FAQ 札幌市の情報セキュリティポリシーについて知りたい
札幌市情報セキュリティポリシーとは、本市が所有する情報資産に関する情報セキュリティ対策について、取りまとめたものです。
本来「セキュリティ」とは、安全・保安・防犯という意味がありますが、ここでは、市民の皆様の情報が外部にもれないようにすること(機密性)、いつでも正しい情報で改ざんされないこと(完全性)、障害や故障でサービスが止まらないようにすること(可用性)の条件を同時に満たすことをいいます。
このような意味を持つ日本語が見当たらないため、「セキュリティ」としました。なお、他の自治体でも、「セキュリティポリシー」という用語を使っています。
ポリシーは、市民の皆様の情報を適切に取り扱うための対策を、統一的、体系的に網羅したものであり、取り巻く環境の変化に対応し常に継続して見直していきます。
《セキュリティポリシーの必要性》
現在、企業等において、情報漏えいの問題が話題になっています。
札幌市では、条例や要綱等を作って情報を保護するための様々なセキュリティ対策をこれまで行ってきましたが、統一性の問題や、ルールが体系的になっていないなどの課題もありました。
また、インターネット技術の発展に伴い、本市でも、今後インターネットによる申請や入札等、いわゆる「電子自治体」と呼ばれる施策を推進していくことにしており、市役所の情報システムで扱う市民の皆様の情報は、今後ますます増えていきます。
そこで、市民の皆様の個人情報などが、更に一層安全に守られるよう情報セキュリティ対策の強化が必要だと考え、統一的なセキュリティ対策を講じていくものです。
《情報セキュリティポリシーの構成:2層で構成されています》
[情報セキュリティ基本方針]
札幌市職員がセキュリティを守るための基本的な考え方を記載したものです。
(基本方針については関連ホームページ上で公開しています)
[情報セキュリティ対策基準]
市役所で取り扱っている市民の皆様の個人情報等を守るために必要なセキュリティ対策の基準(ルール)を具体的にまとめたものです。
こちらは、非公開となっています。
《よくある質問》
Q.なぜセキュリティポリシー全部を公開しないのですか?
A.対策基準は具体的なセキュリティ対策の内容を含んでおり、これを公開すると、セキュリティ上の弱点やセキュリティ対策の情報がもれることが想定され、不正アクセス等の脅威にさらされることが考えられますので非公開としています。
Q.情報セキュリティポリシーには何か基準があるのですか?
A.情報セキュリティポリシーの基準としては、総務省が公表している「地方公共団体における情報セキュリティポリシーに関するガイドライン」や、日本工業規格(JIS)が定めるJISQ27001(情報セキュリティマネジメントシステム)があります。
Q.セキュリティポリシーの策定によって、札幌市は何か行わなければならない事があるのですか?職員は何をするの?ポリシーを運用してどう変わるの?
A.一般的に情報セキュリティポリシーを策定することで、情報の機密性(外部にもれないようにする)や完全性(常に正しい状態にする)のみならず、可用性(必要時に利用できる)も確保できるよう、人的・物理的・技術的な対策を講じていくことになります。
職員はポリシーで定められた遵守事項を守るほか、不完全と思われる対策がある場合には必要な対策を施します。また、職員一人一人のセキュリティ意識を高めるため職員に対して研修を行います。遵守状況のチェックもします。
更に、ネットワーク事故等の際に適切な対応ができるように、危機管理対策も実施しなければなりません。
ただし、対策費用が必要なものについては、リスク(脅威)と費用を見合わせながら順次行っていきます。
基本的に情報セキュリティポリシーは、JISの基準でもありますように、マネージメント(計画、実行、点検、処置)を行うことであります。
札幌市でもこれらの対策を企画し、実施するだけではなく、定期的にその状況を監査や評価し、改善を行っていきます。
Q.ちゃんとセキュリティ対策を行っているかをどうチェックするの?
A.定期的に遵守事項をチェックしたり、内部監査や外部委託による監査を行っています。
Q.実際のところ職員の方が悪いことをしてるのではないのか?
A.職員が、不正に情報を持ち出したり悪いことをしないように、職員に情報セキュリティポリシーの遵守を徹底するとともに、職員一人一人のセキュリティ意識を高めるため職員に対して研修を行っています。
Q.札幌市では、事故や情報漏えい等の事件はどのぐらいあるの?
A.平成26年度には職員によるサーバー不正アクセス、平成27年度、平成29年度には臨時職員によるシステム不正閲覧、平成31年度にはホームページの改ざん、平成30年度、令和2年度にはUSBの紛失といった事件・事故が発生しています。
これまでに大量の個人情報が第三者の手に渡ってしまったという事案はありませんが、些細な事件でも、起きることのないように、全職員で情報セキュリティ対策に取り組んでまいります。
Q.市民に対して何か影響がありますか?
A.情報セキュリティポリシーはあくまで札幌市の内部規範ですので、市民の皆様に何かを強制するようなことはありません。
ただし、札幌市の受託事業者に対しては職員同様に情報を保護していただく必要があることから、ポリシーの内容を遵守していただくことになります。
Q.情報セキュリティポリシーは法的に策定義務があるのか?特に一般的な民間企業において提要されるのか?
A.情報セキュリティポリシーは、自主的に取り組むもので、法的に義務付けされているものではありません。
尚、民間の企業においては、積極的に情報セキュリティ対策を実施していることを対外的に示すことで企業イメージの向上を図ろうとしているところもありますし、海外との取引の場合に必要だということで情報セキュリティポリシーを策定している企業等があるようです。
《お問い合わせ先》
【デジタル戦略推進局情報システム部システム調整課情報セキュリティ対策担当係】(電話:011-826-6379)