自治体の情報セキュリティ対策とは？最新事例と実務ポイントを解説

自治体が保有する住民情報は、攻撃者にとって高い価値を持つ標的です。ランサムウェアや標的型攻撃などのサイバー脅威は一層高度化・巧妙化しており、攻撃を完全に防止することは現実的とはいえない状況にあります。そのため、インシデント発生時に「誰が・いつ・何を判断し・どのように対応するのか」を事前に明確化し、迅速かつ組織的に対処できる体制の整備が欠かせません（参照*1）。

こうした脅威の深刻さは、毎年公表される脅威ランキングからも読み取れます。IPAが公表した「情報セキュリティ10大脅威 2026」は、2025年に発生した社会的影響の大きい事故や攻撃の状況をもとに、IPAが脅威候補を選定し、情報セキュリティ分野の研究者や企業の実務担当者など約250名で構成される「10大脅威選考会」が審議・投票を経て決定したものです（参照*2）。攻撃手法が年々変化するなかで、自治体も最新の脅威動向を把握したうえで対策の優先順位を見直す必要があります。

自治体のセキュリティ強靭化において中核をなすのが「三層の構え」と呼ばれるネットワーク分離の考え方です。これはマイナンバー利用事務系、LGWAN接続系、インターネット接続系の3つの領域を分離・分割し、重要度に応じて情報の流れを制御する設計です。

会計検査院が223市区町村における領域間の分離・分割の状況を調べたところ、マイナンバー利用事務系と他の領域の分離、およびLGWAN接続系とインターネット接続系の分割については、2019年3月末時点において全ての市区町村で実施済みでした（参照*4）。三層の構えは基盤としては定着しているものの、分離の「質」を維持するには技術的対策と運用ルールの両面で継続的な点検が欠かせません。

マイナンバー利用事務系の端末では、ICカードや生体情報などを組み合わせた二要素認証の導入が求められています。二要素認証とは、パスワードだけでなく物理的な媒体や身体的特徴など異なる種類の要素を2つ以上組み合わせて本人確認を行う仕組みです。

会計検査院が223市区町村のうちマイナンバー利用事務系の端末を配置していた219市区町村の導入状況を調べたところ、検査時点で二要素認証を導入していたのは217市区町村でした。残り2市区町村も、2019年5月末時点で他の事業により導入済みとなっています（参照*7）。導入率自体は高い水準にありますが、運用の仕方によっては対策としての効果が大きく損なわれます。

二要素認証と並んで重要なのが、情報持出し不可設定です。USBメモリなどの外部媒体へのデータ書き出しを技術的に制限することで、内部からの不正な情報流出を防止します。この2つの施策はセキュリティ強靭化の基本的な構成要素であり、導入するだけでなく適切に維持する運用が欠かせません。

二要素認証は導入率こそ高いものの、運用の仕方によっては実質的な認証強度が大きく低下するリスクがあります。会計検査院の検査では、27市区町村が認証の代替手段となるパスワードをあらかじめ設定するなどして、通常の操作のみで当該パスワード入力画面に遷移できる状態になっていたことが明らかになりました（参照*7）。

この状態では、ICカードや生体認証といった物理的な要素を使わずにログインできてしまうため、二要素認証を導入している意味がほぼ失われます。技術的に仕組みを入れていても、代替手段のパスワードが常時有効になっていれば、単一のパスワード認証と変わりません。導入後も定期的に認証フローを検証し、代替手段の運用条件を厳格に管理することが、形骸化を防ぐうえでの要点です。

情報持出し不可設定についても、解除運用のルールが緩いと制御の効果が失われます。会計検査院の調査では、期限を設けることなく情報持出し不可設定を解除する運用をしていた市区町村が62団体、一度の申請における解除期間を1か月以上としていた団体が27ありました。さらにこれら純計87市区町村の全てにおいて、情報セキュリティ管理者の許可がなくても情報を持ち出すシステム操作ができる状態であり、うち29市区町村では管理者に許可を得る運用もしていませんでした（参照*7）。

