（地方自治体における情報セキュリティ対策の

平成２ 1 年度ニューメディアを基礎とした調査・研究

個人情報保護・情報セキュリティの整備に関する調査研究

（地方自治体における情報セキュリティ対策の 具体的な対応基準について）

調査報告書

平成 22 年 3 月

財団法人ニューメディア開発協会

調査事業者 ビジネスアシュアランス株式会社

この事業は、競輪の補助金を受けて実施したものです。

http://ringring-keirin.jp

6

はじめに

情報システムが高度化・複雑化するにつれて、民間企業のみならず自治体においても、個人情 報保護や情報セキュリティの取り組みに関して強い関心が求められており、重要な位置づけにな っている。

企業ビジネスにおいては、既にグローバルなネットワークによる情報処理が行われており、

SaaS サービスや企業グループによるクラウドコンピューティングの実現が論議されている。また、

昨今では、自治体が相互にネットワークで接続され、自治体間での情報の提供や利活用が進ん でいる。さらに自治体毎の個別システムではなく、複数の自治体が１つのシステムまたは情報処 理サービスを利用することも進みつつある。

そのような状況において、一部の企業・自治体の情報セキュリティ脆弱性が、ネットワークで接 続されているか、共通の情報システムを利用している企業・自治体全体の情報セキュリティレベル を下げてしまうことになる。

昨年度実施した「地方自治体における情報セキュリティ対策の実施基準の在り方について」の 調査報告では、先進自治体へのヒアリング及び有識者による委員会を開催して地方自治体にお けるセキュリティ対応状況や今後の取り組みなどについての討議した結果、住民データを扱う上 で実装しなければならない必要な保護措置の最低水準を具体的に定めることで、各自治体が、個 別にクリアすべき情報セキュリティの課題が明確になり、自治体間をまたがっての情報の相互提 供やその利活用、及び各自治体での情報セキュリティ対策の促進に寄与することが期待できると いう結論を得た。

また、自治体間でのネットワークによる情報流通による住民サービス提供の多様化が進むこと に加え、IT サービス事業者にとってはアウトソーシングビジネスセグメントでの商機が今後多く発 生することが予想される。

現状、アウトソーシングビジネスにおけるセキュリティ対策はファシリティを主体とするものであり、

企業グループ間や自治体間などの個別の団体間が持つ情報資産の情報セキュリティのガバナン スの点から、情報の管理者とアウトソーサーとの共通の基準による情報セキュリティガバナンスの 確立が重要な課題となる。

このことを踏まえ、本調査研究では、SaaS サービスやクラウドコンピューティングなどの新たな 環境下での、全国すべての自治体における個人情報保護や情報セキュリティへの取組み推進に 寄与することを目的として、自治体が管理する重要情報を扱ううえで最低限遵守することが必要と

7

なる情報セキュリティ対策の具体的な対応基準について、全国の地方自治体におけるセキュリテ ィ対策を実態調査としてアンケートやインタビューにより調査を行い、その結果明らかとなった課題 から施策案をまとめている。

調査の考察から導き出した課題および施策案を、自治体で実際に運用した場合の課題など、実 効性についての評価が更に必要であるが、地方自治体が管理する重要データのセキュリティ向 上の実現に向けて、本報告書が利用され、情報セキュリティを実装する際の検討資料として、自 治体およびITサービス事業者にとっての検討の一助となることを願うものである。

平成22年3月

財団法人ニューメディア開発協会 ビジネスアシュアランス株式会社

8

1. 概要

本事業および本調査研究の背景と目的について、次に示す。

1.1. 本事業の背景と目的

情報システムが高度化・複雑化するにつれて、民間企業のみならず自治体を含めて、個人情報 保護や情報セキュリティの取り組みが求められており、情報セキュリティ対策は組織における重要 な位置づけになっている。また、クラウドやSaaSといった新たなITサービスモデルの出現により、

情報セキュリティ対策の範囲は、組織のIT環境を越えて広がっている。

このことを踏まえ、本事業は、情報セキュリティや個人情報保護に関するマネジメントシステム の維持運営面や情報セキュリティ実装面における現状や課題抽出・対応策等について調査研究 し、個人情報保護や情報セキュリティへの取り組み推進に寄与することを目的としている。

1.2. 本調査研究の背景と目的

総務省は2006年9月に「地方公共団体における情報セキュリティポリシーに関するガイドライ ン」（以下、総務省ガイドライン）」の改訂版を発表し、地方自治体の活動に求められる情報セキュ リティポリシーと対策基準として実装の助けとなる考え方を示しましたが、実際のセキュリティ対策 の実施レベルは、各自治体がリスク分析の結果から判断するとして、具体的な対策の内容までは 指定しておらず、現状では、自治体間での情報セキュリティ対応の状況に格差があるという状況 が生じている。

自治体が管理する機密性の高いデータのひとつである住民情報は、何れの自治体においても 等しいレベルで保護される必要があり、今後自治体の情報システムの範囲を超えた自治体間の 情報流通や地域サービスとの接続、あるいはアウトソースによる住民情報の処理といった重要デ ータの流通による利便性の向上に対して、これまで閉じた環境で重要データの情報処理を行って いた場合とは異なる脅威やリスクの増大が予測される。

このような環境下で、昨年度実施した調査研究（「地方自治体における情報セキュリティ対策の 実装基準の在り方について」）では、住民情報を取扱う組織が最低限遵守すべき情報セキュリティ 対策の達成水準策定の必要性について「総務省ガイドライン」と、流通する情報を保護するという 特徴を持つ、民間のクレジットカード業界基準である「PCI データセキュリティ基準」(以下「PCI DSS」)との比較検討を行うことで地方自治体における情報セキュリティ対策の具体的な対応基準 の検討を行った。

今回の調査では、対応基準をより実効性のあるものとするために、全国の地方自治体の担当 者に対するアンケートおよびインタビュー調査を行うことで、自治体のセキュリティ対策の実施レベ ルの実態を評価し現状抱えている課題を明らかにするとともに、対応基準への反映を試みてい る。

9

2. 検討方法

本調査研究においては、前年度の調査研究の結果を受けて、「総務省ガイドライン」と「PCI DSS」で示されている情報セキュリティ対策項目を元に、情報セキュリティ対策実施レベルの想定 から調査項目の検討を行った。検討の際には、昨年度の成果物である「総務省ガイドラインとPCI DSSの比較」¹を参考にした。

2.1. 実態調査の実施

地方自治体の情報セキュリティ対策の実施状況を調査するために、各自治体の情報セキュリテ ィ対策と運用レベルを把握し、現状の課題を探るために以下の内容で実態調査を行った。

2.1.1. 実態調査の構成

実態調査は、アンケート調査とインタビュー調査により実施した。

全国自治体を対象と広範な意見を収集する目的で、調査票の郵送と回収によるアンケート調 査を行い、回収したアンケート調査の集計結果から、特徴的な項目についての意見を収集するた めに、自治体で情報セキュリティ運用に関わっている担当者にインタビューを行った。

