平成25年度 包括外部監査結果報告書 宮崎市の情報システムに関する財務事務の執行 及び情報セキュリティ等の管理体制について 平成26年3月 宮崎市包括外部監査人 公認会計士 坂本 克治 目 第1 次 外部監査の概要 ........................................................................................ 1 1. 外部監査の種類............................................................ 1 2. 選定した特定の事件(テーマ) .............................................. 1 3. 外部監査の対象期間 ........................................................ 1 4. 特定の事件(テーマ)を選定した理由......................................... 1 5. 外部監査の対象............................................................ 3 6. 外部監査の方法............................................................ 3 7. 外部監査の実施期間 ........................................................ 4 8. 外部監査人及び補助者 ...................................................... 4 9. 利害関係 ................................................................. 4 第2 外部監査対象の概要................................................................................. 5 1. 国の情報政策の概要 ........................................................ 5 2. 宮崎市の情報システムの概要 ............................................... 25 3. 宮崎市の情報セキュリティの概要 ........................................... 41 4. 宮崎市における情報システムの管理体制 ...................................... 45 第3 外部監査の指摘及び意見 ....................................................................... 49 I. 監査対象システム........................................................... 49 1. 監査対象とする情報システムの選定方法 ...................................... 49 2. 監査対象システムの選定理由 ............................................... 51 3. 監査対象システムの概要 ................................................... 52 II. 外部監査の結果概要 ....................................................... 55 III. 外部監査の指摘及び意見 ................................................... 56 1. 情報システムの調達の適切性について........................................ 56 2. 情報システムの有効性、経済性及び効率性について ............................ 90 3. 情報セキュリティについて ................................................ 100 第1 外部監査の概要 1. 外部監査の種類 地方自治法第252条の37に基づく包括外部監査 2. 選定した特定の事件(テーマ) 宮崎市の情報システムに係る財務事務の執行及び情報セキュリティ等の管理体制 について 3. 外部監査の対象期間 原則として平成24年度とし、必要と認めた場合、次年度及び過年度分について も監査対象とした。 4. 特定の事件(テーマ)を選定した理由 今や情報システムを利用していない組織・業務は存在しないと言ってよいほど、 ITは我々社会に広く浸透している。地方自治体も例外ではなく、情報システムは 行政運営にとって不可欠なものとなっている。 情報システムの構築・運用等には、ITや業務に関する高度な技術と知識を要す る。そのため、多くの地方自治体は情報システムの設計開発、運用といったシステ ム導入プロセスの主要な部分を事業者(ITベンダー)に委託しているのが実情で ある。 しかしながら、発注者のITに関する知識不足や、手間がかかるなどといった安 易な理由のために、本来発注者側で行うべき企画立案、基本計画策定といった、シ ステム開発前段階の調達ステップまでも含めて事業者に委託し、結果として業務要 件を満たさない情報システムに対して多額の支出を強いられる結果となることもあ りうる。 それ以上に由々しき問題となるのは、曖昧な発注内容や要件定義によって、事業 者に対して自社以外を排除した要件定義や技術仕様の導入を許容し、結果的にその 後のシステム改修や新規導入時にも競争性が働かず、随意契約もしくはいわゆる「一 1 社入札」によって当初の事業者に依存し続けざるを得ない状態(ベンダーロックイ ンと呼ばれる)を引き起こすことである。このような事業者優位の発注は、必然的 に非競争状態に起因する費用の高止まりを継続的に招くこととなる。 またIT導入プロジェクトを適切に遂行するためには、今や情報セキュリティ対 策は欠かすことができない。昨今、多くの様々な情報セキュリティ事故が発生し報 道されているが、一部には地方自治体職員が(意図的でなくとも)情報漏えいに関 与した事案も報道されている。「社会保障・税番号制度」(マイナンバー制度)が 2016年から利用開始されることも決まり、個人情報に関する市民の意識が高ま る中、漏えいの不安や懸念も容易に推察されるところである。 住民の4情報(氏名、住所、性別、生年月日)の他、税や所得などに関する多数 の個人情報を取り扱う地方自治体にとって、個人情報保護のための組織的・人的・ 物理的・技術的対策を情報システムの企画立案段階から組み込み、これらの対策を 継続運用していくことは、市民の安全を守る地方自治体の極めて重要な使命のひと つであると考えられる。 以上のとおり、情報システムの調達業務は他の調達業務とは異なり、その導入に は高度な技術と知識が必要とされることから競争環境が整備されにくく費用対効果 が乏しくなりうること、また情報セキュリティ対策は機密情報を多く取り扱う地方 自治体にとってこれからますます重要な論点となることから、情報システムに関す る財務事務の執行及び情報セキュリティ等の管理体制について包括外部監査のテー マとすることが相当であると判断した。 2 5. 外部監査の対象 監査は、宮崎市の電子計算システムに関する事項を所管する総務部情報政策課を 主対象として実施した。 また、監査テーマについて実証的に裏付けるために、一定の基準により下記の情 報システムを個別に抽出し検討を実施した。 № 監査対象システム 所轄部署 1 税総合システム 総務部情報政策課 2 住民記録情報システム 総務部情報政策課 3 市民税システム 総務部情報政策課 4 総合福祉システム 総務部情報政策課 5 証明書発行システム 総務部情報政策課 6 サンシャインコミュニティシステム 総務部情報政策課 7 水道料金システム 上下水道局管理部総務課 8 後期高齢者医療制度用システム 税務部国保年金課 9 ICカード発行状況管理システム 地域振興部市民課 これらのシステムを選定した理由は、「第3 対象システム 外部監査の指摘及び意見 Ⅰ.監査 2.監査対象システムの選定理由」(51ページ)に記載している。 6. 外部監査の方法 (1) 監査要点 ① 調達手続の適切性 情報システムの調達に関する手続が、宮崎市の条例、規則及び規程等に準拠 して適切に実施されているか。 ② 情報システムの有効性、経済性及び効率性 情報システムの導入により期待された効果があがっているか。 ③ 情報セキュリティ管理の適切性 宮崎市の策定した「宮崎市情報セキュリティポリシー 平成23年7月25 日」、法令及び総務省等の基準等に照らして、情報セキュリティ対策が適切に 整備され運用されているか。 3 (2) 主な監査手続 ① 情報システム導入の経緯、目的、処理している業務内容、情報システム構成の 概要等を把握するために、担当者への事情聴取及び文書の査閲を行った。 ② 情報システムの調達に関する事務手続について、担当者への事情聴取及び契約 書その他文書の査閲を行い、市の条例・規則・規程等への準拠性を検討した。 ③ 情報システム導入のコストや導入効果の状況について、担当者への事情聴取及 び文書の査閲を行った。 ④ 情報システム設置場所の視察、担当者への事情聴取及び文書の査閲を行い、情 報セキュリティ対策、防災対策及び復旧対策の状況を検討した。 7. 外部監査の実施期間 平成25年6月10日から平成26年3月17日まで 8. 外部監査人及び補助者 包括外部監査人 坂 本 克 治 公認会計士 補助者 吉 村 祐 二 公認会計士 同 久 留 孝 宜 公認会計士 公認情報システム監査人 同 松 下 英 公認情報システム監査人 システム監査技術者 同 高 田 直 喜 公認情報システム監査人 公認情報セキュリティ監査人 同 堺 公認会計士 システム監査技術者 同 村 上 秀 幸 公認会計士 同 三 浦 洋 司 公認会計士 同 舘 公認会計士 昌 義 正 博 9. 利害関係 包括外部監査の対象とした事件につき、地方自治法第252条の29の規定によ り記載すべき利害関係はない。 4 第2 外部監査対象の概要 1. 国の情報政策の概要 (1) 国におけるIT戦略 政府は、高度情報通信ネットワーク社会の形成に関する施策を迅速かつ重点的に 推進することを目的に、2001年1月に、 「高度情報通信ネットワーク社会形成基 本法」を施行するとともに、高度情報通信ネットワーク社会推進戦略本部(IT戦 略本部)を設置した。 そして、「我が国が5年以内に世界最先端のIT国家になること」を目指した 「e-Japan 戦略」 (2001年1月) 、 「IT利活用による、元気・安心・感動・便利 社会の実現を目指す」こととした「e-Japan 戦略 II」 (2003年7月)をはじめ、 随時、戦略や重点計画等を策定している。 2010年5月には、新たな国民主権の社会を確立することを目的に、①国民本 位の電子行政の実現、②地域の絆の再生、③新市場の創出と国際展開を重点戦略(3 本柱)として、 「新たな情報通信技術戦略」を策定した。 政府のIT戦略の推移は下表を参照。 e-Japan戦略 (2001年1月) 1. 超高速ネットワークインフラ整備及び競争政策 5年以内に超高速アクセス(目安として30~100Mbps)が 可能な世界最高水準のインターネット網の整備を促進し、 ブロードバンドイ 必要とするすべての国民が低廉な料金で利用できるように ンフラの整備 する。 1年以内に有線・無線の多様なアクセス網により、すべて の国民が極めて安価にインターネットに常時接続すること を可能とする。IPv6を備えたインターネット網への移行を 推進する。 2. 電子商取引ルールと新たな環境整備 電子商取引を阻害する規制の改革、既存ルールの解釈の明 確化、電子契約ルールや消費者保護等に関する法制整備等 誰もが安心して電子商取引に参加できる制度基盤と市場ル ールを整備し、電子商取引の大幅な普及を促進する。 5 3. 電子政府の実現 行政(国・地方公共団体)内部の電子化、官民接点のオン ライン化、行政情報のインターネット公開・利用促進、地 方公共団体の取組み支援等を推進し、電子情報を紙情報と 同等に扱う行政を実現し、幅広い国民・事業者のIT化を 促す。 4. 人材育成の強化 インターネット接続環境の整備による国民の情報リテラシ ーの向上、ITを指導する人材の育成、IT技術者・研究 者の育成及びコンテンツ・クリエイターの育成に取り組み、 人材という基盤を強固なものとする。 e-Japan戦略Ⅱ 先導 7 分野でのIT利活用の促進 (2003年7月) 1. 医療 患者基点の総合的医療サービス、継続的治療等、医療機関 IT利活用重視 の経営効率と医療サービスの向上、診療報酬請求業務の効 率化 2. 食 トレーサビリティシステムの構築、食品の取引の電子化、 農林漁業経営のIT化による消費者利益の増大 3. 生活 温かく見守られている生活の実現、家庭でのサービスの選 択肢拡大、緊急時の通報・連絡システムの確立 4. 中小企業金融 与信方法の多様化や融資に関する手続の簡素化により、中 小企業の資金調達環境を改善、中小企業の売掛金回収のリ スク軽減 5. 知 個の学習スタイルの多様化による個の能力向上と人材の国 際競争力向上、コンテンツ産業等の国際競争力の向上、海 外における日本文化の理解増進 6 6. 就労・労働 適材適所で能力を発揮できる社会の実現、多様な就労形態 を選択し、創造性・能率を発揮できる社会を実現、ITを 活用した起業や事業拡大の支援により、就業機会の創出・ 拡大 7. 行政サービス 「24時間365日ノンストップ・ワンストップ」の行政 サービスの提供と行政部門の業務効率向上、国民が必要な 時に、政治、行政、司法部門の情報を入手し、発言できる、 広く国民が参画できる社会の実現 IT新改革戦略 (2006年1月) 1. ITの構造改革力の追求 ITによる医療の構造改革、ITを駆使した環境配慮型社 会、世界に誇れる安全で安心な社会、世界一安全な道路交 ITによる構造改 通社会、世界一便利で効率的な電子行政、IT経営の確立 革力追求 による企業の競争力強化、生涯を通じた豊かな生活 2. IT基盤の整備 ユニバーサルデザイン化されたIT社会、デジタル・ディ バイドのないインフラ整備、世界一安心できるIT社会、 次世代を見据えた人的基盤づくり、世界に通用する高度I T人材の育成、次世代のIT社会の基盤となる研究開発の 推進 3. 世界への発信 国際競争社会における日本のプレゼンス向上、課題解決モ デルの提供による国際貢献 i-Japan戦略2015 1. 3大重点プロジェクト (2009年7月) ① 電子政府・自治体 電子政府の推進体制の整備(政府CIOの設置など) 、 誰もがデジタル技 国民に便利なワンストップ行政サービスの提供や「行 術の恩恵を実感 政の見える化」を推進、など 7 ② 医療 地域の医師不足等の問題への対応、日本版EHR1の 実現など ③ 教育・人材 授業でのデジタル技術の活用等を推進し、子どもの学 習意欲や学力、情報活用能力の向上、高度デジタル人 財の安定的・継続的育成など 2. 産業・地域の活性化及び新産業 デジタル技術・情報の活用により全産業の構造改革と地域 再生を実現し、我が国の産業の国際競争力を強化 中小企業等の事業基盤整備、グリーンIT・ITSの推進、 地域産業の新たな業態開発、テレワーク就労人口の拡大、 クリエイティブな新市場の創出 3. デジタル基盤の整備 あらゆる分野におけるデジタル活用の進展、成長促進 ブロードバンド基盤の整備(移動系 100Mbps 超、固定系 1Gbps)、情報セキュリティ対策の確立、デジタル基盤技 術の開発の推進、デジタル情報の流通・活用基盤の整備な ど 新たな情報通信技 術戦略 1. 国民本位の電子行政の実現 ① (2010年5月) 情報通信技術を活用した行政刷新と見える化 行政サービスのオンライン利用に関する計画の策定、 行政ポータルの抜本的改革と行政サービスへのアク 新たな国民主権の セス向上、国民ID制度の導入と国民による行政監視 確立 の仕組みの整備、政府の情報システムの統合・集約化、 全国共通の電子行政サービスの実現 ② オープンガバメント等の確立 行政情報の公開、提供と国民の政治決定への参加等の 推進、行政機関が保有する情報の活用 1 Electronic Health Record(生涯健康医療電子記録)の略。 8 2. 地域の絆の再生 ① 医療分野の取組 「どこでもMY病院」構想の実現、シームレスな地域 連携医療の実現、レセプト情報等の活用による医療の 効率化、医療情報データベースの活用による医薬品等 安全対策の推進 ② 高齢者等に対する取組 高齢者等に対する在宅医療・介護、見守り支援等の推 進、高齢者、障がい者等に優しいハード・ソフトの開 発・普及、テレワークの推進 ③ 教育分野の取組 ④ 地域主権と地域の安心安全の確立に向けた取組 3. 新市場の創出と国際展開 ① 環境技術と情報通信技術の融合による低炭素社会の 実現 スマートグリッドの推進と住宅やオフィスの低炭素 化、人・モノの移動のグリーン化の推進、情報通信技 術分野の環境負荷軽減、我が国が強みを持つ情報通信 技術関連の研究開発等の推進 ② 若い世代の能力を活かした新事業の創出・展開 デジタルコンテンツ市場の飛躍的拡大、空間位置情報 サービスその他の電子情報を活用した新市場の創出、 高度情報通信技術人材等の育成 ③ クラウドコンピューティングサービスの競争力確保 等 ④ オールジャパンの体制整備による国際標準の獲得・展 開及び輸出・投資の促進 アジア太平洋地域内の取組、国際物流における貨物動 静共有ネットワークの構築、情報通信技術グローバル コンソーシアムの組成支援、情報通信技術による公共 調達市場の拡大 9 (2) 今後のIT政策の展開(新IT戦略について) 2013年6月14日、新たなIT戦略の指針となる「世界最先端IT国家創造 宣言」が、閣議決定された。 「世界最先端IT国家創造宣言」では、目指すべき社会・ 姿とその取り組みとして、次の3つを挙げている。 主に2020年までの5年程度をめどに実現する目標が示されており、また、 「世 界最先端IT国家創造宣言 工程表」により、目指すべき社会・姿の実現に向けて、 誰(どの府省)が、いつまでに、具体的に何を実施するのかを明らかにするととも に、各府省間での連携が必要な施策については、個々の役割分担と達成すべき事項 を明確化することにより、着実に具体的な成果に結び付けることを目的として策定 されている。 「世界最先端IT国家創造宣言」の目指すべき社会・姿 1. 革新的な新産業・新サービスの創出と全産業の成長を促進する社会の実現 ○ 公共データの民間開放(オープンデータ)の推進、ビッグデータの利活用 推進(パーソナルデータの流通・促進等) ○ 農業・周辺産業の高度化・知識産業化 ○ オープンイノベーションの推進等 ○ 地域(離島を含む。 )の活性化 ○ 次世代放送サービスの実現による映像産業分野の新事業の創出 2. 健康で安心して快適に生活できる、世界一安全で災害に強い社会 ○ 健康長寿社会の実現 ○ 世界一安全で災害に強い社会の実現 ○ 効率的・安定的なエネルギーマネジメントの実現 ○ 世界で最も安全で環境にやさしく経済的な道路交通社会の実現 ○ 雇用形態の多様化とワークライフバランスの実現 3. 公共サービスがワンストップで誰でもどこでもいつでも受けられる社会の実現 ○ 利便性の高い電子行政サービスの提供 ○ 国・地方を通じた行政情報システムの改革 ○ 政府におけるITガバナンスの強化 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 10 「世界最先端IT国家創造宣言」には、今後の地方自治体のあり方に影響を与え る取り組みが多く示されている。 その中でも特に情報システムを活用した行政サービスの提供に直結するIT戦略 は「3.公共サービスがワンストップで誰でもどこでもいつでも受けられる社会の 実現」である。その取り組みについては、次のとおり記載されている。 「公共サービスがワンストップで誰でもどこでもいつでも受けられる社会の実現」 従来の電子行政サービスの取組の中には、サービスの電子化・ワンストップ化に 一定の成果をあげているものも見られるが、多くはアナログ時代のルール・やり方 を踏襲した取組であり、あくまでも窓口・紙が基本で、オンライン・電子化は補助 的手段であった。また、これに加え、省庁、あるいは省庁組織内の縦割りの構造が 原因となって、利用者にとっては、必ずしも使い勝手の良いサービスは提供されて いなかった。 一方で、クラウドサービスは、効率性等の観点から国際的にもその積極的な活用 が進められているが、当該サービスは、法制度の整備状況や通信インフラ環境等か ら見ると、日本国内における提供が諸外国に比べ優位であるとの報告もされている。 今後は、全ての行政サービスが電子的に受けられることを原則とし、クラウドの 徹底活用により、電子行政サービスが、ワンストップで誰でもどこでもいつでもど んな端末でも受けられる「便利なくらし」社会を実現する。 このため、より便利で利用者負担の少ない行政サービスの提供を、災害や情報セ キュリティに強い行政基盤の構築と、徹底したコストカット及び効率的な行政運営 を行いつつ実現する。これらを国民と政府の相互協力関係を基軸として進めること により、持続的に発展可能な新たな電子行政のモデルを構築する。 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 取り組み(1) 利便性の高い電子行政サービスの提供 従来政府が担っていたサービスの提供機能を民間にも開放し、官民の協働によっ て、より利便性の高い公共サービスを創造する。国民がステークホルダーとして積 極的に参加できるよう、クラウドを活用したオープンな利用環境を、データ・フォ ーマット、用語、コード、文字等の標準化・共通化、アプリケーション・インター フェイス(API)の公開等を行いつつ整備する。特に文字の標準化・共通化に関 しては、今後整備する情報システムにおいては、国際標準に適合した文字情報基盤 を活用することを原則とする。 オンラインサービスの設計に当たっては、利便性向上と全体の効率化を図るため、 サービスのバリューチェーン全体を通じて電子化することを目指すとともに、マー 11 ケティング手法等を活用しつつ、利用者中心のサービス設計を行い、適切なチャネ ルでサービスを提供する。 このため、2013 年度中に、これまでのベストプラクティスも参考にしつつ、 オンライン手続の利便性向上に向けた改善方針を策定するほか、官民協働で改革に 取り組む体制の在り方を含め、オープンな利用環境の整備に向けた具体的なアクシ ョンプランを策定し、段階的に実施する。さらに、政府のWebサイトについて、 順次API を公開することなどにより、国民にとってより利便性の高いWebサイ トへの見直しを実施する。 あわせて、クラウドの活用や社会保障・税番号制度(以下「番号制度」という。) の導入を見据え、業務改革を計画的に進め、利用者が望むワンストップサービスや モバイルを通じたカスタマイズ可能なサービスなど利便性の高いオンラインサービ スを提供するとともに、効率的な行政運営を実現する。 また、個人番号カードの活用も視野に入れつつ、今後整備される「マイポータル (仮称)」を活用した個人向けサービスを展開し、行政のコンシェルジュサービス ともいえる利用者一人一人のニーズに合わせたワンストップ・プッシュ型サービス 等、利便性の高いオンラインサービスをパソコンや携帯端末など多様なチャネルで 利用可能とする「マイガバメント」を実現する。 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 取り組み(2) 国・地方を通じた行政情報システムの改革 IT 投資に当たっては、業務改革を徹底する。各府省庁は、各システムの更改時 期等に合わせて、サービス向上や行政運営の効率化・スリム化に向けたビジョン、 実現のために必要な法制度・組織・業務上の改革内容及び投資対効果を明確にした 具体的な改革プランを策定し、これに沿って計画的に業務・システムの改革を行う。 また、クラウドの徹底活用により、大規模な効率化と縦割りを打破したシームレス な連携、変化への迅速かつ柔軟な対応力の向上を図り、効率的な行政運営と徹底し たコスト削減を実現する。 このため、政府のIT 投資に関するポートフォリオ管理を導入するとともに、2 013年中に政府情報システム改革に関するロードマップを策定し、政府CIOの 指導の下、重複する情報システムやネットワークの統廃合、必要性の乏しい情報シ ステムの見直しを進めるとともに、政府共通プラットフォームへの移行を加速する。 また、番号制度を導入する行政分野等について、制度導入のスケジュールに合わ せて、行政サービスと業務改革及び情報システムの改革に関し、政府CIOの指導 の下、関係機関が連携しつつ計画を策定し、これに沿って着実に取り組む。 さらに、職員のワークスタイルについて、モバイル端末の利活用等を通じて、情 12 報のデジタル化(ペーパーレス化)の推進と生産性向上を図るとともに、ワーク・ ライフ・バランスや災害時等の業務継続性に配慮したものに変革する。 これらの取組により、2018年度までに現在の情報システム数(2012年度: 約 1,500)を半数近くまで削減するほか、業務の見直しも踏まえた大規模な刷新が 必要なシステム等特別な検討を要するものを除き、2021年度を目途に原則全て の政府情報システムをクラウド化し、拠点分散を図りつつ、災害や情報セキュリテ ィに強い行政基盤を構築し、運用コストを圧縮する(3割減を目指す) 。 また、自治体クラウドについても、番号制度導入までの今後4年間を集中取組期 間と位置付け、番号制度の導入と併せて共通化・標準化を行いつつ、地方公共団体 における取組を加速する。 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 取り組み(3) 政府におけるIT ガバナンスの強化 政府CIO によるIT ガバナンスを強化し、攻めのIT 投資と無駄の徹底排除 を図り、政府全体を通じた戦略的なIT 投資管理を実現する。 このため、政府CIO の下、政府情報システム改革に関するロードマップの着実 な実施に向けた政府情報システムに関する投資計画を2014年度予算編成に合わ せて策定・推進するとともに、日本版「IT ダッシュボード」 (各府省庁のIT 投 資の状況等をインターネット経由で一覧性をもって国民が確認できる仕組み。 )の整 備を進め、2014 年度から運用を開始する。 また、情報システム調達やプロジェクト管理に関する共通ルール等の整備や、政 府CIO 補佐官のプール制の導入推進、政府情報システム資産管理等のためのデー タベースの整備・運用、レビュー制度の導入等を行うとともに、IT 総合戦略本部 の下に新たな評価体制を整備し、大規模かつリスクの高いプロジェクトに対するモ ニタリング機能を強化する。 さらに、政府におけるIT 人材の育成を図るため、研修プログラムの見直し・充 実を政府横断的な取組として実施し、各府省庁は、政府CIO のスタッフ組織及び 政府共通プラットフォーム等の府省を横断する大規模プロジェクトの推進組織との 間で人事交流を行うこと等によりIT 人材の計画的育成を図るとともに、府省庁に おけるIT プロジェクトの核となる人材が、プロジェクトのライフサイクルの適切 な節目までそのポストに留まるよう、人事ローテーションについても工夫する。 あわせて、政府の情報システム調達に関して、ベンダーロックインの解消等によ る調達コストの削減や透明性向上及び競争力のある市場を構築するための戦略的調 達を目指した取組を推進する。このため、オープンソースソフトウェアの活用や標 準化・共通化の推進、応札事業者の技術力評価の在り方についての見直しを行うと 13 ともに、統合・集約の推進及び主要なOS等に対するガバメントライセンスの導入 による政府全体としてスケールメリットをいかした調達等を実施する。 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 (3) 電子行政の推進状況 電子行政は、行政分野へのICT2(情報通信技術)の活用とこれに併せた業務や 制度の見直しにより、行政の合理化、効率化及び透明性の向上や国民の利便性の向 上を図ることを目的として推進されている。 近年における電子行政の主要な取り組みは、次のものが挙げられる。 ① 行政手続のオンライン化・オンライン利用促進 ② 業務・システムの最適化 ③ 情報システムのクラウド化 ④ 政府におけるICTガバナンスの確立・強化 4つの取り組みについて、政府における具体的な取り組み状況を以下に示す。 ① 行政手続のオンライン化・オンライン利用促進 政府は、2000年代初頭に、ICTに関する国家戦略である「e-Japan 戦略」 (平 成13年1月IT戦略本部決定)を策定し、電子政府の実現を重点政策分野の一つ に位置付けた。その中で、行政手続のオンライン化については、 「2003年までに、 国が提供する実質的にすべての行政手続きをインターネット経由で可能とする」こ ととした。