元自治体職員歴10年でkintoneに携わってきましたので今回は自治体のkintone活用事例をご紹介します。
自治体には10年、自治体の受託組織には6年の経験があり、実務でkintoneを一人で導入から内製まで取り組んだ経験があります。
今回は、 kintoneを行政の業務で活用しやすい理由として、政府の制度に適合している点が挙げられるのでご紹介します。
| 【kintoneと自治体業務とは】
kintone(キントーン)はプログラミングの知識がなくてもノーコードで、業務のシステム化や効率化を実現するアプリがつくれるクラウドサービスです。 表計算ソフトよりも快適に、専門システムより柔軟に、自社でシステム開発をするよりスピーディー&低コストに、思いついた業務改善をすぐに実行できるのが特長です。 自治体や行政にとっては、データを共有し見える化できるだけでなく、データ一元化により、日ごろの「照合作業」から解放されます。 さらに、kintoneの拡張機能を使って、帳票、ウェブページ、メール、フォームと連携でき、低コストでDXを進める行政機関が続々と増えています。 |
行政特有のセキュリティ確認事項とkintone
1 政府情報システムのためのセキュリティ評価制度「ISMAP(イスマップ)」とは
【ISMAPとは】
政府情報システムのためのセキュリティ評価制度(Information system Security Management and Assessment Program: 通称、ISMAP(イスマップ))をご存じですか。
政府が求めるセキュリティ要求を満たしている「クラウドサービス」を予め評価・登録することにより、セキュリティ水準の確保を図り、行政のクラウドサービスの「円滑な導入」に活用することを目的とした制度です。
「ISMAP(イスマップ)」の運営は、内閣サイバーセキュリティセンター・デジタル庁・総務省・経済産業省が、「政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みについて」(令和2年1月30日サイバーセキュリティ戦略本部決定)に基づき運営されています。また、「ISMAP(イスマップ)」の実務及び評価に係る技術的な支援は、独立行政法人情報処理推進機構(IPA)が行っています。
【kintoneの場合は?】
サイボウズのクラウドサービスは、ISMAPにおいて、政府が求めるセキュリティ要求を満たしているサービスであると認定されています。
2 「地方公共団体における情報セキュリティポリシーに関するガイドライン」とは
【当ガイダンスとは】
「地方公共団体おける情報セキュリティポリシーに関するガイドライン」(以下、「ガイドライン」という)は、2023年3月に改定されました。
例えば、改定前のガイドラインでは、「クラウドサービスで個人情報を扱う場合の詳細」は記載されていませんでした。そのため、これまで、個人情報を取り扱う業務ではLGWANなどの閉域接続を利用していたと思います。ですが、2022年3月の改定により、規定整備の例が記載されたため、個人情報を含むような業務でもクラウドサービスを利用しやすくなりました。
具体的なポイントは、2つです。
① 不特定多数が利用するクラウドサービスで上は個人情報NG
不特定多数が利用するクラウドサービスでは原則として個人情報など機密性2以上の情報を取り扱えません。(NG例)無料で使えるWeb会議システムやSNS
② 個人情報をクラウドサービスで扱いたい場合、規定の整備が必要
ガイドラインにはクラウドサービスの選定基準の推奨例として、以下の認証を挙げています。
・ISMS
・ISMAPクラウドサービスリスト
・日本セキュリティ監査協会のクラウド情報セキュリティ監査
・SOC報告書(Service Organization Control Report)
「これらの認証が取得できているかどうか」を基準にクラウドサービスの利用に関する規定を整備すれば、自治体でもクラウドサービスが利用しやすくなります。
【kintoneの場合は?】
サイボウズのクラウドサービスは不特定多数が利用するクラウドサービスではなく、 またISMSの認証取得、ISMAPに登録されているため個人情報を含む業務でも 利用できる可能性が高い。
まず、Garoonやkintoneなどサイボウズのクラウドサービスは、アカウントを持っている人だけがログインできるので、基本的には「事業者等が不特定多数の利用者に対して提供する」に当てはまりません。
さらに、サイボウズ株式会社はSMSの認証を取得しており、サイボウズのクラウドサービス基盤やkintone・Garoonは、ISMAPのクラウドサービスリストに登録されているため、ガイドラインで規定された「推奨例」としての要件を満たしています。
3 LGWANでの対応可
【LGWANとは】
総合行政ネットワーク(LGWAN)は、地方公共団体を相互に接続する行政専用のネットワークです。
LGWANは、地方公共団体相互間のコミュニケーションの円滑化、情報の共有による情報の高度利用を図るための基盤として整備され、全国の地方公共団体の組織内ネットワークを相互に接続しております。また、府省間ネットワークである政府共通ネットワークとの相互接続により、国の機関との情報交換を行っております。
【近年の変化】
「クラウド(IaaS)利用型LGWAN-ASPの登録開始」
LGWANの利便性の向上策の一つとして、LGWAN-ASPの制度において、LGWAN-ASPホスティングサービスの提供に必要な機器の設置要件に、ISMAPクラウドサービスリストに登録されたIaaSクラウド(以下「IaaSクラウド」という。)を追加し、IaaSクラウド上にLGWAN-ASPホスティングサービスを構築可能としました。
これにより、IaaSクラウドでの様々な特性(システム構築時間の短縮、容易なシステム拡張・冗長化、生成AI等の最新技術の活用、低コスト化等)を生かしたアプリケーションの提供が可能となり、LGWAN-ASPサービスの拡大が期待されます
【kintoneの場合は?】
職員が通常業務で利用しているLGWAN接続端末からkintoneを利用できる「R-Cloud Proxy for kintone」が、株式会社両備システムズからリリースされています。
「R-Cloud Proxy for kintone」を導入することで、LGWAN-ASPとしてkintoneを利用することが可能です。
kintoneとLGWANを閉域で繋ぐことで、住民の個人情報もインターネットから分離された環境で安全に取り扱えるようになります。
(サイボウズ資料から抜粋)
ただし、kintoneの拡張機能は、LGWAN対応のツールは限られているので、拡張機能の選定の際に、各社に問い合わせする等、確認が必要です。
4 データセンターは国内にある。
【データセンターとは】
データセンターとは、インターネット用のサーバやデータ通信、固定・携帯・IP電話などの装置を設置・運用することに特化した建物の総称を指します。行政が活用するクラウドの場合、「国内にデータセンターがあるかどうか」を基準に選定される場合もあります。
【kintoneの場合は?】
サイボウズのクラウドサービスは「FISC安全対策設備基準」を満たした国内のデータセンターで運用しています。
庁内だけで活用を進めるのが心配な場合はぺパコミへ
「開発のミスが心配」
「セキュリティ設定は合っているだろうか」
「IT苦手な文化で、人材が育成できるか」
「幹部・上役へのプレゼンが苦手」
そんなときは、伴走支援のパートナーのぺパコミにご相談ください。
この記事を読んで迷っている担当者の皆さんの力になります。
| 執筆 ぴょん@ノーコード事務員
元自治体職員でkintoneが大好きです。 自治体には10年、自治体業務の受託機関には6年の経験があり、実務でkintoneを一人で導入から内製まで取り組んだ経験があります。 |
コメント