開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン
  • デジタルガバメントで生まれる“自治体リスク”、地域金融機関は何を担うべきか

  • 会員限定
  • 2021/04/06

デジタルガバメントで生まれる“自治体リスク”、地域金融機関は何を担うべきか

大野博堂の金融最前線(35)

国が構想するデジタルガバメントでは、国と地方公共団体のみならず、民間事業者や個人にもデジタル化の恩恵が及ぶ半面、各セクターがこれまでにないリスクにもさらされることが懸念されている。そこで本稿では、自治体にフォーカスを当て、デジタル化に伴うリスクとその対処方針について解説する。また、最近は自治体向けにDX推進を支援しようとする地域金融機関も増えてきたことから、その際に有効となる検討の視点についても触れてみたい。

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

NTTデータ経営研究所 パートナー 金融政策コンサルティングユニット長 大野博堂

93年早稲田大学卒後、NTTデータ通信(現NTTデータ)入社。金融派生商品のプライシングシステムの企画などに従事。大蔵省大臣官房総合政策課でマクロ経済分析を担当した後、2006年からNTTデータ経営研究所。経営コンサルタントとして金融政策の調査・分析に従事するほか、自治体の政策アドバイザーを務めるなど、地域公共政策も担う。著書に「金融機関のためのサイバーセキュリティとBCPの実務」「AIが変える2025年の銀行業務」など。

photo
SNSのデータは海外サーバで保管されているものがある。セキュリティは本当に問題ないのか?
(Photo/Getty Images)

自治体側の受け入れ態勢に残置する課題

 国が構想するデジタルガバメントについて自治体側の認識する課題は、デジタル・ガバメント閣僚会議の傘下に設置されたデジタル改革関連法案WGにおいて2020年秋から5回にわたり議論がなされ、自治体代表者側からは現実的な意見が述べられたと聞いている。

 国と地方のデジタル化について政府では、「2025年をターゲットに、政府が用意するガバメントクラウド上での基盤整備と大部分の移行作業を終える」としたロードマップを提示している。

 ただし、この春から自治体の標準化・共通化システムの要件定義作業を1年以上もの時間をかけて進める計画であり、自治体の数からみても2025年を目途とした政府のスケジュールは現実的とは思えないのが実情である。

 さらに、仮に自治体が利用可能な共通基盤が整備されたとしても、移行後の新システムを利用する主体となる自治体担当者のスキルが伴わない場合、セキュリティの観点で不安がつきまとうことになるだろう。

 現在、各自治体では職員のITスキル向上を目指した取組を推進しつつあるが、多くが公募手続きによる一時的な「研修業務の外部委託」にしか過ぎないケースが目につく。財政事情にもよるのだが、財務に余裕のある大規模な自治体がIT専門職員やセキュリティにくわしい職員の新規採用などで情報システム部門の拡充に動く一方、地域の小規模自治体の多くは、依然として少数職員での運用や検討にとどまるのが実態なのだ。

 また、自治体では現在の情報システムの開発と運用を長年にわたって同一のITベンダーやメーカーに委ねるケースがほとんどで、いわゆるベンダーロックインに陥っている現実がある。企画や設計・運用に至るほぼすべての工程を特定ベンダーの半ば言いなりに「金額も仕様も決定」した上での調達・運用であるのが実態で、セキュリティ要件についてもその思想やレベル感はベンダー側の要件定義をトレースするだけにとどまっていることが多い。

画像
「デジタルガバメント実行計画」の概要
(出典:内閣府 報道発表)

マイナンバーの取扱拡大に伴うリスク

 こうした環境でありながら、今後はさらにマイナンバーの自治体業務への適用シーンが拡大する。法的に厳格に取り扱われる必要があるが故に、業務遂行上のボトルネックとなっているマイナンバーだが、これが従来以上に拡大利用される場合、必ずしも「情報」そのものや「情報取り扱い」への感度が高くない職員が、住民のマイナンバーに触れる機会が増大することが想定される。

 もちろん、個人のマイナンバーが外部に漏れたとしても、当該個人が実害を被るシーンは想定しにくいが、国自体がマイナンバーの取扱の厳秘化要件を各セクターに課してきており、職員のリテラシーの現実との間でギャップを生み出すことになるだろう。

 また、自治体の各現業部門では、業務のさまざまな作業を外部企業に委託しているが、こうした自治体と外部企業とのバリューチェーンにおいて新たにマイナンバーが情報として流通することになるはずだ。たとえば、自治体が特定業務をクラウド事業者との連携により実現しようとするケースを想定してみよう。

 当該企業が実はサーバを海外に設置しており、さらに当該国の政府がサーバに格納された情報に何らかの形でアクセスすることが容認されるような法体系を有していたらどうだろうか。

デジタルガバメントを語る前にセキュリティ態勢の高度化が欠かせない

 こうした実態やリスクを念頭におけば、デジタルガバメント推進に先んじて、まずは自治体や自治体システムとの連携が将来的に想定される民間企業の現場における情報管理の実態を把握し、課題を特定したうえで早々に改善を施すことが前提として重要である。

 そのためには、安全保障や国民の個人情報を取り巻く現状を把握し、脆弱性を潰すことが必要だろう。自治体では情報セキュリティの意識はあっても、これを保全する専門要員が不足しているのは先に述べたとおりだ。

 リスク意識が低いが故に、生活に欠かせない基盤でもある上水道の重要設備にも監視カメラが設置されていない自治体も存在し、無人の重要施設がターゲットとされる可能性もある。我々個人をみても、自宅にペット用のWebカメラを設置していても、暗号化がなされておらず、外部から閲覧可能となっているケースも多い。

 同様に、企業内の監視カメラの映像がリアルタイムにWeb上に流出しているケースも確認されている。IoT化が進む家電製品も外部からの侵入や操作をされてしまうリスクにも晒されているのが実態だ。

【次ページ】企業が利用するウェブ会議システムや情報連携ツールは安心か?

お勧め記事

トピックス

IT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!