« 監査提言集から読み取る内部統制の文書化の限界・・・ | Main | JICPA 「インサイダー取引に関するQ&A」(公開草案)を公表 »

2008.07.28

NISC 第8回基本計画検討委員会の資料

 こんにちは、丸山満彦です。NISCが7月25日に開催された第8回基本計画検討委員会の議事要旨や 次期情報セキュリティ基本計画に向けた第1次提言への意見募集の結果、政府機関総合対策の現状に関する資料を公表していますね。。
 前回の議事要旨、意見募集の結果、総合対策の現状などは、読んでみると面白いかもです。。。

 
【NISC】
・2008.07.25 第8回基本計画検討委員会を開催

配付資料一覧
・資料1 基本計画検討委員会委員名簿
・資料2 基本計画検討委員会 第7回会合議事要旨
・資料3-1 次期情報セキュリティ基本計画に向けた第1次提言の概要
・資料3-2 次期情報セキュリティ基本計画に向けた第1次提言
・資料3-3 「第1次提言」策定以後の委員会検討スケジュールについて(案)
・資料3-4 次期情報セキュリティ基本計画に向けた第1次提言への意見募集の結果について
・資料4-1 政府機関総合対策の現状について
・資料4-2 政府機関情報セキュリティ対策及び情報セキュリティ施策等に関する参考資料


