地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や参考にすべき部分について

INDEX

    総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」は、国家組織としてセキュリティに対する取り組みの指針や目標となる部分です。

    今回は、地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や、参考にすべき部分についてご説明します。


    地方公共団体における情報セキュリティポリシーに関するガイドラインとは

    まずは、地方公共団体における情報セキュリティポリシーに関するガイドラインについて、簡単に説明します。

    地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 2 年 12 月版)

    上記を参考にしておりますので、お時間のある時に公式のPDFにも目を通しておくことをおすすめします。

    地方公共団体における情報セキュリティポリシーに関するガイドラインの目的

    一言に地方公共団体と言っても、組織の規模を問わなければ数限りない団体があります。それぞれが独自に情報セキュリティに努めているような状況において、情報セキュリティポリシーを策定や見直しする際に役立てて欲しいと作られたのが、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の目的です。

    地方公共団体における情報セキュリティポリシーに関するガイドラインの経緯

    総務省では、地方公共団体や官公庁など、日本が「世界最先端の情報セキュリティ先進国」となることを最終的な目標として掲げており、段階的にガイドラインの見直しを続けています。ITが普及する速度、ITが進化する速度にあわせてセキュリティの強化は必要です。

    しかし、技術に人が付いていけてない、もしくは、現場が間に合わないといったような状況があるのも事実です。各種専門家と共同で作成したガイドラインを適宜アップデートすることで、日本全体における情報セキュリティの強化を促していると言えます。

    地方公共団体における情報セキュリティポリシーに関するガイドラインの考え方

    ガイドラインでは「情報セキュリティの確保に絶対の安全はない」という文言があります。同時に地方公共団体の提供するサービスは民間などで代替できないケースが多く、個人情報の利用を前提としているものも少なくないことから、強固な情報セキュリティが必要になります。もちろんこれまでもネットワークやシステム、プログラムやデバイスも含めてセキュリティ強化を行ってきてはいますが、さらに人的な部分のセキュリティを強化すること、強化し続けることが大事というのが、ガイドラインの基本的な考え方と言えます。

    地方公共団体における情報セキュリティポリシーに関するガイドラインの必要性

    地方公共団体や組織においてセキュリテインシデントが発生した場合、直接的な被害を受けるのはその組織に属する民間の人間です。個人情報の内容によっては個人を特定するどころか、悪用できてしまう可能性も高いでしょう。国家として、国民を守るために情報セキュリティポリシーが必要であることを、このガイドラインは示しています。同時に、基本方針や対策基準を骨格として策定することで、最低限のセキュリティレベルを確保することにもつながります。

    地方公共団体における情報セキュリティポリシーに関するガイドラインの実施サイクル

    ・策定/導入 「ポリシー/実施手順の策定/周知」
    ・運用 「対策の実施/障害時の対応」
    ・評価 「監査/点検」
    ・見直し 「ポリシー/実施手順の更新」

    上記は、情報セキュリティポリシーのガイドラインにおける実施サイクルの基礎となる部分です。PDCAサイクルになっており、改善を続けることで、より強固な情報セキュリティになる仕組みと言えます。地方公共団体においては、直接的に国民の情報に影響することを考えると、「安心・信頼」できる仕組みであることは大前提です。国民が安心して情報を預けられること、また、生活や人生における手助けとなる公的なサービスを利用してもらうためにも、情報セキュリティの強化及び改善は必須であると言えるでしょう。

    もっと知りたい! 公共団体600団体が導入実施した「三層の対策」とは? >>

    地方公共団体における情報セキュリティポリシーに関するガイドラインの参考にすべき部分

    次に、地方公共団体における情報セキュリティポリシーに関するガイドラインの、特に参考にすべき部分をいくつか見てみましょう。

    情報セキュリティポリシーの策定及び導入の手順

    ガイドラインの情報セキュリティポリシーの策定や導入の手順は非常に参考になります。最低でも地方公共団体と同レベルの情報セキュリティポリシーの策定につながりますし、根拠や効果のない情報セキュリティポリシーを作らずに済みます。

    そもそもガイドラインとは目標や指標となる資料ですから、何もわからないまま策定や導入を行うよりも、各種専門家が協議し、総務省として提示したガイドラインを参考にすることは、効果的と言えるでしょう。

    情報セキュリティポリシーの運用・評価・見直しの流れ

    ガイドラインの情報セキュリティポリシーの運用・評価・見直しの流れも参考になります。特に情報セキュリティにおいては適宜アップデートしなければセキュリティ性を確保し続けることが難しいので、評価や見直しという考え方は絶対に取り入れるべきです。また、IT関連に疎い業界や業種によっては、情報セキュリティは敬遠しがちですし、運用や評価、見直しといった段階まで想定できていないこともあります。しかし何らかの顧客情報、個人情報を取り扱うのであれば、得手不得手や向き不向きではなく「情報セキュリティ対策は絶対に必要」と考えべきです。

