平成２８年５月１８日記者発表資料最高情報セキュリティ責任者副市長井上茂利庁内メールシステムへの不正アクセスの発覚についてマイナンバー制度の施行に伴い、庁内において公用パソコンの増設・更新・セキュリティ対策を行っていたところ、庁内メールシステムにおいて不正に他の職員のメールシステムにアクセスしたと思われるパソコンの操作記録があったことが判明しました。このため、警察へ被害届を提出していたところ、昨日の５月１７日に市役所等において強制捜査が行われました。１経緯 (1) 不正アクセスの発覚平成２８年度からのマイナンバー制度の本格実施にあたり、総務省からの平成２７年１２月２５日付け通知を受け、市のセキュリティ対策を強化するため、平成２８年１月下旬から２月にかけて公用パソコンの使用の実態を調査しました。その結果、平成２７年６月から、特定の公用パソコンを用いて、他の職員の庁内メールシステムへ不正アクセスが行われている事実が発覚しました。なお、住民基本台帳や税情報システムには不正アクセスはありませんでした。 (2) 警察への被害届他者のメールシステムへアクセスすることは、まさしく「不正アクセス行為の禁止等に関する法律」に定める不正アクセス行為であるため、平成２８年２月下旬に三木警察署に被害届を提出しました。市役所内には市民の貴重な情報が集まっていることから、市民の情報を守り抜くために警察に被害届を提出しました。 1 ２情報セキュリティ対策の強化 (1) 具体の情報セキュリティ対策このたびの不正アクセスが発覚した後、本年２月から３月にかけてシステムの専門家をアドバイザーとして招き「情報セキュリティ会議」を開催し、より徹底した具体の情報セキュリティ対策を決定しました。（具体的な強化策は別紙のとおり。）今後は、職員に対して市民の大事な個人情報を扱うことの重要性を再度徹底するとともに、情報セキュリティ対策を具体的かつ計画的に進めてまいります。 (2) マイナンバー制度の本格実施に向けた対策上記の情報セキュリティ対策には、総務省からの通知に沿ったセキュリティ対策が含まれており、本年度からのマイナンバー制度について万全の対策を講じていますが、今後さらに強化してまいります。３職員の処分不正アクセスは犯罪行為であり、不正アクセスをした者が特定された場合には、原則として地検、裁判所の判断を受け、職員賞罰審査委員会に諮り厳正に処分してまいります。「三木市職員の懲戒処分に関する指針」には、「不正アクセス行為」の処分として、停職、減給と規定しています。なお、このたびの不正アクセスされた多数のメールのうち、部長会懇親会の案内メール等が、特定の新聞記者や市議会議員の手元に渡っていますが、不正アクセスした上に情報を漏えいさせた場合は、免職、停職が基準となります。今後の警察の捜査を注視するとともに、市としても事実確認を進めます。 2 ４その他（強制捜査開始に伴う職員倫理審査会議事録の非公開について）三木市職員倫理審査会では、部長会懇親会の案内メール等についても議論されたため、議事録を非公開としていました。これは、このたびの不正アクセスに関する警察の捜査に影響を及ぼす恐れがあると判断したためです。また、議事録を非公開とした理由も明確にしなかったのは、非公開理由の条文そのものを示すことにより、警察の捜査が入っていることが分かってしまうからでした。あわせて、このたびの警察による強制捜査が行われたことを受け、非公開として決定通知をした請求者の皆様には、本日付けで情報提供いたしました。なお、議事録についての公開・非公開の決定は、本来市長の権限であるにもかかわらず、三木市職員倫理審査会委員長の名前で議事録の非公開決定を通知してしまったことは誤った処置であり、このことについて深くお詫びいたします。問合せ先統括情報セキュリティ責任者企画管理部長赤松宏朗内線 180 3 別紙具体的な情報セキュリティ対策 (1) 国の補正（自治体情報セキュリティ強化対策事業）に伴う対策対策内容・基幹系パソコン（住基情報を取り扱う端末）の起動時に生体認証を導入・基幹系パソコンからの USB メモリへのデータ移行を制限・マイナンバーによる情報連携に活用される LGWAN を活用する業務用システムと、インターネット閲覧などのシステムの通信経路を分割 (2) 市の独自対策 ①ハード、システム系対策内容 ○サーバーの移設市民課設置の「住基ネットサーバー」、「戸籍サーバー」を情報システムマシン室に移設情報システムマシン室への入室管理のため、扉に生体認証、防犯カメラを設置 ○パスワード管理・ネットワークパスワード基幹系端末はパスワードと生体認証システムの二要素認証を導入・住基システム等パスワード現行の年に１度のパスワード変更を厳格に運用（前年度と同じパスワードは不可等） ○メールシステム・個人パスワードの管理初期パスワードからの変更と定期的な変更を義務付け・外部（LGWAN 以外）へのメール送信自動的に所属長が Bcc に設定されるシステムに変更し、添付ファイルにはパスワードの設定を推奨 ○情報系共用端末情報系共用端末は可能な限り少数とし、共用端末に生体認証を導入することで使用者を特定できるシステムを導入 4 ②ソフト系対策内容 ○職員の意識改革・マイナンバーの取扱い等に関する研修の実施・情報セキュリティに関する研修の実施・標的型メール訓練の抜き打ち実施 ○セキュリティ監査外部機関によるセキュリティ対策の運用に関する監査を実施 ○USB メモリの管理現行の台帳管理を徹底し、USB 貸出金庫の設置も検討 ③その他対策内容 ○庁舎の防犯カメラの設置庁舎建物内への不法侵入を防止すため、北玄関、南玄関、職員通用口等に防犯カメラを設置 ○重要書類の保管方法マイナンバーを記載している書類など、重要書類については施錠できる保管庫での保管を徹底 ○執務スペースへの部外者（業者等）の入室制限業者等の部外者の執務スペースへの立入り制限 5