2.1.2. アンケート調査

「総務省ガイドライン」および「PCI DSS」より、情報セキュリティ対策の管理的、技術的側面を中 心として、質問領域を検討し、それぞれの領域における全国自治体のセキュリティ対策の実施状 況について広範な情報を収集することを目的として、アンケート調査を実施することとした。

2.1.3. インタビュー調査

広範なセキュリティ対策の実施状況を確認する目的で行うアンケート調査に比して、紙面上の 制限および回答形式に影響されずに、情報セキュリティ対策実装上の課題や取り組み状況の情 報を収集すし、回収したアンケートの分析結果から、セキュリティ対策の実施状況について特徴的 な項目についての対策状況の自治体での運用の課題を確認することを目的として、インタビュー 調査を実施することとした。

3. 調査結果

3.1. アンケート調査の準備

情報セキュリティの管理的、技術的側面から求められる対策は広範に渡ることから、情報セキ

1 「総務省ガイドライン」第3章（情報セキュリティ対策基準）における【例文】記載事項と「PCI DSS」の要件記載事項を比較し、関係があると思われる項目について対比を行った。

10

ュリティ対策の実施状況を質問した際に、より正確な回答を得るために、組織における情報セキュ リティの運用をモデルとして、3 つの役割を想定しアンケートもそれぞれの立場で回答ができる内 容とした。区分した3種の調査票の構成を以下に示す。

3.1.1. 調査票の種類

調査票 3 種の内訳は、管理的側面への回答が得られることを想定した、「セキュリティ管理者」

と技術的側面の回答を想定した「情報システム管理者・運用担当者」ならびに組織の情報セキュ リティポリシーを遵守する立場として「重要情報を扱う職員」である。

調査票Ａ セキュリティ管理者

所属する自治体において情報セキュリティ活動に責任を持つ職責の方を対象として、主にポリ シー整備や組織としての対応状況、技術的な対策や情報管理の方針を問う設問としている。

調査票Ｂ 情報システム管理者・運用担当者

所属する自治体において情報システムやネットワークの規格、設計、構築や運用などの全般的 なシステム管理業務を担当される方を対象として、具体的な情報システム、ネットワーク構成時の セキュリティ対策の留意状況を問う設問としている。

調査票Ｃ 重要情報を扱う職員

所属する自治体において、住民データを含む重要情報にアクセスし、閲覧、編集や出力等の一 連の業務を担当される方を対象として、主に利用者の観点からの運用状況を問う設問としてい る。

3.1.2. 設問の内容

各役割に応じて、設問項目を策定した。設問は、分析を行うにあたっての基礎となる自治体の 規模情報の質問を共通の項目とし、情報セキュリティ環境と重要データの扱いを質問する構成と した。

自治体の規模にあたる基本情報

・ 貴団体名*

・ 団体種別* (1. 都道府県 2. 政令市 3. 特別区 4. 一般市町村)

・ 人口*

・ 現在の職責の経験

・ 部署名

・ 役職

・ 名前

11

・ ご連絡先

*印項目は必須とし、個人情報については、回収した回答の確認を行うことを目的としている。

なお、本アンケートにて、保護の対象として質問を行った住民データを含む重要情報を「重要デ ータ」ならびに「重要データ」を扱う ICT インフラを「重要データ環境」と定義した。調査票中にて記 載した用語の定義を以下に示す。

・「重要データ」とは行政サービスにて収集、利用される下記種類のデータを指します。

住民基本データ （個人識別データ＝住民票コード、氏名、住所、生年月日、性別）

属性データ （機微情報＝傷病歴、所得、財産に関する情報および縁戚情報等）

・「重要データ環境」とは上記重要データを保有する情報システムおよびデータの処理・伝送を 行うネットワークインフラを指します。

各調査票の回答者プロフィールにあわせて、それぞれの調査票では、設問内容からカテゴリ毎 に「項目」として区分し、質問で使用される用語等で必要に応じて解説を行ったうえで、各質問と選 択肢を記載した。設問によっては、立場による回答の違いを確認するために、3 種の調査票全て で、同質問を行っている設問もあるが、特に専門的な質問である技術的対策状況については、

「調査票B 情報システム管理者・運用担当者」に向けて質問を構成している。また、同システム管 理者向けの調査票では、所属する自治体の内外ネットワークとの接続による情報流通の状況とセ キュリティ対策の実施レベルの間の相関関係の有無を探るために基礎情報として、ネットワーク の接続パターンとその上での重要情報の伝送に関する質問を設けた。各調査票の設問の区分と 質問数を以下に示す。

調査票A セキュリティ管理者

項目１：情報セキュリティポリシーの整備と運用状況について 全9問 項目２：安全なネットワークの構築、維持と監視について 全3問

項目３：システムの脆弱性を狙った攻撃から重要データを保護する対策状況について 全2問 項目４：物理的、論理的な重要データのアクセス制御とアカウント管理状況について 全6問

調査票Ｂ 情報システム管理者・運用担当者

項目１：敷設、管理対象としている地域情報に関するネットワークタイプについて 全2問 項目２：情報セキュリティポリシーの整備と運用状況について 全2問

項目３：安全なネットワークの構築、維持と監視について 全9問

項目４：システムの脆弱性を狙った攻撃から重要データを保護する対策状況について 全5問 項目５：重要データおよび重要データ環境への物理的、論理的なアクセス制御と対策実施状況に

ついて 全4問

12 項目６：重要データ保護の運用状況について 全3問

調査票C 重要情報を扱う職員

項目１：情報セキュリティポリシーの整備と運用状況について 全3問

項目２：システムの脆弱性を狙った攻撃から重要データを保護する対策状況について 全2問 項目３：物理的、論理的なデータのアクセス制御とデータ保護対策について 全7問

3.2. アンケート調査の実施

住民データを扱う全国の市区に対して送付先の確認を行ったうえで、上記3種の調査票を同梱 して担当者宛に配送した。受領担当者により適当な役職の方に回付いただき、回答を記入後に担 当者の方にとりまとめをいただいて返送先宛に郵送で回収する方式でアンケート調査を実施する こととした。

3.2.1. 期間

アンケートの発送後2週間程度の期日を開けて回答締め切りを設定した。

アンケート発送 2010年1月22日 アンケート回答締め切り 2010年2月5日

※実際には2月15日（月）までに返送いただいた回答を集計した。

3.2.2. 調査対象

アンケート調査の対象数および発送実績を以下に示す。

対象自治体数 957件 アンケート発送数 783件

総務省が公表している「住民基本台帳に基づく人口、人口動態及び世帯数（平成21年3月31 日現在）」資料より、住民基本データを保有・管理することが想定される全ての市区（政令指定都 市に属する行政区を含む）を対象とした全国957の自治体を対象とした。

そのうち、アンケート調査票を適切な担当者のお手元に郵送されることを確実にするために電話 調査による送付宛先確認を行った。 自治体所在地として情報公開されている連絡先に対して、

アンケートの趣旨と概要のご説明をさせていただいたうえで、調査票送付宛先の確認を行った結 果、最終的には調査票発送の辞退をされた自治体を除く783の自治体を郵送対象とした。

