サイバーセキュリティ基本法

自治体の情報セキュリティ対策は何を根拠に求められ、国とどう役割を分担するのか。その制度の背骨となるのがサイバーセキュリティ基本法である。同法はサイバーセキュリティを国の安全保障・危機管理に関わる課題と位置づけ、基本理念を掲げたうえで、国・地方公共団体・重要社会基盤事業者などの責務を定める。地方公共団体については、自主的な施策を策定・実施する責務と、国と役割を分担しながら連携することが規定されている。同法に基づきサイバーセキュリティ戦略本部が内閣に置かれ、その事務局として内閣サイバーセキュリティセンター（NISC）が設けられた。自治体の情報セキュリティポリシーや三層の対策も、この法律が示す国全体の方針の下に位置づけられる。

法の構造と地方公共団体の責務

サイバーセキュリティ基本法は、サイバーセキュリティを「電子的方式などで記録・送受信される情報の漏えい・滅失・毀損の防止その他の安全管理のために必要な措置が講じられ、その状態が適切に維持管理されていること」と定義し、これを確保するための施策を総合的に推進することを目的とする。第三条以下で基本理念を掲げ、国の責務（第四条）に続けて地方公共団体の責務（第五条）を定める。地方公共団体は、国と役割を分担したうえで、自主的な施策を策定・実施する責務を負うとされ、これが自治体の情報セキュリティポリシー策定や対策実施の法的な裏づけとなる。総務省が示す地方公共団体における情報セキュリティポリシーに関するガイドラインも、同法の理念を具体化する位置づけにある。

戦略本部とNISCの設置

同法は、サイバーセキュリティに関する施策を推進する司令塔として、内閣にサイバーセキュリティ戦略本部を置くと定める。戦略本部は、政府が定めるサイバーセキュリティ戦略の案を作成し、国の行政機関などの対策の評価や、重大事象の原因究明のための調査を行う。その事務を処理する組織として内閣官房に内閣サイバーセキュリティセンター（NISC）が置かれ、各府省庁の対策の統一基準の策定や監査、地方公共団体・重要インフラ事業者との情報共有などを担う。自治体にとっては、NISC や総務省から国全体の方針・脅威情報が下りてくる経路の起点が、この法律で制度化されていることになる。