○日野委員　こちらも今後、真剣に研さんをしていただければというふうに思います。
本は、子どもたちの未来を開く道具であると私は思います。
子どもたちの未来が開けるということは、中野区の未来が開けるということだと思います。
行政がこうした読書推進の支援をしていくことが、結果として中野区の未来を開くということになると思いますので、ぜひとも真剣に検討していただくことをお願いして、この項の質問を終わります。
　次に、区の情報セキュリティ対策について伺います。
　私は、前職がシステムエンジニアであり、１５年ほどシステム業界で働いておりました。
今回、予算総括をするに当たり、先輩たちから、自分のスキルを生かした質問をするように言われましたので、仰せのとおりに質問させていただきます。
　予算説明書補助資料９７ページの情報政策推進費に、平成２８年度の新規事業としてＩＳＭＳ認証取得支援委託費等として１,７６２万７,０００円が計上されています。
自治体全体としてＩＳＭＳを取得すると、全国でただ一つの事例になるとのことですが、このＩＳＭＳ認証を中野区として取得することでどのような効果が期待できるのか、伺います。

○中谷政策室副参事（業務改善担当）　情報セキュリティ対策につきまして、ＰＤＣＡサイクルで継続的に見直し改善を行っていく仕組みを確立することになります。
特に内部監査の仕組みによりまして、職員のスキルアップが図られることや、リスクアセスメントに基づいて対応を定めていくことで、適切なリスクマネジメントが図られるといった効果がございます。
また、国際水準に適合した対策を行うことについて第三者の認証を受けることで、区民の方々の信頼が高められるといった効果もございます。

○日野委員　初年度は、このＩＳＭＳ認証取得のためにコンサル料がほとんどというふうになると思いますが、認証取得後は、維持するため毎年どの程度費用がかかる見込みなのでしょうか、伺います。

○中谷政策室副参事（業務改善担当）　ランニングコストとしましては、３年に１度の更新審査やその他の年の定期審査などに毎年２００万から３００万円程度必要となる見込みでございます。

○日野委員　中野区では、ＩＣＴ投資や情報セキュリティを適正にコントロールするため、平成２０年より最高情報統括責任者ＣＩＯを設置して、その下にＣＩＯ補佐官、ＣＩＯオフィスを整備してＩＣＴの活用を進めてきました。
年々進歩する技術とともに、サイバー攻撃などのセキュリティ事故も年々深刻化しております。
総務省は、地方自治体における情報セキュリティ強化のため、最高情報セキュリティ責任者、いわゆるＣＩＳＯの設置について打ち出しました。
そこで、中野区としては、このＣＩＳＯの設置についてどのようにお考えか、見解をお伺いいたします。

○中谷政策室副参事（業務改善担当）　ＣＩＯは、チーフ・インフォメーション・オフィサーの略で、情報政策の推進や情報システムの適正な調達などを統括する役割がございます。
一方、ＣＩＳＯは、チーフ・インフォメーション・セキュリティ・オフィサーの略で、情報セキュリティ対策を統括する役割がございます。
総務省からは、情報セキュリティに関するインシデントが発生した場合に、被害拡大の防止や復旧、再発防止などを迅速かつ的確に行う観点からＣＩＳＯを設置することが必要であるというふうに示されてございます。
現在のところ、中野区では、ＣＩＯがＣＩＳＯの役割も果たしてございますことから、具体的な体制につきましては、その有効性を踏まえて検討してまいりたいというふうに考えてございます。

○日野委員　今後検討されるということですが、慎重に検討していただければと思います。
総務省は、このＣＩＳＯとともに、情報セキュリティインシデントが発生した際の対策として、発生した情報セキュリティインシデントを正確に把握、分析し、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能とするための体制としてＣＳＩＲＴの体制づくりについても打ち出しています。
このＣＳＩＲＴについても、区としてのお考えを伺います。

○中谷政策室副参事（業務改善担当）　ＣＳＩＲＴといいますのは、コンピューター・セキュリティインシデント・レスポンスチームの略で、情報セキュリティに関するインシデントが発生した場合に、中心となって対策を行う体制のことでございます。
ＣＳＩＲＴの担う役割や機能のうち、インシデントが発生した場合のネットワークからの切断や発見者への対応の指示など、具体的な措置は情報システム担当が中心となって対応しているところでございます。
インシデントの報告を取りまとめ、国や都などに報告するのは、業務改善担当が行ってございまして、報道機関などへの公表につきましては、リスク管理の一環として、行政監理担当が中心となって対応してございます。
情報システム担当と業務改善担当、行政監理担当から成るインシデント対応の体制を明確にしていきたいというふうに考えてございます。

