行政業務のオンライン化を中心とした自治体DXが進むにつれ、地方公共団体や市区町村ではより厳格な情報セキュリティ対策が必要となっています。しかし、サイバー攻撃による情報流出やシステム障害、ヒューマンエラーによる重要情報を含んだデバイスの紛失・盗難といった事故は後を絶ちません。今後自治体DXを促進させていくうえでも、未知の脅威への備えや、人的事故を未然に防ぐべく、効果的な対策を講じる必要があります。本記事では、自治体における情報セキュリティ対策の現状と課題、対応策などを解説します。
自治体に欠かせない2つの施策
自治体の情報セキュリティ対策を考えるうえで、欠かすことのできない施策はおもに2点あります。
まず1点は、自治体業務を行う上で必須となる「三層の対策」です。三層の対策とは、住民情報や職員の給与情報など、取り扱う情報の機密性に応じ、ネットワーク領域を分離、あるいは無害化通信を行うなどといった、情報セキュリティ対策を強化する施策を示します。
総務省の指導のもと、各自治体は2017年に三層の対策の対応が完了しましたが、データの取り込みやインターネットメールの添付ファイル取得などで業務効率が低下するなど新たな課題が発生しました。加えて、DXの促進やリモートワークの普及といった流れもあり、業務ごとのネットワーク領域や情報セキュリティ要件などの見直しが必要となったのです。結果、2021年に安全性と業務効率化を両立したβ´(ベータダッシュ)モデルと呼ばれる新たな三層の対策が提示されています。
そしてもう1点が、三層の対策をもとに構築されたネットワークを保護するために運用されているのが「自治体情報セキュリティクラウド」です。総務省が定める機能要件を満たしたセキュリティクラウドを都道府県ごとに構築し、各市区町村と共同利用することで、情報セキュリティ対策が確保・維持されています。
【自治体向け】ミライeマチ.com
地域のミライを皆さまと一緒に支えていきたい。NTT東日本は、公共・自治体のお客さまとともに、地域課題の解決を通じて、まちづくりのコーディネイトと地域活性化を支援いたします。
規則整備だけでは不十分、研修・監査・評価体制にも注目を
三層の対策や自治体セキュリティクラウドの運用など、抜本的な対策を施したことにより、自治体における情報セキュリティ事故は減少しました。しかし、現在でもランサムウエアの攻撃により公共施設のシステム障害が発生したり、住民情報が保存された外部メモリを紛失するなど、根絶には至っていません。
今後も自治体DXが進む中で、どのような課題を改善すると信頼性の高い情報セキュリティ対策を構築できるのでしょうか。総務省が行った情報セキュリティ対策の実施状況調査から、特にポイントが低かった対策項目などに着目し、効果的と思われる対策について説明します。
緊急時対応訓練
情報セキュリティ対策の研修自体は、90%以上の都道府県・市区町村が行っていると回答しています。しかし、緊急時対応訓練を実施している市区町村は50%を切っている状況です。より緊急時の状況に即した訓練を行い、実際に事故が発生した場合の対処方法をブラッシュアップすることが必要です。
研修だけでなく、緊急時対策訓練のプログラムや標的型メール訓練など、事故の起こりやすい状況を想定して訓練を行うソリューションも登場しています。こうしたソリューションの活用により、組織として体制を整理できるだけでなく、職員のICTリテラシー向上も期待できます。
委託事業者への指導・監査
システムを調達した後は、委託事業者の保守点検体制などにも注目しましょう。契約書上の記載や情報セキュリティポリシーによる対策は十分に行われていますが、その後の運用に関する管理を実施している自治体の割合は、都道府県・市区町村ともに低い現状にあります。直近では、委託事業者による住民情報の紛失事故が発生していることから、運用時の管理についても徹底することも求められています。
委託事業者とのトラブルで話題になっているのが、住民票の誤発行で個人情報が漏えいするといった、マイナンバーカード関連のシステム障害です。障害の原因が委託事業者にあったとしても、個人情報の漏えいといった事故がひとたび起これば、市民の不信感に直結します。こうしたトラブルを招かないためにも、官民一体となってシステム構築に関わり、運用後も密に連携を図っていくことが必要不可欠です。
情報セキュリティ対策の監査・評価体制
サイバー攻撃に対応できるよう、一度定めた対策が十分に実施されているか、情報セキュリティソフトなどのアプリケーションは最新の状態であるかなど、情報セキュリティ体制の定期的なチェックを行うことも重要です。しかし、市区町村における監査実施状況は、軒並み低い水準となっています。技術的な脆弱性の点検などが適切に行われないことで、セキュリティ事故につながる恐れがあります。
実際の事例として、兵庫県では、三層の対策におけるβ´モデルに移行した段階で、ICT企業の専門人材を含めた監査を実施しています。内部人材による監査だけでなく、外部人材による客観的な視点を取り入れ、具体的な指摘事項や改善策を確立することは、強固な情報セキュリティ体制を構築するためのカギといえます。
事業者による総合的な情報セキュリティサービスの導入も視野に
個人の過失による不測の事態に備える場合、システム面からもカバーしていくと効果的です。民間事業者が展開する情報セキュリティサービスの中には、クラウド活用により業務端末の保護をする機能も備えており、万一端末を紛失しても遠隔ロックをするといった対策も可能です。
進化するICT技術に即応可能な情報セキュリティ対策が急務に
これからの自治体業務は、生成AIのような新たなICTの活用も増えていくことが見込まれます。こうした技術を有効活用できる環境を整えることで、職員の負担軽減を図るだけでなく、市民生活の利便向上にもつながるものと考えます。
ICT技術を自治体業務に活かすには、職員が安全に利用できるための環境構築は必要不可欠です。ハード面、ソフト面の整備はもちろんのこと、いま運用している情報セキュリティ対策の定期的な見直しと更新を行うことが、新たな課題への備えになっていくことでしょう。
自治体DXの導入事例資料をまとめてダウンロード
自治体DXの推進には、先行している自治体の事例が参考になります。ここでご紹介するのは、自治体のDX事例資料をおまとめしたセットです。何を導入し、業務がどの程度効率化できたのか、ぜひご自分の目で確かめてみてください。
【業種別ソリューション】公共・自治体 自治体DX
連載記事一覧
- 第1回 DX推進から窓口業務まで、自治体の業務アウトソーシング事例2022.03.31 (Thu)
- 第2回 国や自治体のコスト削減のカギを握る「民間委託」 2022.03.31 (Thu)
- 第3回 自治体DX加速を導くローコード・ノーコードの可能性2023.06.14 (Wed)
- 第4回 東京都は約400億円!環境政策の財源確保に「グリーンボンド」を導入する自治体多数2023.06.14 (Wed)
- 第5回 過半数が「訓練未実施」。自治体の情報セキュリティ対策2023.06.20 (Tue)
- 第6回 移住定住希望者に最適な情報を発信。自治体のDX活用事例2023.06.20 (Tue)
- 第7回 なぜ人口2万人の市がスマートシティ化しているのか2023.11.22 (Wed)
