ここから本文です。

令和2年度第1回長崎市住民基本台帳ネットワークシステム管理運用審議会

更新日：2020年12月14日　ページID：035833

長崎市の附属機関について（会議録のページ）

担当所属名

中央総合事務所中央地域センター

会議名

令和2年度第1回長崎市住民基本台帳ネットワークシステム管理運用審議会

日時

令和2年8月20日(木曜日) 14時00分～

場所

長崎市役所本館地下1階議会第1会議室

議題

1 開会あいさつ
2 事務局紹介
3 議題
（1）令和元年度内部監査の実施報告（チェックシート修正）
（2）令和元年度管理運用会議報告
（3）重要事項の整理、今後の審議会の在り方
（4）その他
4 閉会

審議結果

議事録 1 開会あいさつ
住民基本台帳ネットワークシステム統括責任者よりあいさつ

2 事務局紹介
委員及び事務局の紹介

3 議題
（1）令和元年度内部監査の実施報告（チェックシート修正）
【事務局】
前回の審議会（令和2年2月13日開催）で一部修正の意見があった「内部監査チェックシート」【資料1】と、令和元年度内部監査（令和2年3月19日実施）で使用したチェックシート【資料2】を添付。修正箇所として、監査項目の観点が小項目に見えて判断が分りにくいとの意見を基に、観点を一つの項目に置き換えて、それぞれに評価したことを説明した。
「住民基本ネットワークシステム内部監査委員会」の報告書【資料3】の監査の結果で、（1）聞き取り調査による結果（2）ログ解析等による監査（3）現地調査による監査でいずれも「問題なし」との評価を得たことを報告した。
また、内部監査の際に【資料2】監査項目1「日常運用/セキュリティ管理」（2）教育・研修（ア）後段「～研修計画を作成している」を、作成するだけではなく、実施状況まで監査すべきとの指摘を受け、「～研修計画を作成し、実施している」に修正すると説明した。

（2）令和元年度管理運用会議報告
【事務局】
令和元年度「長崎市住民基本台帳ネットワークシステム管理運用会議」を令和2年2月13日に開催し、本審議会の意見を反映した改訂後の内部監査チェックシートで実施することで了承された旨を報告した。

【質疑等】
〇内部監査の総評については、各地域センター毎に聞き取りをし、それぞれのチェックシートを作ったものか。
→各地域センターが、住基ネットOSユーザーID管理簿、月次点検票、日次点検簿を提出し、その結果を反映したチェックシートにより内部監査を受けたもの。
○内部監査チェックシートで大きく変更されている箇所を教えて欲しい。
例えば、「（2）適時研修を実施している」が、修正後は「研修計画を作成している」になっているが、これはミスか。
→事務局で修正が漏れていた。改めて今年度の内部監査に向け、もう一度確認しながら修正等に取り組みたい。
○管理運用会議次第には議事しか書いてないが、議事録の添付はないのか。
→議事録は有るが、今回は添付していない。特に監査については、課題と変更点を申し上げて承認をいただいた。
○以前、ログをチェックする観点を議論したが、マイナンバーの件で非常にログが増えると想定されることから何か変更していかなければならないものがあるのか。
→一昨年までは、大量のログを抜き出して分析していた。昨年度は、通常業務に使用する分を除き、時間外と土、日、休日に不正なアクセスが無いか全部拾って分析するように変更した。内部監査に報告して問題ないと回答があった。
今後、ログ解析ソフトの導入を予定している。

（3）重要事項の整理、今後の審議会の在り方
【事務局】
【資料5】長崎市における「住基ネットセキュリティの体制等」による説明。
地方公共団体情報システム機構（以下、「J－LIS」）が作成した「住民基本台帳ネットワークシステムのセキュリティ対策に関する指針」に則り、「体制の整備」「規程の整備」「緊急時対応計画書の作成」について具体例が示されており、この3項目を重要事項として捉えている。システム運用に影響を及ぼすような変更等の事由が生じた場合、本審議会の開催を打診し、意見を伺いたいと考えている。
前回の審議会で、審議会の開催は審議会の委員が決定する旨の意見を頂戴しているので、その判断基準について意見をお願いしたい。
監査体制については、毎年、住基ネットの管理運用に関する135項目に渡る詳細な自己点検を全国一律に行い、総務省に提出している。
また、内部監査についても、チェックシートにより実施しており、外部監査に頼らない管理運用が可能と考えている。

