kintoneとプラグインの活用で、自治体業務のデジタル化は、低コストで見違えるように変革します。
例えば、手続き業務なら、住民や企業が手続きをするときには便利で、時間を奪わないで済みます。自治体職員のデジタルリスキリングの機会になり、ITリテラシーが高まります。その結果、業者にふっかけられたような金額で、システム経費で税金を無駄に投入しなくて済むという副産物も生まれます。また、災害など、速やかな情報共有が必要なときにも役立つでしょう。
しかし、それらは全て「個人情報や機密情報が守られてこそ」です。
この記事では、個人情報の観点でデジタル化をあきらめるのではなく、適切に対応し、kintone活用を促進する方法をご紹介しています。個人情報に留意しながらkintoneの活用方法を知りたい方は、ぜひご参照ください。
なお、ペパコミ株式会社では、自治体でも数多く伴走支援や研修を行っています。お悩みの方は、ぜひお気軽にご相談ください。
そもそも、行政の情報漏洩のトラブルとは
時折ニュースになる「個人情報漏洩」は、住民を危険に晒すことから、自治体は、なんとしても避けなければなりません。総務省や個人情報保護委員会は自治体に対し、適切な情報管理と報告体制を義務付けています。
- 「個人情報の種類」
- 個人情報漏洩の要因は「クラウドの設定ミス」も少なくない。
- クラウドの適切な設定のために必ず行うべき対策
ここでは、自治体が抱える情報漏洩リスクを、次のような点を軸に整理してみましょう。
個人情報の種類
個人情報は多岐にわたりますので、その一部を例示します。
| 種類 | 内容 |
| 個人情報 | 氏名・住所・性別・生年月日・顔画像・身体・財産・職種・肩書・事実・判断・評価情報・公刊物等によって公にされている情報・映像・音声による情報 |
| 個人識別符号 | マイナンバー(個人番号)・運転免許証の番号
パスポートの番号・住民票コード・健康保険証の記号・番号、保険者番号 |
| 要配慮個人情報 | 人種・信条・病歴・犯罪の経歴・犯罪被害・障害など。 |
個人情報漏洩の要因は「クラウドの設定ミス」も少なくない。
自治体職員のみならず委託先企業のミスであれ、次のようなトラブルが起きています。
- メール誤送信による住民データ流出
- クラウドのアクセス権限の設定ミス
- 公開設定の誤りによる住民情報の流出
- 共有リンクを不用意に開放してしまうミス
上述したようなトラブルが起きていますが、現代において、クラウドを使用しない選択肢はありえません。設定の際には、複数の目で確認するようにしていきましょう。
クラウドの適切な設定のために必ず行うべき対策
さっそく、総務省が発行している「クラウドサービス利用のための設定ガイドブック」を参考に対策の例をご紹介します。
| ポイント | 対策例 |
| 対象者 | ・経営者・セキュリティ責任者・管理者・ユーザー・開発者 |
| 事前対策 | ・社内のクラウドサービス利用における「ルールづくり」
・クラウドサービス利用における「リテラシーの向上」・人材育成 ・コミュニケーション(社内の窓口、情報交換) |
| マネジメント | ・作業の確認をマネジメント体制に組み込む。
・設定項目のリスト化・セルフチェックのルールづくり |
| 日常的な対応 | ・「ユーザーの特性」に応じた情報提供を行う。
・アップデート情報を収集し、わかりやすくタイムリーに提供する。 |
上記の例からわかるのは、「セキュリティを守るには、担当者に丸投げではなく、組織ぐるみで向き合うこと」が重要ということが見えてきます。
kintoneで個人情報を管理できる理由
続いて、kintoneがセキュリティ対策として、どのように有効なのか、みていきましょう。次のように個人情報を扱う際にも適した対応がなされています。
| 項目 | 内容 |
| ISMAP | 政府が求めるセキュリティ要件を満たすクラウドサービスを評価・登録し、「ISMAPクラウドサービスリスト」に登録されています。 |
| 国内のデータセンター | 金融機関向けの「FISC安全対策設備基準」を満たした国内のデータセンターで運用 |
| ISMS | ISO/IEC27017認証を取得しています。 |
kintoneで個人情報を扱う前に注意すべき「設定」
kintoneに限らず、Googleのスプレッドシートや別のツールでも設定のトラブルが起きていますので日ごろから注意しましょう。