3.2.3. 有効回答数

回答締め切りとして想定していた2月5日を過ぎた発送も想定されたため、調査票の回収状況 の判断から、2月15日時点で到着の160通の回答を対象とした。回収率は20.4％であった。

13 3.2.4. 回答形式

アンケート設問は、原則として選択方式とし、対策状況の具体的なレベルを記載した 3 つの選 択肢と対策レベルが選択肢中で当てはまらない場合を想定した自由記入欄の計４つの選択肢に より構成した。

3.2.5. 選択肢のレベルについて

対策状況のレベルを配慮した 3 つの選択肢では、各設問に対して以下の段階を意識した選択 肢を作成している。

① 実施されていない。または、総務省のガイドラインが求める最低限の実施状況にとどまる。

② 組織の運用として実施されているが、重要情報の取扱への対策としては改善の余地がある。

③ 重要情報の流通を考慮したPCI DSSで求められる要件の対策レベルを満たす。

3.2.6. 結果の取り扱い

集計結果については、自治体名や担当者名を特定することができないよう配慮した。また、返 送された回答内容に確認が必要な場合とインタビューの協力願いをする目的で、記載された企業 所在地および担当者名、連絡先などの情報は、本調査分析では公表しないこととした。

3.2.7. 回収状況の概要（回答率および回収率）

全対象自治体957件に対する回答率は、16.7%。調査票の送付を行った自治体783件を対 象とした回収率は 20.4％となった。

発送から約2週間の回答期限が設定されており、さらに調査票が3つの異なる職種の方に配 布され、回答記入後に回収、返送をいただくという、通常のアンケートに比較して担当の方にはお 手間をかける形式であったことを鑑みると、本アンケート調査が扱う課題への関心が決して低くな いものであると考えられる。 なお、返送いただいた自治体の中には、政令指定都市の行政区で あることやセキュリティ対策の具体的な実施内容という性質上全ての調査票ではなく、回答可能 な一部の調査票を返送いただいた自治体も存在したため、各調査票の回収数は返送数の 160 には満たないことを申し添えさせていただく。

3.2.8. 回収アンケートの特徴

今回は、調査票を 3 種に分け、それぞれの立場での回答を求めたこともあり、政令市とその政 令市に属する行政区の双方に調査票を配布した。政令市によっては、調査票への回答は行政区 ではなく、政令市の IT・セキュリティ推進部門が一括で行うとした自治体も存在したが、政令市に よって、対応はまちまちであった。また、回収した調査票の基本情報から自治体の規模を確認した ところ、人口規模が10万人未満の自治体の回答数が84件（全回収数の52.5%）、10万人以上 50万人未満の自治体の回答数が69件（同43.1%）、50万人以上の自治体からの回答が7件

（同4.4%）と中小規模の自治体からの回答が多いという結果になっている。

14 3.3. アンケート設問項目ごとの考察

回収した調査票から、政令市、特別区、一般市町村といった市区の団体種別および人口を基準 とした自治体の規模と設問カテゴリ毎の各調査票回答からの考察を試みた。選択肢以外の回答 として自由記入欄に記載された内容は、設問ごとの分析を行う際に記載内容を確認し、特徴的な 回答については、考察中にコメントを入れることとし、記載内容が選択肢と同義あるいは選択肢に て記載している内容以上の対策が実施されていた場合も、選択肢レベルの分析には組み入れな いものとした。 また選択肢以外を指定しているがコメント等の記載がないケース等については、

集計上は「不明」として扱った。

3.3.1. 自治体の基本情報について

分析を行うにあたり、自治体の規模によるセキュリティ対策上のばらつきの有無を評価するため に規模の区分を行った。 区分にあたっては、人口規模を基準とし、10 万人未満、10 万人以上 50万人未満、50万人以上の自治体の3区分とした。

また、システム管理者・運用担当者向けの設問では、組織のネットワーク接続パターンと実施し ている技術対策レベルとの相関を確認するために、全体の分析に加えて接続パターンによるクロ ス集計を実施することとした。

3.3.2. 情報セキュリティポリシーの整備と運用状況について（共通）

管理的な側面からの情報セキュリティ対策の実施レベルを評価するために、組織の情報セキュ リティポリシーの整備と運用の項目として、セキュリティポリシー、教育および緊急時対応計画の 運用状況を中心に質問した。

セキュリティポリシーの策定状況

3 種すべての調査票で共通した設問として、情報セキュリティポリシーまたは個人情報保護方針 の制定状況について質問した。情報セキュリティ管理者（以下、セキュリティ管理者）ならびに情報 システム管理・運用担当者（以下、システム管理者）からは、制定と見直しの実施状況についてほ ぼ同数の回答を得ることができた。総務省からの地方公共団体向けセキュリティポリシー策定ガ イドラインの公表やポリシー策定の指導の結果、セキュリティポリシーを制定していないと回答し た自治体は一つも存在しないという結果であった。

但し、策定したセキュリティポリシーの見直しを実施していると回答した自治体は、約 24％に留 まる。見直しが行われない場合、せっかく策定してはいても年が経つに従って形骸化してしまうと いった懸念があるため、策定したセキュリティポリシーが、新たなICT利用の変化や業務内容、組 織・体制の変更など内外の環境変化に対応しているかどうかといった観点から、「ポリシーに変更 がないことを確認する」という意味の見直しを含め、今後の確実な見直し機会の運用が求められ る。

15 情報セキュリティの職責

セキュリティ管理者への質問として、ポリシー上でのセキュリティの責任の職員への割り当ての 状況を質問したところ、職員へのセキュリティ責任の割り当てや管理責任の個人または組織への 割り当てを行っていると回答した自治体が95％を超える自治体が実施中との結果であった。セキ ュリティ対策を職務の一つとしてポリシー上で明記されており、ポリシーの策定状況とあわせても 自治体のセキュリティ体制を推進するためのポリシー上の整備度合いは非常に高いという結果で あった。

情報セキュリティの認識を高める取り組み

情報セキュリティに対する認識を高めるためのプログラムの一つとして広く実施されている情報 セキュリティ教育について、セキュリティ管理者ならびに重要情報を扱う職員（以下、職員）に対し て、セキュリティ教育ならびにその他の啓発プログラムの有無について質問したところ、管理者と 職員の間で、セキュリティ教育の実施レベルについてのずれが確認できた。

管理者は、85％を超える自治体が教育の実施と啓発活動の実施を回答しているのに比較して、

職員からはセキュリティ教育は数年に一度受講していると回答した自治体は約 64％にとどまり、

自由記入欄での回答では、数年、あるいは隔年に一度であることや、「教育がない」と回答した自 治体も存在するなど、管理者側が提供しているセキュリティ教育の職員の受け止め方に課題があ ると考えられる。

今回の調査では、実施状況の確認を行うことを目的としていたため、セキュリティ教育の実施の 事実に焦点をあてたが、セキュリティ教育の有効性を評価する観点からの満足度や要望などにつ いての調査、分析も必要であろう。

