お客様の声

加賀市役所は、日常的に情報セキュリティに関する取り組みを行っており、その一環で情報セキュリティ教育クラウド「セキュリオ」を積極的に活用されています。今回は、情報セキュリティの取り組みを推進されているご担当者であり、「セキュリオ」を運用していらっしゃる吉田様に、取り組まれてきたセキュリティ活動や具体的な「セキュリオ」の運用方法、成果についてお話を伺いました。

加賀市役所について

加賀市は、石川県の最南端に位置し、加賀温泉郷や、九谷焼・山中漆器などの伝統工芸、日本遺産に登録されている北前船など観光資源が豊富な市となっています。「スマートシティ加賀」を掲げ、人口減少と少子高齢化による地域活力の低下など、さまざまな地域課題を、IoTやAI、ビッグデータなどの先端技術を用いて解決し、市⺠の暮らしが便利で安心であるとともに産業も活性化している持続可能な都市を目指しています。

• 所在地：石川県加賀市
• 設立：2005年10月
• 職員数：1123名（2023年4月1日時点、病院職員含む）
• Webサイト：https://www.city.kaga.ishikawa.jp/index.html

デジタル技術の活用と「攻め」の情報セキュリティを推進

加賀市は、デジタル技術の活用を積極的に行われている印象がありますが、具体的にはどのような取り組みをされていますか。

加賀市は、市民がデジタル技術を活用して便利で快適にすごせるまちを目指す「スマートシティ加賀」を進めており、人口減少など地域の課題にデジタル技術で重点的に取り組む自治体として、国家戦略特区の一つである「デジタル田園健康特区」にも指定されています。こうした取り組みは、市職員だけではなく民間企業の協力も得ながら積極的に進めています。

また、2023年4月に「デジタル田園都市国家構想交付金」の採択を受けたことで、マイナンバーカードと生体パスポート（顔認証）を活用し、市内の様々な施設を“顔パスによる手ぶら”で利用できるようにする「加賀市版スマートパス構想」の事業も推進しています。
私は、現在本事業のプロジェクトマネージャーを担当しています。

吉田様のご経歴について教えてください。

石川県金沢市出身で、新卒から20年ほどメーカー企業のシステム・セキュリティエンジニアとして従事した後、地元銀行のクラウドバンキング開発を請け負うベンチャー企業に入社し、インフラ運用に関するセキュリティ責任者を担っていました。そのベンチャー企業は、情報セキュリティの第三者認証であるISMS/ISO27001を取得しており、その運用における情報セキュリティ教育を担当することもありました。

その後、加賀市でデジタル人材の募集があり、2022年4月に入庁しました。首都圏に比べて加賀市には情報セキュリティ人材が不足している状況だったので、長年培ってきた情報セキュリティの知識や経験を活かして、地元に貢献したいという想いがありました。

加賀市版スマートパス構想のプロジェクトマネージャーも務められていらっしゃいますが、情報セキュリティ業務との兼ね合いはいかがですか。

2022年度は情報セキュリティ業務が中心でしたが、2023年度は情報セキュリティ業務と加賀市版スマートパス構想のプロジェクト推進の割合が半々になりました。対応できる時間は少なくなりますが、民間企業に所属していた頃から様々な業務と並行して対応するのが当たり前だったので、大きな課題感はありません。

どのような体制でセキュリティに取り組まれていますか。

セキュリティの業務を行うチームは4名で、自治体の中では比較的体制が整っています。他の自治体では、1名のみで対応されているケースも珍しくありません。また、必ずしもセキュリティ業務に詳しい方が担当される訳ではないので、総務省の情報セキュリティガイドラインを参考にしながら、手探りで対応されていることもあるようです。

デジタル技術の活用を推進される中で、情報セキュリティの重要性はどのようにお考えですか。

情報セキュリティにおいて、庁内職員の情報セキュリティのリテラシーと意識向上を含む自組織のマネジメントはもちろん重要ですが、提供するデジタルサービスの情報セキュリティ強化も重要だと考えています。

