全国の自治体では、行政インフラ・サービスの提供に伴って、住民の様々な個人情報を取り扱うことになります。
その中の1つに、住民の利便性向上を実現するための社会基盤である「マイナンバー」がありますが、マイナンバーを取り扱ううえでは、自治体の強固な情報セキュリティ対策が不可欠と言えるでしょう。
この記事では、地方自治体が抱える情報セキュリティ対策への課題と、政府が発表したセキュリティ対策の見直しのポイントについて解説していきます。
地方自治体が抱える従来の情報セキュリティ対策への課題
マイナンバー制度は2018年に施行された制度で、国民一人一人に割り当てられた番号(マイナンバー)の活用により、行政サービスの利用手続きの簡素化を実現した仕組みのことです。
マイナンバー制度の導入によって、国民や自治体にとっての利便性向上が期待されますが、一方で自治体における情報セキュリティ対策への課題も少なくありません。
実際に自治体を狙ったサイバー攻撃も起きており、中でも2015年に発生した日本年金機構の個人情報流出事件は情報セキュリティ対策を見直すきっかけの1つになったと言えます。
125万件もの個人情報が流出することとなったこの事件では、個人番号を共有ファイルサーバに置き、インターネット接続環境下で取り扱うことを許していたことが流出につながった原因だと判明しました。
そこで総務省は、2015年12月に「新たな自治体情報セキュリティ対策の抜本的強化について」という通知を出し、自治体における情報セキュリティ対策を大幅に見直すことを発表したのです。その後も、セキュリティを考慮しつつ、自治体が円滑に業務を遂行できる仕組みをつくるため、様々な施策が行われてきました。
次章では、自治体情報セキュリティ対策がどのように見直されたのか、具体的な施策について解説していきます。
自治体情報セキュリティ対策の見直しのポイント
自治体の情報セキュリティ対策を見直すために2019年度に設置された「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」では、主に以下の5つの施策について見直しが行われました。
「三層の対策(三層分離)」の見直し|αモデルとβモデル
三層の対策とは、ネットワークをマイナンバー系、LGWAN接続系、インターネット接続系の三層に分離することで、セキュリティの強化を図る施策のことです。
従来は、この対策に基づき、PC端末をLGWAN接続系とインターネット接続系のそれぞれのネットワークに配置するか、もしくはLGWAN接続系をベースとして必要時にインターネット接続系へ無害化通信を行う方式をとる必要がありました。(αモデル)
この方法でインシデント数の大幅な減少を実現することができたものの、一方で業務効率の低下といった課題も生まれ、更なる見直しが必要と判断されたのです。
こうした見直しで提示された新モデル(βモデル)では、PC端末や業務システムの一部をLGWAN接続系からインターネット接続系に移行する仕組みが採用されています。
業務システムの一部でインターネット接続が可能となることで、業務効率の向上などが見込まれます。
業務の効率化・利便性向上策
「三層の対策」のβモデルを導入するにあたって検討されている取り組みは主に以下の3点です。
- 自治体の内部環境からのパブリッククラウドへの接続
- 自治体の内部環境へのリモートアクセス
- 庁内無線LANの利用に関するセキュリティ要件の整理
パブリッククラウド(リソース共有・シェア型のクラウド環境)は住民の利便性向上や職員の負担軽減などに繋がるシステムですが、自治体で利用するにあたっては懸念の声も少なくありませんでした。
また、自治体においては、働き方改革や業務継続の観点から、テレワーク等のリモートアクセスに対するニーズも高まっています。
そのため、パブリッククラウドへの接続やリモートアクセスについて、安全に実施するための方法を検討・整理する動きが進められています。
次期「自治体情報セキュリティクラウド」のあり方
「自治体情報セキュリティクラウド」とは、これまで自治体ごとにバラバラで運用されてきたインターネット接続やセキュリティ対策などを都道府県単位で集約させたものです。
都道府県が主体となってセキュリティクラウドを構築することで、不正アクセスや通信の監視、またログの分析・解析といった高度なセキュリティ対策を一元管理でき、セキュリティレベルの平準化に繋がっています。
そして次期自治体情報セキュリティクラウドでは、「国が標準要件として、最低限満たすべき事項(必須要件)及び各都道府県の要求水準に応じて導入を検討する事項(オプション要件)を提示し、民間ベンダにクラウドサービスの開発・提供を依頼することにより、セキュリティ水準の確保とコストの抑制を図ること」となっています。
都道府県が主体となってクラウドサービスを運用し、市区町村のセキュリティ対策を支援するという形態を維持しつつ、標準要件については国が提示することとなりました。
昨今の重大インシデントを踏まえた対策の強化
2019年、リース契約の満了時に返却したハードディスクが盗難に遭い、中の情報が流出してしまうという重大インシデント(事故)が発生しました。
これを受け、当面は重要な情報を含む装置について、物理的な破壊・磁気的な破壊の実施及び職員の立ち合いによる確実な履行の担保が要請されています。
各自治体の情報セキュリティ体制・インシデント即応体制の強化
情報セキュリティ体制やインシデント即応体制の強化に向けて、総務省および地方公共団体情報システム機構では以下の取り組みが検討されています。
- 実践的サイバー防御演習(CYDER)の確実な受講
- インシデント対応チーム(CSIRT)の設置及び役割の明確化推進
- 演習等を通じたサイバー攻撃情報やインシデント等への対策情報の共有の推進
- 啓発・訓練を通じた各自治体の職員のセキュリティ・リテラシーの向上
まとめ
マイナンバー制度の施行によって行政インフラ・サービス利用における利便性・効率性が高まった一方で、情報セキュリティ対策の強化に対しては課題も残されています。
今後は個人や企業だけでなく自治体もサイバー攻撃の対象になり得ることを理解し、インシデントを未然に防ぐための施策や有事を想定した復元対策などを進めていくことが重要となるでしょう。
【関連記事】合わせて読みたい
※記載されている会社名および製品名は、各社の商標または登録商標です。
SymphonictとはNECネッツエスアイが提供する、「共創でお客様のビジネスに新たな価値を提供する」をコンセプトに先端技術やサービスを繋ぎ・束ねることでIT・デジタル変革技術やツール・システムを皆様にお届けするデジタルトランスフォーメーション(DX)サービス。→Symphonictに関してはこちら
※免責事項
本コンテンツは一般的な情報の提供を目的としており、法律的、税務的その他の具体的なアドバイスをするものではありません。個別具体的事案については、必ず弁護士、税理士等の専門家にご相談ください。
本コンテンツの情報は、その情報またはリンク先の情報の正確性、有効性、安全性、合目的性等を
補償したものではありません。
また、本コンテンツの記載内容は、予告なしに変更することがあります。
『自治体DX』の重点取組項目⑤ テレワークの推進はお任せください
