地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針

(1) 情報セキュリティ対策に係る制度等の概要

ア 国及び地方公共団体における情報セキュリティ対策に係る制度等の概要

我が国では、インターネット等の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化等に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている。

このような課題に対処するため、平成26年に、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的として、サイバーセキュリティ基本法(平成26年法律第104号。以下「基本法」という。)が制定されている。

基本法によれば、国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。そして、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るために、サイバーセキュリティに関する基本的な計画として、サイバーセキュリティ戦略を定めなければならないとされている。

27年9月に定められたサイバーセキュリティ戦略(平成27年9月4日閣議決定)によれば、地方公共団体は、取り扱う情報の機微性等の事情を踏まえて、政府機関等と同様のセキュリティを確保することが求められるとされている。そして、個人番号(注1)(以下「マイナンバー」という。)の導入に伴い、政府としても、サイバーセキュリティが確保されるよう基本法等に基づき必要な支援を実施していくとともに、地方公共団体の情報システムについて、社会保障・税番号制度(以下「マイナンバー制度」という。)の運用に係るセキュリティを強化する観点から必要な対策を検討し、講じていくとされている。また、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「マイナンバー法」という。)に規定されたマイナンバー利用事務(注2)において使用するシステムについて、インターネットから独立するなどの高いセキュリティ対策を踏まえたシステム構築や運用体制の整備を含めて検討した上で、必要な措置を講ずるとともに、関係機関が連携して専門的・技術的知見を有する監視・監督体制を整備するとされている。

そして、マイナンバー利用事務は、マイナンバー法に基づき28年1月から行われている。

(注1)個人番号 国民一人一人に付与された唯一無二となる12桁の番号。国民の氏名、住所、性別及び生年月日と関連付けられている。(注2)マイナンバー利用事務 行政機関等、地方公共団体等その他の者が、法令に基づき行う社会保障、税及び災害対策に関する特定の事務において、保有している個人情報の検索や管理のためにマイナンバーを利用する事務

イ 地方公共団体における情報システム、情報セキュリティ対策等の概要

(ア) 情報セキュリティ対策の強化以前の地方公共団体における情報システム等の概要

地方公共団体は、独自に情報システム及び情報通信ネットワークを構築して、住民に対して行政サービスを提供している。そして、地方公共団体が構築している情報システムは、大別して、住民基本台帳ネットワークシステム(以下「住基ネット」という。)に接続して戸籍事務等に使用する情報システム(以下「基幹系システム」という。)、LGWAN(注3)に接続して地方公共団体の事務を行う情報システム、インターネットに接続してメール、Web閲覧等に使用する情報システム等となっている。

(注3)LGWAN 地方公共団体内のネットワークを相互に接続する総合行政ネットワーク
(イ) マイナンバー制度における地方公共団体等の情報連携の概要

地方公共団体等は、マイナンバー制度の導入に当たり、情報システムの整備(既存システムの改修を含む。)を行っている。そして、それらの情報システムにおいて、マイナンバー法に基づき28年1月からマイナンバー利用事務が実施され、29年11月から総務省が管理する情報提供ネットワークシステム(以下「情報提供NWS」という。)等を通じて相互に特定個人情報(注4)を照会し、又は提供する情報の連携が行われている(以下、特定個人情報の照会及び提供を合わせて「情報連携」という。)。また、情報連携の仕組みの構築に当たっては、国の行政機関の組織内のネットワークを相互に接続する政府共通ネットワーク及びLGWANがそれぞれ改修されて活用されている。

(注4)特定個人情報 マイナンバー(マイナンバーに対応し、当該マイナンバーに代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。)をその内容に含む個人情報
(ウ) 地方公共団体における情報セキュリティポリシーに関するガイドラインの概要

地方公共団体は、法令等に基づき、住民の個人情報(住民基本台帳に記載された住民の氏名、住所、生年月日、性別の情報や特定個人情報等。以下「住民情報」という。)等の重要な情報を多数保有するなどしている。そして、地方公共団体の業務の多くが情報システムやネットワークに依存していることから、住民生活等を保護するために情報セキュリティ対策を講じて、その保有する情報を守り、業務を継続することが必要となっている。

総務省は、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、13年3月に、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月最終改定。以下「セキュリティポリシーガイドライン」という。)を策定している。

