10 総務

内部統制・リスク管理

masashi0025
目次
  1. はじめに
  2. 内部統制・リスク管理に関する現状データ
  3. 課題
  4. 行政の支援策と優先度の検討
  5. 先進事例
  6. 参考資料[エビデンス検索用]
  7. まとめ

はじめに

※本記事はAIが生成したものを加工して掲載しています。
※各施策についての理解の深度化や、政策立案のアイデア探しを目的にしています。
※生成AIの進化にあわせて作り直すため、ファクトチェックは今後行う予定です。
※掲載内容を使用する際は、各行政機関の公表資料を別途ご確認ください。

概要(内部統制・リスク管理を取り巻く環境)

  • 自治体が内部統制・リスク管理を行う意義は「事務の適正な執行の確保による安定的・効率的な行政サービスの提供」と「不祥事の未然防止による住民からの信頼の維持・向上」にあります。
  • 地方自治法第150条及び総務省のガイドラインにおいて、内部統制は「地方公共団体の長が、その組織目的の達成を阻害する要因をリスクとして識別及び評価し、対応することにより、事務の適正な執行を確保すること」と定義されています。これは、組織のトップから全職員に至るまで、日々の業務に組み込まれたプロセスとして遂行されるものです。

意義

住民にとっての意義

安定した行政サービスの提供
  • 適切な内部統制は、事務処理の誤りや遅延、システムの停止といったリスクを低減させます。これにより、福祉、税、インフラ管理といった住民生活に不可欠なサービスが、安定的かつ継続的に提供されることが保証されます。
個人情報の保護とプライバシーの尊重

地域社会にとっての意義

行政への信頼の醸成
持続可能な行政運営の確保

行政にとっての意義

不祥事の未然防止と組織防衛
業務の効率化と質の向上
職員の保護
  • 明確なルールや手続きは、職員が安心して業務を遂行するための拠り所となります。複雑な法令や多様な住民ニーズに対応する中で、意図せず誤りを犯すリスクから職員を守り、過度な責任追及を防ぐ効果もあります。

(参考)歴史・経過

2000年代
2010年
2016年~2017年
2020年
  • 2020年4月1日、改正地方自治法が全面施行されます。
  • 都道府県・政令指定都市で内部統制が本格的に開始され、その他の市町村(特別区を含む)は努力義務とされましたが、全ての特別区が方針を策定し、制度を導入しています。
2024年

内部統制・リスク管理に関する現状データ

内部統制の不備によるリスクの顕在化

全国の地方公務員の懲戒処分状況
  • 令和5年度、全国の地方公務員のうち懲戒処分を受けた職員は4,443人で、前年度から620人増加しています。
  • 処分のうち、最も重い「免職」は605人で、増加傾向にあります。
  • このデータは、法令遵守や服務規律に関するリスクが依然として高く、かつ増加傾向にあることを示しています。
東京都特別区における不祥事案
  • 近年、特別区においても、内部統制の不備に起因すると考えられる不祥事が公表されています。
  • 新宿区(令和6年9月): 職員が虚偽の理由で早退を繰り返し、約107万円の給与を不正に受給したとして停職6月の懲戒処分。
  • 板橋区(令和6年1月): 職員による個人情報の不適切な取り扱いにより減給処分。
  • 葛飾区(令和6年6月): 職員が盗撮行為で書類送検され、免職処分。
  • これらの事例は、資産保全、情報管理、法令遵守といった内部統制の根幹に関わるリスクが、特別区においても現実に発生していることを示しています。

高度化するデジタルリスクの脅威

情報セキュリティ10大脅威 2024(組織編)

特別区における内部統制評価の状況

内部統制評価報告書の公表
「重大な不備」の把握
  • 内部統制の不備のうち、区や住民に大きな不利益を生じさせる蓋然性が高いものは「重大な不備」として報告されます。
  • 文京区(令和5年度): 子ども医療証を、有効期間等の印字に不備がある状態で対象者34,320人に送付した事案を「運用上の重大な不備」と判断。原因は、区と事業者の双方における確認作業の不十分さとされています。
  • 北区(令和5年度): 心身障害者福祉手当の認定手続きに誤りがあった事案を「運用上の重大な不備」と判断。
一般的な不備の傾向
  • 各区の報告書、特に詳細な事例が記載されている文京区の附属資料を分析すると、共通したリスク領域が浮かび上がります。
  • 個人情報管理: メールの誤送信、郵便物の誤送付、書類の紛失などが複数の部署で頻発しています。
  • 契約事務: 予算措置や契約締結前に事業者に発注してしまうといった、手続きの遵守違反が散見されます。
  • 補助金事務: 補助金の過払いや、必要な変更申請の失念といった事案が発生しています。

