内閣官房IT担当室の電子政府ガイドライン作成検討会から、オンライン手続におけるリスク評価及び電子署名・認証ガイドラインが公開されています。あわせて、意見募集の結果も出ています。
電子政府タイムテーブルにも追加しておきました。
「とりあえず電子署名にしておこう」と「敷居の低い(発行・管理基準もバラバラな)ID・パスワード」の二者選択しかなかった現状を思えば、こうしたガイドラインが作成されたことだけでも格段の進歩でしょうか。
ただ、実際の運用はかなり難しそうです。
47重点手続(の一部)ぐらいはIT担当室等でリスク評価して、保証レベルで分けた上で、具体的(かつ現実的)な対策例を提示・公表しても良かったのではないかと思います。
このあたり、聞くところによると、各省庁側の抵抗があるようですね
●ガイドラインの概要
・我が国の電子政府における認証方式の設計にあたり活用可能な「ものさし」を確立することを目的として策定。
・ガイドラインは、対象となる電子手続に関するリスク評価手法とこの手法により導出される「リスクの影響度」、影響度に応じた認証方式の「保証レベル」の導出、各保証レベルに求められる対策基準を規定。
●対策基準(登録、発行・管理、トークン、認証プロセス、署名等プロセス)
・各保証レベル(4段階)に求められる具体的な対応基準を、4つの評価軸ごとに規定。
・対策基準の適用の考え方など、基準実現のための配慮事項についても規定。
●ガイドラインの活用方法
・「リスク評価を実施」、「保証レベルを導出」のプロセスにおいて、個別手続き毎の保証レベル、対策基準の検討。
・「対策基準の選択」のプロセスにおいて、その他のリスク削減方策の採用や、保証レベルが異なる複数の手続によって構成されるサービスの場合におけるユーザの利便性、サービス提供者側とユーザ側を合わせたライフサイクルコストの観点等から見て、総合的に判断して最終的な対策を決定。
・選択された対策やリスク評価について、各府省は、それらの適切さを確保するために情報セキュリティ対策推進会議等の場において専門的知見を有する者からの助言等を受け、決定するとともに、業務・システム最適化に係るものは、計画への反映状況について、CIO連絡会議等に報告するものとする。また、電子政府評価の一環として、必要に応じ各府省に対してガイドラインに基づく取組の報告を求め、評価等を行う。
保証レベルについて、一般国民が利用できそうなのは「レベル2」ぐらいまでと思った方が良いでしょう。
「レベル3」は、オンライン申請等の利用について強いインセンティブが働く「資格者(士業)」や「特定業種の企業等」でないと利用は難しそうです。
国民IDや税・社会保障の共通番号といった新しい制度を導入する中で、国民の誰もが「レベル3」の認証手段を持つようにする、といった仕掛けも考えられますが、あまり現実的ではありません。
「レベル4」は、強い倫理観や厳格な情報管理が求められる専門家、あるいは機密データ等にアクセスが許されている行政職員などの利用が想定されます。
個人的には、議論が分かれ技術の進歩に影響を受けやすい「電子署名・認証」のガイドラインよりも、オンライン手続や電子政府において「リスク評価」という視点・プロセスが確立されることの方が、より重要で意義深いものと理解しています。
行政組織や職員の多くが、リスクに対して無謬性や感情論で対応したり、あるいは思考停止となってしまうといった現状は、一刻も早く改善しなければいけないと思うからです
電子政府タイムテーブルにも追加しておきました。
「とりあえず電子署名にしておこう」と「敷居の低い(発行・管理基準もバラバラな)ID・パスワード」の二者選択しかなかった現状を思えば、こうしたガイドラインが作成されたことだけでも格段の進歩でしょうか。
ただ、実際の運用はかなり難しそうです。
47重点手続(の一部)ぐらいはIT担当室等でリスク評価して、保証レベルで分けた上で、具体的(かつ現実的)な対策例を提示・公表しても良かったのではないかと思います。
このあたり、聞くところによると、各省庁側の抵抗があるようですね
●ガイドラインの概要
・我が国の電子政府における認証方式の設計にあたり活用可能な「ものさし」を確立することを目的として策定。
・ガイドラインは、対象となる電子手続に関するリスク評価手法とこの手法により導出される「リスクの影響度」、影響度に応じた認証方式の「保証レベル」の導出、各保証レベルに求められる対策基準を規定。
●対策基準(登録、発行・管理、トークン、認証プロセス、署名等プロセス)
・各保証レベル(4段階)に求められる具体的な対応基準を、4つの評価軸ごとに規定。
・対策基準の適用の考え方など、基準実現のための配慮事項についても規定。
●ガイドラインの活用方法
・「リスク評価を実施」、「保証レベルを導出」のプロセスにおいて、個別手続き毎の保証レベル、対策基準の検討。
・「対策基準の選択」のプロセスにおいて、その他のリスク削減方策の採用や、保証レベルが異なる複数の手続によって構成されるサービスの場合におけるユーザの利便性、サービス提供者側とユーザ側を合わせたライフサイクルコストの観点等から見て、総合的に判断して最終的な対策を決定。
・選択された対策やリスク評価について、各府省は、それらの適切さを確保するために情報セキュリティ対策推進会議等の場において専門的知見を有する者からの助言等を受け、決定するとともに、業務・システム最適化に係るものは、計画への反映状況について、CIO連絡会議等に報告するものとする。また、電子政府評価の一環として、必要に応じ各府省に対してガイドラインに基づく取組の報告を求め、評価等を行う。
保証レベルについて、一般国民が利用できそうなのは「レベル2」ぐらいまでと思った方が良いでしょう。
「レベル3」は、オンライン申請等の利用について強いインセンティブが働く「資格者(士業)」や「特定業種の企業等」でないと利用は難しそうです。
国民IDや税・社会保障の共通番号といった新しい制度を導入する中で、国民の誰もが「レベル3」の認証手段を持つようにする、といった仕掛けも考えられますが、あまり現実的ではありません。
「レベル4」は、強い倫理観や厳格な情報管理が求められる専門家、あるいは機密データ等にアクセスが許されている行政職員などの利用が想定されます。
個人的には、議論が分かれ技術の進歩に影響を受けやすい「電子署名・認証」のガイドラインよりも、オンライン手続や電子政府において「リスク評価」という視点・プロセスが確立されることの方が、より重要で意義深いものと理解しています。
行政組織や職員の多くが、リスクに対して無謬性や感情論で対応したり、あるいは思考停止となってしまうといった現状は、一刻も早く改善しなければいけないと思うからです