「次期 「次期 情報セキュリティ基本計画 情報セキュリティ基本計画 に向けた に向けた 第 第 1 1 次提言」の概要 次提言」の概要
2008年6月19日
内閣官房情報セキュリティセンター(NISC)
http://www.nisc.go.jp
資料2-1
基本計画検討委員会における検討 第1次提言のとりまとめへ向けて
●第2次情報セキュリティ基本計画の検討
【第1次提言まで】
① 第2次計画の検討の範囲の確定(“土俵”の設定)
② 大括りの検討項目(“大括り項目”)の設定
③ “大括り項目”毎に“検討論点”を抽出・列挙
④ 第1次提言に向けて、議論を進める (“抽象部分”を中心に)
⑤ 第1次提言案の検討
【その後】
・ “大括り項目”毎の議論を深め、最終とりまとめ
4/4、 5/13 4/4
3/19 3/19
5/27
12月政策会議まで
○第1次提言の位置づけ
具体的な施策の方向性などを検討する前の、計画の根幹部分に関する委員会としての考えをとりまとめたもの
熟 度
(=最終的な結論 への到達度)
土 俵
(第2次計画の 検討の範囲に
ついて記述) 抽象部分
(メッセージ、理念・
哲学、目標設定等)
具体部分
(推進体制、重点政策等)
第1次提言 第2次計画
6月政策会議報告 12月政策会議まで
目標・
○第1次提言の熟度
●我が国の情報セキュリティ政策の立ち上げと、「気付きを与える」ための戦略
・ 「情報セキュリティ」を個別重点的な政策分野として立ち上げ
・ 全ての主体にとって「気付きを与える」戦略
・ 官民各主体がITの安心・安全な利用へ向けた知見の集中、様々な主体ごとの取組み
・ 高品質、高信頼性、安心・安全の実現、情報セキュリティ上の問題がない水準の結果を目指す
●「セキュア・ジャパン」に基づく具体的取組みの推進
・ 年度計画「セキュア・ジャパン」に基づく積極的な取組みの推進
・ おおむね当初の計画どおり実現(2007年度までの取組み、2008年度の見込みを踏まえ)
第1次情報セキュリティ基本計画(以下「第1次基本計画」)の下での取組み
次期情報セキュリティ基本計画の位置づけ
●次期情報セキュリティ基本計画(以下、便宜上「第2次基本計画」)
・“課題把握~事前対策~問題発生時の解決”一連の対応能力が高い政策(より現実に即した政策)への発展
・我が国全体を俯瞰した中長期的戦略
・ 第1次計画からの「継続」と「発展」の二つの側面
●社会情勢の認識
・ 社会基盤化したIT利活用及び情報セキュリティ上のリスクは依然存在、“減少”とは必ずしも言えない
(政策の社会的効果(アウトカム)出現までのタイムラグか)
・情報セキュリティ上の問題の変質(新たな攻撃手法、より目に見えにくい・より大規模なサイバー攻撃/IT障害の発生の可能性)
・情報セキュリティの対象とする事項の変化(社会の情報システム活用方法の進化)
●情報セキュリティ政策の改善余地と発展の可能性
・現実を踏まえた精緻な検討により第1次基本計画はより良いものにする余地
・問題が生じない水準、事前予防を焦点 とした “無謬性の追求”について は、事後対応への十分な目配りも重要
⇒ 情報セキュリティ政策がより有用、リスク減少へ更に大きな効果
・事前予防の重要度が高いもの(政府機関の情報セキュリティ対策等) には継続留意が不可欠
取組みの下での認識
第1次基本計画と次期基本計画の関係(1)
第1次基本計画と次期基本計画の関係(1)
第1次基本計画と第2次基本計画の関係(2)
第1次基本計画と第2次基本計画の関係(2)
第1次基本計画の継続と発展
「継続」の観点
①具体的取組みの持続的な推進 ②「事故前提社会」への対応力強化 ③合理性に裏付けられたアプローチの実現
「発展」の観点
基本的に第1次基本計画の精神を継承
情報セキュリティ上の問題が生じないようなセキュリティ水準は引き続き実現されることが望ましい 実現へ向けた各主体の最大限の尽力は、更に前向きに取り組む必要がある
現時点の情報セキュリティ水準が十分であるとは言えず、引き続き対策の推進、水準の向上が不可欠
・ 基盤(枠組み)の活用
・ 具体的取組みの機能
・ 完全な事前防止困難
←実現可能性、コスト・利便性のバランス
・ 問題発生時の迅速、実効的な対応
