ここから本文です。

平成30年度第1回長崎市住民基本台帳ネットワークシステム管理運用審議会

更新日:2019年7月26日 ページID:033174

長崎市の附属機関について(会議録のページ)

担当所属名

中央総合事務所 中央地域センター

会議名

平成30年度第1回 長崎市住民基本台帳ネットワークシステム管理運用審議会

日時

平成31年2月6日(水) 14時00分~

場所

長崎市役所本館 地下1階 議会第3会議室

議題

1 開会あいさつ
2 委員紹介・事務局紹介
3 審議会の概要説明
4 議題
(1)住民基本台帳ネットワークシステムの概要について
(2)住民基本台帳ネットワークシステムの運用について
 ア 機器構成及び日常運用について
 イ マイナンバーカード等の管理について
(3)セキュリティ対策について
 ア 住基ネット運用に係るセキュリティ対策における関連法令等
 イ セキュリティ管理の責任体制について
 ウ CS及び統合端末のセキュリティ対策について
 エ 不正アクセス防止対策について
(4)緊急時対応について
(5)内部監査実施状況について
(6)現地調査
5 閉会

審議結果

1 開会あいさつ
 住民基本台帳ネットワークシステム統括責任者よりあいさつ。

2 委員紹介・事務局紹介
 委員及び事務局の紹介。

3 審議会の概要説明
【事務局】
 本審議会は「長崎市附属機関に関する条例」を根拠として設置しており、本審議会の運営において必要な事項を「長崎市住民基本台帳ネットワーク管理運用審議会規則」において規定している。条例に定める担任事務は「住民基本台帳ネットワークシステムの管理及び運用に関する重要事項の調査審議に関すること」となっている。

4 議題
(1)住民基本台帳ネットワークシステムの概要について
【事務局】
 住民基本台帳ネットワークシステムとは、住民基本台帳法に基づき住民の利便性の向上と国及び地方公共団体の行政の合理化に資するため、住民基本台帳をネットワーク化し、全国共通の本人確認が可能となるシステムである。
 市町村においては、住民基本台帳事務を行うため「既存住基システム」を有している。住基ネットが保有する本人確認情報は、氏名、住所、生年月日、性別、住民票コード及び個人番号であり、住民基本台帳情報のうちこれらに変更があった場合には、既存住基システムからコミュニケーションサーバ内の本人確認情報の更新が行われる。住基ネットは市町村に設置されているコミュニケーションサーバ、都道府県サーバ及び全国サーバを結ぶ形で構成されており、コミュニケーションサーバ内の本人確認情報の更新が行われると、住基ネット回線を用いて市町村から県、県から全国と本人確認情報の通知が行われ、それぞれのサーバが保有する本人確認情報が更新される。
 全国サーバが保有する本人確認情報は、国や他の地方公共団体などの行政機関へ提供できる仕組みになっているが、この提供については法令で定められた分野のみに厳しく限られている。
本市においても、法に則った運用を行っており、「長崎市住民基本台帳ネットワークシステムに係る管理及び運用に係る規程」「住民基本台帳ネットワークシステムの運用に係る取扱要領」等を定め、より適正なシステムの運用管理ができるよう努めている。

【質疑等】
 特になし。

(2)住民基本台帳ネットワークシステムの運用について
【事務局】
 ア 機器構成及び日常運用について
・市町村における住基ネットシステムの機器構成について
 (住基ネットシステムの機器構成について、構成図を示し説明を実施)
・統合端末を操作して実施する業務の具体例について
 市町村の区域を越えた本人確認の実施や転出入の事務処理のほか、マイナンバーカードの交付や、住所地以外で住民票の写しの交付を受けることができる広域交付などの事務処理について、統合端末を操作して業務にあたっている。

・統合端末等の設置状況について
 現在、統合端末は窓口業務を行っている各地域センター及びCSの管理を行う情報システム課に設置している。プリンタは情報システム課、中央地域センター、西浦上地域センターの3か所のみの設置となっており、プリンタを設置していない地域センターにおいて、統合端末から帳票を出力した際には、中央地域センターのプリンタに出力される設定となっている。出力された帳票は個人情報をやり取りするための専用ファックスを用いて出力場所に送信する運用としている。

