CISO

情報漏えいや不正アクセスが起きたとき、誰の判断で端末を隔離し、どの段階で外部へ報告するのか。これを平時に決めておく権限の所在がCISOである。自治体では情報セキュリティポリシーに基づいて設置が推奨され、対策の方針決定、予算の確保、インシデント時の指揮を担う。最高情報統括責任者（CIO）が情報化・デジタル化の推進という攻めの側を束ねるのに対し、CISOは情報資産を守る側を束ねる役回りで、副市長などの幹部が兼務する例が多い。自治体CSIRTの設置やインシデント対応の最終判断、個人情報保護委員会への報告の要否といった重い判断はCISOの指揮の下で動く。担当者にとっては、CISOが組織図上の肩書ではなく、有事に止まらず判断を下せる権限と連絡経路を平時から備えているかどうかが要点となる。

CIOとの役割分担

CISOとCIOは名称が似ているが担う向きが異なる。CIO（最高情報統括責任者）は情報システムの最適化やデジタル化の推進という、組織の情報化を前へ進める役割を担う。これに対しCISOは、情報資産を脅威から守り、漏えいや不正アクセスを防ぎ、起きてしまった事案を収束させる守りの役割を担う。実際には両者を別々に置かず、副市長などの同一の幹部が兼ねる団体が目立つ。攻めと守りを一人に集めれば指揮系統は単純になるが、推進を優先するあまり安全対策が後回しになりやすいという緊張もはらむ。総務省の情報セキュリティポリシーに関するガイドラインは、組織として情報セキュリティを統括する責任者を置くことを求めており、自治体はこの役をCISOとして明確に位置づける運用が広がっている。

有事における判断権限

CISOの実質は、インシデント発生時に止まらず判断を下せる権限を握っているかにある。不正アクセスが疑われた端末をネットワークから切り離すか、業務を止めてでも調査を優先するか、外部の専門事業者へ支援を要請するか、首長や住民へいつ公表するか。これらは現場の担当者だけでは決めきれず、組織を動かす権限を持つ者の判断を要する。自治体CSIRTが検知から復旧までの実務を担うのに対し、CISOはその上位でエスカレーションを受け、業務影響と被害拡大のどちらを重く見るかを判断する。個人情報の漏えいを伴う事案では個人情報保護委員会への報告と本人通知が必要になり、報告の要否や時期の判断もCISOの責任に帰する。形だけの任命に終わらせず、判断基準とエスカレーション経路を平時に文書化しておくことが、有事に機能するための前提となる。