始まるガバメントクラウド移行、自治体に求められるセキュリティ対策は（1/2 ページ）

[吉川大貴，ITmedia]

　政府やデジタル庁が主導する「ガバメントクラウド」（政府クラウド）。日本政府・自治体が使う共通クラウド基盤を定め、サーバ導入・運用コストの削減や、データ連携のしやすい環境作りを目指す取り組みだ。対象サービスとしてAWS、Azure、Google Cloud、Oracle Cloudなど、外資系のクラウドが選ばれている。

ガバメントクラウドへの移行スケジュール

　運用開始は2025年度末の予定。すでに一部自治体が先行事業として移行・利用を進めており、今後さらに拡大する見込みだ。一方で、移行に伴う現場の混乱も予想される。立命館大学の上原哲太郎教授（情報理工学部）は、特にセキュリティの不安が生まれやすいと警鐘を鳴らす。

　ガバメントクラウドへの移行が本格化するに当たって、自治体が住民の情報を守るために意識すべきことは何か。事業構想大学院大学（東京都港区）が1月17日に開催したオンラインイベント「2025年度ガバメントクラウド移行に向けたセキュリティの総点検」で、上原教授が分析した。

ガバメントクラウドで迫られる「業務の共通化」　

　まず、ガバメントクラウドの概要を整理する。ガバメントクラウドは、AWSなどの対象サービスで構成したマルチクラウド環境を政府・自治体の共通クラウド環境に策定。各省庁のWebサービスやシステム、自治体システムの提供基盤として活用する取り組みだ。

業務システム統一・標準化のイメージ

　複数の民間事業者が一定の基準に沿った業務用アプリをガバメントクラウド上に開発し、自治体が状況に合わせて導入する仕組みづくりも目指す。つまり自治体は今後、共通化されたクラウド基盤と業務アプリを使うことになる。当然、既存業務の共通化・見直しも必要になるわけだ。

共通化の対象業務

　共通化の対象として定められている業務は住民基本台帳、国民年金、介護保険の事務など20種類。業務用アプリは原則としてカスタマイズなしで使う。自治体の独自施策などに向けた調整が必要な場合は、設定やパラメータを変更するか、外部ツールとのAPI連携などで対応する。

必要なのは「ITガバナンス」　避けるべき丸投げの恐怖

　ただ、ここに混乱の種がある。業務の共通化・見直しが必要ということは、各自治体がそれぞれの事情に合わせて業務を最適化しなければいけないわけだ。デジタル庁や総務省の右に倣えで済ませられない。

　一方で、クラウド移行は政府・デジタル庁の主導で急速・強力に進む。そのため「現場は右往左往してしまう。所轄省庁の動きをつかんだ上で、自力でITへの投資計画を固めたり、既存システムを見直したりする『ITガバナンス』（IT資産の管理・活用に必要な組織内の統制）が求められる」（上原教授）という。

　しかし、多くの自治体はITガバナンスに難があると上原教授。「多くは副市長がCIOを担当しているが、実際の業務はシステム担当課に丸投げ。そしてシステム担当課も、自主的に動いているのは一部で、多くが委託業者任せになっている」（上原教授）

　この意識が変わらないままクラウドを使い続けると、結局は委託業者に丸投げになってしまい、自治体が責任を持って住民の情報を管理できなくなる。上原教授は尼崎市で起きたUSBメモリの紛失騒動を例に挙げ「ITガバナンスが欠如すると、無責任体制・丸投げにつながり、事故につながる」と指摘した。

　「丸投げは本当に良くない。『お金渡して任せたからもういいんだ』という空気が広がってしまい、発注側に責任のある体制が取れない。そうやってシステムが外部化し、自治体の手に届かなくなると、システム管理が委託業者との調整だけに終わる事態になりかねない」