セキュリティが置き去りにされた「デジタル・ガバメント実行計画」について考える

明けましておめでとうございます。今年は新年早々「半沢直樹エピソードゼロ」の、あまりに酷いシステム開発現場にツッコミ疲れをしてしまった方が多数出たのではないでしょうか。ドラマを作った制作会社や、放送したテレビ局のセキュリティ体制を心配された方も多いことでしょう。でも、それが今の日本の現実なのでしょう。

さて、あまり報道では取扱われませんでしたが、2019年末ついに政府の「デジタル・ガバメント実行計画」が正式に閣議決定されました。今回はこれについて触れたいと思います。

参照行政手続き9割電子化へ 政府が新実行計画/日本経済新聞

デジタル・ガバメント実行計画の穴

「デジタルガバメント実行計画」とは、行政の在り方そのものをデジタル前提で見直すことを目的としています。この目的自体は、行政の効率化として大変意義のあるものだと思います。ところが、この計画を読んでみると、"具体的にどうすればできるのか"、"そもそも安全にできるのか"が今一つ見えて来ないのです。

セキュリティが置き去りにされた「サービス設計12か条」

その根本原因が、実行計画のベースとされた「サービス設計12か条」だと思っています。

この「サービス設計12か条」にはセキュリティの項目が入っていません。基にしたと思われるアメリカの「Digital Services Playbook」にはセキュリティの項目が入っています。民間のサービスには「セキュリティ・バイ・デザイン」を要求しているのに、デジタルガバメントにはそれを要求していないということです。

案が公開された際、意見募集に私も指摘させていただいたんですが、それに対しての返答は下記の通りでした。

本計画は利便性の向上という側面に焦点を当てているため深く書き込めておりませんが、セキュリティの確保やリスク管理についてはNISCと連携し一体となって取り組みを進めております。

いや、セキュリティの確保もリスク管理も利便性向上の必須条件でしょう。安心して使えなければ、誰もそのサービスを利用しようと思わないでしょう。

「サービス設計12か条」の第1条は『利用者のニーズから出発する』なんですが、"安全に使えること"は利用者のニーズの最たるものでしょう。なぜセキュリティの項目を外したのか、理解に苦しみます。

セキュリティ意識の低さが露呈する計画

一応、付け加えておきますが、条文の解説事項には"セキュリティ"の言葉は一つだけ出てきます。第6条『デジタル技術を活用し、サービスの価値を高める』の部分で下記のように表現されています。

情報セキュリティ対策とプライバシーの確保はサービスの価値を向上させるための手段

政府提供のサービスなのに、セキュリティやプライバシーは"価値向上の手段"でしかないとは!と突っ込みたくなりますよね。このような発想だから、いまだにマイナンバーカードを推進しているのでしょう。セキュリティやプライバシーの確保は"価値向上の手段"としか考えていないのですから。

実際に誰が作っていくのか、人材不足問題は解決せず...

最大の問題はこれです。人材不足。本文だけで100ページ近い中、1ページちょっとのスペースでこれが触れられています。要約すると、「人材の育成と確保に取り組んでいるが、依然として不足」です。それでも開発現場と決裁権限者の間を取り持つ「橋渡し人材」は160人になった、とは書いてあります。

増えるのは良いことですが、個人的には彼らには同情してしまいます。私も民間で「橋渡し人材」的な仕事をよくやりますが、それでも経営層はメールを使えますし、インターネットもやります。こちらの説明も理解していただけます。ですが、PCを使ったこともない決裁権限者にデジタルガバメントの在り方や、セキュリティの確保について理解させろ、と言われたら自信がありません。

それをできる人たちや、現場でデジタルガバメントのシステムを作る人たちを大量に確保する必要があるのです。それなくしてデジタルガバメントは進みません。実行計画の最重要課題だと思うのですが。

最後に

デジタル・ガバメントは進めて行くべきだと思います。ただ、今回発表された実行計画では「できたらいいね」「なんとか作ってね」の雰囲気が漂っており、「こうすればできる」感がまるで無いのです。少なくともITやセキュリティも現場に関わってきた人たちが実行計画策定に加わっていたようには見えません。

大切なことだからこそ、現場の意見を盛り込んでいただきたい。少なくとも、「半沢直樹エピソードゼロ」の証券システム開発現場に違和感を持てないような方たちだけで実行計画を作るのは止めていただきたい、と切に願います。

情報漏洩セキュリティ対策ハンドブックプレゼント

メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼント

1.はじめに


2.近年の個人情報漏洩の状況


3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策


4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策

無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?