により事業継続性を確保
具体的には
- リスク把握、変化するリスクへの
柔軟な対応を行う機能の強化 - 最適な対策水準、説明責任の明確化
・ 情報セキュリティ分野の立ち上げ期
・ 取組みの基盤(枠組み)作り 第1次基本計画
第2次基本計画
・ 問題発生防止の最大限の努力
・ “完璧な対策の実現は容易ではない“
ことの理解(気付き)の増進
・ 冷静、適切な対応を迅速に行う取組み
(各々の主体、我が国で許容可能な水準 の設定を実現していく)
「事故前提社会」への対応力強化
・ 最適な水準の対策を効果的・効率的に実施
・ 対策、水準の説明責任等を確実に果たす
(アプローチの合理性の客観性を保つ)
「事故前提社会」では
第2次基本計画の基本理念(我が国のあり方)について(1)
第2次基本計画の基本理念(我が国のあり方)について(1)
我が国の国家目標と情報セキュリティ
第2次基本計画の基本理念(我が国のあり方)を検討するにあたり、我が国の国家目標との関係で情報セキュリティ政策が どのように位置づけられるか、あらためて整理する。
情報セキュリティ 「IT基盤を、真に依存可能で強固なものにする」ためのもの
【「情報セキュリティの観点からみた我が国社会のあるべき姿及び政策の評価のあり方」】
【第1次基本計画】
「ITの利活用と国家目標の実現」との関係での情報セキュリティの位置づけ
IT利活用を通じた文化創造・文化発信の機能といった、“文化”との関係で、情報セキュリティの取組みの必要性について言及
(2007年2月2日 情報セキュリティ政策会議了解)
第1次基本計画の下での位置づけ
経済
生活
安保
経済大国日本の持続的発展とITの利用・活用
「・・・企業活動のグローバル化と分散化に対応して、強固な国際競争力と高い生産性を維持するためには、ITの利用・活用 が不可欠であるということは 言うまでもない。ITを社会インフラとして他国以上に一層有効に使いこなし、我が国の経済活動の持続的発展を遂げることが重要な国家目標である。」
より良い国民生活の実現とITの利用・活用
「経済活動だけではなく、21世紀の我が国が直面する社会問題の解決のためにも、ITの利用・活用が不可欠となり始めている。・・・ITを重要な手段として 利用・活用し、我が国が直面する社会問題を解決し、安全・安心で、より良い国民生活を実現していくことが重要な国家目標である。」
我が国の安全保障におけるITに起因する新たな脅威への対応
「・・・ITの利用・活用の拡大によって新たな脅威が発生していることを認識し、これに十分対応していけるよう、関係機関がその体制を強化しつつ連携し、
我が国の安全保障を確保していくことが重要な国家目標である。」
<第1次計画における記述>
情報セキュリティはより良い国民生活の実現に向けて勘案することが不可欠な要素の一つ 安心安全な国民生活の根幹
- 電子政府サービスはじめ、国民生活に密接な社会基盤の維持し、生活の利便性を維持・向上することが不可欠 - 国民が社会基盤であるITが安心安全に利用し、生活をより充実したものにできることが不可欠
ITを利用する国民の情報セキュリティ面の支出はほぼ不可避
-製品やサービスが可能な限り低コストで提供される環境が必要
-国民自身が支出の優先度に係る費目間のバランスを確保しつつ、生活の質(Quality of Life)を向上していくべき
情報セキュリティは経済大国日本の持続的発展のための重要な要素の一つ 事業者にとって経営上のガバナンスの一部
-情報漏えい、システム障害による信用失墜、経済的損失の可能性
-重要インフラは、社会的責任の観点から事業継続性確保などを更に進めることが極めて重要
-顧客からの信頼を確固とし、経済のグローバル化の中で国際的な競争力を維持・強化するために不可欠
第2次基本計画に向けての検討(1)
第2次基本計画の基本理念(我が国のあり方)について(2)
第2次基本計画の基本理念(我が国のあり方)について(2)
第2次基本計画では、情報セキュリティが我が国の国家目標との関係で持つ意義をより直接的に捉えて政策を検討し、
国民により有益な政策とするべき。主要な国家目標と情報セキュリティの関係については以下のように考えられる。
