資料2
高度情報通信ネットワーク社会推進戦略本部情報セキュリティ政策会議 セキュリティ文化専門委員会
第3回会合議事要旨
1.日時 平成17年10月5日(水) 17:00〜20:00
2.場所 内閣府本府第3特別会議室
3.出席者 [委員]
稲垣 隆一 委員(弁護士) 岡村 久道 委員(弁護士)
志波 幹雄 委員(㈱電通アカウント・プランニング計画局エグゼクティブ・プロジェク ト・マネージャ)
下村 正洋 委員(NPO日本ネットワークセキュリティ協会事務局長/㈱ディアイティ 代表取締役社長)
関口 和一 委員(日本経済新聞社編集委員兼論説委員) 田邊 則彦 委員(慶応義塾湘南藤沢中・高等部教諭) 苗村 憲司 委員(情報セキュリティ大学院大学教授) 廣川 聡美 委員(横須賀市企画調整部情報政策担当部長) 藤原 静雄 委員(筑波大学大学院教授)
安田 浩 委員(東京大学国際・産学共同研究センター教授) 吉川 誠司 委員(WEB110代表)
若槻 絵美 委員(弁護士)
(五十音順)
[政府]
内閣官房情報セキュリティセンター副センター長
内閣官房情報セキュリティセンター情報セキュリティ補佐官 内閣官房情報セキュリティセンター内閣参事官
警察庁生活安全局情報技術犯罪対策課長(代理:同課理事官)
防衛庁長官官房情報通信課情報保証室長
総務省情報通信政策局情報通信政策課情報セキュリティ対策室長(代理:同室課長補佐) 文部科学省大臣官房政策課情報化推進室長
経済産業省商務情報政策局情報経済課情報セキュリティ政策室長
4.議事概要
(1) 第2回情報セキュリティ政策会議の開催について
○ 事務局より説明
(2) セキュリティ文化専門委員会報告書骨子(案)について
○ 事務局より説明
(3) セキュリティ文化専門委員会報告書骨子(案)についての討議 ア 「はじめに」について
○ 「意識を高めるために具体的にこういうところをやらなければならない。」、「日
本が情報セキュリティの関係のことについて世界に討って出る。」ということを明確 に記載するべきである。
○ 「国際的な協調をとりながらも、我が国独自の力量・力を発揮できるよう取り組む。」
というメッセージを強めるべきである。
○ 民間だけでなく、国・地方自治体も主体の一つであるということを明確にするべき である。
○ 「官・民、国・地方が一体となって」という趣旨を冒頭に謳うべきである。
○ OECDの9原則及びそれに対しての国連の決議において、国が主体となって国際 的に一本化された文化醸成に取り組むことが合意されている。したがって、目標を国 が明確に示した上で、企業や個人にもやるべきことの一部を、分担してもらいたいと いうのが本来の姿であると思う。
○ 「まず国が先頭に立って取り組む。」ということを記載するべきである。
○ 「主体」という言葉より、「セクター」や「領域」という言葉を使った方が良いと 思う。
イ 企業・個人の情報セキュリティに関する現状認識について
○ 営業秘密の保護・管理について、少なくとも個人情報と同等の重みで記載するべき である。
○ 我が国においてもITを組み込んだ社会制度の構築が進みつつある。これについて 触れるべきである。
○ 環境問題に加えて、公衆衛生、交通のフレームワークについても情報セキュリティ との比較対象に加えるべきである。
ウ 企業・個人の情報セキュリティ問題の所在について
○ 社会において一定の合意形成をとるにあたって、企業については市場の評価、消費 者の評価などが動機付けとなると考えるが、個人に対してどのような形で動機付けす るのかという手段が見えない。
○ 企業としての責任原則だけでなく、個人の責任原則についても明確に記載するべき である。
○ 個人情報保護法に基づき各省庁が定めたガイドライン等もあるので、「対策の判断 基準がない。」という表記は不適切ではないか。
○ 営業秘密の保護の基準についても問題は多いので、個人情報の保護と同列に記載す るべきである。
○ 保護すべきものは、個人情報と営業秘密だけではないという議論もありうるので、
個人情報と営業秘密についてそれほど踏み込んで記載する必要はないのではないか。
○ 「判断基準がない。」というよりは、「判断基準が不十分。」という表現に留めて おくべきである。
○ メディアが「ニュース性」を追う余り、表層的な事象の追跡に終始しているという が、それが国民の関心に沿ったものであると言えるため、止むを得ないであろう。メ ディアに問題があると見るよりも、国民が情報セキュリティ報道に関心を持つような 環境を作っていくことが先なのではないか。
