• 
• 
• 
• 

• 
• 

• サイトマップ
• お問い合わせ

令和元年度第1回 長崎市住民基本台帳ネットワークシステム管理運用審議会

長崎市の附属機関について（会議録のページ）

担当所属名

中央総合事務所 中央地域センター

会議名

令和元年度第1回 長崎市住民基本台帳ネットワークシステム管理運用審議会

日時

令和2年2月13日（木） 14時00分～

場所

長崎市役所本館4階　教育委員会会議室

議題

1　開会あいさつ
2　委員紹介・事務局紹介
3　会長選任
4　事務局説明
（1）住民基本台帳ネットワークシステムの概要
（2）セキュリティ対策
5　議題
（1）内部監査の実施方法の変更について
（2）審議会における審議内容について
（3）現地調査
（4）その他
6　閉会

審議結果

1　開会あいさつ
住民基本台帳ネットワークシステム統括責任者よりあいさつ。

2　委員紹介・事務局紹介
委員及び事務局の紹介。

3　会長選任
会長及び職務代理者の選任。

4　事務局説明
（1）住民基本台帳ネットワークシステムの概要
【事務局】
　住民基本台帳ネットワークシステムとは、住民基本台帳法に基づき住民の利便性の向上と国及び地方公共団体の行政の合理化に資するため、住民基本台帳をネットワーク化し、全国共通の本人確認が可能となるシステムである。
市町村においては、住民基本台帳事務を行うため「既存住基システム」を有している。住基ネットが保有する本人確認情報は、氏名、住所、生年月日、性別、住民票コード及び個人番号であり、住民基本台帳情報のうちこれらに変更があった場合には、既存住基システムからコミュニケーションサーバ内の本人確認情報の更新が行われる。住基ネットは市町村に設置されているコミュニケーションサーバ、都道府県サーバ及び全国サーバを結ぶ形で構成されており、コミュニケーションサーバ内の本人確認情報の更新が行われると、住基ネット回線を用いて市町村から県、県から全国と本人確認情報の通知が行われ、それぞれのサーバが保有する本人確認情報が更新される。
全国サーバが保有する本人確認情報は、国や他の地方公共団体などの行政機関へ提供できる仕組みになっているが、この提供については法令で定められた分野のみに厳しく限られている。
本市においても、法に則った運用を行っており、「長崎市住民基本台帳ネットワークシステムに係る管理及び運用に係る規程」「住民基本台帳ネットワークシステムの運用に係る取扱要領」等を定め、より適正なシステムの運用管理ができるよう努めている。

（2）セキュリティ対策
ア　住基ネット運用に係るセキュリティ対策における関連法令等
住基ネットのセキュリティ対策については主に「住民基本台帳法」と「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準」に規定されている。また、「技術的基準」の具体例を示す形で、「住民基本台帳ネットワークシステムのセキュリティ対策に関する指針」が提供されており、これらをもとに本市においても管理運用規程等を作成し、住基ネットの運用を行っている。

イ　セキュリティ管理の責任体制について
　本市においては、住基ネットのセキュリティ管理の責任体制について「長崎市住民基本台帳ネットワークシステムに係る管理及び運用に関する規程」に定めており、住基ネットのセキュリティ管理に関する最高責任者として「住基ネット統括責任者」を置き、システム部門の責任者として「システム管理責任者」を、個人情報管理の責任者として「個人情報等管理責任者」を、各住基ネット利用課における現場でのセキュリティ管理の責任者として「セキュリティ責任者」をそれぞれ任命している。

【質疑等】
〇住基ネットのシステムはマイナンバーのシステムとは別か。
→情報連携提供ネットワークシステムになり、住基ネットのシステムはマイナンバーのシステムとは別になる。

〇資料の中で、全国ネットワークのうち、全国サーバと行政機関を結ぶところに、専用回線又は磁気媒体とあるがこれはどういうものか。
→住基ネットではなく、LGWAN回線とは別で、全国ネットとつながる磁気媒体又は専用回線である。特別なネットワークになる。