経済活動の側面との関係 経済活動の側面との関係
国民生活の側面との関係 国民生活の側面との関係
情報セキュリティは我が国の文化面に多大な影響力を有する
・ 異なる文化の国・地域との常時接続、顔が見えず抑止効果が働かない、ITは様々な国の文化の中で開発された技術、
契約による明示的責任に基づく安心安全
⇒ 受動的であっても安心安全が確保されるという従来文化との不適合
・ IT分野のセキュリティ文化(Culture of Security)の普及・定着、受動的な需要者・利用者(国民)の意識向上、対策実施を推進
⇒ 情報セキュリティは不適合を補完するために必要な要素
・ 我が国の文化を現在の社会情勢に適合するよう変質させるもの、他の分野での流れとも整合
第2次基本計画に向けての検討(2)
第2次基本計画の基本理念(我が国のあり方)について(3)
第2次基本計画の基本理念(我が国のあり方)について(3)
文化の側面との関係 文化の側面との関係
【サイバー空間】サイバー空間の安全保障は(官民の様々な主体によって実現される)開かれた安全保障
・ 社会経済活動は基本的にサイバー空間を介す ⇒ サイバー攻撃などからの安心安全の確保が不可欠
・ 国家の強制力が必ずしも存在しないサイバー空間の安心安全
⇒ 官民様々な主体の独自の取組み、自発的・強調的な参加による取組みで実現
⇒ 我が国国家の安全保障にも大きく貢献
【政府機関】 合理性に裏付けられた対策、機密性の高い情報保護による国内外の信頼確保、事業継続性の確保 特別に秘匿すべき情報を扱う機関、国家の根幹に関わる行政活動を行う機関
業務でのIT利活用は所与、ITに関連した国家の安全保障上のリスクの増大(サイバー攻撃、ウィルス混入製品の市場への流入等)
合理性に裏付けられた情報セキュリティ対策の推進
-機密性の高い情報の確実な保護
-事業継続性の確保
⇒ 技術開発の推進、情報インフラに対する重点的投資
⇒ 情報を取り扱う関係者のセキュリティ意識、モラル、規律の維持強化
⇒ 独立に取組みを進めることが認められると同時に、広く国民の理解 (国民への説明責任や情報公開の範囲に係る検討も必要)
⇒ 国際水準への意識、国際連携という視点
安全保障の側面との関係 安全保障の側面との関係
⇒ 国内外からの信頼確保、安全保障の観点から重要
『成熟した情報セキュリティ立国』へ向け、社会や国民の意識改革が不可欠
第2次基本計画の基本理念(我が国のあり方)について(4)
第2次基本計画の基本理念(我が国のあり方)について(4)
情報セキュリティ政策の取組みを通じた我が国のあり方
~成熟した情報セキュリティ立国におけるITルネサンスと世界との協調・イニシアティブの発揮~
第2次基本計画で目指すべき我が国あり方
①成熟した情報セキュリティ立国の思想へ
・冷静で迅速な対応
・最適な水準の対策の効果的・効率的な実施
・説明責任の明確化
・主体ごとの最適な水準を達成できる高品質・高信頼性の確保
・利用者にとっての安全・安心の確保
②成熟した情報セキュリティ立国への道とITルネサンス
二つの人間性の解放 ITルネサンスの実現
・ 完璧なセキュリティは容易に実現できないと一人一人が理解
⇒冷静かつ主体的にITを使いこなす(ITからの人間性の解放)
・ コストや利便性とのバランス、最適な水準のセキュリティ対策を実施
⇒ITの最大限の利用、人間の英知に基づくアイデアの実現が可能化・容易化される(ITによる人間性開放)
国際社会での理解、IT先進国としての発信・貢献、世界との協調・イニシアティブの発揮
③世界との協調・イニシアティブの発揮へ
『成熟した情報セキュリティ立国』の思想、取組み
より現実に即して実効的な 情報セキュリティ対策が実現される
『成熟した情報セキュリティ立国』
・ 我が国の情報セキュリティの取組みの国際社会での理解
・ 真にIT先進国として発信・貢献を行える水準の取組みが実現した状態へ到達
・ 自国の取組みへの自信、世界との協調、その中でIT先進国として相応しいイニシアティブ
⇒
合理性に裏付けられたアプローチの実現に関連して
「事故前提社会」への対応力強化に関連して
「ITを安心して利用可能な環境」の構築
