約款による外部サービスの利用

目的・趣旨

外部委託により行政事務を遂行する場合は、原則として4.1.1項「外部委託」にて規定す る事項について、委託先と特約を締結するなどし、情報セキュリティ対策を適切に講ずる必 要がある。しかしながら、要機密情報を取り扱わない場合であって、委託先における高いレ ベルの情報管理を要求する必要が無い場合には、民間事業者が不特定多数の利用者向けに 約款に基づきインターネット上で提供する情報処理サービス等、1.3節において「約款によ る外部サービス」として定義するものを利用することも考えられる。

このような「約款による外部サービス」をやむを得ず利用する場合には、種々の情報を政 府機関からサービス提供事業者等に送信していることを十分認識し、リスクを十分踏まえ た上で利用の可否を判断し、本項に定める遵守事項に従って情報セキュリティ対策を適切 に講ずることが求められる。

遵守事項

(1) 約款による外部サービスの利用に係る規定の整備

(a) 統括情報セキュリティ責任者は、以下を含む約款による外部サービスの利用に 関する規定を整備すること。また、当該サービスの利用において要機密情報が取 り扱われないよう規定すること。

(ア) 約款による外部サービスを利用してよい業務の範囲 (イ) 業務に利用できる約款による外部サービス

(ウ) 利用手続及び運用手順

(b) 情報セキュリティ責任者は、約款による外部サービスを利用する場合は、利用 するサービスごとの責任者を定めること。

【 基本対策事項 】

＜4.1.2(1)(a)(ウ)関連＞

4.1.2(1)-1 統括情報セキュリティ責任者は、府省庁において約款による外部サービスを

業務に利用する場合は、以下を例に利用手続及び運用手順を定めること。

a) 利用申請の許可権限者 b) 利用申請時の申請内容

利用する組織名 利用するサービス 利用目的（業務内容）

利用期間

利用責任者（利用アカウントの責任者）

c) サービス利用中の安全管理に係る運用手順

サービス機能の設定（例えば情報の公開範囲）に関する定期的な内容確認 情報の滅失、破壊等に備えたバックアップの取得

107

利用者への定期的な注意喚起（禁止されている要機密情報の取扱いの有 無の確認等）

d) 情報セキュリティインシデント発生時の連絡体制

（解説）

遵守事項4.1.2(1)(a)「約款による外部サービス」について

「約款による外部サービス」としては、民間事業者等がインターネット上で不特定多 数の利用者（主に一般消費者）に対して提供する電子メール、ファイルストレージ、グ ループウェア等のサービスが代表的であり、有料、無料に関わらず、画一的な約款や利 用規約等への同意、簡易なアカウントの登録（登録が不要な場合もある）等により利用 可能なサービスは、約款による外部サービスとなる。その他にインターネットの検索サ ービスや辞書サービス等も約款による外部サービスに該当する。

また、行政事務従事者自身が取得した電子メールアカウント等を業務で利用する場 合についても約款による外部サービスの利用に当たる。

このようなサービスは、利用の際の情報管理について保証がないことが一般的であ り、不用意な利用によって府省庁の情報が意図せず漏えいすることが懸念されること から、要機密情報が取り扱われないよう、適切に管理することが重要である。

その他に民間事業者が約款により提供する情報処理に関わるサービスとしては、電 気通信サービスや郵便、運送サービス等があるが、これらは「約款による外部サービス」

の適用範囲外である。

遵守事項4.1.2(1)(a)(ア)「約款による外部サービスを利用してよい業務の範囲」につい

て

取り扱う情報の格付及び取扱制限に応じて、情報セキュリティの確保の観点から、約 款による外部サービスを利用してよい業務の範囲を定めることを求めている。

約款による外部サービス利用に当たって考慮すべきリスクには、以下のようなもの がある。統括情報セキュリティ責任者は、これらのリスクを受容するか又は低減するた めの措置を講ずることが可能であるかを十分検討した上で、許可する業務の範囲を決 定する必要がある。

サービス提供者は、保存された情報を自由に利用することが可能である。また、

約款、利用規約等でその旨を条件として明示していない場合がある。加えて、サ ービス提供者は、利用者から収集した種々の情報を分析し、利用者の関心事項を 把握し得る立場にある。

情報が意に反して公開されてしまった場合や、情報が改ざんされた場合でも、サ ービス提供者は一切の責任を負わない。

サービス提供者が海外のデータセンター等にサーバ装置を設置してサービスを 提供している場合は、当該サーバ装置に保存されている情報に対し、現地の法令 等が適用され、現地の政府等による検閲や接収を受ける可能性がある。

