地方公共団体情報システムにおける標準化にかかる共通基準に関する検討会(第四回)
概要
- 開催日:令和7年(2025年)8月5日(火)
- 場所:デジタル庁庁議室及びオンライン会議
- 議題:
- 「非機能要件の標準【第1.2版】(案)」の意見照会結果
- 意見照会を踏まえた改定案への反映事項
- その他検討課題
- 改定後の継続検討課題
- 今後の実施事項
資料
関連政策
議事要旨
本検討会の議事については、関係者による闊達な議論につなげる観点から議事要旨として公開する。
出席者(敬称略)
構成員
- 【座長】 庄司 昌彦(武蔵大学社会学部教授)
- 柿崎 淑郎(東海大学情報通信学部情報通信学科情報通信学科准教授)
- 藤村 明子(NTT社会情報研究所主任研究員)
- 吉岡 幹仁(神戸市企画調整局デジタル戦略部長)
- 滝上 潔(富岡市企画財務部デジタル戦略課課長補佐)
- 齋藤 理栄(深谷市企画財政部ICT推進室係長)
- 吉田 明央(京都府町村会企画振興課⾧)
- 吉本 明平(一般財団法人全国地域情報化推進協会企画部担当部長)
準構成員
- 前田 宏(株式会社RKKCS)
- 板矢 仁(Gcomホールディングス株式会社)【代理人出席】
- 横山 大輔(株式会社TKC)
- 山崎 高広(株式会社電算)
- 福田 裕希(日本電気株式会社)
- 穴山 泉(株式会社日立システムズ)
- 大村 周久(富士通 Japan株式会社)
オブザーバー
- 滝澤 智史(こども家庭庁長官官房総務課課長補佐)
- 小町 佑馬(こども家庭庁長官官房総務課係長)
- 佐賀 咲野(こども家庭庁長官官房総務課係員)
- 松澤 拓也(こども家庭庁成育局母子保健課係員)
- 伊藤 輝(こども家庭庁支援局家庭福祉課係長)
- 植田 彰彦(こども家庭庁成育局母子保健課課長補佐)
- 西谷 和徳(総務省自治税務局電子化推進室事務官)
- 伊良部 直(総務省自治行政局住民制度課課長補佐)
- 手塚 聡(総務省自治行政局住民制度課住民台帳第一係長)
- 吉田 優作(総務省自治行政局住民制度課住民台帳第二係長)
- 渡邉 朋弘(総務省自治行政局住民制度課事務官)
- 深津 亮介(総務省選挙部管理課係長)
- 西島 裕之介(総務省自治行政局住民制度課事務官)
- 古川 士記(法務省民事局民事第一課戸籍指導係)
- 小関 見(文部科学省初等中等教育局修学支援プロジェクトチーム就学支援係長)
- 下地 邦寿(文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室情報企画係長)
- 大塚 聖也(文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室情報企画係)
議事
- 事務局より、意見照会の結果を踏まえた「地方公共団体情報システム非機能要件の標準」の改定案について説明した。
質疑
構成員
「必須水準項目」の名称変更案として、「標準水準項目」は分かりやすく良いネーミングだと感じる。
「E.6.1.1:伝送データの暗号化の有無」について、マイナス条件の①で規定する閉域環境がイメージ図で示されており、閉域環境とする部分に庁舎側が含まれているように見える。「非機能要件の標準」の適用範囲には、庁舎側も含まれるのか。
事務局
当該イメージ図では通信経路を表すため、クラウドサービスを発信側、地方公共団体庁舎を受信側として図示しているが、「非機能要件の標準」の適用範囲としては庁舎側を含まないものとしている。当該イメージ図における表現方法については、より理解しやすい表現を検討してまいる。
構成員
「E.6.1.1:伝送データの暗号化の有無」について、マイナス条件の「②通信ログを取得していること。」及び「③インシデント管理及び対応を行うこと。」は、地方公共団体側のネットワークに求めるものではないという認識か。
事務局
クラウドサービス側と、一部アプリケーション側によって実施される内容であると考えている。
構成員
「非機能要件の標準」の適用対象として、「デジタル社会の実現に向けた重点計画」で定める20業務と同様に、共通機能として実装される統合収滞納管理等のシステムを「非機能要件の標準」の適用対象とし、独自クラウドにおいても適用対象とするべきと以前の検討会で意見を述べたところ。
今回の整理において、対象クラウドサービスとしては独自クラウドが適用対象とされたものの、対象システムとしては20業務に係るものに限るという認識で相違ないか。