5　議題
（1） 内部監査の実施方法の変更について
「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準」第2－4により定められている住民基本台帳ネットワークシステムの監査については、これまで長崎市住民基本台帳ネットワークシステム内部監査委員会設置要領において、長崎市のそれぞれ別の専門部門からの委員が、日常運用やセキュリティ対策、緊急時対応に関する項目を中心に、現地調査、聞き取り調査、ログの確認等を主に実施してきた。
本人確認情報の検索件数については、住基ネットが導入された当初は年間100件程度だったものが、現在ではマイナンバーカードの普及や情報連携も始まったことから、年間6万件にも達しており、今後もマイナンバーカードの普及が進むにしたがって検索件数の増加が見込まれる。ログチェックの方法も実情に応じた方法に見直すよう内部監査委員会から過去指摘があったことも踏まえ、内部監査の実施方法への見直しを考えている。
まず1点目、これまで監査内容が本人確認情報検索時の運用及びアクセス管理に偏っていたことから、指針に示すセキュリティ管理全般をまんべんなく監査できるよう、内部監査チェックシートの項目を指針に沿ったものに改定し、チェック項目は長崎県を通じ、国へ毎年提出する自己点検の調査表を基に作成している。2点目は、内部監査チェックシートに、「監査の観点」の項目を整理し、明示。3点目は、本人確認情報検索のログチェックについては、ある一定期間抜き取ってチェックを行っていたが、今後は、休日・時間外等の不自然な操作がないかなど、実効性のある全体調査に変更する。また、今後は内部監査の計画を立てて年1回実施し、指摘された事項があれば、審議会委員の皆さんに専門的な立場から意見をいただき、見直しを行っていきたいと考えている。また、監査結果の公表の仕方についても、今後、検討していくこととする。

【質疑等】
〇内部監査のチェックリストは住民基本台帳ネットワークシステムのセキュリティ対策に関する指針を基に作成したということだが、その自己点検チェックシートを基に作ったものか。
→自己点検チェックシートは県を通じ、国に毎年提出しているもの。項目としては、もっと多岐にわたるもので、このチェックシートは非公開の部分も含まれているため、外に出すと、どういった視点でチェックをしているかがわかるので、今回配布することは控えた。内部監査の充実を図りたいということで、チェック項目を参考に観点を整理、作成した。

〇今回のチェックシートは、これまでの内部監査のチェックシートと比べてどう変わったのか。
→これまでの内部監査チェックシートはアクセス管理と本人確認情報の検索の運用について、チェック項目に重点を置いたもので、日常的な機器の設置状況や帳票の管理状況等で手薄なところがあったため、全体的なバランスを取った内容で、内部での監査でしっかりチェックし、運用を適切にできるよう改定を行うようにしている。

〇資料5ページにある住民基本台帳ネットワークシステムのセキュリティ対策に関する指針が非公開となるのか。
→指針の一部は非公開の部分もあるが、「住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査書」による自己チェックシートが非公開となっている。

〇この自己点検が内部監査に当たるか。外部監査を内部監査に変えることができることは、既にどこかで決まっているのか。
→自己点検とは別に、指針に基づいて外部監査をすることが望ましいが、外部監査ができない場合は、外部監査に代わるものとして内部監査をすることになっている。

○市区町村システム運営監査手引書及び付録A、Bも非公開か。
➝非公開である。

〇関係者以外の委員が内部監査をしていることは理解している。しかし、世間では年金機構等の問題で外部監査が重要視されているところだが、内部監査が外部監査より厳しいものがあるか。内部監査できちんとできるのか。他に似たような形の監査や点検がされている、もしくは外部監査でなくてもきちんととできているということがあれば納得できるが。外部監査以上に厳しいものがあるか。
→外部監査が望ましいという部分もあるが、昨年までのやり方は内部監査の結果を見て、報告のみ行っていた。現在、自己点検のチェックシートに基づく、多岐にわたる項目に住基ネットの管理運用については、事細かにJ-LISから指針を含め、かなり厳しいことが示されている中で、それと違う運用は基本的にありえない。全国一律に運営されているので、自己点検のチェックと合わせて毎年チェックをしっかりすることで外部監査に頼らず、内部監査でいいのではないかと現時点で考えている。
外部監査が望ましいという意見を審議会でいただければ、外部監査も視野に入れながら検討を進めていこうと考えている。

○どうして自己点検があるのに、外部監査をするのか。項目が同じでは。自己チェック項目と内部監査項目は一緒では。
➝内部監査については報告のみではなく、現地確認や職員からの聴き取りなど、現場に近いところで監査をするということに意味がある。

〇外部監査等については、行政行為として、経済性・有効性・効率性というところで、費用が結構かかりそうなので、それをどこまで費用をかけてするか。という話になる。

○今回、内部監査、外部監査にするかを議論するところではないと理解しているが、これでいいかと言われれると、悩ましいところがある。

○監査項目を並べて確認した限りでは、いいのではないかと思う。これで網羅しているかはここで返事しづらい。

○課題が日常、本人確認情報の検索時の運用及びアクセス管理に偏重していると言っていたが、メインの改訂項目は監査項目の何番あたりになるか。
➝日常運用の9、10にあたるところで、大量の検索、業務上必要のない検索など、内部監査で図っている。分かりづらいところもあるが、これまでの監査項目が広がりすぎていたため、細かいところが見えるようにしている。

