AIを相棒に「情報セキュリティポリシー」を全面改定しなければならならない話 〜愛知県知立市役所との160時間の激闘〜
はじめに:地方自治体の現場から
はじめまして。私は現在、愛知県のほぼ中央に位置する「知立市(ちりゅうし)」の市役所に、「地域活性化起業人」として常駐しています、敷田と申します。
まず、少し聞き慣れない「地域活性化起業人(ちいきかっせいかきぎょうじん)」という制度について簡単に説明させてください。
これは、三大都市圏に所在する民間企業の社員が、そのノウハウや知見を活かして地方自治体で働き、地域独自の魅力を引き出したり課題解決に取り組んだりして、地域を活性化させるお手伝いをする目的で行われている総務省の制度です。
引用:(総務省)地域活性化起業人 ~企業の社員を自治体に派遣し、地域貢献する活動を支援します!
URL:https://www.soumu.go.jp/main_sosiki/jichi_gyousei/c-gyousei/bunken_kaikaku/02gyosei08_03100070.html
私はこの制度を活用し当社と2024年11月から協定を締結している知立市に2025年5月から着任し、民間のスピード感やデジタル知見を活かして「自治体DX」を推進するミッションを担っています。
着任当初は「動かなくなったマクロの修正」や「ペーパレス化に向けた運用の見直し」など、現場で埋もれている「不便」を解決するお手伝いをしていましたが、今回の記事は、そんな私が直面した巨大で険しい「情報セキュリティポリシーの全面改定」という巨大で未踏の山に挑んだ記録です。
このプロジェクトは、知立市役所・企画政策課DX推進係の金原様、加藤様と共同で対応しました。彼らとの連携により無事に乗り越えることができた、私のこの1年間でも3本の指に入るほど思い入れの深いプロジェクトです。
約4か月間かけて、トータルで約160時間にも及ぶ作業の中で、私たちは「生成AI(Gemini)」をチームの"4人目のメンバー"として迎え入れ、総務省が提供するガイドラインという険しい山道を、一歩ずつ登り切るチャレンジに挑みました。
※AI利用に関する注釈
本業務におけるAI活用は、学習データとして利用されない「オプトアウト」設定が適用された環境下で実施しています。また、入力情報は公開されている国のガイドラインや一般的な用語のみに留め、自治体固有の個人情報や機密情報は一切入力しておりません。セキュリティには万全の配慮を行っております。
第1章:登山口で見上げた「2026年問題」という高い壁
事の発端は、7月頃の相談から始まりました。
「セキュリティポリシーの改定をしないといけないのですが、対応できたりしますか?」
そんな会話から始まりましたが、正直なところ自分はセキュリティポリシーの存在は知っていても作ったことはありません。「それをゼロからやるというのはかなり絶望的だな……」というのが第一印象でした。それはまるで、装備も持たずに冬山を見上げているような感覚でした。
少し落ち着いて現状を確認すると、セキュリティポリシー自体は総務省が展開している「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にしつつ、各自治体特有のルールや組織構造に合わせて調整して作成するのが基本とのことでした。
参考:(総務省)地方公共団体における情報セキュリティポリシーに関するガイドライン(令和7年3月版)
URL:https://www.soumu.go.jp/main_content/001001336.pdf
しかし、知立市の情報セキュリティポリシーについては、令和3年(2021年)10月の改定を最後に更新が止まっていたのです。
あれれ? もう4年近く更新していないぞ?
