なぜ自治体でクラウド活用が進まないのかを考察してみた 第1夜
はじめてのMediumデビュー。平成30年度から総務省地域情報化アドバイザーとなりました、山形といいます。
先日(2018年8月7日)総務省にて開催された、「夏の地域情報化アドバイザー全体会議」で「自治体のクラウド利用」を題材にしたワールドカフェのファシリテーターとして参加してきました。
初めての「まとめ役」で、内心ビクビクでしたが、他のアドバイザーの皆さんからのサポートや、新たな視点をいただくことで、ギリギリこなすことができ、普段、投げっぱなしジャーマン的な話をする者としては、とても良い学びになりました。ほんと。
この経験からの学びにより、自分のなかのモヤモヤが明らかとなってきたので、ワールドカフェでのまとめを基に、あくまで僕個人的な考えとはなりますが、「なぜ自治体でクラウド活用が進まないのか」を考察し、複数回に分けて紹介したいと思います。
そもそも、なぜ「クラウド」なのか。
僕が業務で「電子行政」に携わり始めたのが、2001年に策定されたIT国家戦略「e-Japan戦略」の頃。そこから、様々な「電子行政」に関する取り組みが全国の自治体で行われて来ましたが、当時の生活スタイルではそれらが普及すること無く、「パスポートの電子申請廃止」などネガティブな話題(いや、今思えば当時としては英断だったのかもしれない。)が先行していました。
しかし、時代は進み、スマートフォンの爆発的な普及、そして東日本大震災の発生により、一気にICT利活用の機運が高まり、特に「クラウド」という言葉が行政バズワードと、なり始めたのを記憶しています。
そして現在、2016年に公布された「官民データ活用推進基本法」に基づいた「世界最先端 IT 国家創造宣言・官民データ活用推進基本計画(以下「基本計画」といいます。)」においても
クラウド導入により、コストの削減、業務の共通化・標準化、情報セキュリ ティ水準の向上、災害時の業務継続性の確保といった効果が期待できる。
とうたわれており、自治体ではデータやクラウドの利活用が急務となっています。
でも、クラウドクラウドって、もう雲を掴むみたいに意味がわかんないですよね。
自治体でいう「クラウド」ってなにさ
さて、この辺で自治体における「クラウド」の定義について考えてみたいと思います。今回はざっくりと二つに分けてみました。
パブリッククラウド
みなさんよくご存知のいわゆるクラウド。民間サービスを購入し利用するタイプの物ですね。ブラウザベースで利用するものもあれば、AzureやAWSのように仮想サーバを立ち上げて利用するものなどたくさんあります。
自治体クラウド
総務省の説明では「情報システムを自庁舎で管理・運用することに代えて、セキュリティレベ ルの高い外部のデータセンターにおいて、複数の自治体が共同で管理・ 運用し、ネットワーク経由で利用することができるようにする取組」と定義されております。
「複数の自治体が共同で管理・ 運用」となっているので、IaaS型をベースとしつつも、共同契約が必須であるため、どちらかといえばサーバの共同利用のイメージが強いかもしれません。SaaS風Iaas型。
基本計画内でもこの概念は明確に分けられており、パブリッククラウドについては一般事務系(Office系のシステムやグループウェアなど)のシステムを、自治体クラウドでは基幹系(住民情報や税情報など)のシステムをそれぞれ指していると思われますが、え、その棲み分けはどこから来ているの。
ここに日本の自治体(というか行政)の問題が隠されている
一般業務系・基幹系の各システムの整備方法は、各自治体で様々な考え方がありますが、おおよそ次のような整備が主流です。
- 自庁舎内に必要な設備を準備し運用する「オンプレミス(以下「オンプレ」)」による整備
- 1の設備を自前で外部のデータセンターに準備する「データセンター型のオンプレ」
- 事業者が外部のデータセンターに準備した設備を利用する「プライベートクラウド/パーソナルクラウド/単独クラウド」
特に、これは「複数自治体で共同契約」した場合に限り「自治体クラウド」と呼ばれます。
この中で、特筆したいのが1の「オンプレ」。
現在はクラウド利用が急務とは言われていますが、現在でもオンプレ型整備を行う自治体は少なく無く、その理由を聞いてみると以下の理由を多く聞きます。
- 何がリスクとは言えないが、とりあえずデータは手元に置いておいた方が安全「な感じがする」
- 何がリスクとは言えないが、トラブルや事故があった時に安心「な感じがする」
僕はこれを、「えも言われぬ不安」という「漠然としたリスク」を、回避する「君子危うきに近寄らず型整備」と呼んでいますが、ここに「自治体が抱える問題」があると考えられます。
漠然とした不安こそがリスクではないか
僕自身も、一般業務はもちろん、事業を行う際には、様々なリスクを考えますが、自治体では、かなり深くまで掘り下げたリスクヘッジをする傾向にあり、この根幹には常に「何か言われたら・何かあったらどうしよう」と言った不安感を自治体が抱いてるせいでは無いかと推測しています。
特に基幹系についてはその傾向が顕著であり、「新たな自治体情報セキュリティ対策の抜本的強化」いわゆる「ネットワーク強靭化=インターネット分離」と呼ばれる事業においても
- マイナンバー利用事務系=基幹系
- LGWAN接続系=一般事務系のうち重要情報等を取り扱う事務系
- インターネット接続系=上記を除く事務系
と分けられており、より強固な対策が求められています。これも、自治体が「より守らねばならぬ」という気持ちになる要因ではないでしょうか。
以上により、
- マイナンバー利用事務系やLGWAN接続系は「自治体クラウド」
- インターネット系は「パブリッククラウド」
と言うような棲み分けになっているものと考えられます。
でも、ちょっとまって、手元に置いておくって、本当にそれ安全ですか。
ついつい、不安感から「情報漏洩の危険性があるかも」として
- 誰が
- どのような経路で
- 万が一情報が漏洩してしまった場合のデータのコントロールをどうすべきか
- 漏洩の速度はどのくらいか
など、現実的な考えをやめてしまっている可能性はないでしょうか。
※現在はnoteで記事を書いています。合わせてどうぞ