情報セキュリティ等について
情報資産の持ち出しについて
機密文書含む紙文書全般、人的資源および知的財産(教育資料、訓練マニュアル、ノウハウ等を含む。)など、これらについても情報資産に該当するかと思いますが、本市の全ての情報資産における庁舎外への持ち出しに関して、規定はされている事かと思いますが、それらが徹底して実行されているのか、確認はとられておりますでしょうか?
また、持ち出しや取扱いに関する記録は、どのような方法で管理されているのかお教えください。
行政経営部長
本市の情報セキュリティーポリシーにおきましては、情報資産について、原則、業務目的以外での外部持ち出しを禁ずるとともに、例外的に外部持ち出しを行う場合は、その情報の管理責任者である室課長の許可が必要である旨を規定いたしております。
情報セキュリティー研修や庁内通知において、定期的に当内容について触れることで、周知を図っているところでございます。
持ち出し等に関する具体的な記録の方法といたしましては、USBメモリのような外部記録媒体を使用している室課では、その管理簿を作成するよう周知をしております。
また、個別の業務システムを所管している室課については、システム毎に情報セキュリティー実施手順を定めており、その中で、情報資産目録作成を規定いたしています。
これらの管理状況につきましては、情報セキュリティー監査実施の際に確認することとしております。
デジタル媒体については、かなり細かく規定して運用されていると思いますが、紙媒体からメモ書き程度のものまで、情報資産ととらえるなら、紙の持ち出しについても、もう少し踏み込んで規定と運用して頂けたらと思います。
意見としておきます。
情報セキュリティに関する研修
情報セキュリティの研修について、本市ではデジタル政策室さんが先頭に立って、研修計画の策定や実施をして頂いている事かと思いますが、派遣職員や業務委託業者など、本市が直接雇用しない職員さんに対しても、同様もしくはそれ以上の研修が必要と考えます。
これらの職員さんへの研修の実施状況について、具体的にお教えください。
行政経営部長
委託業務等における情報セキュリティーの確保につきましては、契約締結の際に各所管において、業務内容に応じた適切な対応を行っているものと認識いたしております。
特に、個人情報を取り扱う業務につきましては、デジタル政策室がひな形を示している個人情報取扱いに係る特記事項におきまして、委託事業者に求める情報セキュリティーの統一的な担保を図っております。
当該特記事項におきましては、委託事業者の責任において、従業員に対する研修を適切に実施することとしております。
また、それらの実施状況の確認につきましては、先ほど申し上げました情報セキュリティー監査の際にも、適宜確認を行っております。
個人情報の取り扱いについては理解いたしましたが、情報セキュリティで守らなければならないのは、個人情報だけではありません。
委託契約締結の際に『各所管において適切な対応を行っていると認識』とのことですが、これは単なる認識程度にしかありません。
全ての職員さん、特に直接雇用ではない職員さんに対しても、個人情報に限らず、全ての情報資産のセキュリティについて、定期的な学習機会を提供するべきと考えますが、ご所見をお聞かせください。
行政経営部長
情報資産を取り扱う業務を委託する場合、当該情報資産の重要性区分に応じて、情報セキュリティーに関する認証等の取得状況や、過去の類似業務実績などを事業者の要件として考慮するなどして、信頼性の高い事業者を選定するよう配慮いたしております。
その上で、委託事業者は自らの責任において、適切に業務を履行する必要がございます。本市は発注者として、履行状況を監理・監督する責任があり、これは情報セキュリティーに関しても同様でございます。
委託事業者における従業員への研修・教育の実施状況を、各所管が適切に監理・監督することで、情報資産の適切な保護を市の責任において担保すべきであり、その上で、情報セキュリティー監査によってその確認を行っているものでございます。
市全体としての情報セキュリティーの確保につきましては、今後も引き続き向上を図ってまいりたいと存じます。
いくらセキュリティ対策を講じても、他の自治体では情報漏洩やマルウェアの被害にあう事件が後を絶ちません。