- kintoneそのものの確認すべき設定」
- プラグインごとの「確認すべき設定」
さっそく、kintoneとプラグインの設定において、それぞれ確認すべき点を整理しましょう。
kintoneのそのものの「確認すべき設定」
次のように丁寧にアクセス権が設定できますので、庁内でも各課でも「どこまでDX課や情報システム課が責任者で、どこからが各課が責任者か」を明確にしましょう。
| 種類 | 確認することの例 |
| cybozu.com共通管理 | ・ユーザー管理
・セキュリティの設定(ログイン認証・アクセス制限) |
| サイボウズドットコムストア | ・アカウント管理 |
| kintoneシステム管理 | kintone全体に関わるアクセス権 |
| スペース | 非公開スペースの場合、参加者のみの閲覧可。
(公開スペースの場合、全ユーザーが閲覧可) |
| アプリ | 各アプリのアクセス権 |
| レコード | 各アプリのレコードに対するアクセス権 |
| フィールド(個別) | 各アプリのフィールド(個別)に対するアクセス権 |
| フィールド(グループ) | 各アプリのフィールド(グループ)に対するアクセス権 |
プラグインごとの「確認すべき設定」
プラグインの種類によって、確認すべきアクセス権は異なります。
自治体で利用の多いプラグインを例にご紹介します。
| プラグイン | 確認事項の例 |
| フォームブリッジ | ・kViewerと連携しルックアップを設定しているとき・/
・kViewerのMyページと連携しているフォームを複製して別アプリと連携する際 ・ログイン認証情報をフォームに初期値として引用するとき |
| kViewer | ・Myページビューを利用するとき
・kViewerにプリントクリエイターを連携して出力するとき ・フォームブリッジと連携してフォーム上でkViewerルックアップを設定しているとき |
| プリントクリエイター | ・一括出力時のIP制限 |
自治体特有の「kintoneで把握すべきこと」
kintoneでの内製は慣れれば「手放せない業務改善の手段」になっていくはずです。しかし、自治体だからこそ、セキュリティ上、確認すべきポイントもあるので、次のとおり、ご紹介します。
- 自治体の三層分離モデル「αモデル」への対応
- LGWANでkintoneを活用する準備
それぞれ以下で詳しく解説していきます。
自治体の三層分離モデルへの対応
「三層分離モデル」とは、自治体業務は、次の三層で運営されていることを示しています。
kintoneはそれぞれの層での運用できますが、そのためのツールの選定などを考慮する必要があります。
| 三層の種類 | 業務例 |
| マイナンバー | 社会保険・税・住民記録・戸籍・後期高齢者医療・国民健康保険・介護保険・国民年金など |
| LGWAN | 財務会計・人事給与・庶務事務・文書事務など |
| インターネット | 情報収集・サイトの更新・チラシや冊子の作成 |
なお、現在は国で「三層分離の廃止」「ゼロトラストへの移行」の方針が示されています。
自治体でkintoneを使う場合に配慮すること
kintoneでのシステム内製化が進み、デジタル対応が広がっている今こそ、ルールづくりが大切です。次のような観点を再確認しましょう。
| ケース | ルールづくりが必要な観点 |
| AIと併用する場合 | 外部への情報流出が起きないようにする。 |
| データ出力する場合 | データ出力(CSV、帳票出力など)の取り扱いのルールをつくる |
| 個人情報入りアプリ | アクセス権のルールをつくる |
| アクセスログ | アクセスログの管理をする |
| プラグインの選定 | 提供元の窓口対応やセキュリティ対応を確認する |
| 災害時 | 災害時(バックアップ・BCP)を想定する |
セキュリティを徹底したkintone活用には専門知識を持つペパコミ株式会社へご相談ください
自治体職員だけでセキュリティを徹底するのは難しく、専門知識を持つ外部パートナーの支援が不可欠です。自治体業務とセキュリティ両面に理解があり、プラグインや外部連携サービスの検証サポートが可能なパートナー企業を選定する必要があります。
なお、ペパコミ株式会社では、自治体でも数多く伴走支援や研修を行っています。お悩みの方は、ぜひお気軽にご相談ください。
コメント