Microsoft PowerPoint - 【那須野】セキュリティ問題について

森林クラウドシステム標準化事業

平成26年度 森林情報高度利活用開発事業報告会

2015年 3月20日

森林クラウドシステム標準化事業

情報セキュリティ検討

WG

～情報セキュリティ検討ワーキンググループ活動報告～

１．目 的

森林の有する多面的機能を将来にわたって持続的に発揮させて行くためには、森林

の履歴・現況や将来の姿の効率的な分析・評価を基にした森林の適切な維持・管

理が求められている。

本事業は、市町村、森林組合等に導入されている既存の森林GIS等の森林関連

情報を調査し、現状と課題・問題点の整理とその改善・解決策や方向性を取りまとめ

るとともに、森林クラウド実証システム開発事業、森林クラウドシステム標準仕様検討

WGからの情報等を踏まえて、平成25年度作成した森林クラウドシステム標準仕様

案及び情報セキュリティガイドライン案（都道府県編）の検証・改善を行うことを目的

とする。

また、本ワーキンググループで取りまとめた意見、対策案等を森林クラウドシステム標

準仕様検討WGおよび森林クラウド実証システム開発事業にフィードバックする。

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

２．概 要

【課題】

・都道府県は森林情報の高度利活用・情報の充実化が必要である

・市町村・林業事業体の情報化推進が重要であり、森林情報の共有が必要である

・地方自治体はコスト削減・業務の効率化が求められている

【課題】

・都道府県は森林情報の高度利活用・情報の充実化が必要である

・市町村・林業事業体の情報化推進が重要であり、森林情報の共有が必要である

・地方自治体はコスト削減・業務の効率化が求められている

これらを解決するために！

これらを解決するために！

【解決のための仮説】

・森林クラウドシステムの構築・普及が有効である

・森林情報の高度利活用実現にはシステムの標準化が必要である

・森林経営計画の達成には、行政の保有する森林情報の利活用が重要である

【解決のための仮説】

・森林クラウドシステムの構築・普及が有効である

・森林情報の高度利活用実現にはシステムの標準化が必要である

・森林経営計画の達成には、行政の保有する森林情報の利活用が重要である

２．概 要

森林クラウド実証開発事業

【事業主体】

・一般社団法人日本森林技術協会

・株式会社 パスコ

・パシフィック・コンサルタンツ株式会社

【実証地域】

青森県・長野県・兵庫県・熊本県・大分県

森林クラウド実証開発事業

【事業主体】

・一般社団法人日本森林技術協会

・株式会社 パスコ

・パシフィック・コンサルタンツ株式会社

【実証地域】

青森県・長野県・兵庫県・熊本県・大分県

森林クラウドシステム標準化事業

【事業主体】

・住友林業株式会社

・一般材団法人日本情報経済社会推進協会

【調査・検討】

・森林情報システム標準仕様の作成

・情報セキュリティガイドラインの作成

森林クラウドシステム標準化事業

【事業主体】

・住友林業株式会社

・一般材団法人日本情報経済社会推進協会

【調査・検討】

・森林情報システム標準仕様の作成

・情報セキュリティガイドラインの作成

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

２．概 要

検証・改善

検証・改善

調査・検討

_{調査・検討}

市町村・林業事業体への聞き取り

調査（37団体）

市町村・林業事業体への聞き取り

調査（37団体）

市町村の個人情報保護条例の収集

市町村の個人情報保護条例の収集

（1763団体）

_{（1763団体）}

・個人情報の定義

・第三者提供の制限

・オンライン処理に関する制限等

・個人情報の定義

・第三者提供の制限

・オンライン処理に関する制限等

・森林ＧＩＳの導入状況

・業務内容と情報管理

・現状の課題

・森林ＧＩＳの導入状況

・業務内容と情報管理

・現状の課題

森林クラウドシステムにおける情報セキュリティの検討

森林クラウドシステムにおける情報セキュリティの検討

３．実施方法

森林クラウド

システム標準化事業

森林クラウド

システム標準化事業

標準仕様検討WG

標準仕様検討WG

標準化検討委員会

標準化検討委員会