課題

住民の課題

行政サービスの誤謬と質の低下
  • 内部統制の不備は、住民サービスに直接的な影響を及ぼします。文京区で発生した子ども医療証の誤送付事案では、3万人以上の住民が誤った証書を受け取り、区は再送付の対応に追われました。これは、住民に混乱と不安を与え、行政サービスの品質を著しく損なうものです。
個人情報漏洩によるプライバシー侵害リスク
  • 各区の報告書で頻発しているメールの誤送信や書類の紛失は、住民の機微な個人情報が意図せず外部に流出するリスクを常に内包しています。IPAが指摘する「不注意による情報漏えい」は、こうした日常業務の中に潜んでおり、住民のプライバシーを脅かす深刻な課題です。
    • 客観的根拠:
    • この課題が放置された場合の悪影響の推察:
      • 個人情報が不正利用される二次被害が発生し、区に対する損害賠償請求等に発展します。

地域社会の課題

行政への信頼の低下と協働関係の毀損
  • 事務処理ミスや職員の不祥事が続けば、たとえ個々の事案は小さくとも、積み重なることで行政全体への信頼が侵食されます。全国的に地方公務員の懲戒処分が増加傾向にあることも、この風潮を助長しかねません。失われた信頼は、防災やまちづくりなど、住民との協働が不可欠な政策を進める上での大きな障害となります。
サイバー攻撃による行政機能停止の脅威
  • ランサムウェア攻撃などを受け、基幹システムが停止した場合、税金の収納、各種手当の支給、証明書の発行といった区の基幹業務が全面的に麻痺する恐れがあります。これは単なる情報漏洩にとどまらず、住民生活と地域経済に甚大な混乱をもたらす、現実的な経営リスクです。

行政の課題

内部統制の「形骸化」リスク
デジタルリスクに対応する人材と専門性の不足
  • サイバー攻撃の手法は日々高度化・巧妙化しており、従来の行政職員の知識だけでは、サプライチェーン攻撃のような複雑なリスクを評価・対策することは困難です。専門知識を持つ人材の不足は、効果的なセキュリティ対策を講じる上での根本的な障壁となります。
縦割り組織によるリスク情報の分断
  • 多くの行政課題、特にサイバーリスクは、情報システム部門、個人情報所管部門、財政部門、各事業部門など、複数の部署にまたがります。従来の縦割り組織では、ある部署で把握されたリスク情報が全庁的に共有されず、組織全体としての最適な対応が遅れる可能性があります。
委託先管理の複雑化とサプライチェーンリスクの増大

行政の支援策と優先度の検討

優先順位の考え方

※各支援策の優先順位は、以下の要素を総合的に勘案し決定します。

即効性・波及効果
  • 施策の実施から効果発現までの期間が短く、単一の課題解決にとどまらず、組織全体の複数の課題解決や多くの住民への便益につながる施策を高く評価します。
実現可能性
  • 現在の法制度や予算、人員体制の中で、大幅な組織改編や条例改正を伴わずに着手できる、実現可能性の高い施策を優先します。
費用対効果
  • 投じる経営資源(予算・人員等)に対して、リスクの低減効果や業務効率化といったリターンが大きい施策を優先します。
公平性・持続可能性
  • 特定の部署や職員だけでなく、全庁的に効果が及び、かつ一過性で終わらずに継続的に組織文化として定着しうる施策を高く評価します。
客観的根拠の有無
  • 国のガイドラインや先進自治体の成功事例など、効果が実証されている、あるいはその蓋然性が高い客観的根拠に基づく施策を優先します。