しかし、デジタルを取り巻く環境は待ってくれません。
- 地方自治法改正による義務化:これまで「努力義務」だったセキュリティ対策ですが、法改正により2026年4月1日までに「法的義務」へと変わります。
- 「α’(アルファダッシュ)モデル」への移行:
従来の「三層分離(インターネットと業務系を完全に遮断する)」モデルから、クラウドサービスの利用を前提とした効率的な構成(α’モデル)への移行が求められています。(知立市も今年切替を予定しています) - 基幹業務システムの統一・標準化:
国が主導する巨大プロジェクトへの対応も目前に迫っています。
つまり、「令和3年版の古いルールのままでは、新しい業務が回らないどころか、法律違反になってしまう」という、待ったなしの状況でした。
「これはヤバいものを任されたぞ……」と、正直なところだいぶ絶望的な登山のスタートでした。
第2章:ルート選定。あえて険しい「対策基準」から登る決断
改定にあたり、私たちは最初に大きな戦略的決断を迫られました。
そもそもセキュリティポリシーというのは、情報セキュリティを維持するための枠組みで、上から「基本方針」「対策基準」「実施手順」の順に具体化される構成です。
【ポリシーの階層構造】
- 基本方針 (ポリシー):
- 組織が情報セキュリティに対して取り組む姿勢や目的、責任の所在を示した最高責任者による方針宣言。公開されることが多い。
- 対策基準 (スタンダード):
- 基本方針を達成するために、「何を」守るか、「どのような」セキュリティレベルが必要かを定めたルール。技術的な基準や組織内のルールを含む。
- 実施手順 (プロシージャ):
- 対策基準を基に、具体的に「どのように」作業を行うかを定めた操作手順やマニュアル。攻撃を防ぐため、通常は非公開。
今回は、この中の「基本方針」と「対策基準」の2つを整えることが課題となります。
通常、ポリシー策定といえば、大枠となる「基本方針」を定めてから、次に詳細な「対策基準」を作るのがセオリーです。当初は私たちもその順番で考えていました。
しかし、国の最新ガイドラインと現行の規定を見比べた時、4年という歳月やクラウド前提への変化もあり、その乖離の大きさに愕然としました。
クラウド利用の前提が全く違うため、基本方針だけ先にいじっても、その後の詳細設計で必ず矛盾が生じます。「あっちを立てればこっちが立たず」の調整地獄になることは目に見えていました。
そこで私たちは、セオリーを無視した「逆転のアプローチ」を選択することを決意しました。
- まず、詳細な「対策基準」をゼロから作り直す:
国の新ガイドラインをベースに、実務レベルのルール(4万文字級)を先に完璧に固める。 - その後に「基本方針」を合わせる:
固まった対策基準を要約する形で、上位規定である基本方針をサラッと整える。
これは整備された登山道を行くのではなく、あえて未踏の「対策基準(4万文字)」という獣道を、切り拓きながら進むようなものです。通常業務という重い荷物を背負いながら行うには、あまりに無謀なルート変更でした。
かなり過酷な道のりになることは覚悟の上でしたが、「これでもAIを使えばきっと乗り越えられるはず。むしろAIを使うのだからこそ、このルートで挑んだ方が無駄も少ない」と思い、この進め方を他のメンバーにも打診し、「AI」という強力なシェルパ(案内人)を活かした登山をスタートすることを決めたのでした。
またこれと同時に、以下の2つの目標も設定しました。
- 「70点以上のクオリティ」:
- いきなり100点を目指すのは難しい。間違いには気をつけつつ、時間も限られているので、まずは「70点以上」を目標にペース配分をする。
- 「今後の改定も想定した構成」:
- 今後は毎年のようにガイドラインが改定されていきます。これまでは追従できずに更新が止まっていましたが、今後は毎年更新していく想定で、ガイドラインの構成に寄せた形を維持する。
この2つの目標を持ちながら、私たちの登山はスタートしました。
第3章:AIシェルパと進む、現場・外事例との「三位一体」登攀
私たちのチーム体制と役割分担は明確でした。AIは会議中の議事録係ではありません。「議論のための最強の準備ツール」として活用しました。
- 私(敷田):AIフル活用