森林クラウド実証

システム開発事業

森林クラウド実証

システム開発事業

情報セキュリティ

検討WG

情報セキュリティ

検討WG

林野庁

森林整備部計画課

林野庁

森林整備部計画課

事業連携

事業連携

情報共有

情報共有

市町村・林業事業体

実態調査

市町村・林業事業体

実態調査

事業主体者 一般社団法人 日本森林技術協会 株式会社 パスコ パシフィックコンサルタンツ株式会社

市町村の個人情報

保護条例調査

市町村の個人情報

保護条例調査

事業主体者 住友林業株式会社 一般財団法人日本情報経済社会推進協会

実施体制

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

３．実施方法

情報セキュリティ検討ＷＧの委員構成

委 員

３．実施方法

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

３．実施方法

５．検討内容

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

地方自治体の森林ＧＩＳをクラウドシステムに移行するとシステム担当者の

システム管理の負担が軽減する。

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

市町村・林業事業体の聞取り調査等から情報セキュリティを検討

市町村が講ずべきセキュリティ要件

共有メールアドレスの利用

市町村が講ずべきセキュリティ要件

共有メールアドレスの利用

林業事業体が講ずべきセキュリティ要件

林業事業体が講ずべきセキュリティ要件

複数の市町村の業務を担当している

_{複数の市町村の業務を担当している}

求められる要件 区分 ・端末ＯＳのパッチ対応⇒最新版 必須 ・端末ウイルス対策⇒最新版 必須 ・破壊侵入防止、防犯監視等の対策 必須 ・システム利用管理者の任命 必須 ・法令・規範等の遵守 必須 ・運用管理規程の整備、教育 必須 ・利用権限・アクセス権限の管理 必須 ・利用開始前の契約内容確認と評価 必須 ・利用者側のバックアップ実施 推奨 ・都道府県・市町村から提供された情報の保管・削除 必須 ・契約及びＳＬＡの評価見直し 推奨 ・アクセスログ通知の確認 推奨 ・利用権限・アクセス権限の管理 必須 ・自治体情報へのアクセス権限の管理 必須 ・個人情報保護法・その他規範等の遵守 必須 ・個人情報保護管理規程の作成・教育 必須 ・個人情報保護方針の作成と公表 必須 ・利用目的及び情報入手の明確化 必須 ・利用停止の手続き 必須 ・問合せ・連絡先の明確化 必須 技術的セキュリティ対策 物理的セキュリティ対策 ユーザ管理 個人情報の保護 林業事業体／森林所有者等 項目 利用者 個人情報の活用 クラウドシステム環境におけ るセキュリティ要件 データ管理環境におけるセ キュリティ要件 システム利用環境におけるセ キュリティ要件 個人情報の保護と利活用 組織的セキュリティ対策 バックアップ データ保管場所・期間 アプリケーション管理 運用管理 求められる要件 区分 ・端末ＯＳのパッチ対応⇒最新版 必須 ・端末ウイルス対策⇒最新版 必須 ・破壊侵入防止、防犯監視等の対策 必須 ・システム利用管理者の任命 必須 ・法令・規範等の遵守 必須 ・運用管理規程の整備、教育 必須 ・利用権限・アクセス権限の管理 必須 ・利用開始前の契約内容確認と評価 必須 ・利用者側のバックアップ実施 推奨 ・都道府県・市町村から提供された情報の保管・削除 必須 ・契約及びＳＬＡの評価見直し 推奨 ・アクセスログ通知の確認 推奨 ・利用権限・アクセス権限の管理 必須 ・自治体情報へのアクセス権限の管理 必須 ・個人情報保護法・その他規範等の遵守 必須 ・個人情報保護管理規程の作成・教育 必須 ・個人情報保護方針の作成と公表 必須 ・利用目的及び情報入手の明確化 必須 ・利用停止の手続き 必須 ・問合せ・連絡先の明確化 必須 技術的セキュリティ対策 物理的セキュリティ対策 ユーザ管理 個人情報の保護 林業事業体／森林所有者等 項目 利用者 個人情報の活用 クラウドシステム環境におけ るセキュリティ要件 データ管理環境におけるセ キュリティ要件 システム利用環境におけるセ キュリティ要件 個人情報の保護と利活用 組織的セキュリティ対策 バックアップ データ保管場所・期間 アプリケーション管理 運用管理

