ガイドライン改訂で期待される、地方公共団体の業務効率向上とセキュリティの両立方法

　「働き方改革」は、長時間労働の是正や柔軟な働き方がしやすい環境の整備をして、労働力不足を解消し経済発展を実現するために始まりました。民間企業では、クラウド利活用による業務効率化、テレワークやスーパーフレックスタイム、副業といった制度を導入するようになっています。

　地方公共団体も例外ではなく、働き方改革の推進が求められています。その鍵となるクラウドサービスの利活用ですが、ネットワーク環境が障壁になるケースが多くあります。

　地方公共団体では、一般のインターネット経由ではアクセスできない閉域網の「LGWAN」という総合行政ネットワークが使用されています。多くの地方公共団体はこのLGWANにつながる庁内のネットワークで業務を行っており、インターネットから分離した「αモデル」と呼ばれる環境下で個人情報等の情報漏洩リスクを最小限に抑えてきました。

　一方で課題となっていたのが、インターネットから分離されている環境であるがゆえ、外部のクラウドサービスにアクセスできない点です。そのため職員は業務でクラウドサービスを活用することが難しく、働き方を大きく変えることは叶いませんでした。そこでクラウドサービスへのアクセスをスムーズにするネットワーク構成「βモデル」「β’モデル」に加え、新たに検討されているのが「α’モデル」です。

　α’モデルは、従来のシステム環境（αモデル）を維持しながら、庁内のLGWAN接続環境からクラウドサービスに直接アクセスする専用の通信経路を設けるもの。βモデル・β’モデルは、より強固なセキュリティ対策を条件に、業務を行う環境を庁内のLGWAN接続環境からインターネット接続環境に移行するもので、これらが普及することによりクラウドサービスの利活用が大きく前進すると期待されています。

　一方、地方公共団体でクラウドの利活用が進むことにより、新たなセキュリティリスクをもたらす可能性も出てきます。

　総務省は、地方公共団体による情報セキュリティ対策を支援する「地方公共団体における情報セキュリティポリシーに関するガイドライン」を平成13年に策定しました。ガイドラインには情報セキュリティ対策の指針が記載され、政府機関等における動向や地方公共団体におけるデジタル化の動向等を踏まえながら定期的に改定されています。直近では、令和6年3月にガイドライン改定に向けた中間報告が公開され、クラウドサービスを利用する際の具体的な情報セキュリティ対策の内容が公表されました。

　中間報告では、クラウドサービスへの接続回線や利用するクラウドサービスの範囲に応じたセキュリティ対策等様々な指針が示されていますが、その中でも注目したいのがα’モデルの環境下で使用するクラウドサービスの選定基準です。中間報告では、地方公共団体の利用するクラウドサービスは「ISMAP」に登録されているものを選定することが利用条件とされました。

　ISMAPとは、クラウドサービスのセキュリティ水準を評価し、円滑に導入できるようにすることを目的として作られた評価制度です。ISMAPを運営する「ISMAP運営委員会」は、総務省、経済産業省、内閣サイバーセキュリティセンター、デジタル庁で構成されています。

　クラウドサービスがISMAPに登録されるためには、ガバナンス基準・マネジメント基準・管理策基準の3つの基準を満たす必要があり、登録時は情報セキュリティ対策に関する厳格な監査を受けます。地方公共団体側ではクラウドサービスのセキュリティ対策度合を判断することは難しいため、ISMAPを活用した方策が導入されたのです。

　βモデル・β’モデルは、クラウドサービスの有効活用がより期待できるものの導入は進んでいません。既存モデルからの移行をするためにはシステム構成を大きく変更する必要があり移行コストが高いためです。αモデルからα’モデルへの移行も簡単ではなく、多数の地方公共団体がαモデルのまま業務を続けているのが実情です。

　このような状況の中、デジタル庁では、各種手続のオンライン利用の本格化や情報システムの高度化等がさらに進むことを踏まえ、国・地方公共団体のネットワークの抜本的な見直しを志向しているところです。それを念頭に置き、中間報告では、ISMAPの活用に加え、現モデルの中で最も利便性の高いβ’モデルへの移行の推奨や、現実解としてα’モデルへの移行を提示しています。

　地方公共団体のネットワーク環境の改善は、職員の働き方改革を押し進めるにとどまらず、住民サービスの可能性を広げたり、災害時に求められる迅速な対応を実現したりするなどのメリットがあります。クラウドサービスの利用と拡大に向けたセキュリティ対策や制度の改定は、今後も定期的な確認と対応が欠かせないでしょう。