改正地方自治法が施行され、全国1,718の市町村に「サイバーセキュリティを確保するための方針」の策定・公表が法的に義務付けられました。総務省は直前の3月27日にガイドラインを改定し、4月20日には支援策に関するワーキンググループの報告書を公表――わずか3週間の間に、自治体DXは新たな段階へと踏み出しています。
総務省は、「地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会」(座長・佐々木良一 東京電機大学名誉教授)を令和3年9月27日に第1回開催し、令和8年3月16日の第21回まで継続している。
同検討会の議論を経て、令和8年3月27日に「地方公共団体における情報セキュリティポリシーに関するガイドライン」及び「地方公共団体における情報セキュリティ監査に関するガイドライン」を改定公表した。
令和8年4月20日には、検討会下のワーキンググループが「地方公共団体におけるサイバーセキュリティに関する支援策及び実効性確保の検討に係るワーキンググループ 報告書」を公表した。
改正地方自治法は令和6年6月19日に成立し、令和8年4月1日に施行されている。
From: 
総務省|地方公共団体における情報セキュリティポリシーに関するガイドラインの改定等に係る検討会
【編集部解説】
2026年3月27日にガイドラインが最新版へ改定され、4月1日には改正地方自治法が施行されて自治体へのサイバーセキュリティ基本方針の策定・公表が法的義務となり、4月20日にはその実効性を担保するワーキンググループの報告書が公表されました。未来技術を追いかけるメディアとして、この連続性は見逃せません。
「努力義務」から「法的義務」への大転換
今回の肝は、これまで”できればやった方がよい”扱いだったものが、地方自治法の条文(第244条の6)に明記される本格的な義務へと格上げされた点にあります。住民サービスを支える自治体は、もはや「やっていません」では済まされない段階に入りました。この背景には、近年の自治体や医療機関、重要インフラを狙ったランサムウェア被害の拡大があります。
三層分離モデルの進化:α、β、そしてα’へ
自治体ネットワークには「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」を分離する三層モデルが採用されてきました。従来はクラウド利用に不便のあった「αモデル」でしたが、2024年10月には「ローカルブレイクアウト」を取り込んだ「α’モデル」が正式に位置づけられ、LGWAN接続系から特定のクラウドへ直結できる道が開かれました。セキュリティと業務効率という、これまでトレードオフだった二つが同時に追求できる段階に来ています。
ポジティブな側面:DXの扉が開く
α’モデルが定着すれば、住民向け電子申請、AI活用の業務効率化、生成AIを使った文書作成支援などが、自治体業務のなかでも現実的な選択肢になります。多要素認証や電子証明書による端末認証など、民間では当たり前になった防御策も標準装備になっていくでしょう。「お役所仕事」の速度感そのものが変わる可能性を秘めた改定です。
潜在的なリスク:小規模自治体のリソース問題
一方、不安材料も明確です。全国の市町村は1,718団体(2025年10月時点、特別区・北方領土を除く)にのぼり、特に小規模な町村では専門人材や予算の確保が従来から課題とされてきました。法律は全自治体に一律の義務を課しますが、実装力にはどうしても差が出ます。今回4月20日に公表されたWG報告書のテーマが「支援策」と「実効性確保」である点は、まさにこの課題への政策的な応答と読み取れます。
国際的にみた日本の位置
米国では、国土安全保障省(DHS)傘下のCISAが「State and Local Cybersecurity Grant Program(SLCGP)」を通じて、2022年度以降の4年間で10億ドル規模の予算を州・地方政府に配分する枠組みを整えてきました。財源と引き換えに各州にサイバーセキュリティ計画の策定を求める、いわば”アメ”による誘導です。日本は改正地方自治法で法的義務という”ムチ”を先に整えた形になり、今後は支援策として何を用意するかが焦点になります。
長期的に見るべきポイント
