更新日:2021/5/13
■教育情報セキュリティの確保
○H29.10-教育情報セキュリティポリシーに関するガイドライン」公表について
リンク先に2つファイルあり。まずは薄いハンドブックから読むべし。ただ、ある程度知っている人間にとっては当然すぎて読む価値なし。本文は大量ページだが、前文にあるとおり内容は「教育委員会や各校がポリシーを作る際の懇切丁寧な雛形&解説」というものだ。内容的にも難しいことはない。ただ、学校と調整して作ろうと思えば大変そう。本庁で一旦作ってしまい、あとは運用しながら改良が正解な気がする。
・教育情報セキュリティポリシーに関するガイドライン(163P)
・教育情報セキュリティポリシーに関するガイドライン」ハンドブック(28P)
○【サイト死んでる】教育情報セキュリティ対策推進チーム
【H29.3】学校における情報セキュリティ及びICT環境整備等に関する研修教材
リンク先に以下3つのファイルあるが、どれもめちゃくちゃしっかり作成してある。これだけで教育ICTをざっくりと理解・把握できるものである。担当者必読である。
・小中高等学校等教職員・教育委員会指導主事向け教材(48P)
・教育委員会システム担当者・構築保守事業者向け教材(第1章)(39P)
・教育委員会システム担当者・構築保守事業者向け教材(第2章) (40P)
【H28.7.28】「教育情報セキュリティのための緊急提言」等について
以下の通知のあと「教育情報セキュリティのための緊急提言」として出したもの。具体的な注意点を列挙しているが、まあわかっている人間にとっては読む価値ない。
【H28.7.4】教育の情報化に伴う情報セキュリティの確保について
佐賀県の学校教育ネットワークに対する不正アクセスが発生したので、各自治体に対して情報セキュリティちゃんとやれよ、というだけの通知。読まなくていい。
■内部統制
〇内部統制とは
内部統制制度は、地方自治法等の一部を改正する法律(リンク先の「平成29年6月9日 地方自治法等の一部を改正する法律」参照)により、令和2年4月1日から地方公共団体(都道府県及び政令指定都市は必須、その他の市町村は任意)で導入された。
基本的に、(1)業務の効率的かつ効果的な遂行、(2)財務報告等の信頼性の確保、(3)業務に関わる法令等の遵守、(4)資産の保全の4つの目的が達成されないリスクを一定の水準以下に抑えることを確保するために、業務に組み込まれ、組織内の全ての者によって遂行されるプロセスをいい、(1)統制環境、(2)リスクの評価と対応、(3)統制活動、(4)情報と伝達、(5)モニタリング及び(6)ICT(情報通信技術)への対応の6つの基本的要素から構成される。
地方公共団体における内部統制とは、住民の福祉の増進を図ることを基本とする組織目的が達成されるよう、行政サービスの提供等の事務を執行する主体である長自らが、組織目的の達成を阻害する事務上の要因をリスクとして識別及び評価し、対応策を講じることで、事務の適正な執行を確保すること。
〇総務省
・地方公共団体における内部統制制度の導入・実施ガイドライン
・「地方公共団体における内部統制制度導入・実施ガイドライン」に関するQ&A
・
〇地自法150条
第150条 都道府県知事及び…指定都市の市長は、その担任する事務のうち次に掲げるものの管理及び執行が法令に適合し、かつ、適正に行われることを確保するための方針を定め、及びこれに基づき必要な体制を整備しなければならない。
一 財務に関する事務その他総務省令で定める事務
二 前号に掲げるもののほか、その管理及び執行が法令に適合し、かつ、適正に行われることを特に確保する必要がある事務として当該都道府県知事又は指定都市の市長が認めるもの
② 市町村長(指定都市の市長を除く。第二号及び第四項において同じ。)は、その担任する事務のうち次に掲げるものの管理及び執行が法令に適合し、かつ、適正に行われることを確保するための方針を定め、及びこれに基づき必要な体制を整備するよう努めなければならない。
一 前項第一号に掲げる事務
二 前号に掲げるもののほか、その管理及び執行が法令に適合し、かつ、適正に行われることを特に確保する必要がある事務として当該市町村長が認めるもの
③ 都道府県知事又は市町村長は、第一項若しくは前項の方針を定め、又はこれを変更したときは、遅滞なく、これを公表しなければならない。
