サービス 導入事例 ニュース JMCリスクソリューションズ 会社情報 お問い合わせ

Home導入事例日野市

導入事例

ISO27001/ISMS/BS7799 導入事例

日野市(東京都日野市)
日野市役所の屋上から見た日野市街(多摩平・豊田方面)
日野市役所の屋上から見た
日野市街(多摩平・豊田方面)
 都心から西におよそ35km、東京都のほぼ中心部に位置し、国土交通省認定の「水の郷百選」に選ばれるほどの自然環境に恵まれ、清らかな湧水を含む台地と緑豊かな丘陵を懐に抱くまち━━日野市。昔から交通の要として栄え、現在も甲州街道・川崎街道の2つの主要道路と、JR中央線・京王線・多摩都市モノレールが通るなど、都心へのアクセスが便利なベッドタウンとして発展を続けています。実際、人口も17万人を超え(2009年3月1日現在)、水と緑に囲まれた住みやすい環境から、さらに増え続けていく傾向を見せています。また、「新選組のふるさと」としても知られ、副長・土方歳三や六番隊長・井上源三郎が生まれ育ったほか、彼らの活動を支えた名主の佐藤彦五郎の屋敷(日野宿本陣)が残されており、例年5月には「ひの新選組まつり」が開催され、賑わいを見せています。
 そんな同市は、2003年度から市町村としては比較的早期にセキュリティポリシーを定め、その実践が全庁的になされているかどうかを検証するための内部監査を毎年実施し、全職員参加による情報セキュリティ研修も開催するなど、自律的な動きとして表れていました。
 その取り組みは、情報の漏えい・改ざん・不正利用・盗難・破壊などのリスクの低減を図り、安全・安心な業務環境を構築し維持することで、市民一人ひとりに、より信頼感を高めてもらうべく、自治体として東京都多摩地区で2例目、全国でも13例目となる国際規格のISO/IEC27001:2005の認証取得へとつながりました。市民との接点が最も多い市民窓口課、七生支所、そして業務システムを管理している情報システム課の3部署での同時取得━━そのいきさつを、中心となって活動されたプロジェクトチームのみなさんにお話しいただきます。


  業務環境をさらに向上させるために

市民部市民窓口課の課長中村貢氏(左)と、主任梅田時万氏(右)
市民部市民窓口課の
課長中村貢氏(左)と、
主任梅田時万氏(右)
 住民基本台帳法が施行された1960年代後半より、全庁規模で窓口業務など大切な住民の個人情報を取り扱う業務を中心に情報の取扱いを徹底していた日野市。情報セキュリティマネジメントの下地が十分醸成されていた同市では、さらに2003年度より日野市情報セキュリティ基本方針を策定し、それに基づき策定した日野市情報セキュリティ対策基準による実践を2004年から全庁的に開始していました。
 同時に毎年セキュリティポリシーの範囲内にある部署に対し内部および外部審査を進め、大きな情報システムごとにセキュリティに関する実施手順を策定。順次、ソフト・ハード面での補強を絡めながら、業務現場の実態に即した情報セキュリティの運用管理を実践していました。
 「疑似侵入テストや情報の遠隔地保管など、細かな項目にわたって自主的にISMSを施していました」と情報システム課の野島孝行主事は話します。続けて「漏らさない・間違えない・失くさない・1時間半以上システムを止めない、というテーマを掲げ、1件でもセキュリティの不備を出さないように徹底するなど、以前から各業務現場の意識が高かったですね。研修にも全職員が出席していました」と情報システム課の長谷川浩之副主幹も同市の取り組みを説明してくれました。
 業務現場主導で情報マネジメントシステムの骨格が出来上がっていた同市では、2006年4月に策定された日野市情報化推進計画でISO/IEC27001:2005の認証取得を目標化。当初は情報システム課のみでの取得を目指していましたが「市民のみなさまに安心感を持っていただくことを考慮し、数多くの市民と接する業務現場と共に走り出すことに」(長谷川氏)というように、2007年8月に市民窓口課、七生支所、情報システム課によるプロジェクトチームを発足させていきます。