ある市区町村では、日常的に情報の持出しが必要な業務があることを理由に、全ての情報持出しについて申請があれば期限を設けることなく不可設定を解除する運用を行っていました（参照*4）。業務上の利便性を優先して制御を常時解除してしまうと、持出し不可設定そのものが無力化されます。解除には明確な期限と管理者承認を必須とし、解除期間終了後は自動的に制限が復旧する仕組みを設けることが実効性を維持する鍵となります。

技術的な対策と同様に、組織的な体制づくりもサイバー攻撃対策の要です。CISO（最高情報セキュリティ責任者）はセキュリティ方針の意思決定を担い、CSIRT（シーサート、セキュリティ対応チーム）はインシデント発生時の初動対応を行います。

会計検査院が241地方公共団体を調べたところ、CISOは232団体（96.2%）で設置されていました。一方でCSIRTの設置は130団体（53.9%）にとどまっており、未設置の111団体に理由を確認したところ「人員が足りない」「知見がない」等の回答が挙がりました。さらに緊急時対応訓練を実施したのは54団体（22.4%）であり、CISOの設置とCSIRTの設置と緊急時対応訓練の全てを実施していたのは28団体（11.6%）にとどまっています。政令指定都市および中核市を除く市町村に限ると、182団体のうちわずか6団体（3.2%）のみでした（参照*4）。小規模な団体ほどインシデント発生時に即応できる体制が不十分になりやすい傾向がうかがえるため、外部の支援制度や広域連携の活用を含めた体制構築の検討が必要です。

体制を整備するうえでの出発点となるのが、情報セキュリティポリシーの策定です。ポリシーは組織の情報資産をどのように守るかを定めた方針と基準の集合であり、各部署の役割や禁止事項、事故対応手順などを明文化します。

総務省は「地方公共団体における情報セキュリティポリシーに関するガイドライン」を公表しており、自治体はこれを参考にポリシーの策定や見直しを行えます。また文部科学省は、教育現場に児童生徒や保護者の存在など他の行政事務とは異なる特徴があることを踏まえ、教育委員会等が教育情報セキュリティポリシーの策定や見直しを行う際の参考として「教育情報セキュリティポリシーに関するガイドライン」を策定し、随時改訂を実施しています（参照*10）。分野ごとに用意されたガイドラインを活用することで、自団体の業務特性に合ったポリシーを効率的に整備できます。

山形市が公表した委託先へのサイバー攻撃による情報漏えい事案は、委託先管理の課題を浮き彫りにしました。2026年4月2日に株式会社YCC情報システム社がサイバー攻撃を受け、同社のサーバーに保管されていた山形市の複数システムの個人情報に漏えいのおそれが生じています。

漏えいのおそれがあるデータには、人事給与システムの平成30年度から令和元年度時点の氏名・住所・生年月日・マイナンバー・給料・手当等（約6,000件）、健康情報システムの平成24年6月時点のカナ氏名・生年月日・性別・受診年月日等（1,867件）、児童相談システムの異動日が令和5年7月1日から同月31日までの現住所・カナ氏名・漢字氏名・生年月日・性別・住民日等（2,520件）が含まれます。さらに健康情報システムには平成14年から令和7年までの電話番号・住所・氏名・保険者番号・被保険者記号・被保険者番号・検診年月日等（約50万件）のデータも含まれていました（参照*3）。契約終了後のシステムに関するデータまで委託先のサーバーに残っていた点は、データのライフサイクル管理における重大な教訓です。

サイバー攻撃だけでなく、インフラ障害による業務停止もセキュリティクラウド運用上のリスクです。千葉県では2026年1月27日午後1時52分頃、千葉県自治体情報セキュリティクラウドの設置場所における電源障害が発生しました。この障害により県および市町村のホームページ閲覧やメールの送受信が停止し、翌1月28日午前7時42分頃に完全復旧しています。

千葉県は障害の原因について、委託事業者であるNTT東日本株式会社が提供するデータセンターにおける電源の不具合によるシステム停止と説明しました。千葉県はNTT東日本株式会社に対し、障害原因の詳細報告と再発防止計画の提出を求めています（参照*11）。セキュリティクラウドに行政サービスを集約する設計は効率的である反面、単一拠点の障害が広域に波及する弱点を持ちます。業務継続計画を策定し、障害発生時の代替手段や復旧手順をあらかじめ整備しておくことが、被害の最小化につながります。