④ 都道府県知事、指定都市の市長及び第二項の方針を定めた市町村長は、毎会計年度少なくとも一回以上、総務省令で定めるところにより、第一項又は第二項の方針及びこれに基づき整備した体制について評価した報告書を作成しなければならない。
⑤ 都道府県知事等は、前項の報告書を監査委員の審査に付さなければならない。
⑥ 都道府県知事等は、前項の規定により監査委員の審査に付した報告書を監査委員の意見を付けて議会に提出しなければならない。
⑦ 前項の規定による意見の決定は、監査委員の合議によるものとする。
⑧ 都道府県知事等は、第六項の規定により議会に提出した報告書を公表しなければならない。
⑨ 前各項に定めるもののほか、第一項又は第二項の方針及びこれに基づき整備する体制に関し必要な事項は、総務省令で定める。
〇ICT関係抜粋(ガイドラインより)
・11p
⑥ICT (情報通信 技術) への対応
ICTへの対応とは、組織目的を達成するために予め適切な方針及び手続を定め、それを踏まえて、業務の実施において組織の内外のICTに対し適切に対応することをいう。
ICTへの対応は、内部統制の他の基本的要素と密接に関連するもので、必ずしも独立した要素というわけではないが、組織の業務内容がICTに大きく依存している場合や組織の情報通信システムがICTを高度に取り入れている場合等には、内部統制の目的を達成するために不可欠の要素として、内部統制の有効性に係る判断の規準となる。
ICTへの対応は、ICT環境への対応とICTの利用及び統制からなる。
■ICT環境への対応
ICT環境とは、組織が活動する上で必然的に関わる内外のICTの利用状況のことであり、社会におけるICTの浸透度、組織が行う事務処理等におけるICTの利用状況、及び組織が選択的に依拠している一連の情報通信システムの状況等をいう。組織は、組織を取り巻くICT環境を適切に理解し、それを踏まえて、ICTの利用及び統制について適切な対応を行う必要がある。
■ICTの利用及び統制
ICTの利用及び統制とは、組織内において、内部統制の他の基本的要素の有効性を確保するためにICTを有効かつ効率的に利用すること、並びに組織内において業務に体系的に組み込まれて様々な形で利用されているICTに対して、組織目的を達成するために、あらかじめ適切な方針及び手続きを定め、内部統制の他の基本的要素をより有効に機能させることをいう。
ICTには、情報処理の有効性、効率性等を高める効果があり、これを内部統制に利用することにより、より有効かつ効率的な内部統制の構築を可能とすることができる。
ICTの統制とは、ICTを取り入れた情報通信システムに関する統制であり、自動化された統制を中心とするが、しばしば、手作業による統制が含まれる。ICTの統制を有効なものとするために長が設定する目標を、ICTの統制目標(例:CIAなど)と呼ぶ。長は、自ら設定したICTの統制目標を達成するため、ICTの統制を構築する。ICTに対する統制活動は、全般統制と業務処理統制の二つからなり、正当、完全かつ正確な情報の処理を確保するためには、両者が一体となって機能することが重要となる。
ICTに係る全般統制とは、業務処理統制が有効に機能する環境を保証するための統制活動を意味しており、通常、複数の業務処理統制に関係する方針と手続をいう。ICTに係る全般統制は、通常、業務を管理するシステムを支援するICT基盤(ハードウェア、ソフトウェア、ネットワーク等)を単位として構築することになる。
ICTに係る業務処理統制とは、業務を管理するシステムにおいて、承認された業務が全て正確に処理、記録されることを確保するために業務プロセスに組み込まれたICTに係る内部統制である。
地方公共団体においては、特に、所得や住所、家族構成等をはじめとする個人情報を広範に有していることから、情報の漏えいや職員による不適切利用が生じた場合のリスクが大きいこと等を踏まえたアクセス権限の設定など、ICTに係る全般統制を検討する必要がある。
■学校関係
佐賀県の学校教育ネットワークに対する不正アクセスが発生したので、各自治体に対して情報セキュリティちゃんとやれよ、というだけの通知。読まなくていい。
■データ消去
神奈川県で、リース会社の下請企業の社員が回収したHDDを横流しし、結果大量の個人情報が流出した。そのせいで全国的にデータ消去について厳しくなった。その辺の知識をまとめる。
■消去方法の種類
・
■消去ソフトウェア(ドライブ別の処理)
〇HDDのみ
・
・
〇SSDにも対応
・