地方議会におけるセキュリティ対策の現状と課題

全文

(1)情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2017-IS-141 No.2 2017/8/25. 地方議会におけるセキュリティ対策の現状と課題本田正美†1 あらゆる組織においてサイバーセキュリティ対策が喫緊の課題となっている。それは公的機関も例外ではなく、サイバーセキュリティ基本法が制定されたことも契機として、政府や自治体においてもサイバーセキュリティ対策の検討が進められている。本研究では、なかでも地方議会に着目する。日本の地方自治では、政策を執行する執行機関と政策を議決する議事機関の二つの機関によって構成される二元代表制が採用されている。このうち、執行機関側については、近時ではマイナンバーの導入などと合わせてセキュリティ対策が講じられているところであるが、一方で地方議会はセキュリティ対策を十分に講じていると言いがたい状況にある。そこで、本研究では、地方議会のセキュリティ対策の現状と課題を論じる。. Current Situation and Issues of Security Measures in Local Assembly Masami HONDA†1 Cyber security measures are an urgent issue in all organizations. Public institutions are no exception. With the establishment of the basic cyber security law, government and municipalities are also planning measures for cyber security. In this research, we focus on local assembly in particular. In the local autonomy of Japan, a dual representation system consisting of two agencies, an executive body that enforces policies and a meeting agency that decides policy, is adopted. As for the executing agency side, recently security measures are being taken together with the introduction of My Number, but on the other hand local councils are in a situation where it cannot be said that they are taking sufficient security measures. Therefore, in this research, we discuss current situation and issues of security measures of local assembly.. 1. はじめにあらゆる組織においてサイバーセキュリティ対策が喫緊の課題となっている。それは公的機関も例外ではなく、. 行動計画」、2014 年 5 月に「重要インフラの情報セキュリティ対策に係る第 3 次行動計画」と見直しが図られ、2017 年には第 4 次行動計画の取りまとめが行われている。 2014 年に制定されたサイバーセキュリティ基本法では、. 2014 年にはサイバーセキュリティ基本法が制定されたこ. その第一条で、サイバーセキュリティに関する施策に関し. とを契機として、政府や自治体においてもサイバーセキュ. て基本理念を定め、国及び地方公共団体の責務等を明らか. リティ対策の検討が進められている。. にすることが目的として掲げられている。そして、「サイバ. 本研究では、なかでも地方議会に着目する。日本の地方自治では、政策を執行する執行機関と政策を議決する議事. ーセキュリティ」については、第二条で、以下のように定義付けられている。. 機関の二つの機関によって構成される二元代表制が採用されている。このうち、執行機関側については、近時ではマ. この法律において「サイバーセキュリティ」とは、電子. イナンバーの導入などと合わせてセキュリティ対策が講じ. 的方式、磁気的方式その他人の知覚によっては認識する. られているところであるが、一方で地方議会はセキュリテ. ことができない方式(以下この条において「電磁的方式」. ィ対策を十分に講じていると言いがたい状況にある。そこ. という。) により記録され、又は発信され、伝送され、. で、本研究では、地方議会のセキュリティ対策の現状と課. 若しくは受信される情報の漏えい、滅失又は毀損の防止. 題を論じる。. その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及. 2. サイバーセキュリティ基本法の成立 2014 年 11 月に、サイバーセキュリティ基本法が制定された。この法律が制定される前から、例えば 2005 年に政府が決定した「重要インフラの情報セキュリティ対策に係る行動計画」に見られるように、特定領域に関してはサイバーセキュリティ対策の必要性は認識され、その取り組みが進められてきたところである。この計画については、2009 年に「重要インフラの情報セキュリティ対策に係る第 2 次 †1 東京大学大学院情報学環 The University of Tokyo Interfaculty Initiative in Information Studies. ⓒ 2017 Information Processing Society of Japan. び信頼性の確保のために必要な措置(情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体(以下「電磁的記録媒体」という。)を通じた電子計算機に対する不正な活動による被害の防止のために必要な措置を含む。)が講じられ、その状態が適切に維持管理されていることをいう。 (サイバーセキュリティ基本法第二条より) ここでは、電磁的方式な情報が安全に管理され、情報システムや情報通信ネットワークの安全性や信頼性を確保す. 1.

