NISC、政府機関等における業務でのLINE 利用状況調査を公表
内閣サイバーセキュリティセンター(NISC)は4月30日、政府機関等における業務でのLINE 利用状況調査についてまとめ結果を公表した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
NISCでは3月17日に、SNSサービスLINEについて個人情報等の管理上の懸念が報じられたことから、政府機関等における業務上のLINE 利用に関し、23の政府機関と87の独立行政法人、9の指定法人を対象に書面およびヒアリングで調査を行った。
主な調査事項は、業務でのLINE利用の有無、利用している場合はLINE上で実施している業務の概要と要機密情報の取扱い有無、また要機密情報を取り扱っているケースでは、対象者や利用状況、契約等の有無・内容、LINE サービスの利用の態様について確認した。
政府機関におけるLINEの利用状況の概要については以下の通り。
利用していない:5機関
利用している:18機関(221業務)
機密性を要する情報の取扱いあり:11機関(44業務)
国民向け業務(主に公式アカウント):5機関(30業務)
職員・関係者との連絡(個人アカウント): 8機関(14業務)
機密性を要しない情報のみを取り扱う業務:17機関(177業務)
なお機密性を有する情報としては、利用者からの相談受付窓口や助言、個別施策における情報入力や問い合わせ窓口、職員間の業務連絡や課室内の情報共有などであった。
またNISCでは政府機関におけるLINEの利用状況の調査結果を踏まえ、「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)について」を公表した。
本ガイドラインでは、LINEサービスの利用検討時に適切な情報セキュリティ確保のために留意すべき事項として以下の通りまとめている。
1.機密性を有する情報/住民等の個人情報を取り扱わない場合
公表・公開を前提とする情報や第三者が知り得ても問題の無い情報のみをLINEサービス上で取り扱うことが明確な場合は、各行政主体におけるLINEサービスの利用は許容されるものと考えられる旨を記載。
2.機密性を有する情報/住民等の個人情報を取り扱う行政サービスの場合
「民間企業等が不特定多数のユーザーに対して同一条件で提供するサービスでは、要機密情報を取り扱わせることは原則として禁止されている」ことを明記した上で、下記の利用態様に応じて確認すべき事項を記載。
・公式アカウントを利用した相談業務等:
LINE社とは別の委託先に適切にセキュリティが確保されたシステムを構築させ、個人情報がLINE社等が提供するサービス上に保存されないシステム構成とする
・LINE Payを利用した公金決済:
収納代行業者との契約等を通じ、行政が保有する個人情報をLINE Pay社に提供する仕組みとなっていないことを確認
3.個人アカウントを用いた業務連絡
個人アカウントでの機密性を有する情報等の取り扱いはセキュリティポリシー違反。各行政主体におけるポリシー適用の徹底を要請。
業務でメッセージアプリを利用する場合は、ISMAP登録クラウドサービスリストから適切に選択し、各行政主体が契約をして利用することを推奨。
《ScanNetSecurity》
関連記事
関連リンク
特集
アクセスランキング
-
ゆめタウン運営イズミへのランサムウェア攻撃、VPN 装置から侵入
-
範を示す ~ MITRE がサイバー攻撃被害公表
-
検診車で実施した胸部レントゲン検診が対象、川口市の集団検診業務委託先へランサムウェア攻撃
-
NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可
-
東急のネットワークに不正アクセス、連結子会社のファイルサーバでデータ読み出される
-
Adobe Acrobat および Reader に脆弱性、最新バージョンへの更新を呼びかけ
-
マイクロソフトが 5 月のセキュリティ情報公開、悪用の事実を確認済みの脆弱性が 2 件
-
認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とはPR
-
「Cloudbase」が Oracle Cloud Infrastructure 対応
-
個人情報漏えいの疑いも ~ 八尾市立斎場職員が加重収賄罪ほかの容疑で逮捕