セキュリティポリシーガイドラインによれば、情報セキュリティ対策を徹底するためには、対策を組織的に統一して推進することが必要であり、そのためには、地方公共団体は、明文化された文書として情報セキュリティポリシーを定めなければならないとされている。そして、基本法第5条において、地方公共団体がサイバーセキュリティに関する自主的な施策を策定して実施することが責務規定として法定化されたことを踏まえて、地方公共団体において情報セキュリティポリシーを策定することが必須となり、策定済みの地方公共団体においても適時適切に見直しを行うことなどが重要であるとされている。

また、セキュリティポリシーガイドラインによれば、情報セキュリティポリシーとは、組織内の情報セキュリティを確保するための方針、体制、対策等を包括的に定めたものとされている。そして、情報セキュリティポリシーは、各地方公共団体の情報セキュリティ対策における基本的な考え方を定めた「情報セキュリティ基本方針」(以下「基本方針」という。)と、基本方針に基づき全ての情報システムに共通の情報セキュリティ対策の基準を定めた「情報セキュリティ対策基準」(以下「対策基準」という。)で構成されるものとされている。

(2) 情報セキュリティ対策の強化の概要等

ア 地方公共団体の情報セキュリティ対策の強化の経緯

(1)イ(ア)のとおり、地方公共団体は、独自に情報システム及びネットワークを構築して住民に対して行政サービスを提供しており、総務省は、サイバー攻撃が急速に複雑・巧妙化している中で、地方公共団体の情報セキュリティ対策を強化することが喫緊の課題であるとしている。特に、マイナンバー法の成立によりマイナンバー利用事務及び全国の地方公共団体等の情報システムの情報連携が行われることとなったため、各地方公共団体においては、より一層情報セキュリティを強化することが必要とされた。

このような中、マイナンバー制度の施行を控えた27年5月に、日本年金機構が外部から標的型攻撃(注5)を受けて、同機構内のLANシステム上の共有フォルダに保存されていた約125万件(対象者約101万人分)の基礎年金番号、氏名等の個人情報がインターネットを通じて不正に外部に流出したとされる事案(以下、この標的型攻撃による個人情報流出を「年金情報流出事案」という。)が発生した。年金情報流出事案の原因の究明、再発防止策の検討等を行った同機構の調査委員会の報告書等によれば、年金情報流出事案を発生させた直接的な要因は、標的型攻撃を受けた場合における対応としてLANケーブルの抜線以外に具体的な定めがなく、事態の確認が遅れて有効な対策が講じられなかったことであるとされている。また、流出した個人情報には、所要のアクセス制限やパスワードの設定が行われていないものが多数あったとされている。

(注5)標的型攻撃 特定の組織に狙いを絞り、その組織の業務習慣等の内部情報について事前に入念な調査を行った上で、様々な攻撃手法を組み合わせ、その組織に最適化した方法を用いて行われる攻撃

また、会計検査院は、年金情報流出事案について、会計検査院法第30条の2の規定に基づき、28年12月に、「年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について」を国会及び内閣に報告している。同報告において、年金情報流出事案の発生に対応するための経費として日本年金機構が見込んだ支出額が27年度決算額で計10億8379万余円となるほか、年金情報流出事案が発生したことにより支出されたと考えられる経費が計9418万余円(厚生労働省分4687万余円、日本年金機構分4730万余円)となるなどしていることや、年金個人情報流出者に対する対応等に集中して取り組む必要が生じたことなどを理由に国民年金保険料の未納者に対する督促状等を送付しなかったことで、消滅時効期間が経過した国民年金保険料が債権額にして1億2115万余円(会計検査院試算)となることなどを記述している。

そして、地方公共団体においても、年金情報流出事案から間もない27年6月に、日本年金機構と同様の標的型攻撃を受けて基幹系システムをネットワークから切断することを余儀なくされるなどの事案が発生している。

年金情報流出事案等を受けて、総務省は、同月に、地方公共団体におけるネットワークの接続形態の現状を確認するために、①基幹系システムが接続する内部ネットワーク(以下「基幹系NW」という。)、②①以外の地方公共団体の事務を行う上で必要なシステムが接続する内部ネットワーク(以下「情報系NW」という。)、③①及び②以外のネットワークで各種情報の検索、住民や企業からのメールの受信等を行う外部のインターネットと接続しているネットワークそれぞれの構成について調査した(以下「6月調査」という。)。

6月調査によれば、地方公共団体におけるネットワーク接続形態は、図表0-1のとおり、基幹系NWと情報系NWを分離して、インターネットを情報系NWに接続している形態(図表の1番から3番まで)や、基幹系NWと情報系NWを統合してインターネットにも接続している形態(同4番)が大半を占めており、多くの地方公共団体において、住民情報を扱う基幹系システムやLGWANに接続するシステムがインターネットに接続するネットワーク内にある状況となっていた。また、インターネットに接続しているネットワークは独立しているが、基幹系NWと情報系NWを統合している形態(同6番)も見受けられた。