また、管理者に対しては、職員の中でも重要データへのアクセスを行う業務上の必要のある職 員に対する個別の教育の実施について質問をしたところ、「特にこれまでの業務経験の確認や情 報管理の個別教育を実施していない」と回答した自治体の数が約 69%との結果であった。これは 自治体の規模が小さいほど個別教育実施率が下がる傾向となっており、先の結果と合わせると、

均一なセキュリティ教育の実施に加えてセキュリティ教育の体系の整備が肝要であると考える。

緊急時対応計画の策定状況

重要データ扱う情報システムに対して、役割ごとに緊急時対応計画の作成状況について質問を 行ったところ、管理者ならびにシステム管理者より、情報セキュリティインシデント対応時の計画を 作成していないとの回答が 40％を占めた。また、管理者向けの質問では、「インシデント発生時 の対応担当者が正式に割り当てられていない。」との回答が約20％あり、重要情報およびその情 報を扱う環境で万一のセキュリティ事故が発生した場合の、復旧への不安が明らかになる結果と なってしまった。

一方で、職員に対してインシデント対応の初期対応手順への質問に対しては約92%が「インシデ

16

ント対応の手順や、発生時の報告先を知っている」と回答しているが、おそらく、コンピュータセキ ュリティインシデントの範囲である、業務用 PCのコンピュータウィルス感染やメール、インターネッ トトラブルといった事象に対する対応および相談先としての回答であろう。

3.3.3. 安全なネットワークの構築、維持と監視について（調査票A、調査票B）

安全に情報を流通させるためには欠かすことのできない、情報システムとネットワークインフラの 実装状況について、セキュリティ管理者に対しては、方針、手順の有無、システム管理者・運用担 当者に対しては、実際の導入時設定や運用状況を質問した。

情報システム、ネットワークの設計方針と構成基準

本設問は、管理者に対して、方針の有無と運用状況を質問し、システム管理者には実際の対策 レベルを問うという形式で質問を構成した。

管理者に対して、自治体組織で統一した設計方針の有無と見直しを含めた運用状況について質 問をしたところ、「庁舎ネットワークの設置の設計方針が存在し定期的な見直しが実施されてい る。」加えて、「方針を他自治体や出先機関のネットワーク方針との整合性を取っている」と回答し た先進的な取り組みを行っている自治体が約 69%を超えるということで一定の水準に達している ようではあるが、約26%の自治体が「方針が存在せず、システム開発、運用担当者の判断に任せ ている」と回答している。システム開発、運用担当者自身が培った知識から方針を策定運用してい る自治体も存在することとは思うが、管理者のレベルで情報流通の要であるネットワーク設計の 方針を承知しておくことは、今後の情報連携を深める意味でも重要な課題であると考える。

ネットワーク経路の制限

システム管理者に対して、外部との境界であるファイアウォールの設定やデータ経路制御につい て質問を行ったところ、庁舎ネットワークと外部ネットワーク環境との境界にファイアウォールの設 定は行っているが、設定の基準となる伝送上のネットワークサービスやプロトコル、ポートなどの 文書化や、設定及び文書の見直しなどの運用までを行っていると回答した自治体は全体でも約 37％に過ぎなかった。特に人口10万人未満の小規模自治体では運用、見直しまで至っていない ケースが多いと考えられる。重要データを扱うネットワークおよび情報システム間のネットワーク制 御については、DMZ の利用や接続制限などの対策を実施していると回答した自治体が規模によ る実装レベルの差はあるが考慮されているという結果であった。

但し、接続パターンとして、庁舎ネットワークを地域WANや一般商用LANとも接続しているなど の自治体の外部に接続先を持つ場合であっても設定基準や実装状況の文書化や見直しなどの 情報流通を前提として期待されるレベルの対策水準には至っていないという結果となっている。

情報システムの構成基準

情報システムを導入するにあたり、システムの既知の脆弱性や設定時の脆弱性を利用した攻撃

17

から、重要データを保護するために、情報システム、ネットワーク機器の構成のモデルとなる基準 を作成することは、セキュリティの予防対策として有効な手段の一つである。

一般に良く知られている導入、設定時の注意として、ベンダが提供するデフォルトの設定値は使 用しないという具体的な項目が存在するが、約87%の自治体が「デフォルト値の変更、削除作業」

あるいは、「作業を確実にするためのプロセスの明確化」に取り組んでいるという結果であった。

但し、一般商用LAN接続を行っている自治体（n=45）の約6%で、「そのまま利用している」との 回答がされるなど、脅威のレベルとのギャップが見られる。

構成基準については、組織として管理する、セキュリティを考慮したシステム構成基準の有無と 運用についての質問に対して、全体の約 50%が「構築の都度、セキュリティを考慮するが、システ ム構成基準は存在しない」と回答している。都度の評価、考慮によりセキュリティレベルを保つと いう考え方も一方では存在するかもしれないが、その場合担当者やプロジェクトに依存したレベル になってしまうことが想定され、組織全体として必要なセキュリティレベルを目指すという点では、

不十分な状態であるといえる。 また、本質問については、接続パターンによっての実施レベルの 差は、ほとんど見ることができず、リスクのレベルに応じた取り組みが意識されていないという結 果である。

アクセス記録の管理

管理者とシステム管理者に対して、アクセス記録の取得と見直しの実施状況について質問したと ころ、ほぼ同割合でアクセス記録の取得状況についての回答があり、管理者とシステム管理者の 認識のずれがないことが確認できた。重要データに対する何らかのアクセス記録を取得している 自治体は、約 75%がアクセス記録を取得しており、自由回答とした自治体のうちで更に先進的な 取り組みがされている組織を交えると、それ以上でログの取得についての取り組みがなされてい るという結果であった。

が、しかし約 13%の組織でアクセス履歴の取得を行っていないと回答がされており、情報の流 出や漏えいなどの事件・事故の発生の際の経緯の調査を行うことに障害が発生する可能性が高 いことが明らかになった。ログの管理については取得に加えて事後対策における検出や分析とい った具体的な対応の準備、保管期間等の方針策定なども含めて今後評価すべき課題であると考 える。

セキュリティ診断および監査

管理者およびシステム管理者に、現行のセキュリティ対策状況を評価する、セキュリティ監査、技 術的な診断の実施状況について質問した。

いずれも実施レベルは十分といえるものではなく、侵入検知システムなどの不正アクセスの検出 システム等による対策は行っているものの、脆弱性の診断や侵入のテストを実施していない自治 体が半数に近く、重要データを扱うネットワークに対して「脆弱性スキャンを実施していない。ある いは不定期な実施」と回答した自治体が約 81%を占めるという、非常に低いレベルの水準であっ た。セキュリティ事故の予防対策、組織のセキュリティ対策レベルを客観的に評価するといった観