    ガイドラインの例文を参考にした骨格作り

    ガイドラインには例文もあるため、情報セキュリティポリシーを作成する際の骨格作りにも役立ちます。同時に最低限どこまで考えるべきか、何を知っておくべきかの理解にもつながります。ガイドラインの話だけを見ているとわかりにくい部分はありますが、情報セキュリティポリシーは「サイバー攻撃に対する必要最低限の要素」であり、その必要最低限の要素も満たせず、顧客やユーザーに迷惑をかける結果となる可能性を忘れてはいけません。なぜ、このような策定が必要なのか、運営や評価、見直しが必要な理由への理解も深めるようにしましょう。

    具体的なPDCAサイクルや権限や担当の設定

    ガイドラインに記載されているPDCAサイクルも非常に参考となります。同時に権限の割り振りや担当の設定など、運用するための人員や役割についても考えるようにしましょう。環境によっては情報セキュリティが軽視されたり、疎かになったりすることもありますが、DXの推進、ITの進化に伴って必要な業務・作業であると理解しましょう。例えば、企業や組織として必要な業務や手順があるように、情報セキュリティについても軽視や疎かにしないことが大切です。

    物理的・人的・技術的セキュリティの再構築

    ガイドラインを通じて、物理的、人的、技術的セキュリティの再構築も検討しましょう。例えば、情報セキュリティに関する担当や部署がなければ構築すべきです。これからの時代、ITに関する法的な整備もさらに強化されることが予測されます。情報セキュリティが疎かであることで罰則、あるいはサイバー攻撃による被害を実際に受けてしまう可能性も否めません。普段の業務や作業に加えて、しっかりと情報セキュリティ対策をすること、情報セキュリティポリシーの策定、運用、評価、見直し(改善)となる仕組みを導入することをおすすめします。


    まとめ:最終的にはシステムや業務プロセスにガイドラインを適用しなければならない

    今回は 地方公共団体における情報セキュリティポリシーに関するガイドラインの概要や参考にすべき部分についてご説明しました。

    こういったガイドラインに関する説明を見ていると「詳しいことはわからないけれど、必要だということはわかっている」と頭を悩ませる場合もあるでしょう。同時に「どうやって情報セキュリティを導入、運営すれば良いかわからない」と考えることもあるかもしれません。

    もし、情報セキュリティに関する部分でお悩みであれば、当社の提供する「AssetView」をおすすめします。情報セキュリティポリシーを運用するために必要な情報セキュリティに関する機能を備えている他、情報資産やIT資産を守るための機能がありますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー

      オンライン配信

      12/16(金)17:00~17:30

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      トレンド

    • ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      オンライン配信

      12/9(金)11:00~11:30

      ご要件に合ったプランが選べる!AssetViewクラウドソリューションご紹介セミナー

      トレンド

    • WSUSでPC更新管理をしている企業様向け<br>ツール乗り換えで実現するコスト削減

      アーカイブ配信

      12/2(金)~2023/3/31(金)

      WSUSでPC更新管理をしている企業様向け!ツール乗り換えで実現する"コスト削減"

      トレンド

    • 不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      アーカイブ配信

      11/22(火)~2023/3/31(金)

      不具合を未然に防げる!業務に支障をあたえないWindows更新プログラム実行

      トレンド

    • ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      アーカイブ配信

      10/21(金)~2023/3/31(金)

      ネットワーク帯域不足でも大丈夫! 業務に支障をあたえないWindowsパッチ配布

      トレンド

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      10/6(木)~2023/3/31(金)

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      トレンド

    • 【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~Windows更新管理編(P)~

      運用支援

    • 【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      アーカイブ配信

      10/4(火)~2023/3/31(金)

      【入門編】AssetView 活用セミナー~不正PC遮断編(S)~

      運用支援

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『内部不正』が起きる要因と対策が分かるセミナー

      トレンド

    • わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      わかりやすく解説!改正個人情報保護法対応の現状とすぐにできる対策セミナー

      トレンド

    • 『IT資産管理の費用対効果』が説明できるようになるセミナー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      『IT資産管理の費用対効果』が説明できるようになるセミナー

      トレンド

    • 【初級編】AssetView 使い方レクチャー

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 使い方レクチャー~AssetView運用開始編~

      運用支援

    • テレワーク運用における困りごと3つを解決!

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      テレワーク運用における困りごと3つを解決!

      運用支援

    • 【初級編】活用セミナー~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~アプリケーション配布編(D)~

      運用支援

    • 【初級編】活用セミナー~デバイス管理編(G)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【初級編】AssetView 活用セミナー~デバイス管理編(G)~

      運用支援

    • 【中級編】機能別ワンポイント~Windows更新管理編(P)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~Windows更新管理編(P)~

      運用支援

    • 【中級編】機能別ワンポイント~アプリケーション配布編(D)~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【中級編】機能別ワンポイントセミナー~アプリケーション配布編(D)~

      運用支援

    • 【応用編】運用ワンポイント~AssetViewサーバー監視編~

      アーカイブ配信

      9/30(金)~2023/3/31(金)

      【応用編】運用ワンポイントセミナー~AssetViewサーバー監視編~

      運用支援

    ハンモックのプロダクト

    • AssetsView
      IT統合管理ソフトウェア
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化

    資料一覧はこちら