情報セキュリティポリシーとは、自治体が組織全体の情報セキュリティ対策の方針・体制・基準を文書化したもので、総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」に基づき策定する。
自治体は「基本方針」「対策基準」「実施手順」の3層でポリシーを整備する。基本方針は首長名で公表する最上位の方針文書で、情報セキュリティに関する組織の基本的な考え方を示す。対策基準は具体的な技術的・人的・物理的対策を定め、実施手順は業務ごとの詳細な手順書となる。総務省ガイドラインの令和4年3月改定版はゼロトラストの概念やサプライチェーンリスク管理を盛り込んでいる。
策定の根拠とPDCAサイクル
セキュリティポリシー策定を直接義務付ける法律規定はないが、地方公共団体情報システムの標準化に関する法律(令和3年法律第40号)や総務省通知で整備が求められる。ポリシーは年1回の見直しと情報セキュリティ監査(内部監査・外部監査)のPDCAサイクルを定めるのが標準で、個人情報の大量漏えい事案が発生した場合は即時改訂が必要となる。総務省はLGWAN-ASP上で情報セキュリティ対策状況調査を毎年実施し、全国自治体の対策水準を把握している。
インシデント対応体制
自治体はサイバーインシデント(不正アクセス・情報漏えい・ランサムウェア被害等)が発生した際の報告・対応手順をポリシーに定め、CISO(最高情報セキュリティ責任者)の設置が推奨されている。J-LISが運営するLGWAN-SOCは LGWAN接続系における不審な通信を常時監視しており、インシデント発生時は都道府県の情報セキュリティ支援チームへの連絡が第一対応となる。令和3年の医療機関等へのランサムウェア攻撃事例を踏まえ、バックアップ体制の強化と復旧計画の整備が全国的な課題となっている。
ご意見箱(匿名で投稿できます)