すべての自治体がDXを進める中で、もっとも苦労しているのがセキュリティだ。自治体に勤める職員らの働き方を変革する上でも、セキュリティへの課題はますます大きくなっていく。今や、デジタル運用が庁内のシステムに守られているだけでは済まなくなっている現状で、どのような考え方が必要なのか。自治体DXと端末のセキュリティについて奥野氏が語ります。

自治体DXの必要性

日本全体で少子高齢化が進み、若手の人口が減少する中で市民だけでなく、自治体の職員の数も減少傾向にあるのはみなさんご存じのとおりです。この社会的な変化は前回までのコラムでも重ねて述べてきましたが、自治体DXを語る上で、やはりこの問題は大きなトリガーとなるので、敢えてあえて触れさせしていただきました。

職員の数は減りますが、仕事量は変わりません。少ない数の職員で業務を回していくには、やはりデジタルによる業務効率化と生産性向上が必要なのです。つまり、言い換えれば自治体DXの最初の一歩は、いかに効率よく職員が働ける環境を用意するかであり、すなわち働き方改革になるというわけです。

これからの社会では、女性職員の産休や、男女の区別なく採用される育休も含まれますし、家族の介護のために業務量を減らさないといけないといった例も多くなるでしょう。一定期間の休業や労働時間削減といったニーズにも応えていけるようにするためにも、場所を問わず働けるようにするための改革は進めなくてはいけないのです。ですから、自治体の存続に関わる重要な働き方改革はDXの中心になるといえます。

一方で、民間企業の場合を簡単にまとめると、働き方改革やペーパーレスなどはすでに終わっていて、そこから先に新たな価値を持ったビジネスを生み出すためのデジタル改革をDXと呼びます。

もちろん、自治体におけるDXも長期戦略的に見れば、新たな付加価値を持った市民サービスの提供という分野にまで及びます。すでに一部の自治体は取り組みを始めていますが、市民がわざわざ市役所に来庁せずとも、大抵の手続きができるバーチャル市役所などはその典型的な例でしょう。バーチャル市役所のような庁外活動を包括するようなサービスは今後、市民からも求められてくると思います。

聞き手：株式会社 日本HP エンタープライズ営業統括 営業戦略部 プログラムマネージャ 大津山 隆

ほかにも今まで問い合わせ対応に明け暮れていた職員への負担も相当なものでしたが、生成AIによってこの課題が解消されるのではないかという試みも始まっています。市民へのサポートのためのFAQを用意し、欲しい答えにたどり着けるよう、生成AIが案内をするといった機能が実装できれば、職員の負担は大幅に減るでしょう。

この仕組みをアプリケーション化すれば、使える範囲は市役所の業務だけでなく、教育関連にも利用できるようになるでしょう。生成AIにおいては、まだまだ使い道がたくさんあると考えています。例えば自治体に寄せられる相談事として、子供への虐待問題があります。これは行政機関の誰かが現場へ赴いても、状況や会話による判別が非常に難しい局面が存在します。しかし、そのためのプロンプトエンジニアリングに正確性を持たせられれば求めるデータは出てくるはずです。

それには通報の際の匿名性やデータソースの質、分かりやすく説明すると、子供の成績が極端に落ちているとか、あざ痣が多いなどといった視点です。こういったデータを集めて解析するといったプロセスが必要だと思っています。ただし、これにはAIだけでなく、BIの観点も必要で、一定規模の自治体でないとデータ量が不足するためサンプルが得られないという点で注意が必要です。しかし、うまく活用できれば市政の一部の意思決定を強力に支援することが可能になるため、十分検討に値すると考えています。すでにプロジェクト化しているケースもあるので、今後特に注目していただきたいと思います。

デジタルセキュリティとインシデント管理

自治体DXが進めば膨大なデータをどのように活用すべきか十分に考える必要があります。一方で、それらのデータには住民に関する情報も多く含まれるため、今まで以上の厳格なセキュリティが求められます。しかし、自治体の現状はファックスやメールの誤送信といった、ヒューマンエラーと呼べるものが未だに多いのも事実です。

人間が業務に関わる以上、ミスはどうしても起こります。この単純なミスを減らすにはやはりデジタル化が必須であり、これから働き方改革が進み、遠隔地でも仕事をすることを考えれば、エンドポイントのセキュリティ強化は必ずやらなければなりません。エンドポイントセキュリティには様々な考え方がありますが、特に重要なのは「ゼロトラスト」がポイントになってくると考えます。

ゼロトラストについてあらためて確認しましょう。文字通り、民間企業でいうと社内外のネットワークをすべて信用しないことを前提としてセキュリティ対策を講じることで、これまで以上の強固な仕組みを構築することを指します。

守るべきは情報資産であり、そこまでのネットワーク経路のすべてを疑い、必ず信頼できるものと確認してからアクセスします。つまり多要素認証や個別のIDによるアクセスを確立し、きちんと証跡管理をすることがゼロトラストの仕組みづくりには不可欠なのです。

システムのデータを閲覧する際の認証や、重要データのアクセス方法、エンドポイントセキュリティの強化など、民間企業では当たり前となったセキュリティを、今度は自治体のシステムに頼らず、エンドポイント、すなわち、持ち出しているPCやデバイスだけで行えるようにすることで、ゼロトラストが実現されます。

ゼロトラストの基本は認証の仕組みとエンドポイントのセキュリティシステムにあります。自社のシステムやインターネットサービスへのログインはパスワードだけでなく、生体認証を併用するといった「多要素認証」にするのが一般的です。それには1人につき1IDがなくてはなりませんが、働き方改革の部分のDXが進めばおのずと1人日1台PCを持つようになるので、そこは心配しなくてもよいと思います。

逆にいうと1人1IDが実現できるのであれば、認証は何かしらの2要素認証ができればよいと考えます。なぜかというと、個別のIDによる証跡管理ができるようになるからです。それには様々なシステムが対応するので、個別のツールへの言及はここではしませんが、よりきめ細かいファイルアクセスに対する権限管理も可能になるため、その仕組みを取り入れるだけで自治体のシステムがかなりセキュアになることが期待できます。

次回も引き続き、自治体におけるゼロトラストの可能性を模索していきます。

後編はこちら

※コンテンツ中の固有名詞は、一般に各社の商標または登録商標ですが、必ずしも「™」や「®」といった商標表示が付記されていません。