ここから本文です。

平成29(2017)年2月6日更新

情報公開・個人情報保護審議会(第64回議事録)

第64回東京都情報公開・個人情報保護審議会

平成27年5月12日(火曜)13時25分~14時30分
東京都庁第一本庁舎42階北塔 特別会議室B

午後1時25分 開会

  • 宇賀会長
    定刻前ではございますが、皆さんお揃いのようでございますので、ただいまから第64回東京都情報公開・個人情報保護審議会を開会いたします。
    本日は、所用のためご欠席の高野委員を除き6名の委員の方々にご出席いただいておりますので、審議会規則第4条の規定により本会議は有効に成立しております。
    それでは、今任期初めての審議会でございますので、まずは私から一言ご挨拶申し上げます。
    今後、マイナンバー法を受けた個人情報保護条例の改正、さらに行政不服審査法の全部改正に伴う個人情報保護条例の改正、さらに今国会に個人情報の保護に関する法律の改正案が出ております。これが成立いたしますと、その後、行政機関、独立行政法人等の個人情報保護の改正も連動して出てくると思いますので、それを受けた個人情報保護条例の見直しがまた必要になってくるということで、東京都にとっても重要な課題が山積している、そういう時期でございますが、皆様のご協力を得て円滑かつ精力的に審議を進めていきたいと思いますので、どうぞよろしくお願いいたします。
    それでは次に、藤原会長代理からご挨拶をお願いします。
  • 藤原会長代理
    藤原でございます。
    前任の高橋先生、偉大な先輩でありましたので、それをうまく引き継げるかどうか心許ないのですけれども、何とか努力をしまして堀部、高橋両先生のように、宇賀先生とコンビを組んで東京都のために何らかのお役に立てればいいなと思っております。
    どうぞよろしくお願い申し上げます。
  • 宇賀会長
    それでは次に、委員の交代につきまして事務局から報告とご紹介をお願いします。
  • 佐藤都政情報担当部長
    それでは、ご報告させていただきます。
    本年3月末をもちまして高橋和之委員がご退任されまして、後任として新たに小幡純子委員にご就任いただきました。
  • 宇賀会長
    それでは小幡委員、一言ご挨拶をお願いします。
  • 小幡委員
    上智大学の小幡でございます。よろしくお願いいたします。
    私、東京都の情報公開・個人情報保護は審査会のほうの三部会の委員をやっておりまして、何年前でしたか、懐かしく、今回は審議会ということで、微力でございますけれども、お役に立てればと思っております。よろしくお願いいたします。
  • 宇賀会長
    ありがとうございました。
    それでは、新しい委員もいらっしゃいますので、各委員の皆様から一言ずつご挨拶をいただきたいと思います。
    初めに五月女委員、お願いします。
  • 五月女委員
    前回から引き続きやらせていただきます。連合東京の副会長をやっています五月女です。どうぞよろしくお願いします。
  • 中村委員
    中村です。こういう席にいる時間はかなり長くなっておりますけれども、いろいろな新しい問題も山積しておりまして、常に勉強しなければならないという励ましをいただいているような感じでおります。これからもどうぞよろしくお願いいたします。
  • 谷茂岡委員
    東京都地域婦人団体連盟会長の谷茂岡と申します。
    大変難しい問題で、昨年から受け継いだんですけれども、一生懸命勉強させていただいておりますが、会長さんはじめ先生方、それと行政の方が大変熱心にやっていらっしゃるので、こんなに行政の方は細かくやるのかなということをつくづく感じさせていただいております。今年も勉強させていただきます。よろしくお願いいたします。
  • 宇賀会長
    ありがとうございました。
    本日は、生活文化局の小林局長と広報広聴部の藤井部長がご出席されています。
    ここで小林局長からご挨拶があります。
  • 小林生活文化局長
    生活文化局長の小林でございます。
    今期初めての審議会の開会に当たりまして、一言ご挨拶を申し上げます。
    昨年度は社会保障・税番号制度への対応に伴う条例整備のあり方につきまして、委員の皆様方に熱心にご議論いただきました。答申としてお示しいただきまして、まことに厚く御礼を申し上げる次第でございます。
    今期からは新たに審議会の委員として、先ほどご紹介がありましたけれども、情報公開・個人情報保護審査会の委員でもいらっしゃいました小幡純子委員にご就任をいただきました。今後どうぞよろしくお願い申し上げます。
    さて、今年度は、先ほど宇賀会長からもございましたように、この情報公開・個人情報保護制度において大きな転換期を迎えることになっておりまして、東京都としてのさまざまな対応が迫られてございます。まず、いただきました答申を踏まえまして、マイナンバーを含む個人情報の取り扱いについて新たな条例整備を予定しております。また、半世紀ぶりとも言えます行政不服審査法の大幅改正に対応すべく、情報公開条例及び個人情報保護条例ともに改正する予定でございます。加えまして、今国会におきまして、成立以来初めてとなる個人情報保護法の本格改正が審議されているという状況でございます。このような社会状況の変化に迅速に対応するため、審議会の委員の皆様のご意見をいただきながら都におきます情報公開・個人情報保護制度を適切かつ着実に運用していきたいというふうに考えています。
    特に行政不服審査法改正への対応につきましては、次回の審議会におきまして条例改正の内容についてご議論いただきまして、知事の意見具申の取りまとめについてのご議論をいただきたいと思っておりますので、何とぞよろしくお願い申し上げたいと思います。
