地方公共団体向け「情報セキュリティポリシー」および「情報セキュリティ監査」のガイドラインについて意見募集の結果と改定版を公表 総務省
総務省はこのほど、「地方公共団体にける情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」について、意見募集の結果と改定版を公表しました。
今般の改定のポイントは、(1)マイナンバー利用事務に係る画面転送の方式、(2)無線LAN利用の要件、(3)機器等の調達、(4)インシデント対応の4点とされています。意見募集は3月6日~12日の間に行われ、166件の意見が集まりました。
まず(1)について、マイナンバー利用事務では、住民情報の流失を防ぐため、画面転送で信頼される特定先と接続する場合を除いて、他の領域(LGWAN接続系およびインターネット接続系)との通信ができないようにしなければならないとされています。しかし、業務の効率性・利便性の観点から、マルウェア感染や通信の盗聴などのリスクを勘案し、各団体の判断で画面転送を採用することとされました。
(2)については、2024年の地方分権改革に関する提案で、マイナンバー利用事務への無線LAN接続等を可能にする具体的な対策の明示が求められたことを受け、マイナンバー利用事務系における無線LAN利用の要件が規定されました。具体的には、WPA2/WPA3による通信の暗号化などLGWAN接続系と同様の対策に加え、特定個人情報に関する安全管理措置実施のため、アクセスログの取得・確認やファームウェア・OS等の最新化といった対策が追加となっています。
(3)については、「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定に合わせて、インターネットプロトコルを使用する通信機能を持つ製品の調達に関しては「セキュリティ要件適合評価及びラベリング制度(JC-STAR)」が参考になると記載されました。
(4)については、危機の脆弱性により不正アクセスがあった事案を踏まえ、再発防止のためパッチ適用の判断や相談先の確保に関して規定がされました。相談先の候補としては、経済産業省が定める「情報セキュリティサービス基準」、「情報セキュリティサービス基準適合サービスリスト」が参考になるとしています。
