「政府機関の情報セキュリティ対策のための統一基準（第３版）」解説書

府機 情報コゥポモゾ゛対策

統一基準(第 年 )

解 書

官 情報コゥポモゾ゛コンシヴ

目 _-1

目

第 部 総則... 1

1.1.1 ^{曓統一基準 置付} ... 1

(1) ^{府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付} .. 1

(2) ^{曓統一基準 改訂}... 1

(3) ^{法 等 遵} ... 1

1.1.2 ^{曓統一基準 使い方}... 2

(1) ^{曓統一基準 省庁対策基準} ... 2

(2) ^{適用対象範} ... 2

(3) ^全体構 ... 2

(4) ^{対策 目 載} ... 3

(5) ^{対策ヤパャ 設} ... 3

(6) ^{評価 方法}... 3

1.1.3 ^{用語 義}... 4

第 部 組織 体 整備... 9

2.1 ^入... 9

2.1.1^{組織ン体 整備}... 9

趣 必要性 ... 9

遵 ... 9

(1) ^{暷高情報コゥポモゾ゛ 任者 設置}... 9

(2) 情報コゥポモゾ゛委員会 設置... 10

(3) ^{情報コゥポモゾ゛ 査 任者 設置}... 10

(4) ^{情報コゥポモゾ゛ 任者 設置}... 11

(5) 情報クケゾヘコゥポモゾ゛ 任者 設置... 12

(6) 情報クケゾヘコゥポモゾ゛管理者 設置... 12

(7) ^{課室情報コゥポモゾ゛ 任者 設置}... 12

2.1.2^{役割 割当} ... 13

趣 必要性 ... 13

遵 ... 13

(1) ^{兼 を禁 る役割 規} ... 13

(2) ^{よる 認ン許} ... 14

2.1.3 ^例外措置... 14

趣 必要性 ... 14

遵 ... 14

(1) ^対処... 14

(2) ^例外措置... 15

2.2 ^運用... 19

2.2.1^{情報コゥポモゾ゛対策 教育}... 19

趣 必要性 ... 19

目 _-2

遵 ... 19

(1) ^{情報コゥポモゾ゛対策 教育 実施}... 19

(2) ^{情報コゥポモゾ゛対策 教育 講}... 21

2.2.2 ^{害等 対処}... 21

趣 必要性 ... 21

遵 ... 21

(1) ^{害等 生 備え 前準備}... 21

(2) ^{害等 生時 る報告 応急措置}... 23

(3) ^{害等 原因調査 再 防 策}... 23

2.3 ^評価... 24

2.3.1 ^{情報コゥポモゾ゛対策 自己 検}... 24

趣 必要性 ... 24

遵 ... 24

(1) ^{自己 検 る 計画 策} ... 24

(2) ^{自己 検 実施 る準備}... 25

(3) ^{自己 検 実施}... 25

(4) ^{自己 検結果 評価}... 25

(5) ^{自己 検 基 改善}... 26

2.3.2 ^{情報コゥポモゾ゛対策 査}... 26

趣 必要性 ... 26

遵 ... 26

(1) ^{査計画 策} ... 26

(2) ^{査 実施 る指示}... 27

(3) ^{個 査業 る 査実施計画 策} ... 27

(4) ^{査 実施 る準備}... 28

(5) ^{査 実施}... 29

(6) ^{査結果 対 る対処}... 30

2.4 ^見直 ... 32

2.4.1 ^{情報コゥポモゾ゛対策 見直} ... 32

趣 必要性 ... 32

遵 ... 32

(1) ^{情報コゥポモゾ゛対策 見直} ... 32

第 部 情報 い 対策... 34

3.1 ^{情報 格付} ... 34

3.1.1 ^{情報 格付} ... 34

趣 必要性 ... 34

遵 ... 34

(1) ^{情報 格付} ... 34

3.2 ^{情報 扱い}... 35

3.2.1 ^{情報 作 入手}... 35

目 _-3

趣 必要性 ... 35

遵 ... 35

(1) ^{業 外 情報 作 又 入手 禁} ... 35

(2) ^{情報 作 又 入手時 る格付 決 扱 限 検討}... 35

(3) ^{格付 扱 限 明示等}... 36

(4) ^{格付 扱 限} ... 36

(5) ^{格付 扱 限 変更}... 36

3.2.2 ^{情報 利用}... 37

趣 必要性 ... 37

遵 ... 38

(1) ^{業 外 利用 禁} ... 38

(2) ^{格付 及 扱 限 従 情報 扱い}... 38

(3) ^{要保護情報 扱い}... 38

3.2.3 ^{情報 保} ... 39

趣 必要性 ... 39

遵 ... 39

(1) ^{格付 応 情報 保} ... 39

(2) ^{情報 保 期間}... 41

3.2.4 ^{情報 移} ... 41

趣 必要性 ... 41

遵 ... 41

(1) ^{情報 移 る許 及 届出}... 41

(2) ^{情報 信 運 選択}... 42

(3) ^{移 手段 決} ... 42

(4) ^{書面 保護対策}... 43

(5) ^{電磁的 録 保護対策}... 43

3.2.5 ^{情報 提供}... 44

趣 必要性 ... 44

遵 ... 44

(1) ^{情報 公表}... 44

(2) ^{者 情報 提供}... 45

3.2.6 ^{情報 消去}... 46

趣 必要性 ... 46

遵 ... 46

(1) ^{電磁的 録 消去方法}... 46

(2) ^{書面 廃棄方法}... 47

第 部 情報コゥポモゾ゛要件 明確化 基 対策... 48

4.1 ^{情報コゥポモゾ゛ い 機能}... 48

4.1.1^{主体認証機能}... 48

趣 必要性 ... 48

目 _-4

遵 ... 48

(1) ^{主体認証機能 入}... 48

(2) ^{識 カヴチ 管理}... 53

(3) ^{主体認証情報 管理}... 55

4.1.2 ^{゚ェコケ 御機能}... 57

趣 必要性 ... 57

遵 ... 57

(1) ^{゚ェコケ 御機能 入}... 57

(2) ^{適 ゚ェコケ 御}... 58

4.1.3 ^{限管理機能}... 59

趣 必要性 ... 59

遵 ... 59

(1) ^{限管理機能 入}... 59