○観点が3つある部分など、項目が3つあるように見える。
➝J-LISの分も大項目と小項目になっている。大項目と細かい観点（小項目）を見ながら大項目で判断する。

〇調査票をベースに作られているようだが、観点が小項目に見える。小項目でチェックしても問題ないのでは。大項目に観点がいくつか入っているため、1つの観点がダメなら、それを含む大項目がダメとなり、どちらの観点でダメだったかがわかりにくいので、小項目でチェックした方がいいと思う。

〇これまでは運用とアクセス管理でやってきたようだが、改定分は日常運用とセキュリティ対策はそのままで、どこら辺が増え、まんべんなくチェックできるようになったかがわかりにくい。
→これまでは操作のログを打ち出して、端末使用伺いと1件ずつ突合作業をしていた。以前は年間100件程であったが、現在、年間6万件という数字になってきているため、1週間を抜き出し、重点的に突合していた。しかしながら、年間を通じて見れないところがあるので、時間外の利用がないか、休日の利用はないかなどの傾向を見て、何のために使ったのか確認するようなやり方に切り替えていく趣旨。

〇1つ目の課題（監査項目が本人確認情報検索時の運用及びアクセス管理に偏重している。）については、監査範囲が広がったということはあるのか。
→これまではオペレーションに重点を置いていて、責任体制を日常運用の中で確認できているところはない。以前は本人確認の操作員の運用の監査が多かったが、改定分はサーバ室や端末の設置、ドキュメント類の回復がきちんとできているなど幅が広がって観点がずいぶん変わった。まんべんなく監査ができるようになっている。

〇以前、野母崎の現地調査で見せていただいたが、端末を使用している所は、普通の人から見えないところにあるなどの項目がなくなっていると思ったが、そういうところは大丈夫なのか。
→日常運用の（4）の項目での設置状況のところに挙げている。

〇まだこのチェックシートでの内部監査はやっていないと思うので、1回実施してみてこれでいいかというチェックを必ずしてほしい。

〇2点目、操作ログについての観点のリストはないんでしょうか。
→今、皆さんにお示しできるものはないが、ログを整理したうえで、月間を通じて時間外の使用の有無と時間外の使用があった場合、操作者IDからの総数と本人確認情報検索の件数、時間外の使用があった場合、勤務命令書があり、業務外で使用していないということも確認し、監査委員に示していく予定です。基本的に全体的なログを見ながら、時間外に不審なものがあれば、ログと申請書類とを一部抜き出して突合していく。これまでは1週間分の勤務時間内及び時間外についての使用がないかどうかを正しく確認して、内部監査でそこも重点的に見てもらうようにする予定。

〇今後も抽出し、突合をする可能性はあるか。1年間の解析とは別途抽出調査も行うか。
→現在は1カ月に5,000件ほどあるため、一部、時間外などで不審なものがあった場合、1日分とか、1週間分とか、時期を決めての抽出調査を行う可能性はある。

〇時間外、休日の使用であるとか、20人以上の検索など通常の業務に外れるような場合を重点的に見た方がよいと思う。また、観点の一覧を作って、操作ログの解析も行うとよい。

（2）審議会における審議内容について
「長崎市附属機関に関する条例」において、本審議会の設置が規定されている。本審議会の担任事務は、「住民基本台帳ネットワークシステム管理及び運用に関する重要事項の調査審議に関すること」となっており、これまで年1回定期的に開催していた審議会においては、重要事項のみではなく、日常運用の報告も含め、審議をしていただいていたところである。これは、本審議会の前身である監視委員会からの流れを引き継いだ形であった。こうしたことから、今後の審議会において審議する内容を整理したいと考え、その方向性について、ご意見をいただきたい。
事務局としては、今後は重要事項の審議が必要な場合、例えばセキュリティ対策の見直しがされた場合や、個人情報に関する事故等が生じた場合のみ開催し、定期的な開催はしない方向で考えている。