前回の議事次第で興味深く読んだ部分。
=====
○ 事務局が悩んでいるキーワードの「事故前提社会」又は「脱・無謬性前提社会」に対する代替案を提示したい。「事故前提社会」と言う表現は物騒との声があり、「無謬性」はややこしい言葉である。三案だすので、その組み合わせて検討してはどうか。ひとつは、「事故耐性向上社会」、事故をリスクと変えれば、「リスク対応高度化社会」又は「リスク対応発展社会」という表現がある。それから、「事故」を「対障害力」として。「対障害力強化社会」又は「対障害力成熟社会」というもできる。こうした言い換えによって、多くの委員や国民のイメージにフィットするのであれば、それをキーワードに採用すればよい。
○ なるほどと思うキーワードの変更案が出て、複数について良いなと思いながらも聞かせていただいた。この点について、ご意見を伺いたい。
○ 先の委員の意見に全面的に賛成する。「事故前提社会」としては見えない脅威があるような気がするので、フォールとレジスタント(fault resistant)というか、障害に強いという感じがあったらいいかと思う。たくさん、先の委員に提案していただいたので、そのあたりがよいと考える。
○ 「事故」や「耐性」という言葉は結構であると考えるが、「リスク」という言葉は避けた方が好いかと正直思っている。「リスク」という言葉が理解できていない気がするので、「リスク」というカタカナ言葉は避けた方がよいと思っている。
○ リスク管理の専門家的に生きてきたので、いろんな意見があることは理解している。ただ、「危機」や「危険」よりも「リスク」と言った方が、世の中としては”やんわり”感がある。「リスク」という言葉の意味を皆が誤解しているだろうか、という気もする。「リスクテイクにより利潤を得る」など、極論というか正論まで考えるとイメージが違うだろうが、漠たるイメージとして「今日、ここに来るまでに電車が止まるだかも」の概念で国民的には「リスク」という言葉も普及していると思う。「ザ・リスク」としての専門家の厳密な定義とは別に、キャッチフレーズに使っても良いのではないか。
○ 誤解を受けるかもしれないという点では、この言い方の工夫はあってもよい。インパクトは好きだが、事故前提社会の”構築”であるから変に感じる。事故前提社会への”対応”や”対応の仕組みをつくる”とすれば、これが生きてくる気がする。”構築”といってしまえば、よく理解されないおそれがあるので、少しその表現を変えて、できるだけインパクトのあるものは生かしていけばと思う。
○ リスクとの関連だが、1頁目の第二段落でリスクの事例として、”自動改札”というのが挙げられている。鉄道事業の観点では、輸送や安全運行が一番大事であり、自動改札でトラブルを起さないようにすることは当然だが、これはどちらかといえば、利便性のようなものである。鉄道のリスクといえば、輸送に伴うものに関することなどだと思うが、リスクの事例として自動改札というのは、全体的にかえって分かりにくくなるのではないか。ここで自動改札があることには、若干の違和感があるというのが正直なところである。
⇒ 特に他意はないが、利便性の向上も意識している。ITを用いて便利・効率的にしたいが、IT をどんどん使うと脆弱性も高まる、そこをどうするかということがある。運行システムだから情報セキュリティが必要で、自動改札だからあまり考えなくてもよいということではない。
○ もちろん、利便性を考えなくてもよいということではない。
○ この例示は、本提言が出る直前に何が起こったかで、書かれてしまう性格のものであろう。委員の側から「これは止めてくれ」と言うことは適切ではない。その時点で世の中をさわがしたものが原発なら原発、航空機であれば航空機とかかれる。事務局で大きな話題を選んで下さい、ということでよいのではないか。縁起でもないが、今後も大事故は起こるだろう。
○ ここは、一般的に起こったことを誰もが認識しているところで書いてあるので、問題ないと思う。ただ、「度重なる」という表現をもう少し弱くするということは考えられる。
○ 「事故前提社会」や「脱・無謬性前提社会」という言葉については、時間をかけてゆっくり考えればよいのではないか。これらの言葉は、今見ているものを言っており、目標を言っていないように思える。「対障害力」という委員の意見があったが、「復元力」のある社会というものを目指しているのだろう。第1次情報セキュリティ基本計画では、「しなやかな」という言葉もあったように記憶しているが、そういう言葉の方が好ましく感じる。やわらかすぎるのであれば、「復元力のある」などがよいのではないか。復元力があるとすると、事故が起こった後のこともあるが、事前のこともやっておかなくてはならない、という二つのことが含まれているような気がする。そういう言葉ではどうか。
○ 前々から表現をどうするかということで議論してきた「事故前提社会」と「脱・無謬性前提社会」の用語について、6月中旬には確定して政策会議に報告しなければならないので、ゆっくり議論はできない。ここで無理やり決めることもないが、だいたいの方向性はこの内容であり、あとは用語の使い方ということで理解いただければと思う。「しなやかな」という感性に訴える用語は、人によって定義があまりにも多すぎる、定義不能な用語は使わないほうがよい。「美しい日本」と一緒で、「何が美しいんだよ」という議論になるので、これはやめた方がよい。できるだけ、ロジカルな言葉にしたほうが、この文章の場合はよいと思う。字を読んで、あるいは発音を聞いて分かりやすい用語という点で、個人的な意見では、先の委員からあった「事故耐性向上社会」が字面などから一番理解しやすいのではないかと思う。「リスク」は定義が必要で、経済学と防災科学でリスクの定義が異なるように、ここでどいう意味でリスクという言葉を使っているか説明しなければならない。「事故耐性向上社会」であれば、見て字のとおりですと言えば良いので、妥当かと思う。アピールする、「おっ」と思わせるのは「事故前提社会への対応」という表現がよいと思う。
○ 「事故耐性向上」より「対障害力成熟」の方が、分かり易くないか。「事故」と言いたいかにもよるが、狭義セキュリティの問題つまりウィルスへの感染等の脅威まで含めて「障害」と言ってよければ「障害」と表現したい。私は「事故」と聞くと、例えば海外で電車が横転した、といったイメージを受ける。自分の仕事では、セキュリティの話も、安定性の話も、いろんな事案を「障害」と呼んでいる。最近では、格好をつけて「インシデント」と言う組織もある。「対障害力成熟」とすれば、後ろの方での「成熟」ともキーワードが共通する。いずれにせよ、今日は「前向きな感じにする」ということにして、後は事務局で決めてもらえばよいのではないか。