(2) ^{識 カヴチ 主体認証情報 付 管理}... 60

(3) ^{識 カヴチ 主体認証情報 る 暶手段等 適用}... 62

4.1.4 ^{証跡管理機能}... 63

趣 必要性 ... 63

遵 ... 64

(1) ^{証跡管理機能 入}... 64

(2) ^{証跡 得 保} ... 66

(3) ^{得 証跡 検 析及 報告}... 67

(4) ^{証跡管理 る利用者 周知}... 68

4.1.5^{保証 機能}... 68

趣 必要性 ... 68

遵 ... 68

(1) ^{保証 機能 入}... 68

4.1.6^{暗 電子署 鍵管理を含} ... 69

趣 必要性 ... 69

遵 ... 69

(1) ^{暗 化機能及 電子署 付 る方式 整備}... 69

(2) ^{暗 化機能及 電子署 付 機能 入}... 71

(3) ^{暗 化及 電子署 付 る管理}... 73

(4) ^{暗 化機能及 電子署 付 機能 利用}... 74

4.2 ^{情報コゥポモゾ゛ い 威}... 75

4.2.1 コゥポモゾ゛ビヴャ対策... 75

趣 必要性 ... 75

遵 ... 75

(1) ^{情報クケゾヘ 構築時}... 75

(2) ^{情報クケゾヘ 運用時}... 76

4.2.2 ^{ハュエメヘ対策}... 78

目 _-5

趣 必要性 ... 78

遵 ... 78

(1) ^{情報クケゾヘ 構築時}... 78

(2) ^{情報クケゾヘ 運用時}... 80

4.2.3 ^{キヴニケ 能攻撃対策}... 82

趣 必要性 ... 82

遵 ... 82

(1) ^{情報クケゾヘ 構築時}... 82

(2) ^{情報クケゾヘ 運用時}... 84

4.2.4 ^{踏 対策}... 84

趣 必要性 ... 84

遵 ... 85

(1) ^{情報クケゾヘ 構築時}... 85

(2) ^{情報クケゾヘ 運用時}... 85

4.3 ^{情報クケゾヘ コゥポモゾ゛要件}... 87

4.3.1 ^{情報クケゾヘ コゥポモゾ゛要件}... 87

趣 必要性 ... 87

遵 ... 87

(1) ^{情報クケゾヘ 計画}... 87

(2) ^{情報クケゾヘ 構築ン運用}... 89

(3) ^{情報クケゾヘ 移行ン廃棄}... 90

(4) ^{情報クケゾヘ 見直} ... 90

(5) ^{情報クケゾヘ 帳整備}... 90

第 部 情報クケゾヘ 構 要素 い 対策... 92

5.1 ^{施設 環境}... 92

5.1.1 ^{電子計算機及 通信回線装置を設置 る 全区域}... 92

趣 必要性 ... 92

遵 ... 92

(1) ^{立入り及 出 管理}... 92

(2) ^{訪問者及 渡業者 管理}... 93

(3) ^{電子計算機及 通信回線装置 コゥポモゾ゛確保}... 94

(4) ^{全区域 コゥポモゾ゛管理}... 96

(5) ^{災害及 害 対策}... 97

5.2 ^{電子計算機}... 98

5.2.1 ^{電子計算機共通対策}... 98

趣 必要性 ... 98

遵 ... 98

(1) ^{電子計算機 設置時}... 98

(2) ^{電子計算機 運用時}... 100

(3) ^{電子計算機 運用終了時}... 102

目 _-6

5.2.2 ^端曒... 102

趣 必要性 ...102

遵 ... 102

(1) ^{端曒 設置時}... 102

(2) ^{端曒 運用時}... 103

5.2.3 ^{キヴト装置}... 104

趣 必要性 ...104

遵 ... 105

(1) ^{キヴト装置 設置時}... 105

(2) ^{キヴト装置 運用時}... 106

5.3 ゚ハモォヴクミンサネダゞゟ゚... 108

5.3.1 ^{通信回線を 提供} る゚ハモォヴクミン共通対策... 108

趣 必要性 ...108

遵 ... 108

(1) ^{゚ハモォヴクミン 入時}... 108

(2) ^{゚ハモォヴクミン 運用時}... 108

5.3.2 ^{電子ベヴャ}... 108

趣 必要性 ...108

遵 ... 109

(1) ^{電子ベヴャ 入時}... 109

(2) ^{電子ベヴャ 運用時}... 109

5.3.3 ^ゞゟノ... 110

趣 必要性 ... 110

遵 ... 110

(1) ^{ゞゟノ 入時}... 110

(2) ^{ゞゟノ 運用時}... 111

5.3.4 チベ゜ンヅヴヘクケゾヘ _DNS ... 112

趣 必要性 ... 112

遵 ... 112

(1) DNS ^入時... 112

(2) DNS ^運用時... 113

5.4 ^通信回線... 114

5.4.1 ^{通信回線共通対策}... 114

趣 必要性 ... 114

遵 ... 114

(1) ^{通信回線 構築時}... 114

(2) ^{通信回線 運用時}... 117

(3) ^{通信回線 運用終了時}... 119

5.4.2 ^{府省庁 通信回線 管理}... 119

趣 必要性 ... 119

目 _-7

遵 ... 119

(1) ^{府省庁 通信回線 構築時}... 119

(2) ^{府省庁 通信回線 運用時}... 120

(3) ^{回線 対策}... 120

5.4.3 ^{府省庁外通信回線 接} ... 121

趣 必要性 ...121

遵 ... 122

(1) ^{府省庁 通信回線 府省庁外通信回線 接 時}... 122

(2) ^{府省庁外通信回線 接 いる府省庁 通信回線 運用時}... 122

第 部 個 い 対策... 124

6.1 ^{調 ン開} わる情報コゥポモゾ゛対策... 124

6.1.1 ^{機器等 購入}... 124

趣 必要性 ...124

適用範 ... 124

遵 ... 124

(1) ^{情報コゥポモゾ゛確保 府省庁 共通 組 整備}... 124

(2) ^{機器等 購入 実施 る手} ... 125

6.1.2 ^外部委 ... 125

趣 必要性 ...125

適用範 ... 126

遵 ... 126

(1) ^{情報コゥポモゾ゛確保 府省庁 共通 組 整備}... 126

(2) ^{委 実施} る情報コゥポモゾ゛対策 明確化... 127

