投稿日：2025.06.27　最終更新日：2025.07.02

自治体のセキュリティ対応、ガイドライン改定で何が変わる？担当者が明日からやるべき事

2026年4月の法定義務化を前に、多くの自治体で情報セキュリティポリシーの見直しが急務となっています。

しかし、膨大なガイドラインを読み解き、多忙な中で「何から手をつければいいのか」と頭を悩ませているご担当者様も多いのではないでしょうか。

結論からお伝えすると、今回のガイドライン改定で押さえるべき要点は「クラウド活用」「委託先管理」「情報分類」「攻撃を前提とした対策」の4つです。

この記事では、私たち株式会社アイ・エフ・ティが、官公庁を含む1,000件以上の脆弱性診断で培ってきた知見を基に、複雑なガイドラインのポイントを現場の実情に合わせて解説します。

読み終える頃には、改定の全体像が分かり、明日から具体的に何をすべきか、その第一歩が見つかるはずです。

この記事を読んでわかること

なぜ今、ガイドラインへの対応がこれほど重要なのか？
膨大なガイドラインの中から、まず何を押さえるべきか？
明日から具体的に、どのような手順で進めていけばいいのか？

なぜ今？自治体にセキュリティガイドライン対応が義務化される背景

「なぜ、これほどまでにガイドラインへの対応が求められているのか？」

その背景には、行政のデジタル化（DX）の加速と、それに伴い増大するサイバー攻撃のリスク、そして何よりも法的な義務化という大きな変化があります。

2015年、日本年金機構の情報漏えい事件をきっかけに、多くの自治体でネットワークを分離する「三層の対策（αモデル）」が導入されました。
この対策はセキュリティ強化に貢献した一方で、クラウドサービスの利用やテレワークの妨げとなり、業務効率の低下という副作用も生んでいました。

実際、約9割の自治体が旧来のαモデルのまま停滞しているというデータもあり、DX推進の足かせとなっていたのです。

出典：地方公共団体のセキュリティ対策に係る国の動きと地方公共団体の状況について（総務省）

この状況を打開し、セキュリティと利便性を両立させるために、2024年10月にガイドラインは改定されました。

参考：地方公共団体における情報セキュリティポリシーに関するガイドライン

さらに決定的なのが、2024年6月に成立した改正地方自治法です。

この法律により、これまで努力義務だった情報セキュリティ基本方針の策定が、2026年4月1日から法的に義務付けられることになりました。

参考：サイバーセキュリティを確保するための方針の策定等に関する総務大臣指針について

つまり、ガイドラインへの対応は、もはや「できればやった方が良い」というレベルではなく、すべての自治体にとって避けては通れない必須の取り組みとなったのです。

【解説】ガイドライン改定、4つの重要ポイント

それでは、今回のガイドライン改定の核心部分である「4つの主要な変更点」を具体的に見ていきましょう。
膨大な文書の中から、特にご担当者様が押さえておくべきポイントを、専門家の視点で噛み砕いて解説します。

【要点1】守りから攻めへ！クラウド活用を前提とした「α’（アルファダッシュ）モデル」とは

今回の改定で最も大きな変化は、セキュリティモデルの考え方が根本から変わったことです。
これまでの「三層の対策」は、境界の内側を守るという「守りのセキュリティ」でした。

しかし、クラウドサービスの利用やテレワークが当たり前になった今、その考え方では対応しきれなくなっています。
そこで登場したのが「α’（アルファダッシュ）モデル」です。

これは、従来の三層分離の考え方を維持しつつも、より柔軟で積極的なクラウドサービスの活用を可能にする、新しいセキュリティモデルです。

α’モデルのポイント

インターネット接続系とLGWAN接続系の間に、新たに「α’領域」という業務領域を設ける
この領域では、セキュリティが確保された特定のクラウドサービス（ガバメントクラウドなど）への直接アクセスが可能になる
これにより、利便性の高いクラウドツールを活用しながら、重要な情報は守るという、セキュリティと利便性の両立を目指す

難しそうに感じるかもしれませんが、要するに「危険なものはしっかり分離しつつ、安全が確認された便利なクラウドは、もっと使いやすくしましょう」という考え方です。

この新しいモデルに対応するためには、各自治体で「どのクラウドサービスを、どの業務で、どのように利用するのか」というルールを、セキュリティポリシーに明確に定めていく必要があります。

