HOME > U+(ユープラス) > 電子自治体の行政情報化ニュース > 自治体IT革命の今日、明日 第220回 「情報セキュリティ *ポリシーと監査* ガイドライン、その3『内部統制、改正法から−ITガバナンスと情報セキュリティガバナンス−』」
2019/01/15
明けましておめでとうございます。
本年も変わらずご愛読のほどお願い申し上げます。
2019年 初春
六日は24節気の「小寒」でした。“池や川の氷も厚みを増し、寒さが厳しくなる頃です。この日を「寒の入り」といい、寒さの始まりを意味します。そして、小寒と大寒を合わせたおよそ1か月を「寒中」「寒の内」といい、寒中見舞いを出す時期とされています。”
(前回より)
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〇目的
情報セキュリティ対策全般の実効性を確保するとともに、情報セキュリティポリシーの見直しを行うことが重要であるが、そのための有効な手法となるのが「情報セキュリティ監査」 である。
〇策定の経緯
1.初版
平成13年 3月(2001年03月):
「地方公共団体における情報セキュリティポリシーに関するガイドライン」
平成15年12月(2003年12月):
「地方公共団体における情報セキュリティ監査に関するガイドライン」
2.第2版
平成18年 9月(2006年09月):
ポリシーガイドライン
平成19年 7月(2007年07月):
監査ガイドライン
を全部改定。
3.第3版
平成22年11月(2010年11月):
ポリシーガイドライン
監査ガイドライン
を一部改定。
4.第4版
平成27年 3月27日(2015年03月):
ポリシーガイドライン
監査ガイドライン
の一部改定。
5.第5版
平成30年09月(2030年09月25日):、
ポリシーガイドライン、
監査ガイドライン
を改定。
http://www.soumu.go.jp/menu_news/s-news/01gyosei07_02000073.html
〇意義と種類
1.情報セキュリティ監査の意義
2.自己点検と内部監査と外部監査
外部監査の形態には、
3.助言型監査と保証型監査
情報セキュリティ監査では、
4.準拠性監査と妥当性監査
〇監査ガイドラインとポリシーガイドラインの関係
<本ガイドラインとポリシーガイドラインの関係>
<参照>
情報セキュリティ監査ガイドライン(平成30年09月版)
http://www.soumu.go.jp/main_content/000575053.pdf
第1章 総則 1.4 本ガイドラインとポリシーガイドラインの関係(page7 図表1.2)
〇個人情報保護法
個人情報の保護に関する法律は、個人情報の取扱いに関連する日本の法律。
・法の体系
<基本法>
第1章 総則(第1条―第3条)
第2章 国及び地方公共団体の責務等(第4条―第6条)
第3章 個人情報の保護に関する施策等
第1節 個人情報の保護に関する基本方針(第7条)
第2節 国の施策(第8条―第10条)
第3節 地方公共団体の施策(第11条―第13条)
第4節 国及び地方公共団体の協力(第14条)
<一般法>
第4章 個人情報取扱事業者の義務等
第1節 個人情報取扱事業者の義務(第15条―第36条)
第2節 民間団体による個人情報の保護の推進(第37条―第49条)
第5章 個人情報保護委員会(第50条―第65条)
第6章 雑則(第66条―第72条)
第7章 罰則(第73条―第78条)
・個人情報保護法制の体系
個人情報保護法以外には、国の行政機関、独立行政法人などの法律そして地方公共団体などの条例が存在する。(個人情報保護法関連5法を参照。)
1.基本理念(第1章)
高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることに鑑み、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする(第1条)。
個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきことに鑑み、その適正な取扱いが図られなければならない(第3条)。
・「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう。 (法第2条1項)
2.背景
1.情報化社会の進展とプライバシー問題の認識
2.個人情報保護法制定の世界的潮流
3.OECD理事会のプライバシー保護勧告
