サイト内検索

地方公共団体の皆様へ
TKCグループ
TKC全国会のご紹介
株式会社TKCのご紹介
経営者の皆様へ
税理士・会計士の皆様へ
上場企業の皆様へ
法曹界・法科大学院の皆様へ
地方公共団体の皆様へ
English(TKC Group)

スマート行政DX推進を支援する

情報誌 「新風」(かぜ)

2025年4月号Vol.138

【トレンドビュー2】将来を見据えた自治体情報セキュリティー

合同会社KUコンサルティング 代表社員 髙橋邦夫

 2024年10月、総務省は23年度の検討課題を反映した『地方公共団体における情報セキュリティポリシーに関するガイドライン』の改定版を公表しました。例年よりも公表が遅くなったのは、通常国会へ提出された地方自治法改正法案に情報セキュリティーに関する内容が含まれていたからです。
 また、同年5月末には「国・地方ネットワークの将来像及び実現シナリオに関する検討会」の報告書が公表されました。その際、当時のデジタル大臣が記者会見で三層分離をやめると述べるなど、24年は情報セキュリティー対策の転換点となる年でした。

三層分離の背景と現状

 そもそも自治体における三層分離は、15年に発生した日本年金機構の情報漏えい事故を踏まえ、同年に始まったマイナンバー制度で新たに保有する特定個人情報の漏えいリスクを下げるため、インターネット上の脅威から個人情報を分離するという考えに基づく対策でした。自治体がネットワークを三層に分離したことで、これまでに個人情報がサイバー攻撃の被害に遭うといった事態は発生していません。
 一方で業務継続やクラウドサービスの活用、さらには自治体DX推進において、職員のテレワークをはじめとした新たな働き方が求められています。しかし、それを実現するには、ネットワークが分離されていることで、仮想化技術・専用線サービスといった多額のコストがかかる、柔軟な運用が行いにくい──などの弊害が出ています。
 ガイドラインでは20年の改定で、インターネット接続系で一定の業務が行えるβモデルを提示して、上記の課題への対応策を打ち出しました。しかし最新の調査では、βやモデルに移行した自治体は都道府県や政令市を合わせても122団体と1割にも満たない状況です。
 そこで今回の改定では『地方公共団体向けモデル移行に向けた手順書』を発行するなど、βモデルへの移行を推奨しつつも、LGWANに接続するネットワークからローカルブレイクアウトでインターネット上のクラウドサービスの利用を許可する新たなモデルを提示しました。
 これらから見えてくるのは、総務省においても、従来の三層分離では激しい社会変化や人口減少社会で顕在化する人手不足への対応が追い付かないという危機意識があるということです。
 行政運営において情報保護は欠かすことのできない重要事項ではありますが、一方で生成AIの出現など最新技術の活用は避けて通れない経営課題となっています。安全かつ効果的なAI活用の視点からも、情報セキュリティーは自治体の重点事項となるのです。

機密性分類の見直し

 今回のガイドライン改定では新モデルが注目されていますが、全ての自治体で検討すべきは機密性分類の見直しです。これまで機密性3であった秘匿性の高い情報が、自治体機密性3A・3B・3Cというように呼び名の変更とともに三つに分類されました。
 見直しのきっかけは、国とガイドラインとで分類に違いが生じているためです。背景として、個人情報が一律に最も秘匿性の高い情報とされたことで、クラウド利用やデータ共有、データ活用に支障を来していることがあると見ています。図表にあるように政府統一基準では個人情報が機密性2とされているのに対して、これまでのガイドラインでは機密性3として秘密文書と同等の扱いとなっていました。これが今回の改定によって、秘密文書は自治体機密性3Aとして国と同等の扱いとしつつも、個人情報を自治体機密性3B・3Cとして秘密文書よりも一段下げて扱うようになりました。
 これにより個人情報をクラウドで扱うことが問題なくなるとともに、自治体機密性3Cの個人情報はパブリッククラウドやモデルでのインターネット上での取り扱いが認められることとなります。ガイドラインでは自治体機密性3B・3Cの分類基準が掲示されましたが、最終的な判断は各団体が行うこととなります。この機会に、保有する個人情報をいま一度棚卸しして、データ活用を見据えたネットワーク構成を考えてみてはいかがでしょうか。

国と地方公共団体における機密性分類

◇   ◇   ◇

 検討会報告書は、LGWANの次期移行期となる30年をめどに国と地方とのネットワークを再構築して、ネットワーク基盤を共用化することで、国・地方の行政サービスを柔軟かつ安定的に提供可能にすると記しています。
 報告書では具体的な技術要素は挙げていません。一方で一人一台パソコン、USBメモリ不可、テレワークといった職員の働き方やそれを実現・持続する人材育成について触れています。
 30年まであと5年。ネットワーク機器の入れ替えやパソコンの更新など、次の情報セキュリティー見直しの際には、検討会報告書を念頭に置いて、自分たちがどのように働きたいのか、どうすればAIなどを利用した行政サービスを安全に導入できるのか──を検討いただきたいと思います。

たかはし・くにお/元豊島区CISO。現在、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」など各種研究会メンバーを務める

*本内容は、『地方公共団体における情報セキュリティポリシーに関するガイドライン』(2024年10月2日公表)に基づきます。

掲載:『新風』2025年4月号

導入システム

情報誌「新風」トップはこちら