多摩市様｜情報セキュリティ監査

多摩市様は、セキュリティ整備の重要性の高まりを受け、平成15年度に情報セキュリティポリシーとなる条例を制定し、GSXの情報セキュリティ監査を採用されました。

Case Study

多摩市様

多摩市は、東西に長い東京多摩地域のほぼ真ん中に位置しており、人口が14万7千人、職員数が900人ほどの自治体です。多摩ニュータウンのほぼ中央にあります。多摩ニュータウン初期の団地の老朽化の問題や、急速に進む高齢化の問題などを抱えていますが、昨年老朽化した団地の大規模な建て替えもあり、ニュータウンの再生にも取り組んでいるところです。

市では平成15年度に情報セキュリティポリシーとなる条例を制定し、情報システム統括責任者と情報システム管理運営委員会という組織を設置しました。さらにその委員会の中にシステム監査部会を置き、情報セキュリティ対策のPDCAサイクルのCheck機能を担っています。また、情報システム課は、全庁で使用する基幹システムを運用しながら、委員会での決定事項を施策として実行する機能をもっています。

― 検討のきっかけや背景をお聞かせください

情報セキュリティポリシー制定時から、監査の重要性は認識していましたが、当時は情報セキュリティ分野での外部監査人による監査はまだ取り組める状況になく、内部監査人による形でスタートしました。

しかし、普段の業務の片手間になってしまう監査人の育成の限界や、内部の目だけで見て対策の妥当性がわかるのかなど、課題も見えてきました。そこで、システム監査部会で検討し、重要度の高いシステムから外部監査人による助言型監査に取り組むこととしました。

情報システムの管理には、専門性が必要と認識しています。管理運営にも必要ですし、監査にも同様と考えます。しかし、自治体職員の中だけで育成するのはなかなか難しく、これまでも外部からの部長級の専門職の登用なども行っていますが、やはり外部の専門性との組み合わせが必要と認識しています。

― 内部にどのような課題がございましたか？

GSXさんにお願いしたときは、最初は別のシステムの監査を予定していましたが、他の自治体における個人情報漏えいの事件などをきっかけに、住民基本台帳や市税など多くの市民の情報を管理する「住民情報オンラインシステム」を対象とすることに急遽変更しました。

共通番号制度への対応も迫っており、現状との乖離をどういう道筋で改善していくのかが問われています。

このような業務を遂行する上で「情報セキュリティ」をどのように担保しつつ実現していくのか・・・喫緊の課題となっています。

課題を解決するために

― どのような解決策を検討されましたか？

監査の手続きとしては、計画や実施要領の策定、対象部署の管理者への事前ヒアリングと資料収集、実地監査、検出された事実の確認、報告書の作成と講評など、事務局と何回かの打ち合わせを交えながら行っていただきました。結果として重大な指摘はありませんでしたが、軽微な指摘事項は何点かあり、それに対する改善案なども提案いただきました。悪い点の指摘だけでなく、良い点も挙げていただきました。

監査の観点としては、市で定めた規程等に沿って運用できているかどうかが中心となりますが、総務省のセキュリティ監査のガイドラインなどにも準拠して、より一般的な観点からも見ていただきました。監査の結果報告をいただき、ダイジェスト版を公式ホームページで公開しました。

さらに、システム管理者である管理職を対象として、グループごとに情報セキュリティインシデントへの対応研修も行っていただきました。情報セキュリティ対策には、管理職のリーダーシップが非常に重要だと思います。システム管理者同士で議論をしながら、有意義な体験ができました。

当社採用について

― 当社サービスのポイントはどのようなところですか？

経済産業省の『情報セキュリティ監査企業台帳』を参考にしました。

官公庁を対象に助言型の情報セキュリティ監査業務を行った実績や、コンサルティング業務の取扱いなども見ながら絞り込み、入札で決定しました。豊富な実績があることは、監査を行っていただく中で、実感できました。また、定型的な監査業務の枠に収まらない新たな提案などもいただけたので、今後の情報セキュリティ対策の参考にしたいと思っています。

― 外部監査を実施してみていかがでしたか？

経済産業省の『情報セキュリティ監査企業台帳』を参考にしました。

監査で指摘を受けた事項については、その後ほぼ改善が完了し、残ったものも改善の途中であることが確認できています。外部の目でみなければ気づかなかったことを指摘、改善でき、情報セキュリティ対策状況が良くなっていくのが実感できました。

監査対象システム指摘事項には、他の監査人から指摘のあった事項と類似のものもあり、共通した要改善ポイントのようなものも見えてきています。今後は課長級のシステム管理者向けに、共通したポイントを押さえた研修などができれば、監査の結果が共有できるのではと考えているところです。

情報セキュリティの重要性は市長はじめ経営層から職員まで意識・認識することによって組織として機能するものと理解しています。システム監査部会においても部長クラスが議論を重ね、情報セキュリティポリシー等を決定する場となっているので、組織的に一丸となった取り組みができていると感じています。

GSXに望むこと

― 今後の展開についてお聞かせください

GSXさんに委託したときには、事務局との打ち合わせを十分にしていただきました。その中で、直接の監査対象以外のことについてのアドバイスなどをいただけました。

そのような、コンサルティング的要素の強いセキュリティ監査やシステム監査のサービスを、今後も意識的に拡充していただきたいと思っています。

導入会社プロフィール

自治体名

多摩市（2014年6月現在）

市長

阿部　裕行

市役所所在地

東京都多摩市関戸六丁目12番地1

面積

21.08k㎡

総人口

147,694人

導入サービス概要

■ 情報セキュリティ監査

情報セキュリティ監査（内部監査）
・監査に関する規程の作成支援、計画書、チェックリストの様式等のひな形を提供し、その活用方法をご説明いたします。
・監査員養成研修については、本来業務への影響を最小限するために、極力短期間の研修で監査の実際が身に付けられるように、「一歩踏み出せる」監査員を目指します。

情報セキュリティ監査（外部監査）
・外部監査を行う場合に、内部監査とは違い専門性の高い監査を要請することがメリットとなります。そのために、どのような業務を対象に実施させるのがよいのか、そのための考え方をご提示いたします。

多摩市様導入事例紹介リーフレット　(PDF 1MB)