(
情報政策課長)最初に、2万5,000人余りの
個人情報の
流出が判明して、その後
継続調査の結果、
追加でさらに2万人余り、判明したということでございます。私どもが聞いておりますのは、いわゆる
セキュリティー専門事業者が
サーバーの解析を行っております。その解析する中で、
流出した
可能性が高いという
個人情報を見つけているわけなのですけれども、この
個人情報の
ファイルにつきましては、
サーバーの中からは消去されていたというふうに聞いております。消去された
ファイルを復元するという作業を
セキュリティー専門事業者が実施したということでございます。その復元をする作業にやはり
一定程度時間がかかると、判明した分から
教育委員会に
報告されて、その
報告があった段階で公表していったという流れであって、どうしても消された
ファイルの復元に
専門事業者も時間がかかっていたというのが2回にわたって公表、
報告させていただいた大きな理由であろうというふうに考えております。
【
中里委員】そうすると消去されていたというのは、最初にわからなかった。一度
報告を
専門事業者から
前橋市
教育委員会等にした後に消去されていたのがわかって、その点について
継続調査し、復元を行った結果だったということですか。
(
情報政策課長)余り不確かなことを言うのは申しわけないのですけれども、恐らく、消去された
ファイルがあるというのはある程度把握されていたのかというふうに思っております。ただどうしても消されてパソコン上の
ごみ箱に捨てられて、その
ごみ箱も空にされている状態からその
ファイルを復元しようということでございますので、それに時間がかかったということだと思います。それは順次調べていく中で復元ができて、確認ができたものから
報告させていただいているというふうに理解しています。
【
中里委員】そうすると
ごみ箱にはもうないと、消去された形跡も何もないと、それのみを復元して
追加報告をしたから、もう出ることはありませんという理解でいいのですね。
(
情報政策課長)最終的というか、私どもが聞いておりますのは、
サーバーの
セキュリティー事業者による解析調査は全て終了したというふうに聞いてございます。終了する中で、新たな
個人情報は確認ができなかった、したがってもう
流出はないだろうと、そういうことだと思います。
【
中里委員】一度市教委も全面的に人を削ってまでも対応されている中にあって
追加が出てきたわけですから、これ以上また
追加があるようだとかなり危機感も増してくると思うので、一応確認させていただきました。
それと、もう一つは、最終的に
第三者委員会を立ち上げて
根本原因の特定と対策について、そして
再発防止策を立案、実施するという形になっていくわけですが、この辺の時期的な目安はどのぐらいで考えていますか。
(
情報政策課長)私どもが
教育委員会から聞いておりますのは、
第三者委員会につきましては6月いっぱいをめどに
報告書の取りまとめをお願いしているというふうに伺っております。したがって、そこが一つのタイミング、ポイントになるのかというふうに考えておるところでございます。
【
中里委員】そうすると6月に出てくる
報告書、その中には
再発防止策についても明確にうたわれて出てくるという理解でいいのですか。
(
情報政策課長)基本的には原因の究明と対策について
第三者委員会からご提案をいただくというふうに聞いておりますので、
再発防止策についてもある程度、どのくらいのレベルでとかというのはあるかもしれませんけれども、一定の提案、
報告があるものというふうに理解してございます。
【宮田
委員】関連してお伺いしたいと思っておるのですけれども、基本的な問題なのですが、本
ネットワークは
教育委員会所管ということは十分承知しているわけでございますが、同じ行政内部の中で、これらの
システムにかかわる
情報政策課のかかわりといった部分はどういう位置づけだったのでしょうか。あくまでもこれは
教育委員会のネットだから、
情報政策課としては関知していませんと、こういう世界の中で契約が結ばれて委託されたという中身でございますか。
(
情報政策課長)こういった
システムあるいは
ネットワークに関しましては、
情報政策課のほうで基本的にとるべき
セキュリティー上の対策ですとか、
個人情報保護を行うための例えば委託
事業者との間で結ぶべき契約の内容というものは、
教育委員会だけではなくて全庁的に
システムを構築したり、
ネットワークを構築する場合にはそういったことをしっかり考えて対応というか、構築するようにという指針のようなものは示させていただいております。その上で、
教育委員会なり各所管課が、ご自分の事務は一番担当の部署がよくご存じですから、そのご自分の事務を実施していくために必要な内容を盛り込んで
システム構築していくということでございます。そういった形で、各部署において
システムはつくっていただいているということでございます。
【宮田
委員】そうしますと
情報政策課が一定の指針を示しながら
一定程度のかかわりというのは持っておられると、それは
個人情報保護をつかさどるセクションとしての立場からのかかわりというような意味合いかと思ったわけでございますが、
