自治体の情報漏洩の原因は?対策について解説!
※この記事は製品や技術にまつわるお役立ち情報=豆知識を意図しておりますことから、弊社製品以外の製品や市場一般に関する内容を含んでいることがあります
自治体は、住民の個人情報など重要なデータを保管していますが、情報漏洩してしまったケースがあります。
そこで本記事では、自治体の情報漏洩の原因や対策について解説していきます。
情報漏洩対策でお悩みの自治体は、ぜひ参考にしてみてください。
目次
自治体の情報漏洩の原因
ここでは、自治体の情報漏洩の原因について解説していきます。
外部攻撃
自治体の情報漏洩の原因の1つは、外部攻撃です。
ハッキングや機器のウイルス感染などサイバー攻撃による被害を指します。
攻撃者はOSやクラウドサービス、ソフトウェアなどの脆弱性を悪用し、不正アクセスやマルウェア感染を通じて重要なデータを盗み出します。
外部攻撃を防ぐ方法として、下記が効果的です。
・ソフトウェアやOSの定期的なアップデート
・侵入検知システムやセキュリティソフトウェアなどの導入
・強力なパスワードポリシーを取り入れる
・従業員へのセキュリティに対する意識向上のトレーニング
内部不正
内部不正も自治体の情報漏洩の原因の1つです。
内部不正とは、自治体の職員など内部の関係者によって、個人情報や機密情報が不正に扱われることを指します。
内部不正のほとんどが故意的に行われる場合が多いです。
内部不正を防ぐ方法として、内部不正のアラート通知やアクセス権限の最小化、アクセスログの監視などが効果的になります。
人的ミス
人的ミスも自治体の情報漏洩の1つの原因として挙げられます。
人的ミスとは、意図せず情報を漏洩させてしまうことを指します。
たとえば、メールの送信先を誤って機密情報を漏らしてしまうというケースや、情報の公開設定を間違え、第三者に情報を見られてしまうといったケースです。
人的ミスを防ぐ方法として、情報の取り扱いに関するガイドラインの策定やデータ暗号化などの対策が効果的でしょう。
自治体・公務の情報漏洩事件例
ここでは、実際に起こった自治体・公務の情報漏洩事件例について解説していきます。
選挙データの漏洩
2015年6月、大阪府堺市の職員が作成したメール文書や事務マニュアルなどの情報がインターネット上で公開されており、誰でも閲覧可能な状態となっていました。
それにより、2011年11月に開催された大阪府知事選挙時の約68万人の有権者データを含む15ファイルが外部からアクセスされ、個人情報が漏洩しました。
ネット上で公開されてしまったのは、同市職員が市選挙管理委員会に在籍していた頃、有権者情報などのデータを含む選挙システムを市から持ち出し、自宅のパソコンに保管していたことが原因だとみられています。
住民の個人情報の不正持ち出し
2022年5月に宮城県釜石市の職員が全市民の個人情報約3万人分のデータを不正に持ち出し、自宅のパソコンに保管していたことが発覚しました。
外部流出は確認されていませんが、自治体の情報管理の甘さが公になりました。
メールの誤送信による個人情報漏洩
2021年1月、福岡県で誤送信によって新型コロナウイルス感染者に関する約1万人分の個人情報が漏洩しました。
誤ってデータのアクセス権付与のメールを外部に送信してしまったことが原因です。
誤送信先から誤送信の連絡があったものの、アクセス不能にする対処が不十分だったことが問題視されました。
自治体がすべき対策
先ほどご紹介したように、大切な情報を管理している自治体でも情報漏洩が多数見受けられます。
情報漏洩が起こらないように、きちんと対策することが大切です。
ここでは、自治体がすべき対策について解説していきます。
ポリシー策定のPDCAサイクル化
地方公共団体のセキュリティガイドラインをもとに、情報セキュリティを運用するだけでは不十分です。
情報セキュリティを取り巻く環境や脅威は常に変化しているため、定期的に見直して改善していく必要があります。
これをポリシー策定のPDCAサイクル化といいます。
情報セキュリティ監査の標準的な監査項目や、監査手順が書かれた地方公共団体における情報セキュリティ監査に関するガイドラインを活用し、監査や点検時の改善に活かしましょう。
三層分離
自治体ではセキュリティを保守するために、ネットワーク分離が推奨されています。
機密情報を扱う業務はネットワークから分離するというもので、マイナンバー利用事務系、LGWAN接続系、インターネット接続系の3つに分ける三層分離が支持されています。
緊急時対応訓練
前述したメール誤送信による個人情報漏洩のように、緊急事態に陥った場合に迅速かつ適切な対応が求められます。
緊急時にこのような対応をできるようにするためには、日頃から訓練しておくことが大切です。
たとえば、事故の起こりやすい状況を想定して訓練を行うことで、職員のICTリテラシーの向上を目指せます。
委託事業者への指導・監査
システム調達後は、委託事業者の保守点検体制などにも注目しましょう。
契約書上の記載や情報セキュリティポリシーによる対策だけでなく、その後の運用に関する管理も徹底する必要があります。
情報セキュリティ対策の監査・評価体制
外部攻撃に対応できるようにするために、制定した対策がきちんと実施されているか、情報セキュリティソフトなどのアプリは最新の状態になっているかなどを定期的に確認することも重要です。
まとめ
自治体は住民の大切な情報を多数管理しているため、情報漏洩には気をつけなければなりません。
情報漏洩は外部攻撃だけでなく、内部不正や人的ミスによっても発生します。
自治体は、ポリシー策定のPDCAサイクル化、三層分離、緊急時対応訓練、委託事業者への指導や監査、情報セキュリティ対策の監査・評価体制といった対策を行い、情報漏洩に注意しましょう。
🏢導入事例はこちら
👉庁舎建て替え特集
📒製品カタログはこちら