○ 「事故」という言葉は、人が実際に死傷する際に使われることが多く、その観点では、先の委員が述べられたように情報セキュリティに関するインシデントに対して「事故」という言葉を利用すると誤解を生じるように思う。実際、鉄道では「事故」というと、Suica等のシステム「事故」ではなく、死傷者が発生する「事故」を意味するという先の意見を考えると、「事故」という言葉が正しい意味で伝わるのかなという気がする。
○ であれば「対障害力成熟」又は「対障害力向上」ということになる。「対障害力向上社会」ではいかがか。
⇒ キャッチフレーズとしては、もう少し毒(刺激)が欲しい。言葉をきれいにすればするほど、よく分からなくなるということもある。「成熟社会」という言葉は、よく見れば分かるが、出した瞬間には何を言いたいのか分からなくなる。こういうことは行ってはいけないかもしれないが、政策を出していくときに「こういうものに向けて頑張るんだ」という頑張る部分で、このような「成熟」とか「円満」といく言葉になってくると、”飢え”がなくなる。
○ 「事故前提社会」が、言い得ていると思いつつ、「表現がキツイ」とか、それを「構築」するのは逆ではないか、という意見があるので、”マイルド”にする方向での妥協案を提出した。言葉を強めるなら「対障害力改革」などがよいか。「成熟」がだめなら、「向上」又は「強化」ではどうか。
○ 先の「構築」という言葉についての委員意見に同意。「構築」はおかしいのではないか。「事故前提社会」は仕方がないと思うが、「耐性」という言葉には非常に反対であり、事故そのものを減らそうという努力が全然見えてこない言葉である。「耐えろ」というのは無茶な言葉のような気がする。事故前提としても、研究や開発の部分では、”凡ミス”は突き詰めて、事故を減らすという努力は永遠に続けていかなければならない。これはどの分野でもそうである。「耐えろ」というのが前面に出てくるのは無茶な話であり、例えば飛行機に関して「墜落前提社会」はどうやったってあり得ない。事故を減らすことには、警察庁でも交通事故死ゼロと、永遠にできないだろうが、目標として掲げており、やはりゼロは目指さなければならない。その観点からも「耐性」はいかがかと思う。「リスク」という文言を使うことが難しいのであれば、「事故前提社会」で問題ないと思う。もしろ「構築」について違和感を持っている。同じく毒はあった方がいいのだろうなという気はしている。
○ 「事故」という言葉が人名に直接影響するようなイメージを持ちやすいために、こだわりがあるのかと思う。一般的には、「事故」という言葉がよく使われている。手形不渡りは「手形事故」であり、郵便で不達があれば、「郵便事故」である。このように、「事故」という言葉がいろいろなところで使われていることを考慮したとき、ここで「事故」と使うことは不自然ではないと思っている。かえってその方が分かりやすく、それが前提であることにどう対応するのかの訴えかけ、その始発になるのではないかと思う。
○ 今の意見に近いが、第1次基本計画やセキュア・ジャパンの中でも、「事故」という言葉をたくさん使ってきたはず。「事故」は、セキュリティ・インシデントを日本語訳するときに、セキュリティ事故・事件と訳した。事件はないだろうということで、「事故」という言葉を使うようになってきていると思う。一般の人が「事故」と聞いたときに、違うニュアンスのことを考えられるかもしれないが、基本計画のコンテキストでは誤解はなく、インパクトとしても伝わるのではないかと思う。「事故」という言葉は残しても全然問題はない。「事故前提社会」は以前にも使われていたところがあるので、若干違和感があるが、インパクトがあるのでいいかという気はしている。
○ 敢えて誤解も恐れず、見出しでこれを使い、本文できちんと説明する。委員意見にあった「耐障害力向上」という言葉も本文の中で使い、「事故前提社会」と言う言葉について誤解のないような形でしようすれば、見出しではアピールしてもよい気はする。
○ 「構築」という言葉についても最高が必要で、「対応」は素直だが、もう少し凝るべきか。
○ ずばり「事故前提社会への対応力強化」ではどうだろうか。
○ 本文では、皆で理解を増進する必要があると書かれている。「対応に向け」と書くと、やはり「事故が起きるのはしょうがないので、あきらめてね」という部分がどうしても出てしまう気がする。事故を減らす、しかも対応もする。どちらも両輪であるとの趣旨であれば、「理解増進」など本文に書いてあるとおりだと理解する。「事故前提社会の理解増進」や「理解拡大」など、そういう前提に基づき、皆でいろいろとやろうということではないかと理解している。
○ 今述べられた意見も含めて、この「対応力強化」ぐらいでコンパクトにした方がよいのではないか。先の委員が述べられたことも含めて、本文でくどくど書いた方がよい。そういう方向で、「事故前提社会への対応力強化」で進めたいと考える。
○ 「構築」はおかしいと思うが、私なりのイメージからすれば、ここで言いたかったことは「亀さんになるつもりですか、シーラカンスになるつもりですか、違うでしょう」ということであり、「外側を柔らかくしても、中に骨があればいいのだから、そういう社会を作ろうよ」という話のような気がする。発想の転換と進化、生物進化ではないが、そのようなことを言いたかったのではないか。「身を守らなければならない。事故がないように努力はする。そのために外側を固めたらガチガチになって動けなくなった」というようなことは止めようということを言いたかったのではないか。
○ そういうニュアンスは、かなり多く含んでいると思う。発想をもう少し転換し、「守れないものまで守るのはおかしいよね」と、やはり限界がある。サイモンなど経営学者が言っているが、合理性の限界、限定合理性など、これは人間の認知能力で当たり前のことである。これを踏まえた発想で、「できる限りのことはやるけれども、起こってみないと分からないよ」、「それに対応する能力が今は重要だよ」ということで、委員の言うとおりであると思う。その意味では「構築」と使ったほうがよいのかもしれないが、文脈的に見出しとしては苦しいところがある。一旦は、「事故前提社会への対応力強化」ということで進ませていただきたい。
=====

|

« 監査提言集から読み取る内部統制の文書化の限界・・・ | Main | JICPA 「インサイダー取引に関するQ&A」(公開草案)を公表 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference NISC 第8回基本計画検討委員会の資料:

« 監査提言集から読み取る内部統制の文書化の限界・・・ | Main | JICPA 「インサイダー取引に関するQ&A」(公開草案)を公表 »