教育委員会からはお話も伺っておるのですが、今もお話ございましたけれども、
脆弱性だとか、本来は接続できないようにしなければいけないものが開かれていたとか、そんなような中身になっているのです。そもそも論ですが、契約事務は
教育委員会で行ったと思うのですけれども、ハードの
システムの関係で契約書上の扱いと現実に
脆弱性云々あるいは開かれていた云々と、こういった部分についての扱いというのはどういうふうな状況になっておられますか。
システムの欠陥はわかりました。契約上はどういうふうな中身になっていたかというのは承知をされておられますか。
(
情報政策課長)今回の案件に関する契約書について、私のほうで詳細に見させていただいているわけではございませんけれども、基本的に私どもでお示しさせていただいている
個人情報を守るためのいわゆる特記事項については、結ばれていたというふうに承知しているところでございます。
【宮田
委員】となりますと、
情報政策課とすれば契約書の中身を細かくまだ今現在も承知しておらないということですね。そうなりますと、今
報告は受けているのですが、ハードの部分は契約書の中身が正しく履行されていたのかどうなのか、こういった部分を原因究明するのは、これは
第三者委員会でよろしいかと思うのですけれども、契約の中身のあり方について検証するというのは行政の責任で対応なさるべきだと、こういうふうに思うのですけれども、その辺の検証はどういうふうになさるおつもりですか。
(
情報政策課長)契約書において、いわゆる契約書に付随する一連の書類も含めてでございますけれども、例えば仕様書とか、そういったものも含めてでございますけれども、その中で当然
セキュリティー的に守るべき項目の記載はあったというふうに理解をしておるところでございます。今宮田
委員さんご指摘のとおり設定に不備があったというのは外形的な原因とすると明らかなわけでございまして、これが契約書で
セキュリティー上の設定をすることが定められているにもかかわらず、なぜするべき設定が不備であったか、あるいは
脆弱性が残っていたか、こういった部分についてはまさに
第三者委員会でご確認していただく内容になってくるのかというふうに考えておるところでございます。
【宮田
委員】ハードの
システムの部分はわかるのですが、契約書と仕様書、そのとおりになっていたか、なっていなかったかと、契約の中身までといった部分まで
第三者委員会で対応するということなのですか。
(
情報政策課長)私どもで理解しておりますのは、契約書において設定するべき
セキュリティー対策については、そのとおりには設定されていなかったという理解をしてございます。なぜそのとおりに設定していなかったかという部分につきましては、
第三者委員会でその設定を行った
事業者あるいは
教育委員会の担当者等々とヒアリングなどを行いながら、そこのところは
第三者委員会で確認していただくことになろうと、そのように考えております。
【宮田
委員】わかりました。
それから、先ほど解明する時期は答弁いただきました。したがいまして、解明されてから対応するのでなくて、きょうの
報告書の中ではそれぞれの
保護者等々について文書を発送するという、まだ段階になっているのですけれども、これはいつごろまでに発送なさるのですか。余りにも時間がかかって対応するということはあってはならないというふうに思うのですけれども、いつまでに発送しますというふうに今現在はまだお答えになれる状況ではないのですか。
(
情報政策課長)これは
教育委員会で発送することになりますけれども、私どもが聞いておりますのは今月中に少なくとも第一弾は発送するというふうに聞いてございます。
【宮田
委員】発送するのは
教育委員会ということですから、余り多くはお聞きしませんけれども、第一弾はということは第二弾もあり得るということなのですか。
(
情報政策課長)順次発送するというふうに伺っております。一遍にまとめてというのは、やはり作業的にも難しい部分があるのではなかろうかというふうに推測しておりますけれども、最初の4月中の段階でまとめて全部出せるか、あるいは最初の例えば何分の1かを出して、その後順次発送していくような形になるのか、そういうことだというふうに理解してございます。
【宮田
委員】まず漏えいした部分が、これは
説明資料の1ページに(1)と(2)と、こういうふうにあるわけです。特に
保護者が心配なさっているのは、(1)よりもいわゆる金融機関の口座、こういった部分の悪用を一番恐れているという要素があるわけです。したがいまして、発送のあり方についても、例えば
教育委員会に
情報政策課として
個人情報保護の立場からすれば、できる限り速やかに(2)番の部分を重点的にまず発送するという対応はなさっておられるのですか。
(
情報政策課長)発送の順番等々について、私どものほうから
教育委員会にこういったやり方でというようなことをお話ししたことはございません。
【宮田
委員】ややもしますと、明らかになった部分で給食の部分はある意味では後からというふうな話になっているわけです。ただ
保護者の部分は後から発見された給食のほうに一番心配されていると、こういう要素があれば先に見つかったということの前後もあろうかと思いますけれども、ぜひ銀行口座の不正というのでしょうか、こういった事件が起こらないようにするためにもできるだけ速やかに発送いただければと思っておりますので、ぜひ