18 点からも、診断や監査の機会が求められる。

3.3.4. システムの脆弱性を狙った攻撃から重要データを保護する対策状況（共通）

本設問では、全ての対象者に対して、情報セキュリティの脅威として周知されている、コンピュー タウィルスへの対応状況を質問した。

悪意のあるソフトウェアによる攻撃への対応

全ての役割に対して、アンチウィルスソフトウェアの導入と運用状況を質問したところ、ウィルス 対策についてはアンリウィルスソフトウェアの導入と定義ファイルの更新といった基本的なウィル ス対策が実践されていることを確認することができた。が、管理者に対する質問としてウィルス感 染についての教育や啓発プログラムの実施状況を質問したところ、約 21%の自治体のみでの実 施にとどまった。前述のセキュリティ教育同様、規模の大きな自治体では、きめ細かな教育を実施 することができても、小規模な自治体では教育の機会等に課題があるという結果となっている。

但し、ベンダより提供、配布されるセキュリティパッチのアップデートについて職員に対する質問 では、パッチのアップデートを実施していないとの回答が約 12%あり、実際に実行されていないの か、または意識をしていないのかという点では、詳細を確認する必要があるが基本的な対応とし ての課題があるという結果である。

3.3.5. 物理的、論理的な重要データのアクセス制御とアカウント管理状況（調査票A,調査票C）

重要データへの物理的、論理的なアクセスの状況と本人認証の仕組みとして、管理者に対して は、アクセス制御の方針となる基本的な考え方を、重要情報を扱う職員に対しては、その遵守状 況としてアカウントやパスワードの管理運用状況を質問した。また、重要データの取り扱い手順に ついても質問した。

物理的なアクセス管理

重要データを扱う情報システムの設置区画や、職員および訪問者の物理的なアクセスについて 質問をしたところ、対策の実施レベルにばらつきがみられたものの、ファシリティの管理としての入 退室システムによる管理や記録などの対策が80%を超える自治体で、実行されているという結果 であった。が、ばらつきという点では、「重要データを扱うシステムと一般システムとの設置場所の 区別をしていない」と回答した自治体が13%存在するなど、改善の課題が残っている。

アカウント発行とアクセス制御

重要データを扱う情報システムに対してアクセスをする際のアカウントと認証方式の一つである パスワードの発行と運用状況について質問をしたところ、管理者から約90%で「個人を特定するこ とができる一意の ID が発行されている」との回答であった。部門やグループ ID などの利用が一 部で残っているものの、重要データを扱うシステムに対してアクセスをする際に、各人が固有のア

19

カントを必要とするという対策はシステム化され実現されているという結果になった。

但し、職員に対しての質問でアクセスの際に「十分な強度のパスワードの使用」加えて「90 日毎 の変更」といった認証の強化という点では、実施していると回答した自治体は約47%に過ぎなかっ た。アカウントによる本人確認を確認するという点で考えると、適切なパスワードの設定と運用が 求められることから、今後の具体的な対策として実践することが求められる。

重要データの持出しの制限

重要データの持出し、利用や廃棄などの一連の情報のライフサイクルにおいて、課題となる結果 となった。

管理者に対して、「重要データを含む紙、電子媒体についての持出しの方針、手順の有無」を質 問したところ、「手順を定めていない」と回答した自治体が約 7%存在した。また、「統一した手順を 定めている」と回答した自治体は約 75%を占めたものの、「見直しと実運用での実施確認」を行っ ていると回答した自治体は約15%にとどまり、規程やルールの実効性に潜在的な課題があるとい う結果であった。この結果に対して、職員に行った質問では、「メール送信」、「持出し」、「廃棄・削 除」といった「手順が存在しない」と回答した自治体がそれぞれに 17~24%存在するという点では、

手順が実運用上で機能していないという事実を表しているともいえる。但し、この回答では、厳格 なルール（禁止）等の実施回答もあることから、自治体によりばらつきが生じているといえる。

3.3.6. 重要データおよび重要データ環境へのアクセス制御と対策実施（調査票B）

本設問は、「3.3.5物理的、論理的な重要データのアクセス制御とアカウント管理状況」について システム管理者の観点か物理的アクセスと論理的アクセスについての対策状況を質問したもので ある。

物理的なアクセスについては、3.3.5 の考察同様、ファシリティ管理という観点からの運用が実 施されていることが確認できる結果となった。

一方で、アカウント管理とアクセス制御については、前述の個人固有のIDの使用と考え方として、

「アクセスできるデータを職務の実行に必要な最小限のものに制限する」といった運用が実施され ているということを確認することができた。

3.3.7. 重要データ保護の運用状況について（調査票B）

本設問は、「3.3.5物理的、論理的な重要データのアクセス制御とアカウント管理状況」について、

システム管理者の観点から情報の暗号化技術の採用を含んで構成したものである。

この設問でも、重要データの保存と廃棄の手順について「統一された手順は存在しない」との回 答が約 27%と三割に近い回答数となっている。この結果を受けて暗号化技術についても、「暗号 化を行うツールや手順が存在しない」といった課題が存在している。

さらに、重要データのデータ伝送についても、一般的にリスクレベルが高いと考えられる、公共ネ ットワークから庁舎ネットワークへの接続時のデータ伝送についても「暗号技術を使用していない」

と回答している自治体が29% 存在し、そのうちでも一般商用LAN接続を行っている自治体で算

20

出した場合に約 24%の自治体から「暗号技術を使用していない」と回答されていることから、前述 のシステム構成基準同様、リスクレベルを考慮した基準を策定することも課題の一つと考えられ る。

3.3.8. アンケート全体からの考察

アンケートからは、主に管理者に対し質問した情報セキュリティの管理的対策や区画の監視な どのファシリティ面の対策の実施のレベルはある程度の水準に達しているものの、システム管理 者・運用担当者に対して質問した、技術的対策の実施レベルは、相対的に見ても、あるいは「総務 省ガイドライン」の求める対策実施レベルと比較しても、十分に満足のいく結果とは言えず、庁舎 ネットワークと外部ネットワークの接続パターンの違いによるリスクとの相関関係が薄いという結 果であった。また、情報システムの開発やネットワークの敷設などの、外部委託先による開発関 連業務については、ベンダ依存の結果であるのか、十分な文書化や標準化が実施されていると いう組織は少なかった。これは自治体の規模が小さくなるほど、技術的対策の課題が目に留まる という結果になっている。また、導入後の監査や脆弱性の診断といったセキュリティ対策の有効性 評価の実施を行っていない組織が約半数を占めるなど、日々変化する情報セキュリティ上の脅威 に対して、監査や診断から現状の理解と事件・事故を予防するといった積極的な取り組みは、不 十分であるということが判明した。さらには重要なデータを扱う情報システムの緊急時対応計画の 策定を行っていないと回答する自治体が、約 40%存在するなど、重要情報の機密保護だけでなく、

緊急時の住民サービスの継続についても不安が残る回答結果となった。

先に管理的な面の情報セキュリティ対策は、ある程度の水準に達していると述べたが、教育の 実施状況や、情報の取扱手順が職員の行動に結びついていないといった、セキュリティ管理者と 職員間のセキュリティ遵守におけるギャップが存在することなどから、ポリシーの運用、見直しと改 善の継続的な実施が課題として示された結果といえる。

