平成28年度に実施した情報保護対策 - nagoya・...
TRANSCRIPT
1
平成 28年度に実施した情報保護対策
課・公所ごとの保護対策の徹底 (情報あんしん条例§8、§27)
○情報の保護及び管理の状況の自己点検と注意喚起
・ 毎月 15 日に「情報に関する点検表」に基づき、所管課長自ら
職場における情報の保護及び管理の状況を点検するとともに、
職員に対して注意喚起を行った。
・ 職場単位で定めている「情報の保護及び管理の方法に関する
定め」に従い、日常的な情報保護対策に努めた。なお、平成 29
年 2 月に「名古屋市における特定個人情報の適正な取扱いに関
する方針」に基づく、特定個人情報の取り扱い状況記録簿への
記入及び同方針の順守の義務を規定するよう「情報の保護及び
管理の方法に関する定め」の改訂を実施した。
・ 「情報保護対策チェックシート」によるセルフチェックの実施
○点検強化月間の実施
・ 毎月 15 日に実施している「情報に関する点検表」による点検
(定期点検)が形骸化することなく継続的に実効性のあるもの
としていくため、8 月と 2 月を「点検強化月間」とした。
○局区等情報保護委員会による実地調査の実施
・ 所管する組織における情報の保護及び管理の状況を実地に調
査した。(情報の保護及び管理の方法に関する監査の対象とな
る所属を除き、各所属で 3 課以上)
○情報の保護及び管理の方法に関する監査の実施
・ 6 所属のそれぞれ 1 課において、外部の監査人により「所属に
おける情報の保護及び管理の方法に関する定め」等の規定に沿
った適切な事務が行われているかの監査を行った。(平成 25
~29 年度の 5 箇年で全局区等の監査を行う予定。平成 28 年度
は総務局、住宅都市局、東区、守山区、天白区及び市会事務局
を監査。)
○情報漏えい事件を 2 件以上起こした局区等に対するヒアリングの実施
・ 情報漏えい事件を 2 件以上起こした局区等に対して、ヒアリングを実施し、
漏えい事件の詳細を確認したうえ、再発防止策について確実に実施されてい
資料 1
資料 3
資料 4
資料 2
2
るか確認した(財政局、健康福祉局、子ども青少年局、東区、北区、西区、
昭和区、瑞穂区、中川区、南区、緑区、天白区及び教育委員会に実施。)。
啓 発 (情報あんしん条例§9)
○啓発チラシを作成し、全職場に配布・掲示
スローガン「焦り禁物~誤交付・誤送付・誤送信を防ごう」
○職員用イントラネット上にセキュリティ情報を随時掲載
「不審メールに関する情報について」など
○情報保護に関する研修の実施
情報あんしん条例講演会、セキュリティ研修、情報化研修など
○所属主催による研修の実施
局室区及び課公所単位で独自の会議・研修を開催し、各職員への周知徹底を
図った。
電子情報保護対策 (情報あんしん条例§13~26)
○識別認証符号・アクセスログ
・ 職員認証システム(指紋認証等による認証)の利用
・ 電算センターの入退室管理における静脈認証の利用
・ アクセスログを取得・保管し、電子情報の適正な利用状況を監視
○ネットワーク対策等
・ 統合型セキュリティアプライアンス(ファイアウォール、ウイルスチェッ
クサーバー、IPS(侵入防止装置)の機能を統合させた機器)の設置
・ 行政情報ネットワークの常時監視(外部委託)
・ ネットワークに接続するパソコンにウイルス対策ソフトの導入を義務付け
(常に更新)
・ セキュリティパッチ配信サーバーによる庁内 LAN 接続パソコンの安全対策
の強化
・ パソコンへの統一的な認証及びセキュリティポリシーを適用する全庁ドメ
インの運用(USB メモリ等の外部記録媒体の自動実行の無効化等)
3
・ 庁内 LAN からの外部へのメールの宛先情報を自動で BCC 扱いに編集する機
器を導入
・ インターネット閲覧環境の統合及び管理体制の強化(Webフィルタリングに
よる閲覧制限等)
・ インターネット接続系の分離(仮想デスクトップの導入等)
新規稼働するシステムの審査 (情報あんしん条例§5)
新規稼動する(変更含む)情報システムの保護対策を市の内部審
査機関である「情報審査委員会」が審査した。
システム監査 (情報あんしん条例§29)
電子情報の保護及び管理の状況について、システム監査を実施した。
○外部監査人(委託業者)によるシステム監査の実施
○内部監査人(情報化推進課の職員を含む)によるシステム監査の実施
受託業者等に対する指揮監督の徹底 (情報あんしん条例§11)