事前にAI(Gemini)を使ってガイドラインを読み解き、論点を整理。「たたき台」となるドラフトを作成して会議に持ち込む。 - 職員A(加藤様):現場・庁内ルールの番人
「知立市には情報システム部門が管理していないシステムがあるから、この役割は各課長になる」と、自治体固有の実情と照らし合わせる。 - 職員B(金原様):外事例・他自治体のリサーチ
「近隣の〇〇市ではこう表現している」「他自治体の公開事例と比較して、ここは削っても問題ない」と、客観的な視点でジャッジする。
この「AI(論点整理)、現場(実務適合)、外事例(客観性)」の3つの視点が噛み合った時、作業スピードは劇的に向上しました。それはまるで、一人が滑落しないよう、お互いをザイル(ロープ)で結んで確保し合っているような安心感でした。
それでは具体的に、AIにどのような対応をしてもらったかを紹介します。
AIはこうやって使う①:「職員全員」が読める言葉への翻訳
AI活用の最大の目的の一つは、「ITの専門家ではない職員への配慮」でした。
セキュリティポリシーは、情シス担当だけが読むものではありません。学校の先生、福祉の窓口担当、土木の技術職……全ての職員が守るべきルールです。
しかし、国のガイドライン原文はあまりにも難解でした。
【ガイドライン原文(例:再委託の規定)】
情報セキュリティ責任者は、クラウドサービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、クラウドサービス提供者の選定条件で求める内容をクラウドサービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本市に提供し、本市の承認を受けるよう、クラウドサービス提供者の選定条件に含めなければならない。(以下略)
これをそのまま規則にしても、現場の職員は「結局、何をすればいいの?」と混乱するだけです。
そこで、AIに「専門知識がない人でも、誰が何をすべきか分かるように整理して」と指示を出しました。
【AIによる修正案】
セキュリティ責任者は、再委託が行われる場合、再委託先に対しても同様のセキュリティ対策を担保させるとともに、市の承認を受けるよう選定条件に含めなければならない。また、基準に従って再委託の可否を判断しなければならない。
いかがでしょうか。
これなら、ITに詳しくない担当者でも「契約時に書くこと」と「運用時に判断すること」が直感的に分かります。
AIを使って「難解な公用文」を「伝わる日本語」に変換する。これはポリシーの実効性を高めるために不可欠な工程でした。
AIはこうやって使う②:組織文化への適応
このセキュリティポリシーは、セキュリティに関わるプロフェッショナルの方々が集まる検討会で策定された資料です。そのため、しっかりとしたルールは定められてはいますが、残念ながらその方々は自治体向けドキュメントの専門家ではありません。また条文ごとにベースとなる文章を書いた人が違うのか、文章の構成にバラつきがあったりもします。
そういった部分は、こちらで調整する必要があります。ガイドラインの表記をそのまま使うのではなく、知立市の条例や組織文化に合わせた修正も、AIと共に進めました。
【変更前(ガイドライン)】
(1) 最高情報セキュリティ責任者(CISO...以下「CISO」という。
① 副市長をCISO とする。CISO は...最終決定権限及び責任を有する。
【変更後(知立市版)】
(1) 最高情報セキュリティ責任者
① 最高情報セキュリティ責任者(CISO...以下「CISO」という。)は、副市長をもって充てる。
② CISOは...最終的な決定権限及び責任を有する。
略称の定義位置や、「〇〇をもって充てる」といった自治体規定特有の言い回し。これらを一つひとつAIに学習させ、修正していくことで、後半の作業では何も言わなくても「知立市フォーマット」で出力されるようになりました。
第4章:濃霧の中の落とし穴。AIが見つけた「ならならない」
ひたすら膨大なドキュメントの見直しを黙々と進めていた中で、AIが突然、妙な指摘をしてきたことがありました。
「ここの文章、誤字の可能性があります」
指し示されたのは、こんな一文でした。
ガイドライン原文(抜粋):
「情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。」
……おわかりいただけたでしょうか?