事務局
「非機能要件の標準」は「地方公共団体情報システムの標準化に関する法律」に基づく基準となることから、適用対象は共通機能を含む20業務に係る地方公共団体情報システムとし、構築環境としては、ガバメントクラウド、パブリッククラウドに限らず、独自クラウドも適用対象としている。
構成員
「E.6.1.1:伝送データの暗号化の有無」について、マイナス条件の①で規定する閉域環境のイメージ図で示されている「庁内NW」とは、ルーターから先の端末やプリンター等の部分を指すという認識であっているか。
事務局
ご認識のとおり。イメージ図については、ルーター等を介して専用線等でクラウドサービスに接続されているケースが多数であると想定し、作成したものである。
構成員
「非機能要件の標準」の適用範囲について、ガバメントクラウドとパブリッククラウド、又は独自クラウドが適用範囲内であり、オンプレミスは適用範囲外であると認識しているが、地方公共団体やベンダーにとって理解のしやすいよう、対象となる適用範囲の定義を具体的に記載すべきと考える。
事務局
「非機能要件の標準」内の説明資料において、各クラウドサービスの具体的な定義を記載しているが、この部分の記載内容については、より分かりやすい表現を検討してまいりたい。
構成員
レベル設定方法について、プラス条件とマイナス条件の有無により複数のパターンがあり、複雑になっていることから混乱を招くのではないか。全ての項目にプラス条件とマイナス条件を付与し、レベル設定におけるパターンをシンプルにすることは検討できないか。
適用範囲について、「システム基盤(IaaS/PaaS)で実現される要求を範囲としている」との記載は、クラウド環境がサービスと別に提供されているかのようなイメージを読み手に持たせてしまい、混乱を招くのではないか。SaaS化を目指しているのであれば、SaaSを適用範囲とし、オンプレミスで構築されるシステムや自治体クラウドでも要件としてSaaSと呼べないシステムは適用範囲外と整理するのが良いのではないか。
「E.6.1.1:伝送データの暗号化の有無」については、閉域環境において暗号化する必要性について地方公共団体やベンダーから指摘があったものと理解している。閉域環境であっても「レベル1:一部のデータを暗号化」を選択する必要があるとすると、イメージ図で示す閉域環境内のDirect Connectに盗聴等の危険性があるため暗号化をするべきと誤解されてしまうのではないか。また、暗号化を行う趣旨がメトリクス説明に追記されているが、悪意のある第三者の外部からの侵入や改ざんが暗号化によって防げるかは疑義が残るため、表現の精査をお願いしたい。
事務局
レベル設定方法については、ご指摘を踏まえ、より良い表現方法を事務局内で検討してまいる。
適用範囲については、責任分界点やSaaSの要件等、整理が必要な項目が多々あるため、今回の改定案では適用範囲をイメージしやすいようIaaS/PaaSと表現をしたところ。SaaSを適用範囲とすることについては、中長期的に議論をさせていただきたい。
「E.6.1.1:伝送データの暗号化の有無」については、安全な閉域環境内であれば暗号化の有無を地方公共団体で判断可能とすることを意図して「レベル1:一部のデータを暗号化」を選択可能とした。本項目の意図が正確に伝わるよう、イメージ図やメトリクス説明の表現を見直してまいる。
構成員
「E.6.1.1:伝送データの暗号化の有無」について、閉域環境のイメージ図では端末からプリンターへデータが送られるように図示されているが、ガバメントクラウド上に構築されたプリントサーバを介してプリンターへデータが送られるケースも想定されるため、図示するケースを変更又は追加してはどうか。
事務局
「E.6.1.1:伝送データの暗号化の有無」のイメージ図は、「ガバメントクラウド利用における推奨構成」を元に一般的な構成を図式化したものである。別ケースの例示等も併せて、推奨構成を更新してまいりたい。
構成員
項目種別の名称について、選択レベルを自分で選択できるのか、又は国が決めるのかという観点での設定が分かりやすいのではないか。名称を変更しないのであれば、説明が対照的に分かりやすく示すべきではないか。
構成員
「推奨水準項目」と「標準水準項目」は、これまでの項目種別の名称案と比べ、分かりづらくなったと感じている。各項目種別の解説を加えることにより分かりやすいものとなれば良いが、検討の余地があるのであれば、分かりやすさを追求して名称変更を検討していただきたい。
