府機 情報コゥポモゾ゛対策
統一基準(第 年 版)
2008 2 暻 4 日
情報コゥポモゾ゛ 策会議
目
第 部 総則... 1
1.1.1 曓統一基準 置付 ... 1
(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付 .. 1
(2) 曓統一基準 改訂... 1
(3) 法 等 遵 ... 1
1.1.2 曓統一基準 使い方... 2
(1) 曓統一基準 省庁対策基準 ... 2
(2) 適用対象範 ... 2
(3) 全体構成... 2
(4) 対策 目 載事 ... 3
(5) 対策ヤパャ 設定... 3
(6) 評価 方法... 3
1.1.3 用語定義... 4
第 部 組織 体制 整備... 9
2.1 入... 9
2.1.1組織ン体制 整備... 9
遵 事 ... 9
(1) 暷高情報コゥポモゾ゛責任者 設置... 9
(2) 情報コゥポモゾ゛委員会 設置... 9
(3) 情報コゥポモゾ゛監査責任者 設置... 9
(4) 情報コゥポモゾ゛責任者 設置... 9
(5) 情報クケゾヘコゥポモゾ゛責任者 設置... 10
(6) 情報クケゾヘコゥポモゾ゛管理者 設置... 10
(7) 課室情報コゥポモゾ゛責任者 設置... 10
2.1.2役割 割当 ... 11
遵 事 ... 11
(1) 兼 を禁 る役割 規定... 11
(2) よる 認ン許 ... 11
2.1.3 例外措置... 11
遵 事 ... 11
(1) 対処... 11
(2) 例外措置... 11
2.2 運用... 14
2.2.1情報コゥポモゾ゛対策 教育... 14
遵 事 ... 14
(1) 情報コゥポモゾ゛対策 教育 実施... 14
(2) 情報コゥポモゾ゛対策 教育 講... 14
2.2.2 害等 対処... 15
遵 事 ... 15
(1) 害等 発生 備え 事前準備... 15
(2) 害等 発生時 る報告 応急措置... 15
(3) 害等 原因調査 再発防 策... 15
2.3 評価... 17
2.3.1 情報コゥポモゾ゛対策 自己 検... 17
遵 事 ... 17
(1) 自己 検 る 度計画 策定... 17
(2) 自己 検 実施 る準備... 17
(3) 自己 検 実施... 17
(4) 自己 検結果 評価... 17
(5) 自己 検 基 改善... 17
2.3.2 情報コゥポモゾ゛対策 監査... 18
遵 事 ... 18
(1) 監査計画 策定... 18
(2) 監査 実施 る指示... 18
(3) 個 監査業 る監査実施計画 策定... 18
(4) 監査 実施 る準備... 18
(5) 監査 実施... 18
(6) 監査結果 対 る対処... 19
2.4 見直 ... 20
2.4.1 情報コゥポモゾ゛対策 見直 ... 20
遵 事 ... 20
(1) 情報コゥポモゾ゛対策 見直 ... 20
第 部 情報 い 対策... 21
3.1 情報 格付 ... 21
3.1.1 情報 格付 ... 21
遵 事 ... 21
(1) 情報 格付 ... 21
3.2 情報 扱い... 22
3.2.1 情報 作成 入手... 22
遵 事 ... 22
(1) 業 外 情報 作成又 入手 禁 ... 22
(2) 情報 作成又 入手時 る格付 決定 扱制限 検討... 22
(3) 格付 扱制限 明示等... 22
(4) 格付 扱制限 ... 22
(5) 格付 扱制限 変更... 22
3.2.2 情報 利用... 23
遵 事 ... 23
(1) 業 外 利用 禁 ... 23
(2) 格付 及び 扱制限 従 情報 扱い... 23
(3) 要保護情報 扱い... 23
3.2.3 情報 保 ... 23
遵 事 ... 23
(1) 格付 応 情報 保 ... 23
(2) 情報 保 期間... 24
3.2.4 情報 移 ... 24
遵 事 ... 24
(1) 情報 移 る許 及び届出... 24
(2) 情報 信 運搬 選択... 24
(3) 移 手段 決定... 25
(4) 書面 保護対策... 25
(5) 電磁的 録 保護対策... 25
3.2.5 情報 提供... 26
遵 事 ... 26
(1) 情報 公表... 26
(2) 者 情報 提供... 26
3.2.6 情報 消去... 26
遵 事 ... 26
(1) 電磁的 録 消去方法... 26
(2) 書面 廃棄方法... 27
第 部 情報コゥポモゾ゛要件 明確化 基 対策... 28
4.1 情報コゥポモゾ゛ い 機能... 28
4.1.1主体認証機能... 28
遵 事 ... 28
(1) 主体認証機能 入... 28
(2) 識 カヴチ 管理... 30
(3) 主体認証情報 管理... 30
4.1.2 ゚ェコケ制御機能... 31
遵 事 ... 31
(1) ゚ェコケ制御機能 入... 31
(2) 適 ゚ェコケ制御... 31
4.1.3 権限管理機能... 31
遵 事 ... 31
(1) 権限管理機能 入... 31
(2) 識 カヴチ 主体認証情報 付 管理... 32
(3) 識 カヴチ 主体認証情報 る 暶手段等 適用... 33
4.1.4 証跡管理機能... 33
遵 事 ... 33
(1) 証跡管理機能 入... 33
(2) 証跡 得 保 ... 34
(3) 得 証跡 検 析及び報告... 34
(4) 証跡管理 る利用者 周知... 34
4.1.5保証 機能... 35
遵 事 ... 35
(1) 保証 機能 入... 35
4.1.6暗 電子署 鍵管理を含 ... 35
遵 事 ... 35
(1) 暗 化機能及び電子署 付 る方式 整備... 35
(2) 暗 化機能及び電子署 付 機能 入... 35
(3) 暗 化及び電子署 付 る管理... 36
(4) 暗 化機能及び電子署 付 機能 利用... 36
4.2 情報コゥポモゾ゛ い 威... 38
4.2.1 コゥポモゾ゛ビヴャ対策... 38
遵 事 ... 38
(1) 情報クケゾヘ 構築時... 38
(2) 情報クケゾヘ 運用時... 38
4.2.2 ハュエメヘ対策... 39
遵 事 ... 39
(1) 情報クケゾヘ 構築時... 39
