無料ではじめるサーバー管理 > ブログ > セキュリティ, 地方公共団体, 情報セキュリティ > 地方公共団体における情報セキュリティの考え方と必要性は？

地方公共団体における情報セキュリティの考え方と必要性は？

最終更新日：2023/01/19

こんにちは。「クロジカサーバー管理」コンサルティングチームの三谷です。

総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、国としてセキュリティに対する取り組みの指針や目標になり、サイバー攻撃などセキュリティ対策に役立つ指針とされています。今回は、地方公共団体における情報セキュリティの考え方や必要性について触れていきます。

地方公共団体における情報セキュリティの考え方
情報セキュリティポリシーの必要性と構成
さいごに

地方公共団体における情報セキュリティの考え方

地方公共団体は、法令に基づいて住民の個人情報や企業の経営重要情報を多数保有するとともに、代替することができない行政サービスを提供しています。また、地方公共団体の業務の多くが情報システムやネットワークに依存していることから、住民生活や地域の社会経済活動を保護するため、地方公共団体は、情報セキュリティ対策を講じて、その保有する情報を守り、業務を継続することが必要となっています。

今後、各種手続のオンライン利用の本格化や情報システムの高度化など、電子自治体が進展することにより、情報システムの停止が発生した場合、広範囲の業務が継続できなくなり、住民生活や地域の経済社会活動に重大な支障が生じる可能性も高まります。地方公共団体は LGWAN のネットワークにより相互に接続しており、一部の団体で発生した IT 障害がネットワークを介して他の団体に連鎖的に拡大する可能性は否定できません。

これらの事情から、全ての地方公共団体において、情報セキュリティ対策の実効性を高めるとともに対策レベルを強化していくことが必要となっています。

情報セキュリティの確保に絶対安全ということがないことから、情報セキュリティに関する障害・事故及びシステム上の欠陥の未然防止のみではなく、情報セキュリティインシデントが発生した場合の拡大防止・迅速な復旧や再発防止の対策を講じていくことが必要です。なお、情報セキュリティ対策は、個人情報保護対策と内容的に重なる部分も多く、自然災害時や大規模・広範囲にわたる疾病における対応という意味では防災対策とも重なります。情報セキュリティを対策する部署とこれらを担当する部署は、相互に連携をとって、それぞれの対策に取り組むことが求められます。

情報セキュリティポリシーの必要性と構成

地方公共団体においては、情報セキュリティ対策を徹底するには、対策を組織的に統一して推進することが必要であり、そのためには組織として意思統一し、明文化された文書として、情報セキュリティポリシーを定めなければいけません。

行政手続における情報通信の技術の利用に関する法律第 9 条第 1 項は、「地方公共団体は、地方公共団体にかかわる申請、届出その他の手続における情報通信の技術の利用の促進を図るため、この法律の趣旨に沿って、手続にかかわる情報システムの整備及び条例又は規則に基づいた手続について必要な措置を講ずること」に努めなければならないと規定しています。条例に基づいた手続については、同法第 8 条第 2 項（安全性及び信頼性の確保）の趣旨に沿って、地方公共団体は情報セキュリティポリシーの策定や見直しを行うことが求められています。

さらに、「サイバーセキュリティ基本法」第 5 条では、地方公共団体においてサイバーセキュリティに関する自主的な施策の策定と実施が責務規定として法定化されました。これにより、情報セキュリティポリシーの未策定団体においては策定が必須となり、策定済み団体においても、適時適正な見直しとそれを遵守することが重要となっています。番号制度の最新の制度にかかわるセキュリティ対策、例えば、情報提供ネットワークシステムの技術的基準、「特定個人情報の適正な取扱いに関するガイドライン」が示す安全管理措置についても遵守しなければいけません。

情報セキュリティポリシーの体系は、図表 2 に示す階層構造となっています。各地方公共団体の情報セキュリティ対策における基本的な考え方を定めるものが、「基本方針」です。この基本方針に基づき、全ての情報システムに共通の情報セキュリティ対策の基準を定めるのが「対策基準」になります。この「基本方針」と「対策基準」を総称して「情報セキュリティポリシー」いいます。

※「対策基準」を、具体的なシステムや手順、手続に展開して個別の実施事項を定めるものが「実施手順」です。

このように、情報セキュリティポリシーは、情報セキュリティ対策の頂点に位置するものとなり、地方公共団体の長をはじめ、全ての職員等及び外部委託事業者は、業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負います。

さいごに

地方公共団体における情報セキュリティの考え方と必要性について触れてきました。今後、全ての地方公共団体において、情報セキュリティ対策の実効性を高めながら対策レベルを強化していくことが必要とされています。

地方公共団体では、重要情報を多数保有するとともに、代替がきかない行政サービスを提供しています。また、業務の多くが情報システムやネットワークに依存していることから、住民生活や地域の社会経済活動を保護視点から、情報セキュリティ対策の強化が進んでいく見通しです。本稿が検討や見直しのきっかけになれば幸いです。