総務省、行政機関等が保有する個人情報の保護に関する
実態調査結果に基づく勧告を行う
総務省は、7月15日、行政機関および独立行政法人等における個人情報の管理の状況についての実態調査の結果を公表し、必要な改善措置について勧告を行った。
まず、保護管理規程の見直し(改正)については、行政機関45機関のうち44機関(97.8%)、独立行政法人等201機関のうち194機関(96.5%)が平成27年度中に保護管理規程の見直し(改正)を行い、残りの行政機関1機関、独立行政法人等7機関は、平成28年5月までに行っている。
保護管理規程等の見直し(改正)内容についてみると、(1)保護管理者とシステム管理者との連携、(2)保護管理者等現場責任者への研修、㈫複製等の最小限化、処理後の消去、(3)暗号化(パスワード設定)、㈭被害拡大防止措置、等となっている。
保護管理規程の適用範囲についてみると、一般に本府省庁が定めた保護管理規程が当該機関全体で適用される場合が多いが、厚労省では、「厚生労働省保有個人情報管理規程」により当該規程の適用は本省内部部局に限られ、施設等機関および地方支分部局については各機関で保護管理規程を定めることとなっている。このため、厚労省では、189の保護管理規程のうち、平成28年4月に見直し(改正)したものが16規程あるなど、他の行政機関に比べて作業に長期を要している。そこで、総務省では、「速やかに個人情報の安全確保措置を行う観点から、個人情報の適切な管理のためのルールである保護管理規程を速やかに改正することができるよう、厚生労働省全体で保護管理規程を定める等の措置を講ずる必要がある」としている。
管理体制の状況のうち、保有個人情報の漏えい等事案発生時の連絡体制の調査結果では、すべての機関で、漏えい等事案発生時の連絡体制を整備している。また、情報システムから保有個人情報が漏えいまたは漏えいのおそれがある場合には、夜間・休日対応、幹部へのすみやかな報告を行うこととなっている。
被害拡大防止のための注意喚起の実施状況についての調査結果では、すべての機関でLANケーブルを抜くことなどの注意喚起が行われており、その他の取組みとして、不審メールを受信した場合、システム管理者に通報できる機能を日常的に周知している機関や、標的型メールを開封した場合における初動対応等の訓練を実施している機関があった。
各行政機関と独立行政法人等における連携等の状況に関しては、独立行政法人等を所管する行政機関においては、すべての機関で独立行政法人等への指導・助言を行っており、また、独立行政法人等においても、すべての機関で、所管する行政機関からの指導・助言を受け、関係部局等に通知を発出するなどの措置を行っていた。
しかし、内閣府と所管独立行政法人等の間で連絡が不十分である状況や、平成27年度中に保護管理規程の見直し(改正)、教育研修および点検を実施していない独立行政法人等の中には、情報やノウハウがないため実施できなかったとしているものもあったことから、「今後、独立行政法人等を所管する行政機関においては、他の行政機関の取組を参考に、独立行政法人等の保有する個人情報が適切に管理されるよう、なお一層、独立行政法人等に対し、個人情報の保護に関する連絡や支援を的確に行うことが求められる」としている。
個人情報の適切な管理を行うための取組状況に関して、教育研修の実施状況については、行政機関ではすべての機関が、独立行政法人等では201機関のうち200機関(99.5%)が平成27年度中に教育研修を実施しており、平成28年度実施予定の独立行政法人等1機関(0.5%)を含め、すべての機関で教育研修を実施または実施する予定となっている。
教育研修の内容については、行政機関では、標的型メールへの対応の訓練が45機関のうち43機関(95.6%)、標的型メールへの対応の座学および漏えい等事案発生時の初期対応の座学が38機関(84.4%)となっている。独立行政法人等では、法律・訓令等の周知が201機関のうち167機関(83.1%)、標的型メールへの対応の座学が166機関(82.6%)、漏えい等事案発生時の初期対応の座学が151機関(75.1%)となっている。
点検・監査の実施状況については、行政機関ではすべての機関が、独立行政法人等では201機関のうち199機関(99.0%)が平成27年度に点検を実施しており、平成28年度に実施予定の独立行政法人等2機関(1.0%)を含め、すべての機関で実施または実施する予定となっている。
日本年金機構の個人情報流出事案において問題とされた、(1)複製ルールの遵守、(2)共有フォルダ等への複製の保存、(3)パスワードの設定、(4)不要な個人情報の廃棄、(5)漏えい等事案が発生した場合の報告手順等の整備、(6)被害拡大防止のための対処方法、(7)行政機関と独立行政法人等との連携体制の整備については、おおむねすべての機関で点検を平成27年度に実施または28年度に実施する予定となっている。
総務省、個人情報の保護に関する実態調査<結果に基づく勧告(15日)
http://www.soumu.go.jp/menu_news/s-news/105892.html