  市町村では東京都多摩地区で2例目、全国で13例目の認証取得に挑む


市民部七生支所の支所長青木紀章氏(左)と、主事山田剛氏(右)
市民部七生支所の
支所長青木紀章氏(左)と、
主事山田剛氏(右)
 個人情報の取扱いが取り沙汰される以前より、全庁的にISMSへの意識徹底と行動実践を図り、住民サービスの品質と信頼性向上に努めていた日野市。そんな同市が国際規格の認証取得に臨むのは「自分たちの自主的な取り組みに第三者機関からお墨付きをもらい、住民サービスの品質をアピールする狙いもあります」と認証取得プロジェクトの事務局の中心だった情報システム課の東浩一長期主任が話すように、現場の強い想いもありました。
 しかし、認証取得に挑む取り組みで改めて気付かされた点も多々あったそうです。
 「デジタルデータはもとより職員一人ひとりの机の中にしまってある書類やメモまでを対象にリストアップし、徹底的に管理保全できる体制を整えました。ただ、情報資産の洗い出しには戸惑いがあったのも事実。どこまでを情報資産として取り扱うのか、インシデントとなり得る可能性を探りながら決めていくのは一筋縄ではなかったです」と市民窓口課の中村貢課長は振り返ります。七生支所の山田剛主事も「私自身、27001って何?というレベルからスタートしましたので、机の中身を全部チェックするのには面食らいました。そんな私と同様の支所のメンバーに、まずセキュリティへの意識を持ってもらうのに、最初は苦労しました」と話します。
 実際、情報資産の洗い出しでは、同市の場合、実際の業務現場に即した形で行われました。総務省のガイドラインなど、一般的に分類は最重要・重要・普通の3ランク分けですが、同市では重要・普通の2ランク分けで運用されています。「認証取得している他の自治体はどうか、業務現場の運用状況を鑑みてどうか、いろいろ悩みました。外部監査の際に指摘されそうなポイントにもなりかねません」(東氏)。
 しかし、情報システム課の大谷二郎課長は「分類方法も含め、これまでやってきた日野市のセキュリティマネジメントの運用で絶対認証取得できると、JMCリスクソリューションズのコンサルタントに太鼓判を押してもらえたのが大きな自信と支えになりました」と話します。



  策定済みのセキュリティポリシーを規格へ適合させ認証取得を果たす


総務部情報システム課の(左から)主事野島孝行氏、課長大谷二郎氏、副主幹長谷川浩之氏、長期主任東浩一氏
総務部情報システム課の
(左から)主事野島孝行氏、課長大谷二郎氏、
副主幹長谷川浩之氏、長期主任東浩一氏
 先述のように、日野市が認証取得の取り組みを推し進めていけた背景には「事務局メンバーとJMCリスクソリューションズのコンサルタントが、セキュリティのいろはの体得といった初歩の初歩レベルからきれいにレールを敷いてくれたので、大きな混乱もなく進められました」と市民窓口課の梅田時万主任は評します。
 他にも、「これまでは一度決めて実行したらそれでいいという感覚だったため、マネジメントレビューという発想に馴染むまで、少々てこずりました。そのせいか、現場の感覚で検討事項などを策定していくと膨大な量になってしまって(笑)。JMCリスクソリューションズのコンサルタントがいなければ、とてもまとめきれなかったと思います」(大谷氏)という声も寄せられています。
 そんな同市では、2008年10月に1次審査、11月に2次審査を受け、12月16日、無事、ISO/IEC27001:2005の認証取得を果たしました。「情報資産の洗い出しも、自分たちの業務フローを崩さず2ランク分けで推し進め、世界標準の認証を満たせたのはなによりです」(大谷氏)。
 今回の案件でJMCリスクソリューションズのコンサルタントは、日野市のセキュリティポリシーを活かして規格へ適合させることを中心にサポート。情報セキュリティへの意識が非常に高かった同市の場合、普段から情報セキュリティマネジメント体制で業務運用を進めていることや、全庁対象で毎年行われる情報セキュリティ教育も100%の出席率を誇るように、職員一人ひとりの意識が高かったことも、認証取得への大きな力だったと言えるでしょう。