デジタルサービスの活用と情報セキュリティは両輪で推進する必要がありますが、一般的には、「攻め」と「守り」と表されることが多いです。しかし、加賀市は消滅可能性都市に指定されたこともあり、その状況から脱却するには、断トツなデジタル化の町を目指すことが必要です。そのためには、加賀市版スマートパス構想やe-加賀市民制度（NFTを活用した電子市民制度）など、スマートシティ加賀を目指す「攻め」の取り組みに対して、「攻め」の情報セキュリティを行っていきたいと考えています。
デジタルサービス提供だけではなく、情報セキュリティについても最新のデジタル技術を活用しています。

こうした「攻め」の情報セキュリティの対応について、事業者に依存するのではなく、市として安全なシステム・サービスを創り上げる必要があると認識しています。まずは、重要な事業で「攻め」の情報セキュリティを実践し、ルール化していくことで、今後の基盤となる仕組みを創りたいと考えています。

ChatGPT運用開始に伴いPIAを実施するなど、プライバシーにも配慮

「攻め」の情報セキュリティを実践している重要な事業のひとつが、まさに加賀市版スマートパス構想でしょうか。

そうですね。加賀市版スマートパス構想の実現には、市民の方の顔情報といった個人情報が必要です。そういった個人情報をいかに安全に守るかが大切ですし、安全に守るだけではなく、プライバシー上問題ないかについても評価する必要があります。
加賀市では、PIA（プライバシー影響評価）を行っています。過去には、デジタル庁が推進する「こどもに関する各種データの連携による支援実証事業」についてPIAを実施しました。PIAの実施は自治体としては初めての試みでした。

また、加賀市は2023年5月30日に、市役所業務におけるChatGPTの運用を開始しました。
導入に際して、利用ルールやガイドラインの策定および運用マニュアルの作成を行うとともに、PIAを実施し、プライバシーの安全性評価を行いました。

自治体初のPIA（プライバシー影響評価）を実施されてみていかがでしたか。

PIAを実施する際に、世界経済フォーラムのGlobal Smart City Allianceの方に相談させていただきました。その際のアドバイスは、「PIAは市民に安心してもらうために行う」ということです。単にセキュリティの安全性を高めるだけではなくて、市民の方に説明し、理解してもらうことが重要ですが、ここが最も難しいポイントでした。

セキュリティの確保とプライバシーの確保は違います。セキュリティは、例えば個人情報保護法における安全対策基準についてどのように満たしているかという安全性の確保の話です。一方で、個人情報の収集における同意取得や業務上の扱い方など、プライバシーに影響しないように、どういう情報を何の目的で誰がどう利用するかについて設計するのがプライバシーの確保です。PIAを実施することで自身の理解が深まり、市民の安心・安全にもつながります。PIAは事業ごとに行うため、加賀市版スマートパス構想や医療版情報銀行などの事業においても実施したいと考えています。

セキュリティやプライバシーに対して真摯に向き合われている印象を受けたのですが、自治体に求められるセキュリティの責任についてどう感じられていますか。

市町の自治体は、住民基本台帳のデータを保持しているので情報セキュリティ事故への危機感は非常に高いです。しかし、それでも自治体の情報セキュリティ事故に関する事例が報告されています。それは、突き詰めると、業務運用や組織・委託事業者の管理、システム対策など全体として整備しきれていない部分がまだあるからだと思います。
一つでも整備されていない所があると、何かの機会に事故に繋がってしまうので、やはり職員の意識を含めて全体としてきちんと整備していくことが重要であると考えています。

「面倒くさい」が「当たり前」になるまで繰り返し教育を行うことが重要

情報セキュリティ教育の必要性についてどのようにお考えですか。

情報セキュリティ教育は、私の経験上、絶対に必要です。

セキュリティは、「面倒くさい」「これまでこの運用だったから」という理由で、日常業務における改善すべき点がなかなか是正されないこともあります。そこが是正されるようになるためには、教育を繰り返し行い、各人のリテラシーと意識を上げることが不可欠です。

教育を繰り返し行っていると、「また、教育か…」と感じられることもあると思うのですが、教育が面倒だと感じられている内はまだ足りていません。「面倒くさい」が「当たり前」にならないと、セキュリティの意識が十分に定着されないと考えています。

