全国の自治体トップ・職員・議員に贈る 自治体の"経営力"を上げる情報サイト

「情報資産」を守る砦として、データ消去は職員自らの手で

「情報資産」を守る砦として、データ消去は職員自らの手で

神奈川県藤沢市

情報漏えい対策

「情報資産」を守る砦として、データ消去は職員自らの手で

藤沢市
総務部 IT推進課 情報政策担当 主査 杉山 裕一
総務部 IT推進課 情報政策担当 有田 尚人
[提供] アドバンスデザイン株式会社 

※下記は自治体通信 Vol.26(2020年10月号)から抜粋し、記事は取材時のものです。


神奈川県庁の行政文書が蓄積されたハードディスク(以下、HDD)が、データ消去前に転売された問題を受け、総務省は令和元年12月、自治体に向けて情報セキュリティに関する新たな通知を出した。以前から情報セキュリティ対策を行ってきた藤沢市(神奈川県)は、これにいち早く対応。独自の対策を講じている。同市の担当者2人に、これまでの取り組みも含めて聞いた。

藤沢市データ
人口:43万6,477人(令和2年8月1日現在)世帯数:19万3,344世帯(令和2年8月1日現在)予算規模:2,685億6,461万1,000円(令和2年度当初)面積:69.56km²概要:神奈川県の中央南部に位置し、横浜市、鎌倉市、茅ヶ崎市、大和市、綾瀬市、海老名市、寒川町に囲まれ、南は相模湾に面している。JR東海道線で東京エリアまで約50分、横浜エリアまで約20分の位置にあり、交通利便性にも恵まれている良好な居住環境が整っている。また、商工業が集積し、江の島・湘南海岸などの観光資源や教育・文化・福祉・コミュニティ施設などの社会資源も豊富。
藤沢市
総務部 IT推進課 情報政策担当 主査
杉山 裕一すぎやま ゆういち
藤沢市
総務部 IT推進課 情報政策担当
有田 尚人ありた なおと

総務省の通知で、より厳重な対策が必要に

―藤沢市ではどんな情報セキュリティ対策を行ってきたのですか。

杉山 当市では、セキュリティポリシーとして、「保有する情報資産を事件・事故から守る」というのを命題のひとつにしています。そのため、平成18年から自治体としては珍しく、ISMSの認証を取得。以降、継続して取得しています。

 また、当市のシステムや端末の約9割がリース契約ですが、業務委託・賃貸借を問わず、契約の際、これまでも必ず「データの保護及び秘密の保持等に関する仕様書」を添付。「受託者は利用が終わった情報機器に関しては必ずデータを消去する」「データを消去した場合はデータ消去証明書を発行する」ことを定め、実行していました。

有田 さらに、リース以外の庁内から出てくる記憶媒体に関しては、適切に廃棄するための業務委託を毎年行い、年に1度数百キロを廃棄し、「廃棄証明書」を発行してもらっていました。

―今回の通知を受けて、どのような対策を講じたのでしょう。

有田 通知には、重要な情報を含む記憶媒体には、物理的もしくは磁気的に破壊をしてデータ消去を行うこと。また、データ消去の際は職員が立ち会いのもとで行うよう書かれていました。当市の仕様書では、職員の立ち会いおよび庁舎内でデータを消去することまでは明記しておらず、業者が持ち帰って消去した後、証明書を発行してもらっていたのです。それは正しいフローですが、通知にはそぐわない。また契約中の案件は、作業場所を庁内に変更することは、契約金額にも関係するため対応が困難だ、と。そこで今後は、庁内で職員自らがデータ消去を行える環境整備が必要になったのです。

あらゆる状況を想定して、庁内の環境を整えていく

―どう対応したのですか。

杉山 重要な情報を含む記憶媒体に関して、まずは磁気破壊装置の導入検討を開始。じつは、15年以上前から磁気破壊装置は保有していたんです。ただ、最新のHDDには対応できず、更新を検討していました。磁気破壊装置なら、職員も使い慣れていることもあり、これを機に刷新しようと。

 ポイントは、HDDを取り出さずにノートパソコンごと磁気的破壊ができること。そのほうが、職員も使いやすいですから。その基準を満たしていたのが、アドバンスデザインの磁気破壊装置でした。また同製品は、消去ログが残るので、どの項目を消去できたかがわかり、作業モレを防ぐことも可能。それで、導入を決めました。

―情報セキュリティに関する今後の方針を教えてください。

有田 情報流出防止策を強化していきます。実際に、重要情報を含まない前提ですが、磁気的破壊ができないリース契約の記憶媒体にはデータ消去ソフトを使い、当市でデータを一度消去。そのうえで、さらに業者に消去を依頼しています。業者まかせにせず、自前の防衛が求められているからこその対応です。これも、アドバンスデザインの製品を活用しています。

 また、あらゆる記憶媒体に対応できるよう、物理破壊装置の検討も行っていきます。情報資産を守るため、職員のセキュリティ教育も含めて徹底していきたいですね。


支援企業の視点

説明責任を担うのは自治体。自前と業者の2段構えで臨むべき

アドバンスデザイン株式会社 営業部 課長 太田 裕貴
[提供] アドバンスデザイン株式会社 

※下記は自治体通信 Vol.26(2020年10月号)から抜粋し、記事は取材時のものです。


アドバンスデザイン株式会社
営業部 課長
太田 裕貴おおた ゆうき

―総務省の通知以降、自治体からのセキュリティに関する問い合わせは増えているのですか。

 増えていますね。それこそ通知が出た直後は、通常の10倍近く問い合わせが来ました。緊急事態宣言が出たころは、自治体もその対応にかかりっきりになっていたようでしたが、宣言が解除されてから、また徐々に問い合わせ件数が増えつつあります。やはり、情報セキュリティ対策は自治体においても重要課題だと言えるでしょう。

―どのように対応すればいいでしょうか。

 まずは藤沢市のように、記憶媒体を持ち出す前に職員でデータを消すということが重要になるでしょう。もしなにかが起こった場合、自治体には説明責任が発生します。たとえ、業者側に落ち度があっても、その責任を問われるのは自治体にほかなりません。だからまずは、自分ごととして自治体でデータを消す。そして業者に消去を依頼する、2段構えで取り組むべきです。

 さらに、あらゆる記憶媒体に対応できる体制を整えておくことが重要です。当社は、磁気破壊装置、物理破壊装置、データ消去ソフトに幅広く対応。データ復旧会社として日々新しいデバイスに触れているからこそ、最新のデバイスに関するデータ消去にも対応できるのです。

―自治体における今後の支援方針を教えてください。

 どんな機器を導入すればいいか、またはいま使っている機器が現状のデータ消去に対応できるかの相談に乗ることも可能です。ご不明点のある方は、気軽に問い合わせてほしいですね。

太田 裕貴 (おおた ゆうき) プロフィール
神奈川県生まれ。平成20年、アドバンスデザイン株式会社に入社。平成21年より現職。
アドバンスデザイン株式会社
設立 平成7年6月
資本金 3億6,460万円
資本 株式会社メルコホールディングス100%出資
事業内容 データリカバリーサービス、データ消去製品製造販売、データ消去サービス、データ変換サービス、デジタルフォレンジック製品販売
URL https://www.a-d.co.jp/
お問い合わせ電話番号 0120-290-459(平日9:00〜17:30)
お問い合わせメールアドレス ohta@a-d.co.jp
この記事で支援企業が提供している
ソリューションの資料をダウンロードする
\ たった1分で完了! /
 資料ダウンロードフォーム