    今後とも引き続き都の情報公開・個人情報保護制度へのご理解とご協力を賜りますことをお願い申し上げまして、簡単ではございますけれども、私の挨拶とさせていただきます。
    どうぞよろしくお願い申し上げます。
  • 宇賀会長
    ありがとうございました。
    この後、小林局長は公務の都合により退席されます。
  • 小林生活文化局長
    どうぞよろしくお願いいたします。
    (小林生活文化局長 退席)
  • 宇賀会長
    次に、事務局から人事異動に関する報告があるとのことですので、よろしくお願いします。
  • 佐藤都政情報担当部長
    4月の人事異動によりまして事務局職員がかわりましたので、ご紹介したいと思います。
    情報公開係長の高野でございます。
  • 高野課長代理(情報公開係長)
    個人情報係長から情報公開係長に異動させていただきました高野でございます。引き続きよろしくお願いいたします。
  • 佐藤都政情報担当部長
    個人情報係長の日置でございます。
  • 日置課長代理(個人情報係長)
    日置と申します。よろしくお願いいたします。
  • 佐藤都政情報担当部長
    情報公開担当の満島でございます。
  • 満島課長代理(情報公開担当)
    満島でございます。どうぞよろしくお願いいたします。
  • 佐藤都政情報担当部長
    以上でございます。よろしくお願いいたします。
  • 宇賀会長
    それでは、ただいまから議事に入ります。
    初めに、議事(1)部会の構成員の指名についてです。
    部会委員は、情報公開条例第34条第10項に基づき審議会委員の中から指名し、また、審議会規則第7条に基づき専門調査員を置くことができることとなっております。まず、特定個人情報保護評価部会ですが、今期につきましては私と藤原委員、神橋臨時委員、宮内臨時委員で行っていきたいと考えておりますが、皆様いかがでしょうか。
    (異議なし)
  • 宇賀会長
    ありがとうございます。
    また、審議会規則第6条によれば、部会の部会長は会長が指名することとなっております。皆様のご了承をいただければ、引き続き私が務めさせていただきたいと存じますが、いかがでしょうか。
    (異議なし)
  • 宇賀会長
    ご了承ありがとうございます。
    それでは藤原委員、よろしくお願いいたします。
    次に、住民基本台帳ネットワーク部会についてですが、今期につきましては私と藤原委員、小幡委員と専門調査員の山口調査員で行っていきたいと考えておりますが、皆様いかがでしょうか。
    (異議なし)
  • 宇賀会長
    また、審議会規則第6条によれば、部会の部会長は会長が指名することとなっております。皆様のご了承をいただければ引き続き私が務めさせていただきたいと存じますが、いかがでしょうか。
    (異議なし)
  • 宇賀会長
    ご了承ありがとうございます。
    それでは藤原委員、小幡委員、よろしくお願いいたします。
    次に、報告事項に移ります。
    本日は4件の報告がございます。
    まず、「(1)特定個人情報保護評価部会からの報告について」、事務局から報告をお願いいたします。
  • 富山課長代理
    報告させていただきます。資料4をご覧ください。
    昨年度中ですけれども、特定個人情報保護評価部会で平成27年3月6日に都知事名で諮問がありました地方税の賦課事務(固定資産税・都市計画税(土地・家屋))に係る評価書案について、答申したところでございます。
    平成27年3月9日から20日の間において2回にわたり評価部会でご審議をいただきまして、具体的には評価書の記載内容やその根拠資料について点検していただきました。
    それでは、点検結果としての資料4をご覧いただきながら、ご報告させていただきたいと思います。
    まず1枚目が答申の表紙になっておりまして、別紙としまして具体的な意見を述べているものでございます。
    審議結果ですけれども、特定個人情報ファイルの取り扱いにつきまして、その措置としまして概ね適切な措置を講じているとの審議結果を頂きました。これは「概ね」になっておりますので指摘事項が一部ございまして、それは後ほどまたご案内させていただきたいと思っております。
    続きまして、具体的な意見についてですけれども、1から6ということで2ページにわたって記載しております。
    一番大きなところでは、今後、税務の評価は続くのですけれども、地方税の税務事務というのは非常に大きな事務でございまして、また、システムも大変大規模なものになっております。それに付随いたしまして、システムの維持管理ですとか印刷関係の委託が広範にわたって入っているような状況でございましたので、やはり一番リスクの高い委託の取り扱いについて、4点の意見を頂戴しているところでございます。
    先ほど「概ね適切である」と申し上げましたけれども、1つ指摘事項がございます。基本的に委託、再委託先への管理監督は適正であることが確認でき、作業場所への私物、スマホ等を持ち込める体制になっていないことは実態上、確認できたのですけれども、東京都の管理監督としての禁止規定に不十分なところがございましたので、そこを個人番号導入までに体制を整えるよう指摘いたしましたので、「概ね」となっているところでございます。
    また、具体的に委託については先生方にもかなり詳しく検証していただきまして、委託先でのデータ管理等にも触れていただきました。最後のデータ消去に係る報告体制等の確認の必要性をご指摘いただきまして、その旨、適正な管理がされていることを確認することができました。