(2) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2017-IS-141 No.2 2017/8/25. るための措置が講じられ、その状態が維持管理されている. る以上、各地方公共団体は自ら施策の策定や実施に当たっ. ことをもってして「サイバーセキュリティ」とすることが. ていくことになるのであるが、国の協力を得ることも想定. 定められている。情報社会の進展に伴い、情報を扱うこと. されている。実際に、具体的に取り組むべき事柄について. が機会は増大し、情報の安全な管理が求められる。また、. は、府省でも検討が行われている。例えば、2015 年 7 月に、. 情報が流通する場面で利用される情報システムや情報通信. 総務省が有識者と自治体関係者からなる「自治体情報セキ. ネットワークについても、その安全性や信頼性の確保が求. ュリティ対策検討チーム」を立ち上げて、具体的な取り組. められる。それら情報にまつわる安全性や信頼性が確保さ. みを検討している。[1]では、その検討結果を参照して、自. れて適切に維持管理された状態を指してサイバーセキュリ. 治体のサイバーセキュリティ対策について論じたところで. ティとするというのである。そして、その具体策がサイバ. あるが、本研究でも改めて、その検討について以下で概観. ーセキュリティ対策であるとまとめられる。適切に維持管. する。. 理された状態を保つことが求められる以上、サイバーセキ. 2015 年 7 月に立ち上がった自治体情報セキュリティ対策. ュリティ対策というのは動的に捉えられるのであって、例. 検討チームは、同年 8 月に中間報告を行った。これを受け. えば何かワンショットの対応策を打つというのではなく、. て、既存の住民基本台帳システムのインターネットからの. 恒常的な対応策が求められるということである。. 分離をはじめとして、「標的型攻撃に係るインシデント初動. サイバーセキュリティ基本法第四条と第五条は、国の責. マニュアル」の策定、インシデント発生時における国への. 務と地方公共団体の責務を定めた条項である。本研究にお. 連絡ルートの強化、情報セキュリティ専門人材のノウハウ. いて着目するところの地方公共団体について、その責務を. を自治体に生かす仕組みとしての「自治体情報セキュリテ. 定めた第五条は以下のとおりである。. ィ支援プラットフォーム」の構築などに向けた取り組みがなされることになった。ここで住民基本台帳システムのイ. 地方公共団体は、基本理念にのっとり、国との適切な役. ンターネットからの分離という方針が示されたが、これは. 割分担を踏まえて、サイバーセキュリティに関する自主. マイナンバー制度の導入にあたり、より安全なシステム運. 的な施策を策定し、及び実施する責務を有する。. 用を行うための措置として示されたものである。. (サイバーセキュリティ基本法第五条より). 2015 年 11 月の最終報告では、中間報告を踏まえた上で、「自治体情報システム強靭性向上モデル」に基づく庁内ネ. ここには、国との「適切な役割分担」とあり、例えば国. ットワークの再構築と、市町村ごとにあるインターネット. 全体で共通して必要な施策については国がその実施につき. 接続口を都道府県単位で集約し、市町村と都道府県が協力. 責務を負い、地方公共団体は自らの責任を有する範囲内に. して監視する機能を強化する「自治体情報セキュリティク. おいて必要な施策を行うことが求められていることが確認. ラウド」の構築が提言された[2]。このうち、「自治体情報. できる。. システム強靭性向上モデル」については「マイナンバー利. この他に第三十三条では、国が地方公共団体に協力する旨を謳っている。. 用事務系」と他の領域との通信を切断することを第一段階とし、「総合行政ネットワーク(LGWAN)接続系」と「インターネット接続系」との通信を分離や分割することを第二. 地方公共団体は、第五条に規定する施策の. 段階とするものであった。この時には、マイナンバーの本. 策定又は実施のために必要があると認めるときは、本部. 第三十三条. 格運用を控えており、マイナンバーに係るシステムにおけ. に対し、情報の提供その他の協力を求めることができる。. る対策を重視していたことがうかがえる内容になっている. 