第2次基本計画の下で実現すべき基本目標について(1)
第2次基本計画の下で実現すべき基本目標について(1)
情報セキュリティが実現すべき基本目標
第2次基本計画の基本目標
基本目標に向け考慮すべき実際的な諸点
(a)理解(気付き)の推進と判断力の向上
(b)関係の深い主体との間での共通理解の醸成と信頼関係の構築
(c)障害対応や事業継続性などの事後対応への更なる注力
(d)事実関係の把握機能の強化と説明及び
被害拡大防止、再発防止のための情報共有
・問題、被害規模の理解、合理的な対応への判断力の向上
・「事故前提社会」、望ましい対応について意識及び取組み向上の施策 の検討(一般個人に分かりやすい形)
・主体間の関係に応じた共通理解のあり方、信頼関係構築の推進の検討
・問題が生じた際の責任分担の要否も含めた検討
・障害対応、事業継続性確保など事後対応への注力
・時系列的な対応事項、主体の役割分担、対応範囲の十分な検討
・事後対応の準備
・事実関係、事業継続状況の社会への説明の必要性
・同様ケースの再発防止へ向けた適切な情報共有
・事実関係の把握機能強化の方策の検討
・主体の特性に応じた説明範囲の検討
・他の主体との情報共有を更に進めるための施策の検討
(どういった情報、どの主体で共有するべきかを明確化しつつ)
(a)変化し続ける脅威の把握とリスクへの柔軟な対応
(b)コスト、利便性とセキュリティのバランス
(c)最適な「水準」に関する認識の共有
(d)情報システムに係る技術面・運用面の対策に加えた
人的側面の対策への更なる尽力
・リスクを的確に評価(アセスメント)し、実装へつなげていく機能
・変化するリスクへの対応を柔軟かつ迅速に行うための方策
・セキュリティ、利便性向上、コスト適正化を担う機能の連携と総合的対応
- 情報セキュリティ対策の投資効率の把握(次頁参照)
- コストを低下させる手法の検討(次頁参照)
- セキュリティのコストからメリットへの転換(次頁参照)
・最適な「水準」の認識の共有、水準の対策を確実に行うことが基本
⇒ 事故前提社会における判断能力の向上にも寄与
・法制度の可能性、規範性要否の検討(社会全体のリスク管理の枠組を考慮)
・規範の程度を考慮した最低水準、基準の検討(恣意的でないもの)
・役割分担、対策内容の類型に配慮した標準化、責任分担の明確化の検討
・対策を行う人間の能力向上、能力の限界を考慮した運用方法の確立
・適切な人間による適切な情報管理、ミスや悪質な行動への対策 (e)説明責任の明確化
・ 政府機関において特別管理秘密を扱う場合の説明責任
・ 政府機関が一般的な情報を扱う場合の情報セキュリティに関する説明責任
・ どのような主体、どのような範囲、どのような説明責任があるかの明確化
・ 対策(記録保存等)を実施しない者が説明責任を免れる事態などの防止
・ セキュリティ対策の実施がメリットを生み出す取組み、対策に投入できるリソースを増加させる検討
・ 「対策推進=善、必要」と一義的にコスト負担を求める倫理期待型から「対策推進=メリット、強み」と実感できる利益認識型へ軸足
第2次基本計画の下で実現すべき基本目標について(2)
第2次基本計画の下で実現すべき基本目標について(2)
・ 対策に係るコストを投資という観点で捉えなおすことも、容易ではないが一案
⇒ 科学的な手法により投資効果を明らかに、より効率的な投資方法に対策を転換することも検討として必要
・ 投資効率は、政府機関・企業・人の規模でのミクロの視点、ITに係る知識が少ない個人も含む社会全体としてのマクロの視点が必要
【情報セキュリティ対策に関する投資効率の把握】
・ SaaSモデル、ASP等のセキュリティを確認した上での活用
・ 単純作業の対策を集約的、統一的に実施する手法の検討、規模の利益(スケールメリット)の追求
・ 新たな技術開発・研究開発、新技術の導入によるコスト低下の検討
・ 対策に関する可能な部分の標準化による容易で比較的低コストな対策
・ 現在もある委託・アウトソーシングビジネスの活用、低コストで対策を進める方策の検討(個々の主体の特性を考慮しつつ)
(委託・アウトソーシングに適した事項を十分見極める。自分でなすべき取組みは、自身で対応。情報セキュリティ対策の責任は自身にある。)
