このページの先頭です

本文ここから

第3回堺市個人情報流出事案検証委員会会議録

更新日:2016年3月4日

日時 平成28年2月15日(月曜)、午後2時00分~午後2時50分
場所 堺市職員能力開発センター 第1研修室
出席委員

座長 中野 秀男(帝塚山学院大学情報メディア学科特任教授 兼 ICTセンター長)
    赤津 加奈美(弁護士)
    嶋倉 文裕(特定非営利活動法人日本ネットワークセキュリティ協会 西日本支部長) 

説明者

中谷 省三(総務局長)、中出 茂樹(行政部長)、土生 徹(人事部長)、
安野 勝(情報化推進課長)、宮尾 半弥(人事課長)、
米澤 博隆(市長公室長)、吉田 功(広報部長)、三宅 貴(市政情報課長)、
木村 賢司(選挙管理委員会事務局長)、浦宗 利行(選挙管理委員会事務局次長)

事務局 岩本 好一(行政管理課長) ほか
傍聴者数

10人

議題

(1) 個人情報保護、情報セキュリティに関する提言の検討

(2) 審議結果の取りまとめ
会議資料

会議次第(PDF:44KB)
資料1 「個人情報流出事案検証委員会 主な委員意見」(PDF:242KB)
資料2 「堺市個人情報流出事案検証委員会報告書の構成案」(PDF:67KB)

開会

事務局

 それでは皆様、お待たせいたしました。ただいまから、個人情報流出事案検証委員会を開始いたします。座長、進行をお願いしたいと思います。

中野座長

 座長の中野です。よろしくお願いします。
 それでは、ただいまから第3回堺市個人情報流出事案検証委員会を開催します。
 まず、事務局から配付資料の説明をお願いしたいと思います。よろしくお願いします。

事務局

 本日の配付資料でございます。初めに「会議次第」でございます。次に、資料1「個人情報流出事案検証委員会 主な委員意見」といたしまして、第1回、第2回の主な委員のご意見をまとめたものでございます。次に、資料2「堺市個人情報流出事案検証委員会報告書の構成案(座長案)」としてご用意させていただきます。以上、3件でございます。不足等ございませんでしょうか。よろしいでしょうか。
 座長、よろしくお願いします。

議事

中野座長

 それでは、今日の議事は、1が個人情報保護、情報セキュリティに関する提言の検討でございます。2が審議内容の取りまとめということになっております。
 それで、お手元に資料1がございますが、資料1は第1回及び第2回に、私を含めて各委員から出た意見というか、提言も含めて入っております。それから、初回に配られました調査報告書ですね、これの流れに沿って、それから資料1も見てもらいながら、いろいろ意見がございましたら各委員から随時発言をお願いするという形でやっていきたいと思っております。
 それでは、まず順番にやっていきたいと思います。
 調査報告書をあけていただくと、事案の経過というのがございます。ページ番号でいうと、1ページから4ページまでが事案の経過でございます。その中にいくつかの項目があって、それぞれに対して各委員から意見があって、それが資料1になっています。主に一番最初のところに、資料1の最初のほうがその前になってくるかなと思っております。流れとしては、いわゆる初動です。最初にどういう対応をしたかを最初にやります。その後、解明に向かってどのように動いたかというのが2番目です。3番目は通報者です。1回目、2回目で善意の通報者という形で我々委員の間では取りまとめしたのですけれども、その通報者に対する対応はよかったのかという話と、それからもう一つは、余り触れられていないと言われているのですが、動画サイトに情報が流れたので、その辺りについて少し各委員から意見をと、そういうふうにしたいと思っています。
 まず、初動調査なのですけれども、市のほうから説明があったように、最初は個人情報の漏えいとは思ってなかったというのが市からあったので、2回目で赤津委員のほうから、まず、最初に個人情報の流出を考えるべきだというきつい言葉があって、このあたりは、今回報告書のところでしっかり書いていきたいと思っています。それを受けて、堺市のほうでは何らかの組織を考えるとかをやってもらったらいいのかなと、そういうふうに思っております。
 それから通報者への対応に関しては、私も嶋倉委員もJPCERT/CCという、我々から見ると正しい通報の仕方をされているので、そこはうまくいったのかなと思っております。
 それから、情報の漏えいに関しても、アクセス回数を調べるなりされて、本当にやれるこ とは全てされたかなと我々は思っておりますし、民間の会社にも調査を依頼されてますが、お聞きしたところでは、日本でも一番信頼できるような会社に調査を依頼されているので、これは我々としても安心できるかなと思います。
 それから1点、動画サイトに関しては割かし軽くしか説明されていないので、もしよければ説明していただければ。よろしくお願いします。