「情報取扱注意項目」の遵守状況の報告に加え、5,001 人以上の個人
情報を取り扱う受託業者等に対し、作業現場等の実地確認調査を実施
した。
市民への情報提供 (情報あんしん条例§31)
「名古屋市の保有する情報の保護及び管理の状況」を市公式ウェブサイトに掲
載
資料 5
資料 6
資料 7
4
専門家からの意見聴取 (情報あんしん条例§30)
本市の情報保護対策について、専門家(情報保護アドバイザー)から意見をい
ただいた。
【主なご意見】
・ データベースから取り出し、印刷し、手渡すまでのプロセスを全自動化しない限
り、ミスを劇的に減らすことはできない。電子化を徹底するような施策立案と実行
が求められる。
どうしても紙媒体での証明書が必要な方のためには、運転免許証、パスポート、
マイナンバーカードのICの中のデータを使った認証に始まり、その本人に対して
発行可能な証明書群のリストからの選択、印刷発行・交付までを即時的に行う自
動発行機の設置が有効である。
また、その自動発行機の場所まで来ずとも、コンビニエンスストアの印刷コピー
機での発行の仕組みを導入することは、市民サービスの質をさらに向上させると
いえる。
・ 人為的なミスが発生する要因として、業務量が過多になっているケース、
複数業務を並行して行うため、集中力が低下するケースが考えられます。
業務量過多を解消する方策として、作業の機械化による省力化が検討可
能と考えられます。窓口で職員が交付している書類(例えば住民票、戸籍
謄本、印鑑証明など)について住民基本台帳カードを利用した自動発行機
で発行する取り組みにより、窓口業務の軽減が図られるとともに誤交付の
リスクを大きく軽減できると考えられます。
・ 複数の職員によるダブルチェックが行われているが、ダブルチェックは一人一人
がチェックをしっかり行わなければかえって不十分になるため、ダブルチェックに
依存して各自がチェックを怠ることがないように各職員の意識向上を図っていた
だきたい。
・ 情報漏えい防止のために最も重要であると考えるのが、行政機関が個人情報を
取り扱うということに、どのような意味があり、どのような義務を伴うかという点につ
いての、基本的な理解を徹底することの重要性である。民間事業者と比べて行政
がその公共性ゆえに取り扱う情報の量が膨大で内容も極めてセンシティヴなもの
も含まれることに鑑みれば、より一層慎重な個人情報の取り扱いが求められること
は明らかである。行政保有の個人情報のこのような特殊な性格を理解すれば、職
員が自らの「日常感覚」による判断で取り扱うことを決してしてはいけないことは、
自ずと理解できるだろう。
公務に携わる職員は、住民の個人情報について、必ず法令の定めるルールに
従ってこれを取り扱わなくてはならないことを、常に意識する必要がある。
No. 分類 各 所 属 共 通 の 点 検 項 目 月 月 月
1 職務目的以外で市の保有する情報が閲覧又は利用されていないか
2 職務遂行に必要のないインターネットや電子メールの利用が行われていないか
パソコンや情報システムの利用のために職員個人に付与されたユーザーIDを、複数人で使い回していないか
4 パスワード等が他の者からも見えてしまうような状態で放置されていないか
5 USBメモリ等の外部記録媒体を使用する前に、ウイルスチェックが行われているか
個人所有の通信機器の利用など、ネットワーク管理者の許可のない不正な外部接続
が行われていないか
7 ソフトウェアのインストールが無断で行われていないか
機密情報を含む文書やパソコン等には、施錠可能な保管庫や盗難防止用ワイ
ヤー等を利用した盗難対策が取られているか
機密情報を含む文書や操作中のパソコン画面を他の者に見えてしまうような状態
にしたまま席を離れているようなことはないか
10 私物パソコン 個人所有のパソコンが無断で使用されていないか
あらかじめ決裁欄の設けられた様式を使用する場合を除き、行政文書は原則とし
て文書管理システムを利用して処理されているか
12 機密情報を含む文書は一般の廃棄文書と分別して廃棄されているか
機密情報を含む廃棄文書はこん包のつど箱数等を記録し、溶解処分前には記録との照合が行われているか
パソコンや記録媒体の修理・廃棄は、記録されている情報を復元不可能な方法
により消去してから行われているか
15 所管課長の許可とその記録手続など、定められた手順が守られているか
16 電子情報はファイルのパスワード設定や暗号化等を行うよう指示しているか
持出先では、ウイニー等のファイル共有ソフトがインストールされたパソコンで取り
