高村まさとし学校体育施設開放事業においては、「Spacepad」を活用し、この4月から予約業務のデジタル化が本格運用されます。
業務効率化の取組として評価するものでありますが、一方で、管理する側の運営委員の取り扱う端末は私物、いわゆるBYODにより運用しており、MDM等の端末管理は導入されていない状態です。
担当室課は「個人情報については、市の職員等の管理者権限のみ閲覧可能であり、それ以下の権限では閲覧できないためリスクは低い」との見解を示されているようです。
しかしながら、情報セキュリティは権限設計のみならず、統制全体の設計によって実効性が左右されるものであります。
以上を踏まえ、順次確認いたします。
高村まさとしSpacepadの運用に関し、
すべての権限とその利用者に対し、パスワードポリシーの有無、運営委員退任時のアカウント削除、または失効管理について確認・監査の仕組みの整備、BYODを許容するにあたり、端末セキュリティに関する最低基準と、導入前にリスク評価の実施の有無、についてすべてお答え願います。
担当部長都市魅力部長
本システムにおけるパスワードの設定につきましては、権限区分に関わらず、一定のセキュリティ認証を用いることとしております。
また運営委員会の管理者権限につきましては、市の責任において権限の付与や失効等の管理を行うものでございます。
本システムは、利便性の向上等を目的に、スマートフォン等からの学校体育施設の予約を可能としたものでございます。
導入にあたりましては、個人端末のセキュリティ水準に依存するリスクを回避するため、端末に情報を保存しないクラウド上での管理を基本としております。
加えて、運用ルールの周知徹底により人的リスクの低減にも努めてまいります。
高村まさとし本事業においてBYODを前提とする現行運用について、市はどのような比較・検討を行ったうえで、妥当と判断したのか。
統制水準の均一化および学校施設利用者の個人情報保護の観点から、端末貸与やMDM導入等の統制強化を含めた代替手段との比較検討の有無と、その是非について市の見解を問います。
担当部長都市魅力部長
システムの導入にあたりましては、端末貸与等との比較を行い、セキュリティ水準の確保、運営委員会の実務及び利用者の利便性の観点から総合的に検討を行いました。
クラウド上でのデータの一元管理及び運用ルールの徹底によりセキュリティ水準の確保が可能であることや、端末貸与に伴う購入や更新・保守にかかる費用、端末の保管及び管理に伴う事務負担などを踏まえ、今回の形態に決定したものでございます。
高村まさとし利便性や運営負担への配慮は理解いたしますが、統制水準との均衡については引き続き検証が必要であると申し添えておきます。
