【藪上 憲二 編】第6回：マイナンバーの導入と共にあったネットワーク分離とその功罪

マイナンバー制度については、私自身は諸外国でも同様の制度があることは知っていましたので、その導入については特段どうということは感じていなかったのですが、国としては早急にどうにかしろという流れになってきて、そのしわ寄せがあちこちで発生しているような感じもありました。そんな最中の平成27年に、日本年金機構での大規模な情報漏えいが発覚し、マイナンバー制度導入直前という時期もあり、余計にクローズアップされたために、導入を進める総務省としては、セキュリティについてどうすればよいのか大きな問題になってしまいました。

それまでは地方自治体におけるインターネット環境は、いまでいうところのβ’モデルと呼ばれるものに近いものしたが、その環境では普通にLGWANとインターネットの両方を使うことができました。特に利便性に問題もなかったのですが、これらの情報漏えい問題などを受けて、国がセキュリティの向上ということで、三層分離という方針を急に打ち出してきたということになります。

姫路市の場合などは職員の人数も多いので、いまでいうLGWAN系のパソコンが約3,300台もありました。それだけの人数がLGWANと同時にインターネットを利用していたわけですが、それを急に三層分離にして画面転送をしないとインターネットを使えないようにする、ということになったのです。

とりあえずネットワークを分離してインターネットを利用するための仮想サーバーをたくさん立てたのですが、同時接続数も多いので、朝にログインするだけで30分もかかるような状態になることもありました。画面がフリーズしたような状況でブラウザーの操作もままならないような状態で、多くの職員から不満が噴出し、苦情を多数頂いたことは今でもよく覚えています。私自身も利用者の立場もありましたので、お怒りもごもっとも、とも感じていました。

ただ、私としても手をこまねいていたわけではなく、ストレージを増強する、仮想サーバーを増やすなどの対応をしていったので、最大30分もかかったところを、おおよそ2～3分にまで短縮するような地道な努力を重ねていました。

ただそうはいっても、一応ギリギリ、なんとか操作できるといったところで、ファイルを持ち込むのも面倒だし、メールのやり取りでさえ手間が増えるような状況で、利便性が大きく低下したことは間違いありませんでした。

もちろんセキュリティ面では、インターネット側から直接攻撃されなくなったので、安全性が高まったのはその通りなのですが、この利便性の低下はどうにかしなければいけないという問題意識はみな持っていたと思います。

そして、そのような状況の中、コロナ禍が発生しました。

コロナ禍ではリモートワークも普通になりましたが、とにかくインターネットが快適に使えないとリモートでの作業などはできません。民間企業ではネットワーク分離をしていないことが多かったので、Web会議やクラウド活用がどんどん進んでいったのを見ていました。ですから、その一方で官公庁の側が遅れていっていることも実感していました。

民間と比べると行政は10年遅れていて、学校現場はそこからさらに10年遅れているというような言葉がありますが、コロナ禍においては、それもまた事実だと感じました。行政も追いついてきているかと思ったこともありましたが、このコロナ禍ではまた一気に差が開いたという感じがしていました。

具体的には、ネットワークが分離されているため、インターネットを経由してのリモートワークがそもそも不可能だったため、リモートワークをするにしても閉域の回線を用意する必要がある、専用の端末を用意する必要があるなどで対応に時間がかかり、費用についても民間と比べると余計にかかった側面も多分にあったと思っております。

元々は学校・教育委員会側の方が行政より遅れていたのですが、コロナ禍を経て一気にGIGAスクール構想が進み、クラウドの全面活用に全力で舵を切ったことにより、大逆転で行政よりも進んだ環境を手に入れることになります。更に、行政側よりも一歩早くゼロトラストへも舵を切りました。

とはいえ役所側でも各自治体からも不便だ、ネットワーク分離は働き方改革に逆行している、という声が上がるようになり、（それだけではないと思いますが）政府としてもとうとう見直していく動きが出てきています。

三層分離のβモデルやβ’モデル、さらに最近ではα’モデルなどということもいっていますが、他国政府の動き等を見て、政府としてはネットワークを分離するのではなく、ゼロトラストに移行したい、言い方を変えれば「分離されていない（便利な）ネットワークに戻したい」（単に戻すとセキュリティ面が低下するため、「ゼロトラスト」を旗印にセキュリティを担保した上で戻したい）というような動きがあるのだと思います（思いたい）。ただ実際問題として、一旦三層分離を打ち出してしまったために、今更戻す方向に舵を切るのは、失敗を認めたくないということもあるかもしれませんし、色々な声もあることから、なかなか腰が重いような印象もあります。

自治体側にしても一度分離してしまったシステムを戻すにはコストもかかりますし、小規模な自治体ほど、検討する人員も予算も不足しているため、二の足を踏むようなことになってしまっているように思います。このため、次回のネットワーク更新の際にも、抜本的な改革ではなくて、α’モデルに留めざるを得ないようなことも多々あるように思います。私自身の肌感覚では、β・β´モデルなどに踏み切る自治体は全体の1～2割程度くらいまでしか広がらないのではないかと思っており、結果7割程度は、α’モデルへの移行に留まるのではないか、とも思っています。ただ、大規模団体ほど、職員の数も多く、声の大きい人も多いため、利便性の低下に耐えられないことや、利便性低下による業務効率の低下の影響が大きいため、β´モデルへの移行が進んでいますし、今後も進んでいくと思っています。