扱わないよう指示しているか
No. 分類 重 点 点 検 項 目 月 月 月
① 離席・退庁時 所管課長の定めた退庁時における情報の整理方法が実施されているか
機密情報を含む文書を送付し、又は電子情報をメールで送信するときは、宛先
が送る情報と合致していることを、複数回又は複数人で確認されているか
持出中は、目の届かないところへ放置せず常に肌身離さず携行するとともに、
時々は数を確認するよう指示しているか
外部記録媒体を利用する時は、局区等で定めた基準に従い、所属で許可した媒
体のみを利用しているか
⑦ 外部記録媒体の利用状況や保管状況について、定期的にチェックしているか
【備考】 1 各月の点検日(15日(休庁日の場合はその前日))において「○」又は「×」を記入する。
2 番号 5、14、⑥、⑦については、点検月に事象が生じなければ「-」を記入する。
3 この点検表は、 6月、 9月、12月、 3月の20日までに局区等担当課宛て報告してください。
職務外利用の禁止
機密情報の持出し
17
14
廃棄
②
13
⑥ 外部記録媒体の管理
機密情報の持出し
⑤
個別点検項目
送付・送信複数の電子メールアドレス宛てにメールを一括送信するときは、受信当事者以外
のアドレスが漏れないように、BCC等の利用が行われているか
情報に関する点検表(課・公所名: )
ウイルス対策
9 離席・退庁時
パスワード
④必要最小限の情報量を施錠したカバン等に入れるよう指示するとともに、ひったく
りや車上狙い等による盗難のリスクについて注意喚起しているか
③
3
11文書管理システム
8 盗難対策
6
資料 1
点検強化月間の実施結果(平成 28 年 8 月)
1 点検強化月間の実施状況
37 局室区等 1,211 課・公所で実施
2 「情報保護に関する点検表」による定期点検の実施方法
(1) 実施状況(複数回答あり)
実施方法 課・公所数
課単位又は係単位で、朝礼、夕礼、係会などの機会を捉えて、直
接点検項目を周知するとともに点検確認を行った。 900
各職員に、点検表(解説編も含む)を回覧、配付、メール、シス
テムの所属掲示板など方法により、日常の業務を遂行する中で点
検項目の内容を遵守しているか確認させた。
787
課長、係長又は担当者が、点検項目について実地点検を行った。 597
その他 10
(2) その他の実施方法の主な具体例(「情報保護に関する点検表」による詳細点検)
・所属職員全員が点検表による自己点検を行い、係長が確認・解説説明を行った。
3 外部記録媒体の保管状況等の確認の実施状況
37 局室区等の外部記録媒体を保有している 1,017 課・公所で実施
紛失又は不必要なデータが残っていた事例はなし。
4 誤交付、誤送付、誤配付又は誤送信による機密情報の漏えいの対策の主な実施事例
(1) 実施状況(複数回答あり)
実施方法 課・公所数
研修の実施 326
業務改善 141
ダブルチェック等の点検体制の確認 589
機密情報の漏えい事例等の紹介、注意喚起、防止策についての検
討 856
ヒヤリ・ハット事例等を収集し、検証と再発防止に向けた情報共有 281
啓発チラシを掲示のうえ、注意喚起 738
その他 50
3
資料 2
(2) その他の実施方法の主な具体例
・プリンタ、受付窓口、パソコン、ファクシミリに注意喚起を表示
・係会議で他所属の漏えい事例について分析等を加え、意見交換
・電子情報の漏えいを起こさないために、職員の責務(10 のルール)を改めて周知
し、注意喚起
・ダブルチェックのほか、空メールを送信し宛先を確認することやファイルにパス
ワードロックをかけることなどを周知徹底
・個人情報書類の手渡し保管チェック票を独自に作成し、実施
5 2~4以外の機密情報漏えい等の対策の主な実施事例
(1) 実施状況(複数回答あり)
実施方法 課・公所数
研修の実施 196
「情報保護及び管理の方法に関する定め」(課の定め)の周知徹底 627
外部記録媒体利用基準の周知徹底、外部記録媒体の利用状況の確認 717
機密情報の外部持出し手続きの周知徹底、持出し状況の確認 749
「情報保護対策チェックシート」を使った自己点検の実施 478
機密情報の漏えい、紛失等を防止するための業務改善 182
機密情報の漏えい事例等の紹介、注意喚起、防止策についての検討 582
ヒヤリ・ハット事例等を収集し、検証と再発防止に向けた情報共有 208
その他 41
(2) その他の実施方法の主な具体例
(啓発)
