2021-05-17 第204回国会 参議院 決算委員会 第6号
サイバー攻撃の増加やデジタル化の進展を受け、情報漏えい等の情報セキュリティーインシデントが発生した場合に備え、緊急時対応計画の策定や緊急時を想定した訓練の実施は重要であり、総務省が策定する地方公共団体における情報セキュリティポリシーに関するガイドラインにもこの旨記載し、地方公共団体の対応を促しているところでございます。
サイバー攻撃の増加やデジタル化の進展を受け、情報漏えい等の情報セキュリティーインシデントが発生した場合に備え、緊急時対応計画の策定や緊急時を想定した訓練の実施は重要であり、総務省が策定する地方公共団体における情報セキュリティポリシーに関するガイドラインにもこの旨記載し、地方公共団体の対応を促しているところでございます。
さらに、行政手続のオンライン化、テレワーク、クラウド化など新たな時代の要請を踏まえ、先進自治体の取組を参考にしながら、従来に比べ高度なセキュリティー対策を実施することを条件にして、住民情報等を扱わない事務の範囲内で利便性の高いモデルであるベータモデルを採用可能にすること等を内容として、昨年十二月に地方公共団体における情報セキュリティポリシーに関するガイドラインの改定を行ったところでございます。
また、住民情報や税情報等を扱う自治体クラウド等は適切なセキュリティー対策が重要であり、自治体クラウド等への接続のためのネットワークについては、地方公共団体における情報セキュリティポリシーに関するガイドラインにおいて、行政系のネットワークをLGWANに集約するよう努めること、通信回線として利用する回線は情報資産の重要性に応じて適正なセキュリティー機能を備えたものを選択しなければならないこと等を求めております
また、国立大学法人等におきましては、情報セキュリティー対策基本計画を策定し、定期的にその評価と見直しを求めるとともに、セキュリティーの司令塔機能の強化を求めるなど、サイバーセキュリティー対策の更なる強化を実施をしておりまして、公立、私立大学等に対しましても、サイバーセキュリティー対策推進のための体制整備や情報セキュリティーポリシーの策定など、着実なサイバーセキュリティー対策の実施を求めておるところでございます
これまでも総務省では、自治体に対して、地方公共団体における情報セキュリティポリシーに関するガイドライン等において、情報システムの調達、移行等に関する留意点を示してまいりました。
平成二十九年に文部科学省で策定しました教育情報セキュリティポリシーに関するガイドラインについては、その後具体化したGIGAスクール構想の実現に向けまして、学校現場でのクラウド活用が促進されるよう、令和元年十二月、クラウド・バイ・デフォルトの原則に基づきまして、クラウドサービスの利用におけるセキュリティー対策を新たに追加するなど、第一回目の改定を行いました。
教育情報セキュリティーポリシーについて、昨年の十一月十三日の文科委員会で、私、取り上げさせていただきました。簡単に言うと、ガイドラインとハンドブックの策定が遅れていますよねということです。 二〇一九年にガイドラインが出て、ハンドブックを更新されていないという状況の中で、現場や教育委員会等では、やはり読みよいですから、ハンドブックの方を使うというのが通常です。
これは、総務省が、今申し上げた政府の統一基準群を参考に、地方公共団体における情報セキュリティポリシーに関するガイドライン、これを策定をしております。
今御指摘のありました、昨年、令和二年五月の取りまとめでございますけれども、その後、地方公共団体の意見をお伺いしながら更なる検討を行いまして、年末の十二月二十八日に、地方公共団体における情報セキュリティポリシーに関するガイドラインの改定を行ったところでございます。
その中で、教育情報セキュリティーポリシーについて少し触れたいと思います。 今、通称二千個問題と言われる個人情報保護条例問題というのがあります。これは簡単に言いますと、各自治体が個人情報保護条例というものをさまざまつくっておられます。つくっていないところもあります。これによって、それぞれの教育現場で対応が結構ばらばらになって混乱しているという、これが通称二千個問題というものなわけであります。
続いて、教育情報セキュリティーポリシーについて、これがいわゆるガイドラインというものがあって、それに、よりわかりやすく現場で使えるようなハンドブックというのがつくられているわけですけれども、初版というのがこれは二〇一七年の十月に出ていまして、そこから改訂版が二〇一九年に出ているわけなんですけれども、これはガイドラインがあってハンドブックがないという問題が起こっています。
平成二十九年、文部科学省で策定した教育情報セキュリティポリシーに関するガイドラインについては、現在取り組んでおりますGIGAスクール構想の実現に向けて、学校現場でのクラウド活用が促進されるよう、昨年の十二月に、クラウド・バイ・デフォルトの原則あるいはクラウドサービスの利用におけるセキュリティー対策を追加するなどの改定を行ったところでございます。
さらに、自治体が教育情報のセキュリティーポリシーの策定や見直しを行う際の参考として文部科学省が昨年十二月に改定いたしました教育情報セキュリティポリシーに関するガイドラインにおきまして、端末等の調達に当たってのサプライチェーンリスクへの対応について掲げているところでございます。
