情シスがウェブ会議はダメだと言う理由
うちの課でもウェブ会議をやってみたい!
そう思って情シスに相談したら、「セキュリティの関係でダメですね」と言われてしょんぼりしていませんか?
はたしてその「セキュリティの関係でダメ」は本当でしょうか?
今回はウェブ会議とセキュリティポリシーの関係を掘り下げてみます。
セキュリティポリシーって?
正確には「情報セキュリティーポリシー」ですが、単に「セキュリティポリシー」と呼ぶことが多いです。今回は「セキュリティポリシー」で統一します。
セキュリティポリシーは、自治体が保有する情報資産を守るため、各自治体がそれぞれの実情に合わせて自ら策定する決めごとです。したがって法令で定められたものではありません。
セキュリティについては、さも「国が決めているからどうにもならない」という雰囲気を醸し出す情シスがいるかもしれませんが、それは「そう言っておけばおとなしく黙るだろう」という期待が込められたブラフにすぎません。
ではなぜ「国が決めている」という雰囲気を醸し出すのでしょうか。それは「国が決めている」が半分正解だからです。
セキュリティポリシーの体系は、「基本方針」「対策基準」「実施手順」の3層構造になっています。
このうち「基本方針」と「対策基準」を総称してセキュリティポリシーと呼び、セキュリティポリシーを策定する際の参考として、総務省からガイドラインが公表されています。このガイドラインを指して「国が決めている」という情シスがいるのです。
ガイドラインについてもっと詳しく知りたい方は、ガイドラインの本文をご覧ください。
このように、セキュリティポリシーには参考とするガイドラインが存在することから、記載されている内容が自治体によって大きく異なることはないと思われます。したがって、ここから先はガイドラインから引用しています。
ウェブ会議に関係する記述
セキュリティポリシーのうち、全ての情報システムに共通のセキュリティ対策を定めたのが「対策基準」です。この対策基準の中にウェブ会議に大きく関係する記述があります。「約款による外部サービスの利用」です。
8.2. 約款による外部サービスの利用
(1) 約款による外部サービスの利用に係る規定の整備
情報セキュリティ管理者は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、機密性2以上の情報が取り扱われないように規定しなければならない。
①約款によるサービスを利用して良い範囲
②業務により利用する約款による外部サービス
③利用手続及び運用手順
この規定では、以下の2点が求められています。
①約款による外部サービスの利用に関する規定の整備
②機密性2以上の情報を取り扱わない
機密性3:行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産
機密性2:行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産
機密性1:機密性2又は機密性3の情報資産以外の情報資産
約款による外部サービスの利用とは
Zoomに代表されるウェブ会議サービスを利用するには、サービス提供者が示す約款(規約)に同意する必要があります。
約款は不特定多数を対象としたもののため、いかなる損害に対しても補償しない等の規定が設けられていることが一般的です。つまり、約款による外部サービスを利用するときは、サービス停止のリスク(突然使えなくなっても支障がないか)や、データの取り扱いに関するリスク(会議中に使用したデータが漏洩しても支障がないか)を考慮しなければなりません。
このため、ガイドラインでは約款による外部サービスの利用に関する規定の整備と、機密性2以上の情報を取り扱わないことが求められているのです。
15.保証なし
本サービスは「現状有姿」で提供され、Zoomおよびその関連会社、サプライヤー、再販業者は、明示的または暗示的なあらゆる種類の保証(市場性の保証、特定用途への適合性、非侵害を含むがこれらに限定されない)をすべて明白に放棄することを、お客様は理解して同意するものとします。
引用:Zoomサービス規約
まとめ
情シスがウェブ会議はダメだと言う理由がおわかりいただけたでしょうか。
まとめると次のような理由だと言えます。
①総務省のガイドラインに基づいて策定したセキュリティポリシーにおいて、「約款による外部サービスの利用に関する規定」を整備しなければならないが、その規定を整備していない。
②約款による外部サービスの利用では、機密性2以上の情報を取り扱ってはならないが、ウェブ会議において機密性2以上の情報を取り扱わないことを確認するのは困難
①については、すでに規定を整備していれば問題ありませんが、ウェブ会議を対象とした規定を整備済の団体は少ないのではないでしょうか。
また、規定を整備しなければならないのは情報セキュリティ管理者(=各所属長)ですので、規定の整備自体は正確には情シスの仕事ではありません。ただし、規定を整備しなくてはならない情報セキュリティ管理者との調整や、場合によっては情シスで包括的な規定を整備することも考えられますので、情シスが渋る理由になるかと思います。
問題は②です。仕事で扱う情報のほとんどは機密性2以上の情報です。
さらに人の顔は個人情報とされていますから、職員ならまだしも、外部の人が参加するウェブ会議は、顔が映っただけでアウトということになります。
この機密性2以上の情報を扱えないとい点が、情シスの腰を引かせる一番の原因でしょう。
最後に
ダメだという理由だけを明らかにしても問題の解決にはなりませんので、次回はどうすればOKになるかを考察したいと思います。
この記事が気に入ったらサポートをしてみませんか?