イ マイナンバーカード等の管理について
 カード管理システム及び公的個人認証システムとの通信について、住基ネット回線を用いて行うため、これらのシステムを用いて行う業務(マイナンバーカードの交付等)についは、統合端末を用いて事務を行っている。
 住民がマイナンバーカードを申請し、カードが出来上がると、地方公共団体情報システム機構(J-LIS)から自治体の所管課(本市においては中央地域センター)に送付される。送付されたすべてのカードについて、管理簿を整備し、保管状況、交付状況等の現況について適正に管理している。保管中のマイナンバーカードの管理について、鍵のかかるキャビネットに保管し、さらに退庁時には保管庫を設置しているスペースにも施錠をしている。
 昨年末時点でのマイナンバーカード累計交付枚数は、およそ55,000枚となっており、本市の人口で割った交付率は約13パーセントである。コンビニでの証明書交付サービスの利用も年々増加している。
 平成15年の交付開始より、公的な身分証明書等の機能を果たしてきた住民基本台帳カードだが、マイナンバー法の施行に伴い、平成27年12月31日をもって新規交付、再交付及び更新は終了した。また、マイナンバーカードを交付する際には、住民基本台帳カードを自治体に返納するよう定められているため、順次、マイナンバーカードに置き換わっていく。ただし、マイナンバーカードを作成しない場合、住基カードの有効期間(発行の日から10年)内は使用可能なため、今後も一部業務は継続していくこととなる。

【質疑等】
○住基ネットの機器構成について、前回の審議会から変わったところはあるか。
→特にない。
○プリンタを設置していない地域センターがあるのはなぜか。また、プリンタ設置のな
い地域センターで帳票等を出力した際はどのような取扱いをしているか。
→中央と西浦上以外の地域センターについては、統合端末から帳票を出力する頻度は極めて少なく(月1~2回)、コスト面との兼ね合いもありプリンタを設置していない。プリンタを設置していない地域センターで帳票を出力した際には、中央地域センターのプリンタに出力されるよう設定しており、出力後の帳票はファックスでやり取りしている。
○帳票のファックスでのやり取り等について、送信後の帳票の取扱いなど、明文化されたマニュアルや手順書などはあるか。
→担当職員の間で周知徹底はされているが、明文化されたものはない。取扱いについて、手順書等を定めるなどして対応したい。

(3)セキュリティ対策について
ア 住基ネット運用に係るセキュリティ対策における関連法令等
 住基ネットのセキュリティ対策については主に「住民基本台帳法」と「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準」に規定されている。また、「技術的基準」の具体例を示す形で、「住民基本台帳ネットワークシステムのセキュリティ対策に関する指針」が提供されており、これらをもとに本市においても管理運用規程等を作成し、住基ネットの運用を行っている。
 住基ネットセキュリティ管理の一環として、毎年「住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査表 市区町村版」を用いた自己点検を実施し、県が取りまとめて国に報告を行っている。

イ セキュリティ管理の責任体制について
 本市において、住基ネットのセキュリティ管理の責任体制について「長崎市住民基本台帳ネットワークシステムに係る管理及び運用に関する規程」に定めている。住基ネットのセキュリティ管理に関する最高責任者として「住基ネット統括責任者」を置き、システム部門の責任者として「システム管理責任者」を、個人情報管理の責任者として「個人情報等管理責任者」を、各住基ネット利用課における現場でのセキュリティ管理の責任者として「セキュリティ責任者」をそれぞれ任命している。

ウ CS及び統合端末のセキュリティ対策について
・CSのセキュリティ管理
 CSは情報システム課のサーバ室内に設置してあり、入退室について、ICカードによる管理を実施している。
・統合端末のセキュリティ管理
 台数等の日次点検、セキュリティワイヤーによる固定等の盗難防止対策、ディスプレイに表示される個人情報が第三者から窃視されないようフィルム等を貼るなどの対策を実施している。
 昨年2月に他都市で盗難とみられる統合端末及び交付前のマイナンバーカードの紛失事案が発生しており、総務省の通知により統合端末の盗難防止強化について通知があったことから、前回審議会以降の新たなセキュリティ対策として、セキュリティワイヤーによる端末の固定等の対策を追加で実施した。