3.4. インタビュー調査の実施

セキュリティ管理者へのアンケート調査表中に、インタビューへの協力可否を選択する質問を設 け、回収した調査票の中で、インタビューへの協力にご了解の回答をいただいた自治体に対して 以下のとおりインタビュー形式での情報セキュリティ対策の課題についてヒアリングを行った。

3.4.1. 期間

アンケートの集計と並行して以下の期日に対象の自治体を訪問した。

2010年3月3日（水）、 2010年3月8日（月）、 2010年3月24日（水）

3.4.2. 調査対象

首都圏近郊で人口規模および区分に違いがある、以下の3自治体を対象とした。

A) 区分：特別区

21 人口規模： 50万人以上

B) 区分：一般市区 人口規模： 50万人以上 C) 区分：一般市区

人口規模： 10万人以上50万人未満

3.4.3. 回答形式

アンケート回答の集計結果から、相対的に実施レベルが高かった項目と低かった項目を抜き出 して、質問者が順次、それらの項目に対して担当者の方に感想やコメントを求めた。

抜粋してディスカッションの話題とした質問 実施レベルが相対的に高い質問項目

1). 情報セキュリティポリシの整備と運用状況 2). 情報セキュリティ教育の実施状況

3). アカウントの発行と管理、アクセス制御方針 実施レベルが相対的に低い質問項目

1). システム、ネットワーク機器の構成基準と運用 2). システム、ネットワーク機器の技術的監査の実施 3). 情報の保護と取り扱い手順

4). 情報処理の外部委託とセキュリティ管理

3.4.4. 結果の取り扱い

各自治体の集計情報やセキュリティ対策の実施レベルおよびインタビューにてお伺いした内容 は。具体的なセキュリティ対策の実施レベルを問うものであるという質問の性質上からも、個別組 織名や担当者名の特定ができないように配慮してとりまとめを行うこととした。

3.4.5. インタビューの特徴

インタビューにご協力をいただいた自治体は、概ね情報セキュリティ対策に積極的に取り組ん でおり、アンケートの集計結果として示された各質問の標準回答と同等以上の対策レベルを検討 している傾向があり、先進的あるいは実効性のある情報セキュリティへの取り組みを行っていると いう結果であった。但し、集計結果に対する感想や意見等で自治体という組織特有の課題や取り 組みなど、アンケートでは伺い知れない内容を確認することができた。

3.4.6. インタビューからの考察

前節であげたセキュリティ対策の実施上の課題を中心に各自治体においてセキュリティ推進を 実務として行っている担当者より意見を伺ったところ、自治体という組織におけるいくつかの課題

22 が明らかになった。

インタビューでは、3.4.3 にて対象とした項目を中心に、自組織での対応状況や集計結果の感 想や意見を述べていただく形式で進めた。

情報セキュリティポリシーの整備と運用状況

まず、実施レベルが相対的に高い結果となった項目としてセキュリティポリシーの制定と組織に ついて質問したところ、「セキュリティポリシーは、総務省からの指導等もあり３年ほど前に制定を 行った。恐らく他自治体も同タイミングで制定をしたであろう。（Ｃ市担当者）」とのコメントがあり、

総務省からの指導や「総務省ガイドライン」がトリガとなり、セキュリティポリシーの整備と職員への 責任割り当てが進んだものと思われる。特に情報セキュリティの責任の非常職員や臨時職員に対 する割り当てを行っていると回答した自治体が 55.1%存在しており、正規職員への割り当てと合

わせると 91.6%の自治体が情報セキュリティ運用における役割の定義が実施されていることにな

り、セキュリティ対策の推進を役割毎に具体化することの実効性が明らかとなった。

情報セキュリティ教育の実施状況

情報セキュリティ教育の実施状況について、管理者からの回答として、教育や教育の有効性を 高めるための試みについて、「新人研修や定期研修を推進部門が主催して実施している（Ｂ市担 当者、A 区担当者）。」といったセキュリティ認識のベースアップのための取り組み状況を確認する ことができたが、重要データにアクセス職員の事前スキルの確認や個別教育を行っていないと回 答した自治体が全体の69.2%存在するという結果について「特に臨時職員やアルバイトなどの短 期雇用職員に対する教育は、講師となる職員の調整が適当なタイミングで行うことができないこと が多いため、業務に精通している現場職員の OJTが基本となっている（Ｂ市、Ｃ市）。」「OJT の効 果をあげ、役割別の認識を高める目的で管理者向けの教育を行った（C 市）。」といった現場業務 の OJT が基本となっている状況に加えて「実務研修に『セキュリティの重要性』にあたる項目を予 め組み込むこととして、業務訓練にはセキュリティ上の注意を含むようにしている（Ａ区）。」といっ た積極的な取り組みを行っているとの意見もあった。

また、全般的な感想として、若い職員の業務パソコンの利用について、2つの自治体から「自宅 で使用しているパソコンと同じつもりで業務パソコンを取扱う傾向があるので、新人教育では、自 宅と業務の違いを、明確に教育している（Ａ区、Ｃ市）。」といった意見もあがった。

さらに、身近で自治体のインシデントといった具体的な事例を用いて教育の徹底を行っている自 治体では、「現場で業務を行う職員にしてみれば、セキュリティ対策に手がかかることで利便性が 落ちると感じている様子があるが、住民データを扱うことイコール情報セキュリティ対策を選択する として、トレードオフの必要性として理解してもらえるよう、教育や啓発活動を実施している（Ａ 区）。」とのコメントがあり、一方では利便性を確保できるように情報処理のシステム化を推進する などの先進的な取り組みがなされていた。

23 アカウントの発行と管理、アクセス制御方針

意外と言っては語弊があるかもしれないが、ユーザ ID の発行とアクセス範囲の制限の方針に ついての質問では、セキュリティ管理者、システム管理者・運用担当者からの回答共に 90%を超 える自治体が各職員に固有のIDを発行していると回答しており、IDと認証による重要データのア クセスの範囲も必要最小限にとどめているとの回答結果であった。「重要データを扱うシステムと 日常連絡系のシステムは物理的に異なるパソコンで作業している（Ｃ市）。」や「アクセス用アカウ ントを複数発行して重要データへのアクセスを区別している（Ａ区）。」といった情報の重要性を意 識したシステムの設計を行っているという意見があげられた。また、アカウントの見直しについても、

「人事情報との連携を行っている（全市区）。」や、「業務発令日に合わせてマトリックス上で設定さ れた権限設定が異動発令の都度実施されるようシステム化している（Ａ区）。」といった取り組みが なされていた。

