障害等の対応

趣旨（必要性）

情報セキュリティに関する障害等が発生した場合には、早急にその状況を検出し、

被害の拡大を防ぎ、回復のための対策を講ずる必要がある。また、その際には、障害等 の影響や範囲を定められた責任者へ報告し、障害等の発生現場の混乱や誤った指示の発 生等を最小限に抑えることが重要である。 

これらのことを勘案し、本項では、障害等の発生時に関する対策基準を定める。 

遵守事項

(1) 障害等の発生に備えた事前準備 

【基本遵守事項】

(a) 最高情報セキュリティ責任者は、情報セキュリティに関する障害等（インシデ ント及び故障を含む。以下「障害等」という。）が発生した場合、被害の拡大 を防ぐとともに、障害等から復旧するための体制を整備すること。 

解説：最高情報セキュリティ責任者に障害等に対する体制の整備を求める事項 である。本事項が効果的に機能するように他の規程との整合性に配意す ることが求められる。

なお、情報セキュリティに関する障害等とは、機密性、完全性、可用性 が侵害されるものを対象としており、可用性等に影響を及ぼさない程度 の故障等は対象としていない。

また、「インシデント」とは、ISO/IEC 17799におけるインシデントと同 意である。

(b) 統括情報セキュリティ責任者は、障害等について行政事務従事者から情報セキ ュリティ責任者への報告手順を整備し、当該報告手段をすべての行政事務従事 者に周知すること。 

解説：窓口についての周知は、情報セキュリティ対策の教育の中で行うととも に、窓口の連絡先を執務室内に掲示するなどして、緊急時に行政事務従 事者がすぐに参照できるようにすることが必要である。情報システムが 利用不能となる状況も想定して、複数の連絡手段の導入を検討すること。

(c) 統括情報セキュリティ責任者は、障害等が発生した際の対応手順を整備するこ と。 

解説：対応手順として障害等の発生時における緊急を要する対応等の必要性に 備えて、通常とは異なる例外措置の承認手続を設けることもあわせて検 討する必要がある。対応する者に、ある程度の権限の委任がされないと、

適切な措置に遅延等が発生することが予想される。そのようなことがな いよう検討すること。

対応手順は、より具体的に整備することが重要である。例えば、対応手 順において、障害等の発生日及び内容、障害等への対応の内容及び対応 者等を行政事務従事者が記録すべきことを定めることも考えられる。

(d) 統括情報セキュリティ責任者は、障害等に備え、行政事務の遂行のため特に重 要と認めた情報システムについて、その情報システムセキュリティ責任者及び 情報システムセキュリティ管理者の緊急連絡先、連絡手段、連絡内容を含む緊 急連絡網を整備すること。 

解説：統括情報セキュリティ責任者は、すべての情報システムセキュリティ責 任者及び情報システムセキュリティ管理者の連絡網を整備しているもの である（統一基準2.1.1）が、これは「緊急」連絡網を加えて整備するこ とを定める事項である。

【強化遵守事項】

(e) 統括情報セキュリティ責任者は、障害等について府省庁の外部から報告を受け るための窓口を設置し、その窓口への連絡手段を府省庁外に公表すること。 

解説：府省庁における情報セキュリティ対策の不備について外部の者が発見し たり、府省庁において管理する電子計算機がサービス不能攻撃を外部に 行った場合等、各府省庁を取り巻く外部に対して、関連業務に支障を生 じさせたり、情報セキュリティ上の脅威を与えたりした際に、その連絡 を外部から受ける体制についても整備し、連絡先を各府省庁の外部に公 表することを求める事項である。

(2) 障害等の発生時における報告と応急措置 

【基本遵守事項】

(a) 行政事務従事者は、障害等の発生を知った場合には、それに関係する者に連絡 するとともに、統括情報セキュリティ責任者が定めた報告手順により、情報セ キュリティ責任者にその旨を報告すること。 

解説：障害等が発生した場合に、行政事務従事者から速やかに関係者に連絡し、

連絡を受けた者が当該障害等への対応を開始することができるようにす ることを求める事項である。

(b) 行政事務従事者は、障害等が発生した際の対応手順の有無を確認し、それを実 施できる場合には、その手順に従うこと。 

解説：行政事務従事者の判断による被害拡大防止策が常に適切なものであると は限らないため、障害等への対応手順に従うことを求める事項である。

(c) 行政事務従事者は、障害等が発生した場合であって、当該障害等について対応 手順がないとき及びその有無を確認できないときは、その対応についての指示 を受けるまで、障害等による被害の拡大防止に努めること。指示があった場合 には、その指示に従うこと。 

解説：対応手順が想定していない障害等が発生した場合、行政事務従事者は対 応の指示を受けるまでの間も障害等の拡大防止に努めることを求める事 項である。

(3) 障害等の原因調査と再発防止策 

【基本遵守事項】

(a) 情報セキュリティ責任者は、障害等が発生した場合には、障害等の原因を調査 し再発防止策を策定し、その結果を報告書として最高情報セキュリティ責任者 に報告すること。 

解説：情報セキュリティ責任者に対して、障害等の原因を究明し、それに基づ き障害等の再発防止策を策定することを求める事項である。

(b) 最高情報セキュリティ責任者は、情報セキュリティ責任者から障害等について の報告を受けた場合には、その内容を検討し、再発防止策を実施するために必 要な措置を講ずること。 

解説：障害等の再発防止策を講ずることを、最高情報セキュリティ責任者に求

める事項である。