人事課長

 人事課長の宮尾でございます。よろしくお願いいたします。
 今、座長のほうからご質問のありました動画サイトへの投稿でございますが、判明にいたりました経緯をご説明させていただきますと、まず、元職員が動画サイトに動画を投稿していたということについては市でもつかんでおりましたが、元職員もヒアリングの中で、この動画についてはダミーデータを使って作成したということを言っておりましたので、そこに個人情報が含まれているというところの認識までは持てておりませんでした。
 そうした中、市に、動画サイトに投稿されている動画に個人情報が含まれているのではないかという情報提供が寄せられましたので、改めて動画を確認いたしましたところ、ほとんどのデータはダミーデータを使っていたものですが、一部に、それまでに、9月に公表しておりました、流出した個人情報の一部が含まれているということがわかったものでございます。これは、本人とのヒアリングの中では、ダミーデータに置きかえていきながら動画をつくっていったということで、元職員本人も全部ダミーデータでつくったと思っていたようですけれど、その作業の中で一部ダミーデータに置きかえられずに残ったものが、そのまま残っていったと考えております。
 これが12月25日の発表になりましたのが、1つは情報提供を受けたのがその時期だったということと、今回68万人の有権者データを含みますその他の個人情報の流出については、元職員が、自分が保存していた業務ファイルを個人で契約していたレンタルサーバーの公開されている部分に保存した。そのことによって外部からアクセスされ、個人情報が流出したものでございますが、この動画サイトに投稿されていた動画のうち、個人情報が含まれるものについては、このレンタルサーバーの中には保存されておりませんでしたので、それまでの調査では出てこなかったというところでございます。
 なお、この動画サイトに投稿されていました2本の動画につきましては、発見されたその日のうちに、本人立ち会いのもとに削除いたしました。またそれ以降も、他に流出した個人情報を含むファイルとともに、2次流出がないか注視しておりますが、現時点ではそういった状況は確認されておりません。
 以上です。

中野座長

 ありがとうございます。
 このことは、また報告書の中に追記される形で入ってくると考えてよろしいですか。

人事課長

 そうですね。今の調査報告書のほうにも、ページで言いますと、4ページの(4)のところに、インターネット動画サイトへの掲載についてということで、掲載させていただいております。また、検証委員会としての調査報告の中にも、事案の概要ということで入れていただければと考えております。

中野座長

 わかりました。ということは、この方は、個人情報が漏れてはまずいという気持ちはあったのですよね、きっと。気持ちはあったのだけれども、オペレーションミスをして出てしまったのかなというふうに、今感じました。

人事課長

 そうですね。元職員は、要はダミーデータに置きかえながらつくっていったというところについては、今座長がおっしゃったような意識はあったと思います。

中野座長

 はい、わかりました。
 それでは、嶋倉委員、まず何かございますか。主に、資料1のところの補足だとか、追加だとか、そういう形でもいいかと思います。

嶋倉委員

 前回、前々回と、ほとんど言いたいことはもう言い尽くしたので、特に新たに出てくるものはないのですけれども、あえて話をさせていただきますと、やっぱり通報を受けたときに、行政サイドとしてどういう形で、エスカレーションをちゃんとやっていて、うまく対応しているかと。今回は善意の通報者ですけれども、前回も言いましたけれども、悪意のある方もいらっしゃるので、それを現場の職員に押しつけちゃうと絶対うまく回らなくなる、おかしなことになってしまうケースもあるので、ちゃんとエスカレーションさせた上で、行政サイド全体としてうまく対応できるような組織づくり、これをきちんとやっていただければと思います。
 以上です。

中野座長

 赤津委員、何かございますか。

赤津委員

 前回申し上げたこととちょっと重複するのですけれども、前回出ていて、今のお話の中でちょっと薄かったのは、通報者に対するレスポンスですね。これは一種、公益通報的な側面もあるので、こういう通報に対するレスポンス、どこでどのような判断をして、どう対応するかというようなことを、今後の対策に生かしていただきたいということと、通報者へのレスポンスが、当時の問題として、全く考慮されなかったというのは、指摘されてもやむを得ないかなと思います。
 私が前回申し上げた、まず個人情報の漏えいを疑えというのは、振り返って今回のことを疑わなかったから悪いとかいう趣旨というよりは、今後、今回の教訓とするとすれば、ITネット上で不審事象が起こったときは、個人情報の漏えいをまず疑うと。それを最優先順位でそのリスクを消し込む、というのを教訓にされてはどうかということで申し上げました。
 以上です。

