職員の手作りで情報セキュリティ体制を整備・運用[1]岡山県津山市

職務以外の情報の不正閲覧が発覚

　津山市では、税務や福祉などの基幹業務に係る情報システムの利用は、約900人の職員のうち、これらの業務を取り扱う部署の職員256人に対してのみ認めている。また、これらの職員がアクセスできる情報は、業務上必要最小限のものとし、約30種類に細かく設定した入力や閲覧などの権限を、それぞれの職務内容に応じて与えている

　加えて、情報セキュリティ強化のため、2003年に策定した「津山市情報マネジメント要綱」の規定によって内部監査を年1回以上行い、2007年4月からは、基幹情報システムの不正使用がないことをより客観的に確認するため、誰がどんな情報にアクセスしたかがわかるようにアクセスログの取得を始めていた。

　2007年度も内部監査（2008年2月実施）に向けて、半年前から事前の調査を始め、4月から取得を始めたアクセスログの解析を行っていた。

　その結果、基幹情報システムを利用できる職員のうち15人が、与えられた権限を不正に利用して、業務に関係のない情報を閲覧していることが発覚したのだ。閲覧内容は、主に市長や同僚職員の所得や税などの個人情報に関するものであった。

　不正閲覧された情報の外部への流出事実がないため、個人情報保護条例に抵触することはないが、地方公務員法の職務規律違反と市が策定した情報セキュリティポリシー違反に相当することから、職員や情報セキュリティの監督責任者ら、合わせて25人の処分を決定した。

　さらに、記者会見を開きこれらの処分を公表した。この会見は、市民に対して職員による不正閲覧を謝罪するとともに、市が情報セキュリティ対策について真剣に取り組み、監査が機能していることを内外に公表する目的もあった。

少しずつ育ち続けてきた情報セキュリティへの取り組み

　上記の出来事は、情報セキュリティ対策が確実に運用されたことによる「成果」と解釈することもできるが、これまで津山市ではどのような取り組みがなされていたのだろうか。

　津山市の情報セキュリティ対策がいつどのようなきっかけで動き始めたのか、情報システムを統括する情報管理課の職員にも、実ははっきりしたことは分からないという。業務にパソコンが導入され、年々情報化が進んでいく過程で、個人情報の取り扱い等についての論議が何度も交わされ、現在の仕組みが作り上げられていったという。また、2002年、2005年に受けた住基ネットの外部監査を参考に、全体の内部監査を実施しているという。

　情報セキュリティポリシーを含めた、情報の管理運営に関する規程は、2003年に「津山市情報セキュリティ基本方針」を最上位として策定され、情報セキュリティポリシーはそれに基づいて策定・運用されているが、その内容も職員が自ら勉強し作り上げていったものである。

　セキュリティポリシーを自前で策定した理由は、自前で作ったものであれば見直しや改定に対しても柔軟性に対応できるという考え方からだ。

　「課内で、情報セキュリティポリシーを手作りで作ろうと取り組みました。それには、まず担当者自身が情報セキュリティについての知識を身につけていないと文章が書けないので、実際には相当な時間と労力がかかりました」と情報管理課情報企画係の岡美由紀氏は語る。情報セキュリティポリシーの汎用の雛形はあるものの、より実効性の高いものにするために、津山市の実情にあったセキュリティポリシーを一から策定したというわけだ。現在でも、実態に合うように随時見直しをしている。