【令和8年3月改定】3つの観点で整理！自治体向け総務省セキュリティガイドラインの改定ポイント

はじめに

令和8年3月、総務省が発行している「地方公共団体における情報セキュリティポリシーに関するガイドライン」が改定されました。
今回の改定における最大のポイントは、地方自治法の改正を背景に、地方公共団体に求められる情報セキュリティへの取り組みが「努力義務」から明確な「法的義務」と示されたことです。

本ブログでは、ガイドラインの改定内容を3つの観点で整理するとともに、ガイドライン改定の先にある「自治体ITインフラのあるべき姿」について考察します。

令和8年3月に改定した総務省セキュリティガイドラインの内容を、3つの観点から整理！

1．法的根拠の強化と責務の明確化

令和8年3月の改定により、「これからは法律上の義務として、より計画的・体系的にセキュリティ対策を進める必要がある」という点が強調されました。これは最も重要な変更点であり、自治体職員が必ず認識しておくべきポイントとなります。

• ガイドライン改定の経緯やポリシーの必要性の根拠として、令和6年に改正された地方自治法が明記された。

• これにより、地方公共団体は「サイバーセキュリティの確保に関して、方針（ポリシー）の策定及びこれに基づく措置の実施」が法律で義務付けられた。

• 遵守すべき法令リストにも「地方自治法」や「重要電子計算機に対する不正な行為による被害の防止に関する法律」が追加された。

  　参照：地方公共団体における情報セキュリティポリシーに関するガイドライン（令和8年3月版）, ⅰ-13, ⅰ-17, ⅱ-49

2．リスク評価・管理手法の高度化

外部からの脅威が多様化・巧妙化する中で、感覚的なリスク判断ではなく、客観的な基準に基づく評価による、より論理的で体系的なリスク管理が求められるようになりました。なお、このプロセスに沿って対策の優先順位を決定することで、限られた予算や人員を配分する際の判断材料にもなります。

• 従来のリスク評価の解説から、国際標準（JIS Q 31000等）に準拠した、より具体的で体系的な5つのステップが詳細に解説されるようになった。
  (1) リスク基準の決定 → (2) リスク特定 → (3) リスク分析 → (4) リスク評価 → (5) リスク対応　

  参照：地方公共団体における情報セキュリティポリシーに関するガイドライン（令和8年3月版）, ⅰ-26, ⅰ-27

3．具体的な技術的対策の強化・明確化

近年のサイバー攻撃の動向を踏まえ、より具体的な技術要件が追加・強化されました。ここでは下記3点をピックアップします。

　【メールセキュリティの強化】

自治体から住民へのメールが迷惑メールと判定されるリスクを低減し、自治体をかたるフィッシング詐欺から住民を守るための重要な対策。メールのなりすまし対策として、DMARCの導入がより強く推奨され、レポートを確認しながら最終的に「拒否（reject）」設定へ移行することが求められるようになった。

【Webサイト管理の厳格化】

「サイトを閉鎖したから安心」ではなく、その後のドメイン管理を怠ると第三者に悪用されるリスクがある。委託業者との契約内容の再確認が重要。Webサイト廃止時のドメイン管理について、「サブドメインテイクオーバー」という具体的な攻撃手法への言及が追加され、DNS設定の確実な削除が求められるようになった。

【データ抹消方法の具体化】

リース返却や機器交換の際は、フォーマットだけでは不十分であり、委託業者に適切な処理を仕様として要求する必要がある。機器の廃棄や修理時におけるデータ抹消方法が、媒体（HDD/SSD）や情報の機密性に応じて、より詳細かつ具体的に規定された。

　参照：地方公共団体における情報セキュリティポリシーに関するガイドライン（令和8年3月版）, ⅲ-67, ⅲ-71, ⅲ-114, ⅲ-139

近年、自治体へのサイバー攻撃（ランサムウェアや標的型攻撃など）による深刻なセキュリティ事故が相次いでいますが、これらのサイバー攻撃は住民サービスの停止を引き起こすだけでなく、マイナンバーなどの機微情報を危険にさらすことにもなります。

こうした脅威の急増もあって、単なる技術的な変更だけでなく、「法的義務化」という大きな変化を前提とした「セキュリティ対策の法的義務化」や「リスク管理の高度化」が求められてきます。