(2) 情報クケゾヘ 運用時... 39
4.2.3 キヴニケ 能攻撃対策... 40
遵 事 ... 40
(1) 情報クケゾヘ 構築時... 40
(2) 情報クケゾヘ 運用時... 41
4.2.4 踏 対策... 41
遵 事 ... 41
(1) 情報クケゾヘ 構築時... 41
(2) 情報クケゾヘ 運用時... 41
4.3 情報クケゾヘ コゥポモゾ゛要件... 42
4.3.1 情報クケゾヘ コゥポモゾ゛要件... 42
遵 事 ... 42
(1) 情報クケゾヘ 計画... 42
(2) 情報クケゾヘ 構築ン運用... 42
(3) 情報クケゾヘ 移行ン廃棄... 43
(4) 情報クケゾヘ 見直 ... 43
(5) 情報クケゾヘ 帳整備... 43
第 部 情報クケゾヘ 構成要素 い 対策... 44
5.1 施設 環境... 44
5.1.1 電子計算機及び通信回線装置を設置 る 全区域... 44
遵 事 ... 44
(1) 立入り及び 出 管理... 44
(2) 訪問者及び 渡業者 管理... 44
(3) 電子計算機及び通信回線装置 コゥポモゾ゛確保... 45
(4) 全区域内 コゥポモゾ゛管理... 45
(5) 災害及び 害 対策... 46
5.2 電子計算機... 47
5.2.1 電子計算機共通対策... 47
遵 事 ... 47
(1) 電子計算機 設置時... 47
(2) 電子計算機 運用時... 47
(3) 電子計算機 運用終了時... 48
5.2.2 端曒... 48
遵 事 ... 48
(1) 端曒 設置時... 48
(2) 端曒 運用時... 49
5.2.3 キヴト装置... 49
遵 事 ... 49
(1) キヴト装置 設置時... 49
(2) キヴト装置 運用時... 50
5.3 ゚ハモォヴクミンソネダゞゟ゚... 51
5.3.1 通信回線を介 提供 る゚ハモォヴクミン共通対策... 51
遵 事 ... 51
(1) ゚ハモォヴクミン 入時... 51
(2) ゚ハモォヴクミン 運用時... 51
5.3.2 電子ベヴャ... 51
遵 事 ... 51
(1) 電子ベヴャ 入時... 51
(2) 電子ベヴャ 運用時... 51
5.3.3 ゞゟノ... 52
遵 事 ... 52
(1) ゞゟノ 入時... 52
(2) ゞゟノ 運用時... 52
5.3.4 チベ゜ンヅヴヘクケゾヘ DNS ... 52
遵 事 ... 52
(1) DNS 入時... 52
(2) DNS 運用時... 53
5.4 通信回線... 54
5.4.1 通信回線共通対策... 54
遵 事 ... 54
(1) 通信回線 構築時... 54
(2) 通信回線 運用時... 55
(3) 通信回線 運用終了時... 56
5.4.2 府省庁内通信回線 管理... 56
遵 事 ... 56
(1) 府省庁内通信回線 構築時... 56
(2) 府省庁内通信回線 運用時... 56
(3) 回線 対策... 56
5.4.3 府省庁外通信回線 接 ... 57
遵 事 ... 57
(1) 府省庁内通信回線 府省庁外通信回線 接 時... 57
(2) 府省庁外通信回線 接 いる府省庁内通信回線 運用時... 57
第 部 個 事 い 対策... 59
6.1 調 ン開発 わる情報コゥポモゾ゛対策... 59
6.1.1 機器等 購入... 59
適用範 ... 59
遵 事 ... 59
(1) 情報コゥポモゾ゛確保 府省庁内共通 組 整備... 59
(2) 機器等 購入 実施 る手 ... 59
6.1.2 外部委 ... 59
適用範 ... 59
遵 事 ... 60
(1) 情報コゥポモゾ゛確保 府省庁内共通 組 整備... 60
(2) 委 先 実施 る情報コゥポモゾ゛対策 明確化... 60
(3) 委 先 選定... 60
(4) 外部委 る契約... 61
(5) 外部委 実施 る手 ... 61
(6) 外部委 終了時 手 ... 62
6.1.3 ソネダゞゟ゚開発... 62
遵 事 ... 62
(1) ソネダゞゟ゚開発体制 確立時... 62
(2) ソネダゞゟ゚開発 開始時... 62
(3) ソネダゞゟ゚ 設計時... 62
(4) ソネダゞゟ゚ 作成時... 63
(5) ソネダゞゟ゚ 試験時... 63
6.2 個 事 ... 64
6.2.1 府省庁外 情報処理 制限... 64
遵 事 ... 64
(1) 全管理措置 い 規定 整備... 64
(2) 許 及び届出 得及び管理... 64
(3) 全管理措置 遵 ... 65
6.2.2 府省庁支給 外 情報クケゾヘ よる情報処理 制限... 65
遵 事 ... 65
(1) 全管理措置 い 規定 整備... 65
(2) 許 及び届出 得及び管理... 65
(3) 全管理措置 遵 ... 66
6.2.3情報クケゾヘ IPv6 術 入 る対策... 66
遵 事 ... 66
(1) IPv6移行機構 ら 弱性対策... 66
(2) 意 いIPv6通信 抑 監視... 67
6.3 ... 68
6.3.1 府省庁外 情報コゥポモゾ゛水準 を招 行 防 ... 68
遵 事 ... 68
(1) 措置 い 規定 整備... 68
(2) 措置 遵 ... 68
6.3.2業 計画 整合的運用 確保... 68
適用範 ... 68
遵 事 ... 68
(1) 府省庁 る業 計画 整備計画 把握... 68
(2) 業 計画 情報コゥポモゾ゛対策 整合性 確保... 68
(3) 業 計画 情報コゥポモゾ゛ 規程 整合 報告... 69
6.3.3 チベ゜ン 使用 い 対策... 69
遵 事 ... 69
(1) チベ゜ン 使用... 69
第 部 総則
1.1.1 統一基準の 置付け
(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付
各府省庁 情報コゥポモゾ゛ 確保 い 各府省庁 自ら 責任 い 対策
を講 い 原則 ある 府機 全体 情報コゥポモゾ゛対策を強化ン
充 る 府機 情報コゥポモゾ゛対策 強化 る基曓方針 成
暻 日付情報コゥポモゾ゛ 策会議決定 基 府機 行う 情報
コゥポモゾ゛対策 統一的 枠組 を構築 各府省庁 情報コゥポモゾ゛水準 斉一
的 引 を る 必要 ある 曓統一基準 府機 統一的 枠組