これからの注目点は3つあります。第一に、自治体ごとに公表される基本方針の中身にどれだけ”実”が伴うか。第二に、2001年初版から数えると25年の歴史を持つこのガイドラインが、生成AIや量子コンピューターといった新技術にどれだけ機敏に対応していけるか。第三に、住民の個人情報保護と、デジタル化による利便性向上のバランスをどこに置くかです。
私たち市民にとっての意味
この話は役所の中だけの問題ではありません。私たちが住民票を取る、納税する、子どもの予防接種を予約する――そうした日常の手続きの裏側で動いているのが、まさに今回のガイドラインが規律する仕組みです。セキュリティが固められる一方で、サービスが使いやすくなっていくか。「デジタルの窓口」を名乗る私としては、この両立こそが評価軸だと考えています。
【用語解説】
三層分離(三層の対策)
2015年の日本年金機構における情報流出事件を契機に、総務省が全国の地方公共団体へ要請した防御アーキテクチャである。ネットワークを「マイナンバー利用事務系」「LGWAN接続系」「インターネット接続系」の3系統に分離し、扱う情報の機密度に応じて外部接続の可否を厳格に管理する考え方だ。
αモデル
2020年頃まで主流だった三層分離の標準パターン。業務端末は原則LGWAN接続系に置き、インターネットを使う業務は画面転送などで間接的に連携する構成である。セキュリティは堅いが業務効率面で不便が残った。
βモデル
業務端末をインターネット接続系に置き、LGWAN接続系を補助的に扱う逆転型の構成だ。クラウド利便性を重視する代わりに、別途の端末防御や通信制御が重要になる。
α’モデル(アルファダッシュモデル)
2024年10月のガイドライン改定で正式規定された発展型である。αモデルに「ローカルブレイクアウト」を組み合わせ、LGWAN接続系から特定のクラウドサービスへ直接抜ける通信経路を認めた。
ローカルブレイクアウト
自治体業務ネットワークから、集約拠点(自治体情報セキュリティクラウド等)を経由せず、直接インターネットやクラウドへ通信を流す仕組みだ。通信の迂回が減り、クラウドの応答性が向上する効果がある。
LGWAN(総合行政ネットワーク)
Local Government Wide Area Networkの略で、地方公共団体間を相互接続する閉域の業務ネットワークである。都道府県、市区町村、一部省庁を結び、電子文書のやり取りなどに用いられる。
マイナンバー利用事務系
個人番号(マイナンバー)を取り扱う、三層分離のうち最も機密性の高い系統だ。インターネットから物理的・論理的に切り離して運用することが求められる。
多要素認証(MFA)
「知識(パスワード等)」「所持(ICカード・スマホ等)」「存在(生体認証等)」のうち2要素以上を組み合わせる認証方式である。本ガイドラインでは、マイナンバー利用事務系での適用が必須と位置付けられている。
ランサムウェア
感染した端末や組織のデータを暗号化し、復号と引き換えに身代金(ransom)を要求するマルウェアの総称だ。近年はデータ窃取と公開恫喝を組み合わせる「二重恐喝」型が主流となっている。
改正地方自治法(令和6年法律第65号)
2024年6月19日に参議院本会議で可決・成立した地方自治法の改正だ。新設された第244条の6において、普通地方公共団体の議会及び長その他の執行機関が、管理する情報システムの利用にあたってのサイバーセキュリティを確保するための方針を定め、必要な措置を講じなければならないと規定された。2026年4月1日に施行されている。
【参考リンク】
総務省 地方行政のデジタル化(外部)
総務省自治行政局による地方自治体のデジタル化と情報セキュリティ関連施策を束ねる公式ポータルページ。
総務省 市町村合併(市町村数の推移)(外部)
総務省公式ページ。2025年10月時点で全国1,718市町村と、市町村数の最新統計を確認できる。
衆議院 地方自治法の一部を改正する法律案(本文)(外部)
改正地方自治法の本文を掲載する衆議院公式ページ。第244条の6の原文を確認できる。
東京電機大学(外部)
本検討会の座長・佐々木良一名誉教授が所属する理工系総合大学。情報セキュリティ分野で豊富な研究実績を持つ。
米国 CISA(Cybersecurity and Infrastructure Security Agency)(外部)
米国国土安全保障省傘下の公式機関。連邦・州・地方・先住部族政府のサイバー防衛を所管する。
