政府が地方自治体に求めるIT機器調達のイメージ

写真拡大

 政府は、全国の地方自治体に対し、政府の評価制度で認定されたIT機器のみを調達するよう義務づける方針を固めた。

 複数の政府関係者が明らかにした。自治体がサイバーセキュリティー上、危険性のある製品を調達することを防ぎ、国全体で安全性を向上させる狙いがある。

 対象となるのは、通信機器やパソコン、サーバーなどのほか、近年普及しているクラウドベースのソフトウェア。総務省が6月に省令を改正し、国家サイバー統括室や経済産業省の評価制度で認定された機器のみを調達するよう義務づける。来夏に運用を開始する。

 総務省は相談窓口を設置して、自治体の調達の支援も始める。自治体が調達済みのIT機器で重要性が高い機器については、安全性の調査も行う方針だ。

 政府の念頭にあるのは、危険性が指摘されている中国製品だ。米欧は、中国通信機器大手の華為技術(ファーウェイ)や中興通訊(ZTE)の製品は個人情報の窃取やサイバー攻撃の踏み台に利用される恐れがあるとみて排除を進めている。日本政府も2019年から中央省庁などが調達するIT機器について、中国製品を事実上排除してきた。

 国家サイバー統括室と経産省の制度で認証された機器には中国製品が含まれていないため、運用が始まれば「地方自治体の調達からも事実上、中国製品が排除される」(政府関係者)という。

 自治体は住民の個人情報に加えて、自衛隊や在日米軍の基地が所在する地域では安全保障に関する情報を保有している場合がある。ただ、サイバー対策が遅れている自治体も多いとみられている。

 総務省が近く公表する有識者会合の報告書では、国と自治体のシステムがネットワークで接続されているため、自治体がサイバー攻撃を受けると「被害が政府機関へと波及する蓋然性が高い」と分析。「政府機関と歩調を合わせたリスク対策の実施が必要だ」と指摘している。