    2ページにまいりまして、データの外部入出力関係です。
    やはり外部記録媒体、リスクが非常に高いシーンでございますが、こちらについても適正な手続を定めておりましたので、引き続き厳格な運用を求めているものでございます。
    また、今回、税務事務でございますので紙が大変多い事務でもございました。その紙類をどう取り扱うかという点で、施錠管理を行っているといった安全管理措置が組織的に講じられていることを確認することができました。ただし、この事務やシステムは非常に大きなものでしたので、かかわる職員数も大変多くヒューマンエラーが生じる可能性も高くなるというところで、それに対する研修等の教育、啓発というところを引き続き重点的にやっていくようにというご意見を頂戴しております。
    また、職員数が多いことに鑑みまして、アクセス権限の管理という点でご意見いただいています。
    大きなシステムですので、この税務事務に特化したシステム管理部門がございまして、そちらで一元管理されていることが確認できましたので、よい措置であるということで、様々な組織改正や税制改正にも対応していくようにと引き続き適正管理を求めたものでございます。
    最後に5番と6番、個人番号の利用について、評価書の活用等についてでございますが、この評価書を通じまして事務の所管部署である主税局は自分たちの事務や業務、システムを深く検証いたしましたので、引き続きこのような自己点検の観点から継続的に事務の見直し等をしていくようにということを記載して全意見となっております。
    なお、この答申を受けまして、主税局のほうでは評価書を既に完成させておりまして、4月10日に特定個人情報保護委員会に提出を完了しております。同日付でホームページ上で公表されておりますので、機会がありましたらご確認いただければと思っております。
    評価部会に関しての報告は以上でございます。
  • 宇賀会長
    ただいまの報告につきまして、何か質問等がありましたらお願いいたします。
    特によろしいでしょうか。
    それでは次に、「(2)保有個人情報の安全管理について」事務局から報告をお願いいたします。
  • 高橋情報公開課長
    会長、申しわけございません、実施機関の到着が遅れておりますので、よろしければ「(3)の存否応答拒否」のほうを先にさせていただきたいと思いますが、よろしいでしょうか。
  • 宇賀会長
    それでは、「(3)存否応答拒否について」を先に、事務局から報告をお願いいたします。
  • 左右田課長代理
    存否応答拒否について報告させていただきます。
    11ページの資料6をお開きください。
    ご覧のとおり、前回の審議会の後に報告がございました案件としましては、情報公開のみ2件となっております。それぞれについて説明させていただきます。
    まず、1番でございます。
    請求内容ですが、「2012年2月末時点において、また、○○高校○期生として在籍していた、あるいは現在在籍しているもので、以下の者の住所及び生年月日、法定代理人がいる場合は、その者の氏名及び住所」としまして、以下に6名の個人名を挙げております。「上記の者の住所及び生年月日、法定代理人がいる場合は、その者の氏名と住所」という内容でございます。教育委員会の案件でございます。
    本件につきましては、特定の高校に在籍します特定の個人、6名の個人につきまして、その住所や生年月日等を求める開示請求となってございます。請求に係る公文書の存否を明らかにしますと特定の高校の特定の学年にその特定の個人が在籍しているという、公とされていない個人に関する情報を公にする結果となりますので、条例第7条2号が規定します非開示情報を開示することとなるとして、存否応答拒否とした案件でございます。
    続けて2番でございます。
    「平成26年○月○日付売主株式会社○○これは法人名を特定してございますと買主○○こちらは個人名でございますとの間で締結された世田谷区○○これも特定の地番を指定しております所在の土地売買契約におけるトラブル相談の内容」という内容でございます。こちらは都市整備局の案件でございます。
    本件につきましては、特定の個人または法人が東京都に対して行いました不動産取引に関します相談の記録を内容とする開示請求でございます。本件請求に係る公文書の存否を明らかにしますと、相談者または相談に係る取引の当事者が個人の場合には、公とされていない個人に関する情報を公にすることとなります。また、取引の当事者が法人の場合には、個別具体的な取引内容ですとかトラブルの内容が公になることで競争上または事業運営上の地位、その他社会的な地位が損なわれると認められます。加えまして、不動産取引に関する相談は東京都と相談者との信頼関係に基づいて第三者に公開されないという前提で行われるものでございますが、対象公文書の存否を明らかにしますと、相談者が公にされることを恐れて相談を躊躇するなど、今後の同種事業の適正な遂行に支障を及ぼすことが予想されます。以上のことから、条例第7条2号、3号及び6号が規定します非開示情報を開示することとなるとして、存否応答拒否とした事案でございます。
    以上2件でございます。よろしくお願いいたします。
  • 宇賀会長
    ただいまの報告につきまして、ご質問あるいはご意見等ございましたらお願いします。
    特によろしいでしょうか。
    それでは次に、「(4)保有個人情報取扱事務届出事項一覧(新規開始事項)」につきまして、事務局から報告をお願いいたします。
  • 日置課長代理(個人情報係長)
    それでは、ご報告いたします。
    資料7をご覧ください。
