|
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
NTTDATA DIGITAL GOVERNMENT
メールマガジン 2007年2月8日号
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■
※本メールマガジンは毎月2週目と4週目にお送りします。購読は無料です。
こんにちは、NTTDATA DIGITAL GOVERNMENT編集部の村岸です。
暖冬の影響でしょうか、拙宅の近くでは梅の花も満開、花の合間に鶯(めじろかもしれませんが)も見られて、2月とは思えない風景です。
さて、今回のメインレポートは、インスペクターズジェネラル(IG)からのレポートをご紹介します。IGとは、米国連邦政府の各省庁に設置されたいわばミニGAOといえるコンプライアンスの番犬機能です。昨今、民間で言う内部統制、行政では透明性、説明責任への社会の関心が高まっている中、GAOを数多くこのメルマガ、メインレポートで取り上げてきましたが、今回は久しぶりにIGを取り上げました。是非、必読いただきたいレポートです。
■ ■ ■ インデックス ■ ■ ■
■メインレポート
省庁内GAOの役割を担う監査総監
[監査総監(IG:Inspectors General)とは]
[IGレポート(1):環境保護局(EPA)のセキュリティ管理]
[IGレポート(2):連邦調達庁(GSA)の調達契約に問題あり]
[IGレポート(3):内務省(DOI)が調達で規制違反を行っている]
■最近のニュースから
・新サービス
・市場動向
■ワシントンDC便り(AgileNetコラム)No.57
社会インフラとしての情報貸金庫
■ワールドレポート新着情報
1.シンガポール政府における情報セキュリティ政策(アジア2007年2月8日)
2.求められている情報セキュリティ対策の土壌づくり −金融商品取引法対応との関連で−−山川智彦 株式会社NTTデータ 技術開発本部 SIアーキテクチャ開発センタ 主幹研究員−(有識者2007年2月1日)
■メインレポート
------------------------------------------------------------
省庁内GAOの役割を担う監査総監
------------------------------------------------------------
今週は、3つの監察総監(IG:Inspectors General)レポートの概要をお伝えしたいと思います。各省庁のIGは、どのような視点で調査報告を実施しているのでしょうか。
[監査総監(IG:Inspectors General)とは]
・各政府機関が財務管理や倫理上の規定を守り、適正に運営されているかどうかを審査する職務。1976年の医療詐欺事件をきっかけに、監察総監室を現在の保健福祉省に設置したことが始まり。2年後の1978年に監察総監法が施行され、現在は57の連邦機関が監察総監室を設置している。
・ミッションは、次の5つ。
- 独立・客観的な監査・調査・検査の実施。
- 無駄・不正・権利濫用の防止と発見。
- 経済性・効果・効率の拡大。
- 審議段階の法案・規制案の参照。
- 各省庁の責任者と議会に対する最新かつ十分な情報の提供。
[IGレポート(1):環境保護局(EPA)のセキュリティ管理]
・EPAには、より良いセキュリティ管理受託業者が必要である。
・レポートで報告されたEPAの現状は次の通り。
- EPAの調達管理室は、局内オフィスがEPAに特化した契約内容を定期的に検査・更新するための正式な手続きを確立していない。現在の非公式なプロセスでは、新しいセキュリティ要件についてのガイダンスを遅れることなく、受託業者に提供できないことを示唆している。
- EPAでは、内部のコンピュータセキュリティに関連したインシデントに対する対応方針が知られているが、その多くは「内部報告の手続きに欠けており、自動監視ツールは十分に利用されておらず、内部手続きに関する十分なトレーニングを提供できていない。」
- EPAは、ネットワーク攻撃に対する積極的な防止措置を実現するために必要な、情報収集を行っていない。そのため、コンピュータセキュリティ問題が発生した場合、どのように、なにを、いつ報告するかといった点に一貫性がない。
・IGの勧告は次の通り。
- EPAのウェブサイトに投稿された情報の管理と更新を行う担当者を指名すること。
- 受託業者システムを確認するためのガイダンスを更新すること。
- 全オフィスが、EPAに特化した契約内容を定期的に更新し管理するための公式な手続きを確立すること。
[IGレポート(2):連邦調達庁(GSA)の調達契約に問題あり]
・調査対象となったのは、政府横断型の調達契約である、Streamlined Technology Acquisition Resources for Services(STARS)。GSAの中小企業GWACセンターは、このSTARSプログラムの実施主体である。政府横断的調達契約(GWAC)は、中小企業に特化した契約で、2004年6月1日から2005年11月17日までの間に、約2億7,320万ドルの契約を達成している。