教育委員会にもお伝えいただいて対応をお願いしておきたいと思います。
【近藤(好)
委員】引き続き
情報セキュリティーについてお伺いしたいのですけれども、
行政ネットワークは
個人情報と分離しているというご
報告がありましたが、
教育委員会は実際にはそういう取り扱いになっていなかったということですけれども、この点で
情報政策課の角度から基本的にどう、この点は特に問題なしという立場だったのか、ここを確認したいのですが、いかがですか。
(
情報政策課長)
教育ネットワークに関して、これは文科省等々からも
教育ネットワークのガイドラインなどが示されているというふうに聞いております。ただタイミングというのがあって、いわゆる
ネットワークを何年かに1回更新している。それはなぜかというと機械が古くなって、どうしても新たな
ネットワークにつくりかえる必要があるというタイミングは通常は5年に1回くらいでございます。5年くらいたつと使っている例えば
サーバー類が古くなってきて新しい
ネットワークにしなければならないということにもなるので、ただ
教育ネットワークに関しては今正確に覚えておりませんが、2年か3年前に更新したばかりでございまして、そういった点も踏まえて、次の更新のときには多分ある程度そういったものも含めて検討することになったというふうに考えております。現段階では少なくとも2年か、3年前に
教育ネットワークをつくった際には、考え方として
インターネットと分離するという考え方は余りなくて、しっかり
ファイアウオールを立てて管理をすれば大丈夫だという、当時の考え方とすると一般的な考え方のもとに
教育ネットワークについてもつくられていたというふうに考えてございます。今後はまた検討する必要があろうと思いますけれども、当時の見解の中では十分な
セキュリティーが図られ、とられていたと、ただ今回は設定に不備があったというようなことでこういった事態になっておるわけでございます。その設定がちゃんとしていれば
セキュリティー的には、十分な対策がとられていたというふうに考えておるところでございます。
【近藤(好)
委員】しかし、こういう事態を招いたという点では、
行政ネットワークは
個人情報とは分離するということで、つまり可能な限りの
セキュリティーを考えているという前提として検討されたのだというふうに思うのですけれども、文科省のガイドラインでは、このことが明確ではなかったという答弁なのですか。ちょっとよくわからなかったのですけれども。
(
情報政策課長)文科省のガイドラインが出たのが、これもうろ覚えで恐縮でございますが、1年とか2年くらい前だったと思います。そのガイドラインが、今の
ネットワークについてはガイドラインが出る前につくられた
教育委員会の
ネットワークであったという趣旨でございます。今のガイドラインが出る前の段階では、現行の
教育ネットワークの
セキュリティーというのは設定がちゃんとしていれば特に問題になるようなものではなかった、
セキュリティーはしっかり担保されているものであるという理解でございます。
【近藤(好)
委員】わかりました。
行政ネットワークの考え方もしっかり
情報政策課の立場でアドバイスというか、連携して今後検討する必要があるのではないかというふうに思います。ぜひよろしくお願いいたします。
もう一つお伺いしたいのですけれども、現時点では
情報の
流出は確認されていないということなのですけれども、仮に
情報の
流出が確認された場合にはどのような対応になるのでしょうか。
(
情報政策課長)現段階では
セキュリティー専門事業者が当該の
サーバーの解析を全部終了いたしまして、新たなものはないという
報告をいただいていると伺っておりますので、
追加で
流出することはないものというふうに理解してございます。
【近藤(好)
委員】済みません、
追加で
流出するということではなくて、
流出した
情報が出回っているというか、現段階ではそういう状況ではないと確認しているけれども、もしそういう事態になった場合にはどのように対応するのかということをお尋ねしたのです。
(
情報政策課長)失礼いたしました。確かに現段階では
インターネット上の調査を行っていただいておりますけれども、その調査をする中ではいわゆる
インターネット上に今回の
情報が流れているというようなことはないという、現段階ではそれは確認ができていないということでございます。ただ、今ご指摘があったとおり今後それが見つかる
可能性というのは当然ゼロではないと理解しております。これが見つかり方にもよりますが、ある程度
流出させた、しているのを持っている人なり組織なり、それは今回の
不正アクセスの原因者であるかもしれないし、そうではない人が原因者から流れてきたのを持っているのかもしれません。そういったことが判明するとすれば、その方に対してその
情報は削除してくれというような依頼を出すというのが一般的かというふうに思っています。あるいはプロバイダーですとか、そういったところを通してそういう依頼を出すというのが一般的かと思ってございます。一回
インターネット上に出てしまいますと、これを完全になくす、削除させることはなかなか困難であろうという理解をしてございます。