    個人情報保護条例第5条に基づきます東京都における保有個人情報の取扱事務の届出でございますが、1番に記載されてございますとおり、新規開始事項として3月に届出があったものは9件でございました。
    1枚おめくりいただきまして、別紙の表に内訳が記載されてございます。
    これらの届出の事項に関しまして、当審議会の委員の先生方から意見が付されたものは特にございませんでした。
    ご報告は以上でございます。
  • 宇賀会長
    ただいまの報告につきまして、ご質問、ご意見等ございますでしょうか。
    特によろしいでしょうか。
    報告の(2)ですが、担当の係の方はいらしていますでしょうか。
  • 高橋情報公開課長
    ちょうど到着したところですので、(2)をスタートさせていただきたいと思います。
  • 宇賀会長
    それでは、報告の「(2)保有個人情報の安全管理」につきまして、事務局から報告をお願いします。
  • 吉野課長代理(個人情報担当)
    それでは、ご報告させていただきます。
    資料の8ページ、右肩に「資料5」と振ってあるものでございます。
    保有個人情報の安全管理についてご報告いたします。
    まず私から、東京都における保有個人情報の安全管理全般についてご報告させていただきまして、引き続き、昨年度、規模的には少々大きな事故が保有個人情報に関して発生しておりまして、その実施機関でございます首都大学東京が本日参っておりますので、事案等の詳細につきましてご報告させていただくという流れで進めさせていただきたいと思います。よろしくお願いいたします。
    それでは資料5、安全管理についてでございます。
    まず1、都における個人情報の適正管理と情報セキュリティをご覧ください。
    こちらは東京都の保有する情報を図で示したものでございます。都の保有する情報のうち、まず個人情報と網かけしてありますが、個人情報につきましては、右にございます東京都個人情報保護条例の対象となっておりまして、そちらに記載しております条例、施行通達以下各規程に基づいて適正な管理を行っているところでございます。関係規程の名称については記載のとおりでございます。
    一方で、都の保有する情報のうち電子データ、電子情報につきましては、総務局行政改革推進部の所管します東京都情報セキュリティポリシーの対象となっておりまして、東京都情報セキュリティ基本方針以下、記載してございます各規程に基づく安全管理が求められているところでございます。
    ですので、電子情報である個人情報につきましては、個人情報保護条例とセキュリティポリシーの両方の網がかかってくる形となっておりまして、また、個人情報の施行通達以下で、情報セキュリティの規程により適切な対応をするようにといった規定が設けられているところでございます。
    引き続きまして2、主な安全管理対策でございます。
    東京都における保有個人情報の安全管理のための措置につきましては、先ほど個人情報関係の各規程をご紹介いたしましたが、そちらで具体的に定められているところでございます。
    具体的に、幾つか記載させていただきました。こちらが主なポイントでございます。
    まず保管の関係でございますが、○の1つ目と2つ目でございます。まず、個人情報の記載された文書等につきましては、施錠できる保管庫等に保管をし、また、その保管庫等の鍵は適切に管理しなければならないといったことでございます。
    ○の3つ目と4つ目は、個人情報の記載された文書又はデータを持ち出す際の対策でございまして、個人情報管理責任者、こちらは各局各課の課長になりますが、課長の許可のない庁舎外への持ち出しは原則として禁止とされております。また、許可を得て業務上必要があって持ち出す場合につきましては、適切な安全管理措置を講じておくことが規定されておりまして、具体的に申しますと、例えば個人情報の記載された文書なりデータを施錠できる鞄に入れておくことですとか、肌身離さず携帯することですとか、または寄り道等をせずに必要かつ最小限の経路を移動すること等を定めるようにということになっております。
    ○の5つ目でございますが、こちらは廃棄に関する規定でございまして、不要となった個人情報は適切に消去、廃棄を行うことというものでございます。
    その他、具体的に何かあったときの事務的な処理の方法といったところで、下から3つ目の○でございますが、事故発生時の体制の整備ということで、私どもの方で各局に対しまして、保有個人情報の安全管理に関するモデル基準をお示ししてございます。そして各局の各課においてそれぞれ安全管理基準を作成していただくようお願いをしておりまして、その基準の中で、事故発生時にはどのような対応をしていくべきかといった組織的な体制づくりも含めて規定していただくこととしております。
    下から2つ目の○は、先ほどご紹介しました保管ですとか持ち出しを適切に行うために、施錠記録簿ですとか持ち出し簿等を整備しておくということでございます。
    一番下の○でございますが、個人情報を取り扱う業務を委託する場合の規定でございまして、委託契約書のチェック、これは具体的に申し上げますと、例えば委託契約書に安全管理に関する規定ですとか秘密保持に関する規定ですとか、そういった個人情報の保護に必要な事項をきちんと明記して受託者に責務を課しているかどうかのチェックを行うこと、また、委託先をそれに基づいてきちんと管理する、遵守されているかどうかを管理するようにという規定となっております。
    続きまして右側、3、事故発生時の対応でございます。
    これは、先ほどお話ししました安全管理対策をきちんととっていただいていたにもかかわらず、事故が発生してしまった場合に、どのような対応をしていただくかということで、先ほどご紹介しました安全管理モデル基準の内容を記載したものでございます。先ほどお話ししましたとおり、ほぼこれに準じた形で、各局各課で同様の安全管理基準を作成しておりまして、それに沿った対応をしていただいているところでございます。