中 各府省庁 情報コゥポモゾ゛ 確保 採る 対策 及び 水準を
更 高 る 対策 基準を定 ある
(2) 曓統一基準 改訂
情報コゥポモゾ゛ 水準を適 維持 い 状況 変化を的確 らえ
れ 応 情報コゥポモゾ゛対策 見直 を る 重要 ある 曓統一基準
い れを各府省庁 い れ れ 府省庁 特性を踏 え 省庁対策基準
及び実施手 整備 活用 情報コゥポモゾ゛対策 評価 使用 る より
曓統一基準 内容を追加ン修 等 明ら る 考えられる
情報 術 進歩 応 曓統一基準 載 る情報コゥポモゾ゛対策を変更 る
必要 り得る
曓統一基準 見直 を定期的 行い 必要 応 目 追加や 内容
充実等を る よ 適用性を将来 わ り維持 る る
各府省庁 い 曓統一基準 更新 れ 場合 内容を省庁対策基準 適
映 る必要 ある
(3) 法 等 遵
情報及び情報クケゾヘ 扱い 法 及び規則等 連法 等
いう い 規定 れ いる 情報コゥポモゾ゛対策を実施 る 曓統
一基準 連法 等を遵 れ ら い れら 連法 等 情報
コゥポモゾ゛対策 わら 当然 遵 ある 曓統一基準 あ
え 連法 等 遵 い 明 い い 情報コゥポモゾ゛対策 る内
容 い 定 既 府決定等 い 様 遵 る
1.1.2 統一基準の使い方
(1) 曓統一基準 省庁対策基準
曓統一基準 府省庁 情報コゥポモゾ゛ 確保 採る 対策 及
び 水準を更 高 る 対策 基準を定 ある
各府省庁 い 曓統一基準 定 られ 情報コゥポモゾ゛確保を目標
現行 情報コゥポモゾ゛ 規程 い 必要 見直 を行う る
各府省庁 い 曓統一基準 定 られ いる内容を合理的 理由 省庁
対策基準 映 い いう あ ら い 各府省庁 各府省庁 特性
を踏 え 省庁対策基準 盛り込 内容を決定 曓統一基準を直接参照 る
曓統一基準を り込 又 構成や表現を変え 盛り込 等 方法 より適
映 る る
(2) 適用対象範
曓統一基準 適用 れる対象範 を よう 定 る
(a) 曓統一基準 情報 を る を目的 作成 れ いる 曓統一基準 い
情報 情報クケゾヘ内部 録 れ 情報 情報クケゾヘ外部 電磁的
録媒体 録 れ 情報及び情報クケゾヘ ある書面 載 れ 情報
をいう 作業途 文書 適用対象 あり 書面 載 れ 情報
電磁的 録 れ いる情報を 載 書面 情報クケゾヘ 入力 れ
情報を 載 書面 情報クケゾヘ ら出力 情報を 載 書面 及び情報
クケゾヘ る設計書 含 れる
(b) 曓統一基準 行 事 従事者 適用 れる 曓統一基準 い 行 事 従
事者 府職員及び れ れ 府省庁 指揮 服 いる者 う
れ れ 府省庁 管理対象 ある情報及び情報クケゾヘを り扱う者をいう
(c) 曓統一基準 い 府省庁 内 官 内 法制局 人事院 内 府
宮内庁 公 引委員会 国家公 委員会 警察庁 金融庁 総 省 法 省 外 省 省 文部科学省 厚生労働省 農林水産省 経済産業省 国土交通 省 環境省及び防衛省をいう
(3) 全体構成
曓統一基準 部 節及び よ 構成 れる
曓統一基準 情報コゥポモゾ゛対策を 組織 体制 構築 情報 い 対策
情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ 構成要素 い
対策 個 事 い 対策 部 類 ら 内容 応 節 対
策 目 対策基準を定 いる
(a) 組織 体制 整備 組織全体 情報コゥポモゾ゛対策を実施 る
当 り 実施体制や評価手 や例外措置 組織 構築 課題
を り 組織 運用 る各職員 権限 責 を明確 る
(b) 情報 い 対策 情報 作成 利用 保 移 提供及び消去等
い 情報 メ゜ネキ゜ェャ 着目 各段 い 遵 事 を定 各職員 業 中 常 実施 る情報保護 対策を示
(c) 情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ い
゚ェコケ制御 観 入 コゥポモゾ゛機能を示 コゥポモ
ゾ゛ビヴャ ハュエメヘ及びキヴニケ 能攻撃等 威を防 遵
事 を定 情報クケゾヘ い 講 対策を示
(d) 情報クケゾヘ 構成要素 い 対策 電子計算機及び通信回線等
個 情報クケゾヘ 特性及びメ゜ネキ゜ェャ 観 ら れ れ遵
事 を定 情報クケゾヘ い 講 対策を示
(e) 個 事 い 対策 調 ン開発や府省庁外 情報処理等 特
情報コゥポモゾ゛ 配慮 求 られる個 事象 着目 れ れ遵
事 を定 る
(4) 対策 目 載事
曓統一基準 各府省庁 行う 対策基準 い 対策 目 遵 事 を
示
(5) 対策ヤパャ 設定
情報コゥポモゾ゛対策 い 対象 る情報資産 重要性や り巻 威 大
よ 必要 れる対策 一様 い 当 る情報クケゾヘ及び業
特性 応 各対策 目 適 強度 対策を実施 ある
曓統一基準 い 各対策 目 対策 強度 段 を設 採る 遵 事 を定
いる 段 を 対策ヤパャ び よう 定義 る
(a) 基曓遵 事 保護 情報 れを り扱う情報クケゾヘ い
必須 実施 対策事
(b) 強化遵 事 特 重要 情報 れを り扱う情報クケゾヘ い
各府省庁 い 事 必要性 暼無を検討 必要 認 られる
選択 実施 対策事
より 各府省庁 基曓遵 事 対策を実施 る る 当 情報
クケゾヘ及び業 特性を踏 え モケェを十 案 対策 目 適
対策ヤパャを選択 れ ら い
(6) 評価 方法
情報コゥポモゾ゛対策 一過性 遅滞 的 組 を実施
る ある 重要 ある 各府省庁 い 曓統一基準 基
定期的又 事案等 発生 状況 応 情報コゥポモゾ゛監査を行い を確認 る必要 ある
(a) 省庁対策基準 統一基準 準 内容 いる 設計 準 性確認
(b) 実 運用 省庁対策基準 準 いる 運用 準 性確認
(c) 省庁対策基準 内容 モケェ 応 適 ある 効率的 内容 ある
あるい 実現困 内容 い い (設計 妥当性確認)
(d) 実 運用 モケェ 応 暼効 効率的 ある 運用 妥当性確認
特 各府省庁 情報コゥポモゾ゛監査 い 設計及び運用 準 性確認を
第一 目的 る 監査 過程 い 設計及び運用 妥当性 連
改善 思われる 発見 れ 場合 れを要検討事 る 望
い 曓統一基準 い 実施 者を具体的 示 遵 事 を定 い
る 対策 実施状況 い 各自 役割 応 自己 検を実施 る る
情報コゥポモゾ゛対策 い 各自 れ れ 役割を十 実行 る
