我が国では、インターネット等の高度情報通信ネットワークの整備及び情報通信技術の活用の進展に伴って世界的規模で生じているサイバーセキュリティに対する脅威の深刻化等に伴い、情報の自由な流通を確保しつつ、サイバーセキュリティの確保を図ることが喫緊の課題となっている。
このような課題に対処するため、平成26年に、サイバーセキュリティに関する施策を総合的かつ効果的に推進し、もって経済社会の活力の向上及び持続的発展並びに国民が安全で安心して暮らせる社会の実現を図るとともに、国際社会の平和及び安全の確保並びに我が国の安全保障に寄与することを目的として、サイバーセキュリティ基本法(平成26年法律第104号。以下「基本法」という。)が制定されている。
基本法によれば、国は、サイバーセキュリティに関する総合的な施策を策定し、及び実施する責務を有するとされており、地方公共団体は、国との適切な役割分担を踏まえて、サイバーセキュリティに関する自主的な施策を策定し、及び実施する責務を有するとされている。そして、政府は、サイバーセキュリティに関する施策の総合的かつ効果的な推進を図るために、サイバーセキュリティに関する基本的な計画として、サイバーセキュリティ戦略を定めなければならないとされている。
27年9月に定められたサイバーセキュリティ戦略(平成27年9月4日閣議決定)によれば、地方公共団体は、取り扱う情報の機微性等の事情を踏まえて、政府機関等と同様のセキュリティを確保することが求められるとされている。そして、個人番号(注1)(以下「マイナンバー」という。)の導入に伴い、政府としても、サイバーセキュリティが確保されるよう基本法等に基づき必要な支援を実施していくとともに、地方公共団体の情報システムについて、社会保障・税番号制度(以下「マイナンバー制度」という。)の運用に係るセキュリティを強化する観点から必要な対策を検討し、講じていくとされている。また、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「マイナンバー法」という。)に規定されたマイナンバー利用事務(注2)において使用するシステムについて、インターネットから独立するなどの高いセキュリティ対策を踏まえたシステム構築や運用体制の整備を含めて検討した上で、必要な措置を講ずるとともに、関係機関が連携して専門的・技術的知見を有する監視・監督体制を整備するとされている。
そして、マイナンバー利用事務は、マイナンバー法に基づき28年1月から行われている。
地方公共団体は、独自に情報システム及び情報通信ネットワークを構築して、住民に対して行政サービスを提供している。そして、地方公共団体が構築している情報システムは、大別して、住民基本台帳ネットワークシステム(以下「住基ネット」という。)に接続して戸籍事務等に使用する情報システム(以下「基幹系システム」という。)、LGWAN(注3)に接続して地方公共団体の事務を行う情報システム、インターネットに接続してメール、Web閲覧等に使用する情報システム等となっている。
地方公共団体等は、マイナンバー制度の導入に当たり、情報システムの整備(既存システムの改修を含む。)を行っている。そして、それらの情報システムにおいて、マイナンバー法に基づき28年1月からマイナンバー利用事務が実施され、29年11月から総務省が管理する情報提供ネットワークシステム(以下「情報提供NWS」という。)等を通じて相互に特定個人情報(注4)を照会し、又は提供する情報の連携が行われている(以下、特定個人情報の照会及び提供を合わせて「情報連携」という。)。また、情報連携の仕組みの構築に当たっては、国の行政機関の組織内のネットワークを相互に接続する政府共通ネットワーク及びLGWANがそれぞれ改修されて活用されている。
地方公共団体は、法令等に基づき、住民の個人情報(住民基本台帳に記載された住民の氏名、住所、生年月日、性別の情報や特定個人情報等。以下「住民情報」という。)等の重要な情報を多数保有するなどしている。そして、地方公共団体の業務の多くが情報システムやネットワークに依存していることから、住民生活等を保護するために情報セキュリティ対策を講じて、その保有する情報を守り、業務を継続することが必要となっている。
総務省は、各地方公共団体が情報セキュリティポリシーの策定や見直しを行う際の参考として、13年3月に、「地方公共団体における情報セキュリティポリシーに関するガイドライン」(平成30年9月最終改定。以下「セキュリティポリシーガイドライン」という。)を策定している。
セキュリティポリシーガイドラインによれば、情報セキュリティ対策を徹底するためには、対策を組織的に統一して推進することが必要であり、そのためには、地方公共団体は、明文化された文書として情報セキュリティポリシーを定めなければならないとされている。そして、基本法第5条において、地方公共団体がサイバーセキュリティに関する自主的な施策を策定して実施することが責務規定として法定化されたことを踏まえて、地方公共団体において情報セキュリティポリシーを策定することが必須となり、策定済みの地方公共団体においても適時適切に見直しを行うことなどが重要であるとされている。