    具体的にご紹介しますと、まず、真ん中の四角い枠ですが、事故が発生しますと即時対応、一次的な対応としまして、まず事故の事実関係の調査を行うこと、それから、それを上司、部長なり局長に報告していくこと、それから個人情報の事故の対象者ご本人への対応をすること、それと並行して、4つ目の■でございます事案公表、プレス発表等の被害拡大を防止するための措置を講じること。これらが一次的対応として規定していただいている内容でございます。
    続きまして、その一次対応が一段落しました後でございますが、右側の枠でございます。1点目としては、事故の原因を詳細調査すること、それを踏まえまして再発防止策を講じていただくこと、内容に応じてそれをまた上司部長、局長等、組織の管理者に対して報告すること、そしてその事案の軽重、内容なり社会的影響に応じましてその後の経過等をまたプレス発表等で公表していただくこと、このような事故発生時の対応の流れを定めています。
    続きまして4、事故件数でございます。
    これは平成22年度から26年度までの5カ年の推移を媒体別にあらわしたものでございます。
    継続して比較的件数として多いのが、やはり下から3行目の紙媒体の事故でございまして、紛失なり盗難なり誤送付といったものも含まれます。その上の電子媒体につきましては、件数としてはそこまで多くないけれども、一旦発生すると対象者数としてはかなり多くなってくるということで、電子媒体の場合は一旦事故が起きたときの影響が非常に大きいことが見てとれるかと思います。
    こちら平成26年度21件、5万3,260名と記載されていますものの詳細につきましては、1枚おめくりいただきましたところに「平成26年度個人情報に関する事故一覧」ということで詳細をおつけしてございます。こちらは後ほどご覧いただければと考えております。
    続きまして5、今後の留意事項についてご説明させていただきます。
    これまで当審議会におきまして事務局からもご説明させていただいておりますが、番号制度の導入に伴いまして、特定個人情報保護評価の実施を行っているところでございますが、その実施に当たりましては、過去3年間に発生した個人情報に関する重大事故、重大事故と申しますのは故意によるもの、又は対象者101人以上の事故でございますが、重大事故が発生した場合につきましては、それを評価書に記載して国と都のホームページで公表することとなっておりますので、これらの点からも一層適切な個人情報の管理といったものが求められると思います。
    長くなりましたが、事務局からは以上でございます。
    引き続きまして、昨年度に発生した事故の実施機関を呼んでおりますので、そちらからご説明させていただきたいと思います。
  • 小川広報・特命担当課長(首都大学東京)
    それでは、ご説明させていただきます。
    私、首都大学東京で個人情報等の監督・管理をしております広報・特命担当課長の小川と申します。よろしくお願いいたします。
    まず、このような事案・事故を発生させ、ご心配、ご迷惑をおかけしたことについて、この場をおかりしてお詫びいたします。失礼いたしました。
    本日は私からご説明させていただきますが、情報セキュリティに関する担当の課長と、個人情報に関する担当の係長が陪席しております。ご質問等についてはこの3名でお答えしたいと思っております。
    それでは、座って説明させていただきます。
    右下、10ページと番号が振ってあります資料をご覧ください。
    公立大学法人首都大学東京における情報セキュリティ及び個人情報保護に関する取組についてでございます。
    まず左側、1番、情報セキュリティに関する事案の概要をご説明させていただきます。2つ事案が発生しております。
    1月5日の件ですが、これについては概要のところに記載がございますとおり、首都大学東京南大沢キャンパスにあります教務課、教員が使っているサーバ、教務課が設置したNASに保存されていた情報が、外部からだれでも閲覧可能な状態になっていたということでございます。
    期間については、平成26年8月22日から平成27年1月5日までとなっています。
    発見といたしましては、1月1日に学外の方から、本学の外部からの受付用のメールアドレスにこのようなご指摘をいただきまして、担当者が出勤して1月5日に事案を確認したということでございます。
    原因でございますけれども、ここに記載がありますが、NASの設定については当然外部からアクセスできないようにするのはやっておくべきことなんですけれども、製品が出荷された当時、アクセス可能な状態で出荷されていた。それに対して設置時に設定する必要があったんですけれども、それを仕様に載せることを失念しておりまして、電子データそのものにも多くの書類にパスワードがかかっていないという状態でございました。
    個人情報に関する認識についても、こういった状況が発生するような状況でしたので、事務を担当している者に情報の認識不足がございました。大変失礼いたしました。
    保存されていた個人情報ですけれども、延べ数5万1,000人分でございます。例えば英語クラスの編成試験に関する氏名、それからTOEICのスコア、あるいは入学手続予定者の氏名、生年月日等、それから教員の氏名、住所などなど多岐にわたるものが閲覧可能な状態となっておりました。
    対応といたしましては、1月5日、出勤してすぐにNASの設定を変更いたしました。その後、1月19日にプレス発表と、同日に問い合わせ窓口を設置いたしまして、関係者へのお詫び状を送付申し上げたということでございます。