(3) ^{委 選} ... 128

(4) ^{外部委 る契約}... 128

(5) ^{外部委 実施 る手} ... 130

(6) ^{外部委 終了時 手} ... 131

6.1.3 ^{サネダゞゟ゚開} ... 132

趣 必要性 ...132

遵 ... 132

(1) ^{サネダゞゟ゚開 体 確立時}... 132

(2) ^{サネダゞゟ゚開 開始時}... 133

(3) ^{サネダゞゟ゚ 設計時}... 133

(4) ^{サネダゞゟ゚ 作 時}... 135

(5) ^{サネダゞゟ゚ 試 時}... 136

6.2 ^個 ... 137

6.2.1 ^{府省庁外 情報処理 限}... 137

趣 必要性 ...137

遵 ... 137

(1) ^{全管理措置 い 規 整備}... 137

目 _-8

(2) ^{許 及 届出 得及 管理}... 137

(3) ^{全管理措置 遵} ... 140

6.2.2 ^{府省庁支給 外 情報クケゾヘ よる情報処理 限}... 140

趣 必要性 ...140

遵 ... 141

(1) ^{全管理措置 い 規 整備}... 141

(2) ^{許 及 届出 得及 管理}... 141

(3) ^{全管理措置 遵} ... 142

6.2.3^{情報クケゾヘ} IPv6 ^{術 入 る対策}... 143

趣 必要性 ...143

遵 ... 143

(1) IPv6^{移行機構 ら 弱性対策}... 143

(2) ^{意 い}IPv6^{通信 抑} ... 144

6.3 ... 146

6.3.1 ^{府省庁外 情報コゥポモゾ゛水準 を招 行 防} ... 146

趣 必要性 ...146

遵 ... 146

(1) ^{措置 い 規 整備}... 146

(2) ^{措置 遵} ... 148

6.3.2^{業 計画 整合的運用 確保}... 148

趣 必要性 ...148

適用範 ... 148

遵 ... 148

(1) ^{府省庁 る業 計画 整備計画 把握}... 148

(2) ^{業 計画 情報コゥポモゾ゛対策 整合性 確保}... 149

(3) ^{業 計画 情報コゥポモゾ゛ 規程 整合 報告}... 151

6.3.3 ^{チベ゜ン 使用 い 対策}... 152

趣 必要性 ...152

遵 ... 152

(1) ^{チベ゜ン 使用}... 152 A.1 ^{解 書 添資料}

A.1.1 ^{組織ン体 ゜ベヴグ}

A.1.2 ^{曓統一基準 る情報 格付 一覧} A.1.3 ^{情報コゥポモゾ゛対策 る 府決 等} A.1.4 ^用語解

1

第 部 総則

1.1.1 ^{統一基準の 置付け}

(1) ^{府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付}

各府省庁 情報コゥポモゾ゛ 確保 い 各府省庁 自ら 任 い 対策

を講 い 原則 ある 府機 全体 情報コゥポモゾ゛対策を強化ン

る 府機 情報コゥポモゾ゛対策 強化 る基曓方針

暻 日付情報コゥポモゾ゛ 策会議決 基 府機 行う 情報

コゥポモゾ゛対策 統一的 枠組 を構築 各府省庁 情報コゥポモゾ゛水準 斉一

的 引 を る 必要 ある 曓統一基準 府機 統一的 枠組

中 各府省庁 情報コゥポモゾ゛ 確保 る 対策 及 水準を

更 高 る 対策 基準を ある

(2) ^{曓統一基準 改訂}

情報コゥポモゾ゛ 水準を適 維持 い 状況 変化を的確 らえ

れ 応 情報コゥポモゾ゛対策 見直 を る 重要 ある 曓統一基準

い れを各府省庁 い れ れ 府省庁 特性を踏 え 省庁対策基準

及 実施手 整備 活用 情報コゥポモゾ゛対策 評価 使用 る より

曓統一基準 容を追 ン修 等 明ら る 考えられる

情報 術 歩 応 曓統一基準 載 る情報コゥポモゾ゛対策を変更 る

必要 り得る

曓統一基準 見直 を 期的 行い 必要 応 目 追 や 容

実等を る よ 適用性を将来 わ り維持 る る

各府省庁 い 曓統一基準 更新 れ 場合 容を省庁対策基準 適

映 る必要 ある (3) ^{法 等 遵}

情報及 情報クケゾヘ 扱い 法 及 規則等 連法 等

いう い 規 れ いる 情報コゥポモゾ゛対策を実施 る 曓統

一基準 連法 等を遵 れ ら い れら 連法 等 情報

コゥポモゾ゛対策 わら 当然 遵 ある 曓統一基準 あ

え 連法 等 遵 い 明 い い 情報コゥポモゾ゛対策 る

容 い 既 府決 等 い 様 遵 る

解 既 府決 等 い 曓書 添資料_A.1.3を参照

2

1.1.2 ^{統一基準の使い方}

(1) ^{曓統一基準 省庁対策基準}

曓統一基準 府省庁 情報コゥポモゾ゛ 確保 る 対策 及

水準を更 高 る 対策 基準を ある

各府省庁 い 曓統一基準 られ 情報コゥポモゾ゛確保を目標

現行 情報コゥポモゾ゛ 規程 い 必要 見直 を行う る

各府省庁 い 曓統一基準 られ いる 容を合理的 理由 省庁

対策基準 映 い いう あ ら い 各府省庁 各府省庁 特性

を踏 え 省庁対策基準 盛り込 容を決 曓統一基準を直接参照 る

曓統一基準を り込 又 構 や表現を変え 盛り込 等 方法 より適

映 る る

(2) ^{適用対象範}

曓統一基準 適用 れる対象範 を よう る

(a) ^{曓統一基準 情報 を る を目的 作 れ いる 曓統一基準 い}

情報 情報クケゾヘ 部 録 れ 情報 情報クケゾヘ外部 電磁的

録媒体 録 れ 情報及 情報クケゾヘ ある書面 載 れ 情報

をいう 作業途 文書 適用対象 あり 書面 載 れ 情報

電磁的 録 れ いる情報を 載 書面 情報クケゾヘ 入力 れ

情報を 載 書面 情報クケゾヘ ら出力 情報を 載 書面 及 情報

クケゾヘ る設計書 含 れる

(b) ^{曓統一基準 行 従 者 適用 れる 曓統一基準 い 行 従}

者 府職員及 れ れ 府省庁 指揮 服 いる者 う

れ れ 府省庁 管理対象 ある情報及 情報クケゾヘを り扱う者をいう

(c) ^{曓統一基準 い 府省庁 官 法 局 人 院 府}

宮 庁 公 引委員会 国家公 委員会 警察庁 金融庁 総 省 法 省 外 省 省 文部科学省 厚生労働省 農林水産省 経済産業省 国土交通 省 環境省及 防衛省をいう