また、セキュリティポリシーガイドラインによれば、情報セキュリティポリシーとは、組織内の情報セキュリティを確保するための方針、体制、対策等を包括的に定めたものとされている。そして、情報セキュリティポリシーは、各地方公共団体の情報セキュリティ対策における基本的な考え方を定めた「情報セキュリティ基本方針」(以下「基本方針」という。)と、基本方針に基づき全ての情報システムに共通の情報セキュリティ対策の基準を定めた「情報セキュリティ対策基準」(以下「対策基準」という。)で構成されるものとされている。
(1)イ(ア)のとおり、地方公共団体は、独自に情報システム及びネットワークを構築して住民に対して行政サービスを提供しており、総務省は、サイバー攻撃が急速に複雑・巧妙化している中で、地方公共団体の情報セキュリティ対策を強化することが喫緊の課題であるとしている。特に、マイナンバー法の成立によりマイナンバー利用事務及び全国の地方公共団体等の情報システムの情報連携が行われることとなったため、各地方公共団体においては、より一層情報セキュリティを強化することが必要とされた。
このような中、マイナンバー制度の施行を控えた27年5月に、日本年金機構が外部から標的型攻撃(注5)を受けて、同機構内のLANシステム上の共有フォルダに保存されていた約125万件(対象者約101万人分)の基礎年金番号、氏名等の個人情報がインターネットを通じて不正に外部に流出したとされる事案(以下、この標的型攻撃による個人情報流出を「年金情報流出事案」という。)が発生した。年金情報流出事案の原因の究明、再発防止策の検討等を行った同機構の調査委員会の報告書等によれば、年金情報流出事案を発生させた直接的な要因は、標的型攻撃を受けた場合における対応としてLANケーブルの抜線以外に具体的な定めがなく、事態の確認が遅れて有効な対策が講じられなかったことであるとされている。また、流出した個人情報には、所要のアクセス制限やパスワードの設定が行われていないものが多数あったとされている。
また、会計検査院は、年金情報流出事案について、会計検査院法第30条の2の規定に基づき、28年12月に、「年金個人情報に関する情報セキュリティ対策の実施状況及び年金個人情報の流出が日本年金機構の業務に及ぼした影響等について」を国会及び内閣に報告している。同報告において、年金情報流出事案の発生に対応するための経費として日本年金機構が見込んだ支出額が27年度決算額で計10億8379万余円となるほか、年金情報流出事案が発生したことにより支出されたと考えられる経費が計9418万余円(厚生労働省分4687万余円、日本年金機構分4730万余円)となるなどしていることや、年金個人情報流出者に対する対応等に集中して取り組む必要が生じたことなどを理由に国民年金保険料の未納者に対する督促状等を送付しなかったことで、消滅時効期間が経過した国民年金保険料が債権額にして1億2115万余円(会計検査院試算)となることなどを記述している。
そして、地方公共団体においても、年金情報流出事案から間もない27年6月に、日本年金機構と同様の標的型攻撃を受けて基幹系システムをネットワークから切断することを余儀なくされるなどの事案が発生している。
年金情報流出事案等を受けて、総務省は、同月に、地方公共団体におけるネットワークの接続形態の現状を確認するために、①基幹系システムが接続する内部ネットワーク(以下「基幹系NW」という。)、②①以外の地方公共団体の事務を行う上で必要なシステムが接続する内部ネットワーク(以下「情報系NW」という。)、③①及び②以外のネットワークで各種情報の検索、住民や企業からのメールの受信等を行う外部のインターネットと接続しているネットワークそれぞれの構成について調査した(以下「6月調査」という。)。
6月調査によれば、地方公共団体におけるネットワーク接続形態は、図表0-1のとおり、基幹系NWと情報系NWを分離して、インターネットを情報系NWに接続している形態(図表の1番から3番まで)や、基幹系NWと情報系NWを統合してインターネットにも接続している形態(同4番)が大半を占めており、多くの地方公共団体において、住民情報を扱う基幹系システムやLGWANに接続するシステムがインターネットに接続するネットワーク内にある状況となっていた。また、インターネットに接続しているネットワークは独立しているが、基幹系NWと情報系NWを統合している形態(同6番)も見受けられた。
図表0-1 地方公共団体におけるネットワーク接続形態
年金情報流出事案等を踏まえて、総務省は、地方公共団体の情報セキュリティに係る抜本的な対策を検討するために、27年7月に、情報システムに関する専門家等で構成する「自治体情報セキュリティ対策検討チーム」(以下「検討チーム」という。)を設置している。
総務省は、検討チームの会合において、6月調査の結果、地方公共団体において住民情報を扱うシステムやLGWAN、インターネットに接続しているシステムが分かれていない状況が確認されたことなどについて報告している。