この戦略に基づき、各府省の所管手続をオンラインで行えるシステムや、 電子的な申請・届出等の真正性を確保する政府認証基盤(GPKI) 、府省内で行わ れる事務処理を電子化する文書保管や稟議・決裁のシステムの整備が相次いで行わ れ、インターネット経由の行政手続を法的に可能とする「行政手続等における情報 通信の技術の利用に関する法律(平成14年法律第151号) 」が施行された平成1 5年(2003年)には、国の行政手続の96%について、インターネット経由で 受け付ける環境が整った。 しかしながら、過去一度も書面による申請すら行われたことがない手続や極めて 申請件数が少ない手続までもがオンライン化されたこと、申請件数の多い手続につ いても個人が申請する手続を中心に利用率が十分に伸びなかったこと、利用者の視 点に立った業務の分析・見直しや申請システムの設計等が不十分であったことによ 2 Information Communication Technology の略で、情報通信技術のこと。最近はIT(Information Technology)に代わってICTが一般的に用いられている。 14 り、オンライン利用が進まず、費用対効果等の点から取組の見直しが必要であった。 このため、政府は、 「オンライン利用拡大行動計画」 (平成20年9月IT戦略本 部決定)を、さらにその3年後には「新たなオンライン利用に関する計画」 (平成2 3年8月IT戦略本部決定)を策定し、これに基づき、国民や企業等による利用頻 度の高い71種類の手続に取組を重点化し、業務プロセスの見直しを含めたオンラ イン利用促進を行うとともに、オンライン利用が低調で今後も改善の見込みのない 手続に係るシステムを停止し、個別の手続についても費用対効果の観点からオンラ イン利用範囲の見直しを行った。その結果、平成23年度のオンライン利用率は、 重点手続では40.4%、その他の手続を含めた全体では38.5%となっている。 ※出所「平成25年版 情報通信白書」 (総務省編) ②業務・システムの最適化 政府は、行政運営の簡素化・効率化を実現するため行政事務のICT化に取り組 んできたが、これらは既存の業務及び制度を前提とした取組にとどまっており、I CT導入に当たって、業務の制度面・運用面からの見直しは必ずしも十分に行われ ていなかった。また、人事・給与や旅費の支給など、各府省に共通・類似する業務 について、各府省それぞれにシステムの整備・運用が行われ、制度との整合性は図 りつつも、各府省独自の処理が行われていた。 このため、政府は、平成15年度に「電子政府構築計画」 (各府省情報化統括責任 者(CIO)連絡会議決定)を策定し、人的・物的資源の効率的な活用を通じた行 政の簡素化・合理化を図り、予算効率の高い簡素な政府を実現することを目標に掲 げた。そして、ICT化に対応した業務改革として、 「業務・システムの最適化」と 呼ばれる取組を開始した。 「業務・システムの最適化」では、 ž 人事・給与等業務、共済業務、物品調達、物品管理、謝金・諸手当、補助金及び 旅費の各業務(内部管理業務)や、災害管理業務、統計調査等業務など各府省に 共通する業務・システム(20 分野) ž 旧式(レガシー)システムや経常的な経費が1億円以上の情報システムを用いて いる各府省独自の個別業務・システム(67分野) の、計87分野の業務・システムについて、 「業務・システム最適化指針(ガイドラ イン) 」 (平成18年3月各府省CIO連絡会議決定)に沿って「最適化計画」を策 定し、業務と情報システムの改革を一体的かつ計画的に行うこととした。特に、い わゆる旧式(レガシー)システムについては、長年にわたり非競争な環境におかれ、 運用コストが高止まりになる傾向があったことを踏まえ、上記各業務・システムに 係る最適化計画の一環として、 15 • 汎用パッケージソフトウェアの利用 • オープンシステム化 • ハードウェアとソフトウェアのアンバンドル化(分離調達) • 随意契約から競争入札への移行 • データ通信役務サービス契約の見直し • 国庫債務負担行為の活用 の適用可能性を調査する、刷新可能性調査を事前に実施し、その結果を踏まえて最 適化計画を策定し、システム刷新に取り組むこととした。 業務・システムの最適化の取組の中で、総務省は、各府省が立案した最適化計画 の案を確認し、その内容について必要な調整を行うとともに、最適化の実施・評価 状況のモニタリングを行う役割を担っており、平成19年度から毎年度、前年度に おけるそれぞれの実施状況や取組による効果発現状況について、各府省情報化統括 責任者(CIO)連絡会議において取りまとめを行っている。 平成24年9月に同連絡会議で取りまとめた平成23年度の最適化実施状況によ ると、これまでの最適化の取組によって発現した平成23年度の効果は、経費の削 減効果が785億円/年(目標値:550億円/年) 、職員等の業務処理時間の短縮効 果が16百万時間/年(目標値:15百万時間/年)と試算されている。これらの効 果は、それぞれの取組の進捗に応じ、年々増加しており、最終的には87分野の全 取組において効果が発現することで、経費については 1,151 億円/年の削減効果、業 務処理時間については63百万時間/年の短縮効果が見込まれている。 こうした業務・システムの最適化による取組効果は、政府全体の情報システム関 係予算にも反映されてきており、予算総額は平成21年度の 6,340 億円から平成2 5年度の 5,319 億円へ、そのうち運用経費等は平成21年度の 4,662 億円から平成 25年度の 4,197 億円へと、それぞれ減少している ※出所「平成25年版 情報通信白書」 (総務省編) ③情報システムのクラウド化 平成15年から始まった業務・システムの最適化の取組は、府省共通業務・シス テムの集中化、レガシーシステムのオープン化などについて着実な進展を見せてお り、運用コストの削減、業務処理の効率化等に関して相応の成果が見込まれる一方 で、各分野で行われた取組は、個々の業務・システムの範囲にとどまり、最適化さ れる範囲も限定的であったため、電子行政は、各業務・システムを結ぶ政府全体を 通じた全体最適に向け、次の新たな施策を講ずる必要性が増してきていた。 こうした事情も背景として、政府は、 「デジタル新時代に向けた新たな戦略~三か 年緊急プラン~」 (平成21年4月IT戦略本部決定)において、当時、一般の情報 16 システムにおいても十分実装可能なレベルにまで進展してきていた仮想化技術等を 政府情報システムにも導入し、 「霞が関クラウド(仮称) 」を構築する構想を示した。 これを具体化するため、総務省は、府省ごとに分散する情報システムを統合・集約 化し、共通機能の一元的提供等を行うための新しい政府共通のシステム基盤として、 「政府共通プラットフォーム」の整備に着手し、平成25年3月にその運用を開始 した。 また、地方自治体においては、いわゆる電子申請などのフロントオフィス業務に おいて、ASP3・SaaS4の導入事例が増えてきたこともあり、平成22年度にお いてASP・SaaS導入活用ガイドラインを取りまとめるとともに、同年度に基 幹系業務の共同利用を促進するため、 「自治体クラウド推進本部」を設置し、基幹系 業務の共同利用・データセンターによる情報管理を目的とした自治体クラウドの円 滑な展開を実現するための検討・実施を行ってきたところである。 ※出所「平成25年版 情報通信白書」 (総務省編) ④政府におけるICTガバナンスの確立・強化 電子政府の推進体制を確立・強化するため、政府は平成14年に、各府省に情報 化統括責任者(CIO)を設置した。また、平成15年には、府省内の業務・シス テムの分析・評価や最適化計画の策定に当たり、各府省CIOを補佐し、支援・助 言等を行うCIO補佐官を配置した。さらに、平成18年には、各府省CIOの下 で、府省内の情報システム企画、開発、運用、評価等の業務について責任を持って 統括する体制(プログラム・マネジメント・オフィス(PMO) )を整備した。 しかし、政府のICTガバナンスについては、ICT投資管理やシステムの整備・ 運用に係るポリシー・ルールが必ずしも十分に整備されておらず、政府全体のマネ ジメントが十分に機能していないとの指摘があった。このため政府は、 「i-Japan 戦 略2015」 (平成21年7月IT戦略本部決定)や「新たな情報通信技術戦略」 (平 成22年5月IT戦略本部決定)において、電子行政推進の司令塔としての役割を 担う政府CIOの設置の必要性を示し、平成24年8月、内閣官房に政府情報化統 括責任者(政府CIO)を設置した。 そして、政府CIOの設置や権限等を法定化するため、政府は、平成25年通常 国会に「内閣法等の一部を改正する法律案」を提出した。同法案は衆議院の修正を 経て成立し、政府CIOは、ICTの活用による国民の利便性の向上や行政運営の 3 Application Service Provider の略。アプリケーションソフト等のサービス(機能)をネットワーク経由 で提供するプロバイダのこと。 4 Software as a Service の略。必要な機能を必要な分だけサービスとして利用できるようにしたソフトウ ェアもしくはその提供形態のこと。 17 改善に関する事務を所掌する「内閣情報通信政策監」として内閣法に位置付けられ た。 ※出所「平成25年版 情報通信白書」 (総務省編) 電子政府の浸透においては、住民に密着した行政サービスを提供している地方自 治体の果たす役割は大きく、また地方自治体にとっても、住民サービスの向上、業 務の効率化、地域産業の活性化などの観点から電子自治体への期待は高い。 (4) 情報システムの政府調達の取り組み 上述の「(2)今後のIT政策の展開(新IT戦略について) 」 (10ページ)及び「(3) 電子行政の推進状況」 (14ページ)でも述べたが、2013年6月14日に閣議決 定された「世界最先端IT国家創造宣言」や同年7月に公表された「平成25年度 版情報通信白書」においても、下記のとおり情報システムの政府調達における課題 に触れられている。 あわせて、政府の情報システム調達に関して、ベンダーロックインの解消等によ る調達コストの削減や透明性向上及び競争力のある市場を構築するための戦略的調 達を目指した取組を推進する。このため、オープンソースソフトウェアの活用や標 準化・共通化の推進、応札事業者の技術力評価の在り方についての見直しを行うと ともに、統合・集約の推進及び主要なOS等に対するガバメントライセンスの導入 による政府全体としてスケールメリットをいかした調達等を実施する。 ※出所「世界最先端IT 国家創造宣言 平成25年6月14日」 特に、いわゆる旧式(レガシー)システムについては、長年にわたり非競争な環 境におかれ、運用コストが高止まりになる傾向があったことを踏まえ、上記各業務・ システムに係る最適化計画の一環として、 ・汎用パッケージソフトウェアの利用 ・オープンシステム化 ・ハードウェアとソフトウェアのアンバンドル化(分離調達) ・随意契約から競争入札への移行 ・データ通信役務サービス契約の見直し ・国庫債務負担行為の活用 の適用可能性を調査する、刷新可能性調査を事前に実施し、その結果を踏まえて最 適化計画を策定し、システム刷新に取り組むこととした。 ※出所「平成25年版 18 情報通信白書」 (総務省編) 情報システムの政府調達における様々な課題は従来から論ぜられているところで あるが、平成25年時点に公表されたこれら文書の中でも触れられているところか ら、引き続き懸案事項として認識されて続けていることが推察される。 政府においては、これに先立つ平成19年3月に「情報システムに係る政府調達 の基本指針」 (2007年(平成19年)3月1日 各府省情報化統括責任者(CI O)連絡会議決定)を作成、本指針に沿って情報システムに係る政府調達の取り組 みを進めることとしている。 本指針では調達計画書を作成することが求められているが、特に「特定情報シス テム」 (設計・開発の予定価格が5億円以上と見込まれるもの)について、調達計画 書には次の内容を記載することが求められている。 (「情報システムに係る政府調達の基本指針 第3章 調達プロセスに係る指針 Ⅰ 企画 1.調達計画書の作成 (2)調達計画書に記載すべき内容」より抜粋) ①設計・開発する情報システムの方式 情報システムのうち、特に重要なものとしてCIO連絡会議で決定した情報シ ステム(以下「特定情報システム」という。 )については、原則として、次の考え 方に沿って、情報システムの方式を決定し、その結果及び当該方式を採用する理 由を調達計画書に記載する。 (ⅰ) 別紙2(筆者注:21ページに記載)の手順を参考とし、構築する情報シ ステムに係る全業務を分析し、技術的検討を加えた上で、情報システムに 要求される機能の抽出を行い、全業務で横断的に共通して使用される機能 とその他の個別業務のみに必要とされる機能とに分類する。その上で、全 業務で横断的に共通して使用される機能を有する情報システムを「共通基 盤システム」 、個別業務のみに必要な機能を有する情報システムを「個別 機能システム」としてそれぞれ構築し、それらを個別に設計・開発できる ような情報システムの方式の検討を行い、制度改正等の要請による将来の 情報システム改修に際し、個別機能システムの修正・追加等の必要最低限 の対応で済むよう、柔軟性及び拡張性を確保する。 (ⅱ) (ⅰ)の検討により、全業務で横断的に共通して使用される機能の抽出が 困難な場合など、(ⅰ)の情報システムの方式を採用することが適当でな いと判断される場合には、個別業務に必要な機能で分割された情報システ ムの方式を採用する。 (ⅲ) 情報システム全体についてパッケージソフトウェアで構築することが適切 と判断される場合には、 (ⅰ)及び(ⅱ)によらず、当該パッケージソフ トウェアを採用する。 19 ②設計・開発の工程における分離調達の内容 大規模なプロジェクトを一括調達することなく、プロジェクトを適切な規模に 分離して調達(分離調達)することにより、事業者への競争参加機会の拡充が図 られ、また、複数の事業者の参入により競争性が高まることによってコストの低 減が期待される。 このため、調達担当課室は、特定情報システムの設計・開発の工程については、 情報システムの方式の検討結果を踏まえて、原則として、共通基盤システム、各 個別機能システムの単位で分離調達を行う。 ③ハードウェアとソフトウェアとの分離調達の内容 調達担当課室は、特定情報システムについては、原則として、ハードウェア(O S等のハードウェアと不可分な既製のソフトウェアを含む。)とソフトウェア(設 計・開発を行うソフトウェアに限る。)とは分離して調達することとし、その内容 を調達計画書に記載する。 ④設計・開発から移行までの工程、運用の工程及び保守の工程の分離調達の内容 運用及び保守の工程について、随意契約によるものが9割以上にも上り、競争 性が確保されているとは言い難い状況を踏まえ、特定情報システムについては、 調達担当課室は、設計・開発から移行まで(以下「設計・開発等」という。 )の工 程、運用の工程、保守の工程は、原則として、それぞれ一般競争入札により分離 して調達することとし、その内容を調達計画書に記載する。 ⑤設計・開発等の工程の管理に関する内容 分離して調達することとなった情報システムは、将来の改修等における柔軟性 及び拡張性が確保できる等の利点を有する一方で、分離して調達することとなっ た共通基盤システムと個別機能システムとの間等に分割リスクが発生し得るた め、情報システムの統合を適切に行うことが重要となる。 分割リスク及び情報システムの統合の責任は、基本的に発注者が負うこととな るが、分割リスクを極力減少させる方策として、特定情報システムについては、 調達担当課室は、情報システム間の統合のかなめとなる共通基盤システムの設 計・開発に携わる事業者に、情報システムの統合業務(分離されて設計・開発さ れた情報システムが、①の情報システムの方式のとおりに構築されることの確認、 プログラムの標準コーディング規約等の情報システムの設計・開発に係る基準や 手順の統一、運用・保守手順の策定、相互のドキュメントの標準化、インタフェー スの技術的仕様の調整、結合・総合テスト等及び移行を行い、個別機能システム に携わる事業者やハードウェア納入事業者等との調整を行うことにより、契約書 20 に明示された範囲において当該情報システムに係る全体設計・開発責任を担う業 務。以下「統合業務」という。 )を併せて行わせる等の措置を講ずるものとする。 (別紙2) 情報システムの方式の検討手順の一例 ② 情報システムの対象とする全業務を分析し、技術的検討 を加え、当該情報システムに要求される機能を抽出 ③ 全業務で横断的に共通して使用される機能(例えば、デ 機能の分類 ータ管理、ステータス管理等)と、その他の個別業務の の方法につ みに使用される機能とに分析 いては他の 選択肢があ れば検討 ④ 全業務で横断的に共通して使用される機能を「共通基盤 システム」として整理、個別業務のみに使用される機能 を「個別機能システム」として整理 ⑤ 共通基盤システムと個別機能システムとが個別に設計・ 開発可能な情報システムの方式の検討 ⑥ 情報システムの柔軟性・拡張性を事前評価 ⑦ 情報システムの方式を決定 国と地方自治体とでは当然ながら予算規模が異なるが、情報システムの調達に係 る問題点としては同質であると考えられることから、本指針に記載された内容は地 方自治体にとっても有益な指針になるものと考えられる。 「情報システムに係る政府調達の基本指針」の構成は次のとおりである。ここで は項目のみの記載にとどめるが、そのタイトルを見るだけでも、情報システムの調 達に当たって行政機関が備えるべき要件が把握できると思われる。 この指針の対象となる組織は、各府省情報化統括責任者(CIO)連絡会議を構 成する内閣官房、内閣法制局、人事院、内閣府、宮内庁、公正取引委員会、警察庁、 金融庁、総務省、法務省、外務省、財務省、文部科学省、厚生労働省、農林水産省、 経済産業省、国土交通省、環境省及び防衛省とされているが、この指針の考え方は 21 地方自治体においても非常に参考となるものである。 「情報システムに係る政府調達の基本指針」 (2007年(平成19年)3月1日 各 府省情報化統括責任者(CIO)連絡会議決定)より、タイトルのみ抜粋 第1章 情報システムに係る政府調達の基本指針の位置付け 第2章 全般的事項 Ⅰ 本指針の対象とする情報システム Ⅱ 情報システムに係る工程 Ⅲ 調達プロセス Ⅳ 管理体制 Ⅴ 内閣官房及び総務省による調整等 Ⅵ 本指針の対象機関 第3章 調達プロセスに係る指針 Ⅰ 企 画 2.調達計画書の作成 (1) 調達計画書の作成対象 (2) 調達計画書に記載すべき内容 ① 設計・開発する情報システムの方式 ② 設計・開発の工程における分離調達の内容 ③ ハードウェアとソフトウェアとの分離調達の内容 ④ 設計・開発から移行までの工程、運用の工程及び保守の工程の分離 調達の内容 ⑤ 設計・開発等の工程の管理に関する内容 ⑥ 全工程のスケジュール ⑦ 入札制限の内容 (3) 他の分離調達等の検討 (4) 調達計画書の妥当性確認等 3.調達計画書の決定・公表等 (1) 調達計画書の決定・公表 (2) 調達計画書の改定 (3) 総務省の確認者の記名等 Ⅱ 入 札 1.調達仕様書の作成 (1) 提案に不可欠な情報の網羅 22 (2) 曖昧な要求要件の排除 (3) オープンな標準に基づく要求要件の記載 (4) 技術革新等を踏まえた要求要件の記載 (5) 調達仕様書の妥当性確認等 (6) 電子入札・開札の推進 2.意見招聘 (1) 意見招請等 (2) 総務省の確認者の記名等 3.提案依頼(RFP) (1) 入札公告への掲載 (2) 入札公告以後の事業者への情報提供 4.提案 (1) 入札制限 ① 各工程の調達仕様書の作成に直接関与した事業者等に関する入札制 限 ② 設計・開発等の工程管理支援事業者等に対する入札制限 ③ CIO補佐官及びその支援スタッフ等 31 の属する事業者等に対する 入札制限 (2) 入札要件の緩和等 ① 競争入札参加名簿の等級による入札要件の緩和 ② 個別入札要件の適正な設定 (3) 経費積算の精度の向上 Ⅲ 契 約 1.審査 (1) 審査体制の確立 (2) 審査 ① 入札事業者の資格要件 ② 情報システムに係る政府調達事例データベースの充実 (3) 低入札価格調査制度の活用の促進 2.落札者の公告 3.契約 (1) 知的財産権の帰属 (2) 要求仕様等の変更規定 (3) EVM等の活用による進ちょく管理 (4) サービスレベル契約の導入 (5) 瑕疵担保責任期間等の設定 23 (6) 損害賠償範囲の設定 (7) 資金繰りへの対応 (8) 調達仕様書関与者等への再委託の禁止等 (9) 法務の観点からの契約内容の確認 (10) 契約情報の提供 Ⅳ 実作業 Ⅴ 検 収 Ⅵ 調達プロセスの全体スケジュール 第4章 本指針の見直し等 24 2. 宮崎市の情報システムの概要 (1) 宮崎市の情報システムの沿革 平成11年以降の宮崎市における情報システムの沿革 年 月 内 容 平成11年12月 健康福祉総合システム稼働 平成12年 大型汎用機(メインフレーム)1号機/2号機 平成12年4月 MC税総合システム稼働 平成12年6月 企業会計システム停止 平成12年8月 上下水道料金システム停止 平成14年8月 住民基本台帳ネットワーク稼働 平成15年1月 大型汎用機(メインフレーム)1号機/2号機 平成15年8月 自動交付機本稼働 平成15年8月 宮崎市ICカードシステム本稼働 平成16年1月 公的個人認証サービス開始 平成16年 赤江・生目 自動交付機稼働開始 平成16年3月 例規システム使用開始 平成16年 人事給与システム使用開始 平成16年 グループウェア使用開始 平成17年2月 大型汎用機(メインフレーム)CPU(3号機)追加 平成17年4月 文書管理システム使用開始 平成17年4月 宮崎市ホームページ・CMS稼働 平成17年12月 MINDCITY戸籍システム停止 平成18年1月 MICJET戸籍システム稼働 平成18年2月 大型汎用機(メインフレーム)CPU(1号機)をCPU(3 CPU更新 CPU更新 号機)に置き換え、CPU(2号機)を更新 平成18年5月 職員防災情報メール配信事業開始 平成18年11月 佐土原町・田野町・高岡町 自動交付機・ICカードシステ ム本稼働 平成19年7月 住民基本台帳ネットワークシステム CSサーバ機器更新 平成20年1月 宮崎市コールセンター仮稼働、FAQシステム仮稼働 平成20年4月 大型汎用機(メインフレーム)1号機/2号機 CPU更新 平成20年4月 後期高齢者医療システム稼働 25 年 月 内 容 平成20年4月 宮崎市コールセンター本稼働、FAQシステム本稼働 平成20年11月 宮崎市ICカードシステム更新 平成20年11月 MICJET証明書発行システム稼働 平成21年3月 LGWAN提供設備 機器更新 平成21年4月 宮崎市防災情報共有システム開始 平成21年8月 人事給与・庶務事務システム稼働 平成21年9月 部門別GIS(シンクライアント)稼働 平成22年1月 大型汎用機(メインフレーム)CPU(3号機)追加 平成22年4月 新グループウェア稼働 平成23年3月 大学財務システム停止 平成23年4月 大型汎用機(メインフレーム)CPU(2号機)更新 平成23年4月 新財務会計システム稼働 平成24年1月 子育てソリューション一部(乳幼児資格管理)稼働 平成24年3月 MICJET戸籍システム バージョンアップ 平成24年4月 生活保護新システム稼働 平成24年4月 子育てソリューション乳幼児 本稼働 ※出所 市提供資料(情報政策課) (2) 4町との合併による影響 平成18年1月1日に近隣の佐土原、田野、高岡の3町を、さらに平成22年3 月23日には清武町を編入合併している。 宮崎市は上記の二度の合併を行い、その都度、システム統合を実施しているが、 行政客体となる個人や事業所の情報が多重管理となり、複雑に絡み合っているなど、 事務処理の効率化の弊害となっている事実がある。 それらを踏まえ、宮崎市では情報システムの再構築・最適化を平成25年度から 平成29年度の宮崎市情報推進化計画において重点的な取り組み事項とし、大型汎 用機(メインフレーム5)のサーバシステムへのダウンサイジング6を核とした取り組 みを計画している。平成25年度から平成29年度の宮崎市情報推進化計画は、後 述「 (5)宮崎市情報化推進計画(平成25年度~平成29年度)の概要」 (29ペ ージ)に詳細を記す。 5 6 基幹業務システムなどに用いられる大型のコンピュータシステムのこと。 装置やシステムなどを小型化、軽量化、小規模化すること。 26 (3) 宮崎市情報化推進計画(平成13年度~平成19年度)の概要 「宮崎市の情報化推進計画」 (平成13年度~平成19年度)は、平成11年10 月に策定された「宮崎市情報化基本計画」の具体的な政策形成を図ることを目的と している。また、 「宮崎市情報化推進計画」 (平成13年度~平成19年度)は、第 三次宮崎市総合計画に沿って、今後取り組むべき情報化の基本方針と展開すべき施 策について、その考え方と方向性を明らかにしたものである。 「宮崎市情報化推進計画」 (平成13年度~平成19年度)では、情報化事業をそ の緊急性と重要性から3つの領域に分類し、情報化投資配分を決定している。 「宮崎市情報化推進計画」 (平成12年11月 宮崎市)より抜粋 領域Ⅰ: 「事務改善領域」 主に行政事務の改善とした原課からのシステム化要望等への対応領域。 費用対効果などの投資効果と情報化投資とのバランスを評価し、十分な効果が得 られると判断されるものについては適宜実施していく。 領域Ⅱ: 「情報政策領域」 基本構想で示された都市づくりの目標の実現に向けて推進していくべき戦略的情 報化領域。 基本計画(総合計画、行財政改革大綱等)との整合性を諮りつつ中長期的な視点 で効果を捉え、限られた予算の中でその価値を最大化できるよう事業の優先度を考 慮し、計画的に実施していく。 領域Ⅲ: 「緊急対応領域」 法制度の改正や急激な社会経済環境の変化に伴い実施が必要となった情報化事業 の領域。 突発的な事業が想定されるが、行政課題として緊急性および重要性は極めて高く、 優先的に取り組む必要がある。 領域Ⅰの具体的な施策は、土木設計積算システムのメインフレーム処理からクラ イアント・サーバ7方式への移行、環境行政支援システムの導入(市民等の自発的な 環境保全活動が促進されるよう、環境情報の提供をインターネットで行うシステム)、 共通業務支援システムの導入(グループウェアなどの機能を活用した職員のコミュ ニケーションと情報活用を目的としたシステム、将来的には電子決裁や意思決定支 7 コンピュータをサーバとクライアントに分け役割分担をして運用する分散型コンピュータシステムのこ と。 27 援への活用を図る) 、全庁活用型GIS8システムの導入(デジタル地図と統計データ 等を関連づけて表示し、利用するシステム) 、行政文書管理システムの導入(文書目 録および文書データを電子化し、収受・起案等の文書の発生から廃棄までの一連の 文書管理事務を支援するシステム)となっている。 領域Ⅱの具体的な施策は、ワンストップ総合窓口システムの整備(庁内LANを 利用し、市民の情報を一画面で表示できる照会システムの整備など) 、ICカードを 活用した市民サービスの高度化、サンシャイン・コミュニティシステムの拡充(宮 崎市ホームページを中核としたインターネット網を利用した行政情報・サービスの 提供)となっている。 領域Ⅲの具体的な施策は、介護保険システム、住民基本台帳ネットワークシステ ム、総合行政ネットワーク9、情報通信基盤整備となっている。 「宮崎市情報化推進計画」では、情報化の円滑な推進を図るため、計画期間を前 期(平成13年~15年度:基盤形成期)と後期(平成16年~19年度:発展期) に分け、段階的な情報化に取り組むとされていた。 前期(平成13年~15年度)は、全庁的な情報共有の仕組みづくりなど宮崎市 の情報化基盤の整備を主目的とした事業に優先的に取り組み、将来的に提供してい く様々な市民サービスの導入に必要な基盤部分の整備を進めることとされていた。 ここでの宮崎市の情報化基盤としては、①情報化推進体制の整備、②情報化人材の 育成、③サービス提供側である行政内部の情報化、④市民の情報リテラシー(情報 検索・情報活用・情報発信能力)の向上、⑤インターネットを利用した行政情報提 供システムの整備などが求められるとされ、事業実施にあたっては、各事業の優先 度や技術動向などを踏まえ、柔軟かつ積極的に推進し、他の事業主体(民間事業者 等)と連携して取り組むべきものに関しては、連携と協力のもと事業推進を図るこ ととされていた。また補助金等国の支援施策の積極的な活用を図るなどして、より 低コストで利用頻度の高いシステム作りを行うこととされていた。 後期(平成16年~19年度)の具体的な事業および実施スケジュールは、市民 ニーズや情報通信技術の動向、前期計画の進展状況などを十分に考慮した上で、平 成15年度に再検討することとされた。 8 Geographic Information System の略。位置や空間に関する様々な情報を、コンピュータを用いて重ね 合わせ、情報の分析・解析を行ったり、情報を視覚的に表示させるシステムのこと。 9 地方自治体のコンピュータネットワークを相互接続した広域ネットワークのこと。 28 (4) 第四次宮崎市総合計画におけるIT施策の概要 「第四次宮崎市総合計画(平成20年3月 宮崎市) 」は、平成20年度を初年度 とし、平成29年度を目標年度とした長期計画であり、平成20年度から平成24 年度までの5年間を「前期基本計画」 、平成25年度から平成29年度までの5年間 を「後期基本計画」としている。 