地方公共団体に必要な情報セキュリティポリシーとは

この記事の内容

「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、各地方公共団体におけるサイバー攻撃や内部不正を防ぐうえで役立つ指針として知られています。ここでは、地方公共団体における情報セキュリティポリシーに関するガイドラインの詳細について説明します。

地方公共団体における情報セキュリティポリシーに関するガイドラインとは

まずは、ガイドラインの概要と策定の背景についてみていきましょう。

ガイドラインの概要

「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、組織の中での情報セキュリティを確保・徹底するための方針や対策を定めたものです。

内部不正やサイバー攻撃の手口が巧妙化している現状、多くの企業や組織が情報セキュリティポリシーを見直し、対策レベルを高めていくことが重要です。個人情報を扱うことの多い地方公共団体にとっては、策定・導入(Plan)から運用(Do)、運用後の評価(Check)と見直し(Action)を経るPDCAサイクルを、定期的に繰り返すことによって、環境変化に対応しつつ、情報セキュリティレベル対策のレベルの水準を引き上げていく必要があります。

ガイドライン策定の背景

総務省は平成13年3月に初めての「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定(平成30年9月25日改定)し、その後平成22年5月11日には「第2次情報セキュリティ基本計画」を含む「国民を守る情報セキュリティ戦略」を公表しました。

また、地方公共団体の情報セキュリティに関しては、平成25年5月24日成立した「マイナンバー法(=行政手続における特定の個人を識別するための番号の利用等に関する法律)」や、平成26年11月6日に成立した「サイバーセキュリティ基本法」が重要です。

さらに、国の法律の他に、多くの地方自治体(都道府県や市区町村)では、個人情報の保護(セキュリティ)に関する条例が定められています。

情報セキュリティを取り巻く環境や問題は日々変化しており、情報セキュリティポリシーもそれに合わせて改定が行われています。法律や条例、ガイドラインに記載されている最新の情報を確認し、効果的にセキュリティ環境を整備することが大切です。

ガイドラインで求められている情報セキュリティ対策

実際にガイドラインの中で推奨されている、3種類の情報セキュリティ対策について確認していきましょう。

物理的セキュリティ

物理的セキュリティとは、パソコンやサーバ、情報システム室、通信回線などの管理について物理的なセキュリティ対策を行うことです。具体的には、サーバの取り付けは災害や温度、ホコリなどの影響を考慮して安全に可動できる場所を選ぶこと、簡単に取り外しができないように固定すること、障害発生時にすみやかに復旧できるようセカンダリサーバを設置するなどの対応策が挙げられます。

USBメモリ・SSD・HDDなどの電磁的記録媒体が内蔵されている機器が故障し、社外の業者に修理を依頼する際には、内蔵データを消去した状態で行わせなければなりません。万が一内容を消去できない場合は社外の業者との間に秘密保持や守秘義務契約を締結しましょう。また、機器の廃棄やリース製品を返却する際は内部の記憶装置からデータをすべて復元不可能な状態で消去しなければなりません。

機器だけではなく、サーバなどが置かれている管理区域への入退室も厳重に行わなければなりません。ガイドラインでは、管理者は管理区域への入退室が認められた者のみにICカードや指紋認証などの生体認証を行うか、入退室管理簿を記載させて厳しく入退室管理を行うように求めています。

人的セキュリティ

人的セキュリティでは、情報システム室や情報機器、その他重要なデータを扱う職員が遵守するべき項目を定めています。また、正規職員だけでなく非常勤職員や臨時職員等についても、セキュリティ教育や啓発活動を十分に行う人的な対策が必要となります。

パソコンやスマートフォン、タブレットなどのモバイル端末、USBメモリや外付けハードディスクなどの電磁的記録媒体、情報資産、ソフトウェアを外部に持ち出す場合は管理者の許可を得たうえで、業務以外の目的に使ってはならないと定めています。また、持ち出しと持ち込みにはログなどの記録をとり、それを保管するようにします。勝手にセキュリティ設定を変更したり、管理者権限の及ぶ範囲に手を加えたりしてはなりません。

情報セキュリティインシデントが発生した際には、システム管理者や情報セキュリティに関する統一的な窓口にすみやかに報告します。また、組織内では毎年最低でも1回は情報セキュリティに関する研修や訓練を受け、情報機器やデータの取り扱い、サイバー攻撃の脅威を把握し、緊急時の対応がとれるようにすべきと定めています。

技術的セキュリティ

技術的セキュリティの項目では、コンピュータやサーバの管理、アクセス制御、サイバー攻撃への対策などを講じています。管理者は必要に応じてデータのバックアップを取り、情報セキュリティのための各種ログ、認証情報は厳重に保存管理を行います。

不正アクセスへの対策として、ネットワークの構成図や情報システムの仕様書のような重要なデータが不正に閲覧されたり、紛失したりすることのないよう管理をしなければなりません。

システム開発の際には責任者と作業者を特定し、一人ひとりのIDと開発に用いるハードウェア・ソフトウェアを特定・適切に管理します。不正プログラムへの感染が疑われたり、感染したりした場合にはLANケーブルの即時取り外しや通信をしないよう設定するなどの対応を行い、感染拡大に努めるよう推奨されています。

地方公共団体における情報セキュリティポリシーに関するガイドラインは、組織の情報セキュリティを正常に保守・運用するうえで役に立つ情報です。物理的・人的・技術的セキュリティの3区分をそれぞれ確認し、適切な対策を実施しましょう。

監修:社会保険労務士 八木 徹