　参考：総務省自治行政局デジタル基盤推進室 「直近のインシデントについて」

※ご興味があれば、あわせてご覧ください。　

毎年のガイドライン改定の先にある、ネットワーク全体の構造的な見直しとは

さてここで、自治体の情報システム担当者が中長期的な視点としてあわせて知っておきたいのが、「ネットワーク全体の構造的な見直し」に向けた動きです。

長らく自治体セキュリティの基本であった「三層分離」の考えは、ネットワークの境界に壁を作り、外からの通信を厳しく制限する一方で、「壁の内側（庁内）」は安全だと信用してしまう仕組みでした。しかし、自治体でのテレワーク推進・クラウド利用の拡大へ向けた動きや、前述のサイバー攻撃の脅威もあり、ネットワークを物理的に切り離しておけば安全という従来の前提が通用しなくなってきた結果、2020年代前半から本格的な見直しが議論されています。

そのような中で検討されている考えが「ゼロトラスト」です。

「ゼロトラスト」の概念は、「壁の内側だから安全」という思い込みを捨てる考え方です。ネットワークの内外を問わず、アクセスしてくる通信が「本当に許可された職員か」「安全な端末か」を常に疑い、検証・制御します。すべてを監視する代わりに、安全が確認された通信は制限なく通す仕組みです。

これにより、これまで難しかったクラウドサービスの安全な利用が容易になり、職員の業務効率化や住民サービスの向上に大きく貢献することが期待されています。

この「ゼロトラスト」については、すでにデジタル庁が主導となって、移行に向けた実証事業（検証事業）が進められています。この取り組みでは、国が提供する共通業務システム（GSS）の試用や、各自治体での検証を通じて、「マイナンバーの安全な扱い方」「古い既存システム（レガシーシステム）からの移行」「現場の運用負担」といった実務的な課題の洗い出しが行われています。

　参考：令和７年度国・地方ネットワークの将来像の実現に向けた検証事業最終報告書【概要版】

また、将来のゼロトラスト移行に向けては、まず自団体のどこに・どのような重要なデータやシステムがあるかなどの「資産の把握と可視化」から始めることが肝心です。これは前章で触れた「体系的なリスク管理」の第一歩でもあります。その上で、管理者アカウントへの多要素認証の導入や、職員端末の不審な動きを監視するEDRの整備など、優先度の高いところから計画的に対策を進めていくことが求められています。

毎年のガイドライン改定が目指す先には、このような従来の三層分離の考え方から「ゼロトラスト」へ移行することによる、ネットワーク全体の構造的な見直しが求められています。

　参考：令和８年度のスケジュール案について（総務省）

各自治体で検討状況は異なるため、それらに応じた個別の対策が必要となる

ここまで、ガイドラインの改定内容を3つの観点で整理するとともに、ガイドライン改定の先にある「ネットワーク全体の構造的な見直し」について、弊社の見解を交えてお伝えしました。

このような「あるべき姿」を目指していく一方で、情報システム担当者の方からは下記のようなお悩みをよくお伺いします。

• セキュリティガイドラインの情報量が多く、どこから整理していいのか分からない
• 国の方針があるとはいえ、まずは自団体の環境にあった対策を検討したい
• できれば、実績のあるITの専門家に相談をしながら自団体の方針を決めたい

デジタル庁の報告資料でも下記のように述べられていますが、実際の検討においては、各団体で取り組みの内容が全く異なります。

　引用：令和7年度 国・地方ネットワークの将来像の実現に向けた検証事業　最終報告書【概要】

弊社ネットワンシステムズとしては、システム構成やセキュリティ対策の実施度合いなどの自団体の現状を鑑みながら、4つのStepで検討を進めることを推奨いたします。

さいごに：自治体向けセキュリティガイドラインの要点を3分で把握！

最後までご覧いただきありがとうございました。本ブログの内容は参考になりましたでしょうか。
今後も随時、ガイドライン改定に関する情報を発信してまいります。

さいごに、自治体の情報システム担当者向けに、ガイドラインの概要や要点をわかりやすくまとめた資料をご用意しております。
ご興味がございましたら、ダウンロードしてご活用くださいませ。

参考：地方公共団体における情報セキュリティポリシーに関する ガイドライン(令和8年3月版)
　　　ガイドライン改定（令和8年3月）のポイントについて

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。