【自治体グループウェア担当向け】令和4年3月改定「地方公共団体における情報セキュリティポリシーに関するガイドライン」のポイントは?
2022.06.10
こんにちは、Garoonマーケティングチームです。
今回は、グループウェアの導入・移行を検討されている自治体職員の方、自治体のお客様にご提案されている方向けに、令和4年(2022年)3月に改定された総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」についてまとめました。
Q. そもそも「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは?
地方公共団体が情報セキュリティポリシーの策定や見直しの参考にできるよう、情報セキュリティポリシーの考え方や内容について解説したガイドラインです。総務省が策定したものですが、あくまでガイドラインであり、実際のセキュリティポリシーの策定や見直しは各自治体の判断に委ねられています。
このガイドラインは令和2年(2020年)12月に大規模な改定があり、「新たなモデル」としてグループウェアを含む主たる業務端末をインターネット接続系に配置できる「βモデル」「β'モデル」が提唱されました。新たなモデルに移行した自治体を中心に、クラウドサービスのグループウェアを利用する選択肢が生まれ始めています。市販ソフトもクラウド版での提供が増えているので、自治体でもクラウドサービスの活用が重要になっているのです。
Q. 令和4年3月の改定のポイントは?
ポイントは、個人情報など機密性2以上の情報を外部サービスで取り扱う場合の規程整備の例が新設されたことです。
令和4年(2022年)3月改定前のガイドラインでは、クラウドサービスなどの外部サービスで個人情報を取り扱う場合の詳細が記載されていませんでした。個人情報を取り扱う業務についてはLGWANとの閉域接続を利用していた自治体も多かったことでしょう。
しかし今回の改定で規定整備の例が記載され、これを参考にして外部サービスを選べるようになりました。個人情報を含めてクラウドサービスで扱いやすくなったのです。
注意すべきは、個人情報を扱うときのツール選びです。
「事業者等が不特定多数の利用者に対して提供する、画一的な約款や規約等への同意のみで利用可能となる外部サービス」の場合、原則として機密性2以上の情報を取り扱えません。たとえば無料で使えるWeb会議システムやSNSなど、不特定多数の人が利用できるサービスを使った個人情報に関するやりとりは原則できないのでご注意ください。
なお、サイボウズ製品はアカウントを持っている人だけがログインできるので、基本的には「事業者等が不特定多数の利用者に対して提供する」に当てはまりません。個人情報など機密性2以上の情報を取り扱えますので、たとえばkintoneを使った住民向けサービスの構築なども可能です。
Q. 機密性2以上の情報を扱うクラウドサービスを選ぶために、どのような規定を整備したらよい?
前述の通りガイドラインはあくまで指針なので、実際に機密性2以上の情報をクラウドサービスで扱いたい場合、規定の整備が必要です。
規定整備の例として、ガイドラインには外部サービスを選定する基準の推奨例が書かれています。具体的には、選定条件となる認証として以下が記載されました。
- ISMS
- ISMAPクラウドサービスリスト
- 日本セキュリティ監査協会のクラウド情報セキュリティ監査
- SOC報告書(Service Organization Control Report)
選定基準の推奨例などをもとにすることで、各自治体でのクラウドサービスの選定に関する規定整備が容易になると思われます。
Q. サイボウズ製品が取得している認証は?
サイボウズ株式会社は以下の通りISMSの認証を取得しています。また、サイボウズのクラウドサービス基盤やkintone・GaroonはISMAPのクラウドサービスリストにも登録されています。
<ISMS>
サイボウズ株式会社は、情報セキュリティマネジメントシステムについて、第三者機関から下記の認証を取得しています。
- ISO/IEC 27001(情報セキュリティ)認証
- 登録範囲
・自社開発クラウドサービスの運用基盤の設計、構築、保守
・社内情報システム基盤の設計、構築及び運用保守
・クラウドサービス、オンプレミス製品及び社内システムの開発 - 認証登録番号:IS 577142
- 認証登録機関:BSIグループジャパン株式会社
- 登録範囲
- ISO/IEC 27017(クラウドサービスセキュリティ)
- 認証登録範囲:cybozu.com、Garoon、kintone、サイボウズ Office、メールワイズの提供に係るクラウドサービスプロバイダとしてのシステム運用・保守に係る ISMS クラウドセキュリティマネジメントシステム
- 認証登録番号:CLOUD 715091
- 認証登録機関:BSIグループジャパン株式会社
<ISMAP>
政府情報システムのためのセキュリティ評価制度(ISMAP)のクラウドサービスリストに掲載されています。
- 登録対象:クラウドサービス運用基盤cybozu.com 並びにcybozu.com 上で提供するGaroon及びkintone
- 登録番号:C21-0016-2
サイボウズのクラウドサービスのセキュリティについては、サイボウズのクラウド基盤に関する専用サイトをご覧ください。
Q. 実際に自治体でクラウド版グループウェアを使っている事例は?
クラウド版 Garoonやサイボウズのクラウドサービスkintoneをご利用いただいている自治体様の事例をご紹介します。
<Garoon導入事例>
<Garoonとkintoneの導入事例>
<kintone導入事例>
こちらのお客様のご紹介は資料「DX先進事例に学ぶ 自治体に不可欠なクラウド活用」にも掲載しています。ぜひご覧ください。
自治体でのサイボウズ製品利用についてもっと知りたい!
サイボウズの自治体向けの取り組みは自治体様向け特設ページでご紹介しています。導入実績、事例、製品やクラウド基盤のご紹介などをまとめましたのでぜひご覧ください。
また、サイボウズの自治体・公共団体に向けた取り組みをまとめてYouTubeの動画でお届けする「自治体なう!」もございます。元自治体職員のサイボウズ社員や自治体からの出向社員も登場しますので、お楽しみいただけますと幸いです!
Garoon マーケティングチーム