質問主意書

第186回国会(常会)

質問主意書


質問第三八号

政府情報システムのクラウド化とセキュリティ認証評価プログラムに関する質問主意書

右の質問主意書を国会法第七十四条によって提出する。

  平成二十六年三月七日

藤末 健三   


       参議院議長 山崎 正昭 殿


   政府情報システムのクラウド化とセキュリティ認証評価プログラムに関する質問主意書

 平成二十五年六月に閣議決定された「世界最先端IT国家創造宣言」においては、「二〇一八年度までに現在の情報システム数(二〇一二年度:約千五百)を半数近くまで削減するほか、業務の見直しも踏まえた大規模な刷新が必要なシステム等特別な検討を要するものを除き、二〇二一年度を目途に原則全ての政府情報システムをクラウド化し、拠点分散を図りつつ、災害や情報セキュリティに強い行政基盤を構築し、運用コストを圧縮する(三割減を目指す)。」とされている。これを踏まえ、同年十二月に開催された各府省情報化統括責任者(CIO)連絡会議においては、政府情報システム改革ロードマップが取りまとめられているが、二〇一八年度までに各府省の個々の情報システムについて統廃合等を進めることについては具体的な計画が示されているものの、クラウド化する二〇二一年度までの計画はまだ具体化されていない。
 欧米諸国では、米国立標準技術研究所(National Institute of Standards and Technology)が定義するパブリック・クラウドの分野において急速な技術革新及び利用拡大が進む状況を踏まえ、民間企業が提供するパブリック・クラウド・サービスを最大限活用することにより、災害や情報セキュリティに強い行政基盤の低コストでの構築及び運用が推進されている。米国では、クラウド・ファースト・ポリシーの下で、統一されたリスク管理アプローチの下に構築されているFedRAMP(Federal Risk and Authorization Management Program)というクラウド・サービスのセキュリティ評価、認可、継続的なモニタリングの標準化されたアプローチを提供するプログラムが構築されており、民間企業が提供するパブリック・クラウド・サービスによるFedRAMP要件への準拠が進みつつある。実際、米国においては国務省や財務省など多くの省庁により民間企業が提供するパブリック・クラウド・サービスの利用が進行している。英国においても、全ての政府情報システムにおいて民間パブリック・クラウド・サービスの導入検討を必須とするパブリック・クラウド・ファースト・ポリシーが掲げられ、G-Cloud Information Assuranceという米国のFedRAMPと同様の枠組みを構築することにより、民間企業が提供するセキュリティが確保されたパブリック・クラウド・サービスの政府機関による迅速な調達を推進している。
 一方、内閣官房情報セキュリティセンターは、政府機関の情報セキュリティ対策のための統一基準群を策定するため、その案をパブリックコメントに付したところであるが、FedRAMPやG-Cloud Information Assuranceのような民間企業が提供するパブリック・クラウド・サービスに関するセキュリティ認証評価プログラムについての記載は見られず、二〇二一年度までのクラウド化に向けた目標が達成できるのか、疑問に感じている。
 ついては、我が国政府においても、政府情報システムのクラウド化の加速に向けて、民間企業が提供するパブリック・クラウド・サービスに関するセキュリティ認証評価プログラムの導入が必要であるとの観点から、以下質問する。

一 二〇二一年度を目途に原則全ての政府情報システムをクラウド化するという趣旨は、民間企業が提供するパブリック・クラウド・サービスの利用を想定しているのか、明らかにされたい。

二 現在、政府情報システムにおいて、既に民間企業が提供するパブリック・クラウド・サービスを利用している件数又はその割合について、政府の承知するところを明らかにされたい。

三 二〇二一年度までのクラウド化に向けた目標達成のために、米国のFedRAMPのような民間企業が提供するパブリック・クラウド・サービスに関するセキュリティの認証評価プログラムの必要性について、政府の認識を明らかにされたい。

四 我が国における民間企業が提供するパブリック・クラウド・サービスに関するセキュリティ認証評価プログラムの導入に向けた検討状況及び今後のスケジュールについて明らかにされたい。

  右質問する。