こんにちは！中央区議会議員の高橋元気です。

尼崎市の件を受け、中央区の個人情報保護体制、リスクマネジメント体制を改めて確認します

改めて、中央区の情報セキュリティ体制、個人情報取り扱い体制について確認を致しました。

Q.尼崎市の個人情報漏洩事件を受け、改めて本区の個人情報取り扱い体制について確認します。本区においても住民情報を複数の部署で取り扱いをしているが、具体的にどの部署が取り扱い、現状で外部事業者に業務を委託しているか

A.本区の個人情報保護条例および情報セキュリティポリシーの定めにのっとり各部署で個人情報の登録を行い、個人情報保護審議会に報告、管理をしている。具体的には総務部税務課、区民生活、教育委員会、福祉保健等の部署で取り扱いを実施している。一部で外部民間業者に処理を任せている部分もあるが、必ず本庁舎内での取り扱いを前提としている。事業者から事業者への再委託は現状ではない。

Q.個人情報を取り扱うにあたっての物理的・人的セキュリティ対策としてはどこで取り扱いを行い、誰が取り扱うことが出来るか明確にされているか、物理的に部屋を隔離する、PCを限定する、アクセス権限の明確化がなされているか、具体的な物理的・人的セキュリティについて

A.原則住民情報等の取り扱いは本庁舎に限定、また、個人情報取扱端末も限定し、ICカードとパスワードにより取り扱える人のアクセス権限を指定している。また、アクセスログは全て保存しており、端末では取扱い業務以外の画面やアプリを開くことは出来ない。

Q.尼崎市の事件についてはそもそも外部記録媒体（USB）の持ち込みが出来る、PCに挿せる、情報を取り出せる、持ち出せる時点で情報セキュリティの認識について行政側が非常に甘い。本区の外部記録媒体の取り扱いルールについて、および個人情報を外部に持ち出すケースがそもそも想定されるか。そのケースの一連の業務フローについて。

A.外部記録媒体については、許可され登録を受けた媒体のみ使用することが出来、許可されていない外部記録媒体を端末に接続してもエラーが出て使えない。

個人情報を持ち出すケースはあまりないが、例外的に印刷物の封印等を委託する場合など住民情報を持ち出す必要がある場合は、必ず職員が許可を受けた媒体を使用し情報を抜き、個人情報の外部持ち出しについて許可を受け登録をした上で持ち出しを行う。利用が完了したら職員が責任を持って持ち帰り破棄する。従って勝手に外部委託事業者が個人情報を抜き出し持ち出すことは出来ない。

Q.職員および委託先に対して適切な研修、指導を行っているか

A.職員に対しては毎年必ずセキュリティ研修、eラーニング研修を個人情報を取り扱う可能性がある全職員に実施している。委託先については契約で縛り、セキュリティポリシーの順守を徹底。再委託は必ず区の許可を得なければ委託は出来ない。また、定期的にログの点検を行っている。

Q.中央区としてルールの適切な運用が順守されているかを定期的にチェック、内部監査を行っているか

A.毎年内部監査を実施している。認識が甘い部分などは個別で指導を行っている。

Q.過去にセキュリティインシデントが発生した事象はあるか

A.現在のところ発生はない（0件）

情報セキュリティについてはしっかりと組織体制を整備した上で、適切な物理的対策、人的対策、技術的対策を講じる必要があります。

物理的対策としては庁舎入り口のセキュリティドア、監視カメラ、PCの施錠管理など。

人的対策としては職員教育やマニュアルの整備など。

技術的対策としてはウィルス対策ソフトやファイアウォール、DMZ、IDS/IPSなどの導入やVPNを敷くなどネットワークの整備、ログやアクセス権限管理などがあたります。

まず大切なのは第一に、個人情報の取り扱いについて申請登録がなされ、集約管理されていること。（各部署が勝手に収集し始めたり勝手に保管出来ない）

次に取扱いルール、情報セキュリティ対策におけるルールが明確化されており、周知されていること。

そしてセキュリティレベルが十分であること

ルールの運用がなされているか、定期的にモニタリング、監査されていること

が抑えるべきポイントです。

そもそも自治体は民間企業ではないため、セキュリティレベルの証明にISMS認証などは受ける義務はありませんが、大量の個人情報を取り扱うことは明白であり、むしろ民間事業者より高いセキュリティレベルを保つ必要があります。

総務省が「地方公共団体における情報セキュリティポリシーの策定に関するガイドライン」を交付しており、各地方公共団体はこちらに基づきISOが定める国際標準に沿った情報セキュリティポリシーを策定していると思われます。

今回の尼崎市の事件については、そもそも行政側がこの情報セキュリティポリシーを順守していなかった、或いは認識が相当甘かった故に発生した事件でもあります。

決して委託先の責任でも、委託先の社員が酔いつぶれたせいでもありません。

しっかりと自分たちの個人情報を取り扱う体制が整備されているか、皆様の自治体でもこれを機会に確認した方がよろしいかと思います。

各地方議会でも取り上げてください！

私も前職でグループ企業全体の情報セキュリティ体制のチェックなども担当していましたので、政治の世界は民間で様々な業務に携わる経験が大切であるなと改めて感じました。

朝は中央区の情報セキュリティ体制についてシステム課にヒアリング。
地味に内部監査の資格も持っているのですが、資格や職務経験は何処で活きるか分からないので民間経験は必要と改めて思います。
本日の企画総務委員会で取り上げ、ブログにまとめて報告します。

— 高橋元気（中央区議会議員） (@genki_takahashi) July 4, 2022

とはいえ情シスに配属されていたという訳ではなく、情報セキュリティの専門家ではありませんが・・・・

「尼崎市でこんな事件があったが、うちの個人情報保護体制は大丈夫なんですか？」

というふわーーっとした質問をする議員よりはマシかと思います。（たぶん全国にいっぱいいるでしょう）

ご質問、ご指摘等がございましたらいつでもお申し付けください。

それでは！！