なお、もともとβモデルやβ’モデルでは、外部監査が必要になるというような話があります。小規模自治体の場合にはそういう経験もないために、外部監査で何を言われるのか不安ということもあるようです。

教育委員会側では、総務省の動きをみて、一度三層分離を導入するかという動きがありました。校務系と校務外部接続系と学習系という3つの役割で分割するという考え方でしたが、総務省と違って補助金でやるというような形ではなかったため、実際に三層分離したところは、少なかったようです。文部科学省の指示に従って、三層分離した教育委員会が不便な思いをして苦しんでいるのに、ゼロトラストに今度は舵を切ったりしていますので、その動きに振り回されて困っているというところも多々あるように感じます。

現在では、文部科学省のゼロトラストの考えに則り、多くの教育委員会がネットワークの垣根をなくして、クラウドベースでいくという方針になっているようです。今後の展望という意味では、その方向に全体が進んでいくことも間違いないと思います。その点では、国の方針が若干変わることはあるかもしれませんが、さすがに大きくは変わるとは思われないため、着実にこの方向で進めていくことが大切ではないかと思います。

三層分離によって、確かに情報漏えい事案がほとんど防げているように思えます。USBメモリにデータを入れたまま紛失したというようなことはありましたが、これはネットワーク接続とは直接関係ありません。その点では非常にメリットがあったのは間違いないのですが、私はそれを打ち消すほどのデメリットがあったのではないかと考えています。

確かに事故は減ったのですが、自治体のニーズとしてインターネットの活用をさらに進める、要は自治体DXを進める必要がある、というところと関わってくることです。

特に業務ではクラウドの活用が必須になってくるので、そのためには自由にかつ快適にインターネットに接続できる環境が必要です。自治体の場合には過去の遺産がたくさんあるために、Word や Excel がまだまだ必要なこともよくあります。この場合には 少なくともMicrosoft 365 のサービスが必要であるほか、学校現場ではメインストリームとなっている Google のサービスに切り替えていくのも選択肢としてありだと思っています。Microsoft や Google のサービスはISMAPにの登録されているため、α’モデルでも利用は可能ではありますが、それら以外のサービスも活用し、費用対効果の高いものを利用していくという方向性で考えた場合には、β’モデル化していくことで自治体の本当の利益につながっていくのではないかと思います。

今後はクラウドサービスを活用して、データもローカルに置かずに、多要素認証や多段階認証などを組み合わせすべてクラウドに上げる形にしていけば、コストも削減できますし、セキュリティも保つことができます。データはすべて安全な場所に置いておき、一般の端末からは自由にインターネットも使えるようにしておくことが、全体として自治体の利益にもなっていくはずです。

こういう取り組みはすでに実現可能であり、私も先日参加したウェビナーで、そのような事例を実際に聞いて感心したものもありました。その事例ではβ’モデルを採用し、 Microsoft 365 をフル活用していて、ファイルサーバーのデータもすべて Microsoft SharePoint にあげてしまって、Power Platform を活用した文書管理システムを導入し、公文書を SharePoint 上で管理・決裁するフローを確立するという事例でした。

これによって、業務も SharePoint 上で完結するためオンプレミスの文書管理システムも不要になり、結果的に経費削減にもつながるというものでした。今後はこういう事例にみられるような方向に舵を切っていくことが必要だと思います。

また、いまの自治体の多くは、チャットツールのようなものはあまり使っていないと思います。使ってみれば非常に便利なので生産性も向上すると思いますが、一般の職員にどのように浸透させていくのかも課題だと感じます。

生成AIも非常に重要なキーワードですが、これもそれぞれの首長の姿勢によっても変わってくることがあります。積極的な首長のいる自治体であれば、導入を進めていることも多いのですが、そこでもLGWAN系などの壁が問題になってくることもあります。

現在の閉域環境のLGWANで使える生成AIだと、モデルが古かったり値段が高かったりするようなこともあります。どうしても最新モデルの ChatGPT や Gemini などを使いたいと思えば、インターネットを利用しなければなりません。これがインターネットが分離された環境のままでは、活用はなかなか難しいのではないかと思います。

自治体によってはローカルLLMを動かして生成AIを利用しようと考えているところもあるかと思いますが、マイナンバー利用事務系にあるような個人情報の塊のようなものはともかく、LGWAN系にある行政文書というものは、情報公開請求の対象になるものも多いので、本来であれば生成AIの学習対象にしても問題ない種類のものも多いはずです。（心情的にはイヤな気持ちも痛いほどわかりますが）

例えば生産性の向上という点では、条例などの作成時にフォーマットを整えるために使う時間を短縮できるようなこともあります。よくある話で、条文の作成には「ここで2字空けて」といった些細な決まり事がたくさんあります。それらを生成AIに学習させて一気に整形させれば、これまで文書の推敲に使っていた時間を劇的に短縮できるでしょう。

今後は、インターネット系の生成AIとローカルLLMなどは、仕組みを知ったうえで使い分けていく必要があると思います。こういう考えを持っている人は多いと思うのですが、まだまだ自治体のなかにはあまり広がっていないのが実情かもしれません。自治体は前例踏襲のところも多いので、いろいろな事例も蓄積しながら、「こうやってうまくいっている自治体もありますよ」というようなことを周知していければと思っています。