支援策の全体像と優先順位

  • 特別区の内部統制・リスク管理を、事後対応型のコンプライアンス遵守から、未来を予測し備えるプロアクティブ(主体的・能動的)なリスクマネジメントへと転換させるため、以下の3つの支援策を一体的に推進することが不可欠です。
  • 中でも、被害の甚大さと脅威の進化の速さを鑑み、**優先度(高)**として「支援策②:デジタル・リスクへの適応力向上」に最優先で取り組みます。これは、行政機能の麻痺という最悪の事態を回避するための緊急課題です。
  • 次に、同じく**優先度(高)**として「支援策①:全庁的リスクマネジメント体制の強化」を位置づけます。これは、全ての活動の土台となる組織的な基盤を整備するものであり、デジタルリスク対策の実効性を担保するためにも不可欠です。
  • **優先度(中)**として「支援策③:リスク感応度の高い組織文化の醸成」を推進します。これは、制度や体制を魂入れし、持続可能なものにするための長期的な取り組みであり、上記2つの施策と並行して進めることで相乗効果が生まれます。

各支援策の詳細

支援策①:全庁的リスクマネジメント体制の強化

目的
  • 個別のインシデント発生後に対応する「もぐら叩き」型のリスク管理から、組織全体の重要リスクを予見し、未然に防止・軽減するプロアクティブな体制へと転換することを目指します。
  • 部署間の壁を越えてリスク情報を集約・評価し、組織横断的な対応を可能にする仕組みを構築します。
主な取組①:動的リスクマップの導入と活用
  • 各部署が洗い出したリスク(事務処理ミス、情報漏洩、ハラスメント等)を、「発生可能性」と「影響度」の2軸で評価し、全庁的な「リスクマップ」として可視化します。
  • このマップを、年に一度の静的な評価に留めず、四半期ごとに見直すことで、生成AIの不適切な利用や新たな法改正への対応の遅れといった、新しいリスクを迅速に特定し、対応の優先順位を動的に見直す管理ツールとして活用します。
主な取組②:区長直轄の「全庁リスク管理委員会」の設置
  • 副区長を委員長とし、各部局長等で構成される組織横断的な「全庁リスク管理委員会」を設置します。
  • 委員会は、動的リスクマップに基づき、全庁的に優先して対応すべき重要リスク(例:大規模災害時の業務継続、全庁的なシステム障害)を特定し、対応策の策定と進捗管理に責任を持ちます。
  • 特に、サイバー攻撃や大規模感染症など、複数の部局にまたがる複合的リスクを想定した対応シナリオの策定と、それに基づく図上訓練を主導します。
主な取組③:内部統制評価と監査委員監査の連携強化
  • 内部統制評価の過程で明らかになったリスクの高い業務領域や、不備が頻発している部署を、監査委員が実施する定期監査や行政監査の重点テーマとして情報提供し、より深度あるチェックを促します。
  • 逆に、監査委員監査で指摘された事項は、速やかにリスクマップにフィードバックし、個別の部署の改善に留めず、類似リスクが他部署にないかを確認する全庁的な改善プロセスへと繋げます。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 重大な不備及び懲戒処分に至る不祥事の発生件数:前年度比20%削減
      • データ取得方法: 内部統制評価報告書、懲戒処分公表資料の集計・分析
  • KSI(成功要因指標)
    • リスク評価に基づき改善された業務プロセス・マニュアルの割合:全リスク評価対象業務の50%以上
      • データ取得方法: 各部署からの改善状況報告の集計
  • KPI(重要業績評価指標)アウトカム指標
    • 監査委員からの指摘事項(是正・改善を求めるもの)の件数:前年度比10%削減
      • データ取得方法: 監査結果報告書の分析
  • KPI(重要業績評価指標)アウトプット指標
    • 全庁リスク管理委員会の開催回数:四半期に1回以上
    • リスクマップの更新回数:四半期に1回以上
      • データ取得方法: 委員会の議事録、リスクマップの更新履歴の確認