中野座長

 ありがとうございました。
 私のほうからは資料1の今のところに関しては余りないのですけれども、既に文章には書いてもらっていて1ページの一番最後にあるのですけど、通報者に対する匿名性の問題があって、これは結構ややこしい問題なのです。匿名ってどこまでちゃんと技術的にやれるかというのは、我々が考えてもものすごく難しいし、去年の国会で決まった、いわゆるプライバシーの法案も含めて言えば、匿名の処置というのは、我々技術者サイドも非常に考えているところなので、一緒に考えていきたいと思っております。
 以上でよろしいですか。1ページから4ページの範囲ということで。
 続きまして、4ページから9ページは、3が「調査の結果、判明した事実」でございます。それから、4が「市としての対応」、それから5が「関係職員の処分等」ということになっております。
 それがお手元のところに一緒に入っているので、どれがどれか難しいのですけれども、資料1の中に、私も含めて委員の意見が入っていると思うので、そのあたりについてご意見をいただきたいと思います。
 まず、処分なのですけど、これは赤津委員の専門と言ったら失礼ですけれども、少しご意見をいただければ。

赤津委員

 特にこの点について意見はありません。それはもう政令市として通常の職員の懲戒に関しては、客観的な審査基準をお持ちで、かつ懲戒に関して、外部識者も入れた審査委員会というので慎重にチェックしておられますので、市民感情に照らしてどうかというのは、これはまた別の話だろうと思います。そういう客観的な基準、それから過去の事例に照らして、今回の処分が妥当かどうかというのは、私から申し上げることではありませんし、そういう基準と手続に従って適正に処分されているはずですから、それであれば妥当であろうと言うしかないと思います。

中野座長

 ありがとうございます。
 これに関して、何か市のほうから何かコメントとかございますか。

総務局長

 総務局長の中谷でございます。
 今赤津委員のほうからお示しございましたように、私ども堺市におきましても、堺市職員懲戒等審査会、ここには外部の委員が3人入っていただいていると。そうした中で、総務のほうのこれまでの事例、処分基準、基準につきましては規則のほうで定めておるわけでございますけれども、それらに照らし合わせた中で、適正に決定させていただいたもの、判断させていただいたものと考えてございます。
 以上でございます。

中野座長

 ありがとうございます。
 嶋倉委員、何かございますか。4ページから。

嶋倉委員

 もう本当に言い尽くしたので、この辺は特にないです。

中野座長

 じゃあ、よろしいでしょうか。
 そうしたら、報告書のページでいうと、9ページから14ページが「再発防止の取組み」ということで、これは嶋倉委員が言いたいこと山のようにあると思いますけど、よろしくお願いします。

嶋倉委員

 再発防止策ですけれども、これも前回かなり言いたいこと言わせていただいたので重複することになるのですけれども、まず、今回報告書にあがってきた、堺市が緊急避難的にまず最初にやられたこと、それから、一応来年度の計画を立てていること、その後実行に移そうとしている、予算関係もあってすぐには移せないかもしれないけど、やろうと計画されていることというのは、一通りやるべきことはやっておられるのだと思います。
 ただ、その中に、前回も言いましたけれども、ログをまず集めるというところからのスタートだった、それは理解しますけれども、集めたログをちゃんとチェックするということは絶対必要です。ログを集める際に、これも前回お話しさせていただきましたけれども、情報がばらばらに行政の中であちこちにあると、まずそれぞれの所在をちゃんと把握して、そこでアクセスログを全部集めてくるという非常に面倒くさいことになってしまいますので、まず情報はばらばらに置かない、集中して置くと。そして、ちゃんと管理をしていって、アプリケーションもちゃんと管理した中で開発をやっていく中で、情報システム部門が現場の方々の役割分担を決めて、ちゃんと集められて管理された、コントロールされた中に置くと。やっぱり職務分掌ですね、責任に応じたところでちゃんとものづくりをしていくし、管理できるような仕組みをちゃんとつくっていただければと思います。
 あと、誰がアクセスしたのかというログをちゃんと見ないといけませんが、そこはIDをちゃんと管理すること。人事異動で変わった人は、そのアカウントのアクセス権限をなくしていくということ。そういったことをやっぱりきちんとやっていただければと思います。
 それと、事件が起きることを前提に考えてください。サイバーの世界は特にそうなのですけれども、やっぱり侵入されること、事故が起きることを前提に、起こらないように防御していくということも非常に重要なんですけれども、それとは別に、起きたときにどうするのかということもちゃんと考えておかないと、これは両輪があってリスクのコントロールになりますので、そういうことをちゃんと考えた上で、事故は起きるものだという前提できちんとログをチェックするし、起きたときのエスカレーション、SIRT機能をきちんと充実させていくというところは必要だと思います。