加賀市役所の職員内でセキュリティ意識に差はありますか。

職員全員と会話できている訳ではありませんが、やはり差はあります。以前、セキュリティに関する3時間の集合研修を行った際も、受講者の感想は、「すでに知っている内容だった」、逆に「専門的で難しい」など様々でした。
ただ、教育においては知識量が多い人に合わせるのではなくて、組織の全体的な底上げをすべきだと考えています。

集合研修を行っていらっしゃったとのことですが、セキュリオ導入前に、教育における課題はありましたか。

集合研修の際は、実施前に関係各所に確認が必要で実施者の負担になっていたり、受講者にとってもまとまった時間を確保する必要があるので何回も繰り返し実施することが難しいという課題がありました。

eラーニングは、空いた時間に10～15分程度で受講してもらえるので、実施者と受講者の負担軽減になりますし、定期的な教育による意識向上に取り組みやすいです。

教材・機能・コストの条件を満たすのはセキュリオのみだった

セキュリオについてどのようにお知りになりましたか。

加賀市でeラーニング実施を決めた後、まず以下の3つの観点でサービスを調査しました。

• 教材（教材数、内容、定期追加）
• 機能（テスト、受講管理、教材追加）
• コスト（価格、ライセンス形態）

その後、10個程度のサービスについて比較しました。

その結果、すべての要件と予算を満たしたサービスは、セキュリオしかありませんでした。情報セキュリティのeラーニングではセキュリオが断トツだと感じましたし、導入実績も豊富であったことから導入を決めました。

セキュリオ導入に際して特に決め手となったところはありますか。

今後は、標的型攻撃メール訓練も行いたいと考えているので、eラーニングだけではなく訓練が実施可能な点も決め手の一つでした。

標的型攻撃メール訓練の実施も検討されているのですね。

はい。自治体のネットワークは三層分離していて、基本的な業務はインターネットに接続されていないLGWANの環境で行っています。そのため現在は、標的型攻撃メールが来たとしても、添付ファイルは無害化処理されますし、本文中のURLをクリックしても情報がLGWAN外に漏えいすることはありません。

ただ、標的型攻撃の脅威に対して意識を持つことは非常に重要で、実際に訓練を行って引っかかってみないと危機感を持つことは難しいです。今は三層分離によってリスクが低くとも、標的型攻撃も高度化しているので、将来的に我々が想像もつかない攻撃をされることもあり得ます。実際に攻撃を受けた際に「あっ」と感じても遅いので、訓練は実施したいと考えています。

ChatGPTなど新しいサービスの導入も積極的にされているのでしょうか。

そうですね。業務利用における利便性を高めるために、2023年9月よりLGWANの環境からクラウドサービスを直接利用するセキュアな環境(ローカルブレイクアウト)を導入しました。ChatGPT導入に加えて、今後、庁内におけるクラウドサービスの利用も拡大していきます。
そのため、より職員のリテラシーを高める必要があります。ChatGPTも含めて、新しいサービスは自転車などと同じです。便利な一方で、どういうリスクがあるのかを知らないと事故に遭ってしまいます。利用するサービスの特性をしっかり理解した上で、利用することが重要です。職員のリテラシー向上のための情報セキュリティ教育をしっかり実施していきたいです。

自治体で初めてセキュリオを導入されましたが、導入時にご不安はありましたか。

職員が本当にセキュリオを受講してくれるかが、初めは不安でした。ただ、最終的には受講率は9割程度になっています。受講者には、出向者や休職中の職員も含まれているので、実際の受講率はもう少し高いかと思います。

約1,000人に教育を繰り返し実施。日常業務における気づきが増えた

セキュリオはどのようにご活用されていますか。

主には、eラーニング機能を活用しており、まずはセキュリオが提供している教材を活用して教育を２回実施しました。受講者は、庁内の職員に加えて、医療センター、小中学校の教員、保育園の保育士の方など約1,000人を対象としました。業務においてPCを利用している、または個人情報を扱う人はすべて受講していただいた形です。教員がPCを持ち出して紛失してしまい情報漏えいに繋がった事例もあるので、市の職員だけではなくPCや個人情報を扱うすべての人にセキュリティ意識を持って欲しいと考えました。
今年度も定期的に情報セキュリティ教育を行っています。

