ページトップ
  • 国会及び内閣に対する報告(随時報告)
  • 会計検査院法第30条の2の規定に基づく報告書
  • 令和2年1月

国による地方公共団体の情報セキュリティ対策の強化について


前文

我が国では、インターネット等の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化等に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている。

また、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)の成立により、マイナンバー利用事務並びに国、地方公共団体等の各機関の間でマイナンバーをその内容に含む個人情報(特定個人情報)について情報照会及び情報提供を行う情報連携が行われることとなっており、地方公共団体の情報セキュリティ対策の強化は公的機関全体にとって重要な課題となっている。

このような中、マイナンバー制度の施行を控えた平成27年5月に日本年金機構が外部から標的型攻撃を受け、日本年金機構内のLANシステム上の共有フォルダに保存されていた個人情報が外部に流出する事案が発生したことは、多くの住民情報を扱う地方公共団体にとって重大な警鐘となった。

上記の事案等を踏まえ、総務省は、同年12月に各地方公共団体に通知を発出して、三層から成る対策を講ずることにより情報セキュリティ対策の抜本的強化を図るよう要請するとともに、27、28両年度に地方公共団体へ、情報セキュリティ対策の強化を目的とする補助金を交付している。また、マイナンバー利用事務が28年1月から、情報連携が29年11月から行われている。

本報告書は、以上のような経緯等を踏まえて、地方公共団体における情報セキュリティ対策強化等の状況について検査を実施し、その状況について取りまとめたことから、会計検査院法(昭和22年法律第73号)第30条の2の規定に基づき、会計検査院長から衆議院議長、参議院議長及び内閣総理大臣に対して報告するものである。

令和2年1月

会計検査院


目次

1 検査の背景

(1) 情報セキュリティ対策に係る制度等の概要

ア 国及び地方公共団体における情報セキュリティ対策に係る制度等の概要
イ 地方公共団体における情報システム、情報セキュリティ対策等の概要

(2) 情報セキュリティ対策の強化の概要等

ア 地方公共団体の情報セキュリティ対策の強化の経緯
イ 総務省による地方公共団体への助言等
ウ 検討チームによる総務省への11月報告
エ 強化対策費補助金による補助事業等の概要
オ セキュリティポリシーガイドラインの改定
カ 総務省による支援PFの構築等

2 検査の観点、着眼点、対象及び方法

(1) 検査の観点及び着眼点

(2) 検査の対象及び方法

3 検査の状況

(1) 強化対策費補助金の交付状況

ア 都道府県への強化対策費補助金の交付状況
イ 市区町村への強化対策費補助金の交付状況

(2) 三層の構えによる情報セキュリティ対策の強化の実施状況等

ア マイナンバー利用事務系の端末等の二要素認証等の実施状況等
イ マイナンバー利用事務系等の分離、分割等の実施状況等
ウ 自治体情報セキュリティクラウドによる高度なセキュリティ対策の実施状況等
エ 情報セキュリティ対策の実効性を確保するための体制整備等

(3) 支援PFの利活用の状況

ア 支援PFへの情報の登録等の状況
イ 支援PFの利用等の状況

4 所見

(1) 検査の状況の概要

(2) 所見

  • 本文及び図表中の数値は、表示単位未満を切り捨てている。
  • 上記のため、図表中の数値を集計しても計が一致しないものがある。

事例一覧

[一要素による認証で端末にログインした職員等が、マイナンバー利用事務系の端末のローカルドライブ等に保存された特定個人情報のデータにアクセスできる状況となっていたもの]

<事例1>

[マイナンバー利用端末の一部に情報持出し不可設定を導入しておらず、マイナンバー利用端末の全てに導入する予定があるとしていないもの]

<事例2>

[期限を設けることなく情報持出し不可設定を解除する運用を行っていたもの]

<事例3>