○ 国とメディアの緊張関係があるというのも事実であるので、報道の自由に配慮して、
メディアに対しては「期待する。」というようなニュアンスの記載ぶりにするべきで はないか。
○ 基本的には、起きていることをそのまま正確に伝え警鐘を鳴らすところまでがメデ ィアの役割であり、追加的に啓蒙活動が期待されるという部分についてメディアの業 務という認識を持っていない人もいると思うので、メディアに対しては「期待」とい う形での表現にするべきである。
○ 情報セキュリティ対策についてメディアが好事例を多く取り上げることによって、
インセンティブが高まるというような記載を入れたいと思う。
○ 今後、技術が発展した時や法制度について議論する時に、メディア論の問題が出て くるので、従来の形の情報伝達の方法だけでは不足であるということを入れておくべ きである。
○ 「犯罪の取締りが不足」とあるが、どのような「犯罪」なのか具体的に記載する必 要がある。
○ 情報セキュリティは、国境が存在しないインターネット上の様々な問題であり、グ ローバルな問題であるということを記載するべきである。
○ 国際的な対応ができていないということを記載するべきである。
○ 日本の資産に関わる全ての個人が対策をとるべきだという論調にするため、国籍性 を想起させる「国民」という言葉を使うことはできるだけ避けるべきではないか。
○ 基盤形成に係る問題として、迅速な法整備が要請されているということがあるとい うことを記載するべきである。
○ 現実には、世界に日本が追いついているという構造になっているが、最終的な記載 ぶりとしては、日本国側からの日本の制度を利用した日本国民の意思決定があって、
それが世界と調和しているという形にするべきではないのか。憲法もそのような構造 になっており、それを踏襲するべきである。
○ 本報告書は、日本国政府が日本国内のセキュリティ文化の醸成をするためのもので あるので、対象は原則として国民となる。そのため、対象は国民とし、利用に際して 保護される場合に国籍を問わないという記載を入れることによって対応するべきであ る。
○ 対象については、少し抽象化して「国民を始めとする個人」とすればよいのではな いか。
○ 関係する者全てについて、程度の違いはあるとしても、まず、「皆責任がある。」
ということと「その割合を決めていく。」ということを明記し、「今決まっていない。」
ということが問題の所在であることを記載するべきである。
エ 個人の情報セキュリティ問題の解決の方向性と具体的方策について
○ 着手の期限を平成18年度までとすることは良いと思うが、各方策を実施する順番 についての戦略に関する記載をするべきである。
○ 企業における情報システム担当者は基本的に情報リテラシーがあると思うので、「情 報システム担当者のリテラシーを上げる」というよりも、企業の従業員全体の情報リ テラシーを上げるという観点で記載するべきである。
○ システムに携わる者とそのシステムを享受する従業員とは、別々にして対策を考え るべきである。
○ 個人情報保護法と同様に従業者という言葉を使うことにより、従業員も経営者も入 る。
○ 役員及び経営者への対策が特に重要である。
○ 理想的には、企業のトップが襟を正してポリシーを決めてトップダウンで情報セキ ュリティ対策を進めることであるが、現実にはそれができていない。そのような際に、
トップに対して意識付けを行うのは情報システム担当者なので、まず、情報セキュリ ティ担当者のリテラシーを上げることが第一歩であり、必要である。
○ 経営者に対する動機付けに関する表現を入れることが必要である。
○ 「企業全体が情報セキュリティ対策を適切に講じることに努めるべきである。」と いうことを記載し、その際に、証券会社や株主、事業者団体といった企業を取り巻く 構成の全体の範囲の明確化を図り、それらに対する情報セキュリティ対策の推進も必 要だと言うことを記載するべきである。
○ 企業の情報セキュリティ担当者のモチベーションの維持・向上のための表彰制度の みではなく、インセンティブの維持・向上のための資格制度についても記載するべき である。
○ 事業者の情報セキュリティ対策の推進状況を開示する手段として、情報セキュリテ ィ報告書だけで十分と読めては困る。情報セキュリティ報告書を始めとした情報開示、
という趣旨に改めるべきである。
○ 政府や民間企業において、情報セキュリティ対策をしっかり行っているところと優 先して取引をするようにするというような動きも既にあり、表彰制度が本当に必要か
