1 (諮問第 148 号説明資料) 区立小中学校校務支援システムをリプレースすること及び同システムサーバーの運 用保守を外部に委託することについて 1 諮問内容 区内小中学校校務支援システム(以下「本件システム」という。)は、区立の8小 学校、2中学校の児童生徒の成績・学籍管理、出席管理、保健管理等、校務に関す る情報を処理するシステム(諮問第 108 号により答申済。)であり、平成 28 年度に システムリプレースを予定している。 今回のリプレースでは、教職員が使用する端末(以下「クライアント」という。) を、児童生徒の個人情報を扱う校務系の環境(以下「校務系環境」という。)と、イ ンターネットに接続できる環境(以下「情報系環境」という。)とを切り替えて使用 する兼用機とする。 また、現在、各学校に設置するサーバーを民間事業者の運営するデータセンター に移行・集約する。 これらは、第 108 号諮問時のシステム環境と異なるため、個人情報のコンピュー タ処理及び個人情報を取り扱う業務処理の委託について、改めて意見を聴く。 2 諮問理由 個人情報のコンピュータ処理及び個人情報を取り扱う業務の処理の委託は、千代 田区個人情報保護条例(平成 10 年千代田区条例第 43 号)第 17 条第1項及び第 34 条の2第3項に該当するため、千代田区個人情報保護審議会の意見を聴く。 3 コンピュータ処理の必要性 (1)サーバーをデータセンターに集約する必要性 ・ 【削除】地震等災害のリスクもあり、十分なセキュリティ環境であるとは言い がたい。 ・ 学校ごとにネットワークを構築しているため、学校間又は学校・教育委員会間 のデータ連携が困難な環境にある。 ・ このため、セキュリティ対策、温度・湿度管理、災害対策の十分に取られたデ ータセンター内にサーバーを移設・集約し、併せて学校間、学校・教育委員会間 でデータ連携を行える環境を整備する。 (2)クライアントを校務系環境及び情報系環境の兼用機とする必要性 ・ 学校では現在、教職員一人ひとりにインターネットを使用するノート PC が 整備されていない。(授業で使用するタブレット PC でインターネットを利用し、 USB メモリ等で本件システムにデータを移し、教材作成等をしている。) ・ 本件システムで教職員が使用するクライアントを、セキュリティ対策を行った 上でインターネットに接続できるよう整備する。
2 4 個人情報を取り扱う業務処理の委託の必要性 ・ システムリプレースに向けては、現行のシステムから新たなシステムへのデータ 移行が必要である。 ・ システム稼働後、システム障害等から迅速に復旧させるための保守契約が必要で ある。 ・ さらに、今回のリプレースにより、データセンターにおけるサーバー等の機器の 運用管理が必要となる。 ・ これらの処理は高い専門性を要するため、外部事業者へ委託する必要がある。 5 ネットワーク構成図 別紙のとおり 6 取り扱う個人情報の項目(諮問第 108 号と変更なし) (1)基本情報 ・ 児童生徒氏名 ・ 性別 ・ 生年月日 ・ 郵便番号 ・ 住所 ・ 電話番号 ・ 保護者氏名(変更、改姓) ・ 兄弟の有無、学年 ・ 児童生徒の指導をする上での基本情報 (2)学籍管理に関する情報(過去の学年時の情報含む。) ・ 学年組 ・ 就学前の状況(幼、保等/転出入/編入学) ・ 校長、担任名 ・ 出席番号 ・ 卒業先(進学先、就職先) (3)出席管理に関する情報(過去の学年時の情報含む。) ・ 出欠状況(出席日数、欠席日数、遅刻、早退回数) ・ 欠席事由(感染症り患、忌引き、家庭行事等) (4)成績管理に関する情報(過去の学年時の情報含む。) ・ 試験別点数 ・ 順位(教科別、総合点) ・ ペーパーテストの結果(観点別の点数) ・ 小テストの結果(観点別の点数)
3 ・ 作文・レポートなどの表現作品についての評価(A~C) ・ 提出物(宿題)の状況 (5)指導要録に関する情報(小6年間、中3年間) ・ 各教科についての観点別評価(A~C) ・ 各教科についての評定(小3段階)(中5段階) ・ 総合的な学習の時間の記録(顕著な事項、身に付いた力) ・ 特別活動、行動の評価(○「目標に照らして十分に満足」の可否) ・ 出欠の記録 ・ 総合所見及び指導上参考となる諸事項 各教科、総合的な学習の時間、特別活動(係、クラブ、委員会、行事での役割)、 行動に関する所見 特技、校内外の活動 成長に関わる所見(優れている点、学年始めと末の比較や進歩、体力・健康状 況) (6)保健管理に関する情報(過去の学年時の情報含む。) ・ 身長、体重、座高の記録 ・ 眼科、耳鼻科、歯科、内科などの疾病 ・ 視力、聴力の記録 ・ スポーツテストの結果 ・ 既往症、かかりつけ医院、アレルギー (7)情報の共有化(過去の学年時の情報含む。) ・ 特別な配慮を要する日常的な状況の記録 ・ 虐待などに係る日常的な状況の記録 ・ 保護者対応の記録 ・ 関係機関(警察、児童家庭支援センター等)との連絡記録 7 個人情報のリスク及びその対策 (1)コンピュータ処理について ア システム機器の盗難、破壊(ウィルス感染によるものも含む。)