事務局
名称の変更や解説の追加等について、ご指摘いただいた内容を踏まえ検討を進めてまいる。
構成員
「C.2.3.5:OS等パッチ適用タイミング」について、「即時」と「速やか」という表現が混在しており不明瞭である。事前検証については、ゼロデイ攻撃を防ぐために実施するものではないため、「ゼロデイ攻撃を考慮し」の記載は不要ではないか。
「C.6.3.1:インシデント管理の実施有無」をはじめとする管理項目について、本来の趣旨は、運用管理契約を行う場合に既存のプロセスのまま実施するか、又は新規のプロセスを策定するかを検討するべきというもの。修正後の「管理を実施する」又は「管理を実施しない」という選択レベルでは、本来の趣旨から外れてしまっているのではないか。
独自クラウド(自治体クラウド)への適用について、「非機能要件の標準」はベンダーが標準準拠システムでSaaSを構築しサービス提供する際に適用させることが主眼と理解している。オンプレミスはもちろん、自治体クラウドにおける共同利用をはじめ、特定の自治体向け環境に個別SIする場合は適用対象外と整理するのが良いのではないか。
改定後の検討課題について、これまでの検討会で挙げられた意見として「自治体サービスの持続可能性を高める観点から、積極的に非機能要件の下位レベルを選択することを発信していくべきではないか」とあるが、コストを増加させることなく、より高度な非機能要件を達成可能とするためにガバメントクラウドがあるはずであり、地方公共団体に、その責任で選択レベルを下げる判断を求めるメッセージを発信するのは矛盾しているのではないか。
事務局
「C.2.3.5:OS等パッチ適用タイミング」については、ご指摘を踏まえ、記載内容の修正を検討させていただく。
「C.6.3.1:インシデント管理の実施有無」については、本来の趣旨と実施すべき管理事項を表記できるよう検討させていただく。
独自クラウド(自治体クラウド)への適用については、理解しやすい表記に改めつつ、SaaSを含めた適用範囲については今後の議論とさせていただきたい。
改定後の検討課題の表現方法については、再度検討させていただく。
構成員
「C.2.3.5:OS等パッチ適用タイミング」について、事前検証した上で適用するのであれば「即時」は「速やかに」とするのが良いのではないか。また、ゼロデイ攻撃についての文言は削除するか、緊急パッチ等について丁寧に説明するべきと考える。
構成員
ゼロデイ攻撃に関する文言を盛り込むのであれば、セキュリティの緊急パッチについてはゼロデイ攻撃を防ぐために事前検証なく適用せざるを得ない場合もあるが、ゼロデイ攻撃のリスクが少なければ事前検証を行ってから適用させる等、丁寧に記載するべきと考える。
事務局
標準準拠システムにおいては、即時性の発生機会も少ないことも踏まえ、記載内容の修正を検討させていただく。ゼロデイ攻撃についての文言は混乱を生みかねないため、こちらも記載内容を検討させていただく。
構成員
「C.6.3.1インシデント管理の実施有無」等について、総務省のセキュリティーポリシーに関するガイドラインでも管理については実施するとしているため「レベル0:実施しない」の選択肢は取り得ないと考える。地方公共団体に誤解を与えないよう、丁寧な記載をお願いしたい。
構成員
「B.1.1.1:ユーザ数」「B.1.1.2:同時アクセス数」について、「ライセンス価格に影響することがある」とあるが、選択レベルとメトリクス説明の整合が取れていないように見える。職員数・同時アクセス数の上限がないシステムがほとんどであり、上限の有無はライセンス価格に影響しないのではないか。
事務局
「B.1.1.1:ユーザ数」「B.1.1.2:同時アクセス数」が分類されている大項目「性能・拡張性」は、システム設計のために必要な処理量等を自治体で想定していただくための項目である。ご指摘のとおり、職員数・同時アクセス数の上限がないケースも想定されるが、自治体とベンダーとの協議の範囲でもあるため、ご意見として承りつつもメトリクス説明の修正については見送らせていただきたい。下位レベルを選択可能としているため、自治体とベンダーの協議の中で上限を示す必要がないと合意が取れる場合は、柔軟にレベルを選択いただきたい。
事務局
本日の議論を踏まえて早急に改定案の修正を行い、第五回検討会を書面にて開催することとしたい。日程については、改めてご案内させていただく。