「第四次宮崎市総合計画 改訂版(平成25年3月 宮崎市) 」は、平成22年3 月の清武町との合併及び平成23年3月に発生した東日本大震災の教訓を踏まえ、 第四次宮崎市総合計画の基本構想を一部改訂し、平成25年3月に公表されたもの である。 この計画におけるIT施策については、 「高度情報通信を利用して、情報サービス を享受している」を個別目標とし、成果指標(目標の達成度を測る指標)の1つに、 インターネット利用率を全国平均と同等の利用率とすることとし、ケーブルテレビ のエリア拡大を促進させることでインターネット利用率の向上を図ることとしてい る。 また、実現するための主要施策は次のとおりとしている。 施策1 新市建設計画・新市基本計画に基づいてケーブルテレビ 情報格差解消の推進 網のエリア拡大を促進し、情報格差の解消につなげる。 施策2 行政情報システムの情報基盤の整備を進め、行政事務の 情報基盤の整備 効率化を図るとともに、市民・事業者が必要なときに情 報を入手でき、行政サービスを受けられる環境を整え る。 施策3 情報技術革新への対応として、サービス利用者となる市 情報活用能力の向上 民の情報活用能力の向上を支援する。 施策4 最新の情報技術に対応したセキュリティ対策を施し、個 情報セキュリティ対策の 人情報保護・情報資産の外部脅威からの防御に努める。 強化 さらに、防災対策を講じ、非常時に備える。 (5) 宮崎市情報化推進計画(平成25年度~平成29年度)の概要 宮崎市では、総務部情報政策課が、平成25年10月に「宮崎市情報化推進計画 平成25年度~平成29年度」を策定している。 この計画の概要は次のとおりである。 【計画の理念】 平成20年3月に策定された「第四次宮崎市総合計画」では、目標とする都市像 を「活力と緑あふれる太陽都市…みやざき…」として、 「次世代につなぐまちづくり」 29 に取り組んでいる。 平成24年度で前期基本計画(5ヵ年)を終えたことから、その実績等を評価す るとともに、行政を取り巻く社会情勢の変化や市民の意識、生活環境の変化による 施策等の見直しを行い、平成25年度からの後期基本計画(5ヵ年)に反映すると している。 この総合計画の5つの基本目標の一つに、快適・便利をキーワードとする「自然 と共生し快適に暮らせるまち」が挙げられている。この基本目標を達成するため、 「生 活を支える基盤が整っているまち」を重点目標の一つとして、情報政策の分野では、 「情報ネットワークが整備され、市民が容易に情報の発信や入手が行える便利で快 適な生活環境が確保されたまち」を目指すこととしている。 具体的には、 「高度情報通信を利用して、情報サービスを享受している」という個 別目標の達成に向けて、情報格差解消の推進や情報基盤の整備、情報活用能力の向 上、情報セキュリティ対策の強化に係る施策に取り組むこととしている。 また、第7次宮崎市行財政改革大綱では、 「効率的で信頼される行政運営の確立」 「健全財政の確立」 「市民の視点に立った行政サービスの確立」という3つの基本的 な視点で行財政改革を進めることとしているが、3番目の「市民の視点に立った行 政サービスの確立」では、情報化の推進が欠かせない取り組みとなる。 宮崎市情報化推進計画では、これらの上位計画を受け、情報システムの導入(新 規・更新)にあたっては、 「費用対効果」と「市民サービス」の視点に立ち、ICT がもたらす効果を行政サービスに最大限活かせるように配慮し、快適・便利な電子 市役所の実現を目指すものとしている。 【情報化推進の柱】 宮崎市では、昭和59年度にホストコンピュータ10を導入後、様々な業務の情報化 を進めてきているが、今日の情報技術を最大限に活用できていない部分もあること から、今後の情報化の推進には、次の3つの事項を柱として取り組むこととしてい る。 ① 行政サービスの高度化 情報システムを活用した行政サービスの提供は、 「いつでも、どこでも、誰で も」を基本に行う必要がある。社会情勢の変化による市民ニーズの多様化・複 雑化に対応でき、市民満足度を高められるよう行政サービスの高度化に努める。 ② 行政運営の簡素化・効率化 行政コストの縮減は、すべての行政分野で取り組む必要がある。今日の財政 事情を踏まえ、これまで以上に情報システムを活用し、行政運営の簡素化・効 率化に努める。 10 基幹業務などに利用される大規模なコンピュータ。 「メインフレーム」 「大型汎用機」と同義。 30 ③ 情報システム再構築・最適化 システムの老朽化やWindowsなどのOS(オペレーティングシステム) のサポート切れに伴うシステムの更新や、国の政策・制度変更などによる大幅 な改修が見込まれる情報システムについては、原則、パッケージ11(既成のソフ トウェア)による情報システム再構築に取り組む。また、アウトソーシング(外 部委託)やASP12など外部サービス利用の可能性、仮想化技術による情報機器 の集約、システム規模に適した機器調達など、情報システムの最適化を検討す る。 【サンシャインネット推進委員会の充実】 宮崎市では、コンピュータの高度活用計画及び事務をより効率的かつ円滑に推進 し、市民サービスの向上に資することを目的として、平成9年7月に「サンシャイ ンネット推進委員会」を設置している。 平成25年度現在、委員会は、総務部長を委員長、情報政策課長を副委員長、情 報政策課長補佐、情報政策課係長、人事課係長、財政課係長、企画政策課係長及び 管財課係長を委員として活動している。 委員会は、毎年庁内各課から提出される「次年度の情報化推進計画調書」の審議 が主な役割となっており、情報化事業の内容のヒアリングを経て、事業に係るコス トや必要性、緊急性などを判断材料に、新年度に取り組む情報化予算要求の可否を 決定している。 なお、委員長判断により、重要案件に指定された事項は、市長、副市長、企画財 政部長及び総務部長で構成する「戦略推進会議」で審議される。 近年、情報化社会の進展、行政事務の高度化に伴い、情報化の内容がより専門的 で高度なものになってきており、委員の持っている知識では判断に迷うケースも出 てきている。そこで平成16年度からは、外部の専門家(ICTコンサルタント) を活用して、情報化事業のヒアリングや経費精査を実施し、情報化経費の縮減や効 率的な情報化の推進に努めている。 しかし、今後の国の情報政策の動向を見据えると、当委員会を支える情報政策部 門の職員の資質向上が極めて重要になる。職員には、現行のネットワークシステム や業務システムに対する知識、最新のICTの知識を習得し、当委員会での審議を 迅速かつ的確に行い、行政運営に効果的な情報化の推進に寄与することが望まれる。 11 特定の業務あるいは業種で汎用的に利用することのできる既製の市販ソフトウェアのこと。 Application Service Provider の略。アプリケーションソフト等のサービス(機能)をネットワーク経 由で提供するプロバイダのこと。 12 31 【重点的に取り組む事項】 ① 行政サービスの高度化 (a) ネットワークシステム 宮崎市のネットワーク(コンピュータをつなぐ通信網)は、業務システ ムや職員用システムを動作させる庁内ネットワーク(庁内LAN)とイン ターネットに接続する情報系ネットワークに大別される。 セキュリティ確保のため、庁内LANと情報系ネットワークは物理的に に切り離しており、庁内LANと情報系ネットワークの双方に接続する場 合には、2台のパソコンを必要としている。 将来的には、セキュリティのさらなる強化等を図り、職員端末機からは インターネットにも接続できるようにすることを検討する。 (b) パソコン等の機器更新 庁内で利用するパソコンは、庁内LANの業務システム端末機や職員端 末機、情報系ネットワークのインターネット端末機とそれぞれ用途が異な り、搭載されているOSやアプリケーション13も多種多様となっている。 パソコン等の機器は、5年リースを基本としているが、その更新にあた っては、OSとアプリケーションとの整合性、親和性を考慮しながら、ラ イフサイクルの適正化に努める。 特に市民サービスへの影響が少ないシステム機器については、経費節減 を図る上からも再リースを積極的に取り入れる。 (c) 住民基本台帳カードから個人番号カードへ 平成15年8月に交付を開始した住民基本台帳カードは平成25年度で 10年の節目を迎えたが、平成25年5月に成立した「行政手続における 特定の個人を識別するための番号の利用等に関する法律」いわゆるマイナ ンバー法により、平成28年1月からは、住民基本台帳カードに替わり個 人番号カードが発行されることになる。 宮崎市では住民基本台帳カード及び宮崎市民カードを利用して自動交付 機での証明書発行を行うなど、先進的な取り組みを行ってきた。 個人番号カードについては、今後も国の動向を注視しながら市民サービ スが低下しないように適切に対応していくこととしている。 (d) コンビニ交付 宮崎市では、住民基本台帳カードを利用して、自動交付機での住民票の 13 特定の目的のために設計されたソフトウェアのこと。 32 写しや印鑑証明書の発行を行ってきたが、さらなる市民の利便性向上を図 るため、コンビニエンスストアに設置された多機能端末を活用した各種証 明書等の交付に取り組むこととしている。 (e) サンシャインコミュニティシステム スポーツ施設や公民館の使用予約、図書館の配本予約ができるサンシャ インコミュニティシステムは、平成25年度に新しいシステムに更新して いる。 今後とも、システムを有効に活用し、市民にとって有効な情報サービス の提供を進めていくこととしている。 (f) ホームページ ホームページは、行政情報やイベント情報の市民への広報手段として、庁 内各部署で幅広く活用されている。コンテンツ(掲載情報)の登録・更新を 効率的に行うためには、HTML(ホームページ作成言語)等の専門知識が なくても容易に操作できるシステムが望まれる。 また、高齢者や障がい者を含めただれもが容易に情報を入手することがで きるよう「ウェブアクセシビリティ(JIS X8341-3:2010)14」 に準拠した、見やすく使いやすいホームページを目指すとしている。 (g) SNS(ソーシャル・ネットワーキング・サービス) ツイッターやフェイスブックなどのSNS15を情報発信ツールとして活 用する自治体が増えてきている。SNSは民間が提供するサービスであり、 情報の即時性・拡散性には目を見張るものがある。宮崎市では、広報部門 などがSNSの利用を始めているが、今後もその効果を検証しながら、情 報発信媒体の一つとして、さらなる活用手法を研究する。 (h) ケーブルテレビ網 宮崎市では、情報格差の解消のため、第3セクターの宮崎ケーブルテレ ビ㈱が実施するケーブルテレビ網のエリア整備事業に助成をしてきた。 現在のエリアカバー率は、約95%となっているが、残りの未整備地区 については、整備事業費および維持管理費のコスト高が見込まれることか ら、今後、それらの地域の実情を把握しながら、エリア整備等について事 14 日本工業規格から2004年6月に公表された規格である「高齢者・障害者等配慮設計指針―情報通信 における機器、ソフトウェア及びサービス-第3部:ウェブコンテンツ」のこと。 15 インターネット上の交流を通して社会的ネットワークを構築するサービスのこと。 33 業者と協議を進めていく必要があるとしている。 ② 行政運営の簡素化・効率化 (a) 庁内LANの活用 職員一人一台のパソコン配置とネットワーク化により、事務処理の効率 化・迅速化を図っている。 またGIS(地図情報システム)や設計積算システムなど一部の部署で 活用している情報システムを、庁内LANを有効に活用して共同利用する ことで、経費節減を図っている。 今後も、各部署で運用している情報システムのうち、ネットワーク化に より事務処理の効率化や経費節減が見込まれる場合には、庁内LANの活 用を推進していくこととしている。 (b) ICTを活用した行財政改革の推進 第7次宮崎市行財政改革大綱を推進していく上でも、限られた人的資源 を補完するため、最新のICTを活用し、行政内部の事務処理の簡素化・ 効率化を図る必要がある。 具体的には、共同アウトソーシング16の推進やASPなど外部サービス の活用、クラウドコンピューティング17の導入など、新しい技術の活用を 検討することとしている。 (c) グループウェアの有効活用 庁内LAN上で利用しているグループウェア18には、電子メールや行動予 定表、電子掲示板など豊富な機能があるが、その機能を十分に活用できて いない部分がある。 今後、職員同士の意見交換や情報共有の機能をより一層活用し、事務の 簡素化・効率化に努めることとしている。 (d) 情報システム調達の適正化 新たに行政事務をシステム化する場合や既存システムの更新をする場合、 リース終了機器を更新する場合など、情報システムの調達には、様々なケー スがある。 16 複数の市町村等が共同で業務の外部委託(アウトソーシング)を行うことにより、低コストで高いセキ ュリティ水準のもと共同データセンターにおいて情報システムの運用を行うこと。 17 従来は手元のコンピュータで管理・利用していたようなソフトウェアやデータなどを、インターネット などのネットワークを通じてサービスの形で必要に応じて利用する方式のこと。 18 組織内のコンピュータネットワークを活用した情報共有のためのシステムソフトウェアのこと。 34 ハードウェアの調達については、原則、入札を採用するが、過度の投資 とならないよう、機器の能力や構成、必要機能などの仕様を明確にする必要 がある。また、パソコンに搭載するアプリケーションについても、必要最小 限のものにする必要がある。 さらに、新規開発や再構築を伴う情報システムの調達にあたっては、原 則、パッケージ(既成のソフトウェア)を採用することとし、限りなく、カ スタマイズ19(改修)ゼロを目指す。 これらの情報システム調達の適正化のため、宮崎市では、関係部署の実 務担当者を対象とした「情報システム調達研修」を実施し、情報システム 関連のコスト等について、ICTの専門家であるICTコンサルタントの 指導・助言を受け、調達経費・仕様等の精査を行い、コスト縮減と効率的 な情報化の推進を図る体制を構築している。 ③ 情報システム再構築・最適化 宮崎市では、昭和59年度にホストコンピュータを導入し、住民記録システ ムや各種税システム、印鑑登録システムなど、多くの基幹系業務の情報システ ムを運用し、現在に至っているが、度重なる法改正等によりシステムの複雑化 が顕著になっている。 また、今日、情報システムを運用する機器構成は、サーバと呼ばれる小型コ ンピュータが主流となり、その仕組みにも新しい情報技術が採用されており、 ホストコンピュータでの処理は時代遅れの感もあり、システムも陳腐化してい る。 昨今、多くの自治体で、高止まりしているホストコンピュータに係る運用経 費の削減に向けて、また、複雑化しているシステムの最適化を図るため、情報 システムのオープン化への動きが活発となっており、時流に合ったシステムの 再構築・最適化を進める必要がある。 また、宮崎市ではホストコンピュータ導入後、二度の市町合併を行い、その 都度、システム統合を実施してきたが、行政客体となる個人や事業所の情報が 多重管理となり複雑に紐付けされるなど、事務処理の効率化の弊害となってい る部分があるため、これらを改善することもシステムの最適化につながるもの であるとしている。 (a) 情報システムの再構築 ホストコンピュータで稼働している情報システムは、導入後29年を経 過しており、システムに柔軟性がないことなどから、その運用には多大な 労力と経費を要し、最新の情報技術を用いた新システムに再構築すること 19 ソフトウェアの設定や設計を調整し、ユーザーの好みに合わせて作り変えること。 35 が望まれている。 そこで、宮崎市では、第一次システム再構築として、平成23年度から 平成24年度にかけて、小型のサーバを利用した戸籍システム、福祉シス テムの構築に取り組んできた。 平成25年度からは、住民記録、国民健康保険、国民年金、税総合、介 護保険、滞納整理などの基幹系業務システムの再構築に取り組んでいくこ ととしている。 再構築にあたっては、宮崎市の業務に合致したパッケージ(既成のソフ トウェア)の採用を原則とし、カスタマイズ(改修)を極力抑えることに より、導入経費、運用経費の縮減を図ることとしている。 (b) 情報システムの最適化 既存システムを再構築する場合や新規構築する場合には、業務に応じた ソフトウェアの選定とそのシステム規模に見合った機器構成とすることが 重要となる。 また、行政事務のシステム化を行うにあたり、そのシステムに合わせ、 業務を行う組織のあり方や業務フローを見直すことも必要となってくる。 限られた情報資産や人的資源の中で、市民サービスの向上を目指し、最 大の効果を発揮できる情報システムを構築するには、業務改善という視点 での取り組みも必要であり、関係部署と協力し円滑な移行を行っていくこ ととしている。 (c) 新しい情報通信技術の活用 情報技術の進歩は目覚ましく、近年自治体や民間では、新しいコンピュ ータの利用形態であるクラウドコンピューティングやシンクライアント20 の導入、サーバの仮想化など、新しい技術を採用するところが増えている。 特に、自治体にあっては、平成23年3月11日の東日本大震災での庁 舎被災に伴う情報システムデータの消失等があったことから、 「自治体クラ ウド」21に移行する団体も見られるようになってきた。 また、行政情報の発信ツールとして、ツイッターやフェイスブックなど のSNSが多くの自治体で活用されている。これらは、情報の即時性・拡 散性があることから、平時だけでなく、災害時に有効な情報発信手段とな ることが期待されている。 20 ユーザー(クライアント)が操作するパソコンには入力や表示など必要最小限の機能しか持たせず、パ ソコンとネットワークでつながれたサーバで情報処理を実行する情報処理環境のこと。 21 地方自治体が住民情報などを民間のデータセンターに移し、クラウド上でサービスを受けられる環境の こと。 36 さらに、インターネットへの接続や専用アプリのダウンロードなど、パ ソコンより手軽に利用できるタブレット端末が急速に普及している。この 機器は、使いようによっては、 「行政窓口から地域現場での市民サービスの 提供」という新たなサービス形態を生み出す可能性がある。 これらの新しい情報通信技術を活用し、行政事務の簡素化・効率化をよ り一層進め、市民サービスの向上につなげることが望まれるとしている。 【共通的に取り組む事項】 ① 推進体制の強化 (a) ICTガバナンス22 宮崎市では、平成15年9月に制定した「宮崎市情報セキュリティポリ シー 平成23年7月25日」において、情報政策部門を所管する副市長 を「最高情報統括責任者」に位置づけているが、実質的には、 「統括情報セ キュリティ責任者」である総務部長が、庁内の情報化の推進や情報セキュ リティ対策、情報化の適用業務、情報システムの運用等における課題解決 の判断を行う最終決定者となっている。 また、職員一人一台のパソコン配置を行っていることから、各課・室の 長を「情報セキュリティ管理者」に、各情報システムの担当課・室の長を 「情報システム管理者」に指定し、全庁的な情報化の推進体制を整備して いる。 こうした体制に加え、平成16年度からは、情報システムの調達等につ いて、専門的な立場から指導・助言を受けるため、ICTコンサルタント を活用している。 今後も、全庁的な視点から情報化の推進と行政運営の効率化を図るなど、 ICTガバナンスを維持していくこととしている。 (b) 人材の育成 宮崎市では、ホストコンピュータで稼働するシステムを小型のサーバを 利用したシステムに再構築することにより、ホストコンピュータに係る電 算システムやプログラミング言語等の知識、専門的な能力は必要なくなる 方向に進んでいくと考えている。 その一方で、パソコンやネットワークなど情報通信に関する一定の知識 を持ち、原課からの要求を情報政策に反映できる能力や、システム・機器 調達、システム開発プロジェクト管理等を適切に行うことのできる能力を 22 組織体・共同体がITを導入・活用するにあたり目的と戦略を適切に設定し、その効果やリスクを測定・ 評価して理想とするIT活用を実現するメカニズムをその組織の中に確立すること。 37 備えた職員が求められている。 さらに、クラウドコンピューティングに代表される革新的新技術を視野 に入れ、これらに対応できる先進性と専門性を持つ組織体制も必要になる ことから、最新の知識を獲得できる専門研修などを活用しながら、情報政 策部門を担う人材育成を積極的に行うこととしている。 ② 情報セキュリティの強化 (a) 情報セキュリティ対策の徹底 宮崎市では、 「宮崎市情報セキュリティポリシー 平成23年7月25 日」に基づき、毎年、職員を対象に情報セキュリティ研修を実施している。 また、情報セキュリティ対策として考えられる「人的対策」 「物理的対 策」 「技術的対策」を講じ、情報資産の保護に努めることとしている。 しかし、今日の技術革新により、USBメモリに代表される記憶媒体の 小型化・大容量化が進み、職員による持ち運びが見られ、紛失等の事故が 危惧される。パスワード付きのUSBメモリもあるが、宮崎市では、すべ てのUSBメモリの使用を把握するために、各課で登録管理したものを情 報政策課において報告する仕組みを取り入れている。 さらに、近年、サイバーテロ23やコンピュータウィルス24感染による情 報漏えい等の事件が発生している。宮崎市では、これまで情報漏えいに至 るような被害は受けていないが、市民に関する重要な情報資産を管理して おり、それらに適切に対応する継続的な対策を徹底していくこととしてい る。 (b) ICT部門の業務継続計画 市役所における通常業務の継続にあたっては、各種業務の情報システム の稼働が必須となっている。そのため、大規模な災害時だけでなく平常時 においても、システム障害の発生時には、行政機能が停止し、その復旧に 多くの時間を要することが予想される。 平常時はもちろん災害時においても、市役所に求められることは、次の 2点に集約される。 ž 市民生活に密着した重要業務が中断しないこと ž 中断したとしても、可能な限り短時間で業務を再開させること この求めに応じるには、市役所の情報システムに障害が発生した場合の 23 インターネット上の大規模な破壊活動のこと。社会的な統制機能に打撃と混乱を与えるような深刻かつ 悪質なものを呼ぶ。 24 コンピュータやソフトウェアに侵入して、データの破壊や改ざんなどの行為をするプログラムのこと。 38 早期復旧を目的とした「ICT部門の業務継続計画」が必要となる。特に、 災害時においては、情報システムの機能が災害復旧に大きな役割を果たす ことになるため、 「ICT部門の業務継続計画」と「全庁的な業務継続計画」 は、常に整合性を保つことが求められているとしている。 (6) 宮崎市の情報システム関連予算額 宮崎市は平成22年3月に清武町と合併しているが、これ以降の情報化関連予算額 は次のとおりである。なお宮崎市では、基幹系業務を除く情報化関連予算は各課にお いて要求し、各課において執行している。したがってここでの情報化関連予算額は、 情報政策課のみならずその他の課の予算額も含んでいる。 平成22年度の一般会計予算のうち義務的経費25を除いた額は 628 億 6 千万円(補 正予算計上後)であった。このうち情報化関連予算は 18 億 7 千 9 百万円であり、一 般会計予算から義務的経費を除いた額に占める情報化関連予算の割合は 2.99%であ った。 平成24年度においては、一般会計予算のうち義務的経費を除いた額は 622 億 2 千 1 百万円、情報化関連予算は 19 億 5 千 7 百万円となり、その占める割合は 3.15% となった。 平成25年度においては、一般会計予算のうち義務的経費を除いた額は 636 億 4 千 1 百万円、情報化関連予算は 24 億 2 千 1 百万円となり、その占める割合は 3.80% となっている。 このように情報化関連予算額は近年増加傾向にあるとともに、一般会計予算のうち 義務的経費を除いた額に対する割合も上昇傾向にあり、情報システムの調達の重要度 が高まってきていることが見て取れる。 以上のことから、情報システムの調達事務に関する取り組みは全庁的な取り組みと して今後も重視していくべきものであると言える。 25 支出が義務的で任意には削減できない経費のこと。ここでは人件費、扶助費、公債費の額の合計とした。 39 (7) 他市との比較 平成25年2月に総務省自治行政局地域情報政策室が公表した「地方自治情報管理 概要~電子自治体の推進状況(平成24年4月1日現在)~」によると、宮崎市及び 同市と人口が近似している地方自治体における情報主管課の経費額は次のとおりで ある。宮崎市の経費額は、情報政策課における予算額を示している。 (金額単位:百万円) 宮崎市 大分市 長崎市 高松市 藤沢市 枚方市 (人) 403,027 476,723 439,539 426,707 417,070 408,966 機器購入費 レンタル ・リース 回線使用料 機器・ソフトの 保守料 派遣要員人件費 0 - 2 - - 9 333 395 342 523 592 485 27 32 48 73 30 8 126 87 58 15 5 140 118 92 - 96 66 - 357 265 309 756 57 215 - - 4 0 7 9 1 1 0 0 0 1 106 25 11 19 34 74 1,071 901 777 1,484 794 944 人口 委託費 安全対策費 各種研修費用 その他 合計 ※ 人口は平成25年4月1日時点の住民基本台帳人口に基づいて記載している。 表中、宮崎市は高松市に次いで経費額が多い。宮崎市は同規模の他市と比べて「機 器・ソフトの保守料」及び「委託費」が比較的多いことがわかる。 40 3. 宮崎市の情報セキュリティの概要 (1) 宮崎市の情報セキュリティの目的 地方自治体の情報システムが取り扱う情報には、市民の個人情報のみならず行政 運営上重要な情報など、外部への漏えいが発生した場合には極めて重大な結果を招 く情報が多数含まれている。したがって情報資産とその情報資産を取り扱うネット ワークや情報システムをさまざまな脅威から防御することは、市民の財産やプライ バシーを守るためにも、また、事務の安定的な運営のためにも必要不可欠であり、 ひいては、行政に対する市民からの信頼の維持向上に寄与することとなる。 また、近年のITの進展により、電子自治体の構築が現実のものとなっている。 今後宮崎市が電子自治体を構築する場合、すべてのネットワークと情報システムが 高度な安全性を有することが不可欠である。 そのため、宮崎市では情報資産の機密性26・完全性27・可用性28を維持するための 対策(情報セキュリティ対策)を整備するために、「宮崎市情報セキュリティポリ シー 26 27 28 平成23年7月25日」を定めている。 認可された者だけが情報にアクセスできることを確実にすること。 情報とその処理方法が正確かつ完全である状態を安全防護すること。 許可された利用者が必要なときに情報にアクセスできることを確実にすること。 41 (2) 宮崎市における情報セキュリティの管理体制の概要 「宮崎市情報セキュリティポリシー 平成23年7月25日」によると、宮崎市 行政全般における情報セキュリティ対策のための組織体制は下記のとおりである。 最高情報統括責任者 情報政策を担当する副市長 統括情報セキュリティ責任者 情報政策担当部長 宮崎市サンシャインネット推進 委員長 委員会 副委員長 情報政策課長 委員 情報セキュリティ責任者 総務部長 情報政策課長補佐 同 情報政策課係長 同 人事課係長 同 財政課係長 同 企画政策課係長 同 管財課係長 部局の長、清武総合支所長、行政委員会事務局 の長、消防局長、上下水道局長 情報セキュリティ管理者 課・室の長、地域センター長、地域事務所長、 行政委員会事務局の次長、消防局の課長、上下 水道局の課長 情報システム管理者 各情報システムの担当課・室の長 情報システム担当者 各情報システムの運用などを担当する職員 「宮崎市情報セキュリティポリシー 平成23年7月25日」で定められた各役職 等の役割は、次のとおりである。 【最高情報統括責任者】 宮崎市の情報政策を担当する副市長を、最高情報統括責任者とする。最高情報統 括責任者は、宮崎市における全てのネットワーク、情報システム等の情報資産の管 理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。 42 【統括情報セキュリティ責任者】 ① 情報政策担当部長を、最高情報統括責任者直属の統括情報セキュリティ責任者 とする。統括情報セキュリティ責任者は最高情報統括責任者を補佐しなければ ならない。 ② 統括情報セキュリティ責任者は、本市の全てのネットワークにおける開発、設 定の変更、運用、見直し等を行う権限及び責任を有する。 ③ 統括情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキ ュリティ対策に関する権限及び責任を有する。 ④ 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ 管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリ ティに関する指導及び助言を行う権限を有する。 ⑤ 統括情報セキュリティ責任者は、本市の情報資産に対する侵害が発生した場合 または侵害のおそれがある場合に、最高情報統括責任者の指示に従い、最高情 報統括責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行 う権限及び責任を有する。 ⑥ 統括情報セキュリティ責任者は、本市の共通的なネットワーク、情報システム 及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び 責任を有する。 ⑦ 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高 情報統括責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情 報セキュリティ管理者、情報システム管理者、情報システム担当者を網羅する 連絡体制を整備しなければならない。 【宮崎市サンシャインネット推進委員会】 本市の情報セキュリティ対策を統一的に行うため、サンシャインネット推進委員 会において、情報セキュリティポリシー等、情報セキュリティに関する重要な事項 を決定する。 ① 総務部長を宮崎市サンシャインネット推進委員会(以下「委員会」 )の委員長、 情報政策課長を副委員長、情報政策課長補佐、情報政策課係長、人事課係長、 財政課係長、企画政策課係長、管財課係長を委員とする。 ② 委員会は、必要に応じて委員長が招集し、それを主宰する。 ③ 委員長が必要と認めるときには、会議に関係者の出席を求め、意見を聴取する ことができる。 ④ 意見聴取については、委員又は委員が指定する職員で行い、その結果を委員長 及び副委員長へ報告する。 ⑤ 委員会は、会議の結果を取りまとめて関係課に報告する。 43 【情報セキュリティ責任者】 ① 部局の長、総合支所長(清武のみ) 、行政委員会事務局の長、消防局長、上下水 道局長を情報セキュリティ責任者とする。 ② 情報セキュリティ責任者は、当該部局等の情報セキュリティ対策に関する統括 的な権限及び責任を有する。 ③ 情報セキュリティ責任者は、その所管する部局等において所有している情報シ ステムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責 任を有する。 ④ 情報セキュリティ責任者は、その所管する部局等において所有している情報シ ステムについて、緊急時等における連絡体制の整備、情報セキュリティポリシ ーの遵守に関する意見の集約及び職員等(職員、非常勤職員及び臨時職員をい う。以下同じ。 )に対する教育、訓練、助言及び指示を行う。 【情報セキュリティ管理者】 ① 課・室の長、地域センター長、地域事務所長、行政委員会事務局の次長、消防 局の課長、上下水道局の課長を、情報セキュリティ管理者とする。 ② 情報セキュリティ管理者はその所管する課室等の情報セキュリティ対策に関す る権限及び責任を有する。 ③ 情報セキュリティ管理者は、その所掌する課室等において、情報資産に対する 侵害が発生した場合又は侵害のおそれがある場合には、情報セキュリティ責任 者、統括情報セキュリティ責任者及び最高情報統括責任者へ速やかに報告を行 い、指示を仰がなければならない。 (3) 情報セキュリティポリシーの構成 「宮崎市情報セキュリティポリシー 平成23年7月25日」は、宮崎市が管理 する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的 に取りまとめている。 情報セキュリティポリシーは、宮崎市が管理する情報資産に関する業務に携わる 全職員・非常勤職員・臨時職員および外部委託事業者や公の施設の指定管理者に浸 透・普及・定着させるものであり、安定的な規範であることが要請される。しかし ながら一方では、技術の進歩などに伴う情報セキュリティを取り巻く状況の急速な 変化に柔軟に対応することも必要である。 このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基 本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策 定している。 具体的には、情報セキュリティポリシーを「情報セキュリティ基本方針」及び「情 44 報セキュリティ対策基準」の2階層に分け、それぞれ策定している。 また、情報セキュリティ対策基準に基づく、ネットワーク・情報システムごとの 具体的な情報セキュリティ対策の実施手順を、情報セキュリティ実施手順として別 途策定することとしている。 文 情報 セキュリティ ポリシー 書 名 内 容 情報セキュリティ 情報セキュリティ対策に関する統一的かつ基 基本方針 本的な方針 情報セキュリティ 対策基準 情報セキュリティ基本方針を実行に移すため のすべてのネットワークと情報システムに共 通の情報セキュリティ対策の基準 情報セキュリティ対策基準に基づく、ネット 情報セキュリティ実施手順 ワーク・情報システムごとの具体的な情報セ キュリティ対策の実施手順 4. 宮崎市における情報システムの管理体制 (1) 宮崎市における情報システム管理体制の概要 情報化施策を計画、立案、実施するにあたり、宮崎市では「サンシャインネット 推進委員会」を設置している(委員会の構成は43ページ【宮崎市サンシャインネ ット推進委員会】に記載) 。 サンシャインネット推進委員会で検討された情報化計画に基づく日常的な情報シ ステムの整備・運用・管理業務は、総務部情報政策課が主体となって行っており、 宮崎市で管理・運用されている情報システムの管理体制は大きく次の2つに分類さ れる。 ○ 総務部情報政策課と情報システムの業務所管たる主管課・室が、役割分担し管 理する体制 ○ 情報システムの業務主管たる主管課・室が独自で管理する体制 1つ目の管理体制に該当する主な情報システムは、住民記録情報、印鑑情報等の 大型汎用機(メインフレーム)を利用した情報システムである。それ以外の情報シ ステムは、2つ目の管理体制が該当する。 このように、各課・室で所管する情報システムを管理する場合もあることから、 宮崎市は、情報システムを所管する課・室等の長を、情報システム管理者として定 45 め、その管理を行っている。 (2) 総務部情報政策課の担当業務及び体制 総務部情報政策課の体制は下記図表に示すとおり、課長の他に管理係、情報政策 係、システム運用係の3つの係の計13名体制となっている(平成25年4月1日 現在) 。 事務分掌は次のとおりである。なお統計係については、情報部門業務以外のため 除外している。 管理係 情報政策係 1 情報化施策の調整に関すること。 2 情報セキュリティに関すること。 3 課内の庶務及び課内の他係に属さないこと。 1 高度情報化施策の調査及び研究に関すること。 2 地域情報化及び行政情報化の推進計画及び開発に関するこ と。 システム運用係 1 地域情報システム及び行政情報システムの維持管理に関す ること。 2 地域情報システム及び行政情報システムの運用に伴う調整 及び指導に関すること。 3 情報通信基盤の管理運営及び整備に関すること。 出所:行政事務概要 46 また、各係の所属人員の市職員在職年数、情報政策課の経験年数(通算経験年数 及び平成25年度迄の連続在籍年数)は下表のとおりである。 (年数単位:年) 情報政策経験年数 係名 1 課長 2 管理係 職名 在職年数 通算年数 平成 25 年度迄 連続在籍年数 33 8 1 課長補佐 29 8 1 3 副主幹 32 5 5 4 主事 2 2 2 主幹 28 10 1 6 主査 17 6 6 7 主任主事 5 2 2 8 主任主事 9 3 3 9 主任主事 9 2 2 係長 23 10 1 11 主査 21 6 2 12 主任主事 7 1 1 13 主事 3 3 3 16.8 5.1 2.3 5 10 情報政策係 システム運用係 平均年数 出所:情報政策課作成資料 ※ 通算年数には合併前の旧町(佐土原町、田野町、高岡町及び清武町)役場での 経験年数を含む。 情報システムに関する業務は専門的な知識、ノウハウ、経験が必要となる反面、組 織内の同一部署に継続して長期間所属することは一般的に様々な悪弊を招くおそれ がある。 平成25年度時点での情報政策課職員の状況は上の表のとおりであり、管理係、情 報政策係及びシステム運用係の主査以上の職員の経験年数は5年から10年と経験 者が占める一方、平成25年度末までの連続した在籍年数は情報政策課職員全体にお いても6年以下となっており、専門知識等の活用と人事硬直化の弊害に配慮されてい ると考えられる。主査以上の職員の情報政策課通算経験年数と平成25年度迄の在籍 年数との差から、過去に情報政策を経験した職員が他部署に異動後、再度情報政策課 に配属されていることがわかり、市役所内で一定の人事交流がなされていることがう かがえる。 なお、平成25年2月に総務省自治行政局地域情報政策室が公表した「地方自治情 47 報管理概要~電子自治体の推進状況(平成24年4月1日現在)~」によると、人口 40万人から50万人の市及び特別区(指定都市を除く)における1団体当たり情報 主管課職員数は20.3人とされている。 48 第3 外部監査の指摘及び意見 I. 監査対象システム 1. 監査対象とする情報システムの選定方法 (1) 監査対象とする情報システムの選定方法の概要 監査対象とする情報システムの選定は、次の手順で実施した。 手続 予備調査1 監査対象システム 「システム概要調査表」による宮崎市の情報システムの洗い 出し 予備調査2 「システム概要調査表」の回答に対する担当者への事情聴取 監査の対象とする 予備調査1及び2の結果を基礎とし、監査の対象とする情報 情報システムの選定 システムの決定 以下に手続の詳細について述べる。 (2) 予備調査1: 「システム概要調査表」による宮崎市の情報システムの洗い出し 宮崎市では、総務部情報政策課が情報政策の立案、推進、情報システムの開発・ 運用及び情報セキュリティ等の業務を担っているものの、市役所内の各担当課がそ れぞれ管理している情報システムも存在する。そのため、情報システムを有する所 管課に対して、監査人が作成した「システム概要調査表」を配布し、記入を依頼し た。 「システム概要調査表」の項目は次の29項目とし、情報システムの概要把握を 実施した。 1. 情報システム名称 2. 情報システムの用途 3. ユーザー数 4. 情報システムの担当部署 5. 情報システムの担当者数 6. 情報システム担当者の人員増減の有無 7. 情報システムの設置場所 8. アプリケーションの開発方式(自製またはパッケージ) 9. 情報システムの稼働開始時期 49 10. ハードウェアの種類(メインフレーム・オフコン・サーバ等) 11. ハードウェアの機種名 12. OS(オペレーティングシステム)の名称 13. DBMS(データベース・マネジメント・システム)の名称 14. データのバックアップの状況 15. 情報システムの新規構築時の予算額 16. 情報システムの新規構築時の決算額 17. 情報システムに係る平成24年度の予算額 18. 情報システムに係る平成24年度の決算額 19. 平成24年度の決算額のうち外部委託事業者への支払額 20. 運用の外部委託事業者名 21. 外部委託の内容 22. 情報システムに係る平成25年度の予算額 23. 情報システムに係る平成25年度の予算額のうち外部委託事業者への支払 予定額 24. 情報システム更新の予定の有無 25. 情報システム更新の予定がある場合、その予算額 26. 情報システムが保有する個人情報の件数 27. 情報システムが保有する情報資産の機密性の状況 28. 情報システムが保有する情報資産の完全性の状況 29. 情報システムが保有する情報資産の可用性の状況 その結果、129の情報システムについて回答を得た。 (3) 予備調査2: 「システム概要調査表」の回答に対する事情聴取 予備調査1で回答のあった129の情報システムに対して、 「システム概要調査表」 の内容について、担当者から事情聴取を実施した。 なお事情聴取は、主に次の観点により実施した。 ○ 情報システムの具体的な利用内容 ○ 情報システムが保有する個人情報の内容と利用状況 ○ 「システム概要調査表」に記載された内容の再確認 50 2. 監査対象システムの選定理由 予備調査1及び予備調査2の手続の結果から、監査の対象とする情報システムは、 主に次の観点を考慮して選定した。 【金額的な重要性】 ○ 平成24年度の決算額及び平成25年度の予算額 ○ システム更新の予定がある情報システムのうち、予算額が大きいもの 【質的な重要性】 ○ 宮崎市の業務において重要性が高いと判断される情報システム ○ 保有する個人情報の数が多い情報システム ○ 保有する情報資産の機密性・完全性・可用性の状況から情報システムの重要 度を計数化し、総合的に重要性が高いと判断したもの ○ ユーザー数、情報システムの担当者数及びアプリケーションの開発方式など から判断した情報システムの重要性 選定の結果、監査の対象とする情報システムは、次の9システムとした。 1 税総合システム 2 住民記録情報システム 3 市民税システム 4 総合福祉システム 5 証明書発行システム 6 サンシャインコミュニティシステム 7 水道料金システム 8 後期高齢者医療制度用システム 9 ICカード発行状況管理システム 51 3. 監査対象システムの概要 1 税総合システム 所管部署 総務部情報政策課 導入時期 平成12年4月 利用目的・機能 個人市民税システム、軽自動車税システム 諸税システム、税収納システム、税口座システム、新行 政システム 2 3 ハードウェアの概要 メインフレーム及びクライアントサーバ ソフトウェアの概要 A社のパッケージソフトを利用 ユーザー数 718 ユーザー 住民記録情報システム 所管部署 総務部情報政策課 導入時期 昭和60年2月 利用目的・機能 住民記録、印鑑、選挙、就学援助 ハードウェアの概要 メインフレーム ソフトウェアの概要 自製(オーダーメイド) ユーザー数 988 ユーザー 市民税システム 所管部署 総務部情報政策課 導入時期 昭和60年3月 利用目的・機能 個人市民税賦課、収納 法人市民税賦課、収納 ハードウェアの概要 メインフレーム及びクライアントサーバ ソフトウェアの概要 自製(オーダーメイド) ユーザー数 676 ユーザー 52 4 総合福祉システム 所管部署 総務部情報政策課 導入時期 平成24年1月 利用目的・機能 児童手当、乳幼児・ひとり親・重度心身医療費助成、保 育料、児童扶養手当、生活保護 5 ハードウェアの概要 クライアントサーバ ソフトウェアの概要 A社のパッケージソフトを利用 ユーザー数 250 ユーザー 証明書発行システム 所管部署 総務部情報政策課 導入時期 平成15年8月 利用目的・機能 住民票、印鑑証明などを窓口端末および自動交付機で発 行するためのシステム 住基カードの独自利用アプリを管理するシステム 6 ハードウェアの概要 クライアントサーバ ソフトウェアの概要 A社のパッケージソフトを利用 ユーザー数 30 ユーザー サンシャインコミュニティシステム 所管部署 総務部情報政策課 導入時期 平成11年2月 利用目的・機能 ホームページの公開、庁内からのインターネット・メー ル、公衆用KIOSK端末、映像提供、施設予約等の情 報系ネットワーク ハードウェアの概要 クライアントサーバ ソフトウェアの概要 自製(オーダーメイド) ユーザー数 2,500 ユーザー (インターネット端末を原則として各課に1台配置し 全職員で利用) 53 7 8 水道料金システム 所管部署 上下水道局総務課 導入時期 平成21年9月 利用目的・機能 上下水道料金の賦課・収納情報、及び水栓情報の管理 ハードウェアの概要 クライアントサーバ ソフトウェアの概要 E社のパッケージソフトを利用 ユーザー数 280 ユーザー 後期高齢者医療制度用システム 所管部署 税務部国保年金課 導入時期 平成20年4月 利用目的・機能 後期高齢者の情報・資格記録の管理、保険料の賦課・収 納の管理 9 ハードウェアの概要 クライアントサーバ ソフトウェアの概要 A社のパッケージソフトを利用 ユーザー数 25 ユーザー ICカード発行状況管理システム 所管部署 地域振興部市民課 導入時期 平成15年8月 利用目的・機能 即日交付に対応できない住基カード及び市民カードの 照会文書の管理 ハードウェアの概要 クライアントサーバ ソフトウェアの概要 自製(オーダーメイド) ユーザー数 20 ユーザー 54 II. 外部監査の結果概要 外部監査の結果について、法令、市の条例、規則及び規程等に準拠していないと判 断されたものについては「監査の指摘」とした。またそれ以外でも、外部監査におい て検出され、今後改善することが望ましいと判断されたものについては「監査の意見」 とした。 外部監査の結果、 「情報システムの調達の適切性」について、 「監査の指摘」が11 件、 「監査の意見」が10件であった。 「情報システムの有効性、経済性及び効率性」について、「監査の意見」が5件であ った。 「情報セキュリティ」について、 「監査の指摘」が12件、「監査の意見」が7件で あった。 情報システム別・監査要点ごとの指摘及び意見の数は、次のとおりである。 調達の適切性 指摘 意見 有効性、経済性 及び効率性 指摘 意見 情報 セキュリティ 指摘 意見 全般的な指摘及び意見 3 4 - 1 6 2 税総合システム 1 1 - - 2 1 総合福祉システム - 1 - - - - 証明書発行システム - 1 - - - - サンシャインコミュニティシステム 3 1 - 1 - - 水道料金システム 3 1 - 1 - 3 後期高齢者医療制度用システム 1 1 - 1 - - ICカード発行状況管理システム - - - 1 4 1 11 10 - 5 12 7 住民記録情報システム 市民税システム 合 計 「全般的な指摘及び意見」は、監査対象とした個別の情報システムに限定されない 全庁的な指摘及び意見である。 「税総合システム」 「住民記録情報システム」及び「市民税システム」は、同一のメ インフレーム上で稼働している。これらはアプリケーションがそれぞれ異なるものの、 監査対象年度においては運用委託やセキュリティ対策等は共通的に実施されていたこ とから、 「メインフレームで稼働するシステム」としてまとめて指摘及び意見を記載し ている。 55 III. 外部監査の指摘及び意見 監査要点ごとの指摘及び意見は次のとおりである。 1. 情報システムの調達の適切性について 〔全般的な指摘及び意見〕 ① 調達ガイドラインの策定について【監査の意見】 宮崎市では情報システムの調達に関するガイドラインが策定されていない。 宮崎市における調達事務は、契約や支出については基本的には「宮崎市財務 規則」にしたがって事務処理が行われることとなる。しかし、財務規則は予算 執行時の承認手続などを規定する事務指針であり、調達しようとする物品が組 織の方針に沿い投資に見合った成果が得られるものであるかどうかの実質的な 判断指針を示すものではない。 情報システムの調達には、日進月歩で発展するITに関する技術的な知見と それを利用可能とする経験が必要であり、誰でもが容易に実施しうるとは言え ない専門的な業務であるが、それのみならず、導入しようとする情報システム が組織全体の戦略に合目的で最適なものであることが要請される。そのような 視点がないままで情報システムへの投資を行うことは、組織横断的な重複、無 駄や非効率な投資となるおそれがある。 また情報システム導入時の判断指針が定義されていないと、納入する事業者 の言いなりの仕様となり、曖昧な根拠に基づく非効率な調達(随意契約や一社 入札)が行われるおそれがある。 <改善提案> 情報システムの調達の特殊性に鑑み、情報システム調達ガイドラインを策定 し、調達に当たっての判断指針を明確に示すことが望まれる。特に宮崎市は、 情報政策課以外の部署においての情報システムの調達業務が相当程度存在する ことから、全職員が遵守しかつ理解できる全庁統一的な調達指針を策定するこ とが望まれる。 また、調達時に作成すべき資料の書式を定義し、具体的な作成基準を設ける ことにより、情報システムの調達に際して具備すべき要件を明瞭に示し、全庁 統一的な判断を行える体制を整備することが望まれる。特に随意契約を行う場 合には、その理由として記載すべき内容を定義し、要件を備えていることを明 確にすることが望まれる。 56 調達ガイドラインを作成するに当たって、例えば以下の要素を織り込むこと が望まれる。 調達ガイドラインで記載する内容の例示 ○ 調達ガイドライン策定の目的 ○ 調達ガイドラインの対象となる業務、部署等 ○ 調達プロセスの定義 ○ 情報システム調達の基本方針 • 導入が組織の目的に合致していること • 有効性・効率性・信頼性・安全性等を確保すること • 透明性・公正性のある調達を行うこと • 技術的な方針を定めること 等 ○ フェーズ別の要件定義 (下記のフェーズ別に調達時に必要とする手続、承認・評価・審査等の業 務フローを定める) • 企画 • 事業者選定 • 開発 • 運用 • 評価 ○ 作成すべき書式のひな形の掲示 近年、他の地方自治体でも情報システム調達ガイドラインの策定が進められ ている。参考として、HPで公表されているいくつかの自治体を掲げる。なお 下記リンクは、平成26年1月末時点で存在するものである。 和歌山県 http://www.pref.wakayama.lg.jp/prefg/020400/guideline/guideline.html 鳥取県 http://www.pref.tottori.lg.jp/80776.html 岡山県 http://www.pref.okayama.jp/page/detail-89152.html 57 浦安市 http://www.city.urayasu.chiba.jp/dd.aspx?itemid=18900 東京都豊島区 http://www.city.toshima.lg.jp/kusei/houshin/seisakukeiei/008380.html ② 随意契約理由の明確化について【監査の指摘】 監査対象とした情報システムの調達について、競争入札によらず随意契約と なっているものが数多く存在する。 随意契約を締結する際、支出負担行為書に「随意契約理由書」が添付され、 随意契約とする理由が記載されているが、地方自治法施行令及び宮崎市財務規 則で求められる要件を満たすと判断するには根拠の乏しい記述も見受けられる。 平成24年度の情報システムに関する調達案件について、監査対象とした情 報システムに関して随意契約と競争入札による契約の件数は次のとおりであっ た。ただし情報政策課の契約案件については、当課が宮崎市の情報政策を担う 中心部門であることから、監査対象として選定した情報システムに限定せず、 情報政策課が契約した 100 万円以上の案件まで調査対象を広げている。 58 (単位:件) 課 名 業務形態 情報政策課 委託 (契約金額 100 万円以上全件) 賃貸借 契約件数 随意 競争 契約 入札 小計 合計 28 1 29 1 6 7 29 7 36 国保年金課 委託 3 0 3 (後期高齢者医療制度システム) 賃貸借 0 7 7 3 7 10 小計 上下水道局総務課 委託 2 0 2 (水道料金システム) 賃貸借 0 3 3 2 3 5 小計 市民課 委託 0 0 0 (ICカード発行状況管理システム) 賃貸借 1 0 1 1 0 1 35 17 52 小計 総合計 上表の契約内容は次のとおりである。 【情報政策課】 委託契約 契約名 契約形態 契約先 1 電子計算機に係るシステム運用支援業務委託 随意契約 B社 2 サンシャインコミュニティシステム運用管理業務 随意契約 C社 委託 3 証明発行プリンタ(VSP4720)保守業務委託 随意契約 D社 4 オペレーション業務委託 随意契約 I社 5 宮崎市行政情報システム維持運用管理支援業務委 随意契約 A社 託 6 財務会計システム運用保守委託 随意契約 A社 7 封入封緘機保守・運用業務委託 随意契約 J社 8 データ入力業務委託 随意契約 K社 9 H24年度導入OPR保守業務委託 随意契約 D社 競争入札 L社 10 庁内プリンタ保守点検業務委託 59 契約名 契約形態 契約先 随意契約 D社 12 ICTコンサルタント業務委託 随意契約 G社 13 日本語ラインプリンターに係る消耗品供給及び交 随意契約 A社 14 宮崎市システム運用総合支援業務委託 随意契約 A社 15 光ケーブル伝送路保守業務委託「高岡」「清武」 随意契約 M社 16 庁内行政ネットワーク機器保守 随意契約 D社 17 住基ICカード発行機保守業務委託 随意契約 J社 18 基幹ネットワーク更新機器保守業務委託 随意契約 D社 19 CMS運用支援業務委託 随意契約 A社 20 H21合併に伴う印鑑住基保守業務委託 随意契約 D社 21 光ケーブル伝送路保守業務委託「フローランテ~動物園・ 随意契約 N社 随意契約 A社 23 CMSハード・ソフト保守業務委託 随意契約 A社 24 市民税法改正対応支援業務 随意契約 A社 25 福祉システム/戸籍システム運用委託 随意契約 A社 26 住基法改正における外国人住民制度対応及び福祉 随意契約 A社 随意契約 A社 28 福祉システム再構築に係る作業委託(第2次) 随意契約 A社 29 福祉システム制度改正対応業務委託 随意契約 A社 契約形態 契約先 11 住民基本台帳ネットワークシステム機器保守業務 委託 換作業委託 田野」 22 住民基本台帳ネットワークシステム運用サポート 委託 システム再構築に係る作業委託(第1次) 27 システム再構築実施に伴う宛名総合・基盤整備及び システム最適化計画の更新にかかる作業委託 賃貸借契約 契約名 1 平成24年度OPR賃貸借 競争入札 F社 2 業務システム端末賃貸借(平成24年度導入分) 競争入札 P社 随意契約 H社 インターネット用端末賃貸借(平成24年度) 3 電子計算機(ホストコンピュータ)の賃貸借 60 4 契約名 契約形態 契約先 サンシャインコミュニティ更新機器賃貸借(平成2 競争入札 F社 4年度) 5 新福祉システム関連サーバリース 競争入札 F社 6 新福祉システムサーバ関連ソフトウェアリース 競争入札 F社 7 新福祉システム関連端末リース 競争入札 F社 契約形態 契約先 【国保年金課(後期高齢者医療制度用システム) 】 委託契約 契約名 1 MCWELソフトウェア保守業務委託 随意契約 A社 2 MCWELハードウェア保守業務委託 随意契約 A社 3 後期高齢者医療システム運用支援業務委託 随意契約 A社 契約形態 契約先 賃貸借契約 契約名 1 MCWELクライアント端末賃貸借 競争入札 Q社 2 MCWELクライアント用ミドルウェア賃貸借 競争入札 F社 3 後期高齢者医療制度等対応に伴うファイアーウォ 競争入札 F社 ール賃貸借 4 後期高齢者システム用ソフトウェア賃貸借 競争入札 F社 5 システム用ハードウェア・ソフトウェア賃貸借 競争入札 F社 6 後期高齢者医療制度等対応に伴う増設ディスク賃 競争入札 F社 競争入札 P社 貸借 7 後期高齢者医療広域連合電算処理システム増設業 務端末等賃貸借 61 【市民課(ICカード発行管理システム) 】 賃貸借契約 契約名 1 ICカード発行管理機器リース 契約形態 契約先 随意契約 O社 (再リース のため。導 入時は競争 入札) 【上下水道局総務課(水道料金システム) 】 委託契約 契約名 契約形態 契約先 1 宮崎市上下水道局総合システム運用保守業務委託 随意契約 E社 2 下水道使用料改定に伴う料金システム改修業務委 随意契約 E社 契約形態 契約先 託 賃貸借契約 契約名 1 検満システム用ハンディターミナル機器等賃借料 競争入札 F社 2 検満システム検満用ハンディターミナル機器賃貸 競争入札 O社 競争入札 F社 借 3 システム更新に伴う機器賃貸借 地方自治法第234条、地方自治法施行令第167条の2では、随意契約に ついて以下のように定められている。 地方自治法(抜粋) 第二百三十四条 売買、貸借、請負その他の契約は、一般競争入札、指名競争 入札、随意契約又はせり売りの方法により締結するものとする。 2 前項の指名競争入札、随意契約又はせり売りは、政令で定める場合に該当 するときに限り、これによることができる。 (以下、省略) 62 地方自治法施行令(抜粋) 第百六十七条の二 地方自治法第二百三十四条第二項 の規定により随意契約 によることができる場合は、次に掲げる場合とする。 一 売買、貸借、請負その他の契約でその予定価格(貸借の契約にあつては、 予定賃貸借料の年額又は総額)が別表第五上欄に掲げる契約の種類に応じ同表 下欄に定める額の範囲内において普通地方公共団体の規則で定める額を超えな いものをするとき。 二 不動産の買入れ又は借入れ、普通地方公共団体が必要とする物品の製造、 修理、加工又は納入に使用させるため必要な物品の売払いその他の契約でその 性質又は目的が競争入札に適しないものをするとき。 三 (略) 四 (略) 五 緊急の必要により競争入札に付することができないとき。 六 競争入札に付することが不利と認められるとき。 七 時価に比して著しく有利な価格で契約を締結することができる見込みの あるとき。 八 競争入札に付し入札者がないとき、又は再度の入札に付し落札者がないと き。 九 落札者が契約を締結しないとき。 (以下、省略) 上記のとおり、法令では契約は原則として一般競争入札によることとされ、 随意契約は限定的な場合においてのみ例外的に認められるものとされている。 今回の監査対象とした情報システムに係る調達案件で随意契約となっていた ものは、すべて根拠法令として地方自治法施行令第167条の2第1項第2号、 すなわち「不動産の買入れ又は借入れ、普通地方公共団体が必要とする物品の 製造、修理、加工又は納入に使用させるため必要な物品の売払いその他の契約 でその性質又は目的が競争入札に適しないものをするとき」に該当するとして いる。 さらに、宮崎市財務規則134条では下記のとおり定められている。 宮崎市財務規則(抜粋) 第134条 市長は、随意契約によろうとするときは、契約の相手方に契約事 項、その他見積りに必要な事項を示し、2人以上の者から見積書を提出させな ければならない。ただし、法令等により価格が定められているものその他特に 理由があると認められるものの契約については、1人の者から見積書を提出さ 63 せるものとする。 (以下、省略) 宮崎市財務規則では、随意契約を締結する場合2人以上の者から見積書を提 出させることが原則とされている。しかし監査対象とした情報システムの調達 に関して、随意契約を締結したものについて2人以上の者から見積書を提出さ せたものはなく、すべて1社からの見積もりによっている。 <改善提案> 随意契約は例外的な調達形態であるため、実施する場合は立法趣旨を踏まえ た厳格な対応を取る必要がある。 随意契約を行う場合、地方自治法施行令第167条の2第1項第2号に該当 するものであれば、条文に記載された「その性質又は目的が競争に適さないも の」であること、さらに1社からの見積もりによる場合は、宮崎市財務規則第 134条に記載された「特に理由があると認められるものの契約」であること の明確な理由を付して決裁を得る必要がある。 参加しようとする事業者の公平性及び機会均等性、また市民から見た税金の 用途に関する透明性及び経済性などの観点から、安易な理由付けによる随意契 約は慎むべきである。 また随意契約の条件について、情報システムの調達ガイドラインを整備する、 チェックリストを策定する、また随意契約書の様式を改めるなどの方法により、 地方自治法施行令及び宮崎市財務規則によって求められている下記2点を明記 する必要がある。 ○ その性質又は目的が競争入札に適しないものである理由 ○ 2人以上の者から見積書を提出させない場合、1人の者からの見積書によ る理由 ③ 情報システム調達時の事前評価について【監査の意見】 情報システムを導入する際、それによってどのような効果が得られるかにつ いて事前に十分な評価を行うことが制度化されていない。また監査対象とした 情報システムについてそのような評価もなされていない。 一般的に地方自治体が情報システムを導入する目的として、 「業務の合理化」 「業務におけるリスク・作業ミスの低減」 「市民サービスの強化や創造」などが 考えられる。これらのどの目的で情報システムを調達し、どのような効果が得 られることが見込まれるのかを予め評価しておくことは、市民に対する説明責 任として重要であると考えられる。 64 また導入時に評価を行いその記録を残しておくことによって、事後に情報シ ステムが有効に活用されていることを比較分析することが可能となる。 <改善提案> 情報システムを調達する際には、その目的、導入によって得られる効果を予 め評価し、明確に示すことが望まれる。特に、人件費などの費用削減効果を狙 った場合、投資額と費用削減見込額を運用期間にわたって計数的に対比して示 すことが有効である。 そのためには、情報システムの調達ガイドラインを整備し、事前評価を実施 する旨を定めることが望まれる。 ④ 調達事務の研修の実施について【監査の意見】 情報政策課が主催する情報システムの調達に関する研修が年1回実施されて いるが、情報セキュリティ研修と同時に実施されている。平成24年度は7月 19日に2時間実施されていた。 これについて、次の問題点が挙げられる。 (a) ①調達ガイドラインの策定【監査の意見】 (56ページ)で記載したよう に、情報システムの調達に関するガイドラインが策定されていないため、 調達時に遵守すべき規範が明確となっておらず、一般的な調達事務や事 例についての説明にとどまっている。 (b) 研修講師は市職員ではなく、委託を受けた外部事業者が行っている。 自組織の調達事務の説明であることから、情報システムの調達に関する ガイドラインを定めた上で、市職員自らが行うことが望ましい。 (c) 研修参加者が原課の情報化推進員、情報化推進リーダー、もしくは情報 化推進担当者のいずれか1名に限定されている。 情報セキュリティと情報システムの調達に関する研修が同時に行われて いるが、情報セキュリティを担う者と情報システムの調達を担う者が必 ずしも同一人物とは限らず、必要な職員に対して研修内容が適切に伝わ らない可能性がある。受講した職員からの研修アンケート結果にも、同 旨の意見が寄せられていた。 (d) 研修実施後に原課でその内容が供覧されたことの報告が求められておら ず、職員全員に周知されているかが不明である。 65 <改善提案> 情報システムの調達に関する研修は、その事務に関わる職員を対象として実 施することが望まれる。したがって対象者は、平成24年度の研修時に募集対 象となっていた原課の情報化推進員、情報化推進リーダー、もしくは情報化推 進担当者には限らないと考えられる。 情報システムの調達に関する研修は情報セキュリティ研修と開催日時を分け、 また対象者を別途募って実施することが望まれる。 また、情報システムの調達事務は自組織の制度に関わることであるため、情 報システムの調達に関するガイドラインを制定した上で、その制度説明を市職 員自らが行うことが望まれる。 さらに、研修は本来であれば業務に携わる職員全員を対象として実施すべき である。時間や場所などの諸制約からそれが実施できないのであれば、原課の 代表者が参加し、研修終了後、その内容を原課で周知させ、職員全員が理解し たことの報告を求めることが望まれる。 ⑤ リース機器の返却にともなうデータ消去について【監査の意見】 情報機器のデータ消去に関して、 「宮崎市情報セキュリティポリシー 平成2 3年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対策 基準」の「4.1.(7)機器の廃棄等」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 4.1. ホスト及びサーバ等の管理 (7) 機器の廃棄等 ① 情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内 部の記憶装置から、すべての情報を消去の上、復元不可能な状態にする 措置を講じなければならない。 ② 機器の廃棄を行う者は、行った処理について、日時、担当者及び処理内 容を記録しなければならないとともに、処理委託業者から産業廃棄物管 理表(マニフェスト)の提出を求めなければならない。 機器類や記憶媒体等を廃棄する際は専門事業者へ外部委託しており、廃棄証 明書を取得している。リース機器を返却する場合は主管部署において返却前に 論理的なデータ消去を実施している(ソフトウェアを利用して数回の上書き処 理等) 。 しかし機器類を賃借する際の契約書(全庁的に使用している契約書ひな型) では返却時のデータ消去に関する条項が記載されていない。 66 <改善提案> 上述の情報セキュリティポリシー4.1.(7)②では、リース機器返却時に事 業者がデータを消去したことを示す証明書の入手は規定されていないが、機器 の廃棄に準じてリース会社からデータ消去証明書を入手することが望まれる。 あらかじめリースの契約書にデータ消去証明書の提出を規定し、返却したリー ス機器の記憶装置から重要情報が漏えいすることを予防する対策を取ることが 望まれる。 ⑥ 外部委託事業者との契約について【監査の指摘】 外部委託事業者との契約に関して、「宮崎市情報セキュリティポリシー 平成 23年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対 策基準」の「7.3.(2)契約項目」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 7.3. 外部委託 (2) 契約項目 情報システムの運用等を外部委託する場合には、委託事業者との間で必要に 応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。 ・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守 (以下省略。12項目が箇条書きで列挙されている。 ) 宮崎市で標準的に使用している委託契約書においては、情報セキュリティポ リシー及び情報セキュリティ実施手順の遵守についての条項が記載されていな い。また契約に当たって「個人情報取扱特記事項」が添付されるが、情報セキ ュリティポリシー及び情報セキュリティ実施手順について記載されたものでは ない。 情報セキュリティポリシーは市のホームページ等で公表されておらず、外部 委託事業者にも提供されていない。また情報セキュリティ実施手順は「ネット ワーク機器にかかるセキュリティ実施手順書」しか作成されておらず、その他 の個々の情報システム等について未作成であるため、外部委託した業務におい て市が必要と考える情報セキュリティ対策が遵守されないおそれがある。 <改善提案> 外部委託契約を締結するに当たり宮崎市の情報セキュリティポリシー等を委 託事業者に遵守させるため、これを提供する必要がある。 67 同時に、委託契約書に「情報セキュリティポリシー及び情報セキュリティ実 施手順の遵守」を謳う必要がある。 特に情報システムの運用を外部委託する場合は、システム管理者権限などの 高権限を外部委託事業者が使用することが想定されるため、それらの管理につ いて実施手順を作成し、その遵守を要求することが重要である。 具体的には、外部委託業務の契約に際して次の事項を定めておくことが考え られる。 ○ 外部委託事業者に行わせる情報セキュリティ対策等を契約に含めて明示す る。そのため、外部委託事業者に行わせる標準的な情報セキュリティ対策 等の範囲を予め定め、その範囲を原則としつつ必要に応じて外部委託する 業務内容に即した内容に変更する。 ○ 契約で定めた外部委託事業者に行わせる情報セキュリティ対策について、 双方の責任の明確化と合意の形成を行い、合意した事項を確認書として委 託先の責任者から提出させること。 ○ 契約には、情報セキュリティ対策等を実施する体制、外部委託事業者が実 施する情報セキュリティ対策等の具体的な取組内容、当該外部委託に係る 業務を行う者の特定とそれ以外の者による当該業務の禁止などの必要な事 項を含める。 ⑦ 外部委託事業者の情報セキュリティ対策の確認と報告について【監査の指摘】 外部委託事業者との契約に関して、「宮崎市情報セキュリティポリシー 平成 23年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対 策基準」の「7.3.(3)確認・措置等」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 7.3. 外部委託 (3)確認・措置等 情報セキュリティ管理者は、外部委託事業者において必要なセキュリティ対 策が確保されていることを定期的に確認し、必要に応じ、 (2)の契約に基づき 措置しなければならない。また、その内容を統括情報セキュリティ責任者に報 告するとともに、その重要度に応じて最高情報統括責任者に報告しなければな らない。 外部委託事業者の情報セキュリティ対策が確保されていることを定期的に確 認し、また報告する手順等が整備されておらず、またそのような外部事業者に 対する定期的な確認等は行われていない。 68 そのため、外部委託事業者において十分な情報セキュリティ対策が必ずしも 実施されていない可能性がある。 特に複数年度にまたがる契約を行っている場合や、随意契約により実質的に 複数年度にわたって継続して外部委託を行っている場合、外部委託事業者の情 報セキュリティ管理体制の変更などがあった場合に、必要なセキュリティ対策 が確保されていることが確認できなくなるおそれがある。 <改善提案> 情報セキュリティポリシーに定められたとおり、外部委託事業者における情 報セキュリティ対策が宮崎市の要求する情報セキュリティ水準を満たすもので あることを定期的に確認する必要がある。 外部委託事業者の選定時や委託契約締結時に事業者の情報セキュリティ対策 を評価している場合においても、その遵守状況を定期的に確認することが必要 である。 具体的な方法として、以下が考えられる。 ○ 情報セキュリティ対策が委託先において履行されていることを確認する ための評価基準を策定する。 例えば、情報セキュリティ対策項目を定めてその履行状況を委託先から 適宜または定期的に報告させ、対策が履行されていることを確認する。 ○ 必要に応じて、委託先に対する情報セキュリティ監査を行う。 その際、当該業務及び取り扱わせる情報の重要度、当該業務の実施場所、 実施期間、委託金額等を考慮し、必要性を判断する。 市民の権利保護の観点から情報の機密性・完全性の維持が強く求められ る情報処理業務、市の信用維持のために可用性及び機密性の確保が求め られる情報処理業務などの場合には、情報セキュリティ監査を実施する ことが望ましい。 69 〔選定した情報システムごとの指摘及び意見〕 (1) メインフレームで稼働するシステム (税総合システム、住民記録情報システム、市民税システム) ① 業務委託仕様書の明確化について【監査の意見】 当該システムはメインフレームで稼働するシステムである。このシステムに 係る平成24年度の主な調達内容は、下記のとおりであった。 (単位:千円) 契約名称 契約先 年間金額 (a) 電子計算機(ホストコンピュータ)の賃貸借 H社 188,762 (b) 宮崎市電子計算機に係るシステム運用支援業務委託 B社 96,915 (c) 宮崎市電子計算機オペレーション業務委託 I社 14,490 上記のうち(b)については、仕様書はA4用紙1枚、及び別紙2枚に対象と なる業務名(アプリケーションの名称)及び業務の範囲が箇条書きで記載され ているが、運用の対象となる電子計算機(メインフレーム及びサーバ)の機種 名など、システムの具体的な構成が記載されておらず、仕様書だけではどのシ ステムが運用支援対象となるのかが不明である。 仕様書に記載された業務内容は、下記のとおりであった。 宮崎市電子計算機に係るシステム運用支援業務委託仕様書(抜粋) 1. 委託業務 (1) 委託業務の対象となる業務は、 (ア) 業務システム運用管理 (イ) 業務システムメンテナンス作業 (ウ) システム・ネットワーク運用管理 (エ) 端末サポートデスク作業 (オ) サービスコーナー・本庁土日閉庁運用管理 とし、業務システムは別紙1(業務名)に記載のとおりとする。 2. 委託業務の範囲 委託する業務の範囲は、別紙2(業務範囲)に記載するとおりとする。 3. 成果物 (以下省略) 70 別紙1は「業務名」として、54の業務名が箇条書きで示されたものである。 別紙1(抜粋) 別紙1:業務名 1 住民記録(JK) 2 住基ネット(JN) 3 行政基本(AT) (中略) 27 SF手当支給 28 SF手帳交付 29 SF共通処理 (以下省略。54業務が箇条書きで記載されている。 ) 71 別紙2は「業務範囲」として、作業範囲が表形式で示されたものである。 別紙2(抜粋) 別紙2:業務範囲 作 業 区 分 業 務 名 作 業 範 囲 業 務 シ ス テ ム (各業務共通) • パンチ原票受付/パンチ依頼 の運用管理 • 処理スケジュール作成 • JOB依頼作成 (以下省略) • SF手当支給 (各業務共通の作業範囲+以下の作業) • SF手帳交付 • サーバスケジューラ設定と監視 • SF共通処理 • サーバオペレーション (以下略) • サーバ帳票出力の監視とリスト仕分け 業務システムのメンテナンス • プログラム障害に伴うシステム修正 • 原課要望に伴う小規模のシステム改造 (以下省略) システム・ネットワークの管理 • 各業務システム資源、業務データベース のバックアップ • DASD管理、MT管理 (以下省略) 閉庁日の運用管理(サービスコー • システム、端末の稼働確認 ナー、繁忙期、納税相談、選挙) • システム、端末の障害発生時の初期対応 端末サポートデスク • 業務システム利用端末の設定に伴う作 業 • グループウェア利用端末の設定に伴う 作業 (以下省略) メインフレームはメーカーごとに仕様が異なり、その運用は相当の技術的知 識と当該機種の作業経験が必要となる複雑な業務であるが、上記のとおり委託 業務の対象となる業務名及び作業範囲は箇条書きで示されるのみであり、具体 的な作業内容、作業時期、回数など詳細な業務内容が示されておらず、委託事 業者に任されることとなっている。 さらに、別紙1には54の業務名が記載されているが、ここに記載された内 容は現在のシステム構成に合致していない。 72 例えば総合福祉システムは、以前はサーバで稼働する自製のアプリケーショ ンで、別紙1の業務名の頭文字に「SF」がつく業務名(71ページで示す別 紙1(抜粋)の27~29)で記載されていた。現在はパッケージソフトに変 更されているが、別紙1でパッケージソフトの名称が明示されずに従来のまま 頭文字に「SF」がつく業務名として示されており、メインフレームで稼働す る他の業務と区別されていない。総合福祉システムに係る業務は、別紙2にお いて「SF手当支給」 「SF手帳交付」 「SF共通処理」として記載され、その 作業範囲は「サーバスケジューラ設定と監視」等と、サーバで稼働しているよ うに記述されているが、パッケージソフトの名称やサーバ名が具体的に記載さ れておらず、仕様書のみではどの業務なのかを特定できない。 これらの要因は、従前より同一事業者との随意契約により運用業務委託を行 っている状況下で、システム構成が変更されたにもかかわらず仕様書を実態に 合わせて変更せずに契約を締結しているためである。パッケージソフトを導入 し、従来の自製アプリケーションから変更されているのであれば、それが明確 となるよう記述を変更する必要がある。 また、当該契約のもとで運用業務委託を行っているにもかかわらず別紙1に 示されていない業務もある。 例えば、証明書発行システムの運用は本契約で委託されているが、仕様書に は当該アプリケーション名が記載されていない。この要因も、従前より同一事 業者との随意契約により運用業務委託を行っている状況下で、仕様書を実態に 合わせて変更せずに契約を締結しているためであると考えられる。 <改善提案> システム運用支援に係る業務委託仕様書は、対象となる電子計算機、OS、 実施すべき業務内容、アプリケーション名などが明確となるよう、詳細に記載 することが望まれる。 なお、業務範囲等が箇条書きとなっているのは、システム導入当初から同じ 事業者による随意契約が前提であることも一因だと思われる。双方がこれまで の業務内容で特に問題がないと認識していると、形式的に作業内容を列挙した 曖昧な仕様書としてしまいがちであるが、そもそも随意契約は例外的な契約形 態であり、それを前提とした仕様書の記載とするべきではない。 また仕様書に記載する内容は調達ガイドライン等によって規定し、一定の水 準を満たすことが望まれる。 73 ② 随意契約理由の明確化について【監査の指摘】 上記①業務委託仕様書の明確化【監査の意見】 (70ページ)に記載された(a) 、 (b)及び(c)の3契約はいずれも随意契約であった。 このうち(c) 「宮崎市電子計算機オペレーション業務委託」の契約に当たって 作成された「随契理由書」に記載された理由は下記のとおりであった。 随意契約理由 (会社名は伏せている) ホストコンピュータオペレーション業務を受託できる者は、A社ディーラで オペレーション業務を専門的に実施する体制を持ち、導入当初から実績のある I社に限られる。 随意契約せざるを得ない理由として上記を根拠としているものの、全国的に 見るとA社製メインフレームのオペレーションは他社でも実施しうると考えら れる。選定に当たって宮崎市内に拠点を有する事業者に限定したとの回答であ ったがそのような記述はなく、他社との比較等十分な吟味を行った形跡が「随 契理由書」に記載されていない。よって、随意契約の根拠としての記述が不十 分であると考えられる。 また、見積もりを2人以上の者から入手していないが、その理由が明確に記 載されていない。 <改善提案> 地方自治法及び宮崎市財務規則において随意契約の締結は厳しく限定されて いることから、例外的に随意契約せざるを得なかったことを詳細かつ明確に示 す必要がある。 例えば随意契約の条件について、情報システムの調達ガイドラインを整備す る、チェックリストを策定する、また随意契約書の様式を改めるなどの方法に より、地方自治法施行令及び宮崎市財務規則によって求められている下記2点 を明記する必要がある。 ○ その性質又は目的が競争入札に適しないものである理由 ○ 2人以上の者から見積書を提出させない場合、1人の者からの見積書によ る理由 74 (2) 総合福祉システム ① 業務委託仕様書の明確化について【監査の意見】 当該システムはA社製のパッケージソフトであり、その運用は「宮崎市電子 計算機に係るシステム運用支援業務委託」契約において事業者に委託されてい るが、上述の(1)メインフレームで稼働するシステム ①業務委託仕様書の明 確化【監査の意見】 (70ページ)でも記載したように、この仕様書には総合福 祉システムが含まれる旨が明確に記載されていない。 この要因は、総合福祉システムがかつては自製のアプリケーションで、 「宮崎 市電子計算機に係るシステム運用支援業務委託」契約(70ページ(1)①業 務委託仕様書の明確化【監査の意見】 (b)の契約)で、従来から事業者と随意 契約し運用委託しているが、その後、パッケージソフトに変更されたにも関わ らず仕様書を変更せずに契約を締結しているためである。 <改善提案> システム運用支援に係る業務委託仕様書は、対象となる電子計算機、OS、 実施すべき業務内容、アプリケーション名などが明確となるよう、詳細に記載 することが望まれる。 情報システムに関する契約内容を精査し、委託対象となる業務がすべて明確 に網羅的に仕様書等に記載されているかを再確認することが望まれる。 (3) 証明書発行システム ① 業務委託仕様書の明確化について【監査の意見】 当該システムはA社製のパッケージソフトであり、その運用は「宮崎市電子 計算機に係るシステム運用支援業務委託」契約において事業者に委託されてい るが、上述の(1)メインフレームで稼働するシステム ①業務委託仕様書の明 確化【監査の意見】 (70ページ)でも記載したように、この仕様書には本シス テムが含まれていない。 この要因は、従前より同一事業者との随意契約により運用業務委託を行って いる状況下で、新たなアプリケーションが導入されても仕様書を変更せずに契 約を締結しているためであると考えられる。 <改善提案> システム運用支援に係る業務委託仕様書は、対象となる電子計算機、OS、 75 実施すべき業務内容、アプリケーション名などが明確となるよう、詳細に記載 することが望まれる。 情報システムに関する契約内容を精査し、委託対象となる業務がすべて明確 に網羅的に仕様書等に記載されているかを再確認することが望まれる。 (4) サンシャインコミュニティシステム ① 承諾のない再委託について【監査の指摘】 当該システムは、その運用業務について「サンシャインコミュニティシステ ム運用支援作業」としてC社と随意契約し、業務委託を行っている。 この業務では、 「運用支援作業報告書」と題して、サーバ点検及びOSアップ デート29等の作業報告が「R社」の名前で宮崎市情報政策課宛に提出されている。 さらにこの作業報告書内には、サーバ点検の作業人員として「S社」「T社」 「U社」といった3社の社名及びその人員名が明記されているが、これらの会 社と宮崎市とは契約関係にない。 このためC社が再委託を行っているものと考えられるが、委託契約書第6条 (下記枠内参照)に定める再委託の承諾書は取り交わされていなかった。 さらに、委託契約書に添付される「個人情報取扱特記事項」第8(下記枠内 参照)では、発注者(宮崎市)の承諾がない限り第三者に個人情報を取り扱わ せてはならないとされているが、書面での承諾が得られていないため、この規 定に反している可能性がある。 委託契約書(抜粋) (再委託の禁止) 第6条 受注者は、委託業務の処理を他に委託し、又は請け負わせてはならな い。ただし、書面により発注者の承諾を得たときは、この限りでない。 個人情報取扱特記事項(抜粋) (再委託の禁止) 第8 受注者は、この契約による事務を処理するための個人情報を自ら取り扱 うものとし、発注者の承諾があるときを除き、第三者に取り扱わせてはな らない。 29 ソフトウェアを最新の状態に更新すること。 76 <改善提案> 委託契約書第6条に定められたとおり、再委託を行う場合は、書面により承 諾の記録を取り交わす必要がある。 サンシャインコミュニティシステムは、図書予約や施設予約にも利用されて おり、市民の個人情報(住所、氏名等)が保管されているシステムである。委 託事業者は市民の個人情報に触れる可能性があることから、再委託について特 に厳しく取り扱わなければならず、宮崎市の承諾なく再委託することは行わせ てはならない。 再委託は原則として禁止されていることから「再委託申請書」の定型様式は 策定されていないものの、実務的には事業者が任意様式で申請し、宮崎市が承 認することが行われている。したがって「再委託申請書」の様式を定め、その 中で、委託事業者と同等の個人情報保護が図られるよう条項を作り整備する必 要がある。 ② 業務委託仕様書の明確化について【監査の意見】 当該システムの運用管理は、 「サンシャインコミュニティシステム運用管理業 務委託」の名称でC社と随意契約し業務を委託している。 仕様書はA4用紙2枚、及び別紙3枚に運用・保守すべき機器及び業務の内 容がリスト化されたものがあるのみで、具体的な業務内容が記載されていない。 仕様書に記載された内容は、下記のとおりであった。 サンシャインコミュニティシステム運用管理業務委託仕様書(抜粋) (委託業務の範囲) 2 委託業務の範囲は、次のとおりとする。 (1) 別紙1に掲げる施設のサンシャインコミュニティネットワークへの収 容及びそれにかかる運用管理。 (2) 別紙2に掲げる設備・機器にかかるハードウェア及びソフトウェアの 保守。 (3) 別紙3に揚げるサンシャインコミュニティシステムの保守・運用支 援・運用管理・点検。 別紙1は「地域イントラ接続先一覧」として、専用線が敷設される場所(3 ヶ所)及び供用線が敷設される場所(87ヶ所)が表形式で示されたものであ る(別紙1の記載は省略) 。 別紙2は、次のとおり、「ハードウェア・ソフトウェア保守対象機器一覧」と して、機器名称(サーバ名、ネットワーク機器名等)が表形式で示されたもの 77 である。 別紙2(抜粋) ハードウェア・ソフトウェア保守対象機器一覧 機器種類 機器名称 サーバ装置 ハード 施設予約運用管理装置(宮崎市) ○ 施設予約 DB サーバ ○ Mail サーバ(宮崎市) ○ R-Proxy サーバ(宮崎市) ○ ソフト (以下略) センターモデム モデム監視装置(MCN) ○ ○ (以下略) ネットワーク機器 施設予約サーバ周辺機器(UPS 等) ○ DMZ 周辺機器(UPS 等) ○ (以下略) 別紙3は、次のとおり、「サンシャインコミュニティシステム保守業務一覧」 として、21項目の保守業務が箇条書きで列挙されたものである。 別紙3(抜粋) サンシャインコミュニティシステム保守業務一覧 ○ システム運用 Q&A(TEL/Mail/FAX) ○ ネットワークシステム障害対応・切り分け ○ アプリケーション障害復旧支援 ○ リモートによる保守 ○ 各種統計等の作成支援 (以下略。箇条書きで21項目が列挙される。 ) 78 委託業務の範囲や対象となる機器の一般名称(「Mailサーバ」 「施設予約 DBサーバ」など)は示されているものの、それらの機器の具体的なOSやミ ドルウェア30等の名称、機器類のメーカー名などが示されておらず、仕様書のみ では機器の種類や設定などに必要となる具体的な業務内容を把握することはで きない。 また作業内容は別紙3において箇条書きで示されるのみであり、作業の具体 的内容、実施時期、回数、担当すべき者の技術資格などの詳細な業務内容が記 載されていない。 <改善提案> 仕様書は、実施すべき業務内容や提出すべき作業報告書の内容が明確となる よう、詳細に記載することが望まれる。 なお、業務内容が箇条書きとなっているのは、システム導入当初から同じ事 業者による随意契約が前提であることも一因だと思われる。双方がこれまでの 業務内容で特に問題がないと認識していると、形式的に作業内容を列挙した曖 昧な仕様書としてしまいがちであるが、そもそも随意契約は例外的な契約形態 であり、それを前提とした仕様書の記載とするべきではないと考えられる。 また仕様書に記載する内容は調達ガイドライン等によって規定し、一定の水 準を満たすことが望まれる。 ③ 随意契約理由の明確化について【監査の指摘】 当該システムの運用管理は、 「サンシャインコミュニティシステム運用管理業 務委託」の名称でC社と随意契約し業務を委託している。 