地方公共団体から受託でお仕事をされている企業の方は要チェック!
「地方公共団体における 情報セキュリティポリシーに関するガイドライン」「地方公共団体における情報セキュリティ監査に関するガイドライン」が改定されましたよ〜。
ここ数年、結構頻繁に改定されていますよね。
↓
https://www.soumu.go.jp/menu_news/s-news/01gyosei02_02000334.html
これまたページ数がすごくて・・・(´ㅂ`; )
セキュリティポリシーのガイドラインが400ページ
セキュリティ監査のガイドラインが180ページもあるという・・・
とりあえず、ポイントを見てみましょう。
↓
「別紙1 「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の改定について」
まず、気になるのは「1.クラウドサービスの利用に対する対応」ですよね。
確か自治体は、2015年の年金機構の情報漏洩問題をきっかけに、
ネットワークを
①マイナンバー利用事務系
②LGWAN接続系
③インターネット接続系
の3つに分離する「αモデル」を推奨していました。
その後、業務効率とか利便性の改善のために、
「βモデル」や「β’モデル」が出てきて、少しずつ緩和されてきていましたが、今回は「α’モデル」ですと!?
これはなんぞや?というと・・・
以下のように規定されています。
↓
このあたりの記載(③全般で10ページ近く)が増えた感じですね。
なるほど〜ここでもISMAPが出てくるのか。
「βモデル」や「β’モデル」についてはそんなに導入が進んでいないイメージがありましたが、「α’モデル」はどうなんだろ?
自治体とやりとりするにあたって、このモデル自体は理解しておく必要はありますね。
あとは「2.業務委託先管理の強化」。
これも気になるところです。
全体的に項目も増えた模様・・・(ⅱ-50あたりから)
(1)業務委託に係る運用規程の整備
(2)業務委託実施前の対策
(3)業務委託実施期間中の対策
(4)業務委託終了時の対策
契約項目に「個人情報漏えい防止のための技術的安全管理措置に関する取り決め」が追加されてますね。
自治体は基本的に多くの業務を外部に委託しますから、
最近の漏洩事故などを見ていても厳しくなるのは仕方がないかなぁという気はします。
こんな感じでまだまだ細かい部分はたくさん改定されていると思いますが、
実際の自治体がこれに追いつくのはまだまだ先かも?
弊社としても、セキュリティ監査を受託することがあるので、
最新のガイドラインは押さえておきたいところです。
自治体との取引がある企業の皆さんはチェックしておきましょう!!