３分でわかる！「地方公共団体における情報セキュリティポリシーに関する
ガイドライン」改定のポイントを解説！＜2023年3月最新版＞

こんにちは、デジタルアーツ株式会社「FinalCode」製品担当です。

総務省が策定する「地方公共団体における情報セキュリティポリシーに関するガイドライン」（以下、「自治体ガイドライン」）が2023年3月に改定されましたが、ボリュームが多く、じっくり読む時間がないという方もいらっしゃるのではないでしょうか。

本記事では、2023年3月の改定のポイントについてわかりやすく解説しておりますので、
おおまかな改定内容を知りたい方や、地方公共団体のセキュリティ対策に携わっている方は、ぜひご一読ください！

３つの改定ポイント

今回のガイドラインにおける改定のポイントは、主に以下の３つです。
１．標準準拠システムなどのクラウドサービス利用に対応したセキュリティ対策
２．外部委託先管理の運用面に関するセキュリティ対策
３．昨今のサイバー攻撃に対するセキュリティ対策
それぞれ解説していきます。

１．標準準拠システムなどのクラウドサービス利用に対応したセキュリティ対策

この改定の背景には、2022年10月に閣議決定された「地方公共団体情報システム標準化基本方針」があります。現在は自治体により異なる行政システムが利用されていますが、この基本方針により、2025年度末までにデジタル庁が整備するマルチクラウドである「ガバメントクラウド」を活用した標準準拠システムへの移行が決定されました。

また、本方針において「地方公共団体が利用する標準準拠システム等の整備及び運用に当たっては、地方公共団体における情報セキュリティポリシーに関するガイドラインを参考にしながら、セキュリティ対策を行うものとする」とされたため、この記述に対応するセキュリティ対策について、自治体ガイドラインに追記することとなりました。

上記の背景により、ガイドラインの構成は以下のように変更され、クラウドサービスの特徴や選定・運用時の留意点などが追記されています。

２．外部委託先管理の運用面に関するセキュリティ対策

情報のライフサイクル全般での管理やサーバールーム入退室管理の徹底、委託先によるセキュリティチェックシートの提出など、より厳格な外部委託先管理が求められるようになりました。

この改定の背景には、2022年6月に発生した某自治体による個人情報流出事件が大きく影響しています。業務委託会社の再委託先の社員が、全市民の住民基本台帳の情報約46万人分をUSBメモリーにコピーして持ち出し紛失してしまったこの事件は今回の改定にも大きな影響を与え、外部へ重要な情報を運搬する場合はアクセス制御や暗号化を実施する、運搬された後の情報の管理を徹底するなどの対策例が追記されました。

３．昨今のサイバー攻撃に対するセキュリティ対策

近年における感染被害の拡大を受け、Emotet（エモテット）、ランサムウェア、フィッシングなどサイバー攻撃の特徴や対策例が追記されました。

◆「地方公共団体における情報セキュリティポリシーに関するガイドライン 第3編 第2章 6.4. 不正プログラム対策」の内容をもとにデジタルアーツが作成

以上３つが、自治体ガイドラインにおける改定のポイントとなります。

デジタルアーツでは、本ガイドラインに記載されている対策を実現する国産のWeb・メール・ファイルセキュリティ製品をご提供しており、地方公共団体における導入実績も非常に豊富です。同製品クラウド版は「政府情報システムのためのセキュリティ評価制度（ISMAP）」に登録されているため、セキュリティ面でも安心してご利用いただけます。 この機会に、ぜひご検討ください！

導入実績はこちら

▶ https://www.finalcode.com/jp/case/

機能一覧はこちら

▶ https://www.finalcode.com/jp/about/

お問い合わせはこちら

▶ https://sec2.daj.co.jp/bs/contact/