(3) ^全体構

曓統一基準 部 節及 よ 構 れる

曓統一基準 情報コゥポモゾ゛対策を 組織 体 構築 情報 い 対策

情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ 構 要素 い

対策 個 い 対策 部 類 ら 容 応 節 対

策 目 対策基準を いる

(a) ^{組織 体 整備 組織全体} 情報コゥポモゾ゛対策を実施 る

当 り 実施体 や評価手 や例外措置 組織 構築 課題

を り 組織 運用 る各職員 限 を明確 る

(b) ^{情報 い 対策 情報 作 利用 保 移 提供及 消去等}

3

い 情報 メ゜ネキ゜ェャ 着目 各段 い 遵 を

各職員 業 中 常 実施 る情報保護 対策を示

(c) ^{情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ い}

゚ェコケ 御 観 入 コゥポモゾ゛機能を示 コゥポモ

ゾ゛ビヴャ ハュエメヘ及 キヴニケ 能攻撃等 威を防 遵

を 情報クケゾヘ い 講 対策を示

(d) ^{情報クケゾヘ 構 要素 い 対策 電子計算機及 通信回線等}

個 情報クケゾヘ 特性及 メ゜ネキ゜ェャ 観 ら れ れ遵

を 情報クケゾヘ い 講 対策を示

(e) ^{個 い 対策 調 ン開 や府省庁外 情報処理等 特}

情報コゥポモゾ゛ 配慮 求 られる個 象 着目 れ れ遵

を る

(4) ^{対策 目 載}

曓統一基準 各府省庁 行う 対策基準 い 対策 目 遵 を

示

(5) ^{対策ヤパャ 設}

情報コゥポモゾ゛対策 い 対象 る情報資産 重要性や り巻 威 大

よ 必要 れる対策 一様 い 当 る情報クケゾヘ及 業

特性 応 各対策 目 適 強 対策を実施 ある

曓統一基準 い 各対策 目 対策 強 段 を設 る 遵 を

いる 段 を 対策ヤパャ よう 義 る

(a) ^{基曓遵 保護 情報 れを り扱う情報クケゾヘ い}

必須 実施 対策

(b) ^{強化遵 特 重要 情報 れを り扱う情報クケゾヘ い}

各府省庁 い 必要性 暼無を検討 必要 認 られる

選択 実施 対策

より 各府省庁 基曓遵 対策を実施 る る 当 情報

クケゾヘ及 業 特性を踏 え モケェを十 案 対策 目 適

対策ヤパャを選択 れ ら い

(6) ^{評価 方法}

情報コゥポモゾ゛対策 一過性 遅滞 的 組 を実施

る ある 重要 ある 各府省庁 い 曓統一基準 基

期的又 案等 生 状況 応 情報コゥポモゾ゛ 査を行い

を確認 る必要 ある

(a) ^{省庁対策基準 統一基準 準 容 いる 設計 準 性確認}

(b) ^{実 運用 省庁対策基準 準 いる 運用 準 性確認}

(c) ^{省庁対策基準 容 モケェ 応 適 ある 効率的 容 ある}

4

あるい 実現困 容 い い ₍設計 妥当性確認₎

(d) ^{実 運用 モケェ 応 暼効 効率的 ある 運用 妥当性確認}

特 各府省庁 情報コゥポモゾ゛ 査 い 設計及 運用 準 性確認を

第一 目的 る 査 過程 い 設計及 運用 妥当性 連

改善 思われる 見 れ 場合 れを要検討 る 望

い 曓統一基準 い 実施 者を 体的 示 遵 を い

る 対策 実施状況 い 各自 役割 応 自己 検を実施 る る

情報コゥポモゾ゛対策 い 各自 れ れ 役割を十 実行 る

あり 各自 る対策 実効性を確保 る 自己 検を活用 る あ

る 各府省庁 査を行う 自己 検 適 を確認 運用

準 性確認 用いる る

情報コゥポモゾ゛対策 実施 い 原則 各府省庁 任 い

運用 る 大前提 ある 府機 全体 情報コゥポモゾ゛対策

観 ら 各府省庁 対策 実施状況及 査結果 い 官 情報コゥポモゾ゛

コンシヴ 報告を行う る ら 官 情報コゥポモゾ゛コンシヴ 曓

統一基準 る評価指標 基 各府省庁 情報コゥポモゾ゛ 規程 整備状況

及 対策実施状況 い 期的又 必要 応 検査 評価 る る

対象 る情報クケゾヘ 範 い 官 情報コゥポモゾ゛コンシヴ 各府省

庁 議 る る

1.1.3 ^用語定義

あ

z ^{゚ェコケ 御 主体 よる゚ェコケを許 る客体を 限 る をいう}

z ^{全区域 電子計算機及 通信回線装置を設置 室又 キヴトャヴヘ}

等 部 あ 部外者 侵入や自然災害 生等を原因 る情報コゥポモゾ゛

侵害 対 施設及 環境面 ら対策 講 られ いる区域をいう

z ^{委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部又}

全部を請 者をいう

z ^{渡業者 全区域 職 従 る行 従 者 物品 渡 を}

目的 者をいう 物品 渡 宅配便 配 用品 納入等 考

えられる

z ^{外部委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部}

又 全部を府省庁外 者 請 わ る をいう

z ^{用性 情報 ゚ェコケを認 られ 者 必要時 中断 る}

情報及 連資産 ゚ェコケ る状態を確保 る をいう

z ^{用性 情報 用性 情報 外 情報 書面を をいう}

5

z ^{用性 情報 行 り扱う情報 書面を う 滅失}

紛失又 当 情報 利用 能 ある より 国民 利 侵害 れ又 行

的 遂行 支 軽微 を を及 れ ある情報をいう

z ^{完全性 情報 破壊 改 ん又 消去 れ い い状態を確保 る をい}

う

z ^{完全性 情報 完全性 情報 外 情報 書面を をいう}

z ^{完全性 情報 行 り扱う情報 書面を う 改 ん}

誤 ゅう又 破損 より 国民 利 侵害 れ又 行 適確 遂行 支 軽

