桂川将典
これまでは情報機器と言えばパーソナルコンピュータが筆頭でしたが、この10年でスマートフォンやタブレットなどのモバイル機器は著しく進歩し台頭してきました。
現在では、議場にお集まりの皆様のほぼ全員がスマートフォンを利用されており、ウエブブラウジングやメッセージだけでなくカメラ、GPS、またECサイトやオンラインバンキング、決済手段など、その利便性は実感しているところだと思います。
こうした各種サービスの普及には、通信会社による第4世代通信ネットワークの整備による超高速データ通信があります。
既に、モバイル端末による動画閲覧は子供たちにとって欠かせない娯楽になり、電車内などで楽しんでいる姿は当たり前に見かけられます。
また、外国人観光客や在留外国人は、本国の家族などとのテレビ電話を楽しんでいます。
このような環境は高速データ通信によるものですが、2020年からは、さらにこれを超える超高速データ通信を実現する第5世代のサービス開始が通信会社により予告されています。
東京オリンピックは5Gにより大迫力の映像を配信するというメッセージのテレビコマーシャルは皆様ご存知のとおりでありますし、ほかにも5Gを利用した遠隔監視型自動運転の実証実験がお隣の一宮市で行われるなど、通信ネットワークの超高速化がこれからさまざまなサービスで活用される見通しとなっております。
また本年、2019年には消費税の増税に伴い、需要平準化対策としてキャッシュレス対応による生産性の向上や消費者の利便性向上の観点も含めて、キャッシュレス・消費者還元事業がスタートしました。
これは中小・小規模事業者によるキャッシュレス決済手段を使ったポイント還元の支援事業であり、11月11日時点で72万9,351業者が加盟をしております。
特に、その中でもQRコード決済のサービス拡大は私企業のポイント還元キャンペーンが大々的な広告費を伴って実施されたこともあり、目覚ましい勢いでのシェアの拡大が進んでおります。
このように我々の社会生活に欠かせない手段となったスマートフォンなどのモバイル端末ですが、ビジネス分野において、日本での活用、特に自治体は出遅れていることは否めません。
企業内の機密情報の漏えい事件が過去に多数あったことから、情報漏えい対策の方法として私物端末の業務利用を一切認めない。情報セキュリティーによって厳しく制限されてきた経緯があるからではないかと私は考えております。
しかしながら、その考え方はおよそ20年も前のIT環境をベースとしたものであり、個人で所有するスマートフォンなど通信デバイスの発展に追いついていないという現状だと認識しております。
その結果として、シャドーITが官民問わず広がっている状況です。
メッセージアプリなどがその顕著な例で、連絡などのちょっとしたやりとりを口頭ではなくテキストや写真、あるいはインターネット上の情報を伴って行うことは日常化しております。非常に利便性が高いものを使わないことのほうがもったいない、非効率だということです。
まるで禁酒法時代に酒類が地下流通し、ルールなどあってなきがごとしという状況と一緒であり、しかしそうなるのは必然であるという専門家の指摘もございます。
さて、このような環境にあって、どのような対策、行動をとるべきだろうかというのが今回の質問の趣旨でございます。
情報課にとって、シャドーITの拡大は、情報セキュリティーを管理する立場として非常に好ましくない課題であると思います。情報漏えいは許されません。
一方で、メッセージングなどのシャドーITをがちがちに規制することは事実上不可能であり、またその規制によって得られるリスクの低下よりも非効率のデメリットのほうが大きくなるのではないでしょうか。
シャドーITは黙認しておくわけにはいかない課題であり、したがってBYOD ── 私物携帯電話等の業務利用ですが ── のルールを考えることが避けがたいものと思われます。
ここで、どのように考えるべきかということの前提として、どのような情報資産は機密として守られるべきであるとするか、機密度のランク分けを行うことが大前提であります。
一般には、絶対機密、部外秘、社外秘、関係者のみ、公開情報などの分類を情報資産に対して行います。
例えば、市役所で言えば課税などの個人情報は部外秘になるであろうし、例えば総務部長の今週の予定は社外秘ないしは関係者のみといった分類になろうかと思います。
仮になんですけれども、この総務部長さんの日程が公表されたとして、市の受けるダメージは恐らく高くないと思われますからリスク評価としては低くなると考えられます。
そういった低リスク情報資産については、一律に厳格な規制をするよりも活用しやすい情報セキュリティポリシーをしいたほうが業務効率が上がると考えられています。
例えばですけれども、出先で日程調整をするためにグループウエアのカレンダーを参照する、そんなことができることが大きなリスクにはならないだろうということです。
