複雑すぎる自治体の「文書機密レベル」 職員も対応できる分かりやすい分類案とは？（1/3 ページ）

2024年10月に総務省ガイドラインが改訂され、自治体における情報資産の重要性分類の基準が見直された。分類をいくら複雑にしても、職員が運用できなければ意味がない。今回は、職員でも運用できる自治体の現状に合わせた分類案を考えたい。

[川口弘行，ITmedia]

　今回はデジタルとは直接関係のない話から始めます。

　筆者は業務の関係で全国の自治体を訪問しています。その際、役所のトイレを利用することがあるのですが、昨年あたりから男性用トイレの個室に「サニタリーボックス」が設置されているところが増えていることに気付きました。

　男性でも病気や加齢により、尿漏れパッドなどの衛生製品を使う方もいらっしゃるので、このような配慮が広がっていくのは大変素晴らしいことです。

サニタリーボックスの設置案内（著者撮影）

　ただ、不思議だと思ったのが、特定の自治体や地域でこの動きがあるのではなく、全国各地で同じ時期に急激に設置が進んでいるということです。

　2022年11月10日の一般社団法人「日本トイレ協会」の記事では74市町村での導入とあり、衛生サービスを手掛ける日本カルミックによると、およそ230を超える自治体の庁舎や公共施設などで設置されているとのことです。

　法律や通達で設置を努力義務にしているわけでもなさそうなので、それぞれの自治体がどこかの事例を参考にして取り入れているのだと思います。ここでの私の気付きは、

• 公共の福祉の担い手である公的機関が、
• 多くの方に支持されて、
• 低コスト（人的コストも含む）で取り組めるもの

は、広まりやすい、ということです。

　特に「低コスト」は大切な要素で、資源の制約のある自治体にとって、初期コストだけでなくランニングコストも低廉な施策でなければ、維持し続けることができません。サニタリーボックス自体のコストはそれほど高くもありませんし、汚物の処理も通常の清掃の中で対応可能なので、ランニングコストへの影響もほぼないでしょう。

　一方、自治体DXはどうでしょうか？　もし自治体のデジタル変革が進まないと感じているのならば、「さほど支持されていない」「高コスト」な施策に取り組んでいる、ということはないでしょうか？

著者プロフィール：川口弘行（かわぐち・ひろゆき）

川口弘行合同会社代表社員。芝浦工業大学大学院博士（後期）課程修了。博士（工学）。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。

2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。

2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。

現在は、全国のいくつかの自治体のCIO補佐官、アドバイザーとして活動中。総務省地域情報化アドバイザー。公式Webサイト：川口弘行合同会社、公式X：@kawaguchi_com

機密性の分類基準がより複雑に……「総務省ガイドライン」改訂

　さて、今回は「自治体における情報セキュリティの考え方」について、総務省のガイドラインのうち、2024年10月に改定された点を中心に考えを整理していきます。

　改定されたガイドラインは総務省のWebサイトにあります。

図：令和6年10月のガイドライン改定のポイントについて（総務省）

　今回の改定は、一言でいうと「クラウドファーストへの現実的な対応」でしょうか。自治体が自ら情報システムを管理する時代から、外部のサービスを適切に利用していく姿へ転換していく過程で、そのセキュリティ対策を考えていきましょう、ということです。

外部サービス利用型への転換

　これまで、自治体の情報セキュリティ対策は主に目の前のネットワーク、システム、情報資産という「モノ」に焦点を当てていました。

　一方、クラウドサービスなど外部のサービスの場合は、自治体が直接それらのサービスの内容をコントロールすることができません。その代わり、サービス提供事業者が自治体との約束事（約款）の範囲で、適切にサービスを提供しているのか、セキュリティ対策を行っているのかという「行動」に焦点を当てることになります。

　事業者に「適切な行動」をしているのか確認する際、どういった行動が適切なのかを合意しておかないと、互いの主張が食い違う可能性もあります。また「あなたは適切な行動をしていますか」と尋ねるだけでは、相手がウソを言う可能性もあります。

　したがって、情報セキュリティの分野ではセキュリティポリシー（この場合は、対策基準と実施手順）に基づいて行動の内容を約款や委託契約により合意し、その内容に沿った行動をしているのかを、エビデンス（証跡）に基づいて確認する「監査」というアプローチが増えてくるでしょう。

機密性分類基準の見直し

　今回の改定で私が違和感を抱いたのは、この機密性分類基準の見直しです。

　これまでは、情報資産の重要性分類として、機密性が3段階、可用性が2段階、完全性が2段階の分類がなされていました。自治体はこの分類ごとに情報資産の取り扱い方法を定め、運用していくことが求められているのですが、分類をいくら複雑にしても、職員が運用できなければ意味がありません。

　そのため、前回の記事では、この分類を3段階に整理して、分離した3つのネットワークと対応付ける方法を提案していました。

（関連記事：その情報、ChatGPTに読み込ませても大丈夫？　自治体DXの専門的立場から考える）

　ところが、今回の改定でこの分類のうち、機密性分類が3段階から5段階に増えたのです。具体的には機密性3が細分化され、機密性3A、3B、3Cという段階が新設されました。なぜこのような見直しが行われたのかというと、国のセキュリティポリシーにおける機密性と対応付けたいためでしょう。

　ここから、いずれは国と自治体の情報連携をさらにシームレスに行わせたい（国の施策に自治体を手足のように使いたい）という意図が透けて見えます。

図：ガイドラインによる新たな情報資産の重要性分類

　その結果、自治体のセキュリティ対策ガイドラインにもかかわらず、機密性分類の名称が「自治体機密性」という国のセキュリティポリシーの付属品のような扱いにされています。