エ 不正アクセス防止対策について
 システムの設定面における不正アクセス防止対策として、端末のOSログオン時に使用するパスワードの適切な設定、複数回ログオン失敗するとロックアウトするように設定するなどしている。運用面においては、業務外での使用をしないようアクセス職員に周知徹底するとともに、定期的な操作ログの確認を実施している。また、操作権限を付与するに当たっては業務内容に合わせた最小限の権限にする、職員が離席する際には必ず業務アプリケーションをログオフするなど、業務アプリケーションの不正使用がないよう対策を実施している。

【質疑等】
○ OSの複数回ログオン失敗した後、ロックアウトするとなっているが、その後どのような措置を取っているか。
→3回のログオン失敗でロックアウトする設定にしており、10分後にロックアウトが解除される設定になっている。業務上、職員がロックアウトさせることはほぼなく、ログオン失敗の履歴は残す設定となっているが、集中管理やリアルタイムでモニタすることはできない。業務アプリケーションの操作ログに不自然な点などがあれば随時確認する必要が出てくると考えている。
○同時にアクセスできる職員は何人か。
→アクセス人数に上限の設定はないため、すべての統合端末(31台)で同時にアクセスすることが可能。
○統合端末設置エリアへのスマートフォンの持込み等について、制限はあるか。最近のスマートフォンは大変高機能であり、大量の個人情報を含むデータを取り込んだりできるものもあるので取扱いについては気になるところである。
→統合端末は執務スペース内にあり、執務スペースへのスマートフォン持込みについて明文化された規定はない。統合端末操作中のスマートフォン操作等についてそもそも想定していない。
○統合端末にUSBは接続できるのか。
→USB接続は可能であり、実際に業務上で使用している。USBの運用については全庁統一の規定があり、パスワードの設定をすること、使用前にはウイルスチェックを実施すること、使用後にはデータを確実に消去することなどが定められている。
○USBの管理状況についても、監査の際に確認できるようにするとよいのではないか。
○セキュリティ管理について、明文化した手順書が必要ではないか。
→個別業務に関してはマニュアルが整備されているが、セキュリティ管理の運用については、明文化された手順書がない状態である。今年度中に整備できるよう現在準備している。

(4)緊急時対応について
 本市では「長崎市住民基本台帳ネットワークシステムに係る管理及び運用に関する規程」第7条に基づき、緊急時対応計画書を作成している。これにより、住基ネットを構成するハードウェア、ソフトウェア及びネットワーク等の障害により市民サービスが停止するおそれがある場合、又は不正行為により脅威を及ぼすおそれがある場合において、被害を未然に防ぎ、また、被害拡大を防止するため、庁内の関係所属及び関係機関と連携し、早急な復旧ができるよう備えている。
 訓練等の実施状況について、昨年12月6日に都道府県サーバ集約センターでの障害発生を想定した住基ネットに関する都道府県向け緊急時対応訓練が実施され、これに参加した。また、緊急時対応計画書に規定する緊急時の対応について、態勢を確認するための訓練を1月31日に実施し、緊急時連絡網が適正に機能することを確認した。

【質疑等】
○訓練はどのくらいの時間をかけて実施したのか。
→約50分程度。すべての地域センターに連絡をするのは約10分で完了した。
○システム障害時の窓口対応についてはどのようになっているのか。
→今回示した緊急時対応計画については主にシステムの復旧に関して定めたものであり、システム障害時の窓口での対応については、別途マニュアルを定めている。