2 本部は、前項の規定による協力を求められたときは、. のである。マイナンバー制度については、その前の住民基. その求めに応じるよう努めるものとする。. 本台帳ネットワーク導入時に国民の間に広まった個人情報. (サイバーセキュリティ基本法第三十三条より). の漏洩といったセキュリティ上の懸念に対応すべく、システムの対策が万全になされていた見ることが出来る。. 国と地方公共団体が連携して、サイバーセキュリティ対策に当たることが求められているのである。. 「自治体情報セキュリティ対策検討チーム」の最終報告書においては、インターネット接続と庁内ネットワークの分断に関する検討に重点が置かれていた。2015 年 6 月に明. 3. 地方公共団体におけるサイバーセキュリティ対策. らかになった日本年金機構への標的型攻撃メールを用いたサイバー攻撃に代表されるように、日々の業務の中でインターネットに接続する機会がある以上、セキュリティイン. サイバーセキュリティ基本法では、サイバーセキュリテ. シデント発生のリスクは常に存在する。住民や他の公共機. ィ対策に関して自主的な施策を策定し、それを実施する責. 関との情報のやりとりの接点を数多く持つ自治体にあって. 務を地方公共団体が有することが明記された。自主的とあ. は、インターネット接続をいかに扱うのかという点がサイ. ⓒ 2017 Information Processing Society of Japan. 2.

(3) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2017-IS-141 No.2 2017/8/25. バーセキュリティ対策においても重要な点となるのである。. いたばかりというのが現状の評価として正鵠を射ているも. そこで、自治体情報セキュリティ対策検討チームの最終報. のと考えられる。そのような中でも先進議会と目される北. 告書では、マイナンバーや LGWAN とインターネット接続. 海道芽室町議会では、「芽室町議会 ICT 推進基本計画」[4]. の通信を分離や分割するとともに、インターネット接続口. を策定している。この基本計画は、「芽室町役場 ICT 計画」. を集約して監視機能を強化するという対策を示したのであ. を上位計画とした個別計画に位置付けられている。. る。とりわけ、小規模自治体など単独で対策を打ちにくい. は、以下の三つの章から成る。. 団体の存在を考えると、都道府県単位での集約はひとつの選択可能な方策と言えるだろう。. 第 1 章総論第 2 章基本フレーム. 4. 地方議会における ICT 活用ここでまで、地方公共団体のセキュリティ対策として総. 第 3 章事業の展開このうち、第 1 章の総論と第 2 章の基本フレームは、芽. 務省で検討されてきた事柄を基にして議論を行った。その. 室町議会 ICT 推進基本計画の全体像を指し示すものである。. 検討は、地方公共団体の中でも執行機関の事務事業におけ. 具体的な計画事項は、第 3 章の事業の展開において、その. るセキュリティ対策であったことは明らかである。しかし、. 詳細が示されている。第 3 章は以下のような項目から構成. 地方公共団体は執行機関のみによって構成されているわけ. されている。. でない。地方公共団体は執行機関と議事機関によって構成される二元代表制を採用しているのである。つまり、地方. １【ハード面での計画事業】. 公共団体のセキュリティ対策を検討するのであれば、執行. (1) クラウド化と議会システムの構築. 機関における対策と合わせて、議事機関における対策も検. (2) 機器及びシステムの新規・更新整備(地域情報推進). 討する必要があるのである。. (3) 庁舎建設を見据えた移動費の積算(行政情報推進). 執行機関については、実際に公共サービスの提供などを担うことから、例えばマイナンバーのように住民に関わる情報も扱う。一方で、議事機関も住民に関わるような機微. 2 【ソフト面での計画事業】 (1) 町民との情報共有の拡充とホームページ(地域情報推進). 情報を扱うこともあるが、概して、当該地域全般に関わる. (2) 町民参加による議会運営(地域情報推進). 情報を扱うことの方が多い。