検討チームは、同年8月に中間報告(以下「8月報告」という。)を取りまとめて、①組織体制の再検討、職員の訓練等の徹底、②インシデント即応体制の整備及び③インターネットのリスクへの対応の3項目について総務省に提言している。
そして、総務省は、各地方公共団体に対して、8月報告を参考に情報セキュリティ対策に積極的に努めるよう通知するとともに、同月に、検討チームにおける議論を踏まえた地方公共団体の情報セキュリティ対策の強化に係る留意事項について通知を発出して、助言等を行っている(以下、これらの通知を合わせて「8月通知」という。)。
8月報告及び8月通知の主な内容は次のとおりとなっている。
① 組織体制の再検討、職員の訓練等の徹底
② インシデント即応体制の整備
③ インターネットのリスクへの対応
検討チームは、8月報告で提言されていたシステムの強じん性の向上及び自治体情報セキュリティクラウドの構築について、次の①から③までの三層から成る対策(以下「三層の構え」という。図表0-2参照)を講ずることにより、同年11月に地方公共団体の情報セキュリティ対策を抜本的に強化することが必要であるとの報告(以下「11月報告」という。)を取りまとめて、総務大臣に報告している。
① 二要素認証及び情報持出し不可設定の導入
マイナンバー利用事務系(注12)(既存住基、税、社会保障、戸籍事務等)においては、原則として、他の領域との通信ができないように分離を徹底した上で、端末への二要素認証(注13)や端末からの情報持出し不可設定(注14)(以下、二要素認証と情報持出し不可設定を合わせて「二要素認証等」という。)の導入等を図ることにより、住民情報の流出を徹底して防ぐこと
② LGWAN接続系とインターネット接続系の分割
マイナンバーによる情報連携に活用されるLGWAN環境のセキュリティ確保に資するために、財務会計等のLGWANを活用する業務用システム(以下「LGWAN接続系(注15)」という。)と、Web閲覧やインターネットメール等のシステム(以下「インターネット接続系(注16)」という。)との通信経路を分割すること。なお、LGWAN接続系とインターネット接続系との間で通信する場合には、ウイルス感染のない無害化通信を図ること
③ 自治体情報セキュリティクラウドの構築
インターネット接続系においては、都道府県と市区町村が協力してインターネット接続口を集約した上で、自治体情報セキュリティクラウドを構築し、高度なセキュリティ対策を講ずること
図表0-2 三層の構えの概念図
総務省は、11月報告を受けて、各地方公共団体に対して「新たな自治体情報セキュリティ対策の抜本的強化について」(平成27年12月総務大臣通知。以下「12月通知」という。)を発し、三層の構えを講ずることにより情報セキュリティ対策の抜本的な強化を図るよう要請するとともに、地方公共団体が行うこれらの対策に要する経費を総額510億円と見積もり、その2分の1を地方公共団体情報セキュリティ強化対策費補助金(以下「強化対策費補助金」という。)として、平成27年度補正予算により地方公共団体に交付することとした。また、残りの地方負担額については、原則として、地方負担額の100%まで地方債で充当できることとし、後年度における元利償還の財源は、地方財政計画の策定及び地方交付税の算定を通じて確保することとされた。
そして、平成27年度補正予算に強化対策費補助金として254億9859万余円が計上され、総務省は、27年度及び28年度に地方公共団体に対し強化対策費補助金を交付している。その交付額は、図表0-3のとおり、46都道府県及び1,727市区町村の計1,773地方公共団体に対する計233億4588万余円となっている。その内訳は、都道府県に対する交付額が67億8538万余円(29.0%)、市区町村に対する交付額が165億6050万円(70.9%)となっている。
図表0-3 強化対策費補助金の交付実績額等
区分 | 地方公共団体数 | 交付実績額(千円) | 交付実績額の合計に占める割合
(%) |
|||
---|---|---|---|---|---|---|
交付対象地方公共団体数 | 平成27年度 | 28年度 | 計 | |||
都道府県 | 47 | 46 | - | 6,785,389 | 6,785,389 | 29.0 |
市区町村 | 1,741 | 1,727 | 60,901 | 16,499,599 | 16,560,500 | 70.9 |
合計 | 1,788 | 1,773 | 60,901 | 23,284,988 | 23,345,889 | 100.0 |
