地方公共団体の個人情報保護法と情報セキュリティ研修

1.コンプライアンス経営にとってはまずは個人情報保護法・同法施行条例等

 改正個人情報保護法が令和5年度から施行されたが、これまで地方公共団体の管理する個人情報の流出が続いてきた。改正法の下ではどうすればいいのであろうか。

 これまでは、地方公共団体ではコンプライアンス的に甘くて、個人情報をずさんに扱っている例がある。

 これらはいろいろと理由があるが、やはり個人情報の管理に旧来のままで慣れていない面が非常に大きいのでなかろうか。

法の知識と意識の問題である。

2.個人情報の扱い方の基本

地方公共団体は個人情報を取得する目的を明示し、公正な手段で取得しなければならない。個人情報を取得した場合、地方公共団体は安全管理義務を負う。

取得した個人情報は、明示した目的以外に利用してはならないとされており、法令等の例外を除き、個人情報を本人の同意なく第三者に提供することはできない。

個人情報の処理を外部に委託する際は、適正に委託先の管理を行なわなければならない。

3.個人情報保護法違反

個人情報保護法違反を職員が発見した場合に、地方公共団体の「コンプライアンス・ホットライン」、多くは総務課が担当しているが、そこへ通報するべきだがその際に情報提供者が誰かが分からないようにする必要がある。

その後に、地方公共団体で居辛い状況をつくらないための配慮として重要である。

また個人情報保護法違反があった場合には、全職員に対して、当該役所の個人情報保護方針を再度明示する。

それまで研修などで個人情報保護法厳守の指導があっても再度各業務レベルでの個人情報保護法の内容の確認と、違反を回避するための内部統制ルールを職員に周知徹底する。

4.個人情報に関するクレームの発生

個人情報保護法違反のクレームを受けた場合には、すぐに上司に報告すべきであるが、

同時に、クレームとの最初の接触段階で、問題発生による場当たり的な対応ではなく、事前に、職員が適切な判断を下せるような対策を立てることが望ましい。

5.セキュリティシステム

コンプライアンスは、地方公共団体の運営を維持・存続させるために住民等のステークホルダーの信頼を得ることとすると、

個人情報保護法をまもるために、地方公共団体は、個人情報の入手・保管・利用等に関わる手続きや制度を新たに定め、セキュリティシステムの拡充の投資が必要になろう。

しかし、セキュリティシステムを維持・改善するだけではなく、職員に対する継続的な教育・啓発が重要になる。

個人情報保護法については、個人のプライバシーにかかわる部分があり、ステークホルダーは敏感であることに注意する必要がある。

6.マイナンバー法

 番号法(マイナンバー法)は、2015年10月から個人12ケタ、法人13ケタの番号通知が始まり、個人番号カードも普及し始めている。カードのコピーを必要以外にしない。

 保険証代わりに2024年秋までに順次なっていくが、次の情報セキュリティに関する住民の懸念が非常に高いことに注意する。

7.情報セキュリティ態勢は多数の個人情報を扱う組織に不可欠

(1)情報セキュリティとは、

個人の情報等を安全に管理する情報セキュリティ態勢の構築と研修の必要性は、住民の個人情報や企業の経営情報等の重要情報を多数保有している団体に不可欠になった。

行政サービスを提供している地方公共団体や個人情報を多数扱う組織はその業務の多くが情報システムやネットワークに依存しており、全職員が情報セキュリティについての対策を日常的に行う必要があるからである。

今般、マイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)改正法も成立し、十全なる情報セキュリティ対策は待ったなしの状況である。

(2)情報セキュリティのポイント

1)情報セキュリティ対策の基礎知識…紙の情報と電子ファイルによる情報

2)個人情報などの情報についての内部統制の方法

3)情報セキュリティと個人情報保護法や個人情報保護条例の関連性…個人情報の漏えいなどを防ぐ仕組み

4)情報セキュリティと危機管理…大規模災害等における業務の継続性(BCP)と要援護者保護等

5)特定個人情報(マイナンバー法)の管理方法…特定個人情報の漏えいに対する厳しい直罰規定等

8.情報セキュリティ対策の基礎知識

(1)情報セキュリティのポリシ-制定からの流れ

組織体制の確立 、

情報セキュリティ基本方針の策定 (マイナンバー法含む)、

リスク分析の実施 、

情報セキュリティ対策基準・実施手順の策定、

情報セキュリティの実際の運用と評価・見直し、

情報セキュリティの内部監査と外部監査、

フォローアップ

(2)情報セキュリティの最重要4つの管理項目

組織的管理~技術的管理

(3)情報セキュリティ対策の運用

情報システムの監視~SNS(ソーシャルネットワークサービス)の利用

(4)情報セキュリティの監査の実際

情報セキュリティの内部監査と外部監査、

助言型監査と保証型監査、

準拠性監査と妥当性監査、

監査手順

9.情報セキュリティに関する不祥事・事例

(1)八つの類型別個人情報漏洩不祥事

(2)地方公共団体や企業での情報セキュリティ違反よる個人情報漏洩等の不祥事事例

(3)個人情報の漏えいを防ぐ必須の態勢と方法

◆態勢つくりと研修での重要参考資料

各自治体情報セキュリティ関連条例等・総務省情報セキュリティ関連ガイドライン等

10.CSIRT体制の充実を急げ

(1)地方公共団体の情報セキュリティ

 地方公共団体の情報セキュリティが不安視されている。個人情報も含めた情報セキュリティシステムを業者への丸投げしていてはいけないだろう。

現在、自治体情報セキュリティ緊急強化対策が総務省から出されている。十分に参考にするとともに実行を伴わなくてはならない。

(2)組織体制の再検討、職員の訓練等の徹底

・CISO・CSIRTの設置等、インシデント連絡ルートの再構築(多重化)、緊急時対応計画の見直しと緊急時対応訓練の逐次実施、特に標的型攻撃に対する対策の徹底

(3)インシデント即応体制の整備

 インシデント連絡ルートに沿って、都道府県による支援体制を再確認、不正通信の監視機能の強化、自治体情報セキュリティ支援プラットフォームの創設

(4)インターネットのリスクへの対応

  安全性の確認、システム全体の強靱性の向上、自治体情報セキュリティクラウドの検討

(5)CSIRT(Computer Security Incident Response Team)

 CSIRT(シーサート Computer Security Incident Response Team)とは、情報システムに対するサイバー攻撃等の情報セキュリティインシデントが発生した際に、発生した情報セキュリティインシデントを正確に把握・分析し、被害拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能とするための機能を有する体制の事である。

情報セキュリティについての研修でいつも話している中で職員の認識が低い内容である。

自治体CSIRT協議会が、設置された。地方公共団体のCSIRTの設置から運用、インシデント対応訓練等による対応力の維持・向上には、不断の取組みのためである。全都道府県、全市区町村を対象とする組織で、平成30年に設立された。

Follow me!