あり 各自 る対策 実効性を確保 る 自己 検を活用 る あ
る 各府省庁 監査を行う 自己 検 適 を確認 運用
準 性確認 用いる る
情報コゥポモゾ゛対策 実施 い 原則 各府省庁 責任 い
運用 る 大前提 ある 府機 全体 情報コゥポモゾ゛対策推進
観 ら 各府省庁 対策 実施状況及び監査結果 い 内 官 情報コゥポモゾ゛
コンシヴ 報告を行う る ら 内 官 情報コゥポモゾ゛コンシヴ 曓
統一基準 る評価指標 基 各府省庁 情報コゥポモゾ゛ 規程 整備状況
及び対策実施状況 い 定期的又 必要 応 検査 評価 る る
対象 る情報クケゾヘ 範 い 内 官 情報コゥポモゾ゛コンシヴ 各府省
庁 協議 定 る る
1.1.3 用語定義
あ
z ゚ェコケ制御 主体 よる゚ェコケを許 る客体を制限 る をいう
z 全区域 電子計算機及び通信回線装置を設置 事 室又 キヴトャヴヘ
等 内部 あ 部外者 侵入や自然災害 発生等を原因 る情報コゥポモゾ゛
侵害 対 施設及び環境面 ら対策 講 られ いる区域をいう
z 委 先 情報クケゾヘ る計画 構築 運用等 情報処理業 一部又
全部を請 者をいう
z 渡業者 全区域内 職 従事 る行 事 従事者 物品 渡 を
目的 者をいう 物品 渡 宅配便 配 事 用品 納入等 考
えられる
z 外部委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部
又 全部を府省庁外 者 請 わ る をいう
z 用性 情報 ゚ェコケを認 られ 者 必要時 中断 る
情報及び 連資産 ゚ェコケ る状態を確保 る をいう
z 用性 情報 用性 情報 外 情報 書面を除 をいう
z 用性 情報 行 事 り扱う情報 書面を除 う 滅失
紛失又 当 情報 利用 能 ある より 国民 権利 侵害 れ又 行 事
定的 遂行 支 軽微 を除 を及 れ ある情報をいう
z 完全性 情報 破壊 改 ん又 消去 れ い い状態を確保 る をい
う
z 完全性 情報 完全性 情報 外 情報 書面を除 をいう
z 完全性 情報 行 事 り扱う情報 書面を除 う 改 ん
誤びゅう又 破損 より 国民 権利 侵害 れ又 行 事 適確 遂行 支 軽
微 を除 を及 れ ある情報をいう
z 機器等 情報機器等及びソネダゞゟ゚をいう
z 機密性 情報 ゚ェコケを認 られ 者 れ ゚ェコケ
る状態を確保 る をいう
z 機密性 情報 機密性 情報又 機密性 情報 外 情報をいう
z 機密性 情報 行 事 り扱う情報 う 秘密文書 相当 る機密性
要 い 漏えい より 国民 権利 侵害 れ又 行 事 遂行 支
を及 れ ある情報をいう
z 機密性 情報 行 事 り扱う情報 う 秘密文書 相当 る機密性
を要 る情報をいう
z 共用識 カヴチ 複数 主体 共用 る を想定 識 カヴチをいう
原則 識 カヴチ 主体 対 付 れる ある
情報クケゾヘ 制約や 利用状況 を考慮 識 カヴチを複数 主体
共用 る場合 ある よう 共用 れる識 カヴチを共用識 カヴチ いう
z 録媒体 情報 録 れ 又 載 れる をいう 録媒体
書面 書類 文 形等人 知覚 よ 認識 る る情報
載 れ 紙 暼体物 書面 いう 電子的方式 磁気的方式
人 知覚 よ 認識 る い方式 作られる 録 あ 電子計
算機 よる情報処理 用 供 れる 電磁的 録 いう る 録媒
体 電磁的 録媒体 いう ある 電磁的 録媒体 電子計算
機や通信回線装置 内蔵 れる内蔵電磁的 録媒体 外付 デヴチタ゛ケェ - R V MO USBベペモ ネメセクポベペモ等 外部電磁的 録媒体 ある
z 権限管理 主体認証 る情報 識 カヴチ及び主体認証情報を含 及び
゚ェコケ制御 る許 情報を管理 る をいう
z 公開 れ コゥポモゾ゛ビヴャ 誰 知り得る状態 置 れ いるコゥポ
モゾ゛ビヴャ あり ソネダゞゟ゚やデヴチゞゟ゚ 製 ン提供元等 ら公表
れ コゥポモゾ゛ビヴャ 又 JPCERT カヴタ゛ヅヴクミンコンシヴ等 コゥポモ ゾ゛ 連機 ら公表 れ コゥポモゾ゛ビヴャ 当 る
z キヴニケ キヴト装置 動作 いる゚ハモォヴクミン より 接
電子計算機 対 提供 れる単独又 複数 機能 構成 れる機能群をいう
z 暷少特権機能 管理者権限を実行 る範 を管理作業 必要 暷少 範 制限 る機能をいう
z 識 情報クケゾヘ ゚ェコケ る主体を特定 る をいう
z 識 カヴチ 主体を識 る 情報クケゾヘ 認識 るカヴチ 符
をいう 表的 識 カヴチ マヴギID 挙 られる
z 重要 設計書 情報クケゾヘ る設計書 う 当 情報クケゾヘ 適
管理 必要 あり 紛失 漏えい等 より 行 事 遂行 支 を
及 をいう
z 主体 情報クケゾヘ ゚ェコケ る者や 情報クケゾヘ及び装置等をい
う 主体 主 人 ある場合を想定 いる 複数 情報クケゾヘや装置
連動 動作 る場合 情報クケゾヘ ゚ェコケ る主体 情報ク
ケゾヘや装置 含 る る
z 主体認証 識 カヴチを提示 主体 識 カヴチを付 れ 主体
わ 当 主体 ある 否 を検証 る をいう 識 カヴチ い
方法 主体認証情報 提示 れ 場合 主体認証 情報クケゾヘ
れらを提示 主体を 当 主体 認識 る 認証 いう用語
公的又 第 者 証明 る いう意味を持 曓統一基準 る 主体認証
い 公的又 第 者 よる証明 限る い
z 主体認証情報 主体認証を る 主体 情報クケゾヘ 提示 る情報
をいう 表的 主体認証情報 ドケワヴチ等 ある
z 主体認証情報格納装置 主体認証情報を格納 装置 あり 当 主体
暼又 保持 る装置をいう 暼 よる主体認証 れを 暼 いる
情報クケゾヘ 主体を 当 主体 認識 る
表的 主体認証情報格納装置 磁気ケダメ゜ハィヴチやI ィヴチ等 ある
z 省庁対策基準 各府省庁 情報資産 適用 る情報コゥポモゾ゛対
策 基準をいう
z 情報クケゾヘ 情報処理及び通信 るクケゾヘをいう
z 情報コゥポモゾ゛ 規程 省庁対策基準及び省庁対策基準 定 られ 対
策内容を具体的 情報クケゾヘや業 い よう 手 従 実行 い
い 定 実施手 をいう
z 情報 移 府省庁外 電磁的 録 れ 情報を 信 る 並び 情
報を 録 電磁的 録媒体及び書面を運搬 る をいう
z 府職員 人事発 を 行 事 従事 る者をいう
z ソネダゞゟ゚ 電子計算機を動作 る手 及び を電子計算機 理解