State and Local Cybersecurity Grant Program(SLCGP)|CISA(外部)
米国CISAによる州・地方政府向けサイバーセキュリティ助成プログラムの公式情報ページ。
【参考記事】
State and Local Cybersecurity Grant Program | CISA(外部)
4年間で10億ドル規模の州・地方向け助成制度公式説明。FY2023は4億ドル超、FY2024は3億ドル超と記載。
State and Local Cybersecurity Grant Program Fact Sheet | CISA(外部)
FY2025のSLCGP総予算を9,170万ドルとし、FY2024の2億7,990万ドルから減額されたと記載。
Cybersecurity: DHS Implemented a Grant Program | U.S. GAO(外部)
米国会計検査院の監査報告書。2024年8月1日時点で33州・準州に約1億7,200万ドルを配分と検証。
衆議院 地方自治法の一部を改正する法律案(本文)(外部)
第244条の6でサイバーセキュリティ方針策定義務を明記していることを原文で確認した一次資料。
改正地方自治法が求める情報セキュリティ体制とは?|Watchy(外部)
令和6年法律第65号としての位置づけ、2026年4月1日期限、小規模自治体の人材・予算課題を整理した解説。
総務省 市町村合併(市町村数の推移)(外部)
2025年10月時点で1,718市町村(市792・町743・村183)と記載されている総務省公式統計ページ。
総務省「情報セキュリティポリシーガイドライン」とは?|トレンドマイクロ(外部)
2024年10月改定版の解説。本編別紙2で403ページ、2026年4月1日までの義務化を明記している。
【関連記事】
サイバー対処能力強化法で日本が「攻め」の防御へ転換。能動的サイバー防御の全貌を解説
2025年12月24日公開。「国・地方公共団体」も保護対象に含まれる同法の全体像を、TaTsuが解説。今回の地方自治法改正と併せて読むと、自治体を取り巻く法整備の全体像が見える。
サイバー対処能力強化法の基本方針が閣議決定、2026年施行へ。能動的防御で日本のセキュリティが変わる
2025年12月24日公開。2026年施行という時期が今回記事と重なる法制の基本方針解説。重要電子計算機の定義に地方公共団体も含まれる点がポイント。
能動的サイバー防御、2026年10月施行へ—警察・自衛隊に限定的な無害化措置権限
2026年3月19日公開。地方自治法改正(4月1日)に続く、もう一つの重要法整備(10月施行)の解説。2026年の日本サイバー法制カレンダーを時系列で押さえたい方におすすめ。
デジタル庁・経産省がサイバーセキュリティWG始動—防衛から「成長戦略」へ転換
2026年3月9日公開。今回の総務省WG報告書とは異なる省庁主導のWG。「成長戦略」という異なる切り口との対比で、国の政策アプローチの多角性が見えてくる。
日本はなぜ狙われるのか? 2025年サイバー攻撃に現れた「4つの傾向」と新時代の防衛戦略
2025年10月28日公開。自治体を含む日本全体のサイバー脅威の概況を俯瞰。今回の義務化の背景となる脅威環境を理解するうえでの前提知識として有用。
警察庁サイバー脅威レポート最新版|昨年を総括、過去最悪の被害額が並んだ1年間
2026年3月16日公開。自治体も標的となる脅威の定量データ。なぜ法的義務化が必要だったのか、その必要性の根拠を数字で確認できる。
CISA予算4億9500万ドル削減、職員3分の1が退職 – トランプ政権のサイバーセキュリティ政策転換が波紋
2025年6月6日公開。今回編集部解説で言及した米国CISAの予算減額の背景情報。国際比較パートを深く理解するための補強として。
【編集部後記】
自治体のサイバーセキュリティと聞くと、少し遠い世界の話に感じられるかもしれません。けれども、住民票の取得、納税、子育て支援の申請――私たちの日常は、今回のガイドラインが守ろうとしている仕組みの上に成り立っています。
4月1日の義務化施行から3週間余り、みなさんのお住まいの自治体は、すでに「サイバーセキュリティ基本方針」を公表しているでしょうか。ホームページを覗いてみると、地元の”今の姿勢”が見えてくるかもしれません。一緒に関心を寄せていきたいテーマです。