    問い合わせ窓口には合計で100件余りの問い合わせがありまして、およそ自分の個人情報等についてどうなのかというような内容のものが多くあったやに聞いております。
    また右側、これは1月27日に事案が確認されたものでありますけれども、人文社会系の社会福祉学の関係のところに置いていたNASが踏み台に利用されまして、踏み台というのは、情報をそのままとられたわけではなくて、うちに置いてあるNASに入っているメールアドレスを使って大量に送信されたというものです。
    発見は、首都大学東京で情報関係についてまとめております学術情報基盤センターで、これについて内容を検地したということです。
    これに関してはアクセス制限をしておったんですけれども、そのパスワードを初期値のまま利用していたという状況からでありました。
    保存されていた個人情報について、これも教員、学生等延べ数で650人余りのものが入っておりました。
    対応といたしましては、即日NASからのメールの遮断、ネットワークから切り離して外部からアクセスできない状態にしたということでございます。
    その後、2月2日にプレス発表を行いまして、同日、同様に問い合わせ窓口を設置いたしました。また、2月13日に関係者へお詫び状況を送付しております。こらちにつきましては問い合わせは6件と、余り多くはないようでございました。
    右上段、再発防止に向けた具体的取り組みとして、その後、現実に何をやったかということでございますけれども、1つ目の「・」通信制御ポリシーの見直しといたしまして、教員がいろいろな場所で研究活動を行う等に当たりまして、外部から内部のサーバにアクセスできるような状況であったわけですけれども、こういうことについても一旦原則遮断いたしました。原則というのは、どうしても必要な場合については許可制で、外からIPアドレスの指定をきちんとして、この者のみが入れるという状況にしたということです。
    2つ目ですけれども、専門業者によるセキュリティ診断を行いました。これによって、直ちに危害が及ぶような内容についてはないことについて確認したということでございます。
    それからNASについてですけれども、より高いネットワークに接続を実施しております。また、NASの設定確認・対応報告書により総点検。これは全学にあるNASについて総点検を実施したということです。
    それから周知徹底としましては、学内の広報紙、各種通知を何度も発出いたしまして、こういう対応により学内の教職員に対して繰り返し、短い期間で周知を行ったということでございます。
    現時点での検討や取組状況でございますけれども、情報セキュリティに対して認識不足やら体制の問題、それから情報セキュリティのシステム上の問題等、いろいろございます。そういったことについて総合的に専門家に、どういうふうに対応すべきなのか首都大の状況を見ていただいて、今後どういう対応をしていくべきなのかについて今、検討を進めているところでございます。具体的には、監査法人の情報セキュリティに関する専門分野の方に依頼いたしまして、組織の見直しも含めて今、検討していただいているところでございます。
    それからネットワーク利用ルールの見直しといたしまして、先ほど申し上げたような外部からの接続の方法であるとかいろいろなことについて、利用ルールについて改めて再整備を図る。これは具体的に、根本的な解決をするためには1つ目の○を受けて実施するというふうに考えております。
    また、最後ですけれども、改めて通知等での周知だけではなくて、実際に研修を行うことを今後検討して、実施していくことを考えてございます。
    引き続き情報セキュリティ対策については取り組みを強化して、今後こういう事件、事案のないように努めてまいりたいと考えております。
  • 宇賀会長
    ただいまの報告につきまして、ご質問やご意見等ございますでしょうか。
  • 藤原会長代理
    同業者でこちらも不十分なので、いろいろ教えていただきたいと思います。
    最初に、セキュリティというのは人的、物理的、組織的、技術的という角度から個人情報管理、安全管理措置等やるわけですけれども、最初に組織的な管理体制のお話です。NASの管理は、先ほどのご説明ですと出勤なさってから設定を変えたということで、職員がなさっていたということですけれども、これに関して相当専門的な方がやる、あるいは専門的な人を配置することが可能なのか、あるいはいっそのこと外部委託等を考えておられるのかとか、まずこの点はいかがでしょうか。
    この事故は結構初歩的なミスですよね。初期設定のまま使っていたという話ですから。そこはいかがですか。
  • 中田情報担当課長(首都大学東京)
    今のご質問でございますけれども、現在、外部専門家に、例えばセキュリティ診断を定期的に行うのかなども含めて、組織体制なども踏まえたセキュリティ点検を依頼しているところでございまして、その外部専門家の提言を踏まえて必要性を検討していくというところを、今、考えておるところでございます。
  • 藤原会長代理
    ということは、そのぐらいの技術というか、セキュリティの知識を持った職員がおられるということでよろしいんですか。
  • 中田情報担当課長(首都大学東京)
    今回の件に関しましては、初期の設置に当たって業者に委託しておるときに、チェックするという体制ができていれば可能であったかと考えておりますので、実際の安全性の担保の仕方については提言を待ってということになると思いますが、職員の知識がどの程度必要かはこれから検討させていただければと思っております。
  • 藤原会長代理