(5)内部監査実施状況について
【事務局】
・内部監査実施状況について
 平成30年12月19日に、「長崎市住民基本台帳ネットワークシステム内部監査委員会設置要領」に基づき、平成29年11月1日から平成30年10月31日までのシステムの運用業務について、セキュリティの観点から適正な管理及び運用が行われているか、内部監査を実施した。全ての項目について、「問題なし」の評価であることをご確認いただきたい。また、個人情報へのアクセス時に適正な手続きが行われているか、平成30年9月第3週分使用記録のチェックを実施し、いずれも適正に処理されていることが確認された。現地調査の結果も良好であった。

 ・過去の内部監査指摘事項対応(本人確認情報検索時の運用方法の見直し)
 過去の内部監査で指摘されていた、住基ネットにアクセスし、本人確認情報の検索・抽出を実施する際のセキュリティ管理の方法について見直し予定である。
 現状の運用では、統合端末を用いて住民の本人確認情報を検索する際には、セキュリティ管理者に事前に許可を受けるものとしているが、この運用について、事務の実態に合っていないという指摘を受けていた。住基ネットの利用範囲の拡大とともに、本人確認情報検索件数が大幅に増加していることが、実態と運用が合わなくなっている大きな原因の一つである。
 今年度、本事案について、中核市を対象とした運用状況の照会、及び「住民基本台帳ネットワークシステムのセキュリティ対策に関する指針」の内容の精査等を実施の上、運用見直しの検討を行った。年度内に本人確認情報の検索について運用方法を変更し、個別の事前承認についてはその運用を廃止する予定である。これに伴い、月次報告、操作ログの確認方法等も指針に示される運用方法をもとに、かつ、これまでと同等のセキュリティが担保されるような形で運用を変更する。

【質疑等】
○内部監査の実施状況について、ログ解析による監査の項目が少なくまた抽象的に感じる。もう少し詳しい監査項目を設定してはどうか。(休日での操作がないなど)
○ログ解析に関連して、不正な検索があった場合にアラートが出る等の仕組みはあるのか。
→住基ネットに対する地方公共団体からのアクセスについては、J-LISが24時間監視を実施しており、不自然なアクセスがあれば判明する仕組みになっているとのことだが、特別にアラートが出るということはない。
○操作ログの保存期間はどのくらいか。
→7年と規定している。
○本人確認情報の検索時の運用見直しについて、見直し案はおおむね妥当であると思う。運用の効率も図りつつ実施してほしい。
○操作ログの確認の頻度は決めた方がいいのではないか。
→操作ログの統計的な分析による確認頻度は月1回を想定している。サンプリング調査は年1回程度不定期で行うことで実効性を高めたいと考えている。
○この見直し案は実行可能なものなのか。もちろんセキュリティの確保は大事ではあるが、職員の事務量が膨大になったり、人的な問題で職員が疲弊してしまうような運用になっていないか。
→事前承認がなくなることで、業務にあたる職員の事務量は減ると考えている。住基ネット担当者の業務としては増える部分もあるが、サンプリング調査の量などはセキュリティ確保と業務効率のバランスを見ながら見極めていきたい。

(6)現地調査
 中央地域センターのセキュリティ管理状況について、マイナンバーカードの管理状況を中心に現地を確認・調査した。
【所感】
○カードの保管について、鍵付きキャビネットに保管する等しており、今後も徹底してほしい。
○場所の問題もあるが、執務室そのもののスペースが狭く、デスクと保管庫の間も十分な間隔が取れておらず雑然とした印象を受けた。また、庁舎1階の街路に面した部屋であり窓も多く、防犯面で不安を感じた。新庁舎での解消を期待する。
○最後は「人」である。ヒューマンエラーを防ぐため、今後も研修の実施等に取り組んでもらいたい。研修のやり方についても工夫して身につくような内容にしてほしい。

お問い合わせ先

総務部 行政体制整備室 

電話番号:095-829-1124

ファックス番号:095-829-1410

住所:〒850-8685 長崎市魚の町4-1(9階)

アンケート

アンケート

より良いホームページにするために、ご意見をお聞かせください。コメントを書く

観光案内

平和・原爆

国際情報

「行政運営・審議会・指定管理者・監査」の分類

ページトップへ