図表0-1 地方公共団体におけるネットワーク接続形態

地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針

イ 総務省による地方公共団体への助言等

年金情報流出事案等を踏まえて、総務省は、地方公共団体の情報セキュリティに係る抜本的な対策を検討するために、27年7月に、情報システムに関する専門家等で構成する「自治体情報セキュリティ対策検討チーム」(以下「検討チーム」という。)を設置している。

総務省は、検討チームの会合において、6月調査の結果、地方公共団体において住民情報を扱うシステムやLGWAN、インターネットに接続しているシステムが分かれていない状況が確認されたことなどについて報告している。

検討チームは、同年8月に中間報告(以下「8月報告」という。)を取りまとめて、①組織体制の再検討、職員の訓練等の徹底、②インシデント即応体制の整備及び③インターネットのリスクへの対応の3項目について総務省に提言している。

そして、総務省は、各地方公共団体に対して、8月報告を参考に情報セキュリティ対策に積極的に努めるよう通知するとともに、同月に、検討チームにおける議論を踏まえた地方公共団体の情報セキュリティ対策の強化に係る留意事項について通知を発出して、助言等を行っている(以下、これらの通知を合わせて「8月通知」という。)。

8月報告及び8月通知の主な内容は次のとおりとなっている。

① 組織体制の再検討、職員の訓練等の徹底

  • 最高情報セキュリティ責任者(CISO)を設置し、その任務を明らかにするとともに、CISOを支えて自治体情報セキュリティ対策を推進する組織(CSIRT(注6)等)を構築すること
  • インシデント発生時の国までの連絡ルートを再構築(多重化(注7))すること
  • 特に標的型攻撃に対する緊急時対応計画の見直しと緊急時対応訓練を逐次実施すること
(注6)CSIRT 情報システムに対するサイバー攻撃等のインシデントが発生した際に、当該インシデントを正確に把握して分析し、被害の拡大防止、復旧、再発防止等を迅速かつ的確に行うことを可能にするための機能を有する体制(注7)多重化 本報告書では、国及び庁内CISO(市区町村においては都道府県を含む。)へ一斉同報することを指している。

② インシデント即応体制の整備

  • 都道府県ごとに都道府県CSIRTと市区町村CSIRTの連携体制を構築しておくこと
  • アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を点検し、不正通信の監視機能を強化すること
  • インシデント事例、情報セキュリティQ&A等を掲載する自治体情報セキュリティ支援プラットフォームを創設すること

③ インターネットのリスクへの対応

  • マイナンバー制度が施行されるまでに、庁内の住民基本台帳システム(既存住基(注8))がインターネットを介して不特定の外部との通信を行うことができないようになっていることを確認すること
  • 機密性(注9)はもとより、可用性(注10)や完全性(注11)の確保にも十分配慮された攻撃に強い内部ネットワーク等の構築(システムの強じん性の向上)を図ること
  • より高い水準のセキュリティ対策を講ずるため、インターネット接続ポイントの集約化やセキュリティ監視の共同利用等(自治体情報セキュリティクラウドの構築)の検討を進めるべきこと
(注8)既存住基 住基ネット導入以前から使用されている住民基本台帳システム(注9)機密性 情報にアクセスすることを認められた者だけが情報にアクセスできる状態を確保すること(注10)可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保すること(注11)完全性 情報が破壊、改ざん又は消去されていない状態を確保すること

ウ 検討チームによる総務省への11月報告

検討チームは、8月報告で提言されていたシステムの強じん性の向上及び自治体情報セキュリティクラウドの構築について、次の①から③までの三層から成る対策(以下「三層の構え」という。図表0-2参照)を講ずることにより、同年11月に地方公共団体の情報セキュリティ対策を抜本的に強化することが必要であるとの報告(以下「11月報告」という。)を取りまとめて、総務大臣に報告している。

① 二要素認証及び情報持出し不可設定の導入

マイナンバー利用事務系(注12)(既存住基、税、社会保障、戸籍事務等)においては、原則として、他の領域との通信ができないように分離を徹底した上で、端末への二要素認証(注13)や端末からの情報持出し不可設定(注14)(以下、二要素認証と情報持出し不可設定を合わせて「二要素認証等」という。)の導入等を図ることにより、住民情報の流出を徹底して防ぐこと