中野座長

 ありがとうございました。
 赤津委員、何かございますか。

赤津委員

 これも前回申し上げたことと実質的に重複するかもしれませんが、私の考えでは、システムとかデータ、ITですね、それはいわばお道具にすぎないので、結局それをどう使うかというところだと思います。だから、初回に中野座長もおっしゃったように、基本設計の分ですね、ログを取るであるとかダブルチェックをするという、普通もう今や大企業、これだけの組織になれば、当然やっているセキュリティ水準というのを満たすというのは、最低限のニーズ、やるべきことだろうと思います。その取ったログであるとか、どこでダブルチェックをするかとか、そのダブルチェックをした後どうするかとか、そういうデータを取って、どういうシステムで何のために記録を取るのか、何のためにそういう動きをするのかという、いわば、基本設計の部分は結局アナログで、使う側がどう設計するかというのを考えないといけないと思います。今回、最初ちょっと懸念だったのは、そこら辺がどうしても、いわゆるシステム屋にお任せになってしまって、いろいろお高いシステムとかデータ取りはするんだけれども、それを使うほうがいま一つ使いこなせてないというのはよくある事象だと思うんですが、その「使いこなす」というのをどうされるのかなというのが、最初の報告書ではちょっと見えなかったので、そこのところは十分関係各課で練り上げて、組織図も、図面は平面ですけれども、皆さんの頭の中で、いざ動いたときにはこうだとか、いざ何かあったらこういう動きになるというのが具体的にイメージできるようになっているのかなと、そこまで落とし込んでいただけたらなというふうに思います。
 今回、それで取ったダブルチェックとログを情報化推進課と個人情報保護担当課のほうに集約させて、毎年の棚卸しとともに、ダブルチェックが実際妥当であったのかどうか。どこの部局でどういう個人情報の持ち出し、あるいは、やむを得ずそういうことが必要であるのか、あるいは、無駄に持ち出されていないかどうか、どうやったら持ち出しが減らせるかというような形でPDCAに乗せていただくというのは、今回ご検討いただけるということだったので、私も意見の言いがいがあったなと思いますので、ありがとうございます。

中野座長

 ありがとうございました。
 私からちょっと1点だけ。資料1でいうと3ページの、再発防止策に関する意見の最初の部分のeラーニングで、管理職も含めて職員全体で、セキュリティに対する認識、個人情報に対する認識を勉強したのですけど、これって勉強しておしまいみたいな話が結構多いのですね。
 今日も、実はフェイスブックに非常におもしろいことが書いてあって、いわゆるセキュリティに対するトレーニングをしないといけないのではないかという、そういう記事が実は出ていたというのをちょっとピックアップしたのですけれども、我々の実際にセキュリティをやっているメンバーから見ると、このトレーニングというのはなかなか大変なことで、座学だと話を聞いてちょっとレポートするとか、○×ぐらいで済むのですけれども、トレーニングというのは本当にいれこんでやるという形なのです。私たちの仲間で、いい意見を言っている方は、そうではなくてセンサーを張ると。だから、常に個人情報が漏れたのではないかとか、気持ちを常に持つというのがものすごく大事かなと思っています。私の言葉だとICTリテラシーというか、それのセキュリティ版がこうですよ、プライバシーはこうですよ、コンプライアンス系はこうですよというと、気持ちでもっているという、それが大事かなと。それを彼は、センサーを常に張っておくと書いています。
 さっき赤津委員がおっしゃったように、何かあったときにはまず個人情報流出を疑えというのは、やっぱりセンサーなのです。何か事案、インシデントが起こると、これひょっとしたら個人情報じゃないかとか、個人情報に行くのではないかとか、プライバシーが漏れているのではないかという気持ちがあると、結構わかるのですよ。
 それが、eラーニングを受けてもう終わりましたじゃなくて、何かそういう気持ちがあればいいのかなと思います。非常におもしろい意見かなと思います。報告書とかにうまく入れられればいいかなと、そういう感じで思っております。
 あと、よろしいですか。

嶋倉委員

 eラーニングなんですけれども、今回規定を変更されていらっしゃいますよね。職員の方に変更した規定の内容の周知とか教育は行われているのでしょうか。

情報化推進課長

 規定を変更した後、全庁の通知をしております。それと、集合研修をやったときにもそのことに触れておりますし、その後、各システムの所管課というのがいろいろございますので、そこにも改めて、そのシステムごとの手順の変更というのも依頼しておりますので、重ねた形での通知、周知をしております。

嶋倉委員

 ありがとうございます。こういった規定類って、もちろん文書化しないと誰も持続的に守ることができないし、ちゃんと文書化することは大変大切なのですけれども、職員に周知してないと、結局何も知らせてないと、つくったけど意味が全くなくなるので、こういうことはちゃんとやっていただくといいと思います。
 それで、今後もこういったことは繰り返し、やっぱり規定って見直さないといけない、いろいろ環境は変わっていきますからリスクが変わってくるので、その都度規定を見直すことが多分あると思いますけれども、そのときに、やっぱり変えたら必ず周知、教育をすると。このようにeラーニングなんかもお使いいただければいいかなと考えています。ぜひ、これは継続してやっていただければと思います。

