投稿日: 投稿者: mori

前橋市第三者委員会の検証報告書

個人情報漏えいの疑いについて、群馬県前橋市が設置していた第三者委員会の報告書が公表されました。

なお、事案の詳細は、piyokangoさんがまとめられています

報告書の「第5 終わりに」に記載されている内容がなかなか良いです。以下に抜粋します。

今回は「影」の部分の問題点が露呈したわけであるけれど,「光」の部分に関する問題がなかったのかについても同時に検証すべきであると考える。つまり,「光」と「影」の両面で,MENETの改善・拡充がさらに効率的に実施できる方法はないのかを継続的な情報システムの企画・設計・構築・運用のサイクルの中で検証し続けて行く必要があると考える。

(略)

本報告書で扱った,本事案における目に見える被害に対する対応と再発防止策の実施は当然進めなくてはならないものであるとともに,以下のような目にみえにくい被害を防ぐことにも留意することも肝要である。
1 セキュリティ上の脅威を避けるために,現在失われている児童生徒に向けての教育の機会
2 MENETのこれまでの活動に根ざす,先駆的でもリスクを取って児童生徒の利益のためであれば積極的に動くという伝統の喪失

問題点

さて、前橋市の事案では、どのような問題があって情報漏えいにつながってしまったのでしょうか。大きく分けると、市の教育委員会側と、委託事業者側の問題点がそれぞれ記載されています。

  • 教育委員会
    • MENET(前橋市の教育ネットワーク)に対する組織としての理解不足
    • 組織としての担当業務および人員配置における配慮がなかった
    • セキュリティの重要性の認識不足
    • システムの管理体制が確立されていない
  • 市のセキュリティ監査対象外となっていた
  • 委託事業者
    • 市教委からの情報が不明確であることに起因して、セキュリティ上の問題が放置されていた

どうやら、管理主体が複数あって、全体を把握している組織がなかったようです。その結果、教育委員会が管理しているサーバの通信要件が、委託事業者に伝わらず、必要なアクセス制御が行われていませんでした。

再発防止策

第三者委員会では、以下の再発防止策を提言しています。

  1. 情報システムの企画・設計・構築・運用を担える体制づくり
  2. 市全体としてのセキュリティ施策徹底
    • 教職員のセキュリティ意識向上への取り組みへの関与
    • 市のシステム全体のセキュリティ監査の実施体制
  3. MENET情報セキュリティポリシーの改訂
  4. MENETの運用を強化

体制づくりが最初に挙げられています。今回の事案では、そこが大きな問題点だったのでしょう。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です