(注12)マイナンバー利用事務系 主に、従来は基幹系システムとして整理されてきた、マイナンバー利用事務、既存住基と密接に関わる戸籍事務等に供する情報システム(ハードウェア、ソフトウェア、ネットワーク等)及びデータ。代表的なシステムには、既存住基、税、社会保障、戸籍事務等がある。(注13)二要素認証 本人確認の精度と安全性を高めるために、正規の利用者かどうかをシステムが判断する認証手段の三要素である知識(例:暗証番号)、所持(例:ICカード)及び存在(例:静脈)のうち二つを併用するもの(注14)情報持出し不可設定 ネットワーク上の情報持出しを制御するソフトウェア等により、USBメモリ等の外部記憶媒体による端末からの情報持出しができないように設定すること

② LGWAN接続系とインターネット接続系の分割

マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するために、財務会計等のLGWANを活用する業務用システム(以下「LGWAN接続系(注15)」という。)と、Web閲覧やインターネットメール等のシステム(以下「インターネット接続系(注16)」という。)との通信経路を分割すること。なお、LGWAN接続系とインターネット接続系との間で通信する場合には、ウイルス感染のない無害化通信を図ること

③ 自治体情報セキュリティクラウドの構築

インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずること

(注15)LGWAN接続系 主に、従来は情報系システムとして整理されてきた、マイナンバー関係事務(法令に基づき、職員等のマイナンバーを必要な書類に記載して行政機関等に提出する事務)等に供する情報システム(ハードウェア、ソフトウェア、ネットワーク等)及びデータ。代表的なシステムには、人事給与、財務会計、文書管理等がある。(注16)インターネット接続系 主に、従来は情報系システムとして整理されてきた、インターネットメール、Web閲覧等に利用する情報システム(ハードウェア、ソフトウェア、ネットワーク等)及びデータ

図表0-2 三層の構えの概念図

地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針

エ 強化対策費補助金による補助事業等の概要

総務省は、11月報告を受けて、各地方公共団体に対して「新たな自治体情報セキュリティ対策の抜本的強化について」(平成27年12月総務大臣通知。以下「12月通知」という。)を発し、三層の構えを講ずることにより情報セキュリティ対策の抜本的な強化を図るよう要請するとともに、地方公共団体が行うこれらの対策に要する経費を総額510億円と見積もり、その2分の1を地方公共団体情報セキュリティ強化対策費補助金(以下「強化対策費補助金」という。)として、平成27年度補正予算により地方公共団体に交付することとした。また、残りの地方負担額については、原則として、地方負担額の100%まで地方債で充当できることとし、後年度における元利償還の財源は、地方財政計画の策定及び地方交付税の算定を通じて確保することとされた。

そして、平成27年度補正予算に強化対策費補助金として254億9859万余円が計上され、総務省は、27年度及び28年度に地方公共団体に対し強化対策費補助金を交付している。その交付額は、図表0-3のとおり、46都道府県及び1,727市区町村の計1,773地方公共団体に対する計233億4588万余円となっている。その内訳は、都道府県に対する交付額が67億8538万余円(29.0%)、市区町村に対する交付額が165億6050万円(70.9%)となっている。

図表0-3 強化対策費補助金の交付実績額等

区分地方公共団体数 交付実績額(千円)交付実績額の合計に占める割合

(%)

交付対象地方公共団体数平成27年度28年度
都道府県47 46 6,785,389 6,785,389 29.0
市区町村1,741 1,727 60,901 16,499,599 16,560,500 70.9
合計1,788 1,773 60,901 23,284,988 23,345,889 100.0

強化対策費補助金の交付要綱等によれば、強化対策費補助金は、地方公共団体の情報セキュリティ対策の強化を図ることを目的として、「自治体情報システム強じん性向上モデル」の構築(以下「強じん性向上事業」という。)及び「自治体情報セキュリティクラウド」の構築(以下「セキュリティクラウド事業」という。)に要する経費を補助の対象としている。そして、原則として、自治体情報セキュリティクラウドは都道府県が市区町村におけるインシデントの初動対応を支援するためのツールであることから、都道府県に対してはセキュリティクラウド事業に要する経費を補助の対象としている。また、市区町村はマイナンバーの管理等を行うシステムである既存住基を保有していることから、市区町村に対しては強じん性向上事業に要する経費を補助対象としている。一方、都道府県がセキュリティクラウド事業の実施後に行う自庁の強じん性向上事業に要する経費を、また、市区町村が強じん性向上事業の実施後に行うセキュリティクラウド事業に要する経費を、それぞれ補助対象とすることを妨げないとされている。そして、人口規模等によって算定した補助基準額を上限とした額又は各地方公共団体からの申請額のうち補助対象経費として認められる額のいずれか低い額の2分の1について強化対策費補助金を交付することとされている。