微 を を及 れ ある情報をいう

z ^{機器等 情報機器等及 サネダゞゟ゚をいう}

z ^{機密性 情報 ゚ェコケを認 られ 者 れ ゚ェコケ}

る状態を確保 る をいう

z ^{機密性 情報 機密性 情報又 機密性 情報 外 情報をいう}

z ^{機密性 情報 行 り扱う情報 う 秘密文書 相当 る機密性}

要 い 漏えい より 国民 利 侵害 れ又 行 遂行 支

を及 れ ある情報をいう

z ^{機密性 情報 行 り扱う情報 う 秘密文書 相当 る機密性}

を要 る情報をいう

z ^{共用識 カヴチ 複数 主体 共用 る を想 識 カヴチをいう}

原則 識 カヴチ 主体 対 付 れる ある

情報クケゾヘ 約や 利用状況 を考慮 識 カヴチを複数 主体

共用 る場合 ある よう 共用 れる識 カヴチを共用識 カヴチ いう

z ^{録媒体 情報 録 れ 又 載 れる をいう 録媒体}

書面 書類 文 形等人 知覚 よ 認識 る る情報

載 れ 紙 暼体物 書面 いう 電子的方式 磁気的方式

人 知覚 よ 認識 る い方式 作られる 録 あ 電子計

算機 よる情報処理 用 供 れる 電磁的 録 いう る 録媒

体 電磁的 録媒体 いう ある 電磁的 録媒体 電子計算

機や通信回線装置 蔵 れる 蔵電磁的 録媒体 外付 デヴチタ゛ケェ －

Ｖ _{MO USB}ベペモ ネメセクポベペモ等 外部電磁的 録媒体 ある

z ^{限管理 主体認証 る情報 識 カヴチ及 主体認証情報を含 及}

゚ェコケ 御 る許 情報を管理 る をいう

z ^{公開 れ コゥポモゾ゛ビヴャ 誰 知り得る状態 置 れ いるコゥポ}

モゾ゛ビヴャ あり サネダゞゟ゚やデヴチゞゟ゚ 製 ン提供元等 ら公表

れ コゥポモゾ゛ビヴャ 又 _JPCERT カヴタ゛ヅヴクミンコンシヴ等 コゥポモ ゾ゛ 連機 ら公表 れ コゥポモゾ゛ビヴャ 当 る

z ^{キヴニケ キヴト装置 動作 いる゚ハモォヴクミン より 接}

電子計算機 対 提供 れる単 又 複数 機能 構 れる機能群をいう

6

z ^{暷少特 機能 管理者 限を実行 る範 を管理作業 必要 暷少 範}

限 る機能をいう

z ^{識 情報クケゾヘ ゚ェコケ る主体を特 る をいう}

z ^{識 カヴチ 主体を識 る 情報クケゾヘ 認識 るカヴチ 符}

をいう 表的 識 カヴチ マヴギ_ID 挙 られる

z ^{重要 設計書 情報クケゾヘ る設計書 う 当 情報クケゾヘ 適}

管理 必要 あり 紛失 漏えい等 より 行 遂行 支 を

及 をいう

z ^{主体 情報クケゾヘ ゚ェコケ る者や 情報クケゾヘ及 装置等をい}

う 主体 主 人 ある場合を想 いる 複数 情報クケゾヘや装置

連動 動作 る場合 情報クケゾヘ ゚ェコケ る主体 情報ク

ケゾヘや装置 含 る る

z ^{主体認証 識 カヴチを提示 主体 識 カヴチを付 れ 主体}

わ 当 主体 ある 否 を検証 る をいう 識 カヴチ い

方法 主体認証情報 提示 れ 場合 主体認証 情報クケゾヘ

れらを提示 主体を 当 主体 認識 る 認証 いう用語

公的又 第 者 証明 る いう意味を持 曓統一基準 る 主体認証

い 公的又 第 者 よる証明 限る い

z ^{主体認証情報 主体認証を る 主体 情報クケゾヘ 提示 る情報}

をいう 表的 主体認証情報 ドケワヴチ等 ある

z ^{主体認証情報格納装置 主体認証情報を格納 装置 あり 当 主体}

暼又 保持 る装置をいう 暼 よる主体認証 れを 暼 いる

情報クケゾヘ 主体を 当 主体 認識 る

表的 主体認証情報格納装置 磁気ケダメ゜ハィヴチやＩ ィヴチ等 ある

z ^{省庁対策基準 各府省庁 情報資産 適用 る情報コゥポモゾ゛対}

策 基準をいう

z ^{情報クケゾヘ 情報処理及 通信 るクケゾヘをいう}

z ^{情報コゥポモゾ゛ 規程 省庁対策基準及 省庁対策基準 られ 対}

策 容を 体的 情報クケゾヘや業 い よう 手 従 実行 い

い 実施手 をいう

z ^{情報 移 府省庁外 電磁的 録 れ 情報を 信 る 並 情}

報を 録 電磁的 録媒体及 書面を運 る をいう

z ^{府職員 人 を 行 従 る者をいう}

z ^{サネダゞゟ゚ 電子計算機を動作 る手 及 を電子計算機 理解}

る形式 述 をいう アヒヤヴゾ゛ンエクケゾヘ アヒヤヴゾ゛ンエクケ

ゾヘ 動作 る゚ハモォヴクミンを含 広義 意味 ある

z ^{端曒 端曒を利用 る行 従 者} 直接操作を行う電子計算機 アヒヤ

ヴゾ゛ンエクケゾヘ及 接 れる周辺機器を含 あり いわゆる_PC

7 PDA^{等 当 る}

z ^{通信回線 れを利用 複数 電子計算機を接 通信様式 従}

情報を 信 る 組 をいう 回線及 通信回線装置 接 より構

れ 通信回線 を物理的 通信回線 いい 物理的 通信回線 構 れ

電子計算機間 通信様式 従 情報を 信 能 通信回線 を論理的

通信回線 いう

z ^{通信回線装置 回線 接 設置 れ 電子計算機 より回線 を}

信 れる情報 御を行う 装置をいう いわゆるモヌヴシデノ ケ゜セスン

エデノ及 ャヴシ ネ゙゜゚ゞァヴャ等 当 る

z ^{電子計算機 カンヌポヴシ全般 を指} アヒヤヴゾ゛ンエクケゾヘ及

接 れる周辺機器を含 キヴト装置及 端曒をいう

z ^{扱 限 情報 扱い る 限 あ 複製禁 持出禁 再配}

付禁 暗 化必須 廃棄 情報 適 扱いを確実 る 手段を

いう

z ^{複 数 要 素 複 合 主 体 認 証} multiple factors authentication / composite authentication ^{方式 知識 暼 生体情報 う 複数 方法 組合}

