電子政府の情報セキュリティ確保のためのアクションプラン

平成１３年１０月１０日
情報セキュリティ対策推進会議

１．現状と課題

○　2003年度までに「電子政府」の実現が予定されており、行政文書の電子化、ペーパーレス化及び情報ネットワークを通じた情報共有・活用や、国民、企業等との間の行政手続のオンライン化が行われることとなる。この結果、自宅や職場からインターネットを経由し、原則として、行政手続が24時間受付可能となり、国民や企業の利便性が飛躍的に向上することが期待されている。

○　その反面、ネットワークを通じてやりとりされる情報のコンテンツは、企業の営業秘密や個人情報といったものから、国家安全保障に関するものなども含まれており、情報システムの安全性が24時間確保されていなければ、「電子政府」に対する国民からの信頼は得られず、円滑に機能しなくなる。

○　このため、ＩＴ戦略本部において電子政府の実現の加速・前倒しが進められていることも踏まえ、電子政府の情報セキュリティ確保についても、以下のような諸方策をできるだけ前倒しして実施していくべきである。
　その際、サイバー空間には国境がない上、国と地方自治体がネットワークを介して接続される予定であることにかんがみ、総合的な安全性、信頼性の確保のためには、国際的な連携、地方自治体との連携及びその取組みの支援が重要であることに留意すべきである。

２．具体的な方策

(1) 情報セキュリティポリシーの実効性の確保

内閣官房は、2002年夏を目処に、「情報セキュリティポリシーに関するガイドライン」策定後に発生した各種事案等も踏まえつつ、各省庁の情報セキュリティポリシーについて再度評価を行い、システム管理者の配置、セキュリティ監査等につき実施手法の模範例（ベストプラクティス）を提示する。
また、内閣官房は、各省庁の情報セキュリティポリシーの再評価結果を踏まえ、2002年秋を目処に、「情報セキュリティポリシーに関するガイドライン」を改訂する。
各省庁は、2002年度中に内閣官房における再評価結果及びガイドラインの改訂を踏まえ、各省庁情報セキュリティポリシーの見直しを実施するとともに、ベストプラクティスを参考としつつ情報セキュリティポリシーの実効性の確保に必要な措置を実施する。

(2) 暗号の標準化の推進

「電子政府」におけるセキュリティ確保のためには、政府調達における一定水準のセキュリティ確保のための情報機器等に関する基準（具体的にはISO/IEC15408）を可能な限り利用することと同様、暗号についても、一定水準以上の安全性及び信頼性を有するものの利用が不可欠であり、これを推進することが必要である。
このため、総務省及び経済産業省は、両省で実施している研究会の成果等も踏まえ、2002年度中に「電子政府」における調達のための推奨すべき暗号のリストを作成し、これを踏まえ、各省庁における暗号の利用方針について合意を目指す。

(3) 情報システムの監視体制等の整備

情報システムの監視は、一義的には各省庁が自ら責任を持って行うべきだが、緊急事態への対応を全ての省庁が遺漏なく迅速、的確に行っていくためには、各省庁の情報セキュリティ対策状況及び監視の実効性を踏まえつつ、適切な方法により重層的な監視体制をとることが必要である。
　このため、内閣官房を中心とした実効性のある重層的な24時間監視体制の在り方について2002年度に検討し、実証実験を行う。
また、各省庁の情報セキュリティに携わる者の活動を支援し、もって政府の情報システムの安全確保を促進するため、情報セキュリティ関連情報を集約したポータルサイトを設置することは非常に有意義である。
　このため、内閣官房を中心として、かかるセキュリティ・ポータルサイトの運営について今年度中に基本的考え方をとりまとめ、2002年度中に同サイトを公開する。

(4) 緊急対処体制の整備

「電子政府」の信頼性を確保するためには、万が一サイバー攻撃等の事案が発生した場合の緊急対処が重要である。このため、緊急事態に際して、早急に原因解明を行って対応措置を講ずるとともに、広く情報提供等を行い、再発防止に努めていくための体制が必要である。
このため、関係省庁の協力を得て、内閣官房において緊急事態に対処するための「ナショナル・チーム」（National Incident Response Team;NIRT）（仮称）を編成し、日頃から訓練を施し、関係機関との情報交換等に努め、万一の緊急事態に備えておくことが必要である。
このため、「ＮＩＲＴ編成プロジェクトチーム」（仮称）を早期に発足させ、本年度中に、人材の確保・訓練の在り方、関係省庁との協力の在り方、事態対処マニュアルの整備等につき検討、結論を得て、2002年度に「ナショナル・チーム」を発足させる。

(5) 人的基盤の整備

個人情報や企業秘密関連情報等機微な情報のやりとりも含む「電子政府」の運営に当たっては、守秘義務がある公務員が主体的に情報セキュリティ対策を行うことが重要である。
このため、情報セキュリティ関連の一定水準以上の知識・技術を有する者の確保に努めるとともに、一般職員についてもユーザー教育の徹底、情報セキュリティ関連の研修の充実を図る。

(6) セキュリティ強化ソフトウェア等の研究

国境がないサイバー空間の中で我が国の「電子政府」が安全に機能していくためには、セキュリティを強化したソフトウェアを使用することも有効な方策の一つであり、2002年度に、内閣官房が中心となってセキュリティを強化したソフトウェアの開発等政府として取り組むべき研究についての実現可能性調査（フィージビリティ・スタディ）を実施する。

(7) 技術開発の実効性の確保

ＩＴを巡る状況は急速に変化しており、「電子政府」の情報セキュリティ確保のためには、環境変化に対応していく間断のない技術開発が重要である。
また、費用対効果の観点から、実施した技術開発の成果をできる限り共有し、活用していくことが重要である。
このため、関係省庁において、中長期的な観点から、基盤的技術を中心とした技術開発を推進するとともに、内閣官房を中心として、技術開発内容や成果について共有・活用を図るためのメカニズムを今年度中に構築し、今後実施するプロジェクトから速やかに的確なニーズ把握等技術開発内容の調整に必要な措置を講ずる。