これまで北名古屋市では、業務用途のパソコンからの情報漏えいリスクを低下させ、また同様に管理コストの低減を図るべく2008年には全国に先駆けてシンクライアントを導入してきました。
先進的な環境を整えて安全確保を行ってまいりましたが、その実現から既に10年が経過しております。
ITの技術的環境は変化してきています。現在では、民間企業の多くで外出先からも業務報告や日程調整ができる仕組みが整えられてきておりますし、スマートフォンやタブレット、モバイルPCでもデータを社外から安全に利用できるような仮想化を使った仕組みができています。北名古屋市もそろそろ次のステップを考える時期ではないだろうかと思うのです。
今回、私がここでお尋ねするのは、スマートフォンなど私物端末の業務利用について、今は規制がされておりますが、これを検討することで大きく業務効率の改善などにつなげられるのではないかということです。
メールやスケジュールなどリスク評価が低い情報の共有、あるいは災害時の情報収集などは特別に機器をあつらえるよりもはるかに効率的に、そして大規模に組織立った情報共有が可能となると考えます。
さらには、今後こうした活用を図っていく、そんな未来にはRPAなど情報化が進み、働き方そのものがかわる時代になるのだとも思えます。
ひょっとしたら、自治体職員の働き方も中心的な働き方がオフィスワークではなくなり、テレワークやリモートワークなど、その業務内容によっては働く場所と働く時間がオフィスから切り離され、働き方の自由度が増していくこともあるかもしれません。
働き方改革を行っていく上で必要なことは、まずは1つ、情報化の活用と推進によって、できることの選択肢の幅を広げることではないだろうかと思うのです。
ここで述べたようなBYODを実施している省庁や自治体が既に幾つかございます。事例として上げおりますが、経済産業省や和歌山県では仮想端末化でBYODを実施しております。
大阪市でのプライベートクラウド併用のBYODの実施ということで、外出先からメールやスケジュールの確認、あるいはテレワーク、一部の業務ができるようになっている。
また、三重県桑名市では、スケジュール確認のためBYODを利用しておると。そのほかにも、ちょっといろいろお話を聞いておりましたら、三重県でもBYODの仮想化に向けての情報収集をしていると聞き及んでおりまして、オフィスの外でも活用できるデジタル化に対して積極的な働きかけの推進を今しておるという状況のようです。
このようなデジタル化の活用の推進を徹底して行っている自治体では、最近では最高デジタル責任者CDO(チーフ・デジタル・オフィサー)を設置するなど、極めて積極的にやっております。
デジタル化の取組は、当然ですが情報セキュリティーを包括しながら、地方創生などでの情報活用など政策の推進をさらに加速化させております。
ぜひ北名古屋市でも、自治体の情報活用は当然のものとして積極的に情報収集を行い、活用を図るべきだと考えております。
例えば、バスの時刻表などは今スマートフォンアプリの乗りかえ案内や地図のアプリなどで活用されるために、自治体がオープンデータとして提供することによりデータソース、要はデータの提供者ですけれども、これが確実な情報を民間が活用すると、そういった流れができております。
オープンデータなどで取り扱われる統計情報については、全くもってリスクのない情報と私は認識しておりますが、これが公開されることで住民の利便性を間接的に高める。市役所が直接的にやっているのではなく、民間が活用してくれることで間接的に住民の利便性が高まっていると。
こうした取組での広義の意味での情報活用を検討する際には、情報のリスク評価とあわせて考える必要はあるものの、今後の発展と安全性を軸にしながらもIT活用を図るべきであり、そのために必要な情報リスクについての検討を行い、業務上の活用と同時に現在の情報セキュリティポリシーを見直すべきと考えます。
以上、私見を申し上げましたが、担当課長としてどのように考えるか、以下の点についてご答弁をお願いいたします。
1点目、総務省からの指導もあり、LGWAN系とインターネット系についてはネットワーク分離を行っていますが、それぞれのネットワーク上にある情報資産のリスク評価並びに機密データの分類はされているでしょうか。また、総括的に機密度の高いデータ、低いデータとはどのようなものと考えるか、インターネット系に機密度の高いデータはあるか。
2点目、住民の個人情報など秘匿されるべき情報の取り扱いについて、保護を必要とする情報であるかどうか、適切な判断と保護ができるよう職員は指導・研修されておりますか。
3点目、例えば会議日程のスケジュール調整などに係る手段としてBYODを利用した場合、これについてはどのようなリスクが考えられますか。
4点目、例えば、災害発生時や市の主催するイベント会場など、外出中の職員との連絡や情報収集手段としてBYODを利用することは業務効率として有効と考えられるが、どのようなリスクが考えられますか。