より主体認証を行う方法 ある

z ^{府省庁外 府職員 各々 属 る府省庁 管理 る組織又 庁舎 外を}

いう

z ^{府省庁外通信回線 物理的 通信回線を構 る回線 暼線又 無線 現実}

又 仮想及 府省庁管理又 組織管理 及 通信回線装置を問わ 府省庁 管理 い い電子計算機 接 れ 当 電子計算機間 通信 利用 る論理的 通信 回線をいう

z ^{府省庁外 情報処理 府省庁 管理部外 行 遂行 情報処}

理を行う をいう アンメ゜ン 府省庁外 ら 府職員 各々 属 る府

省庁 情報クケゾヘ 接 情報処置を行う場合 アネメ゜ン 行

う場合 含 る

z ^{府省庁支給 外 情報クケゾヘ 府職員 各々 属 る府省庁 支給}

る情報クケゾヘ 外 情報クケゾヘをいう いわゆる私物 _PC 当 府省庁

出向者 対 出向元組織 提供 る情報クケゾヘ 含 る

z ^{府省庁支給 外 情報クケゾヘ よる情報処理 府省庁支給 外 情報クケ}

ゾヘを用い 行 遂行 情報処理を行う をいう 直接装置等

を用いる場合 れら装置等 よ 提供 れ いるキヴニケを利用

る場合 含 る いうキヴニケ 個人 契約 いる電子ベヴャ

キヴニケ等 あり 例え 府省庁 業 要 る電子ベヴャを 個人 契約

いる電子ベヴャキヴニケ 転 業 を行 り 個人 ベヴャ ら業 ベ

ヴャを 信 り る ある

z ^{府省庁 府職員 各々 属 る府省庁 管理 る組織又 庁舎 を}

8 いう

z ^{府省庁 通信回線 物理的 通信回線を構 る回線 暼線又 無線 現実}

又 仮想及 府省庁管理又 組織管理 及 通信回線装置を問わ 府省庁 管理 る電子計算機を接 当 電子計算機間 通信 利用 る論理的 通信回線をい う

z ^{ハュエメヘ カンヌポヴシゞ゜ャケ ケド゜ゞゟ゚等 電子計算機を利}

用 る者 意 い結果を電子計算機 ら サネダゞゟ゚ 総称をいう

z ^{ハュエメヘ 義ネ゙゜ャ} ゚ンスゞ゜ャケサネダゞゟ゚等 ハュエ

メヘを る 利用 るタヴシをいう

z ^{明示等 情報を り扱う 者 当 情報 格付 い 共通 認識}

るよう 措置 る をいう 情報 格付 を 載 る より明

示 る を原則 る 当 情報 格付 る認識 共通 る

措置 い 明示等 含 る 例え 特 情報クケゾヘ い

当 情報クケゾヘ 録 れる情報 格付 を規 等 明 当 情報クケゾヘを

利用 る 者 当 規 を周知 る いれ 明示等 含

る

z ^{ペト゜ャPC 端曒 形態 業 利用 る目的 より必要 応}

移動 る端曒をいう 特 設置場 利用 るテヴダ型_PC ペト゜ャ_PC 含 れ い

や

z ^{要 情報 用性 情報をいう}

z ^{要機密情報 機密性 情報及 機密性 情報をいう}

z ^{要保護情報 要機密情報 要保全情報及 要 情報をいう}

z ^{要保全情報 完全性 情報をいう}

ら

z ^{例外措置 行 従 者 実施 任を持 情報コゥポモゾ゛ 規}

程を遵 る 困 状況 行 適 遂行を る 遵

異 る 暶 方法を 用 又 遵 を実施 い い 合理的理由

ある場合 い 申請 許 を得 適用 る行 をいう

z ^{ュエ゜ン 何ら 主体 主体認証を要求 る行 をいう ュエ゜ン}

主体認証 行われる ュエ゜ン 段 主体 当 ある 限ら い

z ^{ュエアン ュエ゜ン 結果 より 主体認証を要求 主体 当 ある}

情報クケゾヘ 確認 れ 状態をいう

9

第 部 組織と体制の整備

2.1 ^導入

2.1.1 ^{組織 体制の整備}

趣旨 必要性

情報コゥポモゾ゛対策 れ る 行 従 者 職 及 職 応

えられ いる 限 を理解 う を全う る 実現 れる

れら 限 を明確 必要 る組織ン体 を整備 る必要 ある

れら を 案 曓 情報コゥポモゾ゛対策 る組織ン体 る対

策基準を る

遵守事項

(1) ^{暷高情報コゥポモゾ゛ 任者 設置} 基曓遵

(a) ^{暷高情報コゥポモゾ゛ 任者を 人置}

解 各府省庁 る情報コゥポモゾ゛対策 暷高 任者を置 を ある

情報コゥポモゾ゛対策 実現 行 従 者一人一人 意識 向

や 遂行 ろん 組織的 組 や幹部 任

を持 必須 あり 各府省庁 る暷高 任者 設置 役割 明確化 重要 ある 曓統一基準 規 る各役割 い

゜ベヴグ 曓書 添資料_A.1.1 を参考 れ い

(b) ^{暷高情報コゥポモゾ゛ 任者 府省庁} る情報コゥポモゾ゛対策 る

を統 る

解 暷高情報コゥポモゾ゛ 任者 各府省庁 る情報コゥポモゾ゛ 対策 体 十 機能 るよう 管理 る 省庁対策基準

決 や評価結果 よる見直 る 認等を行う

(c) ^{暷高情報コゥポモゾ゛ 任者 必要 応 情報コゥポモゾ゛ る 門的}

知識及 経 を暼 門家を暷高情報コゥポモゾ゛゚チト゜ギヴ 置

解 情報コゥポモゾ゛ る 門家を暷高情報コゥポモゾ゛゚チト゜ギヴ

置 を ある

各府省庁 る情報コゥポモゾ゛対策 い 情報クケゾヘ る 術や 案 対 る対処等 門的 知識及 経 必要 る

省庁対策基準 策 ン 入 ら運用 評価 見直 門的 言を行う 門家を活用 る 重要 ある

暷高情報コゥポモゾ゛ 任者 情報クケゾヘ る 門的 知識及

10

経 を高 水準 暼 いる 門家 言を必要 い い 特 場合を 置 を義 付 いる ある

CIO ^{情報化統 任者 補 官} 暷高情報コゥポモゾ゛゚チト

゜ギヴを兼 る る

(2) 情報コゥポモゾ゛委員会 設置 基曓遵

(a) ^{暷高情報コゥポモゾ゛ 任者} 情報コゥポモゾ゛委員会を設置 委員長及 委員を置

解 各府省庁 省庁対策基準 策 等を行う機能を持 組織 設置 い ある

情報コゥポモゾ゛対策 運用を 滑 る 委員会を設置 組織 全体 り組 重要 ある 暷高情報コゥポモゾ゛ 任者 委 員長を兼 る 能 ある

実 を担当 る 委員会を設置 又 既 情報クケゾヘ管 理部門 情報コゥポモゾ゛対策 各府省庁 運用を統 る機能を 持 る等 部門 断的 連携 組 を確立 る 望 れる (b) 情報コゥポモゾ゛委員会 情報コゥポモゾ゛ る省庁対策基準を策

