サイバーセキュリティ

サイバーセキュリティ基本法（平成26年法律第104号）は国・地方公共団体・重要インフラ事業者等の責務を定め、内閣サイバーセキュリティセンター（NISC）が策定するサイバーセキュリティ戦略（3年ごと改定）のもとで自治体のセキュリティ対策が推進される。自治体の情報セキュリティ対策の規範文書は「地方公共団体における情報セキュリティポリシーに関するガイドライン」（総務省、令和5年3月改訂）であり、市区町村はこれを踏まえた情報セキュリティポリシー（規程）を策定する。ガイドラインは自治体のネットワークを①マイナンバー利用事務系、②LGWAN接続系、③インターネット接続系の三層に分離する構成を基本とし、機密情報の漏洩防止と業務継続性のバランスを図る。ランサムウェア（身代金要求型ウイルス）による業務停止被害が自治体で相次いでおり（令和3年の徳島県つるぎ町立半田病院・令和4年の大阪急性期・総合医療センター等の医療機関事例が自治体情報担当者に広く共有されている）、バックアップの管理体制と早期検知・復旧手順の整備が喫緊の課題となっている。

情報セキュリティポリシーの策定と運用

情報セキュリティポリシーは基本方針・対策基準・実施手順の3層で構成される。基本方針は首長決裁の上で公表し、対策基準は情報資産の分類・アクセス制御・インシデント対応等の要件を定める。実施手順（規程・マニュアル）は部署ごとの具体的な操作手順を記述する。年1回のセキュリティ監査（内部または外部委託）と職員研修を実施して実効性を維持する。LGWAN（総合行政ネットワーク）に接続するシステムは接続審査を受ける必要があり、更新・変更時には再審査が必要となる。

インシデント対応と情報共有

サイバーインシデントが発生した場合、自治体は総務省・J-LIS・都道府県情報セキュリティクラウド運営機関等に速報を行い、被害拡大防止の初動対応を実施する。個人情報漏洩が疑われる場合は個人情報保護法第26条（令和4年施行）に基づく個人情報保護委員会への報告義務と本人への通知義務が発生する。自治体向けの情報共有・早期警戒組織（J-CRAT、IPA等）から提供される脅威情報を定期的に確認し、対策を更新する体制を整える。