、障害等による漏 えい、消去等のリスク (対策) (ア)本件システム(リプレース後の本件システムをいう。以下同じ。)のサーバ ーを設置するデータセンターは、次の条件を満たしたものとする。 ・ 入館管理 監視員による 24 時間 365 日対応、事前の入館申請、顔写真付 身分証での本人確認 ・ 入退室管理 専用 IC カード、暗証番号等を利用した入退室管理 ・ 監視 監視カメラの設置等 (イ)学校内は、教職員不在時には外部者が出入りできないようセキュリティ管理
4 されている。 (ウ)【削除】 (エ)【削除】 【削除】 (オ)校務系環境のシステムで扱うサーバー内のデータは暗号化する。(万一、第 三者にデータを抜き出されても、読み込むことができない。) (カ)システム障害に備え、サーバーのハードディスクを二重化するとともに、定 期的に外部メディアにデータバックアップをとる。(バックアップデータは暗 号化し、【削除】) (キ)ウィルス対策ソフトを導入し、最新のパターンファイルに随時更新する。(外 部メディアを利用するときは、ウィルスチェックを行う。) イ 権限のない者による不正操作(覗き見、複写等)等により漏えいするリスク (対策) (ア)【削除】 (イ)【削除】 (ウ)【削除】 (エ)操作する教職員毎に権限管理を行う。他の学校の個人情報は閲覧できないよ うに設定するほか、【削除】 (オ)システムソフトウェアにおいてアクセスログをとる。(不正な操作が行われ ていないかアクセスログをチェックする。) (カ)システム操作を中断するときは、ログオフ又はスクリーンセーバーによるロ ックをかける運用とする。(一定時間操作がないときには、自動的にロックす る設定とする。) ウ 本件システムから外部メディア等へ書き出したデータの盗難、紛失等のリスク (対策) (ア)校務系環境のネットワークにおいては、データバックアップ時を除き、外部 メディア等へのデータ書き出しを禁止する。 エ 出力した帳票の紛失、誤廃棄等のリスク (対策) (ア)【削除】 (イ)文書の出力は必要最小限とし、不要となった個人情報を含む文書は速やかに シュレッダーで確実に破砕する。(文書の誤廃棄を避けるため、2人以上の職 員で確認する。)
5 (2)システムの開発・保守の委託について ア 情報管理体制やセキュリティの技術に問題のある事業者を選定するリスク (対策) 本件システムの導入事業者は、プロポーザルにより選定する。プロポーザル においては、ISMS 認証(ISO27001)又はプライバシーマーク認定(JIS Q 15001) を有することを条件とする。また、個人情報保護に関する体制(研修体制を含 む。)、個人情報漏えい事故の発生の有無等を聴取し、事業者の情報管理体制や 提案されるシステムのセキュリティ面等を総合的に考慮し、選定する。 イ 受託者若しくはその従業者等の契約内容、個人情報保護関係規程等の不知等に よる契約違反、規程違反等が行われるリスク (対策) (ア)受託者に対し、個人情報保護の規程及び個人情報保護の誓約書を提出させる。 (イ)受託者に本件業務の従事者のリストを提出させ、従事者全員に個人情報保護 の誓約書を提出させる。 (ウ)作業責任者を定めさせ、他の従事者への契約内容の周知や監督を義務づける。 (エ)受託者に従事者に対する個人情報保護の教育(研修)の実施を義務付ける。 ウ (データセンター内の)従事者の不正操作、不正持ち出し等による漏えいのリ スク (対策) (ア)(再掲)サーバーを設置するデータセンターは、入退室管理、監視カメラ等 の設備を備えたものとする。 (イ)(再掲)校務系環境においては、インターネット等との接続や外部メディア へのデータ書き出しを禁止(データバックアップを除く。)する。 (ウ)(再掲)操作する教職員毎に権限管理を行う。システムの重要な変更に関す る権限(管理者権限)は、一部の教職員に限定して付与する。 (エ)(再掲)システムソフトウェアにおいてアクセスログをとる。(不正な操作が 行われていないかアクセスログをチェックする。 (オ)受託者にはあらかじめ作業場所の届出を行わせ、作業場所以外での個人情報 の処理を禁止する。 (カ)作業内容を記録する台帳を作成させ、処理の日時、内容、処理者等について 記録させる。(アクセスログとあわせてチェックする。) (キ)作業場所への従事者の入退室の際には、物品の持ち込み・持ち出しのチェッ クを徹底させる。(私物のパソコン、携帯電話、カメラ等の持込みを禁止する。) (ク)個人情報の複写や個人情報の作業場所以外への持ち出しをするときは、区の 事前の許可を義務付ける。(作業場所内で行うあらかじめ区が認めた目的の範 囲内での複写は除く。)許可の際には、次の対策を行わせる。