暷高情報コゥポモゾ゛ 任者 認を得る

解 全省的 る 省庁対策基準策 る情報コゥポモゾ゛委員会

役割を ある

(3) ^{情報コゥポモゾ゛ 査 任者 設置} 基曓遵

(a) ^{暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 査 任者を 人置}

解 各府省庁 い 策 省庁対策基準 基 査を行う 任者を置

を ある

情報コゥポモゾ゛ 査 任者 情報コゥポモゾ゛ 任者 管 る組 織 る情報コゥポモゾ゛ 査を実施 る 情報コゥポモゾ゛

任者 兼 る い

査 実効性を確保 る 情報コゥポモゾ゛ 任者より職 席者を情報コゥポモゾ゛ 査 任者 置 望 い 情報コゥポモゾ゛ 査 任者 各府省庁 情報コゥポモゾ゛ る情報を共暼 る 情報コゥポモゾ゛委員会 アノギヴト 参 る 望 れる

情報コゥポモゾ゛ 査 任者 業 を補 る 府省庁 部及 外部 担当者を置 必要性を検討 る 望 れる 業 実効性を担保 る 外部組織 活用 考えられる

11

(b) ^{情報コゥポモゾ゛ 査 任者 暷高情報コゥポモゾ゛ 任者 指示 基}

査 る を統 る

(4) ^{情報コゥポモゾ゛ 任者 設置} 基曓遵

(a) ^{暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 運用 る管理を行う}

単 を 単 情報コゥポモゾ゛ 任者を置 う 情

報コゥポモゾ゛ 任者を統 る者 統 情報コゥポモゾ゛ 任者を 人置

解 組織 役割 明確化 情報コゥポモゾ゛対策 運用 い 管理を行う単 を決 る を ある

管理を行う単 部 局 外局 地方支 局等含 や情報 クケゾヘ 等 挙 られる 情報コゥポモゾ゛ 任者 府省庁 実 施手 を策 る 組織 情報コゥポモゾ゛対策 運用実 態を十 踏 え 実 ヤパャ 管理 組 を確立 行

従 者 周知や教育を行う等 個 対策を機能 る環境 を整備 る 重要 ある

(b) ^{情報コゥポモゾ゛ 任者 管 る単} る情報コゥポモゾ゛対策

る を統 る

(c) ^{統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 る 用 開始 終}

了及 人 異動等 る管理 規 を整備 る

解 用 開始 終了及 人 異動等 る管理 規 現実 人 配置状況 情報クケゾヘ ゚ェコケ 付 状況等 整合や 用及 異動時等 る適 教育 十 を原因 る情報コゥポ モゾ゛ 侵害を回避 る を目的 る規 ある

体的

ン人 担当課又 各課室 ら 情報クケゾヘ 管課 人 異動 る 情報 提供 れる連絡体

ン人 異動 情報 基 ゚ェコケ 変更 職員 教育等 情報コ ゥポモゾ゛ 業 を適 実施 る 手

等を整備 る 求 られる

れ 転出 伴う゚ィゞンダ 失効 情報クケゾヘ ゚ェコケ 変更 管理等 含 れる

(d) ^{情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 る 用 開始 終了及}

人 異動等 る管理 規 従 運用 れ いる を 期的 確

認 る

(e) ^{暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者を置い 時及 変更}

時 統 情報コゥポモゾ゛ 任者 を連絡 る

(f) ^{統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 対 る連絡} 網を整備 る

12 (5) 情報クケゾヘコゥポモゾ゛ 任者 設置

基曓遵

(a) ^{情報コゥポモゾ゛ 任者 管 る単 る情報クケゾヘ 情報クケ}

ゾヘコゥポモゾ゛ 任者を置

解 各情報クケゾヘ い 計画 構築 運用等 メ゜ネキ゜ェャ全般を 通 必要 る情報コゥポモゾ゛対策 任者を置 を

ある

府省庁 _LANクケゾヘ よう 全省的 クケゾヘ 特 部門 る個 業 クケゾヘ 府省庁 情報クケゾヘを 情報クケゾ ヘ単 情報コゥポモゾ゛対策 運用 任 を明確 る 重要 ある