・課長が職場内の情報管理について再点検し、朝礼で具体的事例について注意喚起
を行った。
・机上を整理し、帰宅時には書類を片づけたり裏向き置きをしたりするよう朝礼で
注意喚起を行った。
・心当たりのないアドレスからの外部メールを削除するとともに、全係員に情報提
供し、同様のメールを不用意に開封することのないよう周知徹底した。
・外部記録媒体の導入に向け、適切な利用方法について職員会議で周知・確認した。
・個人情報保護ハンドブック、電子情報ハンドブックを活用し、情報保護対策につ
いて周知徹底した。
・名古屋市職員のソーシャルメディア利用に関するガイドラインについて周知徹底
4
した。
・特定個人情報の取扱いについて周知徹底した。
(システム、情報機器)
・パソコンの盗難防止用ワイヤーロックを確認した。
・パソコンにウイルスチェックの注意喚起標語を貼り付けた。
・標的型メール攻撃対応訓練を実施し、対応方法を周知した。
・管理職によるサーバー内及びNAS内のファイルの確認と整理を行った。
(機密文書の保存・管理等)
・古紙・リサイクル用紙の中に機密情報が記載された文書が混在していないか再確
認した。
・溶解文書に係る手続についての再確認及び記録簿冊の確認を行った。
・保管庫等の鍵の管理方法の見直しを行った。
・文書の保管場所の見直しを行った。
5
点検強化月間の実施結果(平成 29 年 2 月)
1 点検強化月間の実施状況
38 局室区等 1,212 課・公所で実施
2 「情報保護に関する点検表」による定期点検の実施方法
(1) 実施状況(複数回答あり)
実施方法 課・公所数
課単位又は係単位で、朝礼、夕礼、係会などの機会を捉えて、直
接点検項目を周知するとともに点検確認を行った。 906
各職員に、点検表(解説編も含む)を回覧、配付、メール、シス
テムの所属掲示板など方法により、日常の業務を遂行する中で点
検項目の内容を遵守しているか確認させた。
838
課長、係長又は担当者が、点検項目について実地点検を行った。 581
その他 19
(2) その他の実施方法の主な具体例(「情報保護に関する点検表」による詳細点検)
・点検表を配布し、以前に該当があった関係項目に網掛けを施して注意を促した。
・点検時に前回の実施結果及び過去の漏えい事件一覧等を供覧した。
3 行政文書(外部記録媒体等を含む。)の紛失対策の主な実施事例
(1) 実施状況(複数回答あり)
実施方法 課・公所数
保管方法が適切であるかの再確認 854
文書管理システムの発送機能等の活用 156
機密情報の外部持出し手続きの周知徹底、持出し状況の確認 959
行政文書の紛失事例の紹介、注意喚起、防止策についての検討 762
その他 54
(2) その他の実施方法の主な具体例
・使用しない外部記録媒体を廃棄した。
・機密情報の外部持出しの返却は、2人で確認した。
・係会にて機密情報に関する勉強会を実施した。
7
4 誤交付、誤送付、誤配付又は誤送信による機密情報の漏えいの対策の主な実施事例
(1) 実施状況(複数回答あり)
実施方法 課・公所数
研修の実施 238
業務改善 162
ダブルチェック等の点検体制の確認 704
機密情報の漏えい事例等の紹介、注意喚起、防止策についての検
討 977
ヒヤリ・ハット事例等を収集し、検証と再発防止に向けた情報共有 325
その他 59
(2) その他の実施方法の主な具体例
・ファクシミリに、送信先の再確認に係る啓発表示を貼付した。
・ファクシミリ送付時には、機密情報を必要最低限にするよう確認した。
5 2~4以外の機密情報漏えい等の対策の主な実施事例
(1) 実施状況(複数回答あり)
実施方法 課・公所数
研修の実施 151
「情報保護及び管理の方法に関する定め」(課の定め)の周知徹底 671
外部記録媒体利用基準の周知徹底、外部記録媒体の利用状況の確認 743
「情報保護対策チェックシート」を使った自己点検の実施 625
機密情報の漏えい、紛失等を防止するための業務改善 307
機密情報の漏えい事例等の紹介、注意喚起、防止策についての検討 642
ヒヤリ・ハット事例等を収集し、検証と再発防止に向けた情報共有 217
その他 49
(2) その他の実施方法の主な具体例
・プリンターや共用パソコン付近に注意喚起の表示をした。
・係会にて適正な情報保護についての確認テストを実施した。
・朝礼にて点検表と同解説を配布し、一部を読み上げすることで周知した。
・パソコン入替時に、盗難防止用ワイヤーロックの付け替え及び施錠を徹底した。