【会長】
重要事項があるとして審議会を開催するか否かの判断は委員で決めるべきという議論が前回あったので、ここは時間を掛けて議論したい。本審議会は、客観的な立場から、住基ネットのセキュリティ対策に関する意見を住基ネット統括責任者に述べる位置付けになる。
重要事項が無ければ開催しないとのことだが、何を基にその判断をするのか。さっき（管理運用会議の）議事録がないと言ったが、議事録を見て何か問題が有るかというのを判断し、問題があれば議論するべき。

【質疑等】
○審議会を開催して、そこに重要事項が有るか無いかを判断するのではなく、どこかで重要事項だと判断されて審議会を開催するのか。
→（会長）判断するのは委員なので、集まって判断するか、または、整理した文書をメール等でもらって開催すべきか意見照会を掛ける、の2通りが考えられる。
○管理運用会議の議事録や、内部監査の結果報告等を委員に送付してもらい、重要事項の可能性や質問したいことがある時に審議会を開いてはどうか。
○そうなると「会を開くまではないか」と委縮してしまうこともある。原則として年に1回は開催し、委員全員が「開かなくていい」となった時に、開かないことにしてはどうか。

【住基ネット統括責任者】
重要事項をどう線引きするかは非常に難しく、例えば各種規程の中身を変更する、あるいは組織体制を大きく見直す等を重要事項として、委員にはその部分に関わって欲しい思いがあった。しかし、各委員の意見を頂戴し、内部の管理運用会議もどういった議論が有り、しっかり内部も組織として機能しているか、運用面も含めて、最低年に1回はチェックするのがこの本審議会の役割として重要であるという趣旨のご意見だと理解した。
従って、重要事項と事務局が判断した時は相談しながら開催させて欲しい。また、重要事項が無くても運用関係も含めて、毎年、議論、見直し、継続された事項等、第三者の視点で監視をしていただきたい。

○審議会を開催するのはものすごく大変なのか。例えばWEB会議とか、簡単に開催できないのか。
【住基ネット統括責任者】
多忙な委員の日程調整に非常に時間を要する。今回のコロナの問題を含めて、行政もオンライン会議を進めているところ。やり方も含めて、今後見直しも可能と思う。

○資料を見て、この場限りで重要事項を見付けることは中々大変である。
○委員から事務局に欲しい資料を今、議論して決めてはどうか。
→（会長）重要事項であるかの判断をするために、管理運用会議の議事録と、議事に使用した資料。内部監査委員会の報告書。規程が変わった場合は規程。基本はこの3つ。緊急時、スケジュール調整が大変な場合は、積極的にリモートで打合わせをする。

○長崎市第四次総合計画の中に、住基ネットのセキュリティ対策が含まれているのか。
→含まれていない。

○ネットワークシステムに係る取扱要領で、各種手順書が一部未整備となっているが、今後整備して行く予定か。
→出来れば、今年度中に整備したい。
○どの部分が未整備なのか。
→J－LISが提示しているかなり細かい「手引書」の取扱い、複写、使用、破棄に関して担当を明確にしているか等が未整備となっている。以前から未整備で少しずつ進んでいるが完成に至っていない。今年度、整備できるかは分からないが努力する。

○事務局から委員へ質疑
【システム管理責任者】
新庁舎への移転で新たにサーバ室を整備し、例えば、サーバ室の入退室の管理をICカードと生体認証とする等、今以上のセキュリティ対策を取りたいと考えている。セキュリティの規程変更という観点から重要事項に該当となるのか。該当するとなると、その他どういった整備を行えばよろしいか。
→（会長）やっぱり、重要事項に当たる。入退室の管理や、システムのアクセスの管理の両方が該当する。

【システム管理責任者】
システム自体は基本的には、新庁舎に移転しても変わらないため、どちらかというと入退室管理等、運用的な部分への対策が変わると思う。
→（会長）管理運用会議で、システム管理責任者として報告をすれば、それが議事録となり、間接的にではあるが、我々がチェックさせてもらうことは可能である。

【会長】
長崎市が、国やJ－LISが示す指針に沿って、色々な会議を運用していることは理解できるが、外部の客観的な立場の人は我々しかいない。勿論、内部の方々がしっかりやって頂いていることを前提として、客観的な立場で意見を述べさせて頂く、ということになったので、よろしくお願いします。

（閉会）