府省庁外での情報処理の制限

趣旨（必要性）

行政事務においては、その事務の遂行のため、府省庁外において情報処理を実施す る必要が生ずる場合がある。この際、府省庁外での実施では物理的な安全対策を講ずる ことが比較的困難になることから、行政事務従事者は、庁舎内における安全対策に加え、

追加の措置が必要であることを認識し、適切な対策に努める必要がある。 

これらのことを勘案し、本項では、府省庁外での情報処理の制限に関する対策基準 を定める。 

遵守事項

(1) 安全管理措置についての規定の整備 

【基本遵守事項】

(a) 統括情報セキュリティ責任者は、要保護情報について府省庁外での情報処理を 行う場合の安全管理措置についての規定を整備すること。 

解説：統括情報セキュリティ責任者が、府省庁外において情報処理を行う場合 の安全管理措置についての規定を整備することを求める事項である。府 省庁外において情報処理を行う場合を具体的に想定し、情報処理の内容 と取り扱う情報、実施場所、回線を通した通信の形態、関与する府省庁 内外の者等に応じた措置を示した規定を整備する必要がある。

(b) 統括情報セキュリティ責任者は、要保護情報を取り扱う情報システムを府省庁 外に持ち出す場合の安全管理措置についての規定を整備すること。 

解説：統括情報セキュリティ責任者が、府省庁外に要保護情報を取り扱う情報 システムを持ち出す場合の安全管理措置についての規定を整備すること を求める事項である。持ち出す情報システム及び持ち出し先等を具体的 に想定して規定を整備する必要がある。

(2) 許可及び届出の取得及び管理 

【基本遵守事項】

(a) 行政事務従事者は、機密性３情報、完全性２情報又は可用性２情報について府 省庁外で情報処理を行う場合には、情報システムセキュリティ責任者又は課室 情報セキュリティ責任者の許可を得ること。 

解説：機密性３情報、完全性２情報又は可用性２情報に係る情報処理を府省庁 外で行う場合に、情報システムセキュリティ責任者又は課室情報セキュ リティ責任者の許可を得ることを求める事項である。情報システムに係 る事項は情報システムセキュリティ責任者の、情報に係る事項は課室情 報セキュリティ責任者の許可を得ることとなる。

(b) 行政事務従事者は、機密性２情報であって完全性１情報かつ可用性１情報であ

る情報について府省庁外で情報処理を行う場合には、情報システムセキュリテ ィ責任者又は課室情報セキュリティ責任者に届け出ること。 

解説：府省庁外で機密性２情報であって完全性１情報かつ可用性１情報である 情報の情報処理を行う場合に、情報システムセキュリティ責任者又は課 室情報セキュリティ責任者に届け出ることを求める事項である。

(c) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、府省庁 外での要保護情報の情報処理に係る記録を取得すること。 

解説：府省庁外での要保護情報の情報処理に係る記録を取得することを求める 事項である。

「情報処理に係る記録」には、情報処理の実施者、内容、期間及び理由 並びに許可事案の場合の終了時の報告の有無等を含めることが考えられ る。

(d) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ３情報、完全性２情報又は可用性２情報について府省庁外での情報処理を行う ことを許可した期間が終了した時に、許可を受けた者から終了した旨の報告が ない場合には、その状況を確認し、対応を講ずること。ただし、許可を与えた 者が報告を要しないとした場合は、この限りでない。 

解説：府省庁外での情報処理を行うことを許可した期間が終了した時に報告の 有無を確認し、対応を講ずること等を求める事項である。

状況を確認した際に、終了の報告をしていない理由が報告漏れである場 合には、報告をさせる。期間の延長が必要な状況であれば、行政事務従 事者に改めて許可を得るようにさせること。

(e) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ２情報であって完全性１情報かつ可用性１情報である情報について府省庁外 での情報処理を行うことを届け出た期間が終了した時に、必要に応じて、その 状況を確認し、対応を講ずること。 

解説：機密性２情報であって完全性１情報かつ可用性１情報である情報につい て府省庁外での情報処理を行うことを届け出た期間が終了した時に、必 要に応じて、その状況を確認し、期間の延長が必要な状況であれば行政 事務従事者に改めて届出をさせる等の対応を講ずることを求める事項で ある。

(f) 行政事務従事者は、要保護情報について府省庁外で情報処理を行う場合には、

業務の遂行に必要最小限の情報処理にとどめること。 

解説：情報セキュリティの侵害のおそれを低減するために、要保護情報を府省 庁外で情報処理することを最小限にとどめることを求める事項である。

(g) 行政事務従事者は、機密性３情報、完全性２情報又は可用性２情報を取り扱う 情報システムを府省庁外に持ち出す場合には、情報システムセキュリティ責任 者又は課室情報セキュリティ責任者の許可を得ること。 

解説：機密性３情報、完全性２情報又は可用性２情報を府省庁外に持ち出す行 政事務従事者に、情報システムセキュリティ責任者又は課室情報セキュ

リティ責任者の許可を得ることを求める事項である。情報システムに係 る事項は情報システムセキュリティ責任者の、情報に係る事項は課室情 報セキュリティ責任者の許可を得ることとなる。

(h) 行政事務従事者は、機密性２情報であって完全性１情報かつ可用性１情報であ る情報を取り扱う情報システムを府省庁外に持ち出す場合には、情報システム セキュリティ責任者又は課室情報セキュリティ責任者に届け出ること。 

解説：機密性２情報であって完全性１情報かつ可用性１情報である情報を府省 庁外に持ち出す行政事務従事者に、情報システムセキュリティ責任者又 は課室情報セキュリティ責任者に届け出ることを求める事項である。

(i) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、要保護 情報を取り扱う情報システムの府省庁外への持出しに係る記録を取得するこ と。 

解説：要保護情報を取り扱う情報システムの府省庁外への持出しに係る記録を 取得することを求める事項である。

「持出しに係る記録」には、持出しの実施者、端末、期間及び理由並び に許可事案の場合の終了時の報告の有無等を含めることが考えられる。

(j) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ３情報、完全性２情報又は可用性２情報を取り扱う情報システムを府省庁外に 持ち出すことを許可した期間が終了した時に、許可を受けた者から終了した旨 の報告がない場合には、その状況を確認し、対応を講ずること。ただし、許可 を与えた者が報告を要しないとした場合は、この限りでない。 

解説：情報システムを府省庁外に持ち出すことを許可した期間が終了した時に 報告の有無を確認すること等を求める事項である。

状況を確認した際に、終了の報告をしていない理由が報告漏れである場 合には、報告をさせる。期間の延長が必要な状況であれば、行政事務従 事者に改めて許可を得るようにさせること。

(k) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ２情報であって完全性１情報かつ可用性１情報である情報を取り扱う情報シ ステムを府省庁外に持ち出すことを届け出た期間が終了した時に、必要に応じ て、その状況を確認し、対応を講ずること。 

解説：届出期間が長期にわたるなど、必要に応じて、府省庁外への持出しの状 況を確認することを求める事項である。

状況を確認した際に、期間の延長が必要な状況であれば、行政事務従事 者に改めて届出をさせること。

(l) 行政事務従事者は、要保護情報を取り扱う情報システムを府省庁外に持ち出す 場合には、業務の遂行に必要最小限の情報システムの持出しにとどめること。 

解説：情報セキュリティの侵害のおそれを低減するために、要保護情報を取り 扱うシステムを府省庁外に持ち出すことを最小限にとどめることを求め る事項である。