【要点2】「お任せ」はもう通用しない！厳格化される「委託先管理（サプライチェーンリスク対策）」

自治体の業務は、多くの外部事業者への委託によって成り立っています。
しかし、委託先で情報漏えい事故が起きてしまえば、その責任は自治体自身が負うことになります。

2022年に起きた尼崎市のUSBメモリ紛失事件は、委託先の管理不備が大きな社会問題に発展した記憶に新しい例です。

出典：尼崎市個人情報含むUSBメモリー紛失事案

こうした背景から、今回のガイドラインでは委託先事業者に対する管理監督責任が、これまで以上に厳しく求められるようになりました。

委託先管理の強化ポイント

契約時の厳格化: 委託契約書に、自治体が求める具体的なセキュリティ要件（技術的安全措置、組織的安全措置など）を明記することが必須に。
定期的な監査: 委託先が契約通りのセキュリティ対策を遵守しているか、定期的に監査や状況報告を求めることが求められる。
インシデント発生時の連携: 万が一、委託先で事故が発生した場合の報告義務や、共同での対応計画を事前に定めておく必要がある。

これからは、「専門の事業者だから大丈夫だろう」という性善説に基づいた「お任せ」は通用しません。
委託先の選定から契約、日々の運用管理に至るまで、サプライチェーン全体でセキュリティ水準を高めていくという強い意識が求められます。

私たちが診断を行う現場でも、委託先のシステム連携部分から重大な脆弱性が発見されるケースは少なくありません。

【要点3】情報の「仕分け」が鍵！リスクに応じた対策を行う「情報資産の分類（3A/B/C）」

すべての情報を同じレベルの厳重さで守ろうとすると、コストも手間も膨大になり、現実的ではありません。

そこで重要になるのが、取り扱う情報の重要度に応じて、守り方に強弱をつけるという考え方です。
今回のガイドラインでは、情報の機密性（漏えいした場合の影響の大きさ）に応じて、情報を以下の3つに分類することが明確に示されました。

情報資産の3分類

機密性3A: 特に秘匿性が高い情報（例：個人の病歴、DV被害者の情報など）
機密性3B: 秘匿性が高い情報（例：個人番号、未公開の入札情報など）
機密性3C: 上記以外の機密情報（例：一般的な個人情報、組織内部の情報など）

そして、この分類に応じて、アクセス制御やデータの暗号化など、適用すべきセキュリティ対策のレベルを定めます。

たとえば、もっとも重要度の高い「機密性3A」の情報には、多要素認証を必須としたり、アクセスできる職員を厳しく制限したりといった、より強固な対策を行います。

この「情報の仕分け」を正しく行い、その分類に基づいて適切なアクセス制御が実装されているかを確認する作業は、まさに脆弱性診断の専門領域です。

【要点4】侵入はあり得る！被害を最小限に抑える「攻撃を前提とした対策（サイバーレジリエンス）」

「完璧な防御は存在しない」――

これが、現代のサイバーセキュリティの常識です。

どんなに厳重な対策を施しても、攻撃者がそれをかいくぐって内部に侵入してくる可能性はゼロではありません。
そこで重要になるのが、「サイバーレジリエンス」という考え方です。

これは、「サイバー攻撃による侵入や被害が発生することを前提として、いかにすばやく検知し、被害を最小限に抑え、そして復旧するか」という、しなやかな対応力のことです。

サイバーレジリエンス強化のポイント

早期検知: 不審なアクセスの兆ahoをいち早く捉えるための、ログの監視・分析体制の強化。
被害の最小化: 侵入された場合でも、重要な情報までたどり着かせないための、ネットワークの分割やアクセス権限の最小化。
迅速な復旧: 定期的なバックアップの取得と、そこからシステムを復旧させるための手順の確立・訓練。
インシデント対応計画: 実際にインシデントが発生した際の、報告体制、職員の役割分担、住民への公表手順などを定めた計画（インシデントレスポンスプラン）の策定。