いずれにしても、議事機関で. (3) 議員の情報活用能力及び活用環境の向上(行政情. ある地方議会においても、あらゆる場面で情報が利用されていることは明らかであり、執行機関における ICT の利活. 報推進) (4) 議会内のペーパーレス化の推進(行政情報推進). 用のあり様と同様に議事機関でも ICT の利活用が進んでい. 3 【セキュリティ対策】. る。. 4 【財源措置と計画の実行化】. ただし、ICT の利活用の浸透は執行機関ほどの深度ではない。[3]において、地方議会の ICT 利活用に着き事例分析. ここで、セキュリティ対策という項目が見出される。こ. を行ったが、議会の Web サイトの開設、会議のライブ中継. の項目については、「計画の実施に当たっては、適切なセキ. の実施、会議録など情報公開における電子化など情報公開. ュリティ対策を講じるものとする。」と記されている。. や情報発信での取り組みが主であり、昨今、タブレット端. 芽室町議会では、会議システム用タブレット型端末機の. 末の導入など業務における ICT 利利用が萌芽的に始まった. 導入を進めているが、その導入に際して使用基準が示され、. 状況である。議事機関は、二元代表制において意思決定を. その中でセキュリティ対策を講じる必要があることが確認. 担っており、執行機関側からを主として重要な情報の提供. されている。その他、議会が利用する各 SNS についてのセ. も受けている。意思決定の結果は、当該地方公共団体の行. キュリティポリシーの検討も行われている。特に情報発信. く末に大きな影響を及ぼす。ゆえに、その情報の取り扱い. を強化する中で ICT の利活用を図る議会においては、この. には慎重を期する必要があり、サイバーセキュリティ基本. ような SNS の運用などにおいて、セキュリティポリシーが. 法が定めるところサイバーセキュリティを担保する取り組. 必要とされることになる。. みが必要とされることは論を俟たないだろう。. この芽室町議会の事例の他にも、地方議会が ICT の利活用に関わる計画を策定する事例が見られるようになってい. 5. 地方議会におけるセキュリティ対策の現状と課題地方議会においては、ICT の利活用につき、その緒に就. ⓒ 2017 Information Processing Society of Japan. る。例えば、愛知県田原市議会は 2016 年 12 月に「議会 ICT 化推進基本計画」[5]を策定している。この計画も芽室町議会のそれのように、全体の方向性が示された後に、具体的な取り組みが示されている。. 3.

(4) 情報処理学会研究報告 IPSJ SIG Technical Report 田原市議会の「議会 ICT 化推進基本計画」の中には、以下のような記述が見られる。. Vol.2017-IS-141 No.2 2017/8/25. 観点からの対応になるが、セキュリティインシデントへの対応もサイバーセキュリティ対策の重要な構成要素となる。適切に維持管理された状態を保つことがサイバーセキュリ. ○情報の取扱に関する取り決めの検討. ティであったとして、インシデント発生時には速やかに、. インターネットの普及により情報セキュリティに対す. そのような適切に管理維持された状態に戻す必要があるの. る対策が非常に重要となっており、市議会としても情報. である。先の「自治体情報セキュリティ対策検討チーム」. の取扱には注意を払い、指針などの検討が必要というも. の中間報告を受けて、その初動マニュアルは策定されてい. ので、議会の文書処理規定の見直しも必要となってきま. るが、セキュリティインシデントの検知しなければ、初動. す。(田原市議会「議会 ICT 化推進基本計画」、p.2). 態勢すら築けない。いつのまにか攻撃を許していたという事態も想定され得るのである。日常の監視体制の構築のよ. ◆8. 議員のセキュリティポリシーを定めていない。情. うな恒常的な体制作りが求められるのである。. 報セキュリティに関する基本方針について検討する必. セキュリティインシデント対応については、自治体にお. 要がある。(田原市議会「議会 ICT 化推進基本計画」、p.10). ける内部の組織体制の整備も求められるところであり、最高情報セキュリティ責任者(CISO)の任命やインシデント発. それらの言及からもうかがえるように、センキュリティ. 