る形式 述 をいう アヒヤヴゾ゛ンエクケゾヘ アヒヤヴゾ゛ンエクケ
ゾヘ 動作 る゚ハモォヴクミンを含 広義 意味 ある
z 端曒 端曒を利用 る行 事 従事者 直接操作を行う電子計算機 アヒヤ
ヴゾ゛ンエクケゾヘ及び接 れる周辺機器を含 あり いわゆるPC
PDA等 当 る
z 通信回線 れを利用 複数 電子計算機を接 定 通信様式 従
情報を 信 る 組 をいう 回線及び通信回線装置 接 より構成
れ 通信回線 を物理的 通信回線 いい 物理的 通信回線 構成 れ
電子計算機間 定 通信様式 従 情報を 信 能 通信回線 を論理的
通信回線 いう
z 通信回線装置 回線 接 設置 れ 電子計算機 より回線 を
信 れる情報 制御を行う 装置をいう いわゆるモヌヴシデノ ケ゜セスン
エデノ及びャヴシ ネ゙゜゚ゞァヴャ等 当 る
z 電子計算機 カンヌポヴシ全般 を指 アヒヤヴゾ゛ンエクケゾヘ及
び接 れる周辺機器を含 キヴト装置及び端曒をいう
z 扱制限 情報 扱い る制限 あ 複製禁 持出禁 再配
付禁 暗 化必須 後廃棄 情報 適 扱いを確実 る 手段を
いう
z 複 数 要 素 複 合 主 体 認 証 multiple factors authentication / composite authentication 方式 知識 暼 生体情報 う 複数 方法 組合
より主体認証を行う方法 ある
z 府省庁外 府職員 各々 属 る府省庁 管理 る組織又 庁舎 外を
いう
z 府省庁外通信回線 物理的 通信回線を構成 る回線 暼線又 無線 現実
又 仮想及び府省庁管理又 組織管理 及び通信回線装置を問わ 府省庁 管理 い い電子計算機 接 れ 当 電子計算機間 通信 利用 る論理的 通信 回線をいう
z 府省庁外 情報処理 府省庁 管理部外 行 事 遂行 情報処
理を行う をいう アンメ゜ン 府省庁外 ら 府職員 各々 属 る府
省庁 情報クケゾヘ 接 情報処置を行う場合 アネメ゜ン 行
う場合 含 る
z 府省庁支給 外 情報クケゾヘ 府職員 各々 属 る府省庁 支給
る情報クケゾヘ 外 情報クケゾヘをいう いわゆる私物 PC 当 府省庁
出向者 対 出向元組織 提供 る情報クケゾヘ 含 る
z 府省庁支給 外 情報クケゾヘ よる情報処理 府省庁支給 外 情報クケ
ゾヘを用い 行 事 遂行 情報処理を行う をいう 直接装置等
を用いる場合 れら装置等 よ 提供 れ いるキヴニケを利用
る場合 含 る いうキヴニケ 個人 契約 いる電子ベヴャ
キヴニケ等 あり 例え 府省庁 業 要 る電子ベヴャを 個人 契約
いる電子ベヴャキヴニケ 転 業 を行 り 個人 ベヴャ ら業 ベ
ヴャを発信 り る ある
z 府省庁内 府職員 各々 属 る府省庁 管理 る組織又 庁舎 内を
いう
z 府省庁内通信回線 物理的 通信回線を構成 る回線 暼線又 無線 現実
又 仮想及び府省庁管理又 組織管理 及び通信回線装置を問わ 府省庁 管理 る電子計算機を接 当 電子計算機間 通信 利用 る論理的 通信回線をい う
z ハュエメヘ カンヌポヴシゞ゜ャケ ケド゜ゞゟ゚等 電子計算機を利
用 る者 意 い結果を電子計算機 ら ソネダゞゟ゚ 総称をいう
z ハュエメヘ定義ネ゙゜ャ ゚ンスゞ゜ャケソネダゞゟ゚等 ハュエ
メヘを る 利用 るタヴシをいう
z 明示等 情報を り扱う 者 当 情報 格付 い 共通 認識
るよう 措置 る をいう 情報 格付 を 載 る より明
示 る を原則 る 当 情報 格付 る認識 共通 る
措置 い 明示等 含 る 例え 特定 情報クケゾヘ い
当 情報クケゾヘ 録 れる情報 格付 を規定等 明 当 情報クケゾヘを
利用 る 者 当 規定を周知 る いれ 明示等 含
る
z ペト゜ャPC 端曒 形態 業 利用 る目的 より必要 応
移動 る端曒をいう 特定 設置場 利用 るテヴダ型PC ペト゜ャPC 含 れ い
や
z 要 定情報 用性 情報をいう
z 要機密情報 機密性 情報及び機密性 情報をいう
z 要保護情報 要機密情報 要保全情報及び要 定情報をいう
z 要保全情報 完全性 情報をいう
ら
z 例外措置 行 事 従事者 実施 責任を持 情報コゥポモゾ゛ 規
程を遵 る 困 状況 行 事 適 遂行を る 遵 事
異 る 暶 方法を採用 又 遵 事 を実施 い い 合理的理由
ある場合 い 申請 許 を得 適用 る行 をいう
z ュエ゜ン 何ら 主体 主体認証を要求 る行 をいう ュエ゜ン 後
主体認証 行われる ュエ゜ン 段 主体 当 ある 限ら い
z ュエアン ュエ゜ン 結果 より 主体認証を要求 主体 当 ある
情報クケゾヘ 確認 れ 状態をいう
第 部 組織と体制の整備
2.1 導入
2.1.1 組織 体制の整備
遵守事項
(1) 暷高情報コゥポモゾ゛責任者 設置 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者を 人置
(b) 暷高情報コゥポモゾ゛責任者 府省庁 る情報コゥポモゾ゛対策 る 事 を統括 る
(c) 暷高情報コゥポモゾ゛責任者 必要 応 情報コゥポモゾ゛ る専門的
知識及び経験を暼 専門家を暷高情報コゥポモゾ゛゚チト゜ギヴ 置
(2) 情報コゥポモゾ゛委員会 設置 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛委員会を設置 委員長及び 委員を置
(b) 情報コゥポモゾ゛委員会 情報コゥポモゾ゛ る省庁対策基準を策定 暷高情報コゥポモゾ゛責任者 認を得る
(3) 情報コゥポモゾ゛監査責任者 設置 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛監査責任者を 人置 (b) 情報コゥポモゾ゛監査責任者 暷高情報コゥポモゾ゛責任者 指示 基
監査 る事 を統括 る
(4) 情報コゥポモゾ゛責任者 設置 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 運用 る管理を行う
単 を定 単 情報コゥポモゾ゛責任者を置 う 情
報コゥポモゾ゛責任者を統括 る者 統括情報コゥポモゾ゛責任者を 人置 (b) 情報コゥポモゾ゛責任者 管 る単 る情報コゥポモゾ゛対策
る事 を統括 る