5点目、これからの地方自治体における業務効率の改善と、住民サービスの高度化のために情報機器の活用度の向上は急務であると考えるが、中でも事業に必要な連絡など機密度の低い情報の共有、予定の調整などでBYODを利用することについて、担当課長の所見を伺いたい。
6点目、情報活用の推進を担当する最高デジタル責任者CDOの設置について、どのように考えるか。
以上でございます。
総務部情報課長(西依勝男)
情報資産の機密分類とリスク評価の実施などについて、お答えいたします。
情報資産につきましては、北名古屋市情報セキュリティポリシーに基づき情報資産台帳を作成しており、機密性、完全性及び可用性を踏まえリスク分析及びリスク評価を行い、重要性に応じ4段階の分類を行っております。
最も重要な1番目の分類として、個人情報及びセキュリティー侵害が市民の生命、財産等へ重大な影響を及ぼす情報資産、2番目に重要な分類として、公開することを予定していない情報及びセキュリティー侵害が行政事務の執行等に重大な影響を及ぼす情報資産、3番目として、外部に公開する情報のうちセキュリティー侵害が行政事務の執行等に軽微な影響を及ぼす情報資産、4番目として、それ以外の情報資産と分類しております。
情報資産の利用については、分類に応じ適正な取り扱いをするとともに、1番目、2番目の情報資産について、内容に応じ保管、持ち出し、送信、運搬、提供、廃棄について制限を加えております。
なお、インターネット系には重要性分類1、2に該当する情報資産はございませんので、ご理解賜りますようお願い申し上げます。
総務部情報課長(西依勝男)
秘匿されるべき情報の取り扱いの指導・研修はについて、お答えいたします。
個人情報など秘匿されるべき情報の取り扱いにつきましては、インターネットとは分離された環境で運用しており、各課に情報セキュリティ管理者を置き管理しているところでございます。
しかし、内容により保護が必要な情報かどうかを判断する際に意見が分かれ、やむなく安全策をとるという現状もあります。
指導・研修につきましては、情報セキュリティ内部監査、集合研修やeラーニングによるセキュリティ研修を実施しておりますが、実際の現場では情報の保護と開示のはざまでたびたび難しさを感じているため、もう少ししっかりやっていきたいと考えますので、ご理解賜りますようお願い申し上げます。
総務部情報課長(西依勝男)
スケジュール調整にスマホ等を利用した場合のリスクについて、お答えいたします。
現在のスケジュール管理についてはLGWAN系で行っており、インターネットとは分離されたネットワークで運用しています。BYODを利用した場合、インターネット系での運用となります。
スマホ等の端末のセキュリティー管理について、現状では個人任せとなるため不正プログラムに感染している端末が使われている可能性があり、なりすましやデータの改ざんによる業務妨害のリスクがあると考えられます。
本市においては、スケジュール調整をグループウエアの中の機能として使用しており、スケジュール以外のデータもたくさんありますので、業務への被害は大きなものになると考えられますので、ご理解賜りますようお願い申し上げます。
総務部情報課長(西依勝男)
情報収集手段としてスマホ等を利用した場合のリスクについて、お答えいたします。
BYODとしてウエブやSNSを利用した場合を想定しますと、現状では個人端末のセキュリティー対策や送信する情報の管理が難しく、セキュリティーの維持を個々の職員による運用面に頼ることとなるため、不正プログラムの感染、誤操作や紛失により誤った情報が流れるなどのリスクがあると考えられます。
流れる情報によっては大きな被害が考えられますので、ご理解賜りますようお願い申し上げます。
総務部情報課長(西依勝男)
機密度の低い情報の共有にスマホ等を利用することはについて、お答えいたします。
外出時の連絡や情報収集手段において、BYODの利用は利便性、効率性において有効であると認識しております。
しかしながら、機密度の低い情報であってもなりすましやデータの改ざんのリスク対策は必要と感じております。
情報活用の推進とセキュリティー確保とのバランスをとりながら、BYODとセキュリティーの両立につきまして調査・研究を進めてまいりますので、ご理解賜りますようお願い申し上げます。
桂川将典
5点にわたって、大変丁寧にご答弁いただきました。ありがとうございます。
私のほうから申し上げておりますのは、職員の皆様方が今スマートフォンとか当たり前のようにお持ちでいて、そういった環境下でこれから業務効率も考えながら、ただし組織全体としてはきっちりと情報セキュリティーを守っていかなきゃいけない。
