に、情報システムの役割を企業の経営構造の中で理解してもらうことが必要になってきたことを示す狙いがありました。
社会の情報化が進展した現在は、情報システムがビジネスを駆動するようになりました。そういう社会において情報セキュリティ政策は、実は経済政策の一環なのです。そういう観点から見たとき、企業の体力を維持しながら、信頼できる企業として活動するための基盤となる情報システムはどうあるべきかを考えなければなりません。
金融商品取引法(J-SOX)や新会社法で企業の自己統治が求められている中で、内部統制におけるITの役割を企業の経営者や経営構造の中で理解してもらう必要があります。そのため、第一次基本計画に盛り込まれた政策の中には、企業活動の中での情報システムの重要性を考慮した政策があります。これにより、情報システムの社会基盤化に対応した情報セキュリティ政策を提供していくことを目論みました。
第三に、高度情報化社会の中で生活している国民に、どのような気づきを与えるのかということも大きな課題でした。
わが国の国民は高度情報化社会の中で生活しています。そこにはさまざまなリスク、権利侵害の新しい形態や権利回復の困難さがあります。国民の生活と権利がどのように保障されていくのか、そしてそれに対してどういう気づきを与えるのかということも政策の目標でした。たとえば、個人情報保護やプライバシー保護については、新たな意識が国民の中で生まれてくる状況にあり、同時に、その保護を実装する役割の多くを、情報セキュリティ対策が担っているという現状もあります。このため、生活における、情報セキュリティ対策の意味を、多くの人たちに理解してもらうことも、大きな挑戦でした。
この気づきを与えるということについては一定の成果があり、計画立案時に比べて国民の意識は上がったと感じています。
■第一次情報セキュリティ基本計画で見えてきた課題は何でしょうか。
第一次情報セキュリティ基本計画は3カ年計画で、2008年は最終年度に当たります。これまで2年間、計画を実施してきた中で、新たに解決しなければならない課題も見えてきました。
情報セキュリティ対策には、まず早急に解決しなければならない喫緊の課題への対応と、対策を実施する組織の構造や体質を改善させる、二つの取り組みが必須です。この中で、組織構造や体質、さらには広く社会構造的な部分にも踏み込んだ形での対策推進には、思った以上に時間が掛かることがわかりました。社会構造的な課題、企業やその事業領域での統治構造などは、過去に積み上げてきたものや慣習などが複雑に絡み合っています。特に重要インフラでの情報セキュリティの問題や、政府機関における情報システムの管理運営の問題などは、組織のモーメントが大きいので容易に体質改善を行うことができません。時間を掛けて、しっかりと問題解決する必要があるのです。
また、人材不足も大きな問題です。私は、人材不足によって日本は世界から取り残されるのではないかと危惧しています。
情報セキュリティに特化した話ではありませんが、わが国には人材不足の問題が根深く存在しています。少子高齢化社会が進み労働人口が減っていく中、労働生産性を維持し改善する努力が必要になります。この問題を解決するには、ITの積極的な利用が必須です。今後、IT技術者が大きな役割を果たし、もう一端をセキュリティやリスクマネージメントの専門家たちが支えていくという構造があります。しかし、どちらも圧倒的に人材が足りません。さらに、社会において情報化をポジティブに使いこなし、企業の生産性改善につなげていく経験豊富な人材も少ないのが現状です。
最近はIT業界に対する批判も多く、「キツイ」、「帰れない」、「給料が安い」の新3Kと言われたり、さらに「化粧がのらない」、「結婚できない」などを加えた7Kなどと言われて揶揄されたりもしている状況です。
ITは知的生産活動の一環であるはずなのに、日本ではITゼネコンが仕切る労働集約的なシステム開発が行われています。未だに業務改善も進まなければ、世界で行われているサービスを基盤にした国際分業も進んでいません。
グローバリズムの裏側にはITの存在がありますが、このままではそこに参入することができずに世界の中での特殊な国として取り残されてしまいます。人材の弱さ、それに対する投資の弱さがこの国の問題なのです。この国は人を大切にしなさ過ぎたとしかいいようがありません。この問題は、情報セキュリティ政策の実施にも大きな影を落としていると言わざるを得ません。
【執筆:株式会社トライコーダ 上野 宣 ( http://www.tricorder.jp/ )】
【関連記事】
RSAカンファレンス2008特集 内閣官房情報セキュリティ補佐官 山口英氏インタビュー(2)
https://www.netsecurity.ne.jp/3_11355.html
【関連リンク】
RSA Conference Japan 2008
http://www.cmptech.jp/rsaconference/
《ScanNetSecurity》