語尾が「ならならない」になっていることを。
人間が目で追っているだけなら、脳が勝手に「ならない」と補正して読み飛ばしていたことでしょう。しかし、AIは冷徹に「なら・なら・ない」と文字列として認識し、違和感を検知しました。
これは笑い話のようでいて、実は恐ろしい話です。もし、私たちが何も考えずにガイドラインをコピペしていたとしたら、情報セキュリティにおける知立市の上位規程であるポリシーの中に、「ならならない」が刻まれるところでした。
(※今回の指摘部分については「令和7年3月版」のガイドラインに記載された文章についてAIを利用して発見した内容となります)
この件については、国・自治体職員専用の「共創プラットフォーム」でも話題になり、そこそこバズったようです。
もしこの記事を読んでいる自治体関係者の方がいたら、セキュリティポリシー内を「ならならない」で検索してみてください……もしヒットしたら、今すぐAI導入をお勧めします(笑)。
第5章:160時間の登攀の末に。山頂から見えた景色
半年間のプロジェクトの結果、私たちは以下の成果を得ました。
- 条文のスリム化:
- 約45,000文字あった原文を、意味を変えずに約33,000文字まで圧縮。読みやすく、運用しやすい規定になりました。
- 工数の内訳:
- 私(敷田)のベース作成・修正作業:AIを活用しつつドラフトを作成・修正した時間が約80時間。
- 職員とのブラッシュアップ会議:全10回(合計24時間)。3名が参加したため、24時間×3名=延べ72時間。
- 「基本方針」の対応:約8時間
- 合計:約160時間
「160時間もかかったのか」と思われるかもしれません。
しかし、もしAIを使わずにゼロから手作業でやっていたら? おそらく倍以上の時間がかかり、その上で「解読不能な文章」や「ならならない」が残ったままだったかと思います。セキュリティポリシーという大切な規程を中途半端な形で世に出すことになっていたかもしれません。
それを考えると、今回はAIを使って対応するという判断は、間違っていなかったと思います。
そして何より、最初に「対策基準」から着手した戦略が功を奏し、最後に残った「基本方針」の策定は、本当に一瞬で終わりました。
一番重たい部分をAIと共に議論しクリアした後ですので、全体を理解した上で判断ができる状態でした。「何を書くべきか」を完全に理解して「基本方針」を整理できたので、こちらについては議論もほぼなく(対策基準と比べると)一瞬で終わらせることができました。苦労して9合目まで登り切ったおかげで、頂上までは気持ちの良い稜線を歩くハイキングのようでした。
まとめ:これからの自治体DXに必要なこと
今回のプロジェクトを通じて、本気でAIを活用して学んだことをまとめると以下の3点でした。
- AIは最強の「シェルパ」だ:
指示待ちだし、たまに嘘をつくこともあるかもしれませんが、指示したことはしっかりと対応してくれます。そして文句を言わずに膨大な作業にも最後までしっかり伴走してくれます。 - 人間の仕事は「判断」すること:
文章を書いたり調べたり要約したりするのはAIに任せればいい。けれども責任は取ってくれませんし、知立市固有のルールなどは伝えきれません。人間は「このルールで市民サービスが止まらないか?」「職員が運用できるか?」「組織構造と噛み合っているか」というような、AIではできない最終的な判断(ジャッジ)に全力を注ぐことで完璧なものを完成させることが出来ます。 - 検索禁止:
全国の各自治体のポリシーを「ならならない」で検索してはいけません。
現在、私たちが作り上げた改定案は、関係各所への最終確認や調整を行っており、年度末には公開される予定です。
長く険しい山でしたが、AIという相棒、そして何より「70点以上のクオリティ」「今後の改定も想定した構成」という目標に向き合ったメンバーと登り切れたことを誇りに思います。
ちなみに、秋頃からはこれと並行して「国勢調査」についても様々なサポートをさせていただきました。こちらについては、全国の自治体担当者様の苦労や絶望を目の当たりにし、私自身も膨大なデータ整理や登録の作業を効率的にこなすにはどうするか……という部分で悪戦苦闘しましたが、今はこの話はやめておこうと思います。
ただ一つ言えるのは、そうした現場の悲鳴が聞こえる激務があるからこそ、今回のように「削れるところはAIで削る」という取り組みが、自治体にとっての生命線になるのだと痛感しました。
自治体という外部に漏れてはいけない情報も多く扱っている環境下でAIを使うというのは、なかなかハードルの高い課題なのかもしれませんが、多くの業務のサポートをしてもらえることは間違いありません。当然使い方次第ではあるので、いきなりうまく使いこなすことは難しいかもしれませんが、少しずつでもAIを触ってみて、だんだんとこのようなハードな対応にも向き合えるようになっていければと、私自身も今後も応援や支援をしていければと思います。
おわりに:企画政策課 DX推進係の金原様と加藤様への謝辞
最後となりますが、DX推進係のお二方(金原様・加藤様)には感謝を伝えたいと思います。
今回のセキュリティポリシー作成は私だけでは当然出来ない内容でしたが、最後までうまく連携や議論を重ねることで無事に乗り越えることができました。
近いうちに総務省よりガイドラインの改定があるかと思いますが、今回で磐石な土台は作れていますので、今後は毎年更新できる流れに持っていけるかと思います。次の更新についてもご協力よろしくお願いします。
また、この作業を行なった内容についてブログに記事を書いていいかの相談をさせて頂いたことについても快諾いただき、文章の確認など含め調整していただきありがとうございました。
