地方自治体に必要な情報セキュリティポリシーとは？知っておくべきガイドラインのポイントと対応策

地方自治体の情報セキュリティポリシーは、住民の個人情報や行政サービスの安全を守るのに不可欠です。最新のガイドラインでは、サイバー攻撃の対策をはじめ、自治体が直面するリスクに即した対応策が明示されています。主なポイントを確認しておきましょう。

地方自治体における情報セキュリティポリシーの重要性

デジタル社会の進展に伴い、地方自治体は多様な個人情報や行政データを扱うため、以下のようにサイバー攻撃の標的となるリスクが急速に高まっています。

自治体の情報システムが停止すれば、住民生活や地域経済活動に深刻な影響を及ぼすため、セキュリティ対策は行政運営の根幹を支える重要な取り組みです。

サイバー攻撃によるリスクの増大

近年、ランサムウェアや標的型攻撃などのサイバーインシデントが国内外で頻発し、実際に日本の自治体でも業務停止や大規模な個人情報流出の事例が発生しています。

自治体は住民の個人情報だけでなく、行政サービスに不可欠なシステムやデータを多数保有しているため、ネットワークの相互接続が進む現在では、一つの自治体の脆弱性が他の自治体や国機関へ波及するリスクも現実的な問題です。

総務省の2025年版ガイドライン「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）」では、こうした事態に備えた「サイバーレジリエンス」の確保が求められており、業務継続計画（BCP）やインシデント発生時の迅速な復旧体制の整備が重要視されています。

※出典：地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）｜総務省

情報セキュリティポリシーの策定が必須に

サイバーリスクの拡大を背景に、地方自治体には情報セキュリティポリシーの策定と運用が求められてきました。

これまでは自治体の自主判断に任されていた「サイバーセキュリティ基本方針」の策定ですが、2024年の地方自治法改正により、すべての自治体に対して策定・公表が義務付けられ、2026年4月1日までの公表が求められています。

さらに、2025年版ガイドラインでは、この基本方針が監査対象として評価されることが明示されており、無線LANのクライアント証明書認証やMFA（二要素認証）などの具体的技術対策が実施されているかも確認項目となります。

これらのポリシーは、単なる文書整備にとどまらず、全庁的な周知・定着や継続的な訓練を通じた実効性の確保が求められています。

※出典：サイバーセキュリティを確保するための方針の策定等に関する総務大臣指針について｜総務省自治行政局 デジタル基盤推進室

法制度の整備とガイドラインの役割

総務省のガイドライン「地方公共団体における情報セキュリティポリシーに関するガイドライン（令和7年3月版）」は、改正地方自治法の施行を踏まえ、大幅な改訂がなされた最新版です。

このガイドラインは、各自治体が情報セキュリティポリシーを策定・見直す際の具体的な指針として位置付けられており、クラウドの活用やインシデント対応、さらにはリスク評価手法の標準化など、現場の実情に即した内容が網羅されています。

さらに、2025年版ではネットワーク構成の標準モデルとして、従来の「αモデル」から進化した「α′モデル」や「β′モデル」など、多様な構成が提示されており、自治体ごとの業務ニーズや予算状況に応じた柔軟な導入が可能となっています。

これにより、業務効率とセキュリティの両立を図りつつ、全国的なセキュリティ水準の底上げが目指されています。

2025年改定ガイドラインの主なポイント

令和7年（2025年）版のガイドラインでは、自治体の情報セキュリティ体制を抜本的に強化するため、多くの重要項目が追加・修正されました。以下、特に注目すべきポイントを解説します。

サイバーセキュリティ基本方針の策定義務化

2024年の法改正により、すべての自治体に対して「サイバーセキュリティ基本方針」の策定と2026年4月1日までの公表が義務化されました。

これは従来の運用規程とは異なり、組織全体のセキュリティ姿勢を明確に示す上位方針であり、危機対応体制、職員の役割分担、委託先との責任関係など、戦略的視点からの整理が求められます。

さらに、ガイドラインではこの方針が監査評価の対象となることが明示されており、形骸化した文書ではなく、実効性ある運用が求められます。これにより、説明責任の強化と、組織の統制力向上にも寄与する仕組みとなっています。

情報の機密性分類（3A・3B・3C）の導入

新ガイドラインでは、情報資産をその重要性や影響度に応じて三段階に分類する「機密性分類（3A・3B・3C）」の運用が再定義されました。

3Aは最も高い機密性を要する情報、3Bは中程度、3Cは一般的な業務情報に分類され、それぞれに応じたアクセス制御、保存形式、廃棄基準の整備が求められます。

2025年版では、これらの分類を情報資産台帳と連動させ、組織的に管理する運用ルールが具体化されており、不要な過剰管理を避けつつ、重要情報の取り扱いを確実にするための実務的指針が整備されました。適切な分類と保護により、業務効率とセキュリティの両立が実現されます。