ということについて疑問を感じる。
○ 個人や企業の対策であるとしても、環境を構築するということは政府がやるべきで はないのか。政府機関が先頭に立って対策を推進し、それに応じて企業や個人が対応 していくという形でないと対策の推進は現実的には難しい。
○ 和菓子や和食の例を見ると、国による表彰も効果がある。文化の広がりということ になると、表彰制度も機能するのではないか。
○ 表彰の是非は別にしても、外部からの監視の目は確かに有効である。むしろ、対策 が不十分な者に対する監視の目も必要であり、相対的評価ということで、レイティン グを行う制度が良いと思う。第三者的な機関が、業界ごとに一定の基準を設けてレイ ティングを行い、それを公表するというのはどうか。
○ 市場による評価とセキュリティ報告書等の開示によりレイティングはできると思 う。
○ レイティングは、本来は、やりたい人が情報開示の取組みで開示されている情報を 使ってやればいいことであると思う。しかし、これについて報告書に記載すると「推 し進めろ。」ということになってしまい、行き過ぎではないのか。
○ 国民生活センターのホームページには悪質事案の情報が掲載されている。情報セキ ュリティ対策についても、セキュリティ報告書のような投資家向けの色彩を持つ情報 以外に、消費者向けの情報の提供や開示などを検討するべきである。
○ レイティングについては自然発生的なものにするべきであると思う。
○ 中央教育審議会での審議に影響を与えかねないため、学習指導要領に対しての提言 を報告書に記載することは難しいと思う。なお、学習指導要領には一定の記述がされ ており、具体的には中学校の技術家庭科の情報の分野で、教科書に情報セキュリティ の内容が記載されている。「初等中等教育において情報セキュリティ教育を推進する。」
という記載でよいのではないか。
○ 学習指導要領の中に情報セキュリティに関する内容は含まれているが、実際に学校 の現場でうまく行われているかということが問題であり、それをうまく仕向けるため のきっかけを本委員会の報告書の中で与えるべきである。そのため、影響を与えかね ないからこそ、学習指導要領に対しての提言を報告書に記載するべきである。
○ 学校教育において情報セキュリティ教育を取り込むことは非常に重要なことだと思 うが、学習指導要領にどう記載するのかということについては、中央教育審議会の結 論を待つべきである。
○ 中央教育審議会の先生方にセキュリティの重要性を理解していただくためにも、本 委員会の報告書において、学習指導要領に対する提言を記載するべきである。
○ セキュリティ教育が必要であることは承知しているが、「指導要領の見直し」と記 載してしまうと、国の審議会としてのそれぞれの役割があるので、不適切ではないの か。「セキュリティ教育は重要である。」程度の記載で良いのではないか。
○ 中央教育審議会の役割も理解しているが、本委員会にも役割があり、それぞれ議論 すれば良いと思う。そのため、「中央教育審議会で議論しているので、他は何も言う な。」というのは乱暴な議論だと思う。
教員の配置や教育時間の問題など、情報セキュリティ教育については問題が多く、
こちらはそれを改善しようと考えており、より踏み込んだ議論を進めるべきである。
○ 教育機関が「企業(事業者)」に含まれているかどうか、用語の整理を行う必要が ある。
○ 学校における情報セキュリティ教育については、学ぶ側の方が教える側よりも情報 セキュリティについての知識を持っているというような実態になっているため、単に 学習指導要領で解決できる問題ではない。その問題を根本的に解決する必要がある。
そのため、中央教育審議会とは別に、学校の情報セキュリティに関する審議会を作る というのはどうか。
○ 教育に携わる人をどのように教育するかという問題を明確に出すべきである。
○ 情報配信だけでは不十分であり、インシデント発生時の対処についても検討が必要。
情報セキュリティについてはインシデントの同時多発性があるので、サポートする時 の労力が非常に必要になり、企業だけではなかなか対処できないため、啓発、情報発 信だけではなくて、対処までを入れた、各自治体や地域の団体や非営利組織等でのサ ポートの取り組みの促進を行うべきではないか。
○ サポートの取組みを地域で全部やることは難しいため、上手に促進するための組織 が必要であると思う。また、モデル地区のようなものを決めて、そこで取り組みを試 し、蓄積されたノウハウを移転するというような取り組みも必要であると思う。