三層の構え及び情報セキュリティ対策と強化対策費補助金との関係を示すと図表0-4及び図表0-5のとおりである。

図表0-4 三層の構え及び情報セキュリティ対策の概念図

地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針

図表0-5 三層の構え及び情報セキュリティ対策と強化対策費補助金との関係

三層の構え情報セキュリティ対策強化対策費補助金「3検査の状況」における記述箇所
事業の名称主な事業主体
二要素認証及び情報持出し不可設定の導入a マイナンバー利用事務系の端末への二要素認証の導入 強じん性向上事業 市区町村 (2)ア
b マイナンバー利用事務系の端末からの情報持出し不可設定の導入
c マイナンバー利用事務系の分離の徹底 (2)イ
LGWAN接続系とインターネット接続系の分割d LGWAN接続系とインターネット接続系の分割
自治体情報セキュリティクラウドの構築e 自治体情報セキュリティクラウドの構築 セキュリティクラウド事業 都道府県 (2)ウ

それぞれの事業及び経費の内容は次のとおりとなっている。

(ア) 強じん性向上事業

強じん性向上事業は、マイナンバー利用事務系の端末への二要素認証等の導入、LGWAN環境とインターネット環境等の分割等により、地方公共団体の庁内のネットワークの強じん性の向上を図る事業である。

強じん性向上事業の対象となる経費は、二要素認証等に必要なサーバや認証装置等の購入経費や端末設定に要する経費等となっている。

総務省は、強化対策費補助金の実施要領及び「地方公共団体情報セキュリティ強化対策費補助金執行Q&A」(以下「補助金Q&A」という。)において、強じん性向上事業については、マイナンバー利用事務系の他の領域からの分離を徹底した上で、①マイナンバー利用事務系の端末への二要素認証の導入、②マイナンバー利用事務系の端末からの情報持出し不可設定及び③LGWAN接続系とインターネット接続系の分割の情報セキュリティ対策を必須要件としており、これらの項目を実施せずに行った情報セキュリティ対策に要した経費は強化対策費補助金の交付対象とはならない(ただし、上記の項目を既に実施している場合や他の事業により実施予定の場合は交付対象となる)としている。

(イ) セキュリティクラウド事業

セキュリティクラウド事業は、都道府県と市区町村が協力してインターネット接続系において高度な情報セキュリティ対策を講ずるために、インターネット接続口を集約した上で、自治体情報セキュリティクラウド(図表0-6参照)を構築し、高度なセキュリティ対策を講ずる事業である。

強化対策費補助金の実施要領によれば、セキュリティクラウド事業においては、各市区町村が個別に設置しているWebサーバ等を都道府県が構築する自治体情報セキュリティクラウドに集約し、監視を始め高度なセキュリティ対策を実施するとされている。

セキュリティクラウド事業の対象となる経費は、都道府県にWebサーバ等を集約するための機器やファイアウォール等のセキュリティ対策ツールの購入経費やそれらの構築等に要する経費となっている。

図表0-6 自治体情報セキュリティクラウドの概念図

地方公共団体の情報システムのクラウド利用等に関する情報セキュリティポリシーガイドライン改定方針

オ セキュリティポリシーガイドラインの改定

総務省は、検討チームの報告及び30年7月に改定された「政府機関等の情報セキュリティ対策のための統一基準群」の内容等を踏まえて、同年9月にセキュリティポリシーガイドラインを改定している。この改定により、自治体情報セキュリティ対策の抜本的強化に当たり、マイナンバー利用事務系、LGWAN接続系及びインターネット接続系において、情報システム全体の強じん性の向上(以下「強じん化」という。)のための措置を講ずることについて、その方法等が具体的に記載された。

カ 総務省による支援PFの構築等

総務省は、8月報告を受けて、地方公共団体における情報セキュリティ対策向上に寄与することを目的として自治体情報セキュリティ支援プラットフォーム(以下「支援PF」という。)を事業費3780万円で構築等し、27年9月から運用を開始している。

支援PFは、ネットワークシステム上で地方公共団体の担当者が情報セキュリティの専門家から助言を受けたり、他の地方公共団体との事例の共有を行ったりすることができるものである。また、地方公共団体からの要望により、地方公共団体の担当者が質問を投稿して他の地方公共団体に回答を依頼することができる掲示板機能等を事業費972万円で追加整備し(上記の構築等を合わせた事業費計4752万円)、28年3月から運用している。