【近藤(好)
委員】そうならないように願うばかりですけれども、そういう最悪の事態も含めて
情報政策課が対応も含めて
教育委員会と十分連携してあらゆる手だてを考えていただきたいと思います。よろしくお願いいたします。
【
中里委員】今の質疑でちょっと気になったのですが、
流出してそれがネット上に
情報が漏れる、漏らされる、それを今外部
事業者がチェックをかけている、今の段階では流れていない。これはずっと続けていくものなのかと今ふと思ったのですが、続けて終わりがないのか、隠し持っていつ流されるかもわからない、それをどのぐらいまで、要するに外部
事業者にも費用が発生しているわけでしょうし、そういうのを考えるとその辺の間隔的なものがわからないのですが。
(
情報政策課長)いつまで続ければいいのかということですが、そこの部分に関しては確かにルールみたいなものは特段なくて、可能な範囲で可能な限りやっていくものかというふうに思いますが、そこは
教育委員会の判断もあろうかと思いますので、なかなかお答えが難しいと思います。
【
中里委員】では、その点も含めて対策の
報告のときにはある程度の方向性みたいなものを私たちにもわかるように
説明していただければありがたいと思いますので、よろしくお願いします。
【阿部
委員】
セキュリティーの専門業者に委託したという話ですけれども、選定するに当たって契約監理課はかかわっているのでしょうか。
(
情報政策課長)契約を決裁する際に、例えば契約監理課に相談があったりとか、あるいは合い議をしていたかどうか、申しわけございませんが把握してございません。
(
総務部長)本日は、契約監理課長は出席していませんですけれども、一般的に契約監理課のほうで行う契約事務というのは工事関係、あとは物品関係、そういったものになるかと思います。今回の場合、役務関係になりますので、その辺の詳細がわからないのですけれども、一般的には文書処理上は契約監理課はかかわってこない部分が多々あるのではないかと、そのように考えております。
【阿部
委員】ということは契約の内容については
教育委員会だけしかわからないということですか。そちらのほうではかかわっていないということになると、
教育委員会しかわからないということですか。
(
情報政策課長)基本的には今回当事者である
教育委員会のほうで契約手続を行い、しかるべき業者を選定し、例えば仕様書を示すなり、あるいはプロポーザルコンペをするなりという形で業者選定して、その上で契約をしているということでございます。例えばプロポーザルコンペなどをする際に、私ども
情報政策部門が一緒に例えば審査員として入るというような場面は多々ございます。今回の関係に
情報政策課が入ったかどうかというは確認してございません。しておりませんけれども、そういった形で
情報政策課がかかわり合いを持っていくという場面は多々あります。
【阿部
委員】最終的には、
教育委員会しかわからないということですよね。ここは所管が違うので質問はできませんけれども、今宮田
委員さんもおっしゃっていましたが、その必要を考えると結局契約内容がはっきりして誰が責任を負うのだというところまで私たちは話をしなくてはならないわけです。今はそういうことがわからないということなので、ここではこれ以上話しませんけれども、
教育委員会のほうでまた話が出るかと思いますけれども、そういうきちっとした
資料提示はしていただきたいというふうに、係が違う、課が違うので、要望もできないのでしょうけれども、お話だけさせていただきます。
(
委員長)ほかに質疑はありませんか。
(「なし」の声あり)
(
委員長)ないようですので、これで質疑を終了いたします。
◎ そ の 他
8 (1)
行政視察について
(
委員長)次に、
行政視察についてですが、ご配付の
平成30年度
総務常任委員会行政視察案を
ごらんください。さきの
委員会において決定された日程で正副
委員長に一任をいただきましたので、この案のとおり橿原市及び岐阜市において視察を行いたいと思います。よろしくお願いいたします。
9 (2)
次期委員会の
開催日程について
(
委員長)次に、
次期委員会の
開催日程についてですが、案として5月21日、月曜日、午前10時から開催したいと思いますが、いかがでしょうか。
(「異議なし」の声あり)
(
委員長)それでは、
次期委員会は5月21日、月曜日、午前10時から開催することといたします。
◎
市内行政視察
(
委員長)次に、本日の
市内行政視察ですが、午後2時5分から別紙のとおり行いますので、議会庁舎南側の公用車車庫にお集まりください。
◎ 散 会
(
委員長)以上で本日の議題は全て終了いたしましたので、
会議を閉じます。
(午後1時52分)
※
会議終了後、午後2時5分から、イングリッシュビレッジ MAEBASHI、
消防局東消防署(1万リットル積載水槽車など)、城南分署の視察を行った。
当サイトに掲載されているすべてのコンテンツは
前橋市議会の著作物であり、日本国内の法律および国際条約によって保護されています。
Copyright (c) Maebashi City Council, all rights reserved. ↑ ページの先頭へ...