生対応のための CSIRT(Computer Security Incident Response. 対策の重要性や必要性は認識された上で、それが不十分で. Team)の設置が求められている。情報システムにまつわり. あるため、検討を進める旨が表明されている。具体的な取. サイバーセキュリティ対策だけではなく、そこに関わる体. り組みとしては、田原市議会においてもタブレット端末の. 制や人材の点についての対応も焦点となるのである。. 導入に際して、使用基準やセキュリティポリシーを策定することとされている。ここまで芽室町議会と田原市議会の事例を紹介したが、. サイバーセキュリティ基本法第八条では、教育研究機関の責務を規定しており、特に人材育成の重要性を指摘するところであったが、議事機関においても執行機関と並んで、. 両事例は「セキュリティ対策」を謳っている。これは、サ. サイバーセキュリティ対策のための人員の確保やリテラシ. イバーセキュリティ基本法が示すところの「サイバーセキ. ーの向上に努める必要があるのである。この点、いまだ地. ュリティ」と用語上の相違があり、例えば、それはセキュ. 方議会における動きは十分ではなく、当面の課題となるも. リティ対策であって、サイバーセキュリティ対策ではない. のと考えられる。. という指摘も想定される。実際、サイバーセキュリティ基本法の示すところのサイバーセキュリティというよりは、何からの ICT の利活用を行うに際して一定の注意を払う程. 6. おわりに. 度のように見えなくもない。この点、適切に維持管理され. 本研究では、サイバーセキュリティ基本法の制定から説. た状態を保つこととされるサイバーセキュリティにつき、. き起こし、執行機関側で進められている対策を確認した上. そのような対策を指向するのか否か、あらためて確認する. で、計画を立てて ICT の利活用を進めている芽室町議会や. 必要があるだろう。. 田原市議会の事例を取り上げて、議事機関である地方議会. とりわけ、サイバーセキュリティ対策を地方議会におい. におけるセキュリティ対策の現状と課題を論じた。. て行うとして、そこで課題となるのは、その対策にまつわ. 地方議会においても更なる ICT の利活用は進むものと考. る運用体制をいかに整備するのかである。先に紹介した「自. えられ、サイバーセキュリティ基本法の存在も考え併せれ. 治体情報セキュリティ対策検討チーム」の最終報告では、. ば、サイバーセキュリティ対策の重要性や必要性は増すも. マイナンバー利用事務系、LGWAN 接続系、インターネッ. のと考えられる。その動向につき今後も注視していきたい。. ト接続系の通信の分離を図り、各系統に係る端末を物理的に分離するといった運用を求めることとした。例えば、議事機関にまつわり構成される情報システムにつき、そのような運営は可能と言えるのだろうか。執行機関であれば、相応の職員を配置し、その運用に当たらせることも可能である。しかし、議事機関を支える議会事務局は多くの場合に少人数によって構成されている[6]。そのような状況で、サイバーセキュリティ対策の専任の人員を割くと言うのは非現実的である。加えて、議員個人に任せるというのも安全性や信頼性を考えた時に難が残る。. 参考文献 1 本田正美：自治体におけるサイバーセキュリティ対策、情報処理学会第 78 回全国大会講演論文集 2016(1)、pp.441-442、2016 2 総務省自治体情報セキュリティ対策検討チーム：概要版新たな自治体情報セキュリティ対策の抜本的強化に向けて、2015 3 本田正美：議会における情報通信技術の利用、2017 年度春季(第 36 回)情報通信学会大会、2017 4 芽室町議会：芽室町議会 ICT 推進基本計画、2015 5 田原市議会：議会 ICT 化推進基本計画、2016 6 本田正美：コミュニケーションの観点から明確化する議会事務局の役割、公共コミュニケーション学会第 3 回事例交流・研究発表大会予稿集、pp.44-47、2017. その他、セキュリティ対策というと、未然に防ぐという. ⓒ 2017 Information Processing Society of Japan. 4.

(5)