サンプルデータを使ったデモ環境です。 編集内容は保存されず、ページをリロードすると元に戻ります。
Security Policy

セキュリティポリシー

総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン(令和 7 年 3 月版)」との差異と対応状況

総務省が示すのはあくまでガイドライン(参考基準)であり、各項目への準拠は法令上の義務ではありません。 自団体の規模・リスク評価・住民への影響を踏まえ、優先度を判断してください。

承認待ちの独自項目(2)

総務省ガイドラインの対策基準外として AI が検出。承認すると対応表に反映されます。
  • 技術的セキュリティ生成AIの庁内利用ガイドライン
    ChatGPT等の生成AIに要配慮個人情報・非公開情報を入力しない運用ルールを定め、利用は申請制とする。
    自団体の状況: 情報政策課で試行利用中。全庁ルールは未策定。
  • 業務委託・クラウド利用LGWAN-ASPサービス利用基準
    LGWAN-ASP上のSaaS利用にあたり、データ保管場所・解約時のデータ消去手順を契約で担保する。
    自団体の状況: 一部サービスで契約条項を確認済。全サービスの棚卸しは未完了。
全体準拠率
68%
準拠
17/25
要求項目のうち完全準拠
部分準拠
7
差異あり・計画的対応中
不適合
1
要是正
AI セキュリティサマリ

自団体のセキュリティ体制は令和 7 年 3 月版ガイドラインの対策基準 25 項目中 17 項目を準拠、 7 項目が部分準拠、1 項目が不適合(準拠率 68%)。 「第2編第2章 3 情報システム全体の強靭性の向上」= 三層分離(αモデル)は物理分離で達成済み。 一方、「第2編第2章 6(7) 暗号鍵の管理」での 暗号鍵ローテーション未実施と、 「第2編第2章 7(2) ログ取得と分析」での SIEM 未導入が不適合として残存。 第4編「クラウド利用等に関する特則」については、マイナンバー系はガバメントクラウド配置で要件準拠、 公式サイトの一般クラウド(ガバメントクラウド対象外)での CMK 未適用が部分準拠に該当する。

各項目で「実施手順を作成」をクリックし、自団体の組織・連絡先をフォーム入力していくと、 自団体のセキュリティポリシー雛形がそのまま完成していきます。

※ このサマリは生成AIにより作成、情報政策統括 (CIO) のレビューが必要です。

分類別 準拠率

組織体制
2/2
情報資産の分類と管理
2/2
情報システム全体の強靭性の向上
1/2
物理的セキュリティ
2/2
人的セキュリティ
2/2
技術的セキュリティ
2/5
運用
2/4
業務委託・クラウド利用
2/4
評価・見直し
2/2

総務省ガイドラインとの差異

行末の で項目全体を編集、セルクリックで個別編集。「項目を追加」で独自条項も足せます。 国の原本へは行ごと / 一括で戻せます。

25 件
組織体制
第2編第2章 1(1) 最高情報セキュリティ責任者
準拠
組織体制
第2編第2章 1(5) CSIRT の設置
準拠
手順を作成
情報資産の分類と管理
第2編第2章 2(1) 情報資産の格付け
準拠
情報資産の分類と管理
第2編第2章 2(3) 特定個人情報等の取扱
準拠
情報システム全体の強靭性の向上
第2編第2章 3(1) 三層分離(αモデル)
準拠
手順を作成
情報システム全体の強靭性の向上
第2編第2章 3(2) 無害化通信
部分準拠
研究機関との統計データ授受 2 経路で無害化未実施(年 12 回程度) 手順を作成
物理的セキュリティ
第2編第2章 4(2) サーバ室等への入退室管理
準拠
物理的セキュリティ
第2編第2章 4(5) 端末の盗難・紛失対策
準拠
人的セキュリティ
第2編第2章 5(1) 職員等の遵守義務と研修
準拠
人的セキュリティ
第2編第2章 5(3) 事故・違反時の対応と通報
準拠
技術的セキュリティ
第2編第2章 6(2) 主体認証 (多要素認証)
部分準拠
文書管理・財務会計システム管理者アカウントの MFA 未適用
技術的セキュリティ
第2編第2章 6(4) アクセス権の管理
部分準拠
人事システムと認証基盤の自動連携未実装 (即日無効化できていない)
技術的セキュリティ
第2編第2章 6(7) 暗号化
準拠
技術的セキュリティ
第2編第2章 6(7) 暗号鍵の管理
不適合
鍵ローテーション未実施、鍵管理台帳不完全 手順を作成
技術的セキュリティ
第2編第2章 6(9) 不正プログラム対策
準拠
運用
第2編第2章 7(2) ログ取得と分析
部分準拠
SIEM 未導入のため、リアルタイム監視および相関分析が未実施
運用
第2編第2章 7(3) 脆弱性対策・パッチ適用
準拠
手順を作成
運用
第2編第2章 7(5) バックアップ
準拠
手順を作成
運用
第2編第2章 7(6) インシデント訓練
部分準拠
実動訓練 (ネットワーク遮断シミュレーションを含む) が未実施 手順を作成
業務委託・クラウド利用
第2編第2章 8(2) 委託先の評価と監査
部分準拠
中小規模委託先の監査遅延、9 社が期限超過
業務委託・クラウド利用
第4編第4章 2(1) クラウドサービス利用時の情報資産の分類
準拠
業務委託・クラウド利用
第4編第4章 6(2) クラウド利用時の暗号化
部分準拠
公式サイト CMS の CMK 未導入(利用者個人情報を含まないためリスクは限定的) 手順を作成
業務委託・クラウド利用
第4編第4章 7(3) クラウド事業者の監視
準拠
評価・見直し
第2編第2章 9(1) 情報セキュリティ監査
準拠
評価・見直し
第2編第2章 9(2) 自己点検
準拠

独自項目(国基準外・2)

総務省ガイドラインの対策基準外の自団体独自の取り組み。標準19項目の準拠率には含めません。
分類名称要求・内容自団体の状況状況差異対応予定期限実施手順操作
標的型攻撃メール訓練の独自実施
年2回、全職員に標的型攻撃を模した訓練メールを送付し、開封率を測定・是正指導する。
年2回実施。開封率は前年比で改善 (12%→4%)。
— (クリックで入力)
— (クリックで入力)
— (クリックで設定)
私物端末(BYOD)の庁内ネットワーク接続禁止規程
私物のスマートフォン・PCを庁内LAN/業務系に接続することを禁止し、違反時の措置を定める。
規程化済。MACアドレス認証で技術的にも遮断。
— (クリックで入力)
— (クリックで入力)
— (クリックで設定)