○ 情報セキュリティの意識が上がらない人への対策をしなければならないということ を記載するべきである。
○ 大規模インシデントが起こった際には、大規模地震と同様に、ある程度国が情報提 供をしないと混乱をきたすので、インシデント発生時の、国による適切かつ迅速な情 報提供というものがあっても良いのではないか。
○ 教育機関や企業の中にはいない一般の人をどうフォローするのかというのが問題で ある。そのような誰からも教育を受けない立場にいる人々に対して一定レベルのセキ ュリティを維持するためには、情報セキュリティユニバーサルデザインが一番重要で はないのか。
○ 憲法で保障された表現の自由、明文化されていないが報道の自由及び放送法におけ る番組編集の自由に配慮し、報道やそういったものを促進するというような表現は可 能な限り控えるべきである。
○ メディアに対して何かをするようにという記述は好ましくない。メディアが取り上 げてくれるように、他の主体が、制度等のきっかけを作るようにというような表現で あれば良いのではないか。
○ 報道機関がセキュリティ報道を行うことが可能となるよう、迅速かつ詳細な資料の 提供を行うことにより、国が報道機関を支援するというようなことで良いのではない か。
○ メディアが報道する際に情報を得るためのワンストップサービス的な機能を国が持 つべきである。
○ 報道機関にも、企業としての努力が必要であり、様々な物の見方があるので、国と しては一切関与しないという立場でも良いのではないか。
○ セキュリティ情報は公益的な情報であるという認識の下で、取り上げるべき重要性 があるという認識を報道機関に持ってもらいたい。
○ 報道の自由があるので、「どこについて取り上げるように。」と言うことも難しい と思う。
○ 文化を醸成するという意味では、メディアは不可欠な存在であるため、メディアに きちんとした理解をしてもらい、雰囲気作りに力を貸してもらうことの期待を記載す
ることは良いと思う。
○ セキュリティは国家安全に関わることなので、重要情報としてメディアに取り上げ てもらわなければならないということについて記載するべきである。
○ 総合的かつ継続的に迅速に対応できるような検討の仕組み作りがあってもよい。
○ 認証技術のみで通信相手が誰かということを確実に確認することは不可能であり、
確実な確認の実現のためには免許制のようなものが必要になってくるので、認証技術 の開発だけでは具体的方策として弱いのではないか。電子認証の普及であればわかる。
○ 憲法上の通信の秘密や匿名表現の自由の問題があるので、登録制というと議論が外 れてしまう。
○ 犯罪の予防検挙だけでなく、権利利益の保護・救済の考えも入れる必要があるので はないか。
○ 今後の課題として、国際的な問題とウェブ上のコンテンツの問題がある。答えを出 すことが難しい問題ではあるが検討する必要があり、抽象的な表現でいいので記載す るべきである。
○ コンテンツの問題については、セキュリティ文化の中に入れ込むことは難しいし、
セキュリティとは関係ないという議論もあるかもしれないが、影響があることは確か なので、今後解決するという記載にしたい。
○ サイバー犯罪条約の話を盛り込むべきである。
○ この分野については新しい問題が次々に出てくるため、それについて定期的に検討 し解決を図るための機構をどうするのかということが、今後の大きな検討課題である。
○ OECDの原則の中の民主性原則を検討課題として意識しているということを記載 するべきである。今後、様々な基準や枠組みや手続きが決定されていく中で、その決 定プロセスについて民主性が反映されることが望ましい。
○ セキュリティ文化専門委員会の報告書であるので、「セキュリティ文化とは何か。」
ということを記載することが必要である。
○ 教育については、対応が遅い、量が少ないということが我々の意識である。これに
ついてしっかり対応策を出してもらえるかどうかが問題である。
○ メディアについては、セキュリティを大事に扱うような意識が出てくるようになら ないかと思う。また、メディアが自分のセキュリティ対策をしっかりやらないのは問 題だというニュアンスも出して行きたい。
○ メディアは文化に入ると思うので、メディアについては文化主体の総論とし記載す るのが良いのではないか。
○ メディアが自主的に取り組むような環境整備を国が行うべきであるという話であれ ば、具体的な解はないが、どうしても困るという話にはならないのではないか。
−以 上−
