2019年1月号Vol.113

【トレンドビュー/寄稿】情報セキュリティポリシー「ガイドライン」改定のポイント

総務省 自治行政局 地域情報政策室 企画官 三木浩平氏

 地方公共団体における情報セキュリティは、各団体が保有する情報資産を守るにあたって自ら責任を持って確保しなければなりません。その方針、体制、対策などを包括的に定めた文書が“情報セキュリティポリシー”で、各団体が組織の実態に応じて策定するものです。
 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(ガイドライン)は、各団体が情報セキュリティポリシーを策定する際の参考となるよう、その考え方や内容を解説するとともに構成や例文を示しています。

ガイドラインの改定

 ガイドラインは、平成13年3月に策定以来、不定期に改定を重ね、今回で第6版となります。改定に際しては、関係法令の成立・改正、政府戦略や計画の改定、また地方公共団体関連の重要政策の実施が契機となります。今回の改定では、①自治体情報セキュリティ対策検討チーム※1の報告(平成27年11月)、およびそれに続く「新たな自治体情報セキュリティ対策の抜本的強化(いわゆる「三層の対策」)」の実施、②「政府機関等の情報セキュリティ対策のための統一基準群」の改定(30年7月)、③地方公共団体におけるマイナンバー情報連携の開始(29年7月~)、などが主要な要因です。

改定の工程

 ガイドラインの改定作業は平成28年度~30年度に実施しました。28年度は関係法令や政府基準など本ガイドラインの内容に関わる規程類の調査を、また29年度は改定箇所の特定、改定案の検討、有識者や関係団体へのヒアリングなどを、30年度は検討会を開催しました。パブリックコメントおよび地方公共団体への説明会等を経て平成30年9月25日に改定版を公表しました。現在、要請に応じて各都道府県が開催する市区町村向け説明会等で、詳細説明を行っているところです。

主要な改定項目

主要な改定項目

 本改定における最も重要な要素は、先述した「三層の対策」の反映です。これについては、ガイドラインの全編(「例文」「解説」「付録」)にわたって記述しています。
 まず、地方公共団体のマイナンバー利用事務系のネットワーク領域には、多量の個人情報やマイナンバーを含む重要な情報システム群(住民記録、税務、国民健康保険、介護保険、福祉等)が存在することから、最も重要な領域と位置付けて、〈他の領域との分離〉や〈アクセスする際の認証方法(多要素認証)〉〈情報の持ち出し不可設定〉を求めています。
 次に、地方公共団体の内部管理系システム群(人事給与、庶務事務、文書管理、財務会計等)は、従来、多くの団体においてLGWAN回線とインターネット回線の両方に接続されていたことから、LGWAN回線を守るために〈インターネット回線とは分離〉した上で、必要なファイルを取り込む場合については“無害化処理”を求めています。
 また、インターネットへの接続については、従来、個々の団体でセキュリティ対策を講じていましたが、市区町村においてはインターネット接続口を集約する自治体情報セキュリティクラウドに参加するとともに、都道府県等と連携して情報セキュリティ対策を推進することを求めています。
 加えて、本改定では情報セキュリティインシデントに対処するための体制としてCSIRT※2を整備することを盛り込みました。その中で、CSIRTの役割として主に以下の3点などを求めています。
1.〈報告された事案について状況を確認し、情報セキュリティインシデントであるかの評価を行う〉
2.〈情報セキュリティインシデントであると評価した場合、統括情報セキュリティ責任者は、CISO(最高情報セキュリティ責任者)に速やかに報告する〉
3.〈CSIRTは、被害の拡大防止等を図るため、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、応急措置の実施および復旧に係る指示、勧告、助言を行う〉
 さらに、クラウドサービスの利用については、従来からの記述に加えて、「オープンデータ、環境計測値等の機密性の低い情報をクラウドサービスに蓄積する場合は、どの国の法令が適用されるのかを確認し、リスク等を考慮した上で選択することが望ましい」とし、取り扱う情報の内容を評価した上で利用するクラウドサービスを選択することを求めています。
 情報セキュリティポリシーはセキュリティ確保の要です。地方公共団体においては、年々高度化するサイバー攻撃に対応するためにも、ガイドラインの改定の主旨を踏まえ、セキュリティポリシーを適切な内容に更新することが必要です。

※1 
「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長:東京電機大学総合研究所特命教授 サイバーセキュリティ研究所長 佐々木良一氏)
※2 
Computer Security Incident Response Team組織内の情報セキュリティ問題を専門に扱う、インシデント対応チーム

アーカイブ

※掲載の内容、および当社製品の機能、サービス内容などは、取材当時のものです。

※掲載団体様への直接のお問い合わせはご遠慮くださいますようお願いいたします。

  • お客様の声
  • TKCインターネットサービスセンター「TISC」のご紹介