自治体の情報セキュリティ・個人情報保護対策としての
外部委託先への管理監督に関する対応策に向けて

上級研究員 瀧口 樹良

2007年5月

• 自治体の情報処理業務の外部委託は、再委託先による個人情報漏洩事件の多発により、現状ではリスクの高い課題となっている。そこで、全国の自治体に対してアンケート調査を実施し、個人情報保護や情報セキュリティ対策や外部委託先に対する管理・監督の実態の把握を行った。その結果、「個人情報保護条例」を改正した自治体はほぼ100％、セキュリティポリシーについても同様に制定しているが、実際の運営に係わるセキュリティに関する実施手順の作成や外部委託に関する規定の作成は遅れていた。しかし、多くの自治体で、今後の予定（3年後をめど）として作成を進めており、自治体の情報処理業務の外部委託先への管理は強化されていくものと考えられる。
• あわせて、今回のアンケート調査で用いた外部委託におけるセキュリティに対する自治体の要求項目に基づいて、自治体の「効果度」とITベンダーの「影響度」に関する比較分析を行ったが、自治体の「効果度」が低い項目が多いものの、ITベンダーの「影響度」が高い項目もあり、自治体とITベンダー双方にとって、セキュリティ上有効かつ負担が少なく実効性の高い条件等を明確にしていく必要がある。
• そのため、委託元である自治体と委託先であるITベンダー共に、同じレベルで個人情報保護および情報セキュリティに関する研修や資格取得を勧めていくことが重要である。一方で、自治体が指定する限定された資格や研修を外部委託の条件に必須とされるなど、自治体の独自性にこだわった規定は現実的でなく、自治体側の柔軟な対応が求められる。一方、ITベンダーにおいても、情報セキュリティ対策や個人情報保護対策を内規に定めて実行することが求められる。
• 現在、自治体の個人情報保護および情報セキュリティに関するガイドラインや外部委託に関する要求事項等の規定内容の水準がバラバラなため、早急に外部委託に関する自治体の統一したルール作りが求められる。

全文はPDFファイルをご参照ください。

PDF 自治体の情報セキュリティ・個人情報保護対策としての
外部委託先への管理監督に関する対応策に向けて
[1229KB]