情シスにウェブ会議をOKにしてもらう方法

前回は、なぜ情シスがウェブ会議はダメだと言うのかを記しました。
それを踏まえ、今回はどうすればOKになるかを考察します。

ウェブ会議がダメな理由

ウェブ会議がダメな理由は以下の２点が原因でした。

①約款による外部サービスの利用に関する規定が未整備
②機密性２以上の情報の取り扱いが不明確

約款による外部サービスの利用に関する規定の整備

セキュリティポリシーで求められている「約款による外部サービスの利用に関する規定」を整備しましょう。
この規定を整備しなければならないのは情報セキュリティ管理者、つまり各所属長です。情シスが整備しなくても、ウェブ会議を利用したい所属の所属長が整備すればよいのです。
とはいえ、各所属でそれぞれ個別に整備するのは無駄な作業ともいえます。
ZoomやTeamsといったメジャーなウェブ会議サービスを想定した、全所属が対象となる包括的な規定を情シスが整備するのが理想的でしょう。
ウェブ会議を利用したい他課と協力して、情シスで包括的な規定を整備するよう求めましょう。どうしても応じてもらえないときは、個別の規定の整備で突破しましょう。
規定の整備の方法については、ガイドラインの解説を参照してください。
整備済みの他団体から規定を入手し、参考にするのも良いでしょう。

総務省｜地方行政のデジタル化｜地方公共団体における情報セキュリティポリシーに関するガイドライン

機密性２以上の情報の取り扱いを明確にする

公開を前提とした会議であれば、取り扱う情報は機密性１でしょうから特に問題はありません。
公開を前提としない会議の場合、機密性３が含まれるかどうか確認しましょう。個人情報は当然機密性３です。
機密性２と３を一緒にするか、別々にするかで対策は変わりますが、別々にした例としては以下のような対策が考えられます。

①約款による外部サービスでも機密性２を取り扱えるようにする
②機密性３が取り扱えるウェブ会議サービスを用意する

約款による外部サービスと機密性

そもそもなぜ約款による外部サービスでは、機密性２以上の情報を取り扱ってはいけないのでしょうか。ガイドラインの解説には明確な理由は記載されていませんが、次のような記載が見られます。

・外部サービスの提供事業者において情報セキュリティインシデントが発生した場合に備えて、約款に基づき、対処方法（対処手順、責任分界、対処体制等）について契約前に確認しなければならない。
・サーバ装置の故障や運用手順誤り等により、サーバ装置上の情報が滅失し復元不可能となる場合に備えてバックアップを取得する

つまり、情報漏洩や情報滅失のリスクを想定しているからです。
ガイドラインにおける「約款による外部サービス」とは、電子メールやファイルストレージを想定しています。いずれもデータを預けることになるサービスです。このため情報漏洩や情報滅失のリスクを想定し、機密性２以上の情報を取り扱わないよう求めているのです。
逆に言えば、ガイドラインは通話がメインであるウェブ会議を想定していないと言えます。でも、想定していないから使ってはならないというものではありません。ウェブ会議を利用するリスクをきちんと分析し、対策を取ればよいのです。

約款による外部サービスでも機密性２を取り扱えるようにする

約款による外部サービスでも機密性２を取り扱えるようにしましょう。方法は以下の２つです。

①対策基準を改正し、機密性２を取り扱えるようにする
②例外措置で機密性２を取り扱えるようにする

①の場合は対策基準の以下の部分を改正します。
「機密性２以上」→「機密性３」

情報セキュリティ管理者は、以下を含む約款による外部サービスの利用に関する規定を整備しなければならない。また、当該サービスの利用において、機密性２以上の情報が取り扱われないように規定しなければならない。

ただし対策基準は情シスの所管ですから、情シスが非協力的な場合この方法は望み薄です。

②は、対策基準にある例外措置を活用します。

7.4　例外措置
(１) 例外措置の許可
情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合には、CISO の許可を得て、例外措置を講じることができる。

「機密性２以上」とある部分を「機密性３」と読み替える例外措置の許可を取りましょう。許可をするのはCISO（多くは副首長）です。許可を求めるのは情報セキュリティ管理者（＝所属長）ですから、形式的には情シスは関係ありません。

①②とも、「また、当該サービスの利用において、機密性２以上の情報が取り扱われないように規定しなければならない。」の部分自体を削除してしまうこともアリですが、暗号化された通信とは言え、個人情報等機密性３の情報がインターネット上に流れるリスクをよくよく考慮する必要があります。
また、資料の共有や会議の録画機能では、データがクラウド上に残る可能性があるため、機密性３まで許容してしまうのはおすすめできません。

機密性３が取り扱えるウェブ会議サービスを用意する

機密性３の情報をウェブ会議で取り扱う場合は、安全に取り扱えるウェブ会議サービスを用意しましょう。
約款による外部サービスが問題となるのは、情報漏洩や情報滅失のリスクがあるからです。
これらのリスクを回避するには契約に基づくサービスを利用します。守秘義務や冗長化を課した仕様とすることで、リスクを最小にすることができます。
また、通信回線もインターネットではないいわゆる閉域網が使えるサービスもありますので、より安全なウェブ会議とすることができます。

最後に

いかがでしたでしょうか。セキュリティポリシーは金科玉条ではありません。リスクが許容できると判断すれば、それに合わせて変えることができます。ガイドラインの目的にもこう書かれています。

本ガイドラインは、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、情報セキュリティポリシーの考え方及び内容について解説したものである。したがって、本ガイドラインで記述した構成や例文は、参考として示したものであり、各地方公共団体が独自の構成、表現により、情報セキュリティポリシーを定めることを妨げるものではない。

とはいえ、軽々な判断は許容できないリスクを生むかもしれません。
なにごともバランスが大切です。情報セキュリティの３要素、機密性・完全性・可用性のバランスを考慮して判断いただけたらと思います。