サイバーレジリエンス（復旧能力）の強化

サイバー攻撃による被害を完全に防止することは困難であるとの前提に立ち、自治体には「サイバーレジリエンス」、すなわちインシデント発生後の迅速な復旧能力の確保が強く求められるようになりました。

2025年版ガイドラインでは、BCP（業務継続計画）の策定だけでなく、復旧目標時間（RTO）の設定、災害時訓練やシナリオベースの対応演習の実施が推奨されています。

また、システムの冗長化や、クラウドへのデータバックアップ体制の整備など、実際の復旧能力を伴う体制構築が求められており、従来の“計画だけの対策”から、“実行可能性重視の対策”へと転換が進められています。

クラウドサービス・委託先管理の強化

クラウドの利用が広がる中、ガイドラインでは「α′モデル」など新たなネットワーク構成の導入を通じて、ガバメントクラウドとの連携を強化する方向性が明示されました。

これにより、クラウド利用時のセキュリティ要件として、アクセス制御、認証の厳格化、サービス提供者の信頼性評価などが具体的に定められています。

また、外部委託に関しても、契約締結時にセキュリティ条件を明記し、情報の削除義務や監査対応義務を含めた管理体制を求める内容へと強化されました。

契約終了後のデータ取り扱いまで含めた情報保護体制の整備が、組織としての信頼性を確保する要件となります。

公金収納事務のデジタル化推進

行政手続のオンライン化に伴い、公金収納業務でも電子決済やキャッシュレス決済の導入が進んでいます。

これを受け、ガイドラインでは公金収納に関するセキュリティ対策の具体化が図られ、特にオンライン決済情報の暗号化処理や不正アクセス対策、通信の安全性の確保などの技術要件が明示されました。

また、決済代行事業者との契約に際しては、セキュリティポリシーの整合性確保や、事故発生時の責任分担を明文化することが求められます。

公金の取り扱いは住民の信頼に直結するため、従来以上に厳格なガバナンスと監視体制が不可欠となっています。

地方自治体が直面する課題と対応策

ガイドラインの改定により、自治体にはより高度なセキュリティ対策が必要になりましたが、現場では人材不足や予算制約・業務の複雑化など、多くの課題が顕在化しています。多くの自治体が抱える課題と、解決のポイントを確認しておきましょう。

人材の教育とリソースの確保

サイバーセキュリティの分野では、地方自治体における専門人材の慢性的な不足が深刻な課題となっています。多くの自治体では、情報システム管理を担う職員が他業務と兼務しており、最新の攻撃手法や技術に関する十分な知識を維持するのが困難です。

こうした状況に対しては、外部ベンダーの活用や、都道府県単位での人材シェアリング、eラーニングによるリテラシー向上など、柔軟なリソース確保策が必要です。

国は「セキュリティファシリテーター」の育成支援を進めており、地域ごとに核となる人材を育てることで、全体のセキュリティ水準を底上げする施策が展開されています。

自治体は限られた予算の中でも、計画的かつ持続可能な人材育成に注力する必要があります。

標準化・共同化による効率的な対策の推進

自治体ごとに個別にセキュリティ対策を講じることには、コスト面・技術面の両面で限界があります。

そこで近年は、自治体間で共通仕様を活用し、業務・システムを標準化・共同化する動きが加速しています。2025年版ガイドラインでも、ガバメントクラウドや都道府県単位の共同センターの活用が推奨されており、災害時のデータ保全やインシデント発生時の対応力を強化する手段として位置付けられています。

共通基盤を導入することで、個別対策に伴う冗長性を解消しつつ、セキュリティ水準の統一と運用効率の向上を同時に実現できます。

今後、全ての自治体がこの標準化の流れに適切に乗り、広域的なセキュリティ連携体制を構築することが不可欠となるでしょう。

改定ガイドラインを踏まえて現実的な対応を進めよう

2025年版ガイドラインは、デジタル行政時代にふさわしい情報セキュリティ体制の構築に向けた実践的な指針を提示するものです。

全ての自治体は、自組織のリスク特性や業務の実情に応じて、このガイドラインを基盤とした現実的なセキュリティ戦略を策定・実施する必要があります。人材の確保や予算の制約といった課題は残るものの、ガバメントクラウドや共同センター、外部教育資源の活用により、持続可能な体制整備は可能です。

まずは自組織のセキュリティポリシーを点検し、法制度と連動した計画的な改善を進めることが重要です。自治体が住民に対し安心・安全なサービスを提供し続けるには、実効性ある情報セキュリティの確立が不可欠です。