Security Policy
セキュリティポリシー
総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 7 年 3 月版)」との差異と対応状況
総務省が示すのはあくまでガイドライン(参考基準)であり、各項目への準拠は法令上の義務ではありません。 自団体の規模・リスク評価・住民への影響を踏まえ、優先度を判断してください。
承認待ちの独自項目(2)
総務省ガイドラインの対策基準外として AI が検出。承認すると対応表に反映されます。- 技術的セキュリティ生成AIの庁内利用ガイドラインChatGPT等の生成AIに要配慮個人情報・非公開情報を入力しない運用ルールを定め、利用は申請制とする。自団体の状況: 情報政策課で試行利用中。全庁ルールは未策定。
- 業務委託・クラウド利用LGWAN-ASPサービス利用基準LGWAN-ASP上のSaaS利用にあたり、データ保管場所・解約時のデータ消去手順を契約で担保する。自団体の状況: 一部サービスで契約条項を確認済。全サービスの棚卸しは未完了。
全体準拠率
68%
準拠
17/25
要求項目のうち完全準拠
部分準拠
7
差異あり・計画的対応中
不適合
1
要是正
AI セキュリティサマリ
自団体のセキュリティ体制は令和 7 年 3 月版ガイドラインの対策基準 25 項目中 17 項目を準拠、 7 項目が部分準拠、1 項目が不適合(準拠率 68%)。 「第2編第2章 3 情報システム全体の強靭性の向上」= 三層分離(αモデル)は物理分離で達成済み。 一方、「第2編第2章 6(7) 暗号鍵の管理」での 暗号鍵ローテーション未実施と、 「第2編第2章 7(2) ログ取得と分析」での SIEM 未導入が不適合として残存。 第4編「クラウド利用等に関する特則」については、マイナンバー系はガバメントクラウド配置で要件準拠、 公式サイトの一般クラウド(ガバメントクラウド対象外)での CMK 未適用が部分準拠に該当する。
各項目で「実施手順を作成」をクリックし、自団体の組織・連絡先をフォーム入力していくと、 自団体のセキュリティポリシー雛形がそのまま完成していきます。
※ このサマリは生成AIにより作成、情報政策統括 (CIO) のレビューが必要です。
分類別 準拠率
組織体制
2/2
情報資産の分類と管理
2/2
情報システム全体の強靭性の向上
1/2
物理的セキュリティ
2/2
人的セキュリティ
2/2
技術的セキュリティ
2/5
運用
2/4
業務委託・クラウド利用
2/4
評価・見直し
2/2
総務省ガイドラインとの差異
行末の で項目全体を編集、セルクリックで個別編集。「項目を追加」で独自条項も足せます。 国の原本へは行ごと / 一括で戻せます。
25 件
| 組織体制 | 第2編第2章 1(1) 最高情報セキュリティ責任者 | 準拠 | — | — | ||||
| 組織体制 | 第2編第2章 1(5) CSIRT の設置 | 準拠 | — | 手順を作成 | ||||
| 情報資産の分類と管理 | 第2編第2章 2(1) 情報資産の格付け | 準拠 | — | — | ||||
| 情報資産の分類と管理 | 第2編第2章 2(3) 特定個人情報等の取扱 | 準拠 | — | — | ||||
| 情報システム全体の強靭性の向上 | 第2編第2章 3(1) 三層分離(αモデル) | 準拠 | — | 手順を作成 | ||||
| 情報システム全体の強靭性の向上 | 第2編第2章 3(2) 無害化通信 | 部分準拠 | 研究機関との統計データ授受 2 経路で無害化未実施(年 12 回程度) | 手順を作成 | ||||
| 物理的セキュリティ | 第2編第2章 4(2) サーバ室等への入退室管理 | 準拠 | — | — | ||||
| 物理的セキュリティ | 第2編第2章 4(5) 端末の盗難・紛失対策 | 準拠 | — | — | ||||
| 人的セキュリティ | 第2編第2章 5(1) 職員等の遵守義務と研修 | 準拠 | — | — | ||||
| 人的セキュリティ | 第2編第2章 5(3) 事故・違反時の対応と通報 | 準拠 | — | — | ||||
| 技術的セキュリティ | 第2編第2章 6(2) 主体認証 (多要素認証) | 部分準拠 | 文書管理・財務会計システム管理者アカウントの MFA 未適用 | — | ||||
| 技術的セキュリティ | 第2編第2章 6(4) アクセス権の管理 | 部分準拠 | 人事システムと認証基盤の自動連携未実装 (即日無効化できていない) | — | ||||
| 技術的セキュリティ | 第2編第2章 6(7) 暗号化 | 準拠 | — | — | ||||
| 技術的セキュリティ | 第2編第2章 6(7) 暗号鍵の管理 | 不適合 | 鍵ローテーション未実施、鍵管理台帳不完全 | 手順を作成 | ||||
| 技術的セキュリティ | 第2編第2章 6(9) 不正プログラム対策 | 準拠 | — | — | ||||
| 運用 | 第2編第2章 7(2) ログ取得と分析 | 部分準拠 | SIEM 未導入のため、リアルタイム監視および相関分析が未実施 | — | ||||
| 運用 | 第2編第2章 7(3) 脆弱性対策・パッチ適用 | 準拠 | — | 手順を作成 | ||||
| 運用 | 第2編第2章 7(5) バックアップ | 準拠 | — | 手順を作成 | ||||
| 運用 | 第2編第2章 7(6) インシデント訓練 | 部分準拠 | 実動訓練 (ネットワーク遮断シミュレーションを含む) が未実施 | 手順を作成 | ||||
| 業務委託・クラウド利用 | 第2編第2章 8(2) 委託先の評価と監査 | 部分準拠 | 中小規模委託先の監査遅延、9 社が期限超過 | — | ||||
| 業務委託・クラウド利用 | 第4編第4章 2(1) クラウドサービス利用時の情報資産の分類 | 準拠 | — | — | ||||
| 業務委託・クラウド利用 | 第4編第4章 6(2) クラウド利用時の暗号化 | 部分準拠 | 公式サイト CMS の CMK 未導入(利用者個人情報を含まないためリスクは限定的) | 手順を作成 | ||||
| 業務委託・クラウド利用 | 第4編第4章 7(3) クラウド事業者の監視 | 準拠 | — | — | ||||
| 評価・見直し | 第2編第2章 9(1) 情報セキュリティ監査 | 準拠 | — | — | ||||
| 評価・見直し | 第2編第2章 9(2) 自己点検 | 準拠 | — | — |
独自項目(国基準外・2)
総務省ガイドラインの対策基準外の自団体独自の取り組み。標準19項目の準拠率には含めません。| 分類 | 名称 | 要求・内容 | 自団体の状況 | 状況 | 差異 | 対応予定 | 期限 | 実施手順 | 操作 |
|---|---|---|---|---|---|---|---|---|---|
標的型攻撃メール訓練の独自実施 | 年2回、全職員に標的型攻撃を模した訓練メールを送付し、開封率を測定・是正指導する。 | 年2回実施。開封率は前年比で改善 (12%→4%)。 | — (クリックで入力) | — (クリックで入力) | — (クリックで設定) | ||||
私物端末(BYOD)の庁内ネットワーク接続禁止規程 | 私物のスマートフォン・PCを庁内LAN/業務系に接続することを禁止し、違反時の措置を定める。 | 規程化済。MACアドレス認証で技術的にも遮断。 | — (クリックで入力) | — (クリックで入力) | — (クリックで設定) |
令和7年3月 策定