・ 「各主体の対策実施の意識向上、対策推進」と「低コストで充実した対策手段の供給」が相互に作用し自律的に進む環境整備の検討も有効
【コストを低下させる手法の検討】
【セキュリティのコストからのメリットへの転換】
PDCAサイクルによる政策運営方式の継続
・ 第1次基本計画からのPDCAサイクルに基づき、政策評価、改善処置を辿る政策運営の方式は継続
・ 「達成すべき基本目標」は政策運営段階で達成度の評価を行うべき
(達成度を測ることが容易でない要素もあり、この点の取り扱いについて今後検討が必要)
新たに情報提供主体を視野に入れた具体施策の検討
・ 個人情報のような自己の情報を預ける情報提供主体を観念
・ 情報の受け渡しに関わる主体全体が、事故可能性の完全排除を目指しても、そうならないことの可能性を理解
・ 自身の情報に関する所有意識(ownership)を高め、自身の情報保護や生活・福利厚生への活用することへの理解 第1次基本計画の「新しい官民連携モデル」に則った政策の推進
「新しい官民連携モデル」(第1次基本計画)
IT社会を構成するあらゆる主体が、情報セキュリティ問題への取組みの重要性についての共通の認識の下、自らの責任を自覚しながら、
それぞれの立場に応じた適切な役割分担の下で対策を実施
第2次基本計画の下で実現すべき基本目標について(3)
第2次基本計画の下で実現すべき基本目標について(3)
基本目標の実現に向けた「新しい官民連携モデル」への補完
①第1次基本計画における「新しい官民連携モデル
②対策実施側と情報提供側の双方からの検討(2つのアプローチ)
③政策の評価との関係について 対策を直接実施する主体
対策を支援する主体
従来のアプローチ(第1次基本計画) 新たなアプローチ
+ 情報を預ける主体
・事故可能性の完全排除、目指してもそうならない可能性を理解
・自身の情報に関する所有意識(ownership)
・ 複数主体の協働によるITサービスの提供、アウトソーシング等で他の主体からのITサービスの提供を受けるケース
・ 人格形成途上の児童・生徒、高齢者への目配り(基礎教育、生涯教育のような形)の必要性(具体政策の有無、実現可能性を考慮)
・ 「児童・生徒」、「高齢者」を一括りにするべきか(上記結果を踏まえ)
・ 「あえて対策を実施しない者」を一括りとして対応すべきか(個別施策の有無も含めて)
・ ネットワークのつながりの中で、対策が手薄なところからの被害拡大、社会全体の厚生を下げない効率的な手法を追求する視点を考慮
・ 企業規模と情報資産活用に基づく整理、「中小企業」に適した施策の要否
・ 「中小企業」を一括りにするべきか(上記結果を踏まえ)
・ 海外企業が日本の個人情報、企業の機密情報を大量保有するケースへの対応
・ 一般的な企業とは異なる「重要インフラ」としての対策範囲の明確化
・ 対策実施4領域の区分の下での「企業」との境界線
・ 「特別に秘匿すべき情報(特別管理秘密)」・「国家の根幹に関わる行政活動に係る業務」と「一般的な業務」との切り分けの要否、その基準
・ 「地方公共団体」として一括りにするべきか(重要インフラとしての側面、国の施策の手の届く範囲(Government reach)を考慮)
・ 「国立大学法人等」の今後の取り扱い、具体施策の有無
第2次基本計画の下での政策の枠組みについて(1)
第2次基本計画の下での政策の枠組みについて(1)
対策実施主体について
政府機関・地方公共団体
重要インフラ
企業
政府機関・地方公共団体、重要インフラ、企業、個人の4領域の枠組を踏襲
政策をよりきめ細やか、実効的なものとする要請にも応える必要がある(検討委員会での継続検討)
個人
検討を行う上での留意点
主体同士の複合的な形態 (上記主体間に限らない)
・ 「地方公共団体」の役割、具体施策の有無の検討(地方公共団体の本旨を踏まえ)
・ 「情報関連事業者」の役割、市場原理の下で情報セキュリティに係る事業活動を進める取組みができるか
・ 「情報関連事業者」のセキュアな情報システムの確実な提供
- 発注者が求めるべきセキュリティ水準の明確化
- 発注者側との合意形成の方法(サプライヤと発注者が共通理解をもってやり取りを行える方策)