支援策②:デジタル・リスクへの適応力向上

目的
  • IPAが示す「ランサムウェア」や「サプライチェーン攻撃」といった重大なサイバー脅威に対する具体的な防御力と、万一インシデントが発生した際の迅速な復旧・対応能力を獲得します。
  • 外部委託先に起因するセキュリティリスクを適切に管理・統制する体制を構築し、サプライチェーン全体の安全性を高めます。
主な取組①:実践的なサイバーセキュリティ訓練の定期的実施
  • 全職員を対象とした標的型攻撃メール訓練を年2回以上実施します。その際、メールを開いてしまった「開封率」を問題視するのではなく、不審なメールを速やかに担当部署へ報告できたかという「報告率」を重要な指標とし、報告を奨励する文化を醸成します。
  • 情報システム、財政、危機管理等の関連部署を対象に、ランサムウェア感染によるシステム停止を想定した、より実践的なインシデント対応訓練(図上訓練)を年1回実施します。
主な取組②:委託先選定・管理におけるセキュリティ評価の義務化
  • ITシステム関連の新規・更新契約における仕様書や公募要領に、委託先が遵守すべきセキュリティ要件を明記します。
  • 委託先の選定時には、価格や技術力だけでなく、情報セキュリティマネジメントシステム(ISMS)認証の取得状況や、第三者による脆弱性診断の実施状況などを評価項目に加えます。
  • 契約書には、インシデント発生時の24時間以内の報告義務、区による立入検査権、損害賠償責任に関する条項を標準で盛り込み、サプライチェーンリスクを契約面からコントロールします。
主な取組③:ゼロトラスト・アーキテクチャへの段階的移行
  • 庁内と庁外を明確に分ける従来の「境界型防御」モデルの限界を認識し、「何も信頼しない(ゼロトラスト)」を前提としたセキュリティモデルへの移行を中長期計画として策定します。
  • 具体的には、庁内システムへのアクセスにおける多要素認証の原則義務化、職員の役職や業務内容に応じたアクセス権限の最小化、管理外端末(シャドーIT)からのアクセス遮断などを段階的に進めます。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • サイバー攻撃を原因とする個人情報漏洩及び業務停止インシデントの発生件数:ゼロ件
      • データ取得方法: セキュリティインシデント管理台帳による集計
  • KSI(成功要因指標)
    • 主要な情報システムにおける多要素認証の導入率:100%
      • データ取得方法: 情報システム部門によるシステム設定状況の確認
  • KPI(重要業績評価指標)アウトカム指標
    • 標的型メール訓練における不審メールの報告率:50%以上
      • データ取得方法: 訓練実施結果の集計・分析
  • KPI(重要業績評価指標)アウトプット指標
    • 全職員向けセキュリティ研修の実施回数:年2回以上
    • 主要な委託先に対するセキュリティ遵守状況の書面・実地調査件数:年5件以上
      • データ取得方法: 研修実施記録、調査報告書の確認

支援策③:リスク感応度の高い組織文化の醸成

目的
  • 内部統制を、一部の管理部門が担う「他人事」ではなく、全職員が日々の業務の中で主体的に実践する「自分事」として捉える組織文化を醸成します。
  • ミスや不備を隠蔽するのではなく、積極的に報告・共有し、組織全体の学びと改善に繋げることができる、心理的安全性の高い職場環境を構築します。
主な取組①:トップによる継続的なメッセージ発信
主な取組②:「ヒヤリ・ハット」事例の収集と共有制度の導入
  • 重大な事故や不祥事には至らなかったものの、「もう少しで個人情報を漏洩するところだった」「危うく契約手続きを忘れるところだった」といった「ヒヤリ・ハット」事例を、報告者に一切の不利益が及ばない形で、匿名で報告できる専用のウェブフォーム等を設置します。
  • 収集した事例は内部統制推進部門が分析し、個人を特定しない形で、具体的な状況と有効な再発防止策をセットにして「リスク情報ニュース」として定期的に庁内へ共有し、組織全体の学習教材として活用します。
主な取組③:事例ベースの実践的研修の実施
  • 自区や他の特別区で実際に発生した不備事例(文京区の医療証誤送付、北区の手当認定誤り等)を教材としたケーススタディ研修を、階層別研修などに組み込みます。
  • 「あなたならこの状況でどう判断し、どう行動するか」「このミスを防ぐために、自分の部署ではどのような対策が考えられるか」といった、当事者意識を喚起するグループワーク中心の研修を実施します。
KGI・KSI・KPI
  • KGI(最終目標指標)
    • 職員意識調査における「職場でミスや問題を報告しやすい」との肯定的な回答割合:80%以上
      • データ取得方法: 年1回実施する職員意識調査
  • KSI(成功要因指標)
    • 「ヒヤリ・ハット」報告件数:年間100件以上(報告しやすい文化が醸成されている指標として件数を重視)
      • データ取得方法: 専用報告システムの集計
  • KPI(重要業績評価指標)アウトカム指標
    • 同一または類似原因による事務処理ミスの再発率:前年度比30%削減
      • データ取得方法: 内部統制評価報告書及びインシデント報告の分析
  • KPI(重要業績評価指標)アウトプット指標
    • ケーススタディ研修の実施回数:全所属を対象に年1回以上
    • 区長等トップによるメッセージの発信回数:月1回以上
      • データ取得方法: 研修実施記録、庁内報等の確認

