情報セキュリティ対策の強化について

2017年3月6日

情報セキュリティ対策の強化について

今回、区の元臨時職員が個人情報保護に関する条例違反の疑いで逮捕される事案があり、報道でも大きく取り扱われました。


今回の件ではセキュリティ対策の重要性について改めて認識させられました。


情報漏えいには、サイバー攻撃などによる外部からの要因によるものと、使用する側の内部の人的要因によるものがあります。


人的要因には、パソコンの誤操作や紛失によるもの、情報セキュリティ機器の無知による安易な取り扱いから起こるもの、また意図的な悪意ある行動によるものなどがあります。


人的要因による事故・事件を未然に防ぐための対策として、一つにはeラーニング等による定期的なセキュリティ教育の継続があります。


情報の取り扱いに対する危機意識を高めることやルールや手順などを徹底することにより情報漏えいのミスを防止すること、またセキュリティ事故や事件を起こすことによる社会的責任やリスクを各個人が学ぶことで遵守すべき内容をより一層深く理解していく効果があります。


ただし、eラーニングの取り組み方については、個人任せにしてしまう場合、内容をしっかり読み込んでいなかったり、深い理解に至らないケースもあるかと思われます。


今回の事案の再発防止策として、区は臨時職員任用時研修を制度化していくとのことですが、今後、セキュリティ教育に関する集合研修については常勤職員だけではなく臨時職員も含め対象を広げていくべきと考えます。


その上で、個人情報を扱う可能性のある職員については、常勤職員、臨時職員にかかわらず、扱う情報に応じたセキュリティ教育をeラーニング等により定期的に継続して実施するべきと考えますが、いかがでしょうか。


 また、最新のインシデント事例や最新のセキュリティ脅威の情報が発信された際には、その都度メールや紙媒体を用いて情報共有を行い、注意喚起を促すべきと考えますが、いかがでしょうか。


 人的要因による事故・事件を未然に防ぐためのもう一つの対策として、区が現在取り組んでいるISMS認証取得による組織全体での情報セキュリティレベルの向上があると考えます。


今回の場合、ISMS認証取得の取り組みを行う前のことであったと伺っています。


ISMS認証取得には組織全体のルールや手順の見直しだけでなく、組織全員が認証取得に向けて情報セキュリティマネジメントを理解していくことが必要なため、セキュリティ事故防止にも大きく影響するものです。


ISMS認証取得は内部のセキュリティ強化だけではなく、外部に対する信頼度向上の意味もあり、外部への信頼度向上という点では迅速で的確なインシデント対応もセキュリティ強化に必要なことであると思います。


 そこで、今回の事案を受けて全庁一斉点検が行われましたが、外部委託している個人情報の取り扱いについてはどのような対応が行われたのでしょうか?

 

質問の回答

情報セキュリティ対策の強化について

白土純 区民サービス管理部長

まず、情報セキュリティ研修の対象拡大についてでございます。
これまで情報セキュリティ教育に関する集合研修として、新規採用職員と新任の執行責任者を対象とした個人情報保護研修のほか、各所属の情報安全推進員と情報システム担当者などを対象とした情報安全研修を毎年実施してきたところでございます。


今後は、これらの研修に加えまして、臨時職員に対しましては、区として共通の事項と担当業務に係る個別の業務手順や遵守事項を任用初日に必ず各職場において一定程度の時間をとって研修を行うことといたしました。


また、eラーニングを活用した情報セキュリティ研修についても、庁内情報システムを通じてインターネットを利用する全ての職員を対象として臨時職員も含めて実施しているところでございまして、今後も継続して実施してまいります。


 次に、情報セキュリティインシデントの注意喚起についてでございます。


情報セキュリティーに関する最新のインシデント事例や脅威に関する情報などは、内閣サイバーセキュリティセンターから地方公共団体情報システム機構を通じて全国の自治体に対して情報共有が図られているところでございます。


庁内では、必要に応じて関係所管や全庁に対してメールやグループウェアの新着情報への掲載、職員向けの機関誌の発行などにより周知を行い、必要な対応がとれるよう注意喚起を図っているところでございます。

 

委託事業者の個人情報の取り扱い状況について

髙橋信一  政策室長

今回の緊急一斉点検におきまして委託事業者による個人情報の取り扱い状況についても点検を行ったところでございます。


その結果といたしまして、契約書や仕様書の中で守秘義務など個人情報の取り扱いに関する遵守事項が明記されていることは確認できましたが、安全対策の更なる徹底を図るためには履行状況の確認や事業者の管理体制の確認などについて課題があることが判明しました。


この結果を踏まえまして、個人情報の取り扱いについて、区と事業者の間での履行状況の確認や事業者からの報告の在り方などについて、更に具体的な検討を行うとともに、契約に当たっては、これらについて相互に確認し、実施することを徹底させるなどの取り組みをしていきたいと考えているところでございます。