中野座長

 ありがとうございました。
 今、我々がかなりしゃべったのですけれども、市のほうから我々に、こういうことはいかがですかというのがもしあれば、いただきたいと思いますが、いかがですか。

行政部長

 行政部長の中出です。
 今、対策のところでいろいろ意見をいただきましたけれども、その前提が、報告書の9ページで、我々が5つの課題があるというふうに整理をして、それを解決するための対策として考えましたけれども、そもそもこの整理をした5つの課題というのがどうだったかというふうな評価もいただければと思います。

中野座長

 嶋倉委員、いかがですか。

嶋倉委員

 今回の案件、要はサイバーではなく、内部という意味でいうと、この出された5つの課題というのは妥当だと思います。
 ただ、結局同じことになるのですけど、一番最後、個人情報を取り扱う個別システムのうち、住民情報系ネットワークに属さず、十分な情報管理ができてないシステムがあることとか、これは情報系ネットワークのほうに属しているものは、こういったものがもしかして隠れている可能性もあります。これも先ほど言ったとおり、結局どこにどういう情報があって、どういうシステムのアプリがあるのかをきちんと把握して、調査をして、それをどう扱っていくかを決めるのに結構時間がかかると思いますけれども、それが情報システムでどういうふうに扱っていくのか、集約するのか、それとも原課のまま置いといてもいいものなのかどうかというのを、きちんと仕分けをしていく必要があるということで、こういったシステムがあることがもちろん課題なので、それをちゃんと対策として今後やっていっていただければと思っています。

中野座長

 赤津委員、何かございますか。

赤津委員

 ITに疎い、IT素人の私の目から見ると、この5つの課題というのは、いずれもIT技術に偏っているのではないかという感じがいたします。これだけの大きな人数の組織に求められるセキュリティ水準を、そもそも満たしていない部分があったということもこの中に含まれているのだろうと思いますが、国のほうから求められている水準を満たすものにする、それは当然だろうと思います。
 それ以上に、さらに健康体にしていくには、2つあるだろうと思うのです。
 1つは、組織構成員一人ひとりの意識レベルをどう変えていくかという話ですね。個人情報に関するセンシビリティ、それから、組織の規律に対する意識ですね。それは、中野委員がおっしゃったように、一人ひとりの職員にどう鋭いセンサーを育てさせるかという点だと思います。
 もう一つは、こういうITのセキュリティのためのいろんなシステム、データというのを、組織として個人情報の安全性を高めるためにどう使っていくのか。二度とこういう同事象、同じようなリスクを冒さないために、ほかの組織体よりも個人情報に関して、より健康体をつくっていくためにどうするかという、これまたIT技術だけでは解決できない問題があると思います。
 この2つを明文化していただくのはなかなか難しいかもしれませんが、この5つの課題は、あくまでITセキュリティの技術的な問題ということでご認識いただいた上で、こういうふうに書いておられるならいいのかなというふうには思います。

中野座長

 ありがとうございました。
 恐らく、言うのは簡単だけど運用するのは大変です。しかも、これは息長くやらないといけないので、息長くやるというのはものすごく大変なのです。まず最初にやるのはイナーシャというか、エネルギーがあってやるのですけど、息長くやるという技術はまた違う技術があるので、そこはしっかりやってほしいなと思っております。
 それから、この後提言の議論に移るので、ちょっと提言でしゃべろうかなと思ったのですけれども、今赤津委員がおっしゃったので、やっぱり職員全般のICTリテラシーと、それをどう高めるかということかなという感じで思っております。恐らくこれから入ってこられる新入社員の方は、かなりITスキルはあるのは確かなのですけど、ITスキルがある人って、日本ではやっぱり少ないのです。それは確かなのです。そういう人たちを雇用したときに、雇用の条件にITスキルがあるとか、例えばワード、エクセルのMOS資格があるとか、要は資格です。やっぱりその人の素養として、どういうのがあるのかなという感じで思って、これはまた提言でしゃべろうと思っていたのですけれども、大阪市もそうなのですけど、堺市もやっぱり情報という職種での採用はないし、恐らくこれからもないだろうと思います。ということは、新しい職員、もしくは中途採用の職員に関しては、やっぱりITスキルも採用の基準に入れるという気持ちを、堺市に関してはかなり高いレベルでITスキルを持ってないといけないというのがいいのかなというふうに思います。これも、単にワード、エクセルができるというそういうレベルではなくて、赤津委員がおっしゃって、私もいわゆるセンサーが張れるかという、気持ちをそう持っていけるかというのは結構大事なことなのです。だから、常に新しい情報に触れるということがとても大事です。そこがポイントかなと、そんな感じで思っています。