システム、ネットワーク機器の構成基準と運用

一方で、相対的に低い結果となった、技術的側面と委託先管理に関連する項目では、自治体 組織の特性として「自治体では数年に一度の単位で人事異動が行われるため、情報セキュリティ に限らず、システムやネットワークといった技術スキルの保持者や将来的に保有することを期待し た技術者教育の実施を行うことが難しい（Ｂ市、Ｃ市）。」といった事情から、情報システムの構成 基準等の整備を行うことに課題があるといった意見があがった。さらに「オープンプラットフォーム 化して複数ベンダのプラットフォームにより構成される、情報システムが増加していることや、クラ ウドを始めとする先進技術の採用を検討するには、広範な技術スキルが要求されることから、構 築や運用はベンダに一任せざるを得ないケースがあるのではないか（Ｃ市）。」といった広範な領 域の技術進歩に追従することの困難さについてのコメントがあり、「構築都度あるいは、運用途中 に各業務を担当するベンダより、提案を受ける体制を備えている（Ｂ市）。」といった形でベンダと の協力体制の中で、情報システム環境のセキュリティを維持しているというのが実情であろう。ま た、ベンダとの協力体制という点では、「使用している機関業務のソフトウェアベンダとコンサルテ ィング契約を締結し、適宜アドバイスをもらうことができる（Ａ区）。」といった対応を行っているとの 意見もあがった。

システム、ネットワーク機器の技術的監査の実施

運用中の情報システムに対するシステム監査や脆弱性の診断、侵入テストといった技術的監 査の実施状況を確認したところ、いずれの質問も十分な実施状況とは言えないという結果であっ た。本件について、インタビューで質問を行ったところ実施している、または実施したことがある組 織からは、「LASDEC（財団法人 地方自治情報センター）が提供する脆弱性診断を受けたところ、

具体的な設定上の問題点が検出され、改善作業に役に立った（Ｃ市）。」や「IPA（独立行政法人 情報処理推進機構）が発信している情報を元に確認を行っている（Ａ区）。」といった実施した上で

24

の効果の意見があった一方で、「総務省の監査チェックリスト等を確認してみたが、具体的な監査 内容、チェック項目の理解に至らなかったことから、監査、診断といった作業全体のイメージがつ かみづらいという感想がある（Ｂ市）。」といった意見があがった。さらに集計結果から推測される 内容として「監査の具体的な成果がわからないので、『面倒なのではないか』、『悪い結果が出た 場合にどうすれば良いのか』といった監査業務の見通しがつかないことについての担当者の不安 や予算化の困難さが存在するのではないか（Ｂ市）。」といった自治体、民間を問わず監査、診断 業務が抱える課題の指摘もあった。

情報の保護と取り扱い手順

情報の保護と取り扱いの実態について、全ての調査票にて関連質問を行ったところ、特に重要 情報を扱う職員から、重要データの伝送、紙、電子媒体での持出しに関する制限や手順が存在し ないとの回答が散見され、システム管理者・運用担当者からは重要データの保存や伝送時の暗 号技術の採用が十分でないといった結果であったことについて質問をしたところ、「住民情報を含 む重要データの持出しは原則禁止となっている。が、一方業務上で、どうしても持出しをしなけれ ばならないケースもあり、現場の職員にとってはポリシーと運用のギャップが発生しているのでは ないか（Ｃ市）。」といった意見が寄せられ、情報の取り扱いに関するポリシーと業務の乖離、ダブ ルスタンダード化が進んでいる可能性の推測意見があがった。また、暗号化技術の利用について は、原則禁止であるから不要という考え方によるものである可能性も示唆される。

情報処理の外部委託とセキュリティ管理

これまでのインタビューでも、たびたび話題にあがっていたアウトソースベンダの管理について 質問をしたところ、「委託先に対して監査のような手続きは実施していないが、データ管理レベル の確認は実施している（Ｂ市）。」といった意見から「仕様書中に監視を含む具体的な管理項目を 含めている。（Ａ区）。」といった意見までがあがり、今回インタビューにご協力をいただいた自治体 では、比較的積極的な委託先管理に取り組んでいるという印象をうけた。が、「委託業務が多様 化することが予想される中で、委託先の情報処理やデータ管理を委託元である自治体が担保す るためには、どのような基準で監査、監視を行う必要があるのかといった点を今後の課題として考 えている（Ａ区、Ｃ市）。」とあるように、委託先との SOW（Statement of Work）²検討と管理基準 の検討が課題となる結果として表れたといえる。

3.5. 実態調査からの考察

調査票を使用したアンケートならびにインタビューによるヒアリングとタイプの異なるアプローチ で、自治体の情報セキュリティ対策状況について調査を行った結果、セキュリティ管理の継続的な

2 SOW(statement of work)とは、複数の人・組織が協力して一つのプロジェクトを遂行するにあ

たり関係者間で各人（組織）の役割や権限を記した合意文書。作業プロセスや具体的な管理項目 などを記載する。

25 運用において課題となる複数の項目が明らかとなった。

管理的対策の課題

1) ポリシー、ルールの見直し機会の不足 2) セキュリティ教育の形骸化

3) 緊急時対応計画の未整備

特に1) 2)であげた、セキュリティマネジメントシステム運用上の問題については、すべての取り組

みが形骸化することのないようにすることが喫緊の課題である。

技術的対策の課題

1) 情報システム開発・運用における外部委託ベンダへの依存傾向 2) 情報システムの利用環境のリスクに応じた具体的な作業仕様の整備

4. 住民データ保護の実施レベルを向上させる施策案について

実態調査からの考察を受けて、地方自治体および自治体が管理する住民データを含む重要デ ータのITサービスを提供する企業などの組織の情報セキュリティ対策の実施レベルを向上するた めの施策を以下に示す。

4.1. 管理的対策の成熟度向上

現在、自治体がおかれている状況は、総務省の指示のもとで「総務省ガイドライン」等を参考に して、セキュリティポリシーの制定と運用が行われて数年が経過したという状態であるが、マネジメ ントシステムで求められる、定期的な見直しや改善のための作業に至っていない。いわば本来要 求される Plan(計画)→Do(実行)→Check(見直し・監査)→Action(改善)のサイクルのうち、

Plan(計画)→Do(実行)の繰り返しに留まっている状態であることが想定される。

見直しが行われないままで放置された場合、例えば、セキュリティ対策に取り組んだ担当者が 人事異動等で情報セキュリティ推進組織から去った場合にポリシー、ルールの制定の経緯や意 義が曖昧になり、形骸化に拍車をかけてしまうといった事例がある。ポリシー、ルールの見直しを 行う際に、業務にそぐわないルールや手順が存在する、あるいはルール化や手順化がされてい ないために、運用が個人の判断に任されているような業務との乖離の確認なども対象とするなど、

セキュリティマネジメントシステムの形骸化を防ぐために、内部、あるいは外部の支援を受けた

Check(見直し・監査)の取り組みが肝要である。

また、個別の改善案としては、先進的な取り組みを行っている自治体の事例等を参考に、全体 のベースアップに資する全職員向けセキュリティ教育の実施に加えて、短期採用職員の指導にあ たる中堅ならびに管理職職員向け教育や情報取扱などの個別教育についても、必要性を明確に

26

するといった、セキュリティ教育体系の見直しなど実業務に合わせた取り組みが推奨される。

4.2. 技術的対策の実施レベルの向上

前述のインタビューからの考察でも述べたとおり、自治体という組織の特性上から、人事異動に よる技術スキルの継続的な蓄積が難しいということであれば、個人の専門スキルに頼る状況から、

