第49号コラム: 安冨 潔 副会長(慶應義塾大学 法務研究科・法学部 教授、弁護士)
題:「非常に悩ましいが、嘆いてばかりでもはじまらない!」
2009年2月3日、高度情報通信ネットワーク社会推進戦略本部情報セキュリティ政策会議(以下 「政策会議」という。)は、第2次情報セキュリティ基本計画(以下「第2次基本計画」という。) 「IT時代の力強い「個」と「社会」の確立に向けて」を公表した。
第2次情報セキュリティ基本計画は、内閣官房情報セキュリティセンター(以下「NISC」という。)を事務局として、情報セキュリティ問題全体を俯瞰したわが国としての中長期的な基本戦略に関する当面の審議の充実に資するため、政策会議に、特定の事項の調査検討を行う専門委員会として、2007年12月12日に、基本計画検討委員会(以下「検討委員会」という。)が設けられ、2008年1月16日に第1回会合を開いて同年12月3日まで16回にわたって集中的に検討した成果がとりまとめられたものである。
わが国の情報セキュリティ問題への取組みについては、2005年4月にNISCが、また5月に政策会議が設置され、e-Japan 重点計画等の一部となっている「情報セキュリティ」の問題を個別重点的に捉えた上で、戦略的思考に基づいた体系的な計画を構築することとして、2006年度から2008年度までの3か年の中長期の戦略である第1次情報セキュリティ基本計画(以下「第1次基本計画」という。)が策定された。しかし、著しいIT環境の変化や社会情勢の動向を考慮し、第1次基本計画に基づく各種の取組みの進展や社会環境の変化などを踏まえて、引き続きわが国全体として情報セキュリティ問題への取組みを力強く推進するために、2009年度以降を念頭に置いた第2次基本計画を策定することが求められた。
第2次基本計画は、第1次基本計画の下での取組み状況、情報セキュリティ政策会議の下に設置された検討委員会の第1次提言、同提言を踏まえた政府での取組み、同じく情報セキュリティ政策会議の下に設置された重要インフラ専門委員会での検討などを踏まえて策定され、『政府機関の情報セキュリティ対策のための統一基準』、『重要インフラの情報セキュリティ対策に係る第2次行動計画』、『「セキュア・ジャパン」の実現に向けた取組みの評価及び合理性を持った持続的改善の推進について』及び『情報セキュリティの観点から見た我が国社会のあるべき姿及び政策の評価のあり方~「セキュア・ジャパン」の実現に向けた情報セキュリティ政策のPDCA4サイクル確立へ~』という文書が個別に策定され、全体としてわが国の情報セキュリティへの取り組みが示されている。
第2次基本計画は、第1次基本計画の下での取組みが、事前対策に重点を置くような形で進められたことを受けて、万が一の事態における広い範囲での対応や復旧の準備にも力を注ぐことを意図して、「事故前提社会」への対応力強化を図ることを基軸としている。もっとも、事故前提社会という発想が適切なのかは、検討委員会においてもかなり議論されてところではある。とはいえ、あらゆる主体が情報セキュリティ上の問題の発生を防止するべく事前対策について最大限の努力を行う必要があることは言うまでもないことであり、しかしいかに努力をしても情報セキュリティに関連する事故を避けて通れないことから、むしろ事故が起こることを前提として情報セキュリティ対策を進めることを基本計画の基軸としたのである。
第2次情報基本計画における基本的考え方は、「ITを安心して利用できる環境」の構築を実現すべき基本目標として、「セキュリティ立国」の思想の成熟を取組みにあたっての基本理念としている。そのための取り組みとして、対策実施側の取組みの促進と、情報提供側の意識向上を図るべく具体的な提言がなされている。
情報セキュリティを巡る問題は、新たなリスク要因が次々と発生し、その変化が早いことから、政策の効果を常に評価し、改善を行うことが必要であるので、第2次基本計画について、3年後に見直しを行うとともに、環境変化が生じた場合には、期間中であっても見直しを行うこととされている。
さて、この第2次基本計画策定にあたっての検討委員会においては、きわめて多くの論点について多角的な検討がなされたが、デジタル・フォレンジックに関しては、「第1次情報セキュリティ基本計画の下での取組みと2009年の状況」(第1章)のなかの「2009年の状況」(第2節)における(2)横断的な情報セキュリティ基盤の ④犯罪の取締り及び権利利益の保護・救済というところで、「第1次基本計画の下、各種の研修等の実施によるサイバー犯罪取締りのための技能水準の向上、捜査・解析用資機材の整備・増強、デジタル・フォレンジック(不正アクセスや機密情報漏えいなどコンピュータに関する犯罪や法的紛争が生じた際に、原因究明や捜査に必要な機器やデータ、電子的記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称(Digital Forensics))に係る知見の集約・体系化、サイバーテロ対策に係る官民連携の促進等の基盤整備が進められた。」と述べられているにとどまる。
第2次情報基本計画が情報セキュリティに関する基本戦略の策定を企図していることからすれば、デジタル・フォレンジックの社会的な有意性と機能について、さらに踏み込んだ検討と利活用の構想を期待したいところであった。
第2次基本計画において十分に検討されなかったデジタル・フォレンジックの社会的な有意性と機能について、デジタル・フォレンジック研究会の分科会活動や新たに企画されるワーキンググループ等において、具体的な内容について検討を深めていってもらい、次期基本計画に反映されることを願っている。
【著作権は安冨氏に属します】