4.地方公共団体の個人情報保護条例の増加
5.EU一般データ保護規則(欧州連合指令)
6.電子商取引におけるプライバシー保護の要請
7.住民基本台帳法の改正による個人情報保護法制の要請
・EU指令
1980年 OECDガイドライン(「OECD8原則」)
1995年 EU指令(「EUデータ保護規則」)
・OECD8原則
1.目的明確化の原則
収集目的を明確にし、データ利用は収集目的に合致するべき。
2.利用制限の原則
データ主体の同意がある場合又は法律の規定による場合以外は、目的以外に利用してはならない。
3.収集制限の原則
適法・公正な手段により、かつ情報主体に通知又は同意を得て収集されるべき。
4.データ内容の原則
利用目的に沿ったもので、かつ正確・完全・最新であるべき。
5.安全保護の原則
合理的な安全保護措置により、紛失・破壊・使用・修正・開示など(脅威)から保護すべき。
6.公開の原則
データ収集の実施方針などを公開し、データの存在、利用目的、管理者などを明示すべき。
7.個人参加の原則
自己に関するデータの所在及び内容を確認させ又は異議申し立てを保証すべき。
8.責任の原則
管理者は諸原則実施の責任を有する。
・住民基本台帳法の改正
平成11年08月 住基法改正
附則1条1項:「公布の日から起算して3年を超えない範囲内において政令で定める日(2002(平成14年)/08/05)から施行する。」
附則1条2項:「この法律の施行に当たっては、政府は、個人情報の保護に万全を期するため、速やかに、所要の措置を講ずるものとする。」
平成14年8月5日 住基ネット稼動
3.経緯
1988年(昭和63年)に、公的機関を対象とした「行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律」が公布された。1989年(平成元年)には、民間部門に対して通産省(現経済産業省)が「民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン」を策定した。
2002年(平成14年)に個人情報保護法関連5法が国会に提出された。個人情報保護法は、個人情報を取得する際には個人情報の利用方法を本人に明確に伝えなければならないと定めているために、報道の自由を侵害するなどの理由から反対運動が展開され、一度廃案となったが、再度審議され2003年(平成15年)05月に成立した。
4.改正個人情報保護法(平成27年度改正)
蓄積された膨大な個人情報を「ビッグデータ」として企業が利用しやすくする一方、情報漏洩に対する罰則を新設した。
・取り扱う個人情報の数が5000件以下の「小規模取扱事業者」も法律適用の対象となり、「件数要件」が撤廃となった。
・「利用目的の明示」、「第三者提供の際の本人同意」といった個人情報を活用するにあたっての義務が細かく定められた。
・個人情報を復元できないよう「匿名加工情報」にするなど、一定の条件を満たすことで第三者に提供することも可能になるとされた。
〇個人情報保護法関連5法(2003年(平成15年))
1.個人情報の保護に関する法律(個人情報保護法)
2.行政機関の保有する個人情報の保護に関する法律
3.独立行政法人等の保有する個人情報の保護に関する法律
4.情報公開・個人情報保護審査会設置法
5.行政機関の保有する個人情報の保護に関する法律等の施行に伴う関係法律の整備等に関する法律(整備法)
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
(以上)
◎「情報セキュリティ *ポリシーと監査* ガイドライン、
その3 『内部統制、ITガバナンスと情報セキュリティガバナンス(改正法から)』」
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
Ⅰ.地方自治体の内部統制
*地方自治法の一部改正『改正法』
1.内部統制の意義
2.4つの目的
3.6つの基本的(構成)要素
Ⅱ.日本版SOX法
1.日本版SOX法の背景 ・・・ 略
2.内部統制とIT統制
Ⅲ.地方自治体のITガバナンスと情報セキュリティガバナンス
1.ITガバナンス
2.情報セキュリティガバナンス
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〇地方自治法の一部を改正する法律:『改正法』
平成29年法律第54号、平成32年04月施行 内部統制関連は32年04月施行!
