データの所在と「地方自治体によるガバメントクラウド」の活用

以前、内閣官房情報通信技術(IT)総合戦略室から公表されていた「地方自治体によるガバメントクラウド(案)」が、デジタル庁のもとで公開されているので、ちょっと簡単にクリップします。

デジタル庁のもとでは、「地方自治体によるガバメントクラウドの活用について(案)」2021年9月・デジタル社会共通機能グループ 地方業務システム基盤チームとなっています。

ガバメントクラウドというのは、

「ガバメントクラウド(Gov-Cloud)」とは、政府の情報システムについて、共通的な基盤・機能を提供する複数のクラウドサービス(IaaS、PaaS、SaaS)の利用環境であり、早期に整備し、運用を開始することとしています。

となります。そして、これをもとに

基幹業務等のアプリケーションは、複数の事業者がガバメントクラウドに構築し、地方自治体は、それらの中から選択することが可能です。

地方自治体は、基幹業務等を、オンラインで利用できるようになります。→ 地方自治体は、これまでのように、自らサーバ等のハードウェアやOS・ミドルウェア・アプリケーション等のソフトウェアを所有する必要がなくなります

ということだそうです。

興味深かったのは、その要件として、データの場所を含む要件がはいっていることです。

政府情報システムのためのセキュリティ評価制度(ISMAP)のリストに登録されたサービスから次の要件を満たすクラウドサービスを調達する予定。

とされているのですが、要件の候補としては

①不正アクセス防止やデータ暗号化などにおいて、最新かつ最高レベルの情報セキュリティが確保できること。
②クラウド事業者間でシステム移設を可能とするための技術仕様等が公開され、客観的に評価可能であること。
③システム開発フェーズから、運用、廃棄に至るまでのシステムライフサイクルを通じた費用が低廉であること。
④契約から開発、運用、廃棄に至るまで国によってしっかりと統制ができること。
⑤データセンタの物理的所在地を日本国内とし、情報資産について、合意を得ない限り日本国外への持ち出しを行わないこと。
⑥一切の紛争は、日本の裁判所が管轄するとともに、契約の解釈が日本法に基づくものであること。
⑦その他IT室が求める技術仕様(別途ガバメントクラウドを提供するクラウド事業者の調達において提示)を全て満たすこと。

があがっています(スライド5頁目)。

これは、LINE事件で指摘された、外国における取扱の問題を意識して、データの所在地を国内に限定したものと読みます。

LINE事件については、「政府機関・地方公共団体等における業務での LINE 利用状況調査を踏まえた今後の LINE サービス等の利用の際の考え方(ガイドライン)」というのが公表されて、地方公共団体を含む政府機関の取り扱う膨大な量の個人データの取り扱う場所の問題が浮き彫りにされたところでした。そのときの図は、こんな感じ。

重要なデータは、LINEにコントロールさせない形で運用しなさいという内容でした。

そもそも、麻生内閣のときに、2008年のリーマン・ショック対鵜の一環として定額給付金(2009年)が導入されたときには、自治体のなかには、セールスフォース社のクラウド型システムを採用して、この事務手続きを行ったときもありました。この仕組みは、セールスフォースがアメリカ国内に持つ巨大サーバの一部を使い、その巨大サーバ上にすでに組み込んであるソフトウェアの機能を、定額給付業務に合わせて修正して利用するというものでした。当時は、クラウドのもっているスケール性・柔軟性を象徴するする事例として紹介されましたのですが、そのときと比較して、データの場所に対する感受性が高まってきたということの例とすることができるかもしれないと感じます。

関連記事

  1. 脅威インテリジェンスサービスの利用とコンプライアンス(3)
  2. TTX設例をもとにした「情報漏洩で炎上? そのときあなたの会社は…
  3. 松原実穂子「ウクライナのサイバー戦争」を読む
  4. ENISA 「トラストがあり、サイバーセキュアな欧州のための新戦…
  5. 宇宙システムの安全標準-米国 NIST の標準
  6. ジョセフ・ナイ 露のサイバー攻撃 戦闘伴わぬ「新兵器」
  7. GCSCスタビリティ報告書 分析6
  8. デジタル法務の実務Q&A 11月上旬発売です
PAGE TOP