・レポートで報告された調査結果は次の通り。
- 中小企業主に外注された業務内容が多く、業務の半分を担わなければならない。8(a)制度(※)の認定を受けた中小企業が50%以下の業務を実施する場合、業務の外注に偏りがあるとして、法律に違反していることになる。
- ベンダーが、最大95%外注している例も見られる。
- 負荷が高い業務外注が継続する可能性がある。
- 契約対象外の発注(タスクオーダー)が行われた例もある。
(※)8(a)制度:中小企業支援のための認定制度
・SBA 8(a) Business Development[英語サイト]
・IGの勧告は次の通り。
- 規制の許容範囲を明確に説明すること。
- 300万ドルを超えるリスクが高い発注をレビューすること。
- 最大手ベンダーや顧客および新たな利害関係者をチェックすること。
- 一貫性のある標準レビュープロセスを確立すること。
[IGレポート(3):内務省(DOI)が調達で規制違反を行っている]
・DOIの契約センターは、国防総省(DOD)の契約業務を実施している。
・調査対象となったのは、GovWorksと、全米ビジネスセンタ南西支部の調達サービス部門。2005年度の調達のうち、この2組織は17億ドルを占めている。
・調査結果と勧告は次の通り。
- 49契約のうち、19契約が、法によって禁止されている期限切れの資金を利用しており、34契約が、不適切な契約だったり、契約手続きで失敗していたり、未承認の契約メカニズムを使用していることが判明した。
- 結果的にDOIはDODの浪費や詐欺、不正をしやすくした。また、潜在的な制裁や調達センタビジネスの損失、国民の信頼を失墜させた。
- IGは、DOIが同意し、契約センターに資金提供した問題を正すための救済措置を勧告している。
【NTT DATA AgileNet(弊社米国子会社)によるコメント】
今回ご紹介したように、IGは、担当省内の問題を分析し、勧告までを実施します。省庁内のGAOともいえるIGの活動はまた、GAOそのものの役割と重複するような印象を受けますが、実際には友好的な協力体制で監査を実施しています。省庁の長官にIGを罷免する権限があるため、その独立性はいくぶん制限されていますが、議会やホワイトハウスに対する報告を任務とするIGは、一般の省庁職員よりもはるかに強い力を持っており、その監査活動が長官や副長官によって制約を受けることはないそうです。政府活動においてもPDCAが実践されており、そのCheckを担うIGの役割は、非常に重要であるといえるのではないでしょうか。
上記に関連する情報:
・環境保護局(EPA)のセキュリティ管理
Federal Computer Week(2007年1月22日記事)[英語サイト]
・連邦調達庁(GSA)の調達契約に問題あり
Federal Computer Week(2007年1月22日記事)[英語サイト]
・内務省(DOI)が調達で規制違反を行っている
Federal Computer Week(2007年1月22日記事)[英語サイト]
・監査総監FAQ
IGNet[英語サイト]
■最近のニュースから
-------------------------------------------------------------
新サービス
-------------------------------------------------------------
(1)内国歳入庁、2,300万ドルでSDLCサポート契約を締結(1月29日)
・契約先はGeneral Dynamics Information Technology社で、契約期間は5年、26,000名の徴税官が税申告プロセスに使うソフトウェアを開発する。
・SDLCは、Software Development Life Cycleの略称で、Dynamics Information Technology社は、個別プログラミングからプロジェクトマネジメント全体にいたるSDLCの全フェーズを支援する。
・Federal Computer Week(2007年1月29日記事)[英語サイト]
-------------------------------------------------------------
(2)医療機関、医療の質によってボーナスを得る(1月29日)
・CMSが実施してきたPay for Performance実験プログラムの結果が発表され、次のような効果が報告された。
- 1,284名の心臓発作の患者を救った
- 260の参加医療機関中、115機関、合計約870万ドルのインセンティブがMedicareから支払われた
- インセンティブを得られなかった医療機関も、他の医療機関の平均と比較して、医療の質改善がより推進された
・CMSのHerb Kuhn氏は、「適切なインセンティブは、行動を劇的に変えることができる」と語る。
・GovHealthIT[英語サイト]
