府省庁支給以外の情報システムによる情報処理の制限

趣旨（必要性）

行政事務においては、その遂行のため、府省庁支給以外の情報システムを利用する 必要が生じる場合がある。この際、当該情報システムが、府省庁が支給したものでない という理由で対策を講じなかった場合、当該情報システムで取り扱われる情報のセキュ リティは確保できない。 

これらのことを勘案し、本項では、府省庁支給以外の情報システムによる情報処理 の制限に関する対策基準を定める。 

遵守事項

(1) 安全管理措置についての規定の整備 

【基本遵守事項】

(a) 統括情報セキュリティ責任者は、要保護情報について府省庁支給以外の情報シ ステムにより情報処理を行う場合に講ずる安全管理措置についての規定を整 備すること。 

解説：行政事務従事者が所有する個人の PC など、府省庁支給以外の情報シス テムを用いて要保護情報に関する情報処理を行う場合であっても、府省 庁支給の情報システムと同程度の情報セキュリティ対策を施す必要があ るため、その安全管理措置についての規定を整備することを求める事項 である。

(2) 許可及び届出の取得及び管理 

【基本遵守事項】

(a) 行政事務従事者は、機密性３情報、完全性２情報又は可用性２情報について府 省庁支給以外の情報システムにより情報処理を行う必要がある場合には、情報 システムセキュリティ責任者又は課室情報セキュリティ責任者の許可を得る こと。 

解説：機密性３情報、完全性２情報又は可用性２情報について府省庁支給以外 の情報システムにより情報処理を行う必要がある場合に、許可を得るこ とを求める事項である。情報システムに係る事項は情報システムセキュ リティ責任者の、情報に係る事項は課室情報セキュリティ責任者の許可 を得ることとなる。

府省庁支給以外の情報システムによる機密性３情報、完全性２情報又は 可用性２情報の情報処理を許可する場合は、その期間については、最長 で１年間にすることが望ましい。ただし、期間の延長が必要な状況であ れば、行政事務従事者に改めて許可を得るようにさせること。

(b) 行政事務従事者は、機密性２情報であって完全性１情報かつ可用性１情報であ る情報について府省庁支給以外の情報システムにより情報処理を行う必要が ある場合には、情報システムセキュリティ責任者又は課室情報セキュリティ責 任者に届け出ること。 

解説：府省庁支給以外の情報システムによる機密性２情報であって完全性１情 報かつ可用性１情報である情報の情報処理を行う場合に、情報システム セキュリティ責任者又は課室情報セキュリティ責任者に届け出ることを 求める事項である。

(c) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、府省庁 支給以外の情報システムによる要保護情報の情報処理に係る記録を取得する こと。 

解説：府省庁支給以外の情報システムによる要保護情報の情報処理に係る記録 を取得することを求める事項である。

「府省庁支給以外の情報システムによる情報処理に係る記録」には、情 報処理の実施者、内容、期間及び理由並びに許可事案の場合の終了時の

報告の有無等を含めることが考えられる。

(d) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ３情報、完全性２情報又は可用性２情報について府省庁支給以外の情報システ ムによる情報処理を行うことを許可した期間が終了した時に、許可を受けた者 から終了した旨の報告がない場合には、その状況を確認し、対応を講ずること。

ただし、許可を与えた者が報告を要しないとした場合は、この限りでない。 

解説：府省庁支給外の情報システムによる情報処理を行うことを許可した期間 が終了した時に、報告の有無を確認すること等を求める事項である。

状況を確認した際に、終了の報告をしていない理由が報告漏れである場 合には、報告させる。期間の延長が必要な状況であれば、行政事務従事 者に改めて許可を得るようにさせること。

(e) 情報システムセキュリティ責任者及び課室情報セキュリティ責任者は、機密性 ２情報であって完全性１情報かつ可用性１情報である情報について府省庁支 給以外の情報システムによる情報処理を行うことを届け出た期間が終了した 時に、必要に応じて、その状況を確認し、対応を講ずること。 

解説：届出期間が長期にわたる場合など、必要に応じて、府省庁支給以外の情 報システムによる情報処理の状況を確認することを求める事項である。

状況を確認した際に、期間の延長が必要な状況であれば、行政事務従事 者に改めて届出をさせること。

(3) 安全管理措置の遵守 

【基本遵守事項】

(a) 行政事務従事者は、要保護情報について府省庁支給以外の情報システムによる 情報処理を行う場合には、当該情報システムについて定められた安全管理措置 を講ずること。 

解説：行政事務従事者が所有する個人の PC など、府省庁支給以外の情報シス テムを用いて要保護情報に関する情報処理を行う場合であっても、府省 庁支給の情報システムと同程度の情報セキュリティ対策を施す必要があ るため、行政事務従事者に安全管理措置を講ずることを求める事項であ る。

(b) 行政事務従事者は、機密性３情報、完全性２情報又は可用性２情報について府 省庁支給以外の情報システムによる情報処理を終了した時に、その許可を与え た者に対して、その旨を報告すること。ただし、許可を与えた者から報告を要 しないとされた場合は、この限りでない。 

解説：行政事務従事者が機密性３情報、完全性２情報又は可用性２情報につい て府省庁支給以外の情報システムによる情報処理を終了した時に、その 報告を求める事項である。

府省庁支給以外の情報システムの利用許可を与えた者は、その終了報告 を受け、府省庁支給以外の情報システムによる情報処理の状況を把握す ることが可能となる。その結果、府省庁支給以外の情報システムを、本

来必要とされる期間を超えて利用している場合には、これを検知し、利 用実態を是正することが可能となる。