組織として、導入・構築時のノウハウ継承や委託先管理・活用による技術的対策レベルを向上す ることが一案ではないだろうか。

そのためには、情報化推進組織が習得する必要があるスキルは、情報システムの設計、調達、

導入、運用、変更管理から廃棄（入れ替え）に至るライフサイクルの理解と各項目の目的と達成目 標である。ライフサイクルの工程毎の情報システムの運用をマネジメントする能力を身につけるこ とは、それぞれの工程で必要となる文書や手順、作業結果といった継承が可能な成果物の作成 を意識することができる。その結果、組織内の担当者や委託先との適切なコミュニケーションを行 うことが可能となる。

また、専門的な領域の業務を委託しているベンダを活用するという点では、監査や脆弱性診断 といった、情報システムとネットワークの運用と対策状況の診断を受け、その結果を元に具体的な 改善提案を受けることで、対応内容とノウハウを蓄積するといった試みも有効であると考える。

4.3. 「住民データセキュリティ基準（仮称）」の作成

4.1 および 4.2 で提案した施策案を効果的に実現し、自治体が管理する重要データに対する 機密保護のセキュリティ対策の実施レベルを一定の水準以上とするためには、「総務省ガイドライ ン」に示される、各組織のリスク評価に委ねられる「対策基準」に加えて、より具体的な対応基準を ベースラインとした情報セキュリティ活動を行うことが一案である。以下に基本的な考え方と対応 基準の構成を示す。

4.3.1. 対応基準構成の基本的な考え方

基準の策定にあたっては、アンケートおよびインタビュー調査から判明した以下の点を考慮した 構成とする。

・ 職員の役割と権限に対応した、利用者を意識した構成とすること

・ 総務省ガイドラインにて規定される項目を網羅的に採用し、実装内容を具体的に示すために、

「PCI DSS」要件にて示されているセキュリティ標準を考慮すること

・ 技術的対策の指定にあたっては、接続パターンの違いによる脅威の種別とリスクの大きさの 違いと情報システムのライフサイクルを考慮した記述とすること³

3 リスクに応じた情報セキュリティ対策の採用は、米国国立標準技術研究所（NIST）から「連邦政 府情報システムにおける推奨セキュリティ管理策（SP800-53）」としてリスクの大きさを３段階に 定義してそれぞれのベースラインを策定し、公表している

27

4.3.2. 対応基準の構成

総務省ガイドラインの項目を元にして、対応基準に記載する項目割り当てにより再構成を行う。

総務省ガイドライン 対応基準構成 具体的な対策

項目 ^{セキュリティ}

管理者

システム管理者・

運用担当者

職員 PCI DSS要件番号

組織・体制 ○ △ 要件12

情 報 資 産 の 分 類 と 管理

○ △ 要件3,12

物理的セキュリティ ○ △ 要件3,9

人的セキュリティ ○ △ 要件12

技術的セキュリティ ○ 要件1,2,4,5,6,7,8 運用的セキュリティ ○ ○ △ 要件10,11

法令遵守、評価と 見直し

○ △

5. まとめ

地方自治体が管理する住民データを含む重要情報が、自治体間や地域のサービスとの連携を とりながら利活用される場合に、自治体および自治体より受託して住民データを扱う組織の情報 セキュリティレベルが水準以上に保たれていないと、脆弱な部分からの攻撃等の可能性によりそ の情報交換は漏えいや改ざんなどの脅威にさらされてしまう。また、クラウドやSaaSといった新し い技術を用いたサービスの利用が自治体においてもシステムの運用コスト面や人的資源面の理 由から進むものと考えられ、住民データについても、その対象となることは必然と言える状況にあ る。

今回の調査研究では、全国自治体へのアンケート調査ならびに、自治体で情報セキュリティを 推進している担当者の方へのインタビューを通じて、自治体の情報セキュリティ対策レベルの実 態を調査し、以下の主たる結果を得た。

①Web アプリケーションのセキュリティ対策等の技術的対策が特に小規模自治体において十 分でない

②内外ネットワークの接続パターンの違いによるリスクの大小と実施されているセキュリティ対 策レベルとの相関関係が薄い

③外部委託している情報システムの開発やネットワークの十分な文書化や標準化が実施され ていない自治体が多い

④約半数の自治体では情報セキュリティ監査や脆弱性の診断といったセキュリティ対策の有効 性評価が実施されていない

⑤重要なデータを扱う情報システムの緊急時対応計画の策定を行っていない自治体が、約 40%存在する

⑥教育の実施や重要情報の取扱手順が職員の行動に結びついていない傾向が見える

28

これらの課題の背景は、担当者の方へのインタビューにおいてその一旦が見えたが、「対策を どのレベルまで実施すべきかがわからない、言われてもいない」「予算的に先進自治体のように はできない」「担当者の育成は定期異動があるのでできない（しない）」「基本的にベンダ任せ」とい うものであった。

これらの実態調査結果から、

「技術的対策レベルを明確にした」対応基準

「ネットワーク接続形態等のリスクに応じたレベルの」対応基準

「外部委託先に提示できる」対応基準

「監査や脆弱性診断の評価基準となる」対応基準

「職員にもよく理解できる」対応基準

「重要データを扱ううえで全自治体共通で必須となる」対応基準

が必要であり、これに各自治体が準拠することで今回の調査で明らかになった課題が全国自治 体一律にクリアできる可能性がある。

上述の条件を満足する対応基準を提示し、それにすべての自治体および自治体の外部委託先 事業者（クラウドやSaaS提供者を含む）が準拠していくことで、住民データ等の重要情報に対する 情報セキュリティ対策レベルの向上と一定以上の水準を保つことが可能となり、住民に安全、安 心をもたらすことにつながるはずである。

今回の調査研究では、実態調査結果を元にして情報セキュリティ対応基準の具体化を試みた が、この対応基準をより有用なものにするための課題も明らかになった。これらについては今後の 対応で解決していくことが必要である。

6. 今後の課題

今回の調査では、地方自治体の実態調査の結果から２つの基準（総務省ガイドライン、

PCIDSS）を参考にして、情報セキュリティ対応基準を策定した。

対応基準の策定にあたっては、実態調査において課題としてあげられた管理的対策における 見直しの徹底と、自治体の規模によって実施レベルのバラつきが確認された情報流通の技術的 対策の観点から周期を含めた具体的な対策要件を明記するよう考慮した。

このことから、本対応基準に記載されている要件をセキュリティ対策として採用することにより、

自治体が管理する住民データを一定の水準で保護するための施策として提案を行うことができた と考える。

今後は、本調査結果をもとに、行政が中心となり総務省ガイドラインで示されている対策とのギ ャップ解消のため、ガイドラインで求められる対策を確実に実現するとともに、情報流通を意識し た統一的なデータ保護基準の評価と展開が求められる。

評価と展開の試みとして、本対応基準をもとにした、実際の地方自治体を想定した対策実施状