都道府県CIOフォーラム第17回春季会合の様子。東京・目黒の「ホテル雅叙園東京」で開催した。
(写真:新関 雅士、以下同じ)

都道府県CIOフォーラムは、第17回春季会合を2020年2月3日・4日の2日間、東京都内で開催した。初日はセキュリティ対策の新しい方向性について、テレワークなどへの影響も交えて議論。2日目午前は、AI(人工知能)・RPA(ロボットによる事務効率化)で見込める成果と活用時の課題について、午後は災害激甚化やICT浸透を踏まえたBCP(業務継続計画)と被災者支援のあり方について、事例を基に意見を交わした。冒頭の議事で、4月からの会長団体として京都府を選出した。

都道府県CIOフォーラムとは

都道府県および関係団体のCIO(情報化統括責任者)または情報化推進担当責任者で構成する任意団体。相互の情報共有や民間IT企業も含めた意見交換を通じて、IT施策の推進に寄与することを目的に2003年8月26日に設立された。基礎自治体にもオブザーバー参加を呼びかけており、今回は仙台市、神戸市が参加した。「日経BPガバメントテクノロジー」が事務局を務めている。

ディスカッション1 セキュリティ対策の見直しが本格始動

 初日は、日本年金機構での情報窃取注1)を受け2016~17年度に各自治体が導入したセキュリティ対策について、テレワークや業務効率を考慮した見直しの方向性を議論した。総務省の講演(別掲記事)に続き、同省ガイドライン改定検討会注2)でも議題になった神奈川県でのハードディスク転売に伴う情報流出について、報告と議論が行われた。

注1)日本年金機構での情報窃取
ウイルスメールによるサイバー攻撃で約125万件の年金個人情報が流出した事件。2015年5月に判明。
注2)ガイドライン改定検討会
地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会。

磁気破壊と物理破壊でデータ抹消

 神奈川県の市原敬ICT推進部長によると、2019年12月6日にハードディスクの盗難を公表し、容疑者が逮捕された。県は11日に問い合わせ専用ダイヤルを設置、16日に再発防止検討チームを発足させ、26日に県の担当者や有識者、弁護士からなる検討会議で再発防止策の基本方針を策定した。20年1月24日に同会議で再発防止策を取りまとめた。

市原 敬氏
神奈川県 総務局 ICT推進部長 CIO補佐官、CDO補佐官

 「個人情報や重要情報が保存された機器は、磁気破壊と物理破壊の両方でデータを抹消する、その際に複数の職員が立ち会う、機器は産業廃棄物として処理して事業者から報告を受ける、1カ月前までに機器の抹消措置実施計画を定めるなどの施策を決定した」(市原氏)。

 総務省の神門純一地域情報政策室長は、「検討会でNIST注3)基準を参考に指針を作成中。情報の機密性に応じて高中低に分類し、マイナンバー情報のような高は物理破壊、中は物理破壊や磁気破壊、低はデータ消去装置/ソフトで消去といった方向で検討中」と説明した。

注3)NIST
米国立標準技術研究所。

 福井県の藤野立秀統計情報課参事は、「12月の総務省通知は、物理破壊かつ担当者立ち会いを求めたが、修正の可能性はあるか。また、リース契約の場合はどうすべきか」と質問した。香川県政策部情報政策課の北村卓司専門監(情報)も、「情報の機密性ではPCなども物理破壊が必須になるのではないか」と尋ねた。

藤野 立秀氏
福井県 地域戦略部 統計情報課 参事(IT・業務改革)

 総務省の神門氏は、「通知は重要情報が大量保存された装置に限定している。当面は職員が立ち会って確実な履行を担保することとなる。ただ物理破壊のみにこだわるつもりはない。機密性を勘案し、適切な処置を選んでほしい。今後は一定の条件下では、証明書の交付を受けるなどの確認方法も検討している。新規のリースは、契約内容に破壊条項などを入れてほしい。既存の契約は、内容の変更を検討してほしい」と回答した。

 神奈川県の市原氏は、「当県ではリース契約の見直しを実施し、手数料や違約金などの費用は県が補填する方針」と対応を説明した。

分割されたネットワークに課題

 事前アンケートでは、庁内のLGWAN注4)接続系からインターネット上のサービスを利用する際の不都合として、(1)仮想端末(SBC注5)やVDI注6))の起動に時間がかかるほか帯域不足や同時接続数の制約がある、(2)ライセンス認証や証明書インストールが必要なソフトの利用が制約される、(3)有用で割安なSaaS注7)の利用が困難―などが挙がった。一方、業務端末をLGWAN系ではなくインターネット接続系に寄せた団体には、こうした不満はない。だが課題がないわけではない。

注4)LGWAN
総合行政ネットワーク。
注5)SBC
Server Based Computingの略。
注6)VDI
Virtual Desktop Infrastructureの略。
注7)SaaS
Software as a Serviceの略。

 京都府政策企画部の原田智情報政策統括監は、「どちらも一長一短がある。京都府はインターネット系に事務端末があるので、ウイルスメールで言えば、添付ファイル型は無害化できるので問題ないが、リンク型はサンドボックスですぐ対応するのが難しく、クリックする人をゼロにはできない」と課題を指摘した。

 広島県総務局業務プロセス改革課の坂本信義政策監は、両系間でのファイルのやり取りが課題という。「国や自治体からExcelなどのマクロ付きデータが送られてくると、インターネット系にも届くので、事業課がインターネット系で作業してしまう。LGWAN系にはマクロ付きデータは転送できないが、なんとかしてほしいとも言われる」。現在は、情報部門がウイルスチェックしたデータだけを事業課に戻している。

坂本 信義氏
広島県 総務局 業務プロセス改革課 政策監

 LGWAN系に業務端末がある三重県の飯村直樹情報システム課主査は、入札書類の原本性確保が悩み。「入札管理部門から、無害化で入札書類の原本性を保証できないのは困ると言われ、やむなく特定通信で対応している」(飯村氏)。

飯村 直樹氏
三重県 地域連携部 情報システム課 主査

 総務省検討会の委員でもある富山県経営管理部の半田嘉正情報企画監は、「インターネット系を守るセキュリティクラウドの効果は誰もが認めている。できればインターネット系とLGWAN系で自由にデータをやり取りできるようにしたいが、全自治体が無害化やウイルス監視をきちんと実施しているのか懸念がある。検討会で議論したい」と答えた。

テレワークはコストがハードル

 働き方改革や感染症対策、災害対応に有効なテレワーク/モバイルワークも、厳しいセキュリティ要件が導入の足かせになっている。

 コスト面から全庁展開をためらうのが香川県。北村氏は「テレワーク端末は現在100台弱。LTE閉域網なのでコストがかさむため、できればインターネットVPN注8)を利用したい。クラウドサービスも活用したい。ただセキュリティ要件をクリアできそうにない。20年度に全庁のPCでLTE閉域網が使えるように予算化を考えている」と悩みを明かした。

注8)VPN
Virtual Private Networkの略。仮想閉域網。

 宮崎県もコスト面が課題という。「リモートワーク用にLTE閉域網を1000ライセンス購入したが高い。リモートから使えない機能や共有フォルダーが見られないなどの制約もある」(喜多福一情報政策課主査)。

喜多 福一氏
宮崎県 総合政策部 情報政策課 主査

 総務省の飯村由香理情報流通高度化推進室長は、「テレワーク単体やセキュリティの補助という形ではないが、特別交付税措置の項目として加えたい」と財政措置を明言した。