５．検討内容

林業事業体は複数の市町村と事業を行っている場合がある

①のパターン

②のパターン

③のパターン

市町村１ 市町村２ 市町村３ 林業事業体Ａ 林業事業体Ｂ 林業事業体Ｃ

①パターン：市町村と林業事業体が１対1

②パターン：市町村と林業事業体がＮ対1

③パターン：市町村と林業事業体が１対Ｎ

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

想定する森林クラウドシステムでの情報共有環境

① 市町村と林業事業体がＮ対１の場合

森林クラウドシステム

認

証

市町村１

ファイルへのアクセス制御

② 市町村と林業事業体が１対Ｎの場合

森林クラウドシステム

林業事業体Ａ

認

証

認

証

市町村２

市町村１

ＩＤ・パスワードはひとつに 林業事業体Ｂ 林業事業体Ａ 林業事業体Ｂ

都道府県

市町村

林業事業体

認証局

認証局

森林クラウド

事業者Ａ

森林クラウド

事業者Ａ

森林クラウド

_事業者Ｂ

森林クラウド

事業者Ｂ

Ｂ県

Ｂ県

エ市

エ市

ウ市

ウ市

イ市

イ市

ア市

ア市

Ａ県

Ａ県

①事業体

①事業体

②事業体

_②事業体

③事業体

_③事業体

_④事業体

_④事業体

認証局

認証局

ＩＤ・パスワードを相互利用可能とする管理

が求められる。

市町村内の内部処理

行政の保有する個人情報の第三者 提供に関する処理 提供先の評価基準と承認処理 利用者・アクセス権限の通知

森林クラウドシステムにおけるアクセス権限の手続き

５．検討内容

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

市町村の個人情報保護条例の調査

【調査の目的】

個人情報保護法（第５条）で地方公共団体の特性に応じて個人情報の適正な取扱

いを確保するために必要な施策を制定し実施する責務を定めている。

地方公共団体等の個人情報保護条例は団体の数（約1800団体）が存在する。

立命館大学 情報理工学部

サイバーセキュリティ研究室

５．検討内容

【個人情報の定義】

【第三者提供の制限】

【電子計算機処理およびオンライン処理の制限】

【審議会の意見聴収の有無】

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

個人情報の保護と利活用の検討

Ａ森林所有者 委託契約済み Ａ森林所有者 委託契約済み Ｂ森林所有者委託契約済み Ｂ森林所有者 委託契約済み Ｃ森林所有者Ｃ森林所有者未契約_未契約 林業事業体 林業事業体

A

B

C

集約化の検討

Ｃ森林所有者に森林 経営の提案をしたいが 所有者の氏名・住所・ 電話番号がわからない 都道府県 都道府県

①

②

③

既に同意を得ている 既に同意を得ている 市町村 市町村

④

⑤

５．検討内容

個人情報の保護と利活用の検討

個 人 情 報 保 護 条 例 の 調 査

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

５．検討内容

個人情報の保護と利活用の検討

第7条(利用及び提供の制限） 実施機関は、利用目的以外の目的のために保有個人情報を自ら利用し、又は提供してはならない。 2 前項の規定にかかわらず、実施機関は、次の各号のいずれかに該当すると認めるときは、利用目的以外の 目的のために保有個人情報を自ら利用し、又は提供することができる。ただし、保有個人情報を利用目的以 外の目的のために自ら利用し、又は提供することによって、本人又は第三者の権利利益を不当に侵害する おそれがあると認められるときは、この限りでない。 (1) 本人の同意のあるとき、又は本人に提供するとき。 (2) 法令等に定めのあるとき。 (3) 個人の生命、身体又は財産の安全を確保するため、緊急かつやむを得ないと認められるとき。 (4) 出版、報道等により公にされているもので提供することが適当であると認められるとき。 (5) 実施機関の内部で利用し、又は他の実施機関、国、独立行政法人等、他の地方公共団体若しくは地方 独立行政法人に提供する場合で、事務に必要な限度で使用し、かつ、使用することに相当の理由がある と認められるとき。 (6) 前各号に掲げる場合のほか、審査会の意見を聴いた上で、公益上の必要その他の相当の理由があると 実施機関が認めて利用し、又は提供するとき。 第8条 (オンライン結合による提供の制限) 実施機関は、オンライン結合(通信回線を用いて実施機関が管理する電子計算機と実施機関以外のものが 管理する電子計算機を結合し、実施機関の管理する保有個人情報を実施機関以外のものが随時入手し得る 状態にする方法をいう。以下同じ。)により保有個人情報を提供するときは、個人の権利利益を不当に侵害する ことがないように努め、法令等に基づく場合を除き、あらかじめ審査会の意見を聴かなければならない。 2 実施機関は、前項の規定により審査会の意見を聴いたオンライン結合による保有個人情報の提供の内容を 変更するときは、あらかじめ審査会の意見を聴かなければならない。 第9条 (保有個人情報の提供を受ける者に対する措置要求) 実施機関は、実施機関以外のものに対して保有個人情報を提供する場合において、必要があると認める ときは、提供を受けるものに対し、提供に係る個人情報について、その利用の目的若しくは方法の制限 その他必要な制限を付し、又はその漏えいの防止その他の個人情報の適切な管理のために必要な措置を 講じることを求めなければならない。 第10条 (安全確保の措置) 実施機関は、保有個人情報の管理にあたっては、個人情報の漏えい、滅失及びき損の防止その他の保有 個人情報の適正な管理のために必要な措置を講じなければならない。 2 実施機関は、個人情報を取り扱う事務の利用目的に照らし、保有の必要がない又は保有の必要のなくなった 保有個人情報を確実に、かつ、速やかに廃棄し、又は消去しなければならない。ただし、歴史的若しくは文化 的な資料又は学術研究用の資料として保存されるものについては、この限りでない。

