3.2 情報の取扱い
3.2.6 情報の消去
遵守事項
(1) 電磁的 録 消去方法
基曓遵 事
(a) 行 事 従事者 電磁的 録媒体を廃棄 る場合 情報を復元 困 状態 る 抹消 る いう
(b) 行 事 従事者 電磁的 録媒体を 者 提供 る場合 当 電磁的
録媒体 保 れ 要 要機密情報を抹消 る 強化遵 事
(c) 行 事 従事者 電磁的 録媒体 い 設置環境等 ら必要 ある 認 られる場合 当 電磁的 録媒体 要機密情報を抹消 る
(2) 書面 廃棄方法 基曓遵 事
(a) 行 事 従事者 要機密情報 ある書面を廃棄 る場合 復元 困 状 態 る
第 部 情報セキュリテ 要件の明確化に基 く対策
4.1 情報セキュリテ に い の機能
4.1.1 主体認証機能
遵守事項
(1) 主体認証機能 入 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い 主体認証
を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報クケ ゾヘ い 主体認証を行う必要性 ある 断 る
(b) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 識 及び主体認証を行う機能を設 る
(c) 情報クケゾヘコゥポモゾ゛管理者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 主体認証情報を秘密 る必要 ある場合 当 主体認証 情報 明ら ら いよう 管理 る
(゚) 主体認証情報を保 る場合 内容 暗 化を行う (゜) 主体認証情報を通信 る場合 内容 暗 化を行う
(ゞ) 保 又 通信を行う 暗 化を行う い場合 利用者 自
ら 主体認証情報を設定 変更 提供 入力 る 暗 化 行われ い を通知 る
(d) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 利用者 主体認証情報 定期的 変更を求 る場合 利用 者 対 定期的 変更を 機能 い れ 機能を設 る
(゚) 利用者 定期的 変更 いる 否 を確認 る機能
(゜) 利用者 定期的 変更 れ 情報クケゾヘ 利用を い機能 (e) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 主体認証情報又 主体認証情報格納装置を 者 使用 れ 又 使用 れる危険性を認識 場合 直 当 主体認証情報若 主体認 証情報格納装置 よる主体認証を停 る機能又 れ 対応 る識 カヴチ よる情報クケゾヘ 利用を停 る機能を設 る
(f) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 知識 よる主体認証方式を用いる場合 機能を設 る
(゚) 利用者 自ら 主体認証情報を設定 る機能
(゜) 利用者 設定 主体認証情報を 者 容易 知る いよう 保 持 る機能
(g) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 知識 暼 生体情報 外 主体認証方式を用いる場合
要件を定 る 事 適用 能 う を検証 当
主体認証方式 適用 る 能 要件を 満 (゚) 当 主体 外 主体認証を 諾 い 誤認 防
(゜) 当 主体 曓人 責任 い理由 主体認証を拒否 れ い 誤否 防
(ゞ) 当 主体 容易 者 主体認証情報を付 発行 更新及び変更を含
い 及び貸 い 理 防
(゠) 主体認証情報 容易 複製 い 複製 防
(ア) 情報クケゾヘコゥポモゾ゛管理者 断 より ュエアンを個々 無効化 る手段 ある 無効化 確保
(ィ) 必要時 中断 る 主体認証 能 ある 用性 確保
(ゥ) 新 主体を追加 る 外部 ら 情報や装置 供給を必要 る場
合 れら 供給 情報クケゾヘ 耐用期間 間 十 られる 性 確保
(ェ) 主体 付 主体認証情報を使用 る 能 当 主体 対 主体認証情報を 全 再発行 る 再発行 確保 (h) 情報クケゾヘコゥポモゾ゛責任者 生体情報 よる主体認証方式を用いる場合
当 生体情報を曓人 ら事前 意を得 目的 外 目的 使用 い 当 生体情報 い 曓人 ハメ゜トクヴを侵害 いよう 留意 る
強化遵 事
(i) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 複数要素 複合 主体認証方式 主体認証を行う機能を設 る
(j) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い ュエアン 利用者 対 前回 ュエアン る情報を 通知 る機能を設 る
(k) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い ュエアン よう る行 を検知 又 防 る機能 を設 る
(l) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 利用者 情報クケゾヘ ュエ゜ン る前 当 情報クケゾヘ 利用 る通知ベセコヴグを表示 る機能を設 る
(m) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク
ケゾヘ い 利用者 主体認証情報 定期的 変更を求 る場合 前 設定 主体認証情報 を再設定 る を防 る機能を設 る
(n) 情報クケゾヘコゥポモゾ゛責任者 主体認証を行う必要 ある 認 情報ク ケゾヘ い 管理者権限を持 識 カヴチを共用 る場合 当 識 カ
ヴチ ュエ゜ン る前 個 識 カヴチ よりュエアン る 必要 る 機能を設 る
(2) 識 カヴチ 管理
基曓遵 事
(a) 行 事 従事者 主体認証 自己 付 れ 識 カヴチ 外 識 カヴ
チを用い 情報クケゾヘを利用 い
(b) 行 事 従事者 自己 付 れ 識 カヴチを 者 主体認証 用いる目的 付 及び貸 い
(c) 行 事 従事者 自己 付 れ 識 カヴチを れを知る必要 い者 知られるよう 状態 置 い