【質疑等】
〇審議会における審議内容とは、事務局側で重要事項と決めてまとめたものを、審議会に諮り委員が審議するという意味なのか。審議会の中で、これが重要事項かどうかを話し合う場になるのか。
→重要事項は一旦事務局で整理して、委員の皆さんに示す。セキュリティ対策の見直しがあった時や、個人情報にかかる大きな事故等が起こったときに、専門的な立場から委員の皆さんに意見をお聞きしたいと考えている。

〇重要事項は一覧として挙がってくるのか。
→セキュリティ対策の見直しや、個人情報に関する事故が起こった場合に、我々の体制でチェック機能を含め、意見をいただき改善してくことを考えている。

〇これまででセキュリティ事故はなかったか。
→情報漏洩に関する事故は上がっていない。

〇審議会等の設置の中で、仕組みを確立することが望ましい。「個人情報保護審議会とそれに類似する組織がある場合は既存の組織を利用することも可能。」とある。
個人情報保護審議会でやっても構わないと思うが、長崎市はこの審議会を作っている。一定の業務内容を定めて、簡素化できることは行い、個人情報保護審議会で集中してやるということでもよく、重要事項があった時のみ開けばよいとも思う。

〇重要事項がないと判断した場合は、何年も開催されないということもあるのか。
→2年に1回という任期もあることから、任期中に1度は会長の互選や、新しい委員さんに就任いただくこともあるため、住基ネットの内容についても理解いただくという場にもなる。基本的にこれまでは年に1回開催していたが、内部監査の報告等行っており、住基ネットワーク審議会のルールは示されていることから、正しく市として運営されているか確認する場で、重要事項としては議題としては上がりにくいと思われたため、考え方について意見をいただければと思い議題として挙げた。

〇うまく運用されているということを確認するための審議も必要なのでは。それはなくなるのか。
→これまで毎年開催して、運用状況や内部監査の報告をしていたが、個人情報保護審議会とは別に、住基ネットワークとして、この審議会を立ち上げており、この審議会が必要ということであれば、これまでどおり年に1回の開催を考えている。重要事項が上がった時にのみ開催するということになると年に数回開くという形にもなる。

〇長崎市民にどこまで示すかということですよね。

〇重要事項が明確でない、ということだが、我々も審議会の委員として重要事項であるかを判断することなく、単に任せきりになってしまうと、我々の善管注意義務にもかかわってくるので、重要事項かどうかで規則を見ると、会長がこの審議会を開くとなっている。どういう変更があったかを各委員に教えていただき、審議会が必要かどうか判断し、審議会の開き方は我々委員が決めないといけないとも感じた。
重要事項の範疇は明確でなく、何かあった時に審議会として機能していたのかと問われた場合、審議会の重要事項の範疇は事務局に任せていたというのも、どうかと思うので、重要事項を我々が把握できる体制が必要であり、いつでも会議は開くことはできるので、定期的に開くことで委員の責任も果たすことができる。

〇毎回、審議会を開催して、会わないといけないのか。メール審議やテレビ会議などで十分にも思える。やってみないとわからないが、メールに残ったらまずいという情報などもあると思うので難しいだろうか。
→審議会の委員に就任いただいているため、会長をはじめ委員の方にこの場以外でも相談させていただくケースも出てくると思う。
「重要事項とは何か。」ということも含め、事務局として具体的なものをまとめ、整理したうえで改めて意見をいただきたい。　
個人情報保護審議会で市独自のシステムを含めて、全庁的に役割を見ていただいた方がよいのか、この審議会で独立した形で、この住基ネットワークシステムについて意見をいただいた方がよいのかを整理する時期が来ていると感じている。
また令和2年度に改めて会議を開き、意見をいただきたいと思う。

（3）現地調査
情報システム課で主に住基ネットシステム機器の設置状況について確認を中心に現地を確認・調査した。

（4）その他
前回、審議会が開催された平成31年2月6日からこれまでの間に発生したシステム障害について窓口サービスに影響が及んだものについての報告。
令和元年11月11日から13日にかけて、全国的に公的個人認証システムでエラーが発生した。システム障害の主な原因は、電子証明書の更新の過程で発生したサーバ間の通信処理の不具合で、長崎市ではこの間に電子証明書の更新で来庁した方が、各地域センター全体で29名、電子証明書の新規発行等の処理で来庁した方6名に影響があった。事情を説明し、復旧後に処理をして後日、本人へ渡すことができた。後日、国から、今後は安定的に稼働できるよう、計画的にシステムの増強を実施する予定であるとのことで報告がなされ、その後は特に問題なく稼働している。

【質疑等】
特になし。

6　閉会

お問い合わせ先

アンケート

「行政運営・審議会・指定管理者・監査」の分類