自治体側の受け入れ態勢に残置する課題

　国が構想するデジタルガバメントについて自治体側の認識する課題は、デジタル・ガバメント閣僚会議の傘下に設置されたデジタル改革関連法案WGにおいて2020年秋から5回にわたり議論がなされ、自治体代表者側からは現実的な意見が述べられたと聞いている。

　国と地方のデジタル化について政府では、「2025年をターゲットに、政府が用意するガバメントクラウド上での基盤整備と大部分の移行作業を終える」としたロードマップを提示している。

　ただし、この春から自治体の標準化・共通化システムの要件定義作業を1年以上もの時間をかけて進める計画であり、自治体の数からみても2025年を目途とした政府のスケジュールは現実的とは思えないのが実情である。

　さらに、仮に自治体が利用可能な共通基盤が整備されたとしても、移行後の新システムを利用する主体となる自治体担当者のスキルが伴わない場合、セキュリティの観点で不安がつきまとうことになるだろう。

　現在、各自治体では職員のITスキル向上を目指した取組を推進しつつあるが、多くが公募手続きによる一時的な「研修業務の外部委託」にしか過ぎないケースが目につく。財政事情にもよるのだが、財務に余裕のある大規模な自治体がIT専門職員やセキュリティにくわしい職員の新規採用などで情報システム部門の拡充に動く一方、地域の小規模自治体の多くは、依然として少数職員での運用や検討にとどまるのが実態なのだ。

　また、自治体では現在の情報システムの開発と運用を長年にわたって同一のITベンダーやメーカーに委ねるケースがほとんどで、いわゆるベンダーロックインに陥っている現実がある。企画や設計・運用に至るほぼすべての工程を特定ベンダーの半ば言いなりに「金額も仕様も決定」した上での調達・運用であるのが実態で、セキュリティ要件についてもその思想やレベル感はベンダー側の要件定義をトレースするだけにとどまっていることが多い。

マイナンバーの取扱拡大に伴うリスク

　こうした環境でありながら、今後はさらにマイナンバーの自治体業務への適用シーンが拡大する。法的に厳格に取り扱われる必要があるが故に、業務遂行上のボトルネックとなっているマイナンバーだが、これが従来以上に拡大利用される場合、必ずしも「情報」そのものや「情報取り扱い」への感度が高くない職員が、住民のマイナンバーに触れる機会が増大することが想定される。

　もちろん、個人のマイナンバーが外部に漏れたとしても、当該個人が実害を被るシーンは想定しにくいが、国自体がマイナンバーの取扱の厳秘化要件を各セクターに課してきており、職員のリテラシーの現実との間でギャップを生み出すことになるだろう。

　また、自治体の各現業部門では、業務のさまざまな作業を外部企業に委託しているが、こうした自治体と外部企業とのバリューチェーンにおいて新たにマイナンバーが情報として流通することになるはずだ。たとえば、自治体が特定業務をクラウド事業者との連携により実現しようとするケースを想定してみよう。

　当該企業が実はサーバを海外に設置しており、さらに当該国の政府がサーバに格納された情報に何らかの形でアクセスすることが容認されるような法体系を有していたらどうだろうか。

デジタルガバメントを語る前にセキュリティ態勢の高度化が欠かせない

　こうした実態やリスクを念頭におけば、デジタルガバメント推進に先んじて、まずは自治体や自治体システムとの連携が将来的に想定される民間企業の現場における情報管理の実態を把握し、課題を特定したうえで早々に改善を施すことが前提として重要である。

　そのためには、安全保障や国民の個人情報を取り巻く現状を把握し、脆弱性を潰すことが必要だろう。自治体では情報セキュリティの意識はあっても、これを保全する専門要員が不足しているのは先に述べたとおりだ。

　リスク意識が低いが故に、生活に欠かせない基盤でもある上水道の重要設備にも監視カメラが設置されていない自治体も存在し、無人の重要施設がターゲットとされる可能性もある。我々個人をみても、自宅にペット用のWebカメラを設置していても、暗号化がなされておらず、外部から閲覧可能となっているケースも多い。

　同様に、企業内の監視カメラの映像がリアルタイムにWeb上に流出しているケースも確認されている。IoT化が進む家電製品も外部からの侵入や操作をされてしまうリスクにも晒されているのが実態だ。

【次ページ】企業が利用するウェブ会議システムや情報連携ツールは安心か？