・外部記録媒体の取扱いについて再徹底した。
・古紙及び再利用文書の中に溶解文書が混在していないか再点検した。
8
局区等情報保護委員会による実地調査結果について(28年度)
1 実施期間
平成 28 年 8 月~12 月
2 実施対象
外部監査を実施した局区室等を除き、局区等情報保護委員会が指定する 3以上
の課・公所(課・公所の数が 3以下の局室区にあっては、 1以上の課・公所)。
→ 33 局室区等 113 課・公所で実施(前年度 31 局室区 104 課・公所)
3 実施結果
(1)総合評価
区 分 対象数 前年度(参考)
◎(よくできている) 88 89
○(できている) 25 15
×(できていない) 0 0
(2)改善指摘事項
内 容 区 分 対象数 主 な 内 容
機密情報の持出
し許可、記録 8
○機密情報外部持出許可簿(包括的許可用)、機密情報
外部持出記録簿が作成されていなかった。
○機密情報外部持出記録簿、機密情報外部持出許可簿
(個別許可用)に必要事項(返却記録、持出先)の
記載が漏れていた。
行 政 文 書 の 保
管、管理 3
○保管場所が「課の定め」と一致していない。
○保管庫等の名称が備品に明示されておらず、保管場
所が特定できなかった。
廃棄文書の管理 14
○一部記録簿への記録漏れがあった。
〇機密文書を含む廃棄文書について、梱包の都度箱数
が記録されていなかった。
○機密文書以外の用紙を集積すべき紙蘇箱に、個人情
報を含む文書が混入していた。
課の定め 24
○行政文書の保管場所が明確に定められていなかった
り、更新されていなかったりした。
○特定個人情報事務取扱担当者一覧表に定めていない
事務があった。
〇廃棄文書の集積場所、廃棄方法等の定めが実態と異
なっていた。
〇個別許可の機密情報の持出及び返却時の手続に関す
る定めがなかった。
特定個人情報の
取扱状況記録簿 7
○特定個人情報の取扱状況記録簿が作成されていなか
った。
9
資料 3
外部記録媒体の
管理 10
○管理簿が作成されていなかたり、記載漏れがあった
りした。
〇CD-Rを外部記録媒体として管理していなかっ
た。
○利用許可申請に記載のない目的で使用されていた。
その他 5
○業務に関係のない者の目に触れる状態で、個人情報
記載の文書・PC画面が放置されていた。
○システムのパスワードが掲示されていた。
○機密情報の外部持出しの際に使用する鍵付きかばん
がない。
10
情報の保護及び管理の方法に関する監査
項目 内容
実施主体 総務局情報化推進課
実施期間 平成 28 年 6 月~12 月
監査人 株式会社ファイブドライブ
監査対象 情報の保護及び管理の方法に関する監査
監査対象部署
総務局人材育成・コンプライアンス推進室
住宅都市局建築指導課
市会事務局総務課
東区市民課
守山区総務課
天白区保険年金課
監
査
結
果
概 要監査の結果、「監察事項」2件、「軽微な指摘事項」17 件、「重大
な指摘事項」0件が見つかった。
主な検討す べ き 事 項
・機密情報の保管不備
・機密情報持出記録簿の記載不備
・持ち出し用パソコンの取扱い方法不備
・外部記録媒体管理簿と実数の定期的なチェック未実施
・外部記録媒体管理簿の記載不備
・持ち出し用パソコンのパスワード管理不備
・持ち出し用パソコンのセキュリティパッチ未適用
・持ち出し用パソコンのアカウント管理不備
対応状況被監査部署に対して「監察事項」及び「軽微な指摘事項」とされ
たものについては、全て改善策を実施済み。
今後の予定同様の内容をテーマとした監査について、平成 29 年度について
も、別の所属を対象に実施予定。
11
平成28年度 情報の保護及び管理の方法に関する監査結果
資料 4
情報システム名 所管課稼働月
審査会
結合個人情報
学生タウンなごやポータルサイト(仮称)
大学政策室 H28.9 第2回 有 無
工業研究所コンピュータネットワークシステム
工業研究所 H29.2 第6回 有 有
名古屋シティプロモーションウェブサイト(仮称)
ナゴヤ魅力向上室 H29.3 第8回 有 有
名古屋市医療施設管理システム 保健医療課 H29.3 第4回 無 有
国民健康保険システム 保険年金課 H30.4 第5回 無 有
市営住宅総合管理システム 住宅管理課 H29.4 第2回 無 有
非常勤講師システム 教職員課 H29.3 第3回 無 有
名古屋市立高等学校無線LAN(タブレット型コンピュータの活用)
教育センター H29.4 第7回 無 有
市立病院情報システム(地域医療連携システム)