これまでの対策が「入口対策」（いかに侵入させないか）に重点を置いていたとすれば、これからは「侵入された後の対策」にも同様に力を入れていく必要があるのです。

これらの対策が絵に描いた餅で終わらないためには、実際に攻撃者の視点で侵入を試みる「ペネトレーションテスト」を含む、高度な脆弱性診断が極めて有効です。

じゃあ、明日から何をすればいい？担当者のための4ステップ実践プラン

ここまでガイドライン改定の4つの要点を解説してきました。

しかし、「理解はできたが、結局、何から手をつければ…」と感じている方もいらっしゃるでしょう。

このセクションでは、その疑問に答えるための具体的な「実践アクションプラン」を4つのステップでご紹介します。

ステップ1：まずは現状把握から！ガイドラインとの「差」を知る

最初に行うべきは、現状の正確な把握です。

改定されたガイドラインの項目をチェックリストにし、自組織の対策が「できているか（〇）」「できていないか（×）」を客観的に評価しましょう。

いわば、組織の健康診断です。

チェックリストの例

委託契約書に、技術的安全措置は明記されているか？
自治体機密性3Cに該当する情報資産はリストアップされているか？
管理者アカウントの多要素認証は導入済みか？

この作業は、情報システム部門だけでなく、契約を担当する部署や、個人情報を管轄する部署など、関係各所を巻き込んだ横断的なチームで行うことが成功の秘訣です。

この「ギャップ分析」によって、漠然としていた課題が「やるべきことのリスト」として明確になります。

ステップ2：計画を立て、関係者を巻き込む

ギャップが見えたら、次はそれを埋めるための計画を立てます。

すべての課題に一度に取り組むのは現実的ではありません。

洗い出したリストを、「リスクの大きさ」と「対応の緊急性」の2つの軸で整理し、優先順位をつけましょう。

情報セキュリティ対策のロードマップ図。最優先（即時）、高優先（3ヶ月以内）、低優先（1年以内）など6段階で対策項目を分類。

たとえば、法定期限（2026年4月）のある基本方針の見直しや、放置すると重大なインシデントに繋がりかねない脆弱性は、最優先で取り組むべきです。

この計画をもとに、首長や財政部門など、予算や人員の決定権を持つ関係者との調整を行います。

その際、「法的に定められた義務であること」や「放置した場合の具体的なリスク」を明確に伝えることが、合意形成の鍵です。

ステップ3：難しいときは専門家を頼るのも一つの方法

「計画は立てたが、技術的にどう進めればいいか分からない」「自組織の担当者だけでは手が足りない」――

そうした壁に突き当たった時は、外部の専門家の力を借りることがもっとも確実です。

ポリシー改訂支援コンサルティング
システムの脆弱性診断・監査（私たちIFTもご提供しています）
職員向けのセキュリティ研修

特に、ガイドライン対応の根幹となる脆弱性診断は、専門的な知見がなければ正確な実施が困難です。

また、第三者機関による診断レポートは、セキュリティ対策の必要性を庁内で説明し、予算を獲得するための強力な根拠となります。

最近では、国や都道府県が提供する支援サービスや補助金制度も充実しています。「自前主義」にこだわらず、使えるリソースは積極的に活用しましょう。

私たち株式会社アイ・エフ・ティでは、官公庁を含む1,000件以上の実績を持つ専門家が、組織の状況に合わせた最適な脆弱性診断サービスをご提供しています。

ステップ4：予算や人員が限られている場合はどう考える？

特に小規模な自治体では、「担当者は自分ひとりだけ」「追加予算の見込みがない」といった声も少なくありません。

しかし、諦める必要はありません。

リソースが限られているからこそ、戦略的な考え方が重要になります。

リスクベースでの段階的実施:
すべてを完璧にやろうとせず、ステップ1で特定した「リスクが最も高い部分」にリソースを集中させます。たとえば、まずは住民情報システムや公開サーバーなど、もっとも狙われやすく影響の大きい部分から診断に着手するのが現実的です。
共同利用と相互扶助:
近隣の自治体と合同で研修を実施してコストを分担したり、都道府県が提供するログ監視サービス（自治体SOC）を共同で利用したりと、連携することで負担を軽減できます。
「追い風」の活用:
今回のガイドライン改定と法的義務化は、これまで予算が付きにくかったセキュリティ対策の必要性を、組織内で説明する絶好の「追い風」です。この機会を最大限に活用し、必要な投資を訴えましょう。

予算が限られていても、例えば「まずは低コストのツール診断で全体を把握し、重大なリスクが見つかった箇所だけ手動診断を追加する」といった柔軟な進め方もできます。

重要なのは、「できない理由」を数えるのではなく、「限られたリソースで何ができるか」を考え、一歩でも前に進めることです。