1.内部統制に関する方針
1.内部統制に関する方針の策定
2.内部統制に関する方針の公表
3.内部統制に関する方針の見直し
2.内部統制体制の整備
1.全庁的な体制の整備
2.業務レベルのリスク対応策の整備
3.内部統制評価報告書の作成
1.内部統制の評価
2.有効性の評価
3.内部統制評価報告書の作成・報告
4.監査委員による内部統制評価報告書の審査
1.内部統制評価報告書の審査
2.内部統制評価報告書の審査とその他の監査等の関係
Ⅰ.地方自治体の内部統制
Ⅰ-1.内部統制の意義
・内部統制の背景と意義
*地方自治法の一部を改正する法律(平成29年、平成32年04月施行:『改正法』)
・監査制度の充実強化
・長や職員などの損害賠償責任の見直し
1.内部統制の「背景」
1.地方分権改革の推進により、自律的な行政運営が求められていること。
2.行財政改革が進展していく中、行政サービスの質を確保した上で、業務の効率化やコスト削減に向けた取組を積極的に進めていくことが必要不可欠となること。
3.行財政運営における透明性及び信頼性を確保する必要があること。
4.相次ぐ不祥事件を受けて、不正の根絶及び不適正な事務処理の改善に向けた取組が必要となること。
5.地方自治体の財政の健全化に関する法律(以下「地方財政健全化法」という。)の成立により、適正な財務指標の公表がより一層求められ、また、単年度フローのみではなく、ストック面にも配慮した財政状況の判断が必要となること。
2.内部統制の「意義」
内部統制とは、業務に組み込まれ、組織内のすべての者によって遂行される
プロセスであり、地方自治体の業務を根底から支えるべきものである。
地方自治体において内部統制を整備・運用する意義は、
1.自らの行財政運営についての透明性を高め、それらを取り巻く様々なリスクに対して自律的に対応可能な組織を整えること。
2.行政サービスの質を確保した上で、業務の効率化やコスト削減に向けた取組を積極的に推進すること。
3.内部統制の「便益」
1.業務内容及びプロセスを可視化
ー> 業務の有効性及び効率性の向上
−> 「地域住民」は、大きな便益を受ける!
2.業務におけるリスクとコントロールを可視化
−> 不正行為及び不適正な事務処理の発生を有効にチェック
−> 「首長や職員」は大きな便益を受ける!
3.有効なチェック体制の確立
−> 行財政運営の妥当性等をより的確に判断できる
−> 議決機関あるいは監視機関としての「議会」に大きな便益!
Ⅰ-2.4つの目的
1.業務の有効性・効率性 −> 行政サービス改革
(公共サービス改革法)
2.財務報告の信頼性 −> 財政改革
(地方財政健全化法=自治体版SOX法)
3.法令などの遵守 −> コンプライアンス
4.資産の保全 −> 資産・債務改革
(公会計改革)
Ⅰ-3.6つの基本的(構成)要素
1.統制環境
2.リスク評価と対応
3.統制活動
4.情報と伝達
5.モニタリング(監視活動)
6.ITへの対応 −> IT統制
Ⅱ.日本版SOX法
Ⅱ-1.日本版SOX法の背景 ・・・ 略
Ⅱ-2.内部統制とIT統制
・内部統制
1.日本版COSOフレームワーク
2.内部統制とCOSOモデル ・・・ <参照2>
・IT統制
3.ITから見た内部統制のフレームワーク
4.IT統制とCOBIT ・・・ <参照3>
・IT業務処理統制
5.財務統制要点とIT業務処理統制の統制目標
・IT全般統制
6.情報セキュリティ
7.システム運用(ITSM/ITIL)
Ⅲ.地方自治体のITガバナンスと情報セキュリティガバナンス ・・・ <参照1>
Ⅲ-1.ITガバナンス
*地方自治体 ITガバナンスの6分野 と 「COBIT」との比較
<参照>日本ITガバナンス協会 「COBIT5」
http://www.itgi.jp/cobit/
1.基本戦略
1-1 IT利用の基本方針策定
1-2 全体最適化の取組
2.推進体制
2-1 組織体制の確立
2-2 人材の確保・配置
3.予算・実施計画・評価
3-1 予算・実施計画の策定
3-2 評価の実施
4.調達&開発・運用
4 調達&開発・運用の管理
5.情報セキュリティ
5 情報セキュリティの確保
6.標準化、知識共有&人材育成
6-1 標準化・知識共有
6-2 人材の育成
Ⅲ-2.情報セキュリティガバナンス
1.情報セキュリティポリシーガイドライン
・地方公共団体における情報セキュリティポリシーに関するガイドラン
(総務省 2018/07/17 平成 30 年 09月版 )
http://www.soumu.go.jp/main_content/000564366.pdf
2.情報セキュリrティ監査ガイドライン
・地方公共団体における情報セキュリティ監査に関するガイドラン
(総務省 2018/07/17 平成 30 年09月版 )
http://www.soumu.go.jp/main_content/000564365.pdf
<参照1> ITガバナンスと情報セキュリティガバナンス
<参照2> 地方自治体における内部統制のあり方
<参照3> 地方自治体のITガバナンスガイドライン
平成31年01月10日
上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。
