まずは現状確認＝職員のレベルを「自己診断シート」で確認

とはいえ、セキュリティ担当（情報政策課）が最も力を入れたのは、最先端の技術導入でも、ハイレベルな技術的操作でもない。職員に対してのセキュリティレベルの確認と、その引き上げ作業との地道な繰り返しだ。セキュリティの技術的対策は不可欠だが、結局は「人」の問題に行き着く。

組織にいる人のレベルを無視した計画は、いかに理想的で素晴らしいものであっても必ず挫折する。「どうせ無理」という気持ちでは、人は動かないからだ。現状のレベルをきちんとわきまえ、次のステップに足をかけられるように支援すれば、一歩一歩、着実に上っていける。 その「人」の問題を当初から直視し、立ち向かっていたのである。 そのために用意されたのが「自己診断シート」である。パスワードの管理をはじめ、各人がやらなければならない事項を質問票にして職員に配布し、記入してもらう。 これによって、記入した本人自身が、あらためて「できていない」ことに気付く。そのような自己認識を持つことがは第一歩である。

一方で情報政策課は、その結果により、何が課題であるかを明確に認識できる。それを元に、効果的な改善計画の策定や教育の実施が可能となる。具体的には、自己診断シートによって抽出された「足りない」部分を教育研修によって補うわけだ。

機会あるごとに、繰り返し啓蒙

セキュリティ研修の成果を上げるために、まず必要なのが、各所属の管理者への啓蒙だ。管理者自身にその意識がなければ、そして協力体制を築いてもらわなければ、隅々までの浸透は難しい。 埼玉県では2003年から県庁全体で、セキュリティ教育にはかなり力を入れているが、早い段階で所属部署の管理者に対する研修を2週間程度かけて、じっくりと行った。 職員に対しては、情報政策課等の職員が自ら講師となって実施する内部研修や、外部の専門機関で実施される研修などで対応している。

ユニークなものとして「出前研修」がある。情報政策課が各部署に押しかけて実施する教育だ。このようなものはタイミング良くやれば、一層効果的だが、情報政策課が主体的に動ける環境だからこそ可能なのであろう。 そして、教育・啓蒙に最も大切なことは「繰り返し」だ。「1度はやりましたが・・・」という声を多くの組織で耳にするが、定着させるためには、何度でも言って、何度でもやらせなければならない。埼玉県では、そのために、あらゆる機会を捉える努力と工夫をしている。例えば、ExcelやWordの操作研修があれば、その最後の10分を使って「セキュリティ ワンポイント講座」を実施するという具合だ。

厳しい対応も必要

セキュリティを徹底させるためには、時には厳しい対応も辞さない。違反があった場合には、情報政策課が違反者の出た「所属部署名」でもって掲示するといった一種の「晒し」をやる。ここでは違反者の個人名ではなく、あくまでも所属部署名を明かすことで、管理と各人の行動を徹底してもらうのが狙いである。職員の処分自体は、人事に任せる。

今後の課題・展望

今回のISMS認証取得は、単なる通過点であり、埼玉県ではこれを出発点としてセキュリティ拡充への新たな意欲を覗かせている。

その1つ目は、ISMS認証の適用範囲の拡充。もともとセキュリティ対策自体は住基ネットシステムだけではなく、県庁全体に対して実施している。ただ、 ISMS認証という場合、範囲は県庁全体まで拡げるのか、それとも一部分に限るかのかは、現在検討している途中である。
ISMS認証に限らず、情報セキュリティ監査など、何かしらの第三者認証は、できるだけ広い範囲で取りたいというのがトップの意向だ。

2つ目は、埼玉県下の市町村への普及。県は、率先したことによって、そこで得たノウハウを惜しみなく市町村に提供し、支援していくという姿勢である。その具体策として、今年（2005年）6月に市町村を対象にした「ISMSセミナー」を計画している。

3つ目は、危機管理対策の強化である。その中でも緊急時、つまり突然のトラブルやアクシデントに見舞われた際にどう対応するかの訓練だ。すでに昨年、県庁の内部だけでは実施したが、今年以降は、市町村や住基ネットシステム全国センター（財団法人地方自治情報センター：LASDEC）を巻き込んでの訓練を実施していきたいとのこと。 これら以外にも今後の課題はまだまだ山積みだ、とのことではあるが、地に着いた対策を地道に積み上げていくことこそが、結局は、着実に成果を上げる早道であることを知った。

人事などの面で埼玉県が恵まれていた要素は確かにあるが、埼玉県が行ってきたことは、その気になれば、規模に関係なく、どのような組織にでも実践できるはずだ。今後、全国の自治体の動きに注目したい。