(d) 行 事 従事者 行 事 識 カヴチを利用 る必要 場
合 を情報クケゾヘコゥポモゾ゛管理者 届 出る 個 届出 必要 い 情報クケゾヘコゥポモゾ゛責任者 定 いる場合 限り い
強化遵 事
(e) 行 事 従事者 管理者権限を持 識 カヴチを付 れ 場合 管理者 業 遂行時 限定 当 識 カヴチを利用 る
(3) 主体認証情報 管理 基曓遵 事
(a) 行 事 従事者 主体認証情報 者 使用 れ 又 危険 発生 場
合 直 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛
管理者 を報告 る
(b) 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理者 主体
認証情報 者 使用 れ 又 危険 発生 報告を 場合 必要 措置を講 る
(c) 行 事 従事者 知識 よる主体認証情報を用いる場合 管理を徹 底 る
(゚) 自己 主体認証情報を 者 知られ いよう 管理 る (゜) 自己 主体認証情報を 者 教え い
(ゞ) 主体認証情報を忘 いよう 努 る
(゠) 主体認証情報を設定 る 容易 推測 れ い る
(ア) 情報クケゾヘコゥポモゾ゛管理者 ら主体認証情報を定期的 変更 るよう 指示 れ いる場合 指示 従 定期的 変更 る
(d) 行 事 従事者 暼 よる主体認証を用いる場合 管理を徹底 る
(゚) 主体認証情報格納装置を曓人 意 使われる いよう 全措 置を講 管理 る
(゜) 主体認証情報格納装置を 者 付 及び貸 い
(ゞ) 主体認証情報格納装置を紛失 いよう 管理 る 紛失 場合
直 情報クケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理 者 を報告 る
(゠) 主体認証情報格納装置を利用 る必要 場合 れを情報ク ケゾヘコゥポモゾ゛責任者又 情報クケゾヘコゥポモゾ゛管理者 返還 る
4.1.2 セス制御機能
遵守事項
(1) ゚ェコケ制御機能 入 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い ゚ェコケ
制御を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報 クケゾヘ い ゚ェコケ制御を行う必要 ある 断 る
(b) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情
報クケゾヘ い ゚ェコケ制御を行う機能を設 る 強化遵 事
(c) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情
報クケゾヘ い 利用者及び 属 るエャヴハ 属性 外 基 ゚ェコケ 制御 機能を追加 る
(d) 情報クケゾヘコゥポモゾ゛責任者 ゚ェコケ制御を行う必要 ある 認 情 報クケゾヘ い 強制゚ェコケ制御機能を設 る
(2) 適 ゚ェコケ制御 基曓遵 事
(a) 行 事 従事者 情報クケゾヘ 装備 れ 機能を用い 当 情報クケゾヘ
保 れる情報 格付 扱制限 指示内容 従 必要 ゚ェコケ制御 設定を る
4.1.3 権限管理機能
遵守事項
(1) 権限管理機能 入 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘ い 権限管理 を行う必要性 暼無を検討 る 場合 要保護情報を り扱う情報クケ ゾヘ い 権限管理を行う必要 ある 断 る
(b) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク
ケゾヘ い 権限管理を行う機能を設 る 強化遵 事
(c) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 暷少特権機能を設 る
(d) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 主体認証情報 再発行を自動 行う機能を設 る
(e) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い タポ゚ャュセェ機能を設 る
(2) 識 カヴチ 主体認証情報 付 管理 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク
ケゾヘ い 共用識 カヴチ 利用許 い 情報クケゾヘ 必要性を 断 る
(b) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 権限管理 い 事 を含 手 を定 る
(゚) 主体 ら 申請 基 い 権限管理を行う場合 申請者 当 主 体 ある を確認 る 手
(゜) 主体認証情報 初期配布方法及び変更管理手 (ゞ) ゚ェコケ制御情報 設定方法及び変更管理手
(c) 情報クケゾヘコゥポモゾ゛責任者 権限管理を行う必要 ある 認 情報ク ケゾヘ い 権限管理を行う者を定 る
(d) 権限管理を行う者 情報クケゾヘを利用 る許 を得 主体 対 識 カヴチ及び主体認証情報を発行 る
(e) 権限管理を行う者 識 カヴチを発行 る れ 共用識 カヴチ 共 用 い識 カヴチ 区 を利用者 通知 る
(f) 権限管理を行う者 管理者権限を持 識 カヴチを 業 又 業 責
場合 限定 付 発行 更新及び変更を含 い る
(g) 権限管理を行う者 行 事 従事者 情報クケゾヘを利用 る必要
場合 当 行 事 従事者 識 カヴチを無効 る 人事異 動等 より 識 カヴチを追加 又 削除 る時 要 識 カヴチ 暼無 を 検 る
(h) 権限管理を行う者 行 事 従事者 情報クケゾヘを利用 る必要
場合 当 行 事 従事者 交付 主体認証情報格納装置を返還 る
(i) 権限管理を行う者 業 責 必要性を 案 必要暷 限 範 限 許 を えるよう ゚ェコケ制御 設定を る 人事異動等 より 識 カヴチを追加 又 削除 る時 適 ゚ェコケ制御設定 暼無を