- 「情報関連事業者」が負うべき役割と責任の明確化
・ 「メディア」の情報発信、啓発や情報共有は社会全体のITリテラシーの向上、情報セキュリティ対策の推進に大きな効果 例えば、情報漏えいの際の背景、要因、合理的な対策の有無、社会的影響の程度といった情報発信
⇒ 事故前提社会への対応力強化、合理性に裏付けられたアプローチの実現へ向けた大きな役割
第2次基本計画の下での政策の枠組みについて(2)
第2次基本計画の下での政策の枠組みについて(2)
問題の理解・解決促進主体(対策支援主体)について
政府機関・地方公共団体、教育機関・研究機関、情報関連事業者・情報関連非営利組織、メディア の対策支援主体としての位置づけは維持
必要に応じて主体の追加、修正、精緻化を図るべき
対策支援主体
検討を行う上での留意点
情報提供主体について
「2つのアプローチ」の考え方に基づき、対策実施側だけではなく情報を預ける側も念頭におくべき
検討を行う上での留意点
・ 「情報提供主体」も視野に入れた啓発などの具体的施策の検討
・ 「情報提供主体」と情報管理主体との間の情報の受け渡しに関する模範的な例の提示などの具体的施策の検討
・ 「情報提供主体」の役割や責任の明確化 情報提供主体
横断的な情報セキュリティ基盤について
第1次基本計画での情報セキュリティ技術戦略の推進、人材の育成・確保、国際連携・協調の推進、
犯罪の取締り及び権利利益の保護・救済の4領域の枠組に従う
検討を行う上での留意点
・ 「地方」を横断的な情報セキュリティ基盤に位置づけるかは、個別施策検討の段階で結論を得るべき(施策の有無も含めて検討)
横断的基盤
第2次基本計画の下での政策の枠組みについて(3)
第2次基本計画の下での政策の枠組みについて(3)
・ 政府機関だけでなく、企業等様々な組織、個人での具体的な取組み推進は、強い動機づけと具体的推進体制が必要
・ 主体ごとの特性を踏まえ、望ましい手法の検討が必要
第2次基本計画の下での政策推進について(1)
第2次基本計画の下での政策推進について(1)
政策推進体制の強化について
第1次基本計画のNISCの強化、各府省庁の強化は引続きなされるべき
・ インソースの強化の検討
● 担当部門の担当者数の確保 ● コンサルタントのような専門家派遣による補完、能力向上
● 人事制度の改善 ● 簡易な作業の標準化、集約化
● 人材育成の強化 ● 合理性に基づく形での柔軟な予算制度
・専門分野におけるアウトソーシングの戦略的活用の検討
・ 技術面の知見を蓄積できる構造の検討
● リスクを的確に評価(アセスメント)する機能 ● IT障害の再発防止を促進し、システムの信頼性を高める機能
● 政府機関、社会全体でどの程度が最適な水準の対策か示す機能 ● 政策や対策の状況を測り、取組みの向上を図る機能
● 政府機関の取組みへのコンサルテーション等の支援を行う機能
⇒ NISCの強化によって対応すべき機能かは別途検討が必要
政府機関も含めた公的役割を担った機関総体としてもつべき機能。 機能分散の場合、各機能・機関の連携強化を図るべき 蓄積された技術面の知見は、民間企業等での活用にも期待
政府機関
対策実施主体全体
第2次基本計画の下での政策推進について(2)
第2次基本計画の下での政策推進について(2)
情報セキュリティ政策及び対策の柔軟かつ機動的な推進について
社会変化や技術の進歩に合わせて柔軟かつ機動的な対応を進め、政策及び対策の効果を向上することが必要
・情報セキュリティ分野はリスク変化が非常に早い分野、PDCAサイクル計画段階の想定からリスクが変化する可能性は十分有り得る
・変化を踏まえた、臆することない政策・対策の客観的評価が取組みの実効性につながる ⇒ 関係者が理解を深めるべき
例えば、分野として、科学技術、知的財産保護、防災、製造物責任、違法有害情報対策、プライバシー、企業のリスクマネジメントなど
(結論はなんら予断しない)
情報セキュリティ以外の他分野、他の関係機関との連携について
幅広い分野と密接に関連、施策効果の向上には、必要に応じ他分野・他関係機関との連携が不可欠 他分野・他の関係機関
情報セキュリティ施策・対策
実効性の確保のために今後の検討が必要な課題について(1)