6 ・磁気テープ等の媒体に個人情報を複写するときは、パスワード又は暗号化等 のデータ保護対策を行うこと。 ・紙帳票を持ち出すときは、強固なケースに施錠等のデータ保護対策を行った うえで持ち出すこと。 ・移送時の体制を明確化し、区にあらかじめ報告すること。(その際は、受託 者の正社員又は契約社員のみ移送を行うこととし、派遣労働者やアルバイト 等による移送を認めない。) ・持ち出しの目的が完了した場合は区に報告を行うとともに、その結果不要と なった磁気テープ等又は紙帳票は、確実な方法で廃棄し、その処理状況を本 区に報告すること。 (ケ)個人情報の処理を行う端末には、個人情報漏えいのおそれがあるアプリケー ションのインストールを禁止する。 (コ)データの破損や誤消去等に備えて行うデータバックアップのデータを保存す る電磁テープ等の取り扱いについて、次の点を徹底する。 ・本契約に基づく情報のバックアップデータの保管の際は、当該データが記録 された磁気テープ等の保管状況並びに記録されたデータの正確性について、 定期的に点検させる。 ・バックアップデータを記録した磁気テープ等は、その内容物に関する表記を 行わせず、記号番号による管理をすることとする。 エ (校舎内の)従事者の不正操作、不正持ち出し等による漏えいのリスク (対策) (ア)校舎内において従事者が業務処理を行う場合は、社名入りのネームプレート を着用させるとともに、物品の持ち込み、持ち出しの管理を徹底する。(業務 に必要のないパソコン、カメラ、携帯電話等の持込みは禁止する。) (イ)クライアントにおいては、データの外部メディア(USB メモリ、CD-R 等)へ の書き出しを禁止する。(データ書き出しができる操作者及び端末を限定す る。) オ 受託者から業務の一部がさらに外部事業者に委託され、当該外部事業者(再委 託先)から漏えいするリスク (対策) (ア)個人情報の処理を伴う再委託は原則禁止とする。 (イ)個人情報の処理を伴う再委託が必要不可欠なときは、再委託の必要性及び再 委託先においてセキュリティレベルが確保できることの理由を具体に書面で 提出させた上で承諾する。その際は承諾の条件として、再委託先に本契約と同 等以上の個人情報保護対策を行うよう求める。 カ 震災等の不慮の事故や従事者による労働争議等で業務が継続できなくなるリス ク
7 (対策) (ア)本件システムのサーバー等を設置するデータセンターは次を満たすものとす る。 ・地震・出水等の災害においても情報を守れる施設構造(免震、耐震、耐水等) ・2系統の受電が可能であるとともに、自家発電設備、無停電電源装置(UPS) を備えたもの ・サーバールームは、先進の防災設備(火災報知設備、消火設備、非常放送設 備)を完備しており、24 時間適正な温度、湿度を維持できるような空調環境 が整備されたもの (イ)本件業務を常に滞りなく運用できるよう、業務受託体制図及び事故や従業者 の労働争議等の不測の事態に備えた運用体制を整備したサポート体制図を提 出させる。 キ 受託者において契約内容が継続して履行されないリスク (対策) (ア)受託者に対し、個人情報保護に関する取り組み状況を明らかにする報告書を 年1回提出させる。(区が必要とする場合にも当該報告書を提出させることが できるよう義務付ける。) (イ)受託者に対し、本件業務の処理状況の詳細を、運用保守業務報告書、作業完 了報告書として毎月提出させる。 (ウ)個人情報保護の視点で区が実施する立入り調査やシステム監査等への協力を 義務付ける。 ク 個人情報の漏えい事故が発生した場合の被害拡大のリスク (対策) (ア)個人情報の保護に関し事故が発生した場合は、直ちに本区に報告し、本区の 指示に従うことを義務付ける。 (イ)万一、受託者において個人情報の漏えい等の重大な違反行為が発生した場合 には、受託者に対し、直ちにサーバー等の機器、ソフトウェア、紙帳票等を全 て区に引き渡しさせる。 ケ 契約満了後の受託者の個人情報の継続保有による漏えいのリスク (対策) 本契約の終了時において、個人情報が記録された機器及び外部メディア等は、区 と協議のうえで返還又は確実な廃棄処理を行わせる。廃棄処理を行う場合には、本 区に処理状況を報告させる。 8 実施時期
8
平成 28 年4月~ 業者(システム)選定プロポーザル実施 契約・開発