  住民サービスの向上につながる情報セキュリティマネジメント体制構築に挑み続ける


ISO27001の登録証授与式の様子。左は日野市長の馬場弘融氏、右は認証機関である財団法人日本科学技術連盟三田征史氏
ISO27001の登録証授与式の様子。
左は日野市長の馬場弘融氏、
右は認証機関で ある
財団法人日本科学技術連盟三田征史氏
 ISO/IEC27001:2005の認証取得後、日野市にはどのような変化が訪れたのでしょう。
 「業務現場での動きが目に見えて変わりました。例えば、記載台の下のゴミ箱も市民の方々が書き損じた書類に個人情報が含まれている可能性があるため、定期的に回収・廃棄し、その回収・廃棄記録を残す。小さなことのように聞こえるかもしれませんが、その徹底を維持継続することが重要なんだという意識付けから取り組んでいます」と梅田氏が言うように、市民と直に接する窓口業務での職員の対応力に厚みが増したそうです。また、「支所の方でも窓口業務は本庁と共に進め、パスワード管理の意識、整理整頓の徹底、業務効率の向上といった目に見える効果が上がりました。加えて、出先機関という性質上、入退出管理や建物管理といった面のセキュリティをも強化するきっかけにもなっています」と七生支所の青木紀章支所長も実感しているようです。
 そんな同市ですが、実は認証取得後にシステムトラブルに見舞われました。「インシデントとして想定してきたことなので、リカバリー用のデータとシステムを稼働させ、業務に支障をきたすことはなく、市民の皆様にもご迷惑をかけずに済みました。現在、原因を分析中。すべて記録に残し、今後の事業継続計画にも活かしていきたいと思います」(中村氏)。
 今後、同市では「もっと市民のみなさまに認証取得の事実をアピールしていきたい」(長谷川氏)というのはもちろん、さらに徹底し、より運用しやすい情報セキュリティマネジメントシステムにステップアップさせていくそうです。「どんなに素晴らしいマネジメントシステムやポリシー、ルールがあっても、運用するのは人。スタッフの異動時や新入社員が配属された時、非正規職員など、すべてのスタッフに向けてきちんとセキュリティ教育や研修を実施できる環境の整備に取り組みたいです」(中村氏)と、さらなる運用のブラッシュアップに臨む様子。JMCリスクソリューションズでも、引き続き、同市のチャレンジをサポートし続け、行政の住民サービスのお手本となるような体制構築に共に挑戦していきます。

 ※2008年9月に公的機関である日本社会情報学会より、日野市が「社会情報システム貢献賞(団体)」を受賞されました。電子自治体として情報セキュリティ・マネジメントを積極的に推し進めている点のみならず、他団体に先駆けて全税目のコンビニ・クレジットカード収納の試験導入、小中学校におけるICT教育推進にて全国的にトップクラスにあることが評価され受賞に至ったそうです。市民と一体となった行政サービスが高く評価されたことは非常に価値あることであり、JMCリスクソリューションズとしても喜ばしい限りです。


自治体プロフィール
日野市
市 役 所 〒191-0016東京都日野市神明1−12−1
U  R  L http://www.city.hino.lg.jp/
人    口 175,675人(外国人登録2,394人含む)※2009年3月現在

お問い合わせ

株式会社JMCリスクソリューションズ
〒113-0034 東京都文京区湯島3-26-11 YMビル
TEL:03-6895-8763 FAX:03-6895-8212
JMCリスクソリューションズ お問い合わせ

Page Top