セキュリオを活用して教育を実施されてみて変化はありましたか。

「これまでこのように情報共有を行っていたがこれは問題ないか」など、普段の業務を振り返って、我々情報セキュリティ事務局に質問をしてくれる数が増えました。これは、繰り返し教育を受講することにより、情報セキュリティの意識付けがされ、普段の業務における気付きが増えて、質問などの行動に繋がっていると実感しています。

どれだけ技術的対策や物理的対策を施しても、人的対策が疎かになり、普段の業務でルール違反やミスがあると情報漏えいなどの情報セキュリティ事故につながります。
人的対策において、この「普段の業務における気付き」は、基本的なことですが、非常に重要なことだと考えています。

定期的に教育を行うことを重視されている印象がありますが、繰り返すことで得られた効果はありますか。

先述した通り、情報セキュリティ教育の機会が増えて「面倒くさい」と思われ始めているのが変化の一つだと思っています。ただ、それを当たり前だと思ってもらえるまで継続していくことが重要ですので、「面倒くさい」の声に負けちゃいけないと思っています。市民サービスの安心・安全を確保する為ですが、同時に職員を守ることにもつながります。

複数回教育を実施するのは実施者にとっても負担になるかと思いますが、いかがですか。

集合研修に比べたら、eラーニングは圧倒的に楽です。集合研修の際は、実施するごとに費用が発生していましたが、セキュリオは年間契約のためどれだけ実施しても値段が変わりません。
セキュリオを活用して初めて教育を実施する際は、受講者にセキュリオに関する説明が必要だったりと大変な部分もありました。
ただ、2回目からは、スムーズに受講してもらえるようになりましたし、実施者側も教材を選んで配信するだけなので負荷は感じていません。また、受講率やテストの点数など、後から意識の変化を計測する指標が自動で計測される点も良いと思います。

セキュリオをお使いいただく中で分からない点もあるかと思いますが、LRMのサポート体制はいかがですか。

定期的に打合せにて課題や利用状況をヒアリングしていただいています。分からない所を相談させていただくと、すぐに説明してくださるなど非常に対応が丁寧です。この料金でここまで対応してくださるのは、コストパフォーマンスがとってもいいと思います。

教育に加えて、標的型攻撃メール訓練や委託先管理もセキュリオを活用したい

今後の展望や課題についてお話しください。

今後、情報セキュリティポリシーの各規定をすべての部局、すべての業務で十分に満たせるようになることがゴールです。また、今後はISMSの仕組みを活用して、セキュリティの管理改善を行っていきたいと考えています。こうしたISMSの取り組みは、初めての試みなので、開始する時に大きな力が必要になると感じています。しかし、一度PDCAサイクルを回すことを経験してもらえれば継続して実施できるようになると思うので、しっかり取り組んでいきたいです。

セキュリティの管理改善においては、周知や教育が必要不可欠です。今まで、周知については庁内会議での説明、掲示板に掲載、あるいはメールで送付していましたが、それでは本当に確認してもらえたかが分かりません。セキュリオのeラーニング機能を活用すれば、受講状況が分かるので確認してもらえたことが分かります。今後はそのような活用も行っていきたいです。

今後活用してみたい機能はありますか。

eラーニング機能を活用した教育に加えて、標的型攻撃メール訓練機能を活用した訓練も計画しています。また、近年、委託事業者の管理も大変重要になってきているので、サプライチェーンセキュリティ機能を活用した委託事業者の情報セキュリティチェックも実施したいです。サプライチェーンセキュリティ機能については、委託先へのアンケートが複数のテンプレートから作成・実施可能であり、非常に便利なのではないかと期待しています。

その他セキュリオに期待されている点はありますか。

生成AIに関する教材は非常に有用でしたので、今後も最新のセキュリティ動向に関する教材を追加していただきたいです。また、自治体向けの教材があるととても助かります。総務省のセキュリティガイドラインはボリュームが多く、難易度も高いことから、一般職員が理解するのは難しいです。一般職員が日常業務において気を付けるべき点を噛み砕いて教材として提供いただけるとありがたいです。

加賀市役所様、お忙しい中ありがとうございました。
今後ともよろしくお願いいたします。

取材日：2023年8月