この契約は、その名称に「運用管理業務」と謳っているが、仕様書に記載さ れた「委託業務の範囲」によると、サーバやソフトウェア等の運用管理のみな らず、 「サンシャインコミュニティネットワークへの収容」も含んでおり、また 決裁書類に綴られた「サンシャインコミュニティシステム運用管理業務委託積 算書」には、回線使用料の見積金額も記載されている(仕様書に記載された委 託業務の範囲は、②業務委託仕様書の明確化【監査の意見】 (77ページ)参照) 。 なお「サンシャインコミュニティネットワーク」とは、 「サンシャインコミュ ニティシステム」を利用するための宮崎市の情報系通信網の総称である。 30 オペレーティングシステム(OS)とアプリケーションソフトの中間的な処理・動作を行うソフトウェ アのこと。 79 サンシャインコミュニティシステム運用管理業務委託積算書(要約) (単位:千円) 項目 年間費用 回線使用料(基幹、支線) 18,060 運営経費(人件費、電気料等) 25,022 ハードウェア・基本ソフト保守費用 保守・運用支援・運用管理 7,432 14,200 1,039 一般管理費 65,753 小計 3,287 消費税 合計(消費税込み) 69,040 すなわちこの契約は、サーバやソフトウェア等の「運用管理」のみならず、 「サ ンシャインコミュニティシステム」のネットワーク回線の利用契約も含んでい る。この契約により宮崎市はC社と随意契約し、同社のCATV回線31を利用す ることとしている。 ここで、当該契約に当たって作成された「随意契約理由書」に記載された理 由は下記のとおりであった。 随意契約理由 (社名は伏せている) サンシャインコミュニティシステム及び地域イントラネットは、CATV網 を活用し、通信設備の核となるセンターモデム、各種サーバをC社局舎内に設 置し、地域情報を市内外に提供している。 本システムを安全かつ適正に運用管理するためには、ネットワーク構成を十 分熟知し、障害対応に実績のあるC社に限られる。 C社と随意契約を締結する理由として、C社の「CATV網を活用し」 、 「各 種サーバをC社局舎内に設置し」ていること等を理由に挙げている。すなわち、 ネットワーク回線としてC社のCATV回線を利用する前提で随意契約理由が 記述されている。 しかし、そもそもこの契約によってCATV回線を利用することとなるため、 C社のCATV回線を利用する前提で書かれた随意契約理由は、根拠とはなら ないことになる。換言すれば、仕様書の記述を見る限りでは他社の商用ネット ワークサービスを選択する余地があるものの、それが排除された前提で随意契 31 CATV(ケーブルテレビ)の回線を使用したインターネット接続サービスのこと。 80 約理由が記述されている。 この点について情報政策課の担当者に事情聴取したところ、当該システムの 運営に当たってC社のCATV回線を利用する条件で国及び宮崎県の補助金を 受けているとの回答であった。このため、C社以外が敷設する商用ネットワー ク回線を選択する余地はなく、C社のCATV回線を使用する前提で随意契約 理由を記述したとのことであった。 このような背景は随意契約理由に記載し、随意契約締結可否の判断の根拠と する必要があると考えられるが、記載されていなかった。 <改善提案> 補助金を受けているためにC社のCATV回線を使用せざるを得ないのであ れば、その旨を随意契約理由として明確にする必要がある。 併せて、地方自治法及び宮崎市財務規則において随意契約の締結は厳しく限 定されていることから、例外的に随意契約せざるを得なかったことを詳細かつ 明確に示す必要がある。 例えば随意契約の条件について、情報システムの調達ガイドラインを整備す る、チェックリストを策定する、または随意契約書の様式を改めるなどの方法 により、地方自治法施行令及び宮崎市財務規則によって求められている下記2 点を明記する必要がある。 ○ その性質又は目的が競争入札に適しないものである理由 ○ 2人以上の者から見積書を提出させない場合、1人の者からの見積書に よる理由 なお、補助金を受けている旨が記載されていない現状の随意契約理由の記述で は、随意契約の可否を十分に判断できないと考えられる。情報システムに関する 調達業務は専門的な知識が必要となることから、契約の決裁担当者は内容を十分 に検討し、不明な点は情報システム担当者から説明を受けるなど、契約内容を十 分に理解し、必要あれば随意契約理由の追記を要請するなどの対応が必要である。 ④ 機器等のリース契約について【監査の指摘】 当該システムで利用するサーバ等は、平成25年2月にF社との間で5年間 のリース契約が締結されている。リース料は月額 113 千円(5年間で 6,781 千 円)である。 リース契約に当たって指名競争入札が行われたが、指名業者10社のうち9 社が辞退し、F社による一社入札となっている。 仕様書を閲覧したところ、下記のとおり具体的な製品名が「指定品」として 記載されていた。 81 平成24年度サンシャインコミュニティシステム機器賃貸借機器リスト(抜粋) 明 細 型 式 区分 PRIMERGY RX300 S7 PYR307R2N 指定品 Red Hat Enterprise Linux6.2 PYBLB62 指定品 Xeon プ ロ セ ッ サ ー E5-2603 (1.80GHz/4 コ ア PYBCP14XA 指定品 内蔵 2.5 インチ SAS HDD-146GB(15krpm) PYBSH145C 指定品 内蔵 DVD-ROM ユニット PYBDV111 指定品 電源ケーブル(AC100V 対応/3m) PYBCBP102 指定品 ラックレールキット PYBRR05 指定品 /10MB) 上記のとおり、 「指定品」として、サーバ、OS、CPUの他、HDD、内蔵 DVD-ROMユニット、電源ケーブル、ラックレールキットについても特定 の製品名(型式)が記載されていた。これらの型式はある特定のコンピュータ メーカーの型式であり、指定品とされたため、同社製品以外が排除された限定 的なものとなっていた。 一般的にサーバ機器等はメインフレームと異なり様々な企業から標準的な製 品が発売されており、特定メーカーに限定する必要はないと考えられる。機器 リースのような入札案件で一社しか入札しないことは不自然である。 <改善提案> 仕様書に記載される調達要件において具体的な商品名を記述することは中立 性が損なわれ、実質的に競争入札が行われなくなる原因となるため、避ける必 要がある。 例えばCPUについては処理性能ベンチマーク値( 「SPECint」など)が公表 されているためこれらの指標を使う、またOSとしてLinux32 を使用する のであれば、 「LSB33標準に準拠したもの」とするなど、オープンな標準機能 で仕様書を記述し、複数社が入札できるように調達要件を定める必要がある。 サーバ機器等のリースで一社のみの入札となることは不自然であるため、今 後仕様書の内容を見直し、競争性があり透明性が高い入札を行う必要がある。 32 UNIX互換の基本ソフト(OS) 。フリーソフトとして公開されている。 Linux Standard Base の略。これに準拠することでアプリケーションの動作が保証される標準規格のこ と。 33 82 (5) 水道料金システム ① 業務委託仕様書の明確化について【監査の意見】 平成24年度の当該システムに係る主な契約は、下記の3契約であった。 (a) 宮崎市上下水道局総合システム運用保守業務委託 (b) 下水道使用料改定に伴う料金システム改修業務委託 (c) システム更新に伴う機器賃貸借 このうち(a)は、平成22年度からE社との随意契約を継続しているが、仕 様書はA4用紙1枚の内容である。記載された業務内容は、次のとおりであっ た。 仕様書に記載された業務内容(要約) 1 委託業務の範囲 (1) 運用サポート業務 ① 電話等による問合せ対応の実施 ② 現地定例訪問の実施(月1回) ③ 現地スポット対応の実施(月3回) (2) 重点対応期間における運用サポート業務 ① 上記通常運用サポート業務に加え、重点対応期間については常駐運用体 制またはそれに準ずる運用体制にて臨むこと。 上記(1)の業務実施内容は箇条書きで列挙されるのみであり、具体的な作 業内容、対応すべき技術者の資格要件、人数などの詳細が明確ではない。 また(2)についても常駐すべき期間、時間、人数を指定するのみで、具体 的な業務内容や対応すべき技術者の資格要件が示されていない。 さらに、運用サポートを行った結果の作業報告書の提出が仕様書で明記され ていない。 <改善提案> 仕様書は、実施すべき業務内容や提出すべき作業報告書の内容が明確となる よう、詳細に記載することが望まれる。 なお、業務内容が箇条書きとなっているのは、システム導入当初から同じ事 業者による随意契約が前提であることも一因だと思われる。双方がこれまでの 業務内容で特に問題がないと認識していると、形式的に作業内容を列挙した曖 昧な仕様書としてしまいがちであるが、そもそも随意契約は例外的な契約形態 であり、それを前提とした仕様書の記載とするべきではないと考えられる。 83 また仕様書に記載する内容は調達ガイドライン等によって規定し、一定の水 準を満たすことが望まれる。 ② 随意契約理由の明確化について【監査の指摘】 上記①で示した3つの保守契約のうち、 (a)及び(b)はいずれもシステム構 築会社との随意契約である。 「随意契約理由書」に記載された理由は次のとおり であった。 (a)及び(b)の随意契約理由(要約 どちらも同文、社名は伏せている) 本業務はシステム安定稼働、システムトラブル対応等を迅速かつ正確に行う ことを目的にしているため、システム構築業務を行ったE社しか本業務の対応 はできない。 随意契約せざるを得ない理由として「システム構築業務を行った」事業者に 限られるためと一文で記述しているものの、 「システムトラブル対応等を迅速か つ正確に行うこと」が他の事業者ではできない理由が述べられておらず、随意 契約の根拠としては十分ではない(下記③において後述するが、E社は(b)の 「下水道使用料改定に伴う料金システム改修業務委託」を協力会社に再委託し ている) 。 また、見積もりを2人以上の者から入手していないが、その理由が明確に記 載されていない。 <改善提案> 地方自治法及び宮崎市財務規則において随意契約の締結は厳しく限定されて いることから、例外的に随意契約せざるを得なかったことを詳細かつ明確に示 すことが望まれる。 例えば随意契約の条件について、情報システムの調達ガイドラインを整備す る、チェックリストを策定する、または随意契約書の様式を改めるなどの方法 により、地方自治法施行令及び宮崎市財務規則によって求められている下記2 点を明記する必要がある。 ○ その性質又は目的が競争入札に適しないものである理由 ○ 2人以上の者から見積書を提出させない場合、1人の者からの見積書によ る理由 84 ③ 再委託許諾申請の提出について【監査の指摘】 上記①に記載した(b) 「下水道使用料改定に伴う料金システム改修業務委託」 において、契約に当たって受託事業者が提出し契約書に添付された「受託条件 明細」 (事業者が受託に当たり作業項目の明細を記述した、7ぺージにわたる資 料)には、受注者以外の会社名3社が協力会社として記載されている。これら の会社は一部の業務の再委託先と考えられる。 委託契約書第6条において再委託は原則として禁止されており、例外的に行 う場合は書面による承諾を得ることとされているが、委託事業者から書面によ る承諾書は提出されていない。 委託契約書(抜粋) (再委託等の禁止) 第6条 受注者は、委託業務の処理を他に委託し、又は請け負わせてはならな い。ただし、書面により発注者の承諾を得たときは、この限りでない。 また、委託契約書に添付される「個人情報取扱特記事項」第8では、下記の とおり発注者の承諾がない限り第三者に個人情報を取り扱わせてはならないと されているが、承諾が得られていないため、この規定に反している可能性があ る。 個人情報取扱特記事項(抜粋) (再委託の禁止) 第8 受注者は、この契約による事務を処理するための個人情報を自ら取り扱 うものとし、発注者の承諾があるときを除き、第三者に取り扱わせてはならな い。 <改善提案> 再委託を行う場合は書面で承諾書を提出させて承認し、その書面を残してお く必要がある。 本件は水道料金に関する情報システムの開発であり、委託事業者は市民の個 人情報(住所、氏名、口座番号、料金収納状況等)に触れる可能性があること から、再委託について特に厳しく取り扱わなければならず、宮崎市の承諾なく 再委託することは行わせてはならない。 また、再委託は原則として禁止されていることから「再委託申請書」の定型 様式は策定されていないものの、実務的には事業者が任意様式で申請し宮崎市 が承認することとなる。したがって「再委託申請書」の様式を定め、その中で、 85 委託事業者と同等の個人情報保護が図られるよう条項を作り整備する必要があ る。 ④ 機器リースの一社入札について【監査の指摘】 上記①に記載した(c) 「システム更新に伴う機器賃貸借」は、平成21年7月 にF社との間で5年間の賃貸借契約が締結されている。賃借料は月額 996 千円 (5年間で 59,768 千円)で、契約期間は平成26年8月31日までである。 リース契約に当たって指名競争入札が行われたが、指名業者8社のうち7社 が辞退し、F社による一社入札となっている。 仕様書を閲覧したところ、下記のとおり具体的な製品名が指定品として記載 されていた。 「システム更新に伴う機器賃貸借」仕様書に添付された指定物件の明細表(抜粋) 品名 型名 数量 PGT30433F3 1 メモリ(1GB) PG-RM1CG 6 HDD(300GB/15000rpm) PG-HDB35A 8 ツイストペアケーブル(カテゴリ 5e)(5m) TPCBL-C005 10 SupportDesk パック Standard5 年 SVMAAB52 1 ラック用現調搭載費(基本料金) PSGENRK1 1 ハードウェア設置サービス(PC サーバラック型 4/A パタ GENAPGR4 1 搬入費 LR-AHAN3 2 現調費 LR-AGEN1 2 FMVNA9KC 52 上下水道料金システム ・AP/DB サーバ PRIMERGY TX300FT S4( ラ ッ ク マ ウ ン ト タ イ プ)(Windows Server®2008 Enterprise ダウングレード サービス付き(Windows Server®2003 R2,EP アレイタイ プ-300GB×2(RAID1)))Xeon® X5260 (3.33GHz) ーン) システム共通 ・クライアント FMV-A8280(Windows Vista® Business with SP1&ダウ ングレードサービス Core™2 Duo P8700(2.53GHz) マウス添付(光学式) FMCNMSKH2 52 エレコム製 2 ポート HUB 付テンキーボード(シルバー) TK2-BT3H 52 FMHAN-N 52 パソコン搬入費(ノート) 86 上記のとおり、サーバやパソコン等の機器のみならず、ケーブル、マウス、 テンキーボードのような汎用品、さらに設置サービス、搬入費及び現調費(現 場での機器調整のための費用)などの役務に対しても型式が指定されている。 上記で掲げた調達品のうちテンキーボード以外の型式は、搬入費等の役務も 含めてある特定のコンピュータメーカーの型式である。 調達しようとする機器及び据付や設置などの役務提供等のすべてが指定品と されたため、同社製品以外が排除された限定的なものとなっていた。このよう な状況で、同社以外の会社が入札に参加することは極めて困難である。リース 会社が入札に参加しようにも、設置、搬入、現場での機器調整のような役務作 業は単独では行い得ないため、参加を辞退せざるを得ない。 仕様書作成時に本件を契約することとなる事業者から見積もり提示を受け、 その際の資料を利用して入札資料としているため、役務作業まで型式指定され ているが、このような仕様書内容では入札を実施したとしても当該事業者しか 応札しないことは容易に想像できる。 <改善提案> 本件仕様書に添付された調達物件の内容では、実質的には一社しか応札でき ないのは明らかである。仕様書に記載される調達要件において具体的な製品名 を記述することは中立性が損なわれ、実質的に競争入札が行われなくなる原因 となるため、避ける必要がある。 例えばCPUについては処理性能ベンチマーク値( 「SPECint」など)が公表 されているためこれらの指標を使うなど、オープンな標準機能で仕様書を記述 し、複数社が入札できるように調達要件を定める必要がある。 (6) 後期高齢者医療制度用システム ① 業務委託仕様書の明確化について【監査の意見】 平成24年度における当該システムに係る年間保守契約には、次の3契約が 存在する(契約名称に記載されていたソフトウェア名称は省略している) 。 (a) 後期高齢者システムソフトウェア保守業務委託 (b) 後期高齢者システムハードウェア保守業務委託 (c) 後期高齢者医療システム運用支援業務委託 これらはいずれも、当該システムのハードウェア及びソフトウェア提供会社 であるA社との随意契約によっているが、仕様書は3契約ともA4用紙1枚の 内容であり、業務内容は箇条書きで具体性に乏しい。 87 また、提出物(作業報告書等)についても、その名称が記載されるのみで、 具体的にどのような内容を記載した報告書を提出すべきかが不明確である。 <改善提案> 仕様書は、実施すべき業務内容や提出すべき作業報告書の内容が明確となる よう、詳細に記載することが望まれる。 なお、業務内容が箇条書きとなっているのは、システム導入当初から同じ事 業者による随意契約が前提であることも一因だと思われる。双方がこれまでの 業務内容で特に問題がないと認識していると、形式的に作業内容を列挙した曖 昧な仕様書としてしまいがちであるが、そもそも随意契約は例外的な契約形態 であり、それを前提とした仕様書の記載とするべきではないと考えられる。 また仕様書に記載する内容は調達ガイドライン等によって規定し、一定の水 準を満たすことが望まれる。 ② 随意契約理由の明確化について【監査の指摘】 上記①で示した(a) 、 (b)及び(c)の保守契約はいずれもハードウェア及び ソフトウェア提供会社との随意契約である。 「随意契約理由書」に記載された理 由は下記のとおりであった。 (a)の随意契約理由(要約 社名は伏せている) 平成19年度にA社製の後期高齢システムを導入した。このシステムは、後 期高齢医療制度を運用していく重要なシステムであり、安定稼働が必須かつ不 具合発生時の早急な対応が必要である。 よって、本業務に迅速かつ正確に対応するためには、ソフト開発業者である A社に限られる。 (b)の随意契約理由(要約 社名は伏せている) 平成19年度にA社製の後期高齢システムを導入した。このシステムは、後 期高齢医療制度を運用していく重要なシステムであり、安定稼働が必須かつ不 具合発生時の早急な対応が必要である。 よって、本業務に迅速かつ正確に対応するためには、ハード開発業者である A社に限られる。 (c)の随意契約理由(要約 社名は伏せている) 平成19年度にA社製の後期高齢システムを導入した。このシステムは、後 期高齢医療制度を運用していく重要なシステムであり、安定稼働が必須かつ不 88 具合発生時の早急な対応が必要である。また、法改正への対応も行うため、本 市のシステム構成や環境を熟知しており、システムの製造元であるA社に限ら れる。 随意契約せざるを得ない理由として、開発業者(製造元)に限られるとして いるものの、 「不具合発生時の早急な対応」が他の事業者ではできない理由が述 べられておらず、随意契約の根拠としては十分ではない。 <改善提案> 地方自治法及び宮崎市財務規則において随意契約の締結は限定されているこ とから、例外的に随意契約せざるを得なかったことを随意契約理由書に詳細か つ明確に示す必要がある。 また随意契約の条件について、情報システムの調達ガイドラインを整備する、 チェックリストを策定する、または随意契約書の様式を改めるなどの方法によ り、地方自治法施行令及び宮崎市財務規則によって求められている下記2点を 明記する必要がある。 ○ その性質又は目的が競争入札に適しないものである理由 ○ 2人以上の者から見積書を提出させない場合、1人の者からの見積書によ る理由 ひとつの業務用アプリケーションの保守・運用に関わる業務を、ソフトウェ ア保守、ハードウェア保守及び運用支援業務に分割して発注することは競争性 の観点から望ましいことであるが、そのように分割発注したのであればなおさ ら、他事業者の参入の余地を十分検討し、それでも随意契約せざるを得ないと 判断した理由を明確に書き示すことが望まれる。 89 2. 情報システムの有効性、経済性及び効率性について 〔全般的な指摘及び意見〕 ① 情報システム調達後の事後評価について【監査の意見】 情報システムの導入後、その導入がどのような効果を生んだかの評価作業が 制度化されておらず、行われていない。 情報システムを調達する目的は、行政事務の効率化と正確性の向上、市民サ ービスの向上、政策実現への貢献など様々なものがあるが、導入によって当初 期待した効果が発現し目標が達成できたかどうかの評価を行うことが市民に対 する説明責任として望ましいと考えられる。 <改善提案> 情報システム導入後の事後評価を制度化し、実施していくことが望まれる。 またそれを情報システムの調達ガイドライン等で制度化することが望まれる。 情報システム導入後の事後評価項目は、情報システムの利用内容、導入目的 などによっても異なるため、市の実情に合わせて定めることとなるが、下記に 一例を掲げる。 ○ 行政事務効率化の視点 • 費用削減額(人件費、職員・業務当たり帳票処理枚数の減少など) • 事務作業時間削減数(業務処理時間、帳票処理時間の減少など) • 利用率(帳票の廃止率、情報システムの利用率など) • 業務改革度(職員の減少数、部局の統廃合数、サービス統廃合率など) • セキュリティリスクの改善率(対応すべきリスクの減少数) ○ 市民サービス向上の視点 • 市民による情報システム利用度 • 利用者の満足度 • 苦情件数の低減率 • 利用可能時間の増加数(率) • 利便性向上のための提供サービス項目、チャネル数の増加数(率) ○ 政策実現への貢献の視点 34 • 広報活動(メディア掲載数、外部からの問い合わせ数など) • 社会的格差の解消(公共アクセスポイント数、技術普及率など) • 経済発展(市民のITスキル向上率、B2B34取引量など) • 政治参加の向上(投票率、HP訪問数など) Business to Business の略で、インターネットを介した企業間取引のこと。 90 〔選定した情報システムごとの指摘及び意見〕 (1) サンシャインコミュニティシステム ① KIOSK端末の設置意義について【監査の意見】 サンシャインコミュニティシステムの役割の一部に、KIOSK端末による 各種情報提供がある。 この端末は、市役所、駅、公民館、体育館、図書館、ホテルなど市内主要施 設48箇所に設置され、タッチパネルによって市民が図書予約、施設予約、H P閲覧等が行える公衆用情報端末である。 この端末の設置場所は宮崎市HPで公開されているが、使い方や機能などに 関する市民向け情報提供活動は行われておらず、市民に利用を促すような施策 は特に行われていない。 KIOSK端末(宮崎市HPより) 平成24年度のアクセス件数を調査したところ下記の状況であった。 平成24年度 KIOSK端末 設 置 場 所 1 市役所本庁舎1階 2 年間アクセス件数 図書 予約 (件) 閲 覧 内 容 観光 施設 宮崎市 情報 予約 HP HP 動物園 HP 合計 1日 当たり 件数 131 161 189 34 0 515 1.4 市立図書館 4,445 347 423 9 0 5,224 14.3 3 科学技術館 502 498 584 13 1 1,598 4.4 4 総合体育館 318 2,790 341 15 1 3,465 9.5 5 北部記念体育館 96 993 82 4 0 1,175 3.2 6 南部記念体育館 170 1,166 266 43 0 1,645 4.5 91 設 置 場 所 図書 予約 閲 覧 内 容 観光 施設 宮崎市 情報 予約 HP HP 動物園 HP 合計 1日 当たり 件数 7 宮崎西地区交流センター 249 564 201 5 0 1,019 2.8 8 赤江公民館 323 209 227 22 0 781 2.1 9 檍公民館 169 110 68 16 0 363 1.0 10 大淀公民館 269 1,499 179 9 0 1,956 5.4 11 大宮公民館 323 108 56 3 0 490 1.3 12 本郷公民館 369 314 202 15 0 900 2.5 13 大塚公民館 71 425 68 3 0 567 1.6 14 東大宮地区 コミュニティセンター 165 1,086 94 6 0 1,351 3.7 15 宮崎地区交流センター 685 2,251 394 6 0 3,336 9.1 16 赤江東地区交流センター 219 238 209 6 0 672 1.8 17 生目台地区交流センター 1,014 784 304 6 0 2,108 5.8 18 市民文化ホール 303 248 374 11 1 937 2.6 19 総合福祉保健センター 214 223 419 6 0 862 2.4 20 緑松体育館 340 565 302 38 0 1,245 3.4 21 広原体育館 23 160 72 4 0 259 0.7 22 宮崎市保健所 72 79 138 4 0 293 0.8 23 国際海浜エントランスプラザ 49 106 63 7 0 225 0.6 24 宮崎東地区交流センター 166 154 119 17 0 456 1.2 25 大淀川学習館 104 121 134 8 0 367 1.0 26 みやざき歴史文化館 63 58 94 17 2 234 0.6 27 フローランテ宮崎 368 513 1,851 1,928 8 4,668 12.8 28 フェニックス自然動物公園 92 127 515 20 486 1,240 3.4 29 生目南公民館 129 187 127 4 0 447 1.2 30 宮交シティ バスセンター 36 65 404 407 2 914 2.5 31 宮崎駅観光案内所 138 51 1,097 2,138 5 3,429 9.4 32 生目の杜運動公園 152 912 229 6 1 1,300 3.6 33 シェラトン・グランデ・ オーシャンリゾート 109 207 728 1,353 3 2,400 6.6 34 宮崎観光ホテル 63 117 665 1,482 2 2,329 6.4 35 ANA ホリディ・イン リゾート宮崎 205 217 1,136 1,844 1 3,403 9.3 36 宮崎山形屋 96 73 295 373 0 837 2.3 37 ボンベルタ橘 東館1F 97 98 356 401 1 953 2.6 92 設 置 場 所 図書 予約 閲 覧 内 容 観光 施設 宮崎市 情報 予約 HP HP 1日 当たり 件数 合計 動物園 HP 38 萩の台公園管理事務所 35 305 58 19 0 417 1.1 39 佐土原総合支所 49 70 119 5 0 243 0.7 40 佐土原総合文化センター 900 860 737 5 0 2,502 6.9 41 那珂地区公民館 29 32 28 4 0 93 0.3 42 佐土原地区公民館 42 40 45 4 0 131 0.4 43 田野総合支所 98 103 67 6 0 274 0.8 44 田野病院 58 57 128 7 0 250 0.7 45 高岡総合支所 131 115 84 8 0 338 0.9 46 農業団体センター(高岡) 43 80 35 9 0 167 0.5 47 道の駅たかおかビタミン館 53 41 57 8 0 159 0.4 48 清武総合支所 76 135 142 27 0 380 1.0 13,851 19,662 14,505 10,385 514 58,917 161.4 11 1,227 3.4 年 間 合 計 年間1ヶ所平均 289 410 302 216 ※出所:総務部情報政策課作成資料 1年を365日とした場合の1日当たりのアクセス件数は、少ない場所では 0.3件(那珂地区公民館) 、多い場所では14.3件(市立図書館)である。1 ヶ所平均の1日当たりアクセス件数は、3.4件に過ぎず、有効に活用されてい るとは言いがたい状況である。 KIOSK端末は24時間稼働しているわけではなく、タイマーにより稼働 時間が設定されている。多くの場合、8時45分頃から17時15分頃までの 稼働となっているが、ホテル、駅、体育館など一部の場所では22時頃までの 稼働としている場所もある。しかし、宮崎駅観光案内所を視察したところ、営 業終了時刻(18時)に入口が閉ざされ端末は市民が操作できない場所に置か れることとなっていたことなど、利便性の面で疑問が残る。 以下、KIOSK端末を維持するために要する費用を試算する。 KIOSK端末のリース料は、次のとおりである。 KIOSK端末(48台)リース料 93 月額 (年間 301 千円 3,615 千円) また、KIOSK端末等を接続するための供用線使用料は、1回線当たりの 月額単価で積算されている。