突然サービス停止に陥ることがある。また、その際に預けた情報の取扱いは保証 されず、損害賠償も行われない場合がある。約款の条項は一般的にサービス提供

108

者に不利益が生じないようになっており、このような利用条件に合意せざるを 得ない。また、サービスの復旧についても保証されない場合が多い。

保存された情報が誤って消去又は破壊されてしまった場合に、サービス提供者 が情報の復元に応じない可能性がある。また、復元に応じる場合でも復旧に時間 がかかることがある。

約款及び利用規約の内容が、サービス提供者側の都合で利用開始後事前通知等 無しで一方的に変更されることがある。

情報の取扱いが保証されず、一旦記録された情報の確実な消去は困難である。

利用上の不都合、不利益等が発生しても、サービス提供者が個別の対応には応じ ない場合が多く、万が一対応を承諾された場合でも、その対応には時間を要する ことが多い。

なお、本項において、約款による外部サービスで要機密情報を取り扱うことを禁止し ているが、例外として、国外等の機関から約款による外部サービスを用いて情報共有等 を求められる場合等、やむを得ず要機密情報を約款による外部サービスにおいて取り 扱う場合においても、上記リスクを踏まえ、適切な対策を講じた上で利用することが求 められる。例えば、海外のデータセンター等に情報を保存し、現地の法令等が適用され ることで情報の漏えいにつながるリスクについては、国内にサーバ装置が設置される 事業者に委託し、国内法令のみが適用されることを事前に確認できれば当該リスクを 低減することが可能と判断できる。このように、サービス提供者のサービス提供形態に より低減又は回避可能なリスクもあることから、約款、利用規約等の詳細を確認するな どして例外措置の可否を判断することが重要である。

遵守事項4.1.2(1)(a)(イ)「業務に利用できる約款による外部サービス」について

約款による外部サービスのうち利用可能なサービスについて、以下を例にサービス を特定し、府省庁の基準として定めることが考えられる。

なお、以下の例は要機密情報を取り扱わないことが前提であることに注意すること。

サービス約款や利用規約の内容

サービス事業者の情報セキュリティポリシー及びプライバシーポリシー 提供サービスにおけるセキュリティ設定及びプライバシー設定の方法（初期設 定を含む。）

情報セキュリティインシデント発生時における個別対応の可否（運用実績等を 勘案するとよい。）

また、要機密情報を取り扱わない場合であっても、例えば検索サービスの利用におい ては、インターネット上に政府職員の身分を明らかにして検索ワード等の情報を提供 する行為に等しく、膨大な検索ワード等の情報から、政府機関の関心事項等が分析され るおそれがあることに留意しなければならない。検索サービスを業務に利用する組織 において特にそのようなリスクが懸念される場合は、上記のサービス提供条件の確認 に加えて、インターネット上で利用端末や通信元を匿名化する対策を導入し、システム 部門による適切な管理の下で利用すること等を考慮するとよい。

109

遵守事項4.1.2(1)(b)「責任者」・基本対策事項4.1.2(1)-1 a)「許可権限者」について

遵守事項4.1.2(1)(b)に定める「責任者」と基本対策事項4.1.2(1)-1 a)に定める「許可

権限者」は同一であり、約款による外部サービスを利用する場合において、利用可否を 判断する責任者となる。当該責任者は、利用可能なサービスごとに設置され、利用部門 からの申請を受け付けて、申請内容に従い利用を許可することになる。一人の責任者が 複数のサービスを所管してもよい。また、当該責任者は、所管する約款による外部サー ビスについて、約款及び利用規約の変更の有無等について定期的に状況把握すること が求められる。

また、当該責任者には、所管する約款による外部サービスに関する技術的な知見を有 し、約款による外部サービスを利用する際に考慮すべきリスクを十分理解し、個々の利 用申請に対して適切に判断することが可能な者を充てることが必要である。

基本対策事項4.1.2(1)-1 b)「利用責任者（利用アカウントの責任者）」について

遵守事項4.1.2(1)(b)及び基本対策事項4.1.2(1)-1 a)において定めている責任者（許可

権限者）とは別に、約款による外部サービスを利用する際に利用アカウントごとの責任 者を利用責任者として定めることを求めている。利用部門において利用責任者を定め ることになるが、課室情報セキュリティ責任者、情報システムセキュリティ責任者、又 は約款による外部サービスの許可権限者が利用責任者を兼ねるなど、組織の規模や特 性に応じて柔軟に定めてよい。