(c) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 る 用 開始 終
了及び人事異動等 る管理 規定を整備 る
(d) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛対策 る 用 開始 終了及
び人事異動等 る管理 規定 従 運用 れ いる を定期的 確
認 る
(e) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者を置い 時及び変更
時 統括情報コゥポモゾ゛責任者 を連絡 る
(f) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 対 る連絡 網を整備 る
(5) 情報クケゾヘコゥポモゾ゛責任者 設置 基曓遵 事
(a) 情報コゥポモゾ゛責任者 管 る単 る情報クケゾヘ 情報クケ
ゾヘコゥポモゾ゛責任者を置
(b) 情報クケゾヘコゥポモゾ゛責任者 管 る情報クケゾヘ 対 る情報コゥポ
モゾ゛対策 る事 を統括 る
(c) 情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛責任者を置い 時及び変
更 時 統括情報コゥポモゾ゛責任者 を報告 る
(d) 統括情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛責任者 対 る連絡網を整備 る
(6) 情報クケゾヘコゥポモゾ゛管理者 設置 基曓遵 事
(a) 情報クケゾヘコゥポモゾ゛責任者 管 る情報クケゾヘ 管理業 い
必要 単 情報クケゾヘコゥポモゾ゛管理者を置
(b) 情報クケゾヘコゥポモゾ゛管理者 管 る管理業 る情報コゥポモゾ
゛対策を実施 る
(c) 情報クケゾヘコゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛管理者を置い
時及び変更 時 統括情報コゥポモゾ゛責任者 を報告 る
(d) 統括情報コゥポモゾ゛責任者 情報クケゾヘコゥポモゾ゛管理者 対 る連絡網を整備 る
(7) 課室情報コゥポモゾ゛責任者 設置 基曓遵 事
(a) 情報コゥポモゾ゛責任者 各課室 課室情報コゥポモゾ゛責任者を 1 人置
(b) 課室情報コゥポモゾ゛責任者 課室 る情報コゥポモゾ゛対策 る事 を統括 る
(c) 情報コゥポモゾ゛責任者 課室情報コゥポモゾ゛責任者を置い 時及び変更
時 統括情報コゥポモゾ゛責任者 を報告 る
(d) 統括情報コゥポモゾ゛責任者 課室情報コゥポモゾ゛責任者 対 る 連絡網を整備 る
2.1.2 役割の割当
遵守事項
(1) 兼 を禁 る役割 規定 基曓遵 事
(a) 行 事 従事者 情報コゥポモゾ゛対策 運用 い 役割を兼
い
(゚) 認又 許 事案 申請者 認権限者又 許 権限者 認権
限者等 いう
(゜) 監査を る者 監査を実施 る者
(2) よる 認ン許 基曓遵 事
(a) 行 事 従事者 認権限者等 暼 る職 権限等 ら 当 認権限者
等 認又 許 認等 いう 否 断を行う 適
認 られる場合 当 認権限者等 認等 申請を る
場合 い 当 認権限者等 認等を得 当 認権限者
等 認等を得る を要 い
(b) 行 事 従事者 前事 場合 い 認等を え 認権限者等
る遵 事 準 措置を講 る
2.1.3 違反 例外措置
遵守事項
(1) 対処
基曓遵 事
(a) 行 事 従事者 情報コゥポモゾ゛ 規程 重大 を知 場合 各
規定 実施 責任を持 情報コゥポモゾ゛責任者 を報告 る
(b) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 重大 報告を
場合及び自ら 重大 を知 場合 者及び必要 者 情報コゥポモ
ゾ゛ 維持 必要 措置を講 る
(c) 情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 重大 報告を
場合及び自ら 重大 を知 場合 暷高情報コゥポモゾ゛責任者
を報告 る (2) 例外措置
基曓遵 事
(a) 情報コゥポモゾ゛委員会 例外措置 適用 申請を審査 る者 許 権限者 いう を定 審査手 を整備 る
(b) 行 事 従事者 例外措置 適用を希望 る場合 定 られ 審査手 従い
許 権限者 例外措置 適用を申請 る 行 事 遂行 緊急を要
る等 場合 あ 情報コゥポモゾ゛ 規程 規定 異 る 暶 方法を直
採用 る 又 規定を実施 い 避 事後 や 申請 許
を得る 行 事 従事者 申請 事 を含 目を明確 る
(゚) 申請者 情報 氏 属 連絡先
(゜) 例外措置 適用を申請 る情報コゥポモゾ゛ 規程 適用箇 規程 条 等
(ゞ) 例外措置 適用を申請 る期間
(゠) 例外措置 適用を申請 る措置内容 講 る 暶手段等 (ア) 例外措置 適用を終了 報告方法
(ィ) 例外措置 適用を申請 る理由
(c) 許 権限者 行 事 従事者 よる例外措置 適用 申請を 定 られ 審査手
従 審査 許 否を決定 る 決定 目を含
例外措置 適用審査 録を作成 暷高情報コゥポモゾ゛責任者 報告 る (゚) 決定を審査 者 情報 氏 役割 属 連絡先
(゜) 申請内容
• 申請者 情報 氏 属 連絡先
• 例外措置 適用を申請 る情報コゥポモゾ゛ 規程 当箇 規程
条 等
• 例外措置 適用を申請 る期間
• 例外措置 適用を申請 る措置内容 講 る 暶手段等
• 例外措置 適用を終了 報告方法
• 例外措置 適用を申請 る理由 (ゞ) 審査結果 内容
• 許 又 許
• 許 又 許 理由
• 例外措置 適用を許 情報コゥポモゾ゛ 規程 適用箇 規程
条 等
• 例外措置 適用を許 期間
• 許 措置内容 講 る 暶手段等
• 例外措置を終了 報告方法
(d) 行 事 従事者 例外措置 適用 い 許 を 例外措置を適用 場合
れを終了 当 例外措置 許 権限者 を報告 る
許 権限者 報告を要 い 場合 限り い
(e) 許 権限者 例外措置 適用を許 期間 終了期日 許 を 者 ら
報告 暼無を確認 報告 い場合 許 を 者 状況を報告 必要
措置を講 る 許 権限者 報告を要 い 場合 限り
い
(f) 暷高情報コゥポモゾ゛責任者 例外措置 適用審査 録 帳を整備 例外措置 適用審査 録 参照 い 情報コゥポモゾ゛監査責任者 ら 求 応 る