特に委託業者など、市が直接関与しない事業者から漏れ出して、結果として市が被害を受けるケースも稀ではありませんから、セキュリティについては、本市の本気をしっかりと示して、全ての職員さんに浸透させ、情報セキュリティに対する解像度を高めて頂きますようお願いしておきます。
情報セキュリティに関する緊急時対応訓練
吹田市情報セキュリティポリシーの基本方針には、「緊急時対応を想定した訓練を定期的に実施しなければならない」とされています。
どのような事態を想定し、どのような訓練が行われているのか、その具体的な内容と実施状況についてお教え願います。
行政経営部長
発災時等におけるシステムの早期復旧、安定稼働を図るため、情報システム運用に係るBCP、業務継続の計画を策定いたしております。
この計画の下、デジタル政策室において計画読み合わせによる机上訓練や、発災初動時の対応確認訓練などを毎年度実施しているところでございます。
併せて、各業務システムに係る担当者や保守事業者の緊急連絡先リストなども整備し、発災時に備えることといたしております。
このほか、国や関係機関が主催する各種の訓練や演習の機会にも、継続的に参加するよう努めているところでございます。
リース端末やその他機器の処分
リース端末やその他機器のリース満了後、返却時におけるデータ消去についてお聞きします。
リース業者が行うデータ消去に対して、完全に消去されたことをどのように確認されているのか、お教え願います。
行政経営部長
本市の情報セキュリティーポリシーにおきましては、情報資産の廃棄やリース返却などを行う場合は、情報が記録された電磁的記録媒体について情報を復元できないよう適切な処理を行うとともに、処理の内容等を記録しなければならないと定めてございます。
廃棄や返却の際には、物理的な破壊、あるいは安全性が確立された技術的な方法により、確実にデータを消去するとともに、機器の明細、処理内容、また破壊前後の写真等を記録したデータ消去証明書の提出を求めております。
GIGA端末の処分
文科省・経産省・環境省より令和5年10月に通達があったかと思いますが、その通達の内容文には、「使用済端末の再使用、又は再資源化についても、検討いただくとともに、法令に遵守した適切な対応をお願いいたします。」とあり、「各学校への周知に際しては、教育委員会において方針を示すなど、学校の負担軽減にも考慮するように」とありました。
また、「金属資源の枯渇リスクが顕在化する中、適正に再使用、又は再資源化を推進することが必要」とあり、環境への配慮と、「データ消去が適切に実施されずに、個人情報漏洩等の責任を問われる可能性」についても言及されており、法令に遵守した適切な対応が必要とされております。
GIGAスクール構想に基づく一人一台端末が、令和7年度より更新を迎えますが、現行端末の処分に際して、情報漏洩のリスクを防ぐため、データを完全に消去し復元不可能にする必要があります。
データ消去の方法について、どのような処置を行う予定かお教えください。
また、端末の処分や再使用、再資源化に関する計画やお考えがありましたら、併せてお聞かせください。
教育監
GIGAスクール構想における学習用端末につきましては、今後5年程度をかけて計画的に更新を進めていくよう文部科学省の方針が示されているところでございます。
現在のところ、本市におきましても令和7年度末に全ての端末を廃棄するのではなく、使用可能な端末を引き続き活用しながら、順次更新していく計画を立てているところでございます。
端末の処分につきましても、再資源化に取り組んでいる業者であることを前提に業務委託し、内蔵されている記録媒体を粉砕処理するなど、適切にデータ消去を行います。
データ消去については、高性能なデータ消去ソフトや、物理破壊機器、強磁器の瞬間照射による完全破壊など、高水準の消去を行うことができる、国が認定する業者に引き渡して頂きますようお願いしておきます。
物理破壊についても、大量の機器をさばこうとすると、シュレッダーのような装置に一度に流して終わる事もありますが、メモリの更に核となる部分を破壊しないと全く意味がありません。
単純に一般競争入札で、無認可の業者や、単純な物理破壊だけする安い業者に安易に依頼されないようにご注意ください。