地方自治法の改正により、地方自治体におけるサイバーセキュリティ体制の強化が、法的に義務付けられました。これにより全自治体が統一的かつ、実効性のある情報セキュリティ体制の構築が、求められています。重要なポイントを押さえておきましょう。

地方自治法とサイバーセキュリティ強化の現状

行政サービスのデジタル化が進む中で、地方自治体における情報セキュリティの不備が、深刻なリスクとして問題視されています。そのため改正地方自治法では、自治体のサイバーセキュリティ体制の構築が法的に義務付けられました。詳しく確認していきましょう。

地方自治法改正の背景と目的

2024年6月、改正地方自治法が参議院本会議で可決・成立し、地方公共団体におけるサイバーセキュリティ対策の強化が、法的に義務付けられました。この背景には行政のDXの進展や、国・自治体間のネットワーク連携の拡大、サイバー攻撃の高度化・多様化などがあります。

近年、サプライチェーンを狙う攻撃や、標的型メールによる侵入など、攻撃の手法は高度化・巧妙化しているのが現状です。行政機関も情報の流出や機能停止といった、重大なリスクを抱えているため、国全体としてのセキュリティレベルの底上げのため、同法の改正に至っています。

※出典:地方自治法の一部を改正する法律(令和6年法律第65号)

総務省がサイバーセキュリティに関するガイドラインを策定

これまで地方自治体の情報セキュリティ対策は、各自治体の判断に委ねられていました。しかし、改正法では総務省が示すガイドラインを基に、全自治体が「サイバーセキュリティ基本方針」を策定し、2026年4月1日までに公表することが義務化されています。

従来、情報セキュリティ対策の内容や実施状況にはばらつきがあり、特に小規模な自治体では、専門人材や予算の確保が課題となっていました。こうした格差を是正するため、国が一定の指針を示し、それに基づいた統一的な体制整備を求めています。

基本方針としてリスクの評価・管理、責任体制や、教育訓練の方針などが盛り込まれ、形式的な整備にとどまらず、実効性ある運用が期待されています。

※出典:サイバーセキュリティを確保するための方針の策定等に関する総務大臣指針について|総務省自治行政局 デジタル基盤推進室

地方自治体に求められるサイバーセキュリティ対策

上記のように、新たな法的義務を受けて地方自治体には、実践的なサイバーセキュリティ対策の整備が求められます。各自治体が取り組むべき具体的な対策と、実現に必要なポイントを確認しておきましょう。

サイバー攻撃の脅威に対する意識の共有

地方自治体に求められるセキュリティ対策の第一歩は、組織全体でサイバー攻撃の脅威に対する共通認識を持つことです。情報漏洩やサイバー攻撃による業務停止が引き起こす影響は、市民生活や行政運営に直結するため、危機意識の浸透が欠かせません。

単に技術的な防御を強化するのみならず、首長や部門責任者を含む全職員が、自らの業務に関連するリスクを理解する必要があります。その上で日常業務において、情報セキュリティを意識する文化を根付かせることが重要です。組織的な訓練や啓発活動を通じた、意識の底上げが求められています。

情報セキュリティ体制の整備と責任体制の明確化

改正地方自治法では、情報セキュリティに関する体制の整備と、責任体制の明確化がとりわけ重視されています。自治体内にセキュリティ対策を専門とする部署を設置し、担当者を明確に定めることで、問題発生時に迅速に対応できる体制の構築が必要です。

また、情報セキュリティ管理の責任が曖昧にならないように、意思決定の流れと指揮命令系統を整えることも重要です。加えて、非常時における対応マニュアルの整備や、外部機関との連携体制の確立も求められています。

ネットワークの三層分離とゼロトラストの導入

近年、地方自治体では情報システムの構成を見直し、内部ネットワークを三層(マイナンバー利用事務系・LGWAN接続系・インターネット接続系)に、分離する対応が広がっているようです。これは、万が一外部からの侵入があっても、被害の拡大を防ぐための措置であり、政府も強く推奨しています。

さらに、昨今は「ゼロトラスト」と呼ばれる考え方も導入されつつあります。これは「あらゆるアクセスを信頼しない」ことを前提として、徹底した通信の認証・検証をするセキュリティモデルであり、従来の境界防御型の限界を補う仕組みです。

地方自治体がこれらの仕組みを運用するには、一定の予算や人材が必要ですが、セキュリティ強化には避けて通れない道であり、積極的な導入が求められています。

職員のサイバーリテラシー向上と継続的な教育訓練

技術的な防御策と並行して求められるのが、職員一人一人のサイバーリテラシーの向上です。メールの誤送信やパスワード管理の不備、ソーシャルエンジニアリングへの対策など、人的要因によるインシデントは行政機関でも多発しています。

そこで、定期的な研修や模擬訓練などを実施し、職員が最新のセキュリティ知識と実践力を身に付けることが重要です。また、インシデント発生時の対応手順や報告体制を明確にして、迅速かつ的確な初動対応ができるように備える必要があります。

地方自治体も継続的なセキュリティの強化を

改正地方自治法は各自治体に対して、単なる一時的な対応ではなく、持続的かつ実効性のある情報セキュリティ体制の確立を求めています。自治体の業務は多岐にわたり、住民情報を扱う責任も重いため、セキュリティの確保を組織運営の根幹に位置付けることが重要です。

さらに今後は、技術の進化やサイバー攻撃の手法の変化などに応じて、ガイドラインの見直しや体制の柔軟な再構築も必要になるでしょう。自律的に課題を認識し、繰り返しセキュリティ体制の改善を図る姿勢が不可欠です。

低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる 低コスト&簡単運用 必要な機能だけを導入!だから低コストに始められる
編集部のイメージ画像
執筆者

Watchy編集部

従業員が安心して働ける環境を提供するための、IT資産管理、情報漏洩対策、労務管理に関するコンテンツを発信しています。

Watchyは、株式会社スタメンが運営するクラウドサービスです。企業のIT情報統制の課題やバックオフィスの課題を、情報システム担当者が手薄な状況でも、Watchyが解決。設定・運用の手間を最小化しながら、押さえるべきポイントを確実に押さえた企業統制の実現を支援します。

【株式会社スタメンについて】 東京証券取引所グロース市場上場。Watchy、TUNAGなど、人と組織の課題解決を実現するSaaSを展開。情報セキュリティマネジメントシステム(ISMS)及びプライバシーマークを取得。