６．まとめ

市町村・林業事業体の聞取り調査および個人情報保護条例調査から

市町村の情報セキュリティ対策の一環として「共有メールアドレス」を採用して

いる場合がある 専用のメール端末を用意し職員が共有している

クラウド事業者はID・パスワードの付与通知はメールによる提供をおこなって

はならない。（ガイドラインの改善）

林業事業体は複数の市町村と事業連携している場合がある

ID・パスワードが共通で利用が可能となる事が望ましい

林業事業体は「個人情報保護管理規程」が作成されていない場合がある

都道府県や市町村から森林簿・林地所有者台帳等の提供を受けるためには

「個人情報保護管理規程」を作成しなければならない

又、当該事業者は本規程を遵守しなければならない

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

６．まとめ

市町村・林業事業体の聞取り調査および個人情報保護条例調査から

市町村が林務の全部又は一部を外部に委託する場合

民間事業者（林業事業体等）への委託先選定については「個人情報の第三

者提供」の条件と「個人情報保護管理規程」が作成され、規程を遵守しているこ

と。「業務遂行の管理能力」を有していること等が市町村の求める水準を満たし

ていなければならない。 又、特別地方公共団体（広域連合、事務組合等）も

委託先選定に含まれる場合も想定される。 特別地方公共団体は個人情報保

護条例の制定が義務づけされているが制定していない団体があるので確認する

必要がある。

都道府県・市町村が林業事業体に森林情報を提供するための評価基準の策

定が必要となる

「オンライン処理の制限」および「第三者提供の制限」において必要である

７．課題

① 森林クラウドシステムの普及によって都道府県、市町村、林業事業体は利用する ク

ラウド事業者の選択肢が広がる。一方、聞取り調査の結果から林業事業体は複数の

市町村と事業連携をおこなっているため、森林情報を共有するための「ID・パスワード」

が複数発生することが懸念される。 又、同一クラウド内であれば、クラウド事業者の

「ユーザー管理」で解決するが他のクラウドシステムとの接続も考えられる。

林業事業体が都道府県又は市町村から付与された「ID・パスワード」を他の都道府県

や市町村へのアクセスに流用できる仕組みが必要となる。

森林クラウドシステムＩＤ連携トラストフレームワーク（仮称）

Copyright Ⓒ 2014 SUMITOMO FORESTRY JIPDEC All Rights Reserved

７．課題

② 林業事業体は、都道府県が提供する森林情報（森林簿、計画図、基本図等）の

他、市町村が保有する森林情報（地籍情報、林地所有者情報等）の提供を望ん

でいるが個人情報の関係で市町村内部での利用（林務担当者が課税台帳等が閲

覧利用）も禁止されている場合があり、市町村の理解を促す取組みが必要である。

実施機関の内部で利用し、又は他の 実施機関、国、独立行政法人等、 他の地方公共団体若しくは地方 独 立行政法人に提供する場合で、事 務に必要な限度で使用し、かつ、使 用することに相当の理由があると認め られるとき。 前各号に掲げる場合のほか、審査会 の意見を聴いた上で、公益上の必要 その他の相当の理由があると 実施機 関が認めて利用し、又は提供するとき。