先進事例

東京都特別区の先進事例

文京区・北区「『重大な不備』の公表による透明性と改善サイクルの実践」

  • 令和5年度の内部統制評価において、文京区(子ども医療証の誤送付)と北区(障害福祉手当の認定誤り)は、自組織に「重大な不備」があったことを自主的に判断し、その内容と原因、是正策を明確に公表しました。
  • この取り組みは、問題を隠蔽せず、住民や議会に対して真摯に説明責任を果たし、組織的な改善につなげるという内部統制制度の本来の目的を実践するものです。不備を恐れずに正面から向き合うこの姿勢は、形骸化を防ぎ、制度を実効性あるものにする上で、他の特別区が倣うべき先進的な事例と言えます。

文京区「不備事例の詳細な分析と水平展開」

  • 文京区は、評価報告書の附属資料において、個人情報関連、契約関連、補助金関連など、年度内に発生した30件以上の不適切な事務処理事例について、その概要・原因と具体的な再発防止策を極めて詳細に記載しています。
  • このように個別のミスを徹底的に分析し、その教訓をマニュアル改訂や全庁的な研修、注意喚起通知の発出といった形で「水平展開」する取り組みは、一つの失敗を組織全体の貴重な資産に変える、優れたリスク管理のモデルです。

文京区「AIチャットボット導入による業務効率化と住民サービス向上」

  • 文京区は、区民から問い合わせの多い「ごみ分別」に関する案内業務にAIチャットボットを導入しました。
  • これにより、24時間365日、自動で問い合わせに対応することが可能となり、住民の利便性が向上すると同時に、職員はより複雑な問い合わせ対応に集中できるようになりました。内部統制の目的の一つである「業務の有効性及び効率性」を、デジタル技術を活用して実現した好事例です。

全国自治体の先進事例

静岡市「トップの関与と職員の意識改革を核とした文化醸成」

福岡市「データに基づく客観的なリスク評価プロセスの導入」

  • 福岡市は、内部統制の評価において、各所属がリスクを識別した後、「発生可能性」と「影響度」のマトリクスを用いて、その重要性を客観的に分析・評価するプロセスを導入しています。
  • このデータに基づいたアプローチにより、勘や経験といった主観に頼りがちなリスク管理から脱却し、限られた行政資源を、本当に対応が必要な重要リスクへ集中的に投下することが可能になります。これは、EBPM(証拠に基づく政策立案)の考え方をリスク管理に応用した先進的な手法です。

参考資料[エビデンス検索用]

総務省関連資料
独立行政法人情報処理推進機構(IPA)関連資料
東京都特別区関連資料
その他自治体関連資料
その他研究機関等資料

まとめ

 東京都特別区にとって、内部統制とリスク管理は、もはや守りの姿勢で行う管理業務ではなく、変化に対応し、信頼を勝ち得るための戦略的な経営ツールです。特に、脅威が深刻化するデジタルリスクへの適応は喫緊の課題であり、全庁的な体制強化と、職員一人ひとりのリスク意識を高める文化醸成を両輪で進める必要があります。
 本内容が皆様の政策立案等の一助となれば幸いです。
 引き続き、生成AIの動向も見ながら改善・更新して参ります。

ABOUT ME
行政情報ポータル
行政情報ポータル
あらゆる行政情報を分野別に構造化
行政情報ポータルは、「情報ストックの整理」「情報フローの整理」「実践的な情報発信」の3つのアクションにより、行政職員のロジック構築をサポートします。
関連記事
あわせて読みたい
記事URLをコピーしました