ちょうど昨今、神奈川県がハードディスクを廃棄、リースバックして、それを処理業者の中の職員が窃盗して、それを流通させるといったことで情報漏えいが発覚して大変なニュースになっておりますけれども、先ほど伺ったところ、情報課では大変きっちりと丁寧な情報セキュリティポリシーをしいて、この市役所の庁舎内でディスクの廃棄をされておると。
そういった形で、私ども北名古屋市は大変厳格なセキュリティポリシーの運用を今しておると認識はしております。
ただ、その一方で、それに付随する形で利便性が上がってきていない部分であったりですとか、そういった取組が厳し過ぎる。現実の皆さんの日常的な生活で使われているツールに合わないといったところが散見されるようになってきたなと思っております。
先ほど、最後に一般質問の通告文書の最後に申し上げた資料なんですけど、これ今北名古屋市に来ていただいている情報セキュリティーの担当のCIOをやっていただいている川合さんがこのワーキンググループの筆頭としてまとめていただいておる2013年のころの資料なんですけれども、その中でもう既に、2013年度時点で既に私物の端末などを業務利用することについてということで内閣府のほうで検討していただいておる。
せっかくなので、川合さんのほうからアドバイスいただきながら、このBYODの調査、今研究を進めてまいるとご答弁いただいておりましたけれども、やっていただければなと思います。
その中で、先ほどの3点目と、それから4点目にお伺いしましたスケジュールを公開してはどうか、それから外部 ── 外部というのは外出中の職員 ── との情報共有、その部分についてだけなんですけれども、インターネット系に乗せてはいかがかと、今の答弁を聞いておって考えるわけでございます。
と申しますのも、北名古屋市は今、重要な情報はLGWANに全部置いてある。重要機密度が1、2に分類されるものはLGWANに置いてあって、インターネット系には3、4に該当するものしかないということで伺っております。
今の問題点は、グループウエアがLGWANに置いてある。そこにスケジュールが管理されているということであって、インターネット系にないから今ちょっと活用がしづらいと、そのように私は受けとめておりますが、三重県の桑名市なんかではLGWANからインターネット系に情報を転送するような形で、スケジュールの閲覧ができる。
閲覧ができるだけでも上長の予定が見えたりとか、やりやすいということも伺っておりますし、それ以外のところでも大阪市なんかはかなり大々的にクラウド上でそういったやりとりをする仕組みを構築してやっているというふうに伺っております。
この部分だけ、全ての業務とは申しません。情報セキュリティーはやはり大事なところなので、よその人に見られてはいかん情報なんかもいっぱいある。
そこまで、まだ現時点で踏み込むのは時期尚早かなと思うところがある一方で、このスケジュール等、それから職員同士の相互のやりとり、このメッセージの部分だけでも情報課長のほうにいち早く検討を進めていただきたいと思うんですが、その点についていかがでしょうか。
ちょっと踏み込んでお話しいただければと思います。
総務部情報課長(西依勝男)
今ご質問のありましたスケジュールにつきまして、現在、お話のとおりLGWAN系の環境で運用しております。
ですので、機密度の高い情報についても意識することなく取り扱っております。機密度の低い情報のみのスケジュール管理の運用ということの検討が必要とあります。
そういう教育等も含めて調査・研究してまいりたいと思いますので、ひとつよろしくお願いいたします。
総務部長(能村義則)
情報活用の推進を担当するアドバイザー設置について、お答えをいたします。
ご質問いただきましたように、近年ではモバイル機器の進歩や通信ネットワークの高速化により、世界の経済活動のあり方がさま変わりしております。デジタル決済ばかりでなく、東京オリンピック時の都内の混雑緩和対策として、サラリーマンの仕事にも在宅ワークが推進されていくというお話を聞いております。
そうした状況を踏まえて、行政組織にもデジタル変革が求められるわけでありますが、情報資産に関するセキュリティーの確保というのは、行政組織が担う社会的責任でもあり、情報活用の推進とセキュリティーの確保、両方のバランスをとりながらそれぞれを強化していくという、このことの難しさを強く感じているところでございます。
質問のテーマでありますBYODの利用につきましても、行政という一つの組織の中でこのバランスの上に一定のルールをつくるということが前提になります。
しかも、どちらか一方に偏ることなく、目的実現のために最適化されたルールをつくるというのはかなり難しい作業になってくると思います。
しかし、放置すればシャドーITが広がっていく懸念があることは議員のご指摘のとおりでありまして、ご提案のように俯瞰的に情報資産の保護と活用のバランスをとる役割を担う、そういった職の設置は有効な解決策になると考えておりますので、今後検討してまいりたいと思います。
よろしくお願いいたします。