【対談】令和8年度の国指針から読む自治体情報セキュリティの方向性―法改正・財政措置・対策のポイントは？

地方自治法改正で何が変わる？セキュリティポリシー策定が義務に。

伊藤：最初のテーマは「地方自治法（第二百四十四条の六）」の改正についてです。今回の改正は「国と地方の関与のあり方」が大きな論点となっています。情報セキュリティの観点で、どこに注目すべきでしょうか。

髙橋：今回の改正は令和6年の通常国会で採択され、令和8年4月に施行されました。まず、注目してほしいのは「サイバーセキュリティを確保するための方針を定め、及びこれに基づき必要な措置を講じなければならない」と義務化されたこと。そして令和8年4月1日から（案）が取れて、大臣指針となることです。議会事務局や一部事務組合なども含む全ての地方公共団体が「セキュリティポリシー」策定を義務付けられました。

伊藤：それぞれの地方公共団体でセキュリティポリシーを策定する、という理解でよろしいでしょうか。

髙橋：そうです。セキュリティポリシーは「基本方針」と「対策基準」の2つにわかれますが、今回の大臣指針では、全地方公共団体で「基本方針」をつくるという通知になっています。都道府県や市区町村のいわゆる首長部局では、すでに98%近くが基本方針を策定しているといわれますが、今回は議会事務局や一部事務組合も対象になっていることをしっかり認識する必要があります。

サイバーセキュリティ基本法改正と自治体の位置づけ。

伊藤：次に「サイバーセキュリティ基本法」の改正についてお伺いしたいと思います。もう一段上の、国家レベルのセキュリティ対策になりますが、国全体の安全保障の枠組みの中で、地方公共団体も一段意識を上げてセキュリティ対策に取り組んでいかないといけないと理解するべきでしょうか。

髙橋：これまでの改定経緯は図を見ていただければと思いますが、今回の改正のポイントは、サイバー攻撃の対象が「重要インフラ」になってきている、そこを強化しなければいけないという点にあります。地方公共団体は、国が定める重要インフラ15分野の「政府・行政サービス」に該当します。また、医療においては、サイバー攻撃で電子カルテが暗号化されてしまい診療が止まってしまった、空港でもサイバー攻撃で運航の遅延や欠航が生じてしまった……といった生活に影響を及ぼす被害が出ているわけです。

伊藤：地方公共団体がサイバー攻撃の被害にあったという話はさほど聞かないのですが。

髙橋：これまで「三層分離」環境において、幸いにして大きな事故は起きていませんが、中には水道・病院・交通をもっている自治体もあるわけです。行政側が攻撃を受けてやられてしまうとインフラもやられてしまうリスクがある、またその逆もあり得ますから、三層分離をしているから大丈夫とは言い切れません。今回の改正は自治体の皆さまにとっても影響力が大きい改定だと思います。

地方財政措置のポイント。「デジタル債」の対象が拡大。

伊藤：「地方自治法」「サイバーセキュリティ基本法」の改正といった国の制度に変化があることは理解しましたが、やはりそれを実行する予算がないと地方公共団体も動くことができないと思います。情報セキュリティは対策を入れて終わりではないので、運用管理のための人的リソースが不可欠で、コストもかかってくると思われます。令和8年度の地方財政対策の中で、セキュリティ関連はどう読むべきでしょうか。

髙橋：まず、人的な財政措置で言いますと、これはアドバイザー制度（※）がありますので、こちらを活用してもらうのがよいのではないかと思います。機器の部分で言いますと「デジタル活用推進事業債（通称：デジタル債）」に注目していただきたいと思います。

これは充当率が90％で、元利償還金に対する交付税措置率50％ですから、実質40％を5年以内に国に返せばよいという制度になります。これまでは、対象がDXを推進するためのバックオフィス製品やSaaS製品に限定されていたのですが、この範囲を拡大してセキュリティ機器、ネットワーク機器までを対象とすることとなりました。

※アドバイザー制度　自治体が外部の専門人材（民間企業人材や有識者など）を活用し、DXや地域活性化などの課題解決に取り組む際に、国が地方交付税措置などで経費を支援する仕組み。主に特別交付税措置により謝金や旅費などが対象とされ、専門的知見の導入を後押しする。

  出典：総務省「地方公共団体のサイバーセキュリティ対策に関する地方財政措置の拡充について」

伊藤：デジタル債は単年度措置なのでしょうか。

髙橋：デジタル債自体は単年度措置です。例えば「α’モデル」導入のイニシャルコストについてはデジタル債を活用して整備し、ランニングコストについては地方交付税でまかなっていく、といった活用の仕方も考えられます。デジタル債を起債することで国の補助が明確になるので、地方交付税を使いやすくなるのも大きなポイントだと思います。

三層分離からゼロトラストへ。重要性を増す「EDR」。

伊藤：最後に自治体に求められる具体的な対策要件についてお話を伺えればと思います。三層分離の見直し、ゼロトラスト、ガバメントクラウドなど、現場は何から着手すべきでしょうか？

髙橋：前半でもお話をしました通り、従来の「地方のことは地方で」に対し、令和8年4月からは国が強制力をもつ形になっています。セキュリティポリシーの「基本方針」に続いて、「対策基準」の策定に関しても国から指針が出てくるはずですので、まずそれをしっかり把握して、策定していってほしいと思います。

また、2030年に自治体のネットワークが「三層分離」から「ゼロトラスト」に変化する際には、「EDR」（※）は必要になる技術だと思います。私は文部科学省の「教育情報セキュリティポリシーガイドライン改訂検討会」の座長も務めています。教育分野では「ゼロトラスト」が先行していますが、エンドポイントをしっかり対策することが大切です。

※EDR　Endpoint Detection and Responseの略。パソコンやサーバーなどの端末を常時監視し、不審な挙動や侵害の兆候を検知・分析するセキュリティ対策の一つ。被害の拡大を防ぐため、検知から隔離・復旧までを一体的に行う。

伊藤：おっしゃる通りで、我々も教育委員会の「ゼロトラスト」化や自治体の「α’モデル」への対応で多数のお客様に採用されていますが、ネットワークセキュリティ製品だけでなく、「FortiEDR」の引き合いも増えています。

伊藤：いくらネットワークをガチガチに固めても、エンドポイントがやられてしまっては元も子もありません。またわれわれのEDRは、すでに申請中のISMAPを令和8年度上半期には取得予定となっており、信頼性も高く、中小規模の自治体でも利用できるような価格設定にもしています。ぜひ監視サービスも付帯してご検討いただきたいです。

髙橋：今回、デジタル債も起債できるようになったわけですから、これを契機としてぜひ前向きに検討していってほしいですね。

伊藤：詳しいことを知りたい方は、令和8年5月14日（木）に開催される「教育DXブレークスルーセミナー」、5月27日（木）に東京、6月5日（金）に大阪で開催される「自治体課題ブレークスルーセミナー」に、ぜひ参加していただき、最新の情報を入手してもらえればと思います。