情報セキュリティ関係規程の運用

37

38 外部委託に係る規定(遵守事項4.1.1(1)(a))

約款による外部サービスの利用に関する規定(遵守事項4.1.2(1)(a)）

ソーシャルメディアサービスによる情報発信時における情報セキュリティ対策 に関する運用手順等(遵守事項4.1.3(1)(a))

機器等の調達に係る選定基準(遵守事項5.1.2(1)(a)）

機器等の納入時の確認・検査手続(遵守事項5.1.2(1)(b))

アプリケーション・コンテンツの提供時に府省庁外の情報セキュリティ水準の 低下を招く行為を防止するための規定(遵守事項6.3.1(1)(a)）

府省庁の情報システムの利用のうち、情報セキュリティに関する規定(遵守事項 8.1.1(1)(a)）

要管理対策区域外で情報処理を行う際の安全管理措置に関する規定及び許可手 続（遵守事項8.1.1(1)(b)）

USB メモリ等の外部電磁的記録媒体を用いた情報の取扱いに関する利用手順

(遵守事項8.1.1(1)(c)）

府省庁支給以外の端末により情報処理を行う場合の許可等の手続に関する手順

（遵守事項8.2.1(1)(a)）

府省庁支給以外の端末により情報処理を行う場合の安全管理措置に関する規定

(遵守事項8.2.1(1)(b)）

（２）その他の者が定めるもの 最高情報セキュリティ責任者

- 例外措置の適用の申請を審査する者及び審査手続（遵守事項2.2.2(1)(a)）

情報セキュリティ責任者

- 行 政 事 務 従事 者 ご との自 己 点 検 票及 び 自 己点検 の 実 施 手順(遵 守 事 項 2.3.1(1)(b)）

情報システムセキュリティ責任者

- 情報セキュリティ対策を実施するために必要な文書（遵守事項5.1.1(2)(a)）

- 情報システムで使用する暗号及び電子署名のアルゴリズム並びにそれを利 用した安全なプロトコル及びその運用方法(遵守事項6.1.5(1)(b)）

- 通信回線装置が動作するために必要なソフトウェアを定め、ソフトウェアを 変更する際の許可申請手順(遵守事項7.3.1(1)(i)）

遵守事項2.2.1(1)(a)「実施手順に関する事務を統括」について

統括情報セキュリティ責任者は、府省庁における情報セキュリティ対策に関する実 施手順について、監査結果を通じて、府省庁対策基準に従って整備されていないことを 把握した場合には、整備すべき者に対して指導することが想定される。

また、統括情報セキュリティ責任者は、情報セキュリティ関係規程について自己点検 や監査の結果、例外措置の申請状況等を通じ、課題又は問題点について把握し得ること から、実施手順の整備主体が、特定の部門の情報セキュリティ責任者に係るものであっ たとしても、同種の課題又は問題点の有無を他の部局等に確認することも想定される。

39 遵守事項

(2) 違反への対処

(a) 行政事務従事者は、情報セキュリティ関係規程への重大な違反を知った場合は、

情報セキュリティ責任者にその旨を報告すること。

(b) 情報セキュリティ責任者は、情報セキュリティ関係規程への重大な違反の報告 を受けた場合及び自らが重大な違反を知った場合には、違反者及び必要な者に情 報セキュリティの維持に必要な措置を講じさせるとともに、統括情報セキュリテ ィ責任者を通じて、最高情報セキュリティ責任者に報告すること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.2.1(2)(a)「情報セキュリティ責任者にその旨を報告する」について

府省庁において情報セキュリティを継続的に維持するために、重大な違反を確実に 捕捉するための事項である。一般的に、府省庁においては、違反を知った者はこれを報 告する義務が課されており、情報セキュリティ関係規程への違反については、各規定の 実施に責任を持つ情報セキュリティ責任者に報告することとなる。本規定は、行政事務 従事者から情報セキュリティ責任者への直接の報告を必須とするものではなく、重大 な違反等の有無を情報セキュリティ責任者が確実に認識できるようにすることを求め ている。

なお、行政事務従事者は、自ら違反した場合に限らず、他の行政事務従事者が違反し ている場合においても、迅速な是正措置を促す理由から、当該行政事務従事者への助言 に加えて情報セキュリティ責任者に報告するなど適切に対応することが求められる。

また、情報セキュリティ関係規程に係る課題及び問題点を認識した場合についても、情 報セキュリティ責任者に報告することが望ましい。

遵守事項2.2.1(2)(b)「情報セキュリティ関係規程への重大な違反」について

情報セキュリティ関係規程への重大な違反とは、当該違反により府省庁の業務に重 大な支障をきたすもの又はその可能性のあるものをいう。例えば、機密性の極めて高い 情報を保存した端末を、許可無く要管理対策区域外に持ち出し、それを紛失し、情報の 漏えいが発生し、行政事務の遂行に著しく支障を来してしまった場合等が考えられる。

情報セキュリティ責任者は、府省庁において情報セキュリティを継続的に維持する ために、重大な違反を確実に捕捉し、被害の未然防止又は拡大防止のための措置を適切 に講じさせるとともに、再発防止に関する取組を進めることが求められる。

遵守事項2.2.1(2)(b)「違反者及び必要な者」について

情報セキュリティ関係規程への重大な違反があった場合には、違反者自身が対策を 講ずることは当然であるが、それ以外の「必要な者」として措置を義務付けられるのは、

情報システムセキュリティ責任者、課室情報セキュリティ責任者及び区域情報セキュ リティ責任者等の当該規程の実施に責任を有する者が挙げられる。情報システムの運

40

用者や担当者、委託先等とも協力し、情報セキュリティを維持するために必要な措置を 講ずる必要がある。

遵守事項2.2.1(2)(b)「情報セキュリティの維持に必要な措置」について

重大な違反により、情報が漏えい、滅失、き損し又は情報システムの利用に支障を来 した場合、早期解決、拡大防止等の対処を行う。拡大防止としては、情報セキュリティ 関係規程について再周知の徹底が考えられる。

遵守事項2.2.1(2)(b)「最高情報セキュリティ責任者に報告する」について

報告を受けた最高情報セキュリティ責任者は、その内容、結果、業務への影響、社会 的評価等を確認し、府省庁全体として再発防止を徹底するなど、適切に対応する必要が ある。

また、統括情報セキュリティ責任者は、同様の違反が多発している可能性の有無を考 慮し、違反の原因について分析し、必要に応じて情報セキュリティ関係規程の見直しを 含めた対策を検討する必要がある。

41