    そうすると、業者に設定を委託したときに業者が最初のソフトのパッケージのままやったということですよね。そして業者もそれを受け取った担当部局も、どちらも設定のチェックを失念していた、そういうお話なんですか。
  • 中田情報担当課長(首都大学東京)
    そうですね、そういう側面もあろうかと考えておりますので、この資料の下にあるように機器調達のタイミングでセキュリティに関する事前チェックを実施して、こういったミスのないような形をつくっていきたいと考えております。
  • 藤原会長代理
    感想ですけれども、委託先の選定ミスなのか、あるいはごく単純なコミュニケーション不足なのかどちらかわかりませんけれども、民間業者だといろいろなソリューションをするときに、ソフトを組み込むときなどは、そもそも既存のソフトにどんなバグがあるかまでやってくれると思うんですけれども、恐らくそういう業者は選定していなかったということですよね。そこのところはわかりました。
    要するに、監査のところの会社のアドバイスを待ってお決めになる、そういうことですね。
    2番目に、専門事業者によるセキュリティ診断が実施されたということですけれども、直ちに脆弱性があるものはなかったという微妙な言い回しであったかと思うのですけれども、脆弱性はほかにもあったということですか。直ちにはないというお話……。
  • 中田情報担当課長(首都大学東京)
    緊急性の高いものはないと伺っております。ただ、脆弱性につきましても、やはりレベルがございますので、今後こういった点を改善したほうがいいのではないかというご指摘はいただいておりまして、それについては各組織において取り組みを進めていくところでございます。
  • 藤原会長代理
    例えばどんな点を指摘されたんですか。
  • 中田情報担当課長(首都大学東京)
    詳細は差し控えますが、例えば、ソフトウェアのバージョンアップ等について見ていってほしいとか、そのようことでございます。
  • 藤原会長代理
    セキュリティの話なので差し支えのある部分は結構ですけれども、バージョンアップというのはまさしく私が先ほど申し上げた話ですよね。バグがあるものは潰しておかなければいけないという。
    これで最後ですけれども、今、事業者の方に点検していただいているんですよね。ただ、プロの事業者というのはコストとの見合いで幾らでも、いろいろなことをやれと言うと思うんですけれども、その前に効果の上がる方法として、結局、教職員への研修はどのようにやっていたんですか。
  • 中田情報担当課長(首都大学東京)
    教職員への研修でございますが、従来から新任の教職員等に対する研修はやっておりましたし、また、年に1回情報セキュリティ及び個人情報に関する自己点検を実施してまいりました。
    今後、今回の事故を踏まえまして研修内容について見直しを行いまして、4月の新任研修から実施してきているところでございます。
    また、自己点検につきましてもeラーニング等を活用するといったことによって、さらに内容を充実していきたい、それによって情報セキュリティ、個人情報保護に対する意識を高めていきたいと考えております。
  • 藤原会長代理
    すみません、これが本当の最後ですけれども、専門家のご意見によっては通信の目的によるアクセス制限をなさるんですか。大学として困るのではないかと思うんですけれども。
  • 中田情報担当課長(首都大学東京)
    これにつきましても提言を踏まえて、当然私ども法人として検討することになりますけれども、必要性がある通信については通す、そうでないものについては通さないという形にして、その上で、業務上、問題がないだろうかというところを検証した上で実際に計画するといったことを考えていきたいと思っております。
  • 藤原会長代理
    ありがとうございました。
  • 小幡委員
    私も大学所属ですが、大学というのは、なかなか教員もいろいろですので、セキュリティは難しいのですが、例えば東京都全体の事故等の中でも、教育庁の、都立高校とか都立特別支援学校とかそういうものがあって、教員が持ち出して落としてしまったとか紛失してしまったとか、成績の入ったUSBメモリ云々とか、そういう教育活動に携わっているところの独自のリスクというのはあると思うのですが、今回の事故は、どちらかというとそうでもないということですかね。要するに、システムのところの問題で……。2つ目の部分はパスワードをきちんと設定していればよかったのですが、例えば0000とかなのでアクセスできてしまった、そういう話ですね。
    もう一つの問題は、成績等の個人情報がどのぐらいあったかですが、最初のほうは、ここで成績というのは、大学での成績はここにはない。例えば学部等でそれは別のシステムになるのですか。
  • 小川広報・特命担当課長(首都大学東京)
    例えば、修了判定にかかわるようなものも格納されていました。
  • 小幡委員
    そうすると、もちろん住所、電話番号もそうなのですが、かなりセンシティブな情報である、そういう成績等が外部に漏れるということになると、これはちょっと重大かなと思われますので、格納する情報について大学の場合、そういう成績等があるので、特に注意した形で、今後、多分専門の業者の方からそのようなアドバイスがあるだろうと思うのですが、かなり注意が要ると思います。藤原先生、教育機関ならではのそのようなノウハウ、「こうしなければいけない」とか、そういう標準というのはどこかにありますか。出回っていますか。
  • 藤原会長代理