供用線は48ヶ所で接続されているが、KIOS K端末以外にも接続されている場所がある。例えば公民館などではこの供用線 にパソコンを接続し、インターネットを使ったPC研修を行っている。情報政 策課が提供した資料によると、供用線48回線のうちKIOSK端末のみが接 続されている供用線は11回線であった。 よって、KIOSK端末のみが接続された供用線11回線の使用料は、次のと おりとなる。 供用線使用料 11回線 月額 1回線月額 15 千円 (年間 165 千円 1,980 千円) また、毎月「施設定期巡回」として「サンシャインコミュニティシステム運 用管理業務」を受託しているC社の技術者が端末設置場所を巡回し、KIOS K端末の保守を行い、報告書を作成・提出している。 C社が情報政策課に提出した資料では、この施設定期巡回に係る費用は年間 およそ 1,296 千円(平成24年度実績)と報告されている。施設定期巡回によ る作業内容は、KIOSK端末のタッチパネルのキャリブレイト調整35やプリン タインクの残量確認などの作業が主である。 以上の結果、KIOSK端末の維持に係る年間費用は、次のように見積もら れる。 (金額単位:千円) 項 目 年間金額 KIOSK端末(48台)リース料 3,615 KIOSK端末供用線使用料 1,980 KIOSK端末定期巡回費用 1,296 合計 6,891 <改善提案> 昨今、多機能携帯電話(スマートフォン、タブレット等)の通信環境が急激 に進歩しており、多くの市民はKIOSK端末を使わずとも様々な情報にアク セスすることができる。 宮崎市はKIOSK端末の利用促進施策を特に行っておらず、また市民の利 用頻度も非常に少ないことから、KIOSK端末の撤廃を視野に検討を行うこ とが望まれる。端末を撤廃することによって、上記で試算した費用を節減する 35 タッチパネルのタッチした場所で正しく動作するように位置を合わせて調整すること。 94 ことが見込まれると考えられる。 (2) 水道料金システム ① 契約価格の妥当性の検討について【監査の意見】 平成24年度の当該システムに係る主な契約は、下記の3契約であった。 (a) 宮崎市上下水道局総合システム運用保守業務委託 (b) 下水道使用料改定に伴う料金システム改修業務委託 (c) システム更新に伴う機器賃貸借 このうち(a)はE社との随意契約により業務委託しているが、その設計金額 は同社が提出した見積書をもとに計算している。 仕様書に記載された業務内容(要約) 1 委託業務の範囲 (1) 運用サポート業務 ① 電話等による問合せ対応の実施 ② 現地定例訪問の実施(月1回) ③ 現地スポット対応の実施(月3回) (2) 重点対応期間における運用サポート業務 ① 上記通常運用サポート業務に加え、重点対応期間については常駐運用体 制またはそれに準ずる運用体制にて臨むこと。 この仕様を受けた設計金額の計算資料は次のとおりである。なお契約期間は 平成24年4月1日から平成25年3月31日までの1年間であるから、次の 金額明細表に記載された「工数」は、年間の工数を示している。 95 決裁資料に添付された金額明細表(要約) (金額単位:千円) 項 工数 (人月) 品名 単価 金額 (1)運用サポート業務 電話等による問合せ対応の実施 2.4 1,000 2,400 定例訪問(1回/月)の実施 0.8 1,000 800 現地スポット対応(3回/月)の実施 3.0 1,000 3,000 (1)計 6.2 6,200 (2)重点対応期間における運用サポート業務 重点対応期間における運用サポート 5.2 (2)計 委託業務費用 1,000 5.2 合計(1)~(2) 5,200 5,200 11,400 消費税 570 総合計 11,970 金額の見積もりに当たって次の問題点がある。 i. 工数単価が1人月当たり100万円と見積もられているが、その妥当性を 検討した資料が残されていない。同じ事業者による別の契約での単価は1 人月当たり115万円となっているものもある。 ii. 仕様書の「運用サポート業務」では、定例訪問は月1回、現地スポット対 応は月3回とされている。これを受けて、予定価格を積算した明細表では、 その工数がそれぞれ0.8人月36及び3.0人月と見積もられているものの、 計算根拠が不明である。定例訪問と現地スポット対応の作業時間が異なる ことを考慮したための差異だと思われるが、仕様書には月単位の回数しか 記載されておらず、詳細は不明である。 仮に1人が対応する場合を試算すると、下記のとおりとなる。 月1回の訪問は、年間では12回の訪問回数。 月間稼働日数を20日と仮定すると、12回の訪問は 0.6人月(=12÷ 20)となる。 また、月間稼働日数を25日と仮定すると、12回の訪問は 0.5人月(=12÷ 25)となる。 36 1人が1か月で行うことのできる作業量(工数)を表す単位。 96 対応人数や1日当たりの作業時間などが不明であるためこれ以上の試算は 困難だが、このような計算結果を示して工数の妥当性を検討した資料が存 在しない。 iii. 「重点対応期間における運用サポート業務」が5.2人月と見積もられてい るが、その根拠が不明である。 仕様書の「重点対応期間における運用サポート業務」では、常駐期間が下 記のとおり定められている。 仕様書で定める常駐期間(抜粋) 【料金】 4月1日~4月18日 常駐者1名 土日祝日を除く8:30~17:30 【会計】 4月20日~5月31日 常駐者1名 土日祝日を除く8:30~20:00 (ただし17:30~20:00は電話対応) 10月1日~10月31日 非常駐訪問対応者1名 土日祝日を除く 上記の期間を合計すると約3ヶ月間である。 会計の時間外の電話対応による1日当たり2.5時間は、約0.3日と見積 もられる(8:30から17:30は昼休み1時間を控除すると1日8時 間、2.5時間÷ 8時間=約0.3日) 。 4月20日~5月31日の期間は1.3ヶ月と見積もり、残業代の割増率 を25%と仮定すると、時間外対応の工数は約0.5ヶ月(=1.3×0.3× 1.25)となる。 したがって総工数は3.5ヶ月程度と試算され(=3+0.5)、見積もら れた5.2人月とは1.7人月の乖離がある(見積単価100万円を使用した 場合、170万円相当額) 。 なお10月1日から10月31日は「非常駐訪問対応」とされているた め、この試算工数よりも短く見積もられる可能性もある。 このような計算結果を示して工数の妥当性を検討した資料が存在しなか った。 <改善提案> 随意契約を締結するに当たって、金額の積算は重要な要素となる。このため、 作業工数の見積もりを厳密に実施し、その検討結果を記録して決裁を得ること 97 が望まれる。 (3) 後期高齢者医療制度用システム ① 契約価格の妥当性の検討について【監査の意見】 当該システムの3つの保守契約の金額は、直近3年間及び平成25年度は同 額で推移している。 (a) MCWEL後期高齢者システムソフトウェア保守業務委託 (b) MCWEL後期高齢者システムハードウェア保守業務委託 (c) 後期高齢者医療システム運用支援業務委託 (単位:千円) 契約 平成22年度 平成23年度 平成24年度 平成25年度 (a) 2,814 2,814 2,814 2,814 (b) 749 749 749 749 (c) 15,120 15,120 15,120 15,120 また、見積金額の内訳は、 (a)及び(b)については「一式」と書かれたもの のみ、 (c)についてはSE単価と工数と月数の乗算で計算されたものとなってい る。 いずれについても内訳明細が添付されておらず、金額の根拠が不明瞭である。 また金額が同額で推移しているが、その妥当性を検討した資料が存在しなか った。 <改善提案> 契約金額の根拠が明確にわかる内訳明細書を入手し、保管することが望まれ る。 また、保守契約額がこの4年間同額で推移しているが、見積書の内訳明細書 を入手した上で過年度作業実績と比較し、業務の経済性、効率性及び有効性を 測定し、その結果を保管しておくことが望まれる。 98 (4) ICカード発行状況管理システム ① 総合支所における設置の要否の検討について【監査の意見】 ICカード発行状況管理システムは、市役所本庁と4つの総合支所(佐土原、 田野、高岡、清武)にそれぞれ設置されている。 業務上の利用状況を調査したところ、このシステムが設置されていることを知 っていたのは市役所本庁を除く4総合支所のうち1総合支所のみであった。残り の3総合支所では、システムが設置されているにもかかわらず職員が存在を知ら なかったと回答している。 さらに、このシステムの必要性を調査したところ、市役所本庁以外の4総合支 所すべてが不要であると回答している。業務上不要であるにもかかわらず、住民 の4情報(住所、氏名、性別、生年月日)を有する重要なシステムが4つの総合 支所に設置されていた。 <改善提案> 総合支所における当該システムの利用状況を再度確認し、業務上不要な場合 はシステムを撤去しアクセス権限を抹消することが望まれる。 当該システムは機密性の高い情報を有するため、早急な対応が望まれる。 99 3. 情報セキュリティについて 〔全般的な指摘及び意見〕 【情報セキュリティポリシーについて】 宮崎市では「財団法人地方自治情報センター」 (LASDEC)から提供され たひな形を参考として、平成23年7月に「宮崎市情報セキュリティポリシー 平成23年7月25日」を策定しているが、適切に運用されていない項目が存 在する。 情報セキュリティポリシーは、宮崎市の情報資産を保護するために職員等及 び委託事業者等が遵守すべき規範となるものである。これが適切に運用されな いと、宮崎市の情報セキュリティ対策が根底から崩れることとなる。 情報セキュリティポリシーはセキュリティ対策の規範となるものであり、ま ずはその内容を、情報資産を取り扱う職員等に十分に理解させる必要がある。 情報セキュリティ対策を担うのは職員自身だからである。 その後、整備・策定したセキュリティ対策を具体的に運用し、改善していく プロセスを繰り返す必要がある。 具体的には、例えば下記のようなPDCAサイクルで継続的な改善を実施す ることが考えられる。 100 情報セキュリティ対策のPDCAサイクル例 情報セキュリティポリシーの整備、策定 Plan ○ 情報セキュリティ実施手順の策定 ○ 組織内の体制整備 ○ 情報資産の洗い出し、機密性・完全性・可用性区分の分類 ○ 申請書類、台帳など各種ひな形の策定 情報セキュリティ対策の実施 Do ○ 職員等に対する研修 ○ セキュリティ対策の運用 ○ セキュリティ機器の導入、設定、運用 情報セキュリティ対策が運用されていることの確認 Check ○ 責任者及びセキュリティ機器による監視 ○ 情報セキュリティ自己点検 ○ 情報セキュリティ内部監査 ○ 情報セキュリティ外部監査 情報セキュリティ対策の改善 Action ○ 自己点検に基づく改善 ○ 内部監査、外部監査に基づく改善 ○ 情報セキュリティポリシー、情報セキュリティ実施手順の 見直し 以下、情報セキュリティについて、監査の指摘及び意見を述べる。 ① 情報セキュリティポリシーの公表について【監査の意見】 宮崎市では「宮崎市情報セキュリティポリシー 平成23年7月25日」が 策定され、市職員向けには公開されているものの、市民向けにホームページ等 で公表されていない。 情報セキュリティポリシーは、市が管理する情報資産を保護するために市職 員、外部委託事業者及び公の施設の指定管理者等が遵守すべき規範であり、市 民にとっても自身の個人情報がどのような指針のもとで取り扱われているかを 知る上で重要な規程である。 また、 「宮崎市情報セキュリティポリシー 章 情報セキュリティ基本方針」の「10 平成23年7月25日」の「第1 情報セキュリティ実施手順の策定」 では「基本方針のみ公開」とされているものの、基本方針は宮崎市ホームペー ジでは公開されていない。 101 宮崎市情報セキュリティポリシー 10 第1章 情報セキュリティ基本方針(抜粋) 情報セキュリティ実施手順の策定 (前略) なお、情報セキュリティ対策基準と情報セキュリティ実施手順は、公にする ことにより宮崎市の行政運営に重大な支障を及ぼす恐れのある情報資産である ことから非公開(基本方針のみ公開)とする。 <改善提案> 市民に対する説明責任を果たすため、ホームページなどでの情報セキュリテ ィポリシーの公開が望まれる。上述のとおり、もともと公開を想定していると 考えられ、また他自治体でも公表している例が多数存在することから、宮崎市 としても公開することが望まれる。 ② 情報セキュリティ実施手順の整備について【監査の指摘】 「宮崎市情報セキュリティポリシー 平成23年7月25日」の「第1章 情 報セキュリティ基本方針」の「10 情報セキュリティ実施手順の策定」では、 次のとおり規定されている。 宮崎市情報セキュリティポリシー 10 第1章(抜粋) 情報セキュリティ実施手順の策定 (前略)情報資産に対する脅威や情報資産の重要度に対応する情報セキュリテ ィ対策基準の要件に基づき、部局等の長などが管理する情報資産に関する具体 的な情報セキュリティの手順を明記した「情報セキュリティ実施手順」を策定 するものとする。 (後略) しかし、監査対象としたシステムにおいて「情報セキュリティ実施手順」が 作成されていたのは、 「ネットワーク機器にかかるセキュリティ実施手順書」の みであった。 情報セキュリティ実施手順が策定されていないため、個別の情報システムま たは各部局における具体的な情報セキュリティの手順が不明確となり、情報資 産の流出などのセキュリティ事故を招くおそれがある。 102 <改善提案> すべてのネットワーク及び情報システムについて、情報セキュリティ対策実 施手順を策定する必要がある。情報資産に対する脅威や情報資産の重要性に応 じた具体的な情報セキュリティ対策の実施手順を検討し、その手順を明文化す ることが必要である。 情報セキュリティ実施手順として策定すべき手順の一例を以下に掲げる。こ れらは全庁的に作成すべきものと、各部署で利用している個別のアプリケーシ ョンごとに作成すべきものもある。 情報セキュリティ実施手順の作成は全庁的に一度に実施すると実務的に膨大 な作業となり混乱することが予想されるため、手始めに情報政策課など限定さ れた部課で実施し、そこで得られた手法・ノウハウを他部課に展開するなど、 段階的な整備を進める方法が考えられる。 作成すべき情報セキュリティ実施手順の例 ○ サーバ障害対策に係る実施手順 ○ 機器の廃棄等に係る実施手順 ○ 管理区域への機器等の搬入出に係る実施手順 ○ 情報資産の運搬に係る実施手順 ○ 執務室等のパソコン等の端末の管理及び取扱いに係る実施手順 ○ 職員等のID及びパスワードの管理及び取扱いに係る実施手順 ○ 特権ID及びパスワードの管理及び取扱いに係る実施手順 ○ 情報システムの調達における情報セキュリティに係る基準及び実施手順 ○ 情報システムの開発、保守、運用等に係る基準及び実施手順 ○ 不正アクセス対策に係る基準及び対応手順 ○ 情報システムの監視に係る基準及び実施手順 ○ 情報セキュリティポリシーの遵守状況の確認に係る基準及び実施手順 ○ 情報セキュリティ監査に係る基準及び実施手順 ○ 情報セキュリティ対策の自己点検に係る基準及び実施手順 ③ 情報資産の分類と管理について【監査の指摘】 情報資産の分類と管理に関して、 「宮崎市情報セキュリティポリシー 平成2 3年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対策 基準」の「3 情報資産の分類と管理方法」では次のとおり規定されている。 103 宮崎市情報セキュリティポリシー 3 第2章(抜粋) 情報資産の分類と管理方法 (1) 情報資産の分類 本市における情報資産は、機密性、完全性及び可用性により、次のとおり分 類し、必要に応じ取扱制限を行うものとする。 (以下省略。機密性は3区分、完全性は2区分、可用性は2区分に分けてそれ ぞれの区分に応じた取扱制限を規定している。 ) (2) 情報資産の管理 (中略) (イ) 情報資産の分類の表示 職員等は、情報資産について、ファイル(ファイル名、ファイルの属 性(プロパティ) 、ヘッダ・フッター等) 、格納する記憶媒体(CD-R のラベル等) 、文書の隅等に、情報資産の分類を表示し、必要に応じて取 扱制限についても明示する等適切な管理を行わなければならない。 しかし、情報資産について上記の分類作業は行われていない。 市として守るべき情報資産が定義されていないため、職員等が業務上取り扱 っている情報をどのように保護すべきなのかが不明確となり、情報資産の流出 などのセキュリティ事故を招くおそれがある。 <改善提案> 情報セキュリティ対策の第一歩は、守るべき情報資産を定義することから始 まる。セキュリティ対策を行う対象が不明確であると、十分な対策を取ること ができなくなる。 次に、情報資産管理台帳の整備手順の例を挙げる。 104 情報資産管理台帳の整備手順の例 ① 範囲の決定 グループ分けし、段階的に整理する(以下はグループ分けの例) ○ 個人情報か、それ以外か ○ 自組織で生成した個人情報か、他組織から入手した個人情報か ○ 機器類か、電子媒体か、紙媒体か ○ 保管場所、用途、保管期間等による分類 ② 作業責任者・作業担当者の決定 ③ 作業指針・作業期間の決定 作業者が情報資産調査票に回答を記入 もしくは、各部門に依頼しメールで回答を求める 等 ④ 情報資産管理台帳への記録 記載範囲の決定 ○ 機密性、完全性、可用性の確保が求められる情報資産のみとする等 記載内容の決定 ○ 情報資産の種類、名称、用途 ○ 格付け(機密性、完全性、可用性) ○ 情報資産管理責任者・管理担当者 ○ 記録形態(紙、ハードディスク、USB等) ○ 保存場所、保存期間、廃棄方法 ⑤ 情報資産の格付 機密性、完全性、可用性の3つの観点で格付け 格付けに応じて取扱制限を定める ○ 複製禁止・要暗号化、保存期間○年、○時間以内の復旧、等 情報資産管理台帳の作成は全庁的に一度に実施すると実務的に膨大な作業と なり混乱することが予想される。そのため、手始めに情報政策課など限定され た部課で実施し、そこで得られた手法・ノウハウを他部課に展開するなど、段 階的な整備を進める方法が考えられる。 「情報資産管理台帳」に掲載された情報資産は、 「宮崎市情報セキュリティポ リシー 平成23年7月25日」で定めたとおり、機密性・完全性・可用性の 区分を分類表示(ラベル貼り)し、情報資産の重要性に応じた情報セキュリテ ィ対策を実施する必要がある。 105 ここで、 「宮崎市情報セキュリティポリシー 平成23年7月25日」におい て、 「情報資産」は次のように定義されている。 宮崎市情報セキュリティポリシー 2 第1章(抜粋) 定義 (3) 情報資産 ネットワークや情報システムの開発・運用に係るすべての情報、ネット ワークや情報システムで取り扱うすべての情報をいう。 なお、情報資産には紙などの有体物に出力された情報も含まれる。 情報セキュリティポリシーの対象となる「情報資産」は、ネットワークや情 報システムの開発・運用に係るもの、ネットワークや情報システムで取り扱う もの(出力されたものを含む)とされ、これら以外のものは情報セキュリティ ポリシーにおける情報資産に含められていない。 通常の業務で使用する文書一般が情報資産に含められていないのは、従来電 子データ等の管理と文書の管理が、一般に異なる部署、制度によって行われて きた経緯、実態を踏まえたためと考えられる。しかしながら、情報資産の重要 性自体は、電子データ等と文書の場合で異なるものでないことから、将来的に 情報セキュリティ対策が進んだ段階では、すべての文書を情報セキュリティポ リシーの対象範囲に含めることが望ましい。 ④ 情報セキュリティ研修・教育の実施について【監査の指摘】 情報セキュリティ研修に関して、「宮崎市情報セキュリティポリシー 平成2 3年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対策 基準」の「5.2.(2)研修計画の立案及び実施」では次のとおり規定されてい る。 宮崎市情報セキュリティポリシー 第2章(抜粋) 5.2. 研修・訓練 (2) 研修計画の立案及び実施 ① 最高情報統括責任者は、幹部を含めすべての職員等に対する情報セキュリテ ィに関する研修計画を定期的に立案しなければならない。 ② 研修計画において、職員等は情報セキュリティ研修を受講できるようにしな ければならない。 ③ 新規採用の職員等を対象とする情報セキュリティに関する研修を実施しな ければならない。 106 ④ 研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキ ュリティ管理者、情報システム管理者、情報システム担当者及びその他職員 等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じた ものにしなければならない。 宮崎市では年1回、情報政策課が主催する情報セキュリティ研修が実施され ている。平成24年度は7月19日に情報システムの調達に関する研修とあわ せて2時間実施されている。この研修の対象者は各課の情報化推進員、情報化 推進リーダー、もしくは情報化推進担当者のいずれか1名とされ、各課から1 名、合計110名が参加していた。 これについて、次の問題点が挙げられる。 (a) 研修実施後に原課でその内容が供覧されたことの報告が求められておら ず、職員全員に周知されているかが不明である。 (b) 対象者が情報化推進員、情報化推進リーダー、もしくは情報化推進担当 者とされているが、研修資料を閲覧したところ、セキュリティ事故の事 例紹介、情報セキュリティに関する一般的な留意事項及び宮崎市情報セ キュリティポリシーの概要紹介にとどまっており、情報セキュリティポ リシー5.2.(2)④で定められた「統括情報セキュリティ責任者、情報 セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、 情報システム担当者及びその他職員等に対して、それぞれの役割、情報 セキュリティに関する理解度等に応じたもの」とはなっていない。これ は研修講師が委託を受けた外部事業者が行っていることも一因である。 (c) 宮崎市の情報セキュリティポリシーについての説明は、ポリシーの構成 と掲示場所を示すパワーポイントのスライド4枚のみであり、情報セキ ュリティポリシーの具体的内容、すなわち職員が遵守すべき事項につい て説明されていない。 <改善提案> 情報セキュリティに関する研修は、本来であれば全職員を対象として実施す る必要がある。時間や場所などの諸制約から全職員を対象とした研修が実施で きないのであれば、原課の代表者が参加し、研修終了後、その内容を原課で周 知させ、職員全員が理解したことの報告を求める必要がある。 また情報セキュリティ研修が「統括情報セキュリティ責任者、情報セキュリ ティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担 当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する 理解度に応じたもの」とするためには、市役所内における役割分担を熟知した 107 市職員が中心となり実施することが望ましい。 具体的な例として、下記のような研修体系が考えられる。 ○ 新たに情報システムを利用することとなった新規職員等を対象とした、情 報セキュリティ対策の基礎知識理解のための研修 ○ 全ての職員等を対象とした、最新の脅威への対応方法を含む情報セキュリ ティ対策の理解のための定期研修 ○ 情報システム管理者を対象とした、情報システムの運用に必要な情報セキ ュリティ対策の応用知識習得のための研修 ○ 情報セキュリティ責任者、情報セキュリティ管理者などの市管理者を対象 とした、宮崎市及び地方自治体における情報セキュリティ対策の基本的知 識を理解するための研修 さらに、情報セキュリティポリシーについて、その掲示場所を示すだけでは不 十分である。どのような内容が書かれており、職員が何を守らなければならない かを説明し理解させる必要がある。 ⑤ 緊急時対応訓練の実施について【監査の指摘】 情報セキュリティの緊急時に関して、 「宮崎市情報セキュリティポリシー 成23年7月25日」の「第2章 平 宮崎市行政全般における情報セキュリティ 対策基準」の「5.2.(3)緊急時対応訓練」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 5.2. 研修・訓練 (3) 緊急時対応訓練 最高情報統括責任者は、緊急時対応を想定した訓練を定期的に実施しなけ ればならない。訓練計画は、ネットワーク及び各情報システムの規模等を考 慮し、訓練実施の範囲等を定め、また、効果的に実施できるようにしなけれ ばならない。 宮崎市では総務部危機管理局において「宮崎市業務継続計画(BCP) (地震・ 津波編) 」が策定されホームページで公開されている。 一方、情報セキュリティ事故を想定した計画は「宮崎市ICT業務継続計画 書」として総務部情報政策課が立案中であるが、現時点で確定していない。 また、情報セキュリティポリシーにおいて定めている、緊急時対応を想定し た訓練も行われていない。 108 <改善提案> 情報セキュリティの緊急時対応計画を策定し、その計画に沿った定期的な訓 練の実施が必要である。 訓練は、災害や事故などの発生時に情報システムを復旧継続する計画行動に 対する担当者の理解や対応力を向上させるとともに、実施した事前対策の有効 性を確認し、これらの計画や対策に改善すべき点があれば、改善活動につなげ ることを目的とする。 情報セキュリティに関する緊急時対応訓練については、例えば次のように目 的を踏まえた内容の教育訓練を計画することが考えられる。 ○ 情報システム担当者における平常時の情報システム運用継続計画に関する 基礎知識習得のための教育・訓練(研修への参加等) ○ 関係者による非常時対応計画の実施手順への習熟、及び計画の不備や改善 点の事前検証のための教育訓練(手順書確認訓練、シナリオ非提示型訓練 等) ○ 事前対策の一環として実施したバックアップや構築した代替環境について、 被災時において期待どおりに機能・動作するかの定期的訓練(システムリ カバリ訓練、システム切り替え訓練等) ⑥ 不正プログラム対策について【監査の意見】 情報システムの不正プログラム対策に関して、 「宮崎市情報セキュリティポリ シー 平成23年7月25日」の「第2章 宮崎市行政全般における情報セキ ュリティ対策基準」の「6.4.(3)職員等の遵守事項」では次のとおり規定さ れている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.4. 不正プログラム対策 (3) 職員等の遵守事項 職員等は、 不正プログラム対策に関し、 次の事項を遵守しなければならない。 (中略) ④ 端末に対して、不正プログラム対策ソフトウエアによるフルチェックを定期 的に実施しなければならない。 不正プログラム対策ソフトウェアはインストールされており、毎日12時に 簡易スキャンが自動的に行われる設定となっているが、完全スキャン37は手動操 37 端末全体をスキャンし、ウイルス、スパイウェア、さまざまなセキュリティの脆弱性などについて検査 すること。 109 作が必要である。このため定期的なフルチェックが実施されず、不正プログラ ムを検出できないないおそれがある。 <改善提案> 不正プログラム対策ソフトウェアによるフルチェックは、そのための起動操 作に手間がかかることと、フルチェック中はパソコンの速度が遅くなり業務に 支障を来す可能性があることから、職員自身が手動で実施する誘因はなく、実 施されない可能性が高い。 したがって、定期的に自動的にフルチェックを実施するよう不正プログラム 対策ソフトウェアを設定しておくことが望まれる。例えば毎週一度、昼休みな ど決められた時間に自動的にフルチェックが行われるように設定することが望 ましい。 ⑦ 情報セキュリティポリシーの遵守状況の確認について【監査の指摘】 情報セキュリティポリシーの遵守状況の確認に関して、「宮崎市情報セキュリ ティポリシー 平成23年7月25日」の「第2章 宮崎市行政全般における 情報セキュリティ対策基準」の「7.2.(1)遵守状況の確認及び対処」では次 のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 7.2. 情報セキュリティポリシーの遵守状況の確認 (1) 遵守状況の確認及び対処 ① 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリ ティポリシーの遵守状況について確認を行い、問題を認めた場合には、 速やかに最高情報統括責任者及び統括情報セキュリティ責任者に報告し なければならない。 情報政策課においては自己点検により情報セキュリティポリシーの遵守状況 を確認しているものの、その他の各課において情報セキュリティポリシーの遵 守状況の確認作業が実施されていない。この結果、職員の情報セキュリティポ リシーを遵守する意識が低くなるおそれがある。 <改善提案> 全職員が情報セキュリティに関する意識を高めるために、情報セキュリティ ポリシー遵守の必要性について職員全体が理解を深める取り組みや、より業務 に定着した情報セキュリティ管理策とするための継続的な改善が必要である。 