東部医療センター情報管理室
H28.9 第1回 有 有
名古屋市立大学病院ウェブサイトステム
病院事務課 H29.4 第6回 有 無
総務局
観光文化交流局
無線の利用及び情報システムの変更について、同意
教育委員会
平成28年度新規稼働等情報システム・ネットワークの審査結果
所管局
審 査 結 果
市民経済局
情報システムの変更について、同意
住宅都市局
情報システムの変更について、同意
電子計算機の結合、情報システムの開発、インターネットの利用及び外部接続について、同意
名古屋市立大学
情報システムの変更について、同意健康福祉局
電子計算機の結合、情報システムの開発及びインターネットの利用について、同意
電子計算機の結合、情報システムの変更、インターネットの利用及び外部接続について、同意
情報システムの開発について、同意
病院局電子計算機の結合、情報システムの変更、インターネットの利用及び外部接続について、同意
電子計算機の結合、情報システムの変更、インターネットの利用及び外部接続について、同意
13
資料 5
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
※ 該当する方を選択してください。
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 総務局職員部人事課
実施期間 平成 28 年 9 月~平成 28 年 10 月
監査人 有限責任監査法人トーマツ名古屋事務所
監査対象システム
職員情報システム
※行政内部事務システム(職員認証システム、文書管理
システム及び職員情報システム)を対象として実施
監査対象部署
総務局職員部人事課
※行政内部事務システムとして、総務局行政改革推進部
情報化推進課、総務局法制課及び総務局職員部給与
課(総務局職員部人事課を含め、以下「4 課」という。)と
合同で監査を受けたもの。
監
査
結
果
概 要
職員認証システム、文書管理システムと合同でシステム
運用面と技術面の監査を実施し、職員情報システム関
連で運用面の監査で 2 件、技術面の監査で 7 件の対応
検討事項が発見された(詳細は監査報告書参照)。
主な検討
す べ き
事 項
・外部記録媒体の管理台帳の未更新
年度ごとに整備すべき外部記録媒体の管理台帳が更
新されていなかった。
・不要なアカウントの登録
人事課が管理するパソコンにおいて、現在は使用して
いないアカウントが設定されていた。
対応状況
・外部記録媒体の管理台帳を年度ごとに整備した。
・不要なアカウントの削除をおこなった。
・そのほか、対応準備中の項目あり。
今後の予定
人事課として早急に個別対応すべき事項は対応済みで
あるため、4 課として(行政内部事務システム全体として)
対応すべき技術的検証における指摘事項を共有し、内部
監査等を通してさらなるセキュリティ向上を図る。
15
資料 6
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
※ 該当する方を選択してください。
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 総務局給与課
実施期間 平成 28 年 9 月~10 月
監査人 有限責任監査法人トーマツ 名古屋事務所
監査対象システム 職員情報システム
監査対象部署 総務局給与課
監
査
結
果
概 要
職員認証システム、文書管理システムと合同でシステム運
用面と技術面の監査を実施し、職員情報システム(給与
課所管部分)関連で運用面の監査で 1 件、技術面の監査
で 6 件の対応検討事項が発見された。
主な検討
す べ き
事 項
外部記録媒体に関する管理台帳の作成及び定期的な
点検
システム構成ソフトウェアの管理画面への未承認ログイン
対応状況 対応準備中(一部対応済み)
今後の予定 平成 29 年度に外部監査における発見事項への対応実
施と、内部監査を実施する予定。
16
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
※ 該当する方を選択してください。
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 総務局法制課
実施期間 平成 28 年 9 月から 10 月まで
監査人 有限責任監査法人トーマツ 名古屋事務所
監査対象システム 文書管理システム
監査対象部署 総務局法制課
監
