自治体でもIT統制の必要性高まる

こんばんは。新宿区議会議員の伊藤陽平です。

IT統制について質問しました。
個人情報が流出しないようミスや不正を防止するために、リスクを識別して内部統制を強化する必要があります。
特に昨今は多くの事務でパソコンが使用されているため、IT統制の重要性が高まってきました。

具体的なことですが、アカウントの使いまわしは望ましくありません。
手間が増えるかもしれませんが、内部統制の観点から、不正やミスを防ぐためには権限を分離して相互に監視し合うことが重要であり、優先すべきだからです。
アカウントの発行も情報セキュリティの知見があるシステム担当者に承認を求めて進めることが望ましいです。

そして、パスワードのルールについても見直しが必要です。内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」によると、パスワードは英大文字小文字+数字+記号で 10 桁以上の複雑なものが推奨されています。
数字のみだと100億通りですが、この方法だと2,785京通りもあるので安全性が高まります。
新宿区では庁内で定期的なパスワードの変更を求めることもあります。定期的な変更はかえってパターン化や使い回しなどの問題につながることがあり、こちらも問題です。

ID、パスワードだけでアクセスができてしまうシステムの場合、その情報が流出すると個人情報も流出する恐れがあります。原則として二要素認証を導入すること、また外部のシステムを利用する場合は可能な限り仕様に入れることを推奨します。
アカウント管理等を含む情報セキュリティについては、改善する事項がないか1年に1回程度は見直しが必要です。

以下、質問と答弁です。

伊藤 IT統制の状況について情報収集や体制の整備はどのように行われているのでしょうか。IT統制の状況は定期的にモニタリングされ、記録されているのでしょうか。また、監査は行っているのでしょうか。実施していない場合、その理由や今後の対応もお答えください。アカウントの使い回しは原則禁止することが必要だと考えていますが、いかがでしょうか。パスワードの設定方法、また変更のあり方、二要素認証については原則必要と考えていますが、どのように対応していますか。国等でもガイドラインが公開されています。最新の情報を収集し、全庁的に見直す必要があると考えていますが、対応はいかがでしょうか。

吉住区長 ご指摘のとおり、今日では、多くの事務でパソコンが使用され、個人情報保護のためのIT統制の重要性が高まっています。
区では、個人情報等の情報資産の保護に万全を期すため、新宿区情報セキュリティポリシーを定め、ITに関するリスクを踏まえた情報セキュリティの取組みを具体化し、情報化統括管理者(CIO)を中心としたIT統制体制を整備しています。
IT統制状況のモニタリングについては、情報セキュリティ自己チェックやCIOオフィスである情報システム課の情報セキュリティ監査による定期的なモニタリング、パソコンからの情報資産の持ち出し検知、操作履歴の記録などの技術的な対策を講じています。
また、パソコンを利用するためのアカウントについては、一元管理のもと、職員ごとにアカウントを付与し、生体認証を含む二要素認証によるアカウントの使い回しの防止、職層や職務に応じた情報資産へのアクセス制御等を実施しています。また、パスワードについては、複雑性確保や定期的な変更、使い回しの防止等の技術的な対策を講じています。
さらに、国のガイドライン等をはじめ、コンピュータウイルスやサイバー攻撃等の情報セキュリティに関する最新情報を収集し、新たなリスクに応じ、適宜、情報セキュリティ対策の見直しを行うことで、個人情報保護に万全を期しています。

今後は、さらにIT統制の重要性が高まってまいります。
IT事業者、公認内部監査人として、新宿区においてのIT統制を推進してまいります。

それでは本日はこの辺で。