    管理であれば文科省から何か出てくるかもしれませんけれども、今、小幡委員が言われたように、これは出たものは成績とか学校特有の情報です。先ほど先生ご指摘のように、事故は法人の組織管理ですね。それがたまたま教育現場であったというだけですよね。通信の目的でアクセス制限したら困るのではないかと申し上げたのはそういう趣旨で、教職員に研修をするというよりも管理するところがしっかりするお話ではないかということですね。それから、文科省の個人情報保護のガイドラインに他に、東京都が学校関係者の方へというパンフレットを作っています。
  • 小幡委員
    これはそうですね。ですから、こちらは教育機関独特というよりは全体につながる話なのですが、でも、教育機関であるから特に成績等もありますし、それについて、医療機関等もそうでしょうけれども、やはり個人情報の性質ごとの管理体制をきちんとしておくことが必要かと思います。
    ですから首都大学東京に限らないと思うのですが、東京都の部局の中での教育のところで、多分、教員が自分の学生の成績のUSBの持ち出しとか、どこの私立大学でもこれ悩ましいところなのですが、そこはどういう形でやるか……。それは教員研修で対応するしかないですかね。
    ちょっとそのあたりも、首都大学だけに限らないしそれは全国的なものかもしれませんが、スタンダード的なレベルのものがあればそれを浸透させていくということかなと思います。
  • 藤原会長代理
    今のご発言に関連して申し上げれば、先ほどご説明の資料5の、USBメモリとかペーパーというのは、今回の事故一覧を見てもおわかりのように、教育現場では前から多いし、まだどうも教育庁所管のところで事故があるんですね。ただ、まさしく先ほどご説明にあったように、今回の事故は、ファイルサーバで1度に5万というお話なので、これはいわゆる民間の企業型なのかなという気はしますね。
    もう一つ多いのはメールなんですね、ここに書いてあるように。その2つが気になる。
    さらに申し上げれば、組織とセキュリティポリシーに係るような問題なので、先ほど来、提言を待って、提言を待ってと繰り返されたんですけれども、本当は主体的にやって、専門家からはアドバイスをもらう話ではないかという気はちょっとしましたけれども。
  • 小川広報・特命担当課長(首都大学東京)
    少し補足させていただきますと、首都大学東京の中に学術情報基盤センターというのがございまして、そこは、藤原委員のおっしゃるような専門的な知識と言えるかどうかまではちょっとあれですけれども、一定程度の専門的な知見を持った者を集めて設置している部署でございます。
    また、そこを統括するような部門として、今、私の隣にいる中田のセクションが情報セキュリティに関する取りまとめも行っている。組織としてはそういう組織になっているんですけれども、実態としてNASを設置するときに、設置するそれぞれのセクションで知識がないがゆえにこういうことが起こってしまったのではないかと考えています。
    ですので、設置のあり方、設置するときにどういうふうなルート、ルールをつくって設置していくのか、あるいはそれをどう確認していくのかといったことについては現時点で周知徹底しておりますので、今後については、一義的にはすぐまた同じような事案が発生することはないようなシステムをとっているとお考えいただければと思います。
  • 宇賀会長
    他、いかがでしょうか。
  • 谷茂岡委員
    私はよくわかりませんけれども、9ページを見ますと個人情報に関する事故が大分多いですね。その中でも特に紛失が多いように思うんですね。この紛失というのは、やはり管理が不十分なのか持ち出した人の意識が足りないのかわかりませんけれども、これはもっと強化的に取り締まっていかなければいけないのではないでしょうか。これからメールなどがありますし、私どもが考えて、やはり仕事で持ち出したものは、飲み食いは後にして一旦返してから飲み食いに行くとか、何か責任を持たないといけないと思いますので、ここのところだけ「解決できたからいいや」ではなくて、あと二度とそういうことが起きてはならないので、その点を何とか取り締まってほしいなと感じます。
    よろしくお願いいたします。
  • 高橋情報公開課長
    藤原委員、小幡委員、谷茂岡委員、ご意見ありがとうございます。
    ここのところ二、三年、個人情報の漏えい事故が減っていたということもありまして、職員への周知徹底が進んできたのかなと思っていた矢先にこのような大規模な漏えい事故が発生してしまいました。これを受けまして、速やかに全庁に対してまず通知を出し、改めて周知徹底を行ったところでございます。
    先ほども言いましたとおり、特にマイナンバーの取り扱いがこれからスタートし、個人情報、特に特定個人情報の取り扱いをなお一層強化しなければいけないこのタイミングということもございますので、今回審議会でご説明させていただいたことも含めまして、改めてご指摘のように個人情報漏えい事故の防止、安全管理体制の強化について取り組んでいきたいと思います。引き続きご指導のほどよろしくお願いいたします。
  • 宇賀会長
    他、いかがでしょうか。よろしいでしょうか。
    それでは、この件はここまでとしたいと思います。
    本日、議事として予定したものは以上ですが、その他、委員の皆様から何かございますでしょうか。よろしいでしょうか。
    事務局からは何かございますでしょうか。
  • 佐藤都政情報担当部長
    本日はどうもありがとうございました。
    次回の審議会につきましては、今年9月の開催を予定しております。後日、日時等調整させていただきたいと思いますので、その際はよろしくお願い申し上げます。
  • 宇賀会長
    それでは、以上をもちまして本日の審議を終了いたします。
    どうもありがとうございました。

午後2時30分 閉会

ページの先頭へ戻る