例外措置

41

42 名と条項等）

例外措置の適用を申請する期間

例外措置の適用を申請する措置内容（講ずる代替手段等）

例外措置の適用を終了した旨の報告方法 例外措置の適用を申請する理由

c) 審査結果の内容

許可又は不許可の別 許可又は不許可の理由

例外措置の適用を許可した情報セキュリティ関係規程の該当箇所（規程 名と条項等）

例外措置の適用を許可した期間

許可した措置内容（講ずるべき代替手段等）

例外措置を終了した旨の報告方法

（解説）

遵守事項2.2.2(1)(a)「例外措置の適用の申請を審査する者」について

例外措置の適用の申請を受けた際に適切な審査が実施できるように、許可権限者を 定め、審査手続を整備しておく必要がある。情報セキュリティ関係規程の誤った解釈や 恣意的な例外運用を防止するために、例えば、情報セキュリティ関係規程を策定した者 を許可権限者に充てることが考えられる。申請の内容に応じて、適切な許可を与えられ る者を許可権限者として定めておくことが重要である。

43 遵守事項

(2) 例外措置の運用

(a) 行政事務従事者は、定められた審査手続に従い、許可権限者に規定の例外措置 の適用を申請すること。ただし、行政事務の遂行に緊急を要し、当該規定の趣旨 を充分尊重した扱いを取ることができる場合であって、情報セキュリティ関係規 程の規定とは異なる代替の方法を直ちに採用すること又は規定されている方法を 実施しないことが不可避のときは、事後速やかに届け出ること。

(b) 許可権限者は、行政事務従事者による例外措置の適用の申請を、定められた審 査手続に従って審査し、許可の可否を決定すること。

(c) 許可権限者は、例外措置の申請状況を台帳に記録し、統括情報セキュリティ責 任者に報告すること。

(d) 統括情報セキュリティ責任者は、例外措置の申請状況を踏まえた情報セキュリ ティ関係規程の追加又は見直しの検討を行い、最高情報セキュリティ責任者に報 告すること。

【 基本対策事項 】規定なし

（解説）

遵守事項2.2.2(2)(a)「例外措置の適用を申請」について

行政事務従事者は、定められた審査手続に従い例外措置の適用を申請し、許可を得て から例外措置を講ずることが原則であるが、行政事務の遂行に緊急を要するなどの場 合であって、情報セキュリティ関係規程の規定内容とは異なる代替の方法を直ちに採 用すること又は規定された対策を実施しないことが不可避のときは、事後速やかに届 け出ることが必要である。

行政事務従事者は、例外措置の適用を希望する場合には、当該例外措置を適用したと きの情報セキュリティ上の影響を検討、分析する必要がある。その上で、例外措置の適 用が必要であると判断した場合は、その影響を低減させるための補完措置を提案し、適 用の申請を行う必要がある。

遵守事項2.2.2(2)(b)「例外措置の適用の申請」・「審査」について

許可権限者は、例外措置の適用の申請を適切に審査しなければならない。審査に当た っては、例外措置の適用を許可した場合の情報セキュリティ上の影響と、不許可とした 場合の行政事務遂行等への影響を評価した上で、その判断を行う必要がある。

例外措置の適用期間が長期にわたる場合等においては、例外措置の実施によるリス クが変化する可能性を踏まえ、定期的に当該措置の適用状況等を許可権限者において 把握することも重要である。

遵守事項2.2.2(2)(c)「統括情報セキュリティ責任者に報告」について

統括情報セキュリティ責任者は、許可権限者から例外措置の適用状況の報告を受け る。これは、遵守事項2.2.2(2)(d)で情報セキュリティ関係規程の追加又は見直しの検討

44 を行うためである。

遵守事項2.2.2(2)(d)「情報セキュリティ関係規程の追加又は見直しの検討」について

例外措置の適用が多い状況は、例外とはみなせないと考えるべきである。その場合に は、代替手段の導入を含め、情報セキュリティ関係規程の見直しを検討する必要がある。

45