地方公共団体に必要な情報セキュリティポリシーとは

2023年11月28日 www.soliton.co.jp より移設

「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、地方公共団体（都道府県・市区町村等）が、サイバー攻撃や内部不正のリスクに備えながら、住民サービスを止めずに行政運営を継続するための実務的な指針です。ここでは、ガイドラインの位置づけ・背景と、実装すべき対策を「物理・人的・技術」の3区分で整理して解説します。

地方公共団体における情報セキュリティポリシーに関するガイドラインとは

ガイドラインの概要

本ガイドラインは、地方公共団体が保有する情報資産（個人情報、行政情報、システム設定、ネットワーク構成等）を適切に保護するために、組織として定めるべき方針（ポリシー）と、運用・技術面で実施すべき対策を体系化したものです。

重要なのは、文書を整備して終わりにしないことです。業務やシステムの変化、脅威の変化に合わせて、Plan（策定）→Do（運用）→Check（評価）→Action（見直し）のPDCAを回し、継続的にセキュリティ水準を引き上げていくことが前提となります。

ガイドライン策定・改定の背景

自治体の情報システムは、住民情報・税・福祉など重要情報を幅広く扱い、停止や漏えいが社会的影響に直結します。一方で、クラウド利用の拡大、業務委託・共同利用の増加、テレワーク等の普及により、アクセス経路と運用の複雑性が増しています。こうした環境変化を踏まえ、ガイドラインは改定が続いており、最新の前提に沿って対策を見直すことが重要です。

また、自治体の情報セキュリティは国の法令・制度、各自治体の条例・規程、個人情報保護制度、委託契約等とも密接に関係します。ガイドラインは「正解のひな型」ではなく、自治体ごとの業務・体制・リスクに合わせて具体化するための基準として活用するのが現実的です。

ガイドラインで求められている情報セキュリティ対策

ガイドラインの考え方は多岐にわたりますが、現場で実装しやすい整理として、対策は大きく物理的・人的・技術的の3区分で捉えるとスムーズです。

物理的セキュリティ

物理的セキュリティは、サーバや端末、媒体、入退室など「物理的に触れられるもの」を保護する対策です。サイバー対策が注目されがちですが、物理対策の穴はそのまま重大インシデントにつながります。

機器・媒体の管理

• サーバ・ネットワーク機器は、災害対策（耐震・温度・粉塵等）を考慮した設置と、簡単に持ち出せない固定を行う
• 故障機器を外部修理に出す場合は、原則として記憶装置のデータ消去（消去困難時は契約・手続を含めた厳格運用）を徹底する
• 廃棄・リース返却時は、復元不可能な方法でデータ消去（物理破壊・専用消去等）を実施する

入退室・持出の統制

• 情報システム室や重要区域は、入退室権限を最小化し、ICカード等で記録・監査可能な形にする
• USBメモリ等の可搬媒体や持出端末は、利用可否・申請手続・記録保管を制度化する

人的セキュリティ

人的セキュリティは「人が原因で起きる事故・不正」を減らす対策です。攻撃者は技術だけでなく、手続の隙や心理の隙も突いてきます。正規職員だけでなく、非常勤・臨時職員、委託先も含めた運用設計が重要です。

ルールの明確化と教育

• 情報資産の取扱い（閲覧・持出・共有・廃棄）、端末利用（私物利用、設定変更、ソフト導入等）を具体的に定め、周知する
• 毎年の研修・訓練を「実施した」ではなく、「現場で判断できる」レベルまで落とし込む（標的型メール、持出、インシデント初動など）

権限と責任の設計

• 管理者権限は最小限にし、付与・変更・棚卸しの手続きを固定化する
• 委託業務がある場合は、委託先の作業範囲・責任分界・ログ取得・緊急時連絡を明確にする

技術的セキュリティ

技術的セキュリティは、アクセス制御、ログ、ネットワーク分離、端末防御など「仕組み」で守る対策です。ポイントは、単体製品の導入ではなく、運用（監視・更新・復旧）まで含めて機能する設計にすることです。