査
結
果
概 要
職員認証システム、職員情報システムと合同でシステム運
用面と技術面の監査を実施し、文書管理システム関連で
運用面の監査で1件、技術面の監査で 6件の対応検討事
項が発見された(詳細は監査報告書参照)。
主な検討
す べ き
事 項
情報システム運用に係る外部記録媒体に係る規程及び
運用の整備
対応状況 対応準備中
今後の予定 平成 29 年度に外部監査における発見事項への対応実
施と、内部監査を実施する予定。
17
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
※ 該当する方を選択してください。
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 総務局情報化推進課
実施期間 平成 28 年 9 月~10 月
監査人 有限責任監査法人トーマツ 名古屋事務所
監査対象システム 職員認証システム
監査対象部署 総務局情報化推進課
監
査
結
果
概 要
文書管理システム、職員情報システムと合同でシステム運
用面と技術面の監査を実施し、職員認証システム関連で
運用面の監査で 6 件、技術面の監査で 9 件の対応検討
事項が発見された。
主な検討
す べ き
事 項
IP アドレスの定期的な棚卸
システム構成ソフトウェアの管理画面への未承認ログイン
対応状況 対応準備中(一部対応済み)
今後の予定 平成 29 年度に外部監査における発見事項への対応実
施と、内部監査を実施する予定。
様式 2
平成 28 年度外部監査実施結果報告
項 目 内容
監査の種類※ ■ 外部監査 □ 内部監査
実施主体 市民経済局地域振興部住民課
実施期間 平成 28 年 7 月 11 日~平成 28 年 12 月 28 日
監査人 株式会社ブレインワークス
監査対象システム 住民記録システム、住民基本台帳ネットワークシステム、
戸籍電算システム
監査対象部署 各区区政部市民課・各支所区民生活課市民係
監
査
結
果
概 要
・全区・支所の市民課長等管理者及び担当者を対象とした
情報セキュリティに係るアンケート調査を実施。
・監査人による 4 区・2 支所(千種・東・守山・名東区役
所、富田・南陽支所)の実地監査を実施。
・全区・支所を対象とした住民記録システムの操作ログの
調査を実施。
・アンケート調査、実地監査及びログ調査の結果に基づき、
全区・支所の市民課長等管理者及び担当者を対象とした
情報セキュリティに関する報告会・研修会を開催。
主な検討
す べ き
事 項
アンケート調査、実地監査及びログ調査の結果、指摘さ
れた主な検討事項は以下のとおり。
・臨時的任用職員や嘱託員など新規採用・雇用した際に、
システム利用前の必要な教育について、一部に不十分な
事例があった。
・「記録媒体管理簿」と実際の記録媒体に一部に対応してな
い事例があった。
・個人情報が記載された帳票等は裏向きにして離席するま
たは、廃棄することとなっているが、一部に対応していな
い事例があった。
対応状況
情報漏洩をテーマとした研修会を開催し、情報セキュリ
ティの重要性について、理解を深めた。
報告会を開催し、実地監査の主な指摘事項及び優良事例を
共有し、各区・支所における情報セキュリティ対策の見直
し、改善を行う契機とした。
今後の予定
市民課長会において、実地監査の指摘事項を改めて共有
し、情報セキュリティ意識の向上を図っていく。
区役所・支所職員によるフォローアップ相互点検を実施
する。
18
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 健康福祉局高齢福祉部介護保険課
実施期間 平成28年11月~12月
監査人 情報システム監査株式会社
監査対象システム 介護保険システム
監査対象部署
・健康福祉局高齢福祉部介護保険課
・各区区民福祉部福祉課(千種区・北区・中村区・昭和
区・熱田区・港区・守山区・名東区)
・名古屋市電算センター(介護保険システム関係サーバ)
監
査
結
果
概 要
・監査人による監査対象部署の実地監査を実施。
・名古屋市電算センターにおいて介護保険システム関係
サーバの技術的検証を実施。
・実地監査結果の情報共有のため、全区支所の福祉課
長等管理者を対象に監査結果報告会を開催。
主な検討
す べ き
事 項
・端末機器管理補助者の役割が認識されていなかった。
・介護保険関係文書の保管場所の一覧表が適切に整備
されていなかった。
・利用目的が終了した外部記録媒体が残存していた。