2.2 運用
2.2.1 情報セキュ テ 対策の教育
遵守事項
(1) 情報コゥポモゾ゛対策 教育 実施 基曓遵 事
(a) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事
従事者 対 啓発を る
(b) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事
従事者 教育 内容を検討 教育 資料を整備 る
(c) 統括情報コゥポモゾ゛責任者 行 事 従事者 毎 度暷 回 講 る よう 情報コゥポモゾ゛対策 教育 る計画を企画 立案 る
実施体制を整備 る
(d) 統括情報コゥポモゾ゛責任者 行 事 従事者 着任時 異動時 新 い職場
等 暻 内 講 るよう 情報コゥポモゾ゛対策 教育を企画 立案
る 実施体制を整備 る
(e) 統括情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育 講状況を管理 る 組 を整備 る
(f) 統括情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育 講状況 い 課室情報コゥポモゾ゛責任者 通知 る
(g) 課室情報コゥポモゾ゛責任者 行 事 従事者 情報コゥポモゾ゛対策 教育
講 成 れ い い場合 曑 講 者 対 講を勧告 る
行 事 従事者 当 勧告 従わ い場合 統括情報コゥポモゾ゛責
任者 を報告 る
(h) 統括情報コゥポモゾ゛責任者 毎 度 回 暷高情報コゥポモゾ゛責任者及び 情報コゥポモゾ゛委員会 対 行 事 従事者 情報コゥポモゾ゛対策 教
育 講状況 い 報告 る
強化遵 事
(i) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 規程 い 行 事 従事者 対 る情報コゥポモゾ゛対策 訓練 内容及び体制を整備 る
(2) 情報コゥポモゾ゛対策 教育 講 基曓遵 事
(a) 行 事 従事者 毎 度暷 回 情報コゥポモゾ゛対策 教育 る計画
従 情報コゥポモゾ゛対策 教育を 講 る
(b) 行 事 従事者 着任時 異動時 新 い職場等 情報コゥポモゾ゛対策 教育 講方法 い 課室情報コゥポモゾ゛責任者 確認 る
(c) 行 事 従事者 情報コゥポモゾ゛対策 教育を 講 理由 曓人
責任 い 思われる場合 理由 い 課室情報コゥポモゾ゛
責任者を通 統括情報コゥポモゾ゛責任者 報告 る 強化遵 事
(d) 行 事 従事者 情報コゥポモゾ゛対策 訓練 る規定 定 られ いる
場合 当 規定 従 情報コゥポモゾ゛対策 訓練 参加 る
2.2.2 障害等の対処
遵守事項
(1) 害等 発生 備え 事前準備 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛ る 害等 ゜ンクタン
ダ及び故 を含 害等 いう 発生 場合 被害 大を防
害等 ら復 る 体制を整備 る
(b) 統括情報コゥポモゾ゛責任者 害等 い 行 事 従事者 ら情報コゥポ
モゾ゛責任者 報告手 を整備 当 報告手段を 行 事 従事者
周知 る
(c) 統括情報コゥポモゾ゛責任者 害等 発生 対処手 を整備 る (d) 統括情報コゥポモゾ゛責任者 害等 備え 行 事 遂行 特 重要
認 情報クケゾヘ い 情報クケゾヘコゥポモゾ゛責任者及び情報
クケゾヘコゥポモゾ゛管理者 緊急連絡先 連絡手段 連絡内容を含 緊急連絡 網を整備 る
強化遵 事
(e) 統括情報コゥポモゾ゛責任者 害等 い 府省庁 外部 ら報告を る
窓口を設置 窓口 連絡手段を府省庁外 公表 る
(2) 害等 発生時 る報告 応急措置 基曓遵 事
(a) 行 事 従事者 害等 発生を知 場合 れ る者 連絡
る 統括情報コゥポモゾ゛責任者 定 報告手 より 情報コゥポ
モゾ゛責任者 を報告 る
(b) 行 事 従事者 害等 発生 対処手 暼無を確認 れを実施
る場合 手 従う
(c) 行 事 従事者 害等 発生 場合 あ 当 害等 い 対処手
い 及び 暼無を確認 い 対処 い 指示を
る 害等 よる被害 大防 努 る 指示 あ 場合
指示 従う
(3) 害等 原因調査 再発防 策 基曓遵 事
(a) 情報コゥポモゾ゛責任者 害等 発生 場合 害等 原因を調査
再発防 策を策定 結果を報告書 暷高情報コゥポモゾ゛責任者 報
告 る
(b) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 ら 害等 い
報告を 場合 内容を検討 再発防 策を実施 る 必要
措置を講 る
2.3 評価
2.3.1 情報セキュ テ 対策の自己 検
遵守事項
(1) 自己 検 る 度計画 策定 基曓遵 事
(a) 統括情報コゥポモゾ゛責任者 度自己 検計画を策定 暷高情報コゥポモ ゾ゛責任者 認を得る
(2) 自己 検 実施 る準備 基曓遵 事
(a) 情報コゥポモゾ゛責任者 行 事 従事者 自己 検票及び自己 検 実 施手 を整備 る
(3) 自己 検 実施 基曓遵 事
(a) 情報コゥポモゾ゛責任者 統括情報コゥポモゾ゛責任者 定 る 度自己 検
計画 基 行 事 従事者 対 自己 検 実施を指示 る
(b) 行 事 従事者 情報コゥポモゾ゛責任者 ら指示 れ 自己 検票及び自己 検 実施手 を用い 自己 検を実施 る
(4) 自己 検結果 評価 基曓遵 事
(a) 情報コゥポモゾ゛責任者 行 事 従事者 よる自己 検 行われ いる
を確認 結果を評価 る
(b) 統括情報コゥポモゾ゛責任者 情報コゥポモゾ゛責任者 よる自己 検 行わ
れ いる を確認 結果を評価 る
(c) 統括情報コゥポモゾ゛責任者 自己 検 結果を暷高情報コゥポモゾ゛責任者 報告 る
(5) 自己 検 基 改善 基曓遵 事
(a) 行 事 従事者 自ら 実施 自己 検 結果 基 自己 権限 範
改善 る 断 改善 情報コゥポモゾ゛責任者 を報告
る
(b) 暷高情報コゥポモゾ゛責任者 自己 検 結果を全体 評価 必要 あ る 断 場合 情報コゥポモゾ゛責任者 改善を指示 る
2.3.2 情報セキュ テ 対策の監査
遵守事項
(1) 監査計画 策定 基曓遵 事
(a) 情報コゥポモゾ゛監査責任者 度監査計画を策定 暷高情報コゥポモゾ゛ 責任者 認を得る
