カード交付トラブルが収まっても、次に自治体を悩ませる問題がまだ控えている。セキュリティだ。約1700ある市町村はカード交付の窓口になっているが、現時点ではマイナンバーを内容に含む情報である「特定個人情報」に触れる機会は限られる。

 ところが自治体で情報連携が始まる2017年7月以降は、各自治体が運用する多くのシステムで特定個人情報を日常的に扱う。セキュリティ体制の強化は待ったなしだ。

 総務省は2015年11月に抜本的なセキュリティの強化を打ち出し、約1360億円の予算を確保した。だが、1年後に向けて取り組むべき事案は多く、対策は遅れ気味だ。

 マイナンバーの制度設計の中で、セキュリティはこれまでも後手を踏んできた。2015年6月に厚生労働省が所管する日本年金機構へのサイバー攻撃被害が発覚。その後、年金機構のマイナンバー利用延期が決まった。

 地方行政を所管する総務省の動きも鈍かったが、その間に市町村でセキュリティ事故が多発した(表1)。2015年6月に長野県上田市でサイバー攻撃による被害が発覚。年金機構への攻撃と同様の手口で庁内LANのPC9台がウイルスに感染し、内部情報が流出した。自治体・政府機関間のデータ交換に使う「LGWAN(総合行政ネットワーク)」や住基ネットからの隔離も強いられた。これで目が覚めた総務省が対策を急ぐ契機になった。

表1 地方自治体で最近発覚した主な情報セキュリティ事故
標的型攻撃と職員による持ち出しが全国で相次ぐ
表1 地方自治体で最近発覚した主な情報セキュリティ事故
[画像のクリックで拡大表示]

 職員によるデータ持ち出しも目立つ。同年9月には、堺市職員が全有権者約68万人分の個人情報を外付けハードディスクで持ち出し、一時インターネット上に公開状態で掲載していた事件が発覚した。この職員は選挙管理委員会事務局に以前所属しており、担当業務の情報を自由に持ち出せた。持ち出し対策に不備がある自治体は多く、神奈川県三浦市や松山市でも同様の事件が発覚している。

 総務省が打ち出した対策では、各市町村の庁内LANを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3層に分離する(図2)。持ち出し防止の手法や分離のための必要機器も細かく示している。総務省の猿渡知之大臣官房審議官(地域情報化担当)は、「セキュリティポリシーだけでなく、技術面での対策実施が不可欠だ」と話す。

図2 自治体情報セキュリティ強化対策の概要
図2 自治体情報セキュリティ強化対策の概要
セキュリティを「3層分離」で守る
[画像のクリックで拡大表示]