・機密情報外部持出記録簿(包括的許可)の携行方法・
返却日・返却確認等の記載が漏れていた。
・サーバのソフトウェアの更新がされていなかった。
・アクセスログの定期的な確認がされていなかった。
対応状況
・サーバ関係等のシステム対応が必要なものを除き、即時
対応が可能なものについては改善策を実施している。
・システム対応が必要な改善策は、システムへの影響を確
認のうえ、平成29年度又はシステム更新時に実施予
定。
19
様式 2
※ 該当する方を選択してください。
今後の予定
・区支所を対象とした介護保険事務指導の中で、フォロー
アップ点検を実施することにより、情報セキュリティに対
する意識向上を図る。
・改善計画に基づき、システム対応を実施する。
20
様式 2
平成 28 年度外部監査及び内部監査実施結果報告
※ 該当する方を選択してください。
項 目 内容
監査の種類※■ 外部監査
□ 内部監査
実施主体 上下水道局情報システム課
実施期間 平成 28 年 8 月 18 日~平成 29 年 2 月 28 日
監査人 情報システム監査株式会社
監査対象システム 上下水道局公式ウェブサイト
監査対象部署 上下水道局広報サービス課
監
査
結
果
概 要
・管理体制面、セキュリティ対策実施手順、運用面、技術
面について監査を行った結果、全体として高い情報セキ
ュリティレベルを実現していることが確認された。
・緊急を要する課題・問題点は検出しなかったが、何点か
の検討すべき事項が見つかった。
主な検討
す べ き
事 項
・管理者権限を付与された ID の管理が、委託業者に任さ
れていた。
・機密文書廃棄箱の管理が一部不十分であった。
・メールマガジン送信画面の仕様に誤送信のリスクがみら
れた。
・その他技術検証によって一部脆弱性が発見された。
対応状況
検討すべき事項とされたものについては改善内容を検討
しており、次年度上半期までに運用管理規準の改定やシ
ステム改修などを実施する予定である。
今後の予定 フォローアップ監査を実施し、改善状況を確認する。
21
受託業者等に対する指揮監督状況の報告結果について(28 年度)
1 実施期間
平成 28 年 8 月~12 月
2 実施対象
(1)契約内容の遵守状況の報告
ア 平成 28 年度において、個人情報の電子計算機処理業務を受託する事業者
イ 同年度において、特定個人情報を取り扱う事務を受託する事業者
ウ 同年度を管理開始年度とする、個人情報を取り扱う公の施設を管理する指定管
理者
(2)作業現場等の実地確認調査
上記のうち、5,001 人以上の個人情報を取り扱う事業者又は指定管理者
3 実施結果
(1)契約遵守状況の報告
[指導・是正状況]
*1 従事者が個人情報保護条例の罰則について了知していなかったため、周知等を
行うよう指導・是正措置を行った。
*2 (1) 作業場所へ個人所有のパソコンを持ち込んでいた(別プロジェクトの職員
が同室内で個人所有のパソコンを使用することがあるが、原則、持込み不可
としており、許可を得た上で使用していたことを確認。)。
(2) ウイルス対策ソフトをインストールしていないためブラウザを制限し、イ
ンターネットにつながらないよう設定。
(3) 従事者が個人情報保護条例の罰則について了知していなかったため、周知
等を行うよう指導・是正措置を行った。
(4) 情報の管理体制に関し、情報を取り扱うことができる人の範囲や緊急連絡
網を定めるよう指導・是正措置を行った。
(5) 情報の保管に関し、情報の紛失・盗難を防止するための対策をするよう指
導・是正措置を行った。
分 類 対 象
事業者数
報 告 書
提出件数
情報取扱注意項目
遵守状況の指導・是正
保護対策実施状況
の 指 導 ・ 是 正
受託業者 246 246 2 (*1) 4 (*2)
指定管理者 15 22 0 0
23
資料 7
(6) 情報の持ち出しに関し、万一の紛失・盗難時の対策の実施や、自宅等での
パソコンの取扱いに関する指示を行うよう指導・是正措置を行った。
(7) 電子情報へのアクセス制御に関して、パスワードの設定やパスワードの管
理、離席時の不正使用を防止するための対策を実施するよう指導・是正措置
を行った。
(2)実地確認調査の報告
分 類 対 象
事業者数
実地における
指導・是 正
情報管理責任者による承認・許可
複写・複製 持 出 し 自宅持出し
受 託 業 者 68 0 435 1,177 119
指定管理者 3 0 0 2 0
24