実効性の確保のために今後の検討が必要な課題について(1)
今後の検討について
●対策実施主体、対策支援主体、情報提供主体、横断的セキュリティ基盤分野などの重点施策の方向性の検討(1)
【対策実施主体に係る検討課題】
● 政府機関情報セキュリティ対策におけるPDCAサイクルの実効性強化 規範に基づく各府省庁の対策について
・技術的観点で合理的な対策を確保する方策 ・統一的な視点で監査を推進する機能 ・対策の改善へ向けたアドバイスを行う機能
● 行政情報システムの最適化の取組みとの関係に係る検討
・行政情報システムへの情報セキュリティの視点を加味した実効性を確保するための取組み
・調達物品のある程度の類型化、基準化による効率的・実効的活用方法 ・専門的・技術的観点からアドバイスを行う機能
● 政府機関のおける機密性の高い情報の保護及び事業継続性に係る検討
・機密性の高い情報の保護に必要な方策 ・IT障害発生時における緊急対応、復興を含めた事業継続性確保の施策
● 政府機関の国民に対する説明責任に係る検討
事後対応時も含めた国民へ合理的に説明責任を果たす範囲や方法
● 政府機関における人材の確保などに係る検討
・人材の育成、確保 ・情報セキュリティ対応体制の強化 ・柔軟な予算確保の方策 ・専門分野でのアウトソーシングの戦略的活用
・共通的な取組みの集約化による少人数でのセキュリティ確保
● 重要インフラに係る様々な検討
・10分野の分類、位置づけの適正性 ・重要インフラとしての対策、企業としての対策の境界 ・重要インフラ対策に係る監査のあり方
・重要インフラ関連情報システムを含む事業過程の信頼性を高める機能(例 主体性を尊重した合理的な情報共有の推進)
● 企業に係る様々な検討
・対策の最低水準を設定することの是非 ・対策がコストとならないような施策(企業対策に係る援助策など)
● 個人に係る様々な検討
・児童、生徒への対応の要否と具体な方策
【対策支援主体に係る検討課題】
・社会全体を視野にリスクを的確に評価(アセスメントする機能) ・政府機関/社会全体での最適な水準を示す機能
・政策/対策の状況や効果を測り、取組みの向上を支える機能
・情報システムに係る事故があった場合の調査・評価、システム自体の信頼性を高める機能
・対策支援主体としての情報関連事業者、地方自治体の役割 次頁へ・・・
●対策実施主体、対策支援主体、情報提供主体、横断的セキュリティ基盤分野などの重点施策の方向性の検討(2)
【情報提供主体に係る検討課題】
・情報提供主体としてのリスク認識強化のための施策
・合理的に期待される範囲での提供情報保護が進む方策
(一定の情報保護水準を保証するservice liabilityの活用、情報保護を保証するための保険制度の検討等)
【横断的な情報セキュリティ基盤に係る検討課題】
● 技術戦略の推進に係る様々な検討
・暗号方式、認証基盤など技術的先進性が重要な部分に係る国策としての取組み
・情報技術と情報セキュリティ技術の一体的な発展 ・組込みソフトのセキュリティ確保のための方策
● 人材の育成・確保に係る様々な検討
・児童、生徒をはじめとする幅広い層を対象とした情報セキュリティ教育の要否
● 国際連携・協調に係る様々な検討
・海外企業による日本企業の情報、日本国内の個人情報の保有に対するセキュリティ確保施策の実現可能性
・国際標準の形成に対して、一定のイニシアティブを発揮するための方策
・特別に秘匿すべき情報(特別管理秘密)などの管理や政府機関の事業継続性確保の取組みに関する国際連携の推進
● 犯罪取締り・権利利益保護に係る様々な検討
・被害者の保護・救済のための法制度の整備 ・情報セキュリティの関係での情報の法的な評価方法
・サイバー攻撃によるテロへの対応
実効性の確保のために今後の検討が必要な課題について(2)
実効性の確保のために今後の検討が必要な課題について(2)
※今後の検討課題の例。網羅的に今後検討課題を記述するものでは必ずしもない。
※委員会及び個々の委員の議論・提案に基づくもののうち、特徴的なものを中心とする。
※個々の主体間などでの政策の分量バランスについて、第2次基本計画における最終的な形態を予断するものではない。
