今、官公庁の個人情報流出が問題になり始めています。
教育現場では県立津田沼高校でUSB紛失により100名以上の生徒の個人情報が流出、市原市立明神小学校ではWinnyにより生徒の個人情報を流出させた教員が自殺するという出来事が起きています。
警察でも捜査情報を含む1万件以上のデータが流出し、メディアを騒がせました。
そして、ここ千葉市においても「みどりの協会」という市の委託業者が個人情報を流出させる事件が5月20日に発生いたしました。
この事件はみどりの協会の職員が仕事のため個人情報を自宅に持ち帰り、週明け出勤する途中でそのリストを紛失してしまったという事件で、非常に初歩的、かつ不注意極まりない事件です。
| A 民間と比べ不十分なセキュリティ対策、そして甘い危機意識 |
数年前、企業の大規模な個人情報流出が世間を騒がせました。
私はNTT勤務時代、個人情報保護・セキュリティ対策の特別チームに所属し、当時の流出事件の対応や緊急対策も含めたセキュリティ対策に携わりました。
その私から見れば、官公庁のセキュリティ対策は民間と比べ非常に遅れており、かつ意識そのものが「甘い」と言わざるを得ません。
上で述べた様々な個人情報の流出を官公庁は「紛失」と発表しているのですが、民間の常識からすれば考えられない危機意識です。
個人情報の考え方としては、個人情報が自らのコントロール外のエリアで紛失し、本来その個人情報を閲覧する権限のない人が閲覧する可能性がある状態になった時点で「流出」と判断しなければなりません。
「紛失」などと発表し、紛失した個人情報が第三者の手に渡る危険性を隠す時点で、全くセキュリティに対する意識が無い、と判断されても仕方がないのです。
私は今回、
「なぜ流出と発表しなかったのか」
と市当局の見解を問いましたが、回答は
「紛失と流出、どちらも同じこと」
という回答でした。
そこで
「ならば何故"流出"と発表しないのか。庁内の引き締めのためにも今後は"流出"と発表すべきではないか」
と再度問いただしたところ、ようやく
「今後流出と発表することを検討します」
と回答を引き出すことができました。なぜこんな細かいことにこだわるのか、市当局は思ったかもしれませんが、私にとってはあらゆるセキュリティ対策よりも、意識そのものを考えることが重要だと思い、水面下でもしつこく食い下がりました。
私の業務経験上、委託先のセキュリティ対策は非常に重要です。いくら自分側でしっかりとしたセキュリティ対策を行っていても委託先がずさんな管理をし、情報を流出させてしまえば、結局は自分たちが預かった情報を流出させたことになります。
今回、委託業者である「みどりの協会」が流出させたわけですから、民間企業の常識ではまずは全ての個人情報を委託している委託先を緊急調査するところです。
当然、市当局にも緊急調査の必要性を訴えたわけですが、質問にあたっての事前すり合わせでは実施に否定的でした。その後方針が一転し、6月に入って緊急調査を実施することになったので、まずは一歩進んだと評価しています。
私としては、同じ事件をもう二度と起こさないためにも
- 個人情報を委託する場合は書面だけではなく、委託先のセキュリティ対策が万全か、現地調査も事前に行った上で判断すること
- 定期的に外部監査を実施し、セキュリティレベルを常に高いレベルで維持すること
を訴えました。
市の回答は、いずれも「検討します」でした。
官僚的答弁と言えばそれまでですが、実は一般質問において市当局が「検討します」ということはまだマシな回答で、大抵は「研究します」「考えておりません」という回答です。
今後、私の提案を受け、どのような対応を行うのかウォッチしていきたいと思います。
| C 一番遅れている教育現場のセキュリティをどうするのか |
市役所よりも遅れているのは学校現場のセキュリティです。
もともと学校現場は個人情報のかたまりですが、データ化されていなかったため、今まではセキュリティ対策がそれほど重要ではありませんでした。
しかし、これからは教育現場でも電子化・ネットワーク化が進んできますので、学校が持つ極めて重要な個人情報をどう守るかが、教育行政として重要になってきます。
また、教育における特殊事情として、先生が自宅で個人情報を扱うことが多いということが挙げられます。自宅⇔学校のセキュリティ、自宅PCのセキュリティも考えていかなければなりません。
今回津田沼や市原で問題となったのも、学校の外での流出でした。
しかし、現状千葉市においても、
- 教員が自宅に個人情報を持ち帰る際の確認ルールが不明確
- 教員は個人で購入したPCを使用して自宅で業務を行っておりセキュリティ対策が不十分
- そもそもセキュリティ対策が学校現場ごとに任せられており、千葉市全体の統一的なセキュリティ対策が存在しない
という問題があります。
そこで私は、
- 学校現場から個人情報を持ち出す際に、管理簿で許可する仕組みを徹底する
- 教員ごとにセキュリティ対策済のPCを配布するか、ネットワークで守る仕組みを導入すべき
- 教育現場の個人情報が今どのような管理体制になっているのか、調査を実施すべきではないか
- 定期的なセキュリティ監査を実施すべき
- 学校のセキュリティを統一的に整備する部署を明確にすべき
ということを質問の中で訴えました。
市当局の回答は
- 学校現場から個人情報を持ち出す際に、管理簿で許可する仕組みを徹底する
⇒実施する
- 教員ごとにセキュリティ対策済のPCを配布するか、ネットワークで守る仕組みを導入すべき
⇒予算的に厳しいが、今後他市の状況を見て検討する
- 教育現場の個人情報が今どのような管理体制になっているのか、調査を実施すべきではないか
⇒実施しない
- 定期的なセキュリティ監査を実施すべき
⇒学校全体の管理を確認する管理訪問をしているので、それで問題ない
- 学校のセキュリティを統一的に整備する部署を明確にすべき
⇒検討します
という内容で、一部前向きな回答があったものの、正直「危機意識が足りないな」と感じました。
今後も状況をウォッチし、必要に応じて再度質問で取り上げていきます。
| D 千葉市全体で個人情報・セキュリティを考える部署を定める |
私は全ての原因は千葉市に個人情報・セキュリティを統一的に考え、対策を打つ部署が存在しないことと考えています。
千葉市は紙ベースは総務局にある市政情報室、電子情報は企画調整局にある情報政策課と権限が分かれており、同じセキュリティ対策を聞いても「それは情報政策課です」とか普通に返されてしまいます。
今時、紙と電子情報を別の部署が管理をしている時点で民間と比べ5年は遅れています。ルールを決めて後はお任せというのではなく、運用が適切に行われているか責任を持つ部署がセキュリティ対策には絶対に必要です。
市当局の回答は「今後研究します」というあっさりな回答でしたが、今後も引き続き体制の強化を訴えていきます。
セキュリティに関する質問に対する対応を総括すると、ある程度の対策は打たれ始めていますが、抜本的な対策までには至っていないというところです。
セキュリティはトップがどこまで号令できるかにかかっています。質問の中でも何度も「鶴岡市長のリーダーシップに期待をする」と訴えましたが、どこまでご理解を頂けたでしょうか。
|