○日野委員　既に体制が組まれた状態ではありますが、今後、またさらに明確にされるというふうに伺いました。
　中野区が外部委託しているシステム運用について伺います。
　昨今発生している情報セキュリティ事故には、外部委託事業者からの情報漏えいなども起きています。
中野区では、こうした外部委託業者に対してのセキュリティ対策はどのように行っているのでしょうか。
また、セキュリティレベルのチェックやセキュリティ教育の監査などは定期的に行われているのでしょうか。

○中谷政策室副参事（業務改善担当）　情報システムの開発や運用などの業務を外部委託する場合に必要となるセキュリティ対策を中野区情報システム外部委託標準安全対策として定めてございます。
委託先の事業者による情報漏えいなどを防止するために、委託先に実施させるセキュリティ対策やセキュリティの管理体制を確認できる書類の提出、また従業者に対する教育カリキュラムの提出などを契約の仕様書に盛り込むこととしてございます。
業務の履行確認に当たりましては、そうしたセキュリティ対策の遵守状況につきましても確認をし、委託業務の適切な履行を確保してございます。

○日野委員　外部事業者のセキュリティチェック、それからセキュリティ教育というのは非常に重要だと思いますので、今後もしっかりと対応していただければというふうに思います。
　ＩＣＴ技術は、さまざまな分野で利用され、その技術も日進月歩で開発が進められています。
同様に、サイバー攻撃についても、さまざまな手法による脅威に対して対策をしていかなくてはなりません。
区は、こうした最新のサイバー攻撃に関する情報共有と入手した情報を有効活用するための環境整備が行われているのでしょうか、伺います。

○中谷政策室副参事（業務改善担当）　最新のサイバー攻撃に対する注意喚起や対処方法などに関する情報につきましては、内閣サイバーセキュリティセンターから総務省や東京都、地方公共団体情報システム機構を通じて全国の自治体に対してきめ細かく情報共有がされてございます。
庁内におきましては、ＣＩＯオフィスと情報システム分野が同時に情報を入手しまして、必要に応じて関係所管や全庁に周知をするほか、関係事業者にも連絡をして、タイムリーに必要な対応をとれるように入手した情報を活用しているところでございます。

○日野委員　今後も情報を受けた後の迅速なチェックと、それから該当する事象があった場合には迅速な対応をしていただければというふうに思います。
　情報処理推進機構から出されているサイバーセキュリティのガイドラインには、実施すべき重要な対策が複数打ち出されています。
区は、これらのガイドライン等を参照し、インシデントに対して的確な対応がとれるようなマニュアル整備や体制づくりなどをどのように取り組まれているのでしょうか、伺います。

○中谷政策室副参事（業務改善担当）　ウイルスなどの不正なプログラムやサイバー攻撃など、情報セキュリティに関するインシデントが発生した場合の対応や体制につきましては、総務省のガイドラインなどを参考として情報安全対策基準に定めているほか、システムごとの情報安全対策実施手順に定めてございます。
具体的な運用につきましては、情報安全対策委員会や研修などを通じて周知徹底を行っているところでございます。

○日野委員　区が管理する情報システムについては、これまで第三者の外部監査によるセキュリティチェックを行っていますが、ＩＳＭＳ認証取得に合わせて、内部監査への切りかえを検討していると聞きます。
内部監査と外部監査、それぞれのメリットとデメリットはどのようなものがあるでしょうか、伺います。

○中谷政策室副参事（業務改善担当）　内部監査の場合には、職員を内部監査人として育成していくということから、情報セキュリティに対する職員のスキルや意識の向上が図れるといったメリットがある一方で、その分、職員の負担が大きくなるというデメリットがございます。
外部監査の場合は、外部の専門家によるチェックを受けられるメリットがある一方で、全ての職場で実施するには、その分の委託料がかかるといったデメリットがございます。

○日野委員　平成２８年度より、新たな国家資格として、情報セキュリティマネジメント試験が開始されることになりました。
今後、内部監査によるセキュリティチェックをしていくのであれば、ここにかかわる人には、基本的な情報セキュリティの資格も積極的に取得させてはどうでしょうか。
国家資格を取得していくということで、技術、知識としても人材育成に役立つことだと思います。
いかがでしょうか、お伺いいたします。