110 現在の情報セキュリティポリシーにおいて遵守されない事項は何か、またな ぜ遵守されないのか、及び現状の情報セキュリティ対策でリスクは十分に低減 されているのかなどを点検、評価し、見直しをする取り組みが必要となる。 宮崎市では情報セキュリティ対策を統一的に行うため、サンシャインネット 推進委員会が設立されている。当委員会が主導して情報セキュリティポリシー の周知と遵守状況の確認を行うことが望まれる。 なお、具体的な情報セキュリティポリシー遵守状況の確認方法として、次の 手続きが考えられる。 ○ 情報セキュリティに関する自己点検リストを策定し、職員自身に定期的な 点検を実施させ、かつ各原課から実施状況を報告させる ○ 情報セキュリティポリシーの内容に関する研修を実施する ○ 職員から「情報セキュリティポリシーを遵守する」旨の確認書を定期的に (年一回など)徴収する ⑧ 情報セキュリティ監査について【監査の指摘】 情報セキュリティ監査に関して、「宮崎市情報セキュリティポリシー 平成2 3年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対策 基準」の「8.1.監査」及び「8.2.自己点検」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 8.1. 監査 サンシャインネット推進委員会は、ネットワークと情報システムの情報セキ ュリティについて必要の都度監査を行うこととする。 8.2. 自己点検 ① 統括情報セキュリティ責任者及び情報システム管理者は、所管するネット ワーク及び情報システムについて、定期的に又は必要に応じ自己点検を実 施しなければならない。 ② 情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管す る部局における情報セキュリティポリシーに沿った情報セキュリティ対策 状況について、毎年度又は必要に応じ自己点検を行わなければならない。 宮崎市ではこれまで情報セキュリティの監査は実施されていない。また自己 点検も、情報政策課における点検及び住民基本台帳ネットワークシステムに係 る自己点検以外は特に行われていない。 情報セキュリティについて第三者による監査及び職員自身による自己点検が 111 行われていないため、情報セキュリティ対策の十分性が検討されず、セキュリ ティ事故が発生する可能性が高まることとなる。 <改善提案> 全庁的な情報セキュリティに関するレベルを向上させる上で、情報セキュリ ティポリシーの遵守状況確認による職員全体への意識付けや継続的な取り組み 改善は必要不可欠である。全庁的に情報セキュリティポリシーの遵守確認を実 施するため、定期的な点検及び見直しの方法を手順化し、実施することが必要 である。 特に情報セキュリティ対策は、それに係る全ての職員が、各自の役割を確実 に行うことで実効性が担保されるものであることから、全職員自らが情報セキ ュリティ関係規程に準拠した運用を行っていることについて点検することが重 要である。 また、情報セキュリティポリシーの遵守状況を確認するためには、自己点検 の他に情報セキュリティ監査が考えられる。 情報セキュリティの確保のためには、情報セキュリティ対策基準に準拠して 情報セキュリティ実施手順などの関連規程が適切に策定され、かつ、情報セキ ュリティ関係規程が適切に運用されることによりその実効性を確保することが 重要であって、その準拠性と妥当性の有無が確認されなければならない。その ためには、情報セキュリティ対策を実施する者による自己点検だけでなく、独 立性を有する者による情報セキュリティ監査を実施することが有効である。 「宮崎市情報セキュリティポリシー 平成23年7月25日」ではサンシャ インネット推進委員会が監査を行うとされているが、情報セキュリティ監査は 専門性の高い業務となることから、監査を実施する者の独立性と専門性の確保 が困難であれば、外部の第三者による情報セキュリティ監査を検討することが 望まれる。 112 〔選定した情報システムごとの指摘及び意見〕 (1) メインフレームで稼働するシステム (税総合システム、住民記録情報システム、市民税システム) ① IDの取扱いについて【監査の指摘】 情報システムのユーザーID及びパスワードの取扱いに関して、 「宮崎市情報 セキュリティポリシー 平成23年7月25日」の「第2章 宮崎市行政全般 における情報セキュリティ対策基準」の「5.4.(2)IDの取扱い」では次の とおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 5.4. ID及びパスワード等の管理 (2) IDの取扱い 職員等は、自己の管理するIDに関し、次の事項を遵守しなければならな い。 ① 自己が利用しているIDは、他人に利用させてはならない。 ② 共用IDを利用する場合は、共用IDの利用者以外に利用させてはなら ない。 しかし、基幹システムの端末は特定のユーザーIDにより常時ログインされ たままの状態となっており、未使用時にログオフされていないものがある。こ のため、システムに保存されたアクセス記録(ログオンしたユーザーID)と 実際に使用した職員が一致せず、情報セキュリティ事故の原因究明などに利用 できないこととなる。 昨今、自治体職員から聞き出した個人情報をもとにしたストーカー行為やド メスティック・バイオレンスなどの事件が報道されている。これらは行為者ま たは依頼を受けた者(探偵等)が自治体職員から言葉巧みに個人情報を聞き出 し、相手の住所を突き止めて事件に及んでいると報道されている。 また、自治体職員が自己の利益を得るために端末を操作して市民の個人情報 を入手し、探偵などから報酬を得た事件も報道されている。 あってはならない極端な事例ではあるが、万が一このようなことがあった場 合、端末を操作し情報を伝えた職員と情報システムに記録されているユーザー IDが不一致となり、システム記録から操作者をたどることができず、事件・ 事故の原因究明に利用できなくなる。 なお担当者によると、端末利用者の時間ごとのローテーション表を作成する、 113 また必要な窓口にはカメラを設置し録画するなどの運用対策を行い、どの時間 にどの職員が操作しているかがわかるようにしているとのことである。 <改善提案> 窓口端末に限らずすべての情報システムは、原則として使用後はその都度ロ グオフする必要がある。セキュリティポリシーに記載のとおり、自己が使用し ているIDを他人に使用させるべきではない。 ② アクセス記録の取得と管理について【監査の意見】 情報システムのアクセス記録に関して、「宮崎市情報セキュリティポリシー 平成23年7月25日」の「第2章 宮崎市行政全般における情報セキュリテ ィ対策基準」の「6.1.(6)アクセス記録の取得等」では次のとおり規定され ている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.1. コンピュータ及びネットワークの管理 (6) アクセス記録の取得等 ① 統括情報セキュリティ責任者及び情報システム管理者は、各種アクセス記録 及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなけ ればならない。 基幹システム(メインフレーム)についてアクセス記録は取得されているも のの、実際にセキュリティ事故が発生した場合に原因究明のためにどのように 利用できるかについての検討が行われていない。 <改善提案> 現在取得しているアクセス記録が情報セキュリティ事故発生時の原因究明等 に利用できるか否か、利用するとした場合の解析方法について検討することが 望ましい。 情報システムの行政事務における重要度や市民生活への影響度などを勘案し、 どのようなログを取得、利用、保管するかについて具体的な実施手順を整備し て明文化することが望まれる。 例えば、以下のことを検討することが望まれる。 ○ ログ管理を行う必要性の有無 ○ ログを取得する方法・機能 ○ ログとして取得する情報項目及び証跡の保存期間 114 ○ ログが取得できなくなった場合及び取得できなくなるおそれがある場合の 対処方法 ○ 取得したログに対して不当な消去、改ざん及びアクセスがなされないため のアクセス制御 ○ ログの点検、分析及び報告を支援するための方法や自動化機能 ○ 情報セキュリティの侵害を示す事象を検知した場合に、監視する者にその 旨を即時に通知する方法や機能 ③ 特権IDの管理について【監査の指摘】 情報システムの特権IDに関して、「宮崎市情報セキュリティポリシー 平成 23年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対 策基準」の「6.2.(1) (ウ)特権を付与されたIDの管理等」では次のとお り規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.2. アクセス制御 (1) アクセス制御 (ウ) 特権を付与されたIDの管理等 ① 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等 の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパ スワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重 に管理しなければならない。 ② 統括情報セキュリティ責任者及び情報システム管理者の特権を代行す る者は、統括情報セキュリティ責任者及び情報システム管理者が指名 し、最高情報統括責任者が認めた者でなければならない。 ③ 最高情報統括責任者は、代行者を認めた場合、速やかに統括情報セキュ リティ責任者、情報セキュリティ責任者、情報セキュリティ管理者及び 情報システム管理者に通知しなければならない。 ④ 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与さ れたID及びパスワードの変更について、外部委託事業者に行わせては ならない。 宮崎市においては、システム管理者権限アカウントなどの特権IDの取扱い については、情報システムに係る開発・保守、運用業務を委託している外部委 託事業者が使用主体となっている。 一方で、特権IDの管理主体となるべき主管部署において、特権IDの管理 115 に係る手順等が整備されていない。 例えば、システムごとの特権IDの一覧、IDの管理者、使用者のリストな どが作成されておらず、明示されていない。担当者はどの特権IDが存在して いるかなどの認識は持っているとのことであるが、リストが明示されていない ため、特権IDという重要なアカウントの管理責任が不明瞭となるおそれがあ る。 <改善提案> 特権IDは情報システムにおける広範囲の操作権限を有しているため、その 管理は厳重に行う必要がある。この管理について「情報セキュリティ実施手順」 を策定し、手順に従った運用を行う必要がある。 また特権IDは外部委託事業者に管理させるべきではなく、所管部署の情報 システム管理者等の職員が管理する必要がある。市が委託している作業以外で、 外部委託事業者が管理者権限を利用できないよう制限することが必要である。 特権ID管理の具体的な方法として、次の手続が考えられる。 ○ 外部委託事業者により特権IDを使用する作業が必要になった場合、事前 申請させ、管理者権限が付与された貸出用IDを期限を決めて一時的に貸 し出す ○ 外部委託事業者による作業が完了した後は、管理者権限が付与された貸出 用IDを無効化し、パスワードを変更する ○ 定期的に特権IDの操作ログの検証を行う (2) 水道料金システム ① 機器の予備電源の確保について【監査の意見】 情報システム機器の電源に関して、 「宮崎市情報セキュリティポリシー 平成 23年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対 策基準」の「4.1.(3)機器の電源」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 4.1. ホスト及びサーバ等の管理 (3) 機器の電源 ① 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門 と連携し、ホスト及びサーバ等の機器の電源について、停電等による電 源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力 を供給する容量の予備電源を備え付けなければならない。 116 当該情報システムの予備電源装置は設置されているものの、上下水道局建物 の1階にあり、隣接する大淀川が氾濫した際には予備電源装置が水没するおそ れがある。 宮崎市上下水道局のすぐ隣を流れる大淀川に関する「洪水ハザードマップ」 によれば、建屋のあるエリアは2.0~5.0メートルの浸水想定区域となってお り、浸水被害により施設の電源設備が被害を受け、システム停止となる可能性 がある。 この浸水想定区域は、概ね150年に1回程度起こる大雨が降ったことによ り、大淀川がはん濫した場合に想定される浸水の状況をシミュレーションによ り求めたものとなるが、近年の気象変動により、想定を超えた降水量の大雨が 降る事例は全国各地で発生している。そのため、脅威の発生確率を見直した上 での対策の必要性の要否を検討することが望まれる。 <改善提案> 非常用電源装置の設置場所を浸水の被害を受けない場所へ変更する、部屋単 位の水密化38や水密扉の設置、または浸水時に備えた排水機能の用意等により耐 浸水性を確保することなどの対応を行うことが望まれる。 ただし、対策を講じるためには少なからず費用が発生するため、まずは洪水 等による浸水被害についてリスクアセスメントをおこない、費用対効果を検討 した結果を受けて、必要となる対策を講ずることが望まれる。 ② 電算室への入退室制限について【監査の意見】 情報システム機器の電源に関して、「宮崎市情報セキュリティポリシー 平成 23年7月25日」の「第2章 宮崎市行政全般における情報セキュリティ対 策基準」の「4.2.(2)管理区域の入退室管理等」では次のとおり規定されて いる。 宮崎市情報セキュリティポリシー 第2章(抜粋) 4.2. 管理区域(情報システム室等)の管理 (2) 管理区域の入退室管理等 ① 情報システム管理者は、管理区域への入退室を許可された者のみに制限 し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による 入退室管理を行わなければならない。 上下水道局の電算室のドアには指紋認証装置が設置されており、入室時及び 38 部屋が密閉され、水圧がかかっても水が漏れないようになっている状態のこと。 117 退室時に指紋をかざして鍵を解除する設備となっている。しかし、電算室内部 に設置された指紋認証装置が故障しており、退室時には機能していなかった。 <改善提案> 電算室に入るためにはまず施錠された情報システム室に入る必要があるため、 電算室の指紋認証装置の故障は直ちに大きな問題にはならないと考えられるが、 設備の故障は本来の機能を果たさないこととなるため、速やかに修理すること が望まれる。 ③ パスワードの取扱いについて【監査の意見】 情報システムのパスワードの取扱いに関して、 「宮崎市情報セキュリティポリ シー 平成23年7月25日」の「第2章 宮崎市行政全般における情報セキ ュリティ対策基準」の「5.4.(3)パスワードの取扱い」では次のとおり規定 されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 5.4. ID及びパスワード等の管理 (3) パスワードの取扱い 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければ ならない。 (中略) ⑤ パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパス ワードを再利用してはならない。 水道料金システムではパスワードの定期的な変更は実施されていない。担当 者に事情聴取したところ、定期的な変更を促すとパスワードの失念等による混 乱が生ずることを懸念するため、定期的な変更は実施していないとの回答であ った。 しかしこの情報システムは市民の水道料金に関する重要な情報(氏名、住所、 口座情報、収納情報等)を取り扱っており、高い機密性が求められるシステム であるため、パスワードの定期的な変更が望まれる。 なおパソコンのOS(Windows)のパスワードは3ヶ月ごとに強制的 に変更する仕組みが取られているため、一定の歯止めはかかっている。 <改善提案> 情報セキュリティポリシーに定められているとおり、アプリケーションにお 118 いてもパスワードの定期的変更を行うことが望ましい。本来は一定期間ごとに 強制的にパスワードを変更する仕組みが備わっていることが望ましいが、水道 料金システムではそのような機能がないため、ユーザー自身による自主的な変 更を促すことが望まれる。 (3) ICカード発行状況管理システム ① サーバ機器の設置状況について【監査の指摘】 サーバ等の管理に関して、「宮崎市情報セキュリティポリシー 平成23年7 月25日」の「第2章 宮崎市行政全般における情報セキュリティ対策基準」 の「4.1.(1)機器の取付け」では次のとおり規定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 4.1. ホスト及びサーバ等の管理 (1) 機器の取付け 情報システム管理者は、ホスト及びサーバ等の機器の取付けを行う場合、 火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設 置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなけれ ばならない。 ICカード発行状況管理システムのサーバは本庁舎1階に置かれており、固 定されていなかった。このため、振動、温度、湿度等の影響を受け、またサー バの損傷や盗難が発生するおそれがある。 またこのシステムには市民の4情報(氏名、住所、性別、生年月日)が保管 されているが、サーバ前面に備え付けられている施錠可能なシャッターは監査 時まで開放されたままとなっており、USBポートが常に利用可能な状態にな っていた(監査時に指摘し直ちに施錠してもらった。またワイヤーによる固定 も対応済である) 。 サーバ設置場所は、執務中は職員の監視がなされるため部外者の侵入は困難 であるものの、権限のない職員による情報機器等への接触が可能な状態であっ た。 <改善提案> 権限のない者がサーバを操作して情報を持ち出すことができないよう、サー バラック等による機器の物理的な保護、及びUSBポート未使用時にサーバ前 面のシャッターを常に施錠しておくことが必要である。 119 ② バックアップデータの管理について【監査の意見】 バックアップデータの管理に関して、 「宮崎市情報セキュリティポリシー 成23年7月25日」の「第2章 平 宮崎市行政全般における情報セキュリティ 対策基準」の「6.1.(2)バックアップの実施」では次のとおり規定されてい る。 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.1. コンピュータ及びネットワークの管理 (2) バックアップの実施 統括情報セキュリティ責任者及び情報システム管理者は、ファイルサー バ等に記録された情報について、必要に応じて定期的にバックアップを実 施しなければならない。 当該システムのバックアップデータは取得されていた。しかしその内容は、 データファイルだけではなく実行ファイルも含めたシステム全体がバックアッ プされる仕様(フルバックアップ)となっている。 また、バックアップが保管されるUSBメモリは暗号化されていなかった。 以上のことから、下記の問題点がある。 (a) システム全体が保存されているため、USBメモリだけで情報システム が起動できる余地がある。USBメモリは通常耐火金庫に保管されてい るが、万が一USBメモリを紛失した場合に、それのみで情報システム を起動することができる仕様となっている。 (b) ICカード発行状況管理システムの管理者用IDは市民課の職員間で 共用されており(16名) 、バックアップ作業はこのIDを知っている 職員であれば実施可能である。 <改善提案> 権限のない者によるUSBメモリ等へのデータコピーが実施できないよう、 物理的な保護策に加え、論理的なパスワード処理や暗号化処理が望まれる。 例えば以下の対策が考えられる。 ○ USBポートを物理的にふさいで施錠し、権限のない者による不正なUS B接続を防止する ○ セキュリティ対策ソフトウェアの導入や機器の設定を見直し、サーバ機器 等のポート制御、USBメモリなど外部媒体の利用制御、またログ収集機 能を実装する ○ 暗号化ソフトウェアを導入し、サーバ機器内部及びUSBメモリ使用時に 強制的に暗号化する 120 ③ ユーザーID及びパスワードの取扱いについて【監査の指摘】 情報システムのパスワードの取扱いに関して、 「宮崎市情報セキュリティポリ シー 平成23年7月25日」の「第2章 宮崎市行政全般における情報セキ ュリティ対策基準」の「5.4.(3)パスワードの取扱い」では次のとおり規定 されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 5.4. ID及びパスワード等の管理 (3) パスワードの取扱い 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければ ならない。 (中略) ⑤ パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパス ワードを再利用してはならない。 さらに、情報システムの利用者IDの取扱いに関して、「宮崎市情報セキュリ ティポリシー 平成23年7月25日」の「第2章 宮崎市行政全般における 情報セキュリティ対策基準」の「6.2.(1)アクセス制御」では次のとおり規 定されている。 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.2. アクセス制御 (1) アクセス制御 (イ) 利用者IDの取扱い ① 統括情報セキュリティ責任者は、利用者の登録、変更、抹消等の情報管 理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を 定めなければならない。 ② 職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、 情報システム管理者に通知しなければならない。 ③ 情報システム管理者は、利用されていないIDが放置されないよう、人 事管理部門と連携し、点検しなければならない。 ICカード発行状況管理システムでは、ユーザーIDは管理者用IDと利用 者用IDの2つしか設定されていない。 管理者用IDは市役所市民課の職員(16名)で共用されている。また利用 者用IDは4つの総合支所(佐土原、田野、高岡、清武)の担当者が同一のI 121 Dを共用している。 市役所内では定期的な異動があるが、この2つのIDのパスワードの定期的 な変更は実施されていない。このため、IDとパスワードを知っている者が、 権限がないにもかかわらずこのシステムを利用することが可能となっている。 <改善提案> 情報セキュリティポリシーに定められているとおり、不正なアクセスを防止 するため、業務上必要な使用者のみに対して利用者ID権限を付与し、不要と なった利用者IDについて点検し管理する手続の整備と厳格な運用が必要であ る。 また、パスワードの定期的変更が必要である。これは職員の人事異動の都度 実施することが望ましい。 さらに、共用IDの使用やアクセス記録の取得状況などを改め、機密性を高 める対策が必要である。 以上を踏まえた対策は費用対効果を勘案して行うことになるが、例えば次の 方法が考えられる。 ○ 共用IDの使用を改め、利用者に個別に貸与する ○ ユーザーIDの新規登録、変更、抹消などの改廃について申請承認手続及 び利用者ID改廃申請書を整備する ○ 職務を変更した利用者のユーザーID、異動した利用者のユーザーIDな ど、不要なユーザーIDは速やかに削除する ○ 定期的にユーザーIDの棚卸を実施し、不要なIDが情報システム上に残 っていないか点検する ○ ユーザーIDに付与するアクセス権(一般権限、管理者権限等)は、業務 内容に合わせて必要最小限に設定し、アクセスを制限する ○ パスワードが推測されないように、定期的にパスワードを変更する。パス ワードの桁数や複雑性を高くするなどの対応を行う ○ 操作ログなどのアクセス記録を取得し、実際の利用者及び利用状況につい て管理簿や業務記録等と照合する等、住民データへのアクセス状況のモニ タリングを行う ④ アクセスログの取得について【監査の指摘】 情報システムのアクセス記録に関して、「宮崎市情報セキュリティポリシー 平成23年7月25日」の「第2章 宮崎市行政全般における情報セキュリテ ィ対策基準」の「6.1.(6)アクセス記録の取得等」では次のとおり規定され ている。 122 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.1. コンピュータ及びネットワークの管理 (6) アクセス記録の取得等 ① 統括情報セキュリティ責任者及び情報システム管理者は、各種アクセス記 録及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存し なければならない。 ② 統括情報セキュリティ責任者及び情報システム管理者は、アクセス記録等 が窃取、改ざん、誤消去等されないように必要な措置を講じなければなら ない。 ③ 統括情報セキュリティ責任者及び情報システム管理者は、システムから自 動出力したアクセス記録等について、必要に応じ、外部記録媒体にバック アップしなければならない。 ICカード発行状況管理システムは住民の4情報(氏名、住所、性別、生年 月日)を保有しており、機密性の確保が必要となるが、アクセスログの取得・ 保管が実施されていない。 <改善提案> 情報セキュリティポリシーに規定されているとおり、アクセスログを取得し、 かつそれを利用可能とする具体的手順を整備する必要がある。これは「情報セ キュリティ実施手順」を策定し、その中で規定することが望ましい。 また、IDの使用、アクセス記録の取得管理、アクセス記録を使用したモニ タリングの実施など機密性を確保する対策が望まれる。 具体的には、例えば次の方法が考えられる。 ○ 任意の月のアクセスログの中から無作為抽出したログについて、当該ログ のユーザーIDを操作した者の業務内容と操作内容の整合性確認や利用者 への質問により、その操作の正当性を確認する ○ アクセスログをユーザーID毎、日時毎などで集計し、異常なアクセス回 数やアクセス日時がないか点検するなど、不必要な操作を行っていないか 確認する ⑤ サーバの特権IDの管理について【監査の指摘】 サーバのIDに関して、「宮崎市情報セキュリティポリシー 平成23年7月 25日」の「第2章 宮崎市行政全般における情報セキュリティ対策基準」の 「6.2.(1)アクセス制御」では次のとおり規定されている。 123 宮崎市情報セキュリティポリシー 第2章(抜粋) 6.2. アクセス制御 (1) アクセス制御 (ウ) 特権を付与されたIDの管理等 ① 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等 の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパ スワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重 に管理しなければならない。 ICカード発行状況管理システムのサーバOSは、常時システム管理者権限 ユーザーIDが使用されており、執務時間中はログオンされた状態であった。 一般的には、通常の起動時は一般権限ユーザーIDで対応可能であり、保守 作業時以外はシステム管理者権限ユーザーでログオンする必要はないと考えら れる。 サーバは本庁舎1階に置かれており、ラック等に設置されていないため、シ ステム管理者権限が業務上必要のない者に使用されるおそれがある。 <改善提案> 特権IDであるシステム管理者権限について、その管理および使用について 基準を定め、パスワードを厳重に管理する必要がある。 具体的には、例えば以下の方法が考えられる。 ○ 通常サーバを起動する際のOSアカウントは、システム管理者権限ユーザ ーではなく一般権限ユーザーを使用する ○ アクセス制限やログのモニタリングの観点から個別利用者の識別が必要な 場合は、利用者毎のOSアカウントを準備し、利用者毎の権限設定やイベ ントログ等の取得を可能とする ○ システム管理者権限は、情報システム管理者等の許可された者のみパスワ ードを知らされ、推測されにくいパスワードを設定する ○ システム管理者権限の使用は貸出制とし、それを使用する作業が必要にな った場合には事前申請の上、管理者権限が付与された貸出用IDを一時的 に貸し出す。 作業完了後は、システム管理者権限ユーザーのパスワードを変更する。 また定期的なアクセスログの検証を行い、申請された作業以外でシステム 管理者権限が利用されていないことを確認する。 以 124 上
© Copyright 2024 Paperzz