強化対策費補助金の交付要綱等によれば、強化対策費補助金は、地方公共団体の情報セキュリティ対策の強化を図ることを目的として、「自治体情報システム強じん性向上モデル」の構築(以下「強じん性向上事業」という。)及び「自治体情報セキュリティクラウド」の構築(以下「セキュリティクラウド事業」という。)に要する経費を補助の対象としている。そして、原則として、自治体情報セキュリティクラウドは都道府県が市区町村におけるインシデントの初動対応を支援するためのツールであることから、都道府県に対してはセキュリティクラウド事業に要する経費を補助の対象としている。また、市区町村はマイナンバーの管理等を行うシステムである既存住基を保有していることから、市区町村に対しては強じん性向上事業に要する経費を補助対象としている。一方、都道府県がセキュリティクラウド事業の実施後に行う自庁の強じん性向上事業に要する経費を、また、市区町村が強じん性向上事業の実施後に行うセキュリティクラウド事業に要する経費を、それぞれ補助対象とすることを妨げないとされている。そして、人口規模等によって算定した補助基準額を上限とした額又は各地方公共団体からの申請額のうち補助対象経費として認められる額のいずれか低い額の2分の1について強化対策費補助金を交付することとされている。
図表0-4 三層の構え及び情報セキュリティ対策の概念図
図表0-5 三層の構え及び情報セキュリティ対策と強化対策費補助金との関係
三層の構え | 情報セキュリティ対策 | 強化対策費補助金 | 「3検査の状況」における記述箇所 | |||
---|---|---|---|---|---|---|
事業の名称 | 主な事業主体 | |||||
① | 二要素認証及び情報持出し不可設定の導入 | a | マイナンバー利用事務系の端末への二要素認証の導入 | 強じん性向上事業 | 市区町村 | (2)ア |
b | マイナンバー利用事務系の端末からの情報持出し不可設定の導入 | |||||
c | マイナンバー利用事務系の分離の徹底 | (2)イ | ||||
② | LGWAN接続系とインターネット接続系の分割 | d | LGWAN接続系とインターネット接続系の分割 | |||
③ | 自治体情報セキュリティクラウドの構築 | e | 自治体情報セキュリティクラウドの構築 | セキュリティクラウド事業 | 都道府県 | (2)ウ |
それぞれの事業及び経費の内容は次のとおりとなっている。
強じん性向上事業は、マイナンバー利用事務系の端末への二要素認証等の導入、LGWAN環境とインターネット環境等の分割等により、地方公共団体の庁内のネットワークの強じん性の向上を図る事業である。
強じん性向上事業の対象となる経費は、二要素認証等に必要なサーバや認証装置等の購入経費や端末設定に要する経費等となっている。
総務省は、強化対策費補助金の実施要領及び「地方公共団体情報セキュリティ強化対策費補助金執行Q&A」(以下「補助金Q&A」という。)において、強じん性向上事業については、マイナンバー利用事務系の他の領域からの分離を徹底した上で、①マイナンバー利用事務系の端末への二要素認証の導入、②マイナンバー利用事務系の端末からの情報持出し不可設定及び③LGWAN接続系とインターネット接続系の分割の情報セキュリティ対策を必須要件としており、これらの項目を実施せずに行った情報セキュリティ対策に要した経費は強化対策費補助金の交付対象とはならない(ただし、上記の項目を既に実施している場合や他の事業により実施予定の場合は交付対象となる)としている。
セキュリティクラウド事業は、都道府県と市区町村が協力してインターネット接続系において高度な情報セキュリティ対策を講ずるために、インターネット接続口を集約した上で、自治体情報セキュリティクラウド(図表0-6参照)を構築し、高度なセキュリティ対策を講ずる事業である。
強化対策費補助金の実施要領によれば、セキュリティクラウド事業においては、各市区町村が個別に設置しているWebサーバ等を都道府県が構築する自治体情報セキュリティクラウドに集約し、監視を始め高度なセキュリティ対策を実施するとされている。
セキュリティクラウド事業の対象となる経費は、都道府県にWebサーバ等を集約するための機器やファイアウォール等のセキュリティ対策ツールの購入経費やそれらの構築等に要する経費となっている。
図表0-6 自治体情報セキュリティクラウドの概念図
総務省は、検討チームの報告及び30年7月に改定された「政府機関等の情報セキュリティ対策のための統一基準群」の内容等を踏まえて、同年9月にセキュリティポリシーガイドラインを改定している。この改定により、自治体情報セキュリティ対策の抜本的強化に当たり、マイナンバー利用事務系、LGWAN接続系及びインターネット接続系において、情報システム全体の強じん性の向上(以下「強じん化」という。)のための措置を講ずることについて、その方法等が具体的に記載された。
総務省は、8月報告を受けて、地方公共団体における情報セキュリティ対策向上に寄与することを目的として自治体情報セキュリティ支援プラットフォーム(以下「支援PF」という。)を事業費3780万円で構築等し、27年9月から運用を開始している。
支援PFは、ネットワークシステム上で地方公共団体の担当者が情報セキュリティの専門家から助言を受けたり、他の地方公共団体との事例の共有を行ったりすることができるものである。また、地方公共団体からの要望により、地方公共団体の担当者が質問を投稿して他の地方公共団体に回答を依頼することができる掲示板機能等を事業費972万円で追加整備し(上記の構築等を合わせた事業費計4752万円)、28年3月から運用している。