このため、総務省としましては、これまで地方公共団体における情報セキュリティポリシーに関するガイドラインによりまして、テレワークで接続可能な領域を機密性の低い情報を扱うインターネット接続系に限定するなどして安全なテレワークの実施とするように助言をしてきたということでございますが、近年の働き方改革の要請などを踏まえまして、テレワークの導入の必要性が高まっておりますことから、本年一月には、自治体の担当者も
また、地方公共団体につきましては、地方公共団体における情報セキュリティポリシーに関するガイドラインに基づいて、サイバー攻撃発生などのインシデントについて総務省への報告を求めております。報告を受けたら、直ちにNISC、内閣サイバーセキュリティセンターに総務省から報告をし共有をするという仕組みにいたしております。
このため、総務省が策定する地方公共団体における情報セキュリティポリシーに関するガイドラインにもこの旨記載し、地方公共団体の対応を促しているところでございます。数字的には市町村面においてまだまだのところがございますが、引き続きそこについては力を入れていきたいと考えております。
総務省におきましては、取り扱う情報の機密性などの格付に従いまして、行政事務においてセキュリティーリスクを排除した適切な情報処理がなされるよう、政府全体の政府機関の情報セキュリティ対策のための統一基準に基づきまして、必要な安全管理措置などのルール、具体的には、先ほど御答弁させていただきました総務省情報セキュリティポリシーというものを定めております。
また、これに基づいて、総務省情報セキュリティポリシーというものを策定し、これを運用しております。これが適正に運用されているかどうかという点については、私どもで把握をさせていただいております。 ただ、今委員御指摘の、具体的な通信の頻度であったり、そういった実態の詳細については、私どもは把握はしてございません。
総務省といたしましては、地方公共団体における情報セキュリティポリシーに関するガイドラインを策定し、地方団体にお示ししているところでございますが、そのガイドラインを逐次改定するとともに、民間の高度なセキュリティー人材と連携しながら、全国の地方公共団体と最新の技術や対策などの情報共有を図っているところでございます。
検査しましたところ、厚生労働省及び日本年金機構において、情報セキュリティーポリシーの改正に向けた連携等が十分とは認め難い状況となっていたり、同機構の情報セキュリティーに関する体制整備が十分でないことについて、厚生労働省の同機構に対する監査及び同機構の内部監査で指摘したことはないなどの状況となっていたりしておりました。
また、同プランに基づき、学校のICT環境整備の促進を図る方策や、教育版の情報セキュリティーポリシーのガイドライン策定等について有識者会議を設け、検討を行っているところです。
一方、厚生労働省自身がレセプト情報等の管理、利用を二つ目の場面については行いますので、これは、厚生労働省情報セキュリティポリシーに基づいて、みずからがしっかりとそのセキュリティー対策を講じていくということに取り組んでいるところであります。
このプラン策定におきましては堂故先生にも大変な御尽力をいただいたわけでありますけれども、地方自治体の学校ICT環境整備を促進をするため、安心、安全な学校ICT環境整備に向けた教育版情報セキュリティポリシーガイドラインの策定、地方公共団体における計画的なICT環境整備の支援に向けた教育ICT教材整備指針の策定、教職員の負担軽減及び教育の質の向上に向けた校務支援システムの普及推進など、取組が同プランに盛
七、行政機関及び独立行政法人等は、非識別加工情報が行政機関等の内部においては個人情報に該当することを十分に認識し、非識別加工情報と他の情報との照合は、所掌事務の遂行に必要であり、かつ、人の生命、身体又は財産の保護のために緊急に必要がある場合に限るとともに、個人情報を取り扱う業務に従事する者のICTの知識とモラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るための研修実施等、継続的な人材育成
八 行政機関及び独立行政法人等においては、非識別加工情報が行政機関等の内部においては個人情報に該当することを十分に認識し、個人情報を取り扱う業務に従事する者のICTの知識とモラルの向上、法令・情報セキュリティポリシーの遵守の徹底を図るための研修実施など、継続的な人材育成に必要な措置を講ずるとともに、非識別加工情報と他の情報との照合は、所掌事務の遂行に必要であり、かつ、人の生命、身体又は財産の保護のために
具体的に言いますと、専門性や即効性の向上の観点から、外部専門員の人材の確保、CSIRTの体制強化、あと、次は標的型メールの攻撃を始め職員の危機管理及びリテラシーの向上のための教育訓練、そして厚生労働省の所管法人等においてインシデント等が発生した場合の担当部局から速やかな幹部等への報告、連絡体制の構築、情報セキュリティポリシー等の改定、そして個人情報の重要性を、インターネットから分離するなど必要なシステム
J—LISでは、NISCの政府統一基準群等に倣いまして、情報セキュリティ管理規程などによる情報セキュリティポリシーを定めますとともに、このポリシーと併せまして、個人情報を扱う重要な業務につきましては、住民基本台帳法、公的個人認証法などの法令により定めております規定に沿って情報セキュリティー対策を行っているところでございます。