情報セキュリティ白書2022　221001 第2章　情報セキュリティを支える基盤の動向（抜粋）2.1 国内の情報セキュリティ政策の状況 2.1.3 総務省の政策p81～

情報セキュリティ白書2022　221001

第2章　情報セキュリティを支える基盤の動向
（抜粋）
2.1 国内の情報セキュリティ政策の状況
2.1.3 総務省の政策p81～

（6）地方自治体の情報セキュリティ
本項では、自治体等の情報セキュリティ対策の見直し
について、総務省が 2021 年 9 月より開始した「地方公
共団体における情報セキュリティポリシーに関するガイドラ
インの改定等に係る検討会」からの公表情報等を参照し
て述べる。
（a）2021 年度の動向
2021 年 7 月、NISC の「政府機関等のサイバーセキュ
リティ対策のための統一基準群※ 15」が改定された。これ
を踏まえ、総務省は「地方公共団体における情報セキュ
リティポリシーに関するガイドライン」について、2020 年
12 月に改定した内容を維持しつつ、2021 年 9 月から12
月にかけて 3 回の検討会を実施※ 101、2022 年 3 月25
日に改定版を公開した※ 102。
主な改定内容は次の 4 点となる※ 103。
①業務委託・外部サービス利用時の情報資産の取り扱
いについて
• 外部サービスを「業務委託」と「外部サービス」に再
定義した上で、「機密性 2 以上の情報を取り扱う
場合」と「機密性 2 以上の情報を取り扱わない場
合」に区分し、取り扱う情報に応じたセキュリティ対
策を追記
• 機密性 2 以上の情報を取り扱う外部サービスの利
用ライフサイクルに渡るセキュリティ要件の追加、及
びシャドー IT 対策となる組織内のサービス利用規
定整備の要請を追記
• クラウドサービス選定の指標・基準等として ISMAP
や ISO/IEC 27017 等の第三者認証の活用を推奨
②未知の不正プログラム対策製品やソフトウェア等の導
入に加え、監視体制や CSIRTとの連携を留意点とし
て追記
③多様な働き方を前提としたセキュリティ対策として
• テレワークで職員が確認すべきチェック項目やショル
ダーハッキング防止等のテレワークの運用面に関す
るセキュリティ対策を追記
• BYOD（Bring Your Own Device）利用時のセ
キュリティ対策として IPアドレス、MACアドレス等
による端末認証や端末利用申請手続きの遵守、端
末に情報を保存できないようにする機能を設ける等
の対策を追記
• Web 会議サービス利用時のセキュリティ対策として
Web 会議に無関係な者が参加できないようにする
対策等を追記
④マイナンバー利用事務系から外部接続先（eLTAX、
ぴったりサービス）へのデータのアップロードについて、
地方公共団体に対してリスク分析と情報セキュリティ
対策の徹底を条件に認めることを追記

所感
地方は、国の指針（セキュリティ）が決まるまで、難しい
かと。エストニアより優れた、国家が完全に責任をとれる
クラウド（データ基盤）だと考える。
民間の業者は、セキュリティクリアランスがまず、最初
だと考える。