三つの情報セキュリティ管理政策

政府の情報セキュリティ政策

ご存知の通り、ここ数年来、政府における情報セキュリティ政策に注目が集まっ ている。重要なところでは、内閣官房が平成13年に策定した「電子政府の情報セ キュリティ確保のためのアクションプラン」や、同じく平成13年に内閣が策定し た「e-Japan重点計画」などが挙げられる。

三つの流れ

ところで、一言で情報セキュリティ政策といっても単純に一つにくくれるもので はない。目的意識や歴史的な背景をベースに、幾つかの流れがあるようだ。政府 レベルにおける情報セキュリティ管理政策には、大きく次のような三つの流れが あると考えている。

  • 国家安全保障の流れを汲む情報セキュリティ政策
  • 情報セキュリティの管理体制に関する情報セキュリティ政策
  • 情報資源管理の一部としての情報セキュリティ政策
国家安全保障の流れを汲む情報セキュリティ政策とは、暗号政策や情報セキュリ ティ製品の評価・認証制度(いわゆるコモンクライテリア)などで、主に情報やシ ステムの安全性に着目したものである。二つ目の情報セキュリティの管理体制に 関する情報セキュリティ政策とは、情報セキュリティに関する組織管理やセキュ リティライフサイクル管理などで、上述した「電子政府の情報セキュリティ確保 のためのアクションプラン」などが代表的な例である。

この二つの情報セキュリティ政策の流れは、我が国でも以前より着目され、実際 の政策や対策に反映されてきている。今回紹介したいのは、これまであまり省み られることの無かった、情報資源管理の一部としての情報セキュリティ政策であ る。

情報資源管理と情報セキュリティ

情報資源管理政策というのは耳慣れない言葉かもしれない。これは、簡単に言え ば、政府における情報を重要な経営資源と考え、その収集・蓄積・共有・利用・ 廃棄(情報ライフサイクル≠セキュリティライフサイクル)に関して管理を行う。 さらに、情報資源管理では、情報資源の効用やコストを評価し管理することが求 められる。 つまり、情報資源管理の下での情報セキュリティ政策は、「情報資産」そのもの の価値に着目し、その利用や効用を前提とするという意味で、他の二つの流れと は若干考え方が異なる。

この考え方の差異は微妙で、どうでも良い感じがするかもしれないが、意外に大 きな違いがある。

情報セキュリティとは、ともすればそれ自体が目的化することがある。しかし、 「情報資源」に着目する事で、情報資源の価値を明確にし、価値に見合った情報 セキュリティ対策のレベルをはじめて評価できるようになる。 実のところ、我が国の政府における問題点は、情報セキュリティ政策の不在とい うよりも、情報資源管理政策の不在ではないかと考えている。政府の持っている 情報資源とは何か、収集から廃棄までのライフサイクルの間に、どれだけの価値 をもたらすのか、また、どれだけの費用がかかるのかを評価することが重要だ。 これによって、情報セキュリティ政策の在るべき姿を議論することができる。さ らには、眠っている情報資源の有効活用や、無駄な情報資源は何かを明らかにす ることが出来るようになる。