-------------------------------------------------------------
(3)ブッシュ大統領、ITが医療を改善すると主張(1月24日)
・1月23日の一般教書演説で、ITが医療をより安価にし、医療過誤を減らすと発言したブッシュ大統領は、「医療保険のための標準税控除」と「州単位の革新的な医療プログラムのための連邦政府補助」という、2つの新イニシアチブを提案した。
・また、上向きつつある米国経済の成長を継続するために、Medicare、Medicaid、社会保障等のプログラムの改善も目指している。
・GovHealthIT[英語サイト]
-------------------------------------------------------------
(4)USCISがDHS職員にのみオンラインアクセスを許可(1月22日)
・新システムでは、国土安全保障省(DHS)職員に移民ファイルへのオンラインアクセスを許可し、他省庁職員にはその権限を与えない。
・他省庁職員が書類を閲覧する場合は、米国移民帰化局(USCIS)のオフィスへ赴き、身分証明を提示後、USCISの職員と共に資料を閲覧する。
・Federal Computer Week(2007年1月22日記事)[英語サイト]
-------------------------------------------------------------
市場動向
-------------------------------------------------------------
(1)GAOレポート:新たなハイリスクリストを発表(1月31日)
・ハイリスクリストとは、GAOが監視を強化する連邦政府プログラムが掲載されているもので、今回リストに追加・削除されたのは、次のプログラム。
- 追加
・国土安全に必要な技術保護
・食品安全の改善
・輸送改善への支払い
- 削除
・米国郵政公社(USPS)におけるコスト削減と運用効率改善
・住宅都市開発省(HUD)における単一家族用住宅ローン保険および住宅借り入れ支援プログラム
・レポートで、特に言及されているのは、次の3省庁の取り組み。
- 国土安全保障省(DHS):情報管理のために組織横断型のフレームワークを開発したが、全体的な情報セキュリティ改善がみられず、また、IT支出の意思決定に必要な情報を上司へ提供していない
- 連邦航空局(FAA):ITシステム導入時の技術および契約管理の欠如
- 国防総省(DOD):GAOの「最高管理責任者(CMO)の採用」勧告に耳を貸さない、また調達活動管理が甘い
・Federal Computer Week(2007年1月31日記事)[英語サイト]
・United States Government Accountability Office
[英語サイト・PDFファイル]
-------------------------------------------------------------
(2)ホワイトハウス、ウェブサイト上に特定資金情報表示へ(1月29日)
・1月25日に発表されたメモでは、明確な基本額を測定するために、歳出と予算案およびレポートに含まれる特定資金情報(Earmark)をまとめるよう各省庁に対して指示を行った。
・ホワイトハウスでは、提出された情報をもとに3/12までにインターネット上で詳細を好評する予定で、基本額を明確にするため、各省庁は2月28日までに行政管理予算局(OMB)に、2005年度の歳出予算と特定の承認案からEarmarkの詳細情報を提供しなければならない。
・Federal Computer Week(2007年1月29日記事)[英語サイト]
-------------------------------------------------------------
(3)行政管理予算局(OMB)がHSPD-12用の財源は確保できると主張(1月22日)
・HSPD-12プログラムとは、連邦政府機関に対して、10月27日までに勤務期間15年未満の連邦政府職員にデジタル身分証明書を発行するもの。
・一部で上がった適切な資金調達への疑問に対して、OMB電子政府IT室長のKaren Evans氏は、「OMBが優先すべきプログラムと指定したHSPD12のために、各省庁は投資を再構成でき、実際省庁職員はHSPD-12用に、ポートフォリオを再構成している」と語っている。
・Federal Computer Week(2007年1月22日記事)[英語サイト]
-------------------------------------------------------------
(4)SaaS提供社は連邦政府の購買職員を教育しなければならない(1月19日)
・元行政管理予算局(OMB)情報政策技術部門長で現在はSRA International勤務のDan Chenok氏は、1月18日に開催されたSaaS(Software as a Service)/GOV'07カンファレンスで次のように語った。