(2) 監査 実施 る指示 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 度監査計画 従 情報コゥポモゾ゛監査
責任者 対 監査 実施を指示 る
(b) 暷高情報コゥポモゾ゛責任者 情報コゥポモゾ゛ 状況 変化 応 必要
断 場合 情報コゥポモゾ゛監査責任者 対 度監査計画 計画 れ
外 監査 実施を指示 る
(3) 個 監査業 る監査実施計画 策定 基曓遵 事
(a) 情報コゥポモゾ゛監査責任者 度監査計画及び情報コゥポモゾ゛ 状況 変
化 応 監査 実施指示 基 個 監査業 監査実施計画を策定
る
(4) 監査 実施 る準備 基曓遵 事
(a) 情報コゥポモゾ゛監査責任者 監査業 実施 い 必要 る者を 被監 査部門 ら独立 者 ら選定 情報コゥポモゾ゛監査実施者 指 る (b) 情報コゥポモゾ゛監査責任者 必要 応 府省庁外 者 監査 一部を請
わ る (5) 監査 実施
基曓遵 事
(a) 情報コゥポモゾ゛監査実施者 情報コゥポモゾ゛監査責任者 指示 基 監査実施計画 従 監査を実施 る
(b) 情報コゥポモゾ゛監査実施者 省庁対策基準 統一基準 準 いる を 確認 る
(c) 情報コゥポモゾ゛監査実施者 実施手 省庁対策基準 準 いる を 確認 る
(d) 情報コゥポモゾ゛監査実施者 自己 検 適 性 確認を行う等 より 被監
査部門 る実 運用 情報コゥポモゾ゛ 規程 準 いる を確
認 る
(e) 情報コゥポモゾ゛監査実施者 監査調書を作成 る
(f) 情報コゥポモゾ゛監査責任者 監査調書 基 監査報告書を作成 暷高情 報コゥポモゾ゛責任者 提出 る
(6) 監査結果 対 る対処 基曓遵 事
(a) 暷高情報コゥポモゾ゛責任者 監査報告書 内容を踏 え 被監査部門 情報
コゥポモゾ゛責任者 対 指摘 れ 対 る対処 実施を指示 る
(b) 暷高情報コゥポモゾ゛責任者 監査報告書 内容を踏 え 監査を 部門
外 部門 い 種 課題及び問題 ある 能性 高 緊急
種 課題及び問題 ある を確認 る必要 ある 断 場合
部門 情報コゥポモゾ゛責任者 対 種 課題及び問題 暼無を確認
るよう 指示 る
(c) 情報コゥポモゾ゛責任者 監査報告書等 基 い 暷高情報コゥポモゾ゛責任
者 ら改善を指示 れ い 対処計画を策定 報告 る
(d) 暷高情報コゥポモゾ゛責任者 監査 結果を踏 え 既 情報コゥポモゾ゛
規程 妥当性を評価 必要 応 見直 を指示 る
2.4 見直し
2.4.1 情報セキュ テ 対策の見直し
遵守事項
(1) 情報コゥポモゾ゛対策 見直 基曓遵 事
(a) 情報コゥポモゾ゛ 規程を整備 者 各規定 見直 を行う必要性 暼無
を適時検討 必要 ある 認 場合 見直 を行う
(b) 行 事 従事者 情報コゥポモゾ゛ 規程 課題及び問題 認 られる場
合 情報コゥポモゾ゛ 規程を整備 者 相談 る
(c) 情報コゥポモゾ゛ 規程を整備 者 情報コゥポモゾ゛ 規程 課題及
び問題 認 られる 相談を 場合 必要 措置を講 る
第 部 情報に い の対策
3.1 情報の格付け
3.1.1 情報の格付け
遵守事項
(1) 情報 格付 基曓遵 事
(a) 情報コゥポモゾ゛委員会 行 事 り扱う情報 い 電磁的 録
い 機密性 完全性及び 用性 観 ら 書面 い 機密性 観 ら
当 情報 格付 及び 扱制限 指定並び 明示等 規定を整備 る
3.2 情報の取扱い
3.2.1 情報の作成 入手
遵守事項
(1) 業 外 情報 作成又 入手 禁 基曓遵 事
(a) 行 事 従事者 行 事 遂行 外 目的 情報を作成 又 入手 い
(2) 情報 作成又 入手時 る格付 決定 扱制限 検討 基曓遵 事
(a) 行 事 従事者 情報 作成時 当 情報 機密性 完全性 用性 応 格付 を行い あわ 扱制限 必要性 暼無を検討 る
(b) 行 事 従事者 府省庁外 者 作成 情報を入手 管理を開始 る時
当 情報 機密性 完全性 用性 応 格付 を行い あわ 扱制限
必要性 暼無を検討 る
(3) 格付 扱制限 明示等 基曓遵 事
(a) 行 事 従事者 情報 格付 を 当 情報 参照 許 れ いる者 認識
る方法を用い 明示等 必要 応 扱制限 い 明示等 る
(4) 格付 扱制限 基曓遵 事
(a) 行 事 従事者 情報を作成 る 既 格付 れ 情報を引用 る場合 当 情報 格付 及び 扱制限を る
(5) 格付 扱制限 変更 基曓遵 事
(a) 行 事 従事者 情報 格付 を変更 る必要性 ある 思料 る場合
当 情報 作成者又 入手者 相談 る 相談 れ 者 格付 見直
を行う必要 ある 認 場合 当 情報 対 妥当 格付 を行う
(b) 行 事 従事者 情報 扱制限を変更 る必要性 ある 思料 る場合
当 情報 作成者又 入手者 相談 る 相談 れ 者 扱制限 見直
を行う必要 ある 認 場合 当 情報 対 新 扱制限を決定
る
3.2.2 情報の利用
遵守事項
(1) 業 外 利用 禁 基曓遵 事
(a) 行 事 従事者 行 事 遂行 外 目的 情報を利用 い
(2) 格付 及び 扱制限 従 情報 扱い 基曓遵 事
(a) 行 事 従事者 利用 る情報 明示等 れ 格付 従 当 情報を適
り扱う 格付 加え 扱制限 明示等 れ いる場合
当 扱制限 指示内容 従 り扱う
(3) 要保護情報 扱い 基曓遵 事
(a) 行 事 従事者 行 事 遂行 外 目的 要保護情報を府省庁外 持
出 い
(b) 行 事 従事者 要保護情報を 置 い
(c) 行 事 従事者 機密性 情報を必要 複製 い (d) 行 事 従事者 要機密情報を必要 配付 い 強化遵 事
(e) 行 事 従事者 機密性 情報 機密性 情報 り扱う期間を明
る 期間中 あ 情報 格付 を る必要性 ある
思料 れる場合 格付 変更 必要 処理を行う
(f) 行 事 従事者 機密性 情報 ある書面 一連番 を付 在を
明ら
3.2.3 情報の保存
遵守事項
(1) 格付 応 情報 保 基曓遵 事
(a) 行 事 従事者 電磁的 録媒体 保 れ 要保護情報 い 適 ゚ ェコケ制御を行う
(b) 行 事 従事者 情報 格付 応 情報 保 れ 電磁的 録媒体を 適 管理 る
(c) 行 事 従事者 情報クケゾヘ 入力 れ 情報若 情報クケゾヘ ら出 力 情報を 載 書面 う 要機密情報 ある書面 又 重要 設計書を適
管理 る