中野座長

 よろしいでしょうか。
 資料1の最後のほうに、もう既に我々3人の委員が出した提言が入っているのですけれども、それも含めて、自由に少し提言をしていただきたいと思っております。
 いつも最初、嶋倉委員ですみません。

嶋倉委員

 今、中野座長からスキルの話がありまして、提言の1番目に書いてある内容にかかわってくると思うのですけど、要は、スキルがあるから勝手にやっちゃうケースがあるので、それはやっぱりなくしてほしいのですね。同じことの繰り返しになるのですけどね。
 私もソフトウェアの開発をやっていた経験がありますけど、メーカーだとソフトウェアって商品なのです。つまり、工業製品です。なので、ちゃんと要件定義をやって、基本設計をしてドキュメントをつくって、ずっと維持していく必要があるので、やっぱり単にプログラミングが書けるとかいうITスキルじゃなくて、そういったものづくりの過程というのですかね、ソフトウェアの、そういったものもちゃんとわかるようなものが、本当の意味のITスキル、必要なスキルだと思うのです。
 ここは提言に書いています、要件定義をやって、基本設計をやって、ちゃんとドキュメントつくって、ソフトウェアがどういう構成になっていて、どんな機能があって、どういうプログラミングをやっているのかだとか。そして、そこに対してIPA(Information-technology Promotion Agency, Japan:独立行政法人情報処理推進機構)が言っている、いわゆる非機能要件という言い方をするのですけど、セキュリティと性能要件というのは。そういったものをちゃんと埋め込んでいるかどうかとか、そういったことをちゃんとドキュメントとして残して、維持していけるような体制を、現場の方に対しても一緒にやってもらうのだったら、そういうのを現場を含めてやっていかなきゃならない。
 なかなかそういうのは難しいので、私は情報システム部門に全部集めろという立場なのですけど、実際堺市がどうするかは、それは現場でもできるならそれにこしたことはないので、やり方はありますけど、ただ、そういったものはちゃんと工程をやって、ちゃんとデバッグして、試験するときには本物のデータを使わないとか、今回の元職員の方はその意識はちょっとあったみたいですけども。本物のデータを使わなきゃ68万人分のデータはなかなかそろえられないので、じゃあそこで本物のデータを使う場合には、市の中でやる。外には一切持ち出さない、そういったテスト環境でやるとか、そういったことが本来考えなきゃいけないことだと思うのです。それを含めてのものがITスキルだと感じておりますので、単に資格を持っているとか、先ほど話もありましたが、そういう話ではなくて、つくるということはどういうことなのかということを、ちゃんと考えていただければと思います。

中野座長

 赤津委員、あれば。かなりかぶっても結構でございます。提言という形になります。

赤津委員

 ずっとこの間、この件のことを考えてきまして、事故というか被害という面でいうと、この事件は個人情報漏えいということで言われておりますので、個人情報漏えいが実際あったわけですし、ただ、個人情報がなぜ漏えいしたかというところを見ると、それはまだまだ堺市が個人情報の管理に関して、技術的にもいろんな面で甘かった時分に持ち出されたものも結構ありますので、個人情報の漏えいに対しては、これから技術的に対応していったり、組織的に対応していったりして、安全なものにしていくしかないのかなと思います。
 もう一つ、通報があった後の対応に関しては、これはよくよく見れば、それ自体が個人情報のというよりは、私から見ますと、公益通報的なものに対する対応という側面が、実は大きいのかなというふうに思います。最初に通報があってから、何となく後手後手に回ってしまったような感、これは個人情報の問題というよりは、公益通報対応の問題として考えたほうが、頭がすっきりするのかなというふうに思っておりまして、それからすると、私は、ある政令市で公正職務審査委員会委員を4年ぐらいやっておりますが、それから見ますと、例えばそこの公正職務の通報であれば、こういうようなよくわからないような通報というのも山のように来まして、その中で化けたりとか、いろいろするものがあって、今回の堺市に来たような通報も、あるいはそのような公正職務の通報制度があれば拾えたかもしれないかなと、これは全く仮定の問題なので申しわけないんですが、そういう印象を持っております。
 堺市のほうでも、公益通報的なものとして職員の通報制度、公益通報者保護法に基づく通報制度を持っておられますけれども、窓口が多過ぎたり、影が薄かったりで、なかなかどこも機能してない、大企業でもなかなか機能しないらしいですが、そういうところがあるだろうと思います。これは提言に入れるかどうかお任せしますが、堺市の体制として見た場合に、今回を機に、公益通報に対する対応システムというのを見直す機会にされてもいいのではないかというふうに思いました。

