総務省は2020年12月、自治体の情報セキュリティ対策に関するガイドラインを改定した。公共分野でもDXの必要性が強く指摘される中、業務の効率性や利便性を高めることを意図して、いわゆる「三層の対策」をアップデートした形だ。ガイドラインの改定を受け、地方自治体はどう動くのか。
(取材・文/本多和幸)
 

改定版ガイドラインのポイント
業務効率向上やクラウド活用を前提に

19年に始まった
「三層の対策」の見直し


 まずは昨年大きく動いた自治体の情報セキュリティ対策に関する総務省の施策を振り返ってみよう。

 総務省は2019年から、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長=佐々木良一・東京電機大学総合研究所特命教授)を設置して自治体の情報セキュリティ対策の見直しに関する議論を進めてきた。昨年5月に発表した「自治体情報セキュリティ対策の見直しについて」というドキュメントでは、一連の議論を取りまとめ、具体的にどのような施策に落とし込んでいくべきかという方向性を示した。

 15年6月に日本年金機構が公表した情報流出事件を大きなきっかけとして、総務省は自治体の情報セキュリティ対策を抜本的に強化すべく、各自治体に「自治体情報システム強靭性向上モデル」への対応を促した。このモデルで示されたのがいわゆる「三層の対策」だ。住民の個人情報を取り扱う情報システムである「マイナンバー利用事務系」、LGWANに接続された業務システムなどを利用する「LGWAN接続系」、インターネットに接続されホームページ管理や外部とのメールのやり取りなどで活用する「インターネット接続系」という三種類の情報システムのネットワークを分離して、セキュリティ強度を向上させたうえで運用するという考え方だ。17年夏には全国の自治体で対応を完了し、「インシデント数の大幅な減少を実現した」(総務省)という成果を得た。

 一方で、セキュリティ強度は向上したものの、三層の対策により自治体業務の効率が低下したという指摘も聞かれるようになった。さらに、政府が18年に示した「クラウド・バイ・デフォルト」(クラウドサービスの利用を情報システム調達における基本方針にする)原則に象徴されるように、クラウドサービスの積極的な活用が促されるようになっている。行政手続きの電子化や自治体業務におけるテレワークへの対応の必要性も時代の要請と言える。これらの課題に対応できる形で三層の対策をアップデートするというのが検討会の議論の主なテーマであり、01年の策定以来改定を重ねてきた「地方公共団体における情報セキュリティポリシーに関するガイドライン」(以下、ガイドライン)にその議論の成果を反映させることを前提としていた。

新たなモデルは2種類に細分化

 昨年5月のとりまとめでは、まずマイナンバー利用事務系について、十分にセキュリティが確保されていると国が認めた特定通信(「eLTAX」やマイナポータルから利用できる「ぴったりサービス」)に限って、LGWAN-ASP※などからデータの取り込みなどができるようにすべきだと指摘した。