情報セキュリティ対策の自己点検

目的・趣旨

情報セキュリティ対策の実効性を担保するためには、情報セキュリティ関係規程の遵守 状況等を点検し、その結果を把握・分析することが必要である。

自己点検は、行政事務従事者が自らの役割に応じて実施すべき対策事項を実際に実施し ているか否かを確認するだけではなく、組織全体の情報セキュリティ水準を確認する目的 もあることから、適切に実施することが重要である。

また、自己点検の結果を踏まえ、各当事者は、それぞれの役割の責任範囲において、必要 となる改善策を実施する必要がある。

遵守事項

(1) 自己点検計画の策定・手順の準備

(a) 統括情報セキュリティ責任者は、対策推進計画に基づき年度自己点検計画を策 定すること。

(b) 情報セキュリティ責任者は、行政事務従事者ごとの自己点検票及び自己点検の 実施手順を整備すること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.3.1(1)(a)「年度自己点検計画を策定」について

点検を実施するに当たり、対策推進計画に基づき適切に実施するため、実施頻度、実 施時期、確認及び評価の方法や自己点検項目等を定めた年度自己点検計画を策定する ことが求められる。

自己点検項目の選定に当たっては、情報セキュリティインシデントの発生状況に鑑 みた項目や、前年度の自己点検実施率が低かった遵守事項等、様々な選択肢が考えられ る。

遵守事項2.3.1(1)(b)「行政事務従事者」について

本規定における「行政事務従事者」は、一般職員以外に情報セキュリティ責任者、課 室情報セキュリティ責任者及び情報システムセキュリティ責任者等、情報セキュリテ ィ対策の体制ごとの責任者を含む。具体的にどの責任者を対象に自己点検を実施する かについては、年度自己点検計画で策定する。

情報セキュリティ責任者や課室情報セキュリティ責任者は、自組織の情報セキュリ ティ対策について、情報システムセキュリティ責任者は、所管する情報システムについ て、区域情報セキュリティ責任者は、所管する区域における情報セキュリティ対策につ いて実施するなど、役割に応じて異なることに留意が必要である。

58

なお、情報システムセキュリティ責任者の点検は、情報システムに係る各種セキュリ ティ対策の実施状況等を様々な観点で実施することが必要である。例えば、ソフトウェ アの脆弱性への対処状況の点検であれば、セキュリティパッチや不正プログラム定義 ファイルの更新状況を把握したり、実際の文書を確認したりするなど、代替の確認方法 を含めた点検が考えられる。

遵守事項2.3.1(1)(b)「自己点検票」について

各行政事務従事者が自己点検を実施するに当たっては、各自の業務における情報の 取扱方法や、実施すべき情報セキュリティ対策上の役割が異なるため、それぞれの職務 内容に即した自己点検票が必要となる。そのため、情報セキュリティ責任者は、行政事 務従事者ごとの自己点検票を作成するとともに、自己点検の正確性を高めるために詳 細な実施手順を準備することが重要である。

59 遵守事項

(2) 自己点検の実施

(a) 情報セキュリティ責任者は、年度自己点検計画に基づき、行政事務従事者に自 己点検の実施を指示すること。

(b) 行政事務従事者は、情報セキュリティ責任者から指示された自己点検票及び自 己点検の手順を用いて自己点検を実施すること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.3.1(2)(a)「自己点検の実施」について

自己点検は、年に２度以上の頻度で実施することが望ましい。例えば、情報システム 部門に対しては、毎月実施し、それ以外の部門に対しては、半年に一度の頻度で実施す るなどが考えられる。

60 遵守事項

(3) 自己点検結果の評価・改善

(a) 統括情報セキュリティ責任者及び情報セキュリティ責任者は、行政事務従事者 による自己点検結果を分析し、評価すること。統括情報セキュリティ責任者は評 価結果を最高情報セキュリティ責任者に報告すること。

(b) 最高情報セキュリティ責任者は、自己点検結果を全体として評価し、自己点検 の結果により明らかになった問題点について、統括情報セキュリティ責任者及び 情報セキュリティ責任者に改善を指示し、改善結果の報告を受けること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.3.1(3)(b)「自己点検結果を全体として評価」について

行政事務従事者による自己点検の結果については、情報セキュリティ責任者が評価 し、さらに、情報セキュリティ責任者の自己点検の結果を統括情報セキュリティ責任者 が評価する。

評価においては、自己点検が正しく行われていること、府省庁対策基準に準拠してい ること、改善すべき事項が改善されていること、対策が有効であること等を評価する。

この自己点検の評価においても、数値評価を中心とし、客観性を持った評価とすること が望ましい。例えば、自己点検実施率（対策実施数／自己点検回答数）等の把握が挙げ られる。

61