- SaaSを政府へ販売するための鍵は、「省庁がSaaSとは何か、そのメリットは何かを理解しているかどうかを確認すること」である
- 提供側は、政府の購買職員が理解できる方法で「SaaS」を示さなければならない
- 政府がSaaSを魅力的であると考えるのは、システムやデータのセキュリティである
- ベンダーは、SaaSを省庁に紹介する際、データ保護とシステムセキュリティに注力し、どれだけSaaSがデータ認証や承認、アクセスに適応しているかを議論する必要がある
・SaaSは、最近注目されている、顧客向けに販売/デザインされたソフトウェアの管理、技術運用およびサポートを提供するデリバリモデルで、提供企業は通常、企業内施設でソフトウェアを運用し、顧客に柔軟性が高い利用料を請求する一方で、ビジネスアプリケーションを迅速に実装できるようになる。
・Federal Computer Week(2007年1月19日記事)[英語サイト]
■ワシントンDC便り No.57
------------------------------------------------------------
社会インフラとしての情報貸金庫
------------------------------------------------------------
「形あるものはいつかは壊れる。」悔しいことに、これはコンピュータにも当てはまる。理由が何にせよ、あるいは原因すら不明でも、とにかく処理中あるいは保存しておいた大切な情報が消失・破損してしまっうという事態は、恐らく誰もが経験したことがあるだろう。再作成に多大な時間や費用がかかるデータや、そもそも二度と取り戻せないようなデータを失うと、大きな痛手を被ることになる。出張先で必要なデータや現地で作成したデータが破損してしまった場合などは、なおさらだ。
そのようなことにならぬよう、平素からデータのバックアップを取っておくことが基本だが、そうすると今度は、原本に加えて、そのバックアップも確実に保護・管理しなければならなくなり、情報セキュリティの面からは不安や負担が増大してしまう(特に、出張先でデータを取り戻そうとするのであれば、バックアップも携行しなければならず、紛失や盗難のリスクは高まる)。
では、インターネット上にデータを保存しておくという案はどうだろうか?通信インフラの発展に伴って、どこにいてもインターネットに接続することが出来るようになりつつある今、インターネット上にバックアップが置いてあれば、「いつでも・どこからでも」失ったデータを取り戻せるようになる。問題は、さらに「誰でも」アクセスできてしまうのではないかという不安だが、考えてみれば、(人によっては)命の次に大事な「お金」は、ほとんど何の不安も感じないまま銀行という営利企業に預けてしまっているわけで、実際その信用は大筋で裏切られていない。
そう考えると、情報の時代である21世紀には、銀行の金庫に預けるような気持ちで自分のデータを保管してもらえるオンラインサービスが普及しそうだ。そうしたサービスを提供するのは専門業者であるかもしれないし、銀行の新サービスという形になるかもしれないが、国も有力候補といえよう。損益に縛られることなく、しかも規模の経済と国の購買力を効かせることで、どんな民間組織よりも堅牢かつ安価なデータ保管サービスを「社会インフラ」として提供できる可能性があると思うのだが、いかがだろうか。
NTT DATA AgileNet (岡田)
■ワールドレポート新着情報
------------------------------------------------------------
1.(アジア)シンガポール政府における情報セキュリティ政策(2007年2月8日)
世界最先端の情報化国家シンガポールでも、オンライン取引に係る情報セキュリティ対策が急務となっている。2005年2月公表の、情報通信セキュリティ基本計画(ISMP:Infocomm Security Masterplan)は、従来の取組みを一新する壮大な政策である。その内容には、国民・企業・政府という利用者別の3つの国家戦略と、国家的な情報セキュリティ対応能力の開発等を含む。また同国のSingCERTも異彩を放っている。
------------------------------------------------------------
2.求められている情報セキュリティ対策の土壌づくり −金融商品取引法対応との関連で−−山川智彦 株式会社NTTデータ 技術開発本部 SIアーキテクチャ開発センタ 主幹研究員−(有識者2007年2月1日)
山川智彦(株式会社NTTデータ・技術開発本部・SIアーキテクチャ開発センタ・主幹研究員)は、政府における情報セキュリティ関連政策の動向を注視し、組織が取り得る有効な情報セキュリティ対策を提唱している。今回は政府の情報セキュリティ関連政策の最新動向および、金融商品取引法対応との関連で民間企業が心がけるべき情報セキュリティ対策の考え方について紹介する。
------------------------------------------------------------
|
概要