中野座長

 ありがとうございます。提言でございますので、それは入れましょう。

赤津委員

 そうですか、ありがとうございます。

中野座長

 堺市がどうされるのかは、市長をはじめ考えられて、それは構わないと思います。
 私のほうは、先ほどの話の繰り返しになるのですが、もう一度しゃべると、堺市としてはやっぱりITスキルの高い人が、これからもそれほど増えないだろうと思います。それから、年配の方で余り使えない方がたくさんいらっしゃる中で、どういうふうにされるか。
 1つは、嶋倉委員がおっしゃったように、ある程度業務アプリは民間でやってもらったり、そういうことをやらざるを得ないときに、責任分界点の切り分けとか、それから前回おっしゃったのかな、例えば印刷はやっぱり外部業者になるので、それはUSBを持ち出さざるを得ないという話をされましたが、やっぱりそこをしっかりと管理されるような、例えば暗号化するだとか、そこをしっかり文書化されるのがいいのかなというふうに思います。
 先ほどの繰り返しになりますけど、職種として情報を採用している自治体は余りないのです。私が知っている範囲では、確か神戸市が職種で情報を採用していると聞いているのですけれども、やっぱりこれからはそういうのは続くので、だから堺市として、ITスキルがある程度ある方をこれからも職員として採用するというような形をしっかりやられたらいいのかなとかなり思っています。その上で、一番最初、冒頭、1回目から私がくどいほど言っている業務アプリです。嶋倉委員がおっしゃった業務アプリを市の中でどういうふうに管理するか、業務アプリには当然データがくっついているわけで、そのデータをさらにどう管理するかというところをガイドラインでしっかりつくられたらいいのかなと、そういう感じで思っております。
 全般的に言い残したことはございますか。これから取りまとめに入ろうかなと思っているので。
 よろしいですか。
 それでは、議事の1が終わりまして、議事の2になるかと思いますが、審議結果の取りまとめということで、お手元に資料2ということで、座長案ではございますが、第1章、検証の概要ですね、主に1回目に配付された調査報告書がもとになって、これができるのかなと思っております。第2章が検証の結果ということで、今日の資料でいうと、資料1のところがここですね。順番に言うと、大きなくくりでいうと、調査結果の妥当性、それから再発防止の妥当性という大きなくくりの中で、調査結果の妥当性については初動ですね、それから発覚以降の調査、それから市としての対応という、それを文書としては資料1の文書があります。それから、今日の中でも各委員から補足がありましたので、それをこの報告書の中に埋めていくということ、そういう形で報告書ができるのかなと思っております。
 それから、提言に関しては、基本的には資料1の最後にもございますし、先ほど3人の委員から意見がございましたので、それを控えてもらったらいいと思うので、それを提言の形で入れるという、そういうつくりをしていきたいというふうに思っております。
 こういう案でよろしいでしょうか、座長から案として出しましたので。嶋倉委員、よろしいですか。構成はこういう形でやりたいと思います。
 ちょっと見ていただいて、資料1にたくさん、ほぼ箇条書きであるので、これは報告書の中ではちゃんとした文章に組みかえると思いますけれども、もしその中で何か文言的に少し何かというのがあれば、言っていただければいいかなと思います。
 嶋倉委員、何かございますか。かなり箇条書きふうにあるので。

嶋倉委員

 そうですね。

中野座長

 あっちに行ったり、こっちに行ったりですけど。

嶋倉委員

 なおかつ、よく似た内容が分かれたりすることもあるので。でも、これはうまく文章にしていただければいいかなというふうに思っております。
 特にここについては余り。ちょっと文章ができ上がってみないことには何とも言えないところがあるので、でき上がったところで我々が査読させていただく形ですよね。

中野座長

 はい。

嶋倉委員

 そのときに、こういうふうに表現されたらというのがあるかとは思います。

中野座長

 はい。赤津委員、何かございますか。

赤津委員

 ほぼ、前回申し上げたことも、今回重複して申し上げたことも拾っていただいているので、特にございません。

中野座長

 ありがとうございました。
 この委員会、1回、2回と、私も含めて委員がいろいろなことを言っているので、箇条書き的にはしっかり出てきたのかなと思っています。
 ただ、報告書ですので、やはり読まれた方が一貫して理解されるという形は必要なので、それは一応の案ですけれども、事務方で少し文章をつくっていただいて、それを私もチェックし、各委員もチェックして。この報告書、実は恐らく日本中の人も見ているみたいなので、少ししっかりとした、3人の委員がちゃんと仕事したでというふうな形にしたいと思います。それでよろしいでしょうか。文書が出てこないと、我々も、今嶋倉委員がおっしゃったように、言えないところがありますし、重複しているところもあるので、やっぱりポイントはポイントとしてしっかり書きたいなという気持ちではいています。赤津委員がおっしゃったように、とにかく個人情報を疑えとかいう、そういうところがしっかり出てくるだとか、それから嶋倉委員がおっしゃった、いわゆる業務アプリの切り分けみたいなものだとか、そういうものはしっかりと、読む人たちがわかるような文章にしたいと、そんな感じで思っております。
 それでは、一応流れとしては、お手元に資料2があって、章、節の構成はこの形で、この中に、第1章に関しては事業の調査報告書で、最初にいただいたものを織り込んで、それから第2章に関しては、我々の意見が資料1の形に入っておりますので、それをうまく、いわゆる文章としてわかるように、私とか嶋倉委員がわかる文章ではなくて、普通の方が読まれてわかる文章って結構難しいので、そこは少しやってみたいなと、そんな感じでは思っています。
 報告書の後ろに何か説明をつけますか。どうされますか。難しい言葉の説明ってよくありますよね。例えば「JPCERT/CC」と言われても、我々2人はわかりますけど。