基本となる技術対策

• アクセス制御（ID管理、多要素認証、特権ID管理、端末認証等）
• ログの取得・保全（認証、端末、サーバ、ネットワーク、クラウド利用を含む）
• 脆弱性・更新管理（OS・ミドル・アプリの更新を前提にした運用）
• マルウェア対策（端末保護、EDR等を含む検知・対応）
• バックアップと復旧（暗号化被害を前提に、復旧できる設計と訓練）

ネットワーク分離とクラウド利用の現実対応

自治体では、業務特性とリスクを踏まえたネットワーク分離（いわゆる三層分離の考え方）が実務で重要になります。一方で、クラウド利用の拡大に伴い「分離したまま便利に使う」ための設計も同時に求められます。

そのため、クラウド接続の経路、認証強化、端末対策、ログの一元化、委託先管理などを組み合わせ、利便性と安全性の両立を狙うのが現実的です。ガイドラインは、この「守り方の前提（モデル）」を提示し、自治体が自団体の事情に合わせて具体化できるようにしています。

運用で差がつくポイント

• 「棚卸し」：資産（端末・アカウント・クラウド利用・委託）を把握できないと、対策は形だけになります
• 「記録」：ログや手続記録が残らないと、事故時に原因究明も再発防止もできません
• 「初動」：感染・不正アクセスは起き得る前提で、停止・遮断・連絡・復旧の動きを訓練しておくことが重要です

FAQ（よくある質問）

Q. ガイドラインは自治体すべてが対象ですか？

A. はい。都道府県・市区町村等の地方公共団体が、情報資産を扱う業務とシステムを安全に運用するための基準として位置づけられます。規模により体制や実装方法は異なりますが、考え方は共通です。

Q. ガイドラインを整備すれば「対策完了」と見なせますか？

A. いいえ。文書整備はスタートです。運用（教育・監査・棚卸し・ログ確認・インシデント訓練）まで回して初めて実効性が出ます。

Q. 物理的セキュリティは、サイバー対策より優先度が低いですか？

A. 低くありません。端末・媒体の紛失や、機器廃棄時のデータ残存は重大事故の典型です。サイバー対策と同じレベルで運用設計が必要です。

Q. 非常勤職員や委託先も、同じ教育が必要ですか？

A. はい。実務上、情報に触れる可能性があるなら対象に含めるべきです。業務範囲に合わせて、守るべきルールと連絡手順を明確にし、理解を揃えることが重要です。

Q. 持ち出し端末をゼロにできません。どう考えるべきですか？

A. 「禁止」だけでは回らないため、対象端末の限定、暗号化、認証強化、持出申請・記録、遠隔ロック等を組み合わせ、事故前提で被害を小さくする設計が現実的です。

Q. 技術対策のうち、最初に着手すべきものは何ですか？

A. 優先順位は自治体の状況によりますが、一般に「ID/権限の統制」「更新・脆弱性管理」「ログ取得と保全」「バックアップと復旧」の4つは土台になりやすいです。

Q. 三層分離の運用と、クラウド活用は両立できますか？

A. 両立は可能ですが、経路設計と認証・端末・ログの組み合わせが重要です。「分離しているから安全」ではなく、クラウド接続の設計次第でリスクは増減します。

Q. インシデントが起きたとき、現場がまずやるべきことは？

A. 典型的には、拡大防止（切り離し・遮断）、報告（定めた窓口へ迅速に連絡）、証跡保全（ログ・端末状態の保持）が重要です。手順を平時から訓練しておくと初動が安定します。

Q. 委託が多い自治体で、最低限押さえるべき点は？

A. 作業範囲・責任分界、アカウントと権限の管理、ログ取得、緊急時連絡、再委託の扱い、返却・廃棄（データ消去）までを契約と運用手順に落とし込むことが重要です。

Q. PDCAの「Check」で、何を確認すべきですか？

A. ルール逸脱の有無、権限の棚卸し、更新・バックアップの実施状況、ログの確認状況、訓練結果（初動の遅れ・連絡ミス）など、「運用が回っているか」を定点で確認します。