地方公共団体における情報セキュリティポリシーに関するガイドライン

自治体が独自にゼロから情報セキュリティ対策を組み立てるのは難しく、団体ごとに対策の水準がばらつけば、住民情報を扱う行政全体の安全性が揺らぐ。このガイドラインは、総務省が全自治体に共通の拠りどころを示し、各団体が自らの情報セキュリティポリシーを策定するための雛形と判断基準を提供する文書である。

組織体制、情報資産の分類、人的・物理的・技術的対策、外部委託や事故対応に至るまで、自治体が定めるべき項目を網羅的に整理している。とりわけ、住民情報を扱う系統を分離するネットワーク分離や、マイナンバー利用事務系・LGWAN接続系・インターネット接続系に分ける三層の構えといった、自治体特有の対策の根拠を示す点に特徴がある。

サイバー攻撃の手口や行政のデジタル化の進展に合わせて、ガイドラインは累次改訂されてきた。自治体は最新版を踏まえて自団体のポリシーを見直す必要があり、ガバメントクラウドへの移行やゼロトラストの考え方の取り込みなど、近年の改訂は新しい環境への対応を反映している。改訂の都度、規程・運用の更新が現場に求められる。

ガイドラインが定める対策の体系

本ガイドラインは、自治体が情報セキュリティポリシー（基本方針・対策基準）を策定する際の標準的な枠組みを示す。内容は組織体制と権限、情報資産の分類と管理、人的セキュリティ（職員の遵守事項・研修・委託先管理）、物理的セキュリティ（サーバ室等の管理）、技術的セキュリティ（アクセス制御・不正プログラム対策・ログ管理）、外部サービスの利用、情報セキュリティインシデントへの対応など広い領域を網羅する。自治体はこのガイドラインを参照しつつ、自団体の規模・実態に応じてポリシーを具体化し、対策基準・実施手順へ落とし込む。

三層の構え・ネットワーク分離との関係

本ガイドラインの自治体特有の中核が、住民情報を扱う系統を業務の性質ごとに分離する考え方である。マイナンバー利用事務系・LGWAN接続系・インターネット接続系の三つに分け、系統間の通信を制限する三層の構え（三層分離）が示され、自治体が行うネットワーク分離・無害化処理の根拠となっている。2015年の年金機構の情報流出を契機に強化され、その後はリモートワークやクラウド利用の進展、ゼロトラストの考え方の取り込みを受けて段階的に見直されてきた。各団体は最新の改訂版を踏まえて自団体のポリシーと運用を更新する責務を負う。