事務局

 用語の説明ということで、それは元の市の個人情報流出事案調査報告書のほうでも用語の説明をしておりますけれども、同じような形で、そういったものをちょっとつけた方がよろしいかと思います。

中野座長

 そうですね。構成はちょっと考えたいと思っています。ですので、一応この報告書の中にそういう形で入れて、提言に関しては今日もかなり追加されたこともあるので、それはまた文章に起こしていただいて、先ほど言ったように提言がわかりやすくなるように、実際に市として何をするのか、何を考えないといけないのかという形で、提言を少しまとめたほうがいいのかなと。
 ある意味マスト(MUST)的なこともあるし、やはりこれから考えないといけないということもありますし、それからもう一つは、私も大阪市のアドバイザーをやっていますし、実は大阪府下は、小さい町も今まで委員をしていた経緯があるので、やはり堺市なりに何か考えるべきこと、それは非常に今回の報告書のポイントになるかなと、そういうふうに思っているのです。ですから、堺市の人口90万人ぐらいのまちが、ITに関してどういうことをやらないといけないかと、それからもう一つは、やっぱり市民と一緒に考えないといけないのかという2つの切り口で提言をしたいなと思っております。
 今回、個人情報流出という非常に大きな案件なので、そこから入って、赤津委員がおっしゃったように、いわゆる初動の、我々の言葉でレスポンスチームというか、体制を提案されているのですが、それ以外にもやっぱり初動のレスポンスチームをつくりなさいというのが我々IT方の言い方になるので、それが恐らく赤津委員の意見だと思うので、そういうところもうまく入れられたらいいのかなと、そういうふうな形を提言の中に織り込みたいというふうには思っております。
 では、こういう形でやらせてもらいますので、委員、よろしいですか。
 あと、文章については、私と事務局で少し文章を見て、当然ながら各委員にも見ていただいて、それが公表されますので、それでいいよといった形で私のほうから報告書として仕上げたいとそういうふうに思っております。
 それでは、本日の会議と委員会の会議は全て終了することになります。
 では、事務局、もし何か連絡があれば、よろしくお願いします。

事務局

 それでは、3回の会議の予定で一応終了ということになりますので、ここで総務局長の中谷局長のほうからご挨拶を申し上げます。

総務局長

 総務局長の中谷でございます。
 堺市個人情報流出事案検証委員会の閉会に当たりまして、ご挨拶を申し上げます。
 委員の皆様方におかれましては、公私とも大変お忙しい中、本日を含め3回の検証委員会にご出席を賜りまして、まことにありがとうございました。
 また、本市が行いました調査結果や今後の再発防止策の妥当性に関しまして、専門的な見地から、貴重で有用なご意見をいただきましたことを、重ねてお礼を申し上げます。皆様方からのご意見やご提言を今後の施策に反映させ、全職員が一丸となって再発防止に取り組み、市政の信頼回復に努めてまいりたいと考えてございます。
 検証委員会の会議は本日が最後となりますが、委員の皆様方には、引き続き報告書の作成におきましてもご協力を賜りますとともに、今後とも本市の個人情報保護、並びに情報セキュリティに関しましてご指導をいただければ幸いに存じますので、何とぞよろしくお願い申し上げます。
 このたびは本当に貴重な時間を頂戴し、また、有用なご意見をいただきましたこと、重ねてお礼を申し上げ、まことに簡単ではございますが、閉会のご挨拶とさせていただきます。どうもありがとうございました。

中野座長

 それでは、この委員会を閉会したいと思います。
 どうもありがとうございます。

閉会

PDF形式のファイルを開くには、Adobe Acrobat Reader DC(旧Adobe Reader)が必要です。
お持ちでない方は、Adobe社から無償でダウンロードできます。
Get Adobe Acrobat Reader DCAdobe Acrobat Reader DCのダウンロードへ

このページの作成担当

総務局 行政部 行政経営課

電話番号:072-228-8632

ファクス:072-228-1303

〒590-0078 堺市堺区南瓦町3番1号 堺市役所本館5階

このページの作成担当にメールを送る
本文ここまで