総務省は3月25日、「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び「地方公共団体における情報セキュリティ監査に関するガイドライン」を改定し公表した。
同省では2021年7月の「政府機関等の情報セキュリティ対策のための統一基準群」の改定と地方公共団体におけるデジタル化の動向を踏まえ、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」で改定案を検討、2022年1月12日から1月25日までの期間に国民から広く意見を募集していた。
ガイドライン等の主な改訂内容は下記の4点。
1.業務委託・外部サービス利用時の情報資産の取扱い
・外部サービス利⽤時のライフサイクルに渡るセキュリティ要件や利用承認手続に関する規定を記載
・今後のクラウドサービスの活用を見据え、第三者認証制度や監査報告書をクラウドサービス選定の指標・基準等として、積極的に活用するよう記載を見直し
2.情報セキュリティ対策の動向を踏まえた記載の充実
・不正プログラム対策製品やソフトウェア等を導入するだけでなく、監視体制やCSIRTとの連携等の組織的な対応が必要である旨を記載
3.多様な働き方を前提とした情報セキュリティ対策
・テレワーク実施場所等の運用面に関するセキュリティ対策を記載
・Web会議に部外者を参加させない対策を記載
4.マイナンバー利用事務系から外部接続先(eLTAX、マイナポータル)へのデータのアップロード
・リスクアセスメントの結果を踏まえ、マイナンバー利用事務系から外部接続先へのデータのアップロードを認め、必要となる情報セキュリティ対策を徹底