(b) 情報クケゾヘコゥポモゾ゛ 任者 管 る情報クケゾヘ 対 る情報コゥポ

モゾ゛対策 る を統 る

(c) ^{情報コゥポモゾ゛ 任者} 情報クケゾヘコゥポモゾ゛ 任者を置い 時及 変

更 時 統 情報コゥポモゾ゛ 任者 を報告 る

(d) ^{統 情報コゥポモゾ゛ 任者} 情報クケゾヘコゥポモゾ゛ 任者 対 る連絡網を整備 る

(6) 情報クケゾヘコゥポモゾ゛管理者 設置 基曓遵

(a) 情報クケゾヘコゥポモゾ゛ 任者 管 る情報クケゾヘ 管理業 い

必要 単 情報クケゾヘコゥポモゾ゛管理者を置

解 各情報クケゾヘ い 管理業 情報コゥポモゾ゛対策 実施を管理 る者を置 を ある

計画 構築 運用等 情報クケゾヘ メ゜ネキ゜ェャやキヴト タヴシ パヴケ ゚ハモォヴクミン等 装置ン機能 必要 応 設置 る 必要 ある

情報クケゾヘコゥポモゾ゛管理者 情報コゥポモゾ゛ 任者 よ られ 手 や 断 れ 従い 対策を実施 る

(b) 情報クケゾヘコゥポモゾ゛管理者 管 る管理業 る情報コゥポモゾ

゛対策を実施 る

(c) 情報クケゾヘコゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛管理者を置い

時及 変更 時 統 情報コゥポモゾ゛ 任者 を報告 る

(d) ^{統 情報コゥポモゾ゛ 任者} 情報クケゾヘコゥポモゾ゛管理者 対 る連絡網を整備 る

(7) ^{課室情報コゥポモゾ゛ 任者 設置} 基曓遵

(a) ^{情報コゥポモゾ゛ 任者 各課室 課室情報コゥポモゾ゛ 任者を} 1 ^人置

13

解 課室単 情報コゥポモゾ゛対策 を統 る者を置 を ある

課室情報コゥポモゾ゛ 任者 管 る や職員 る情報 扱い等 是非を 断 情報 持 出 や公開等 い

任を暼 る者 あり 課室長若 れ 相当 る者 ある 望 い 情報コゥポモゾ゛ 任者 各課室 ₁ 人任 統 情報 コゥポモゾ゛ 任者 報告 る ある

(b) ^{課室情報コゥポモゾ゛ 任者 課室} る情報コゥポモゾ゛対策 る

を統 る

(c) ^{情報コゥポモゾ゛ 任者 課室情報コゥポモゾ゛ 任者を置い 時及 変更}

時 統 情報コゥポモゾ゛ 任者 を報告 る

(d) ^{統 情報コゥポモゾ゛ 任者 課室情報コゥポモゾ゛ 任者 対 る} 連絡網を整備 る

2.1.2 ^{役割の割当}

趣旨 必要性

情報コゥポモゾ゛対策 る組織 い 認 る者 認 れる者 一 ある場

合や 査 る者 査 れる者 一 ある場合 情報コゥポモゾ゛ 確保 れ い

る 確認 証明 れ ら い 情報コゥポモゾ゛を確立 る 兼

い い役割 る 認や許 案 い 情報コゥポモゾ゛

対策 る組織体 え 職 限等 ら 当 組織体 認等を行う者

認等を 場合 ある

れら を 案 曓 情報コゥポモゾ゛対策 る役割 割当 る

対策基準を る

遵守事項

(1) ^{兼 を禁 る役割 規} 基曓遵

(a) ^{行 従 者 情報コゥポモゾ゛対策 運用 い 役割を兼}

い

(^゚) ^{認又 許 案 申請者 認 限者又 許 限者 認}

限者等 いう

(^゜) ^{査を る者 査を実施 る者}

解 認又 許 る役割 者自ら 申請を る場合 申請

い 自ら 認又 許 る い 組織ン体 及

申請手 を整備 る 当 十 留意 る必要 あ る

14 (2) ^{よる 認ン許}

基曓遵

(a) ^{行 従 者 認 限者等 暼 る職 限等 ら 当 認 限者}

等 認又 許 認等 いう 否 断を行う 適

認 られる場合 当 認 限者等 認等 申請を る

場合 い 当 認 限者等 認等を得 当 認 限者

等 認等を得る を要 い

解 認や許 案 容 よ 認 限者等 認等 否 断 を行う 適 い場合 想 れる よう 場合

申請 認等を得る る

兼 を禁 る役割 規 を遵 る必要 ある

自ら 認 限者 あ 当 自ら る 認

等 案 い 自ら 認等 ら い

(b) ^{行 従 者 前 場合 い 認等を え 認 限者等}

る遵 準 措置を講 る

解 認 限者等 認等を行 場合 当 当 認 限

者等 遵 準 措置を講 る を求 る ある 例え 機密性 情報 完全性 情報又 用性 情報 い 府省 庁外 情報処理や府省庁外支給 外 情報クケゾヘ よる情報処理を 課室情報コゥポモゾ゛ 任者 わ 許 る場合

対 許 録を 得 る 求 られる

2.1.3 ^{違反 例外措置}

趣旨 必要性

各府省庁 い 情報コゥポモゾ゛を 的 維持 る 万一 あ 場

合 られ 手 従 適 対処 る必要 ある

情報コゥポモゾ゛ 規程 適用 行 適 遂行を著 妨 る等 理

由 より 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を 用 る 又 規

を実施 い を認 るを得 い場合 い られ 例外措置 手

より 情報コゥポモゾ゛を維持 軟 対応 る れ 当 規程

実効性を確保 る 困 る

れら を 案 曓 例外措置 る対策基準を る

遵守事項

(1) ^対処

基曓遵

(a) ^{行 従 者 情報コゥポモゾ゛ 規程 重大 を知 場合 各}

規 実施 任を持 情報コゥポモゾ゛ 任者 を報告 る

15

解 府省庁 い 情報コゥポモゾ゛を 的 維持 る 重大 を確実 捕捉 る ある 府省庁 い 例規 を知 者 れを報告 る義 課 れ り 情報コゥポモゾ

゛ 規程 い 各規 実施 任を持 情報コゥポ モゾ゛ 任者 報告 る る

情報コゥポモゾ゛ 規程 重大 当 より府省庁 業 重大 支 を来 又 能性 ある をいう

(b) ^{情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 重大 報告を}

場合及 自ら 重大 を知 場合 者及 必要 者 情報コゥポモ

ゾ゛ 維持 必要 措置を講 る

解 情報コゥポモゾ゛ 規程 重大 より機密性 完全性 用 性 損 われる等 情報及 情報クケゾヘを回復 る 情報 コゥポモゾ゛対策 適 実施を再 徹底 る 者及 当 規 実施 任を持 者を含 必要 者 情報コゥポモゾ゛維持

措置を講 る を求 る ある より情報 漏えい 滅失 損 又 情報クケゾヘ 利用 支 を来 いれ れを 急 解決 問題 大を防 る必要 ある 情報コゥポモゾ゛ 規程を知ら を犯 あれ 者及 当 規 実施

任を持 者を含 必要 者 れを知ら 情報コゥポモゾ゛を維持 る 措置を講 る必要 ある

(c) ^{情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 重大 報告を}

場合及 自ら 重大 を知 場合 暷高情報コゥポモゾ゛ 任者

を報告 る

解 情報コゥポモゾ゛ 規程 あ 場合 実を

容 結果 業 影響 社会的評価等を含 暷高情報コゥポ モゾ゛ 任者 報告 る を求 る ある

(2) ^例外措置 基曓遵

(a) 情報コゥポモゾ゛委員会 例外措置 適用 申請を審査 る者 許 限者

いう を 審査手 を整備 る

解 例外措置 適用 申請を 審査を遅滞 実施 るよう

許 限者を 審査手 を整備 ある 緊急を

要 申請 れる場合 遂行 要 遅滞を生 審査を や 実施 る必要 ある 申請 容 応 暷高情報コゥ ポモゾ゛ 任者 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任 者 情報クケゾヘコゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛管理 者又 課室情報コゥポモゾ゛ 任者 中 ら許 限者を

重要 ある

(b) ^{行 従 者 例外措置 適用を希望 る場合 られ 審査手 従い}

16

許 限者 例外措置 適用を申請 る 行 遂行 緊急を要

る等 場合 あ 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を直

用 る 又 規 を実施 い 避 や 申請 許

を得る 行 従 者 申請 を含 目を明確 る

(^゚) ^{申請者 情報 氏 属 連絡}

(^゜) ^{例外措置 適用を申請 る情報コゥポモゾ゛ 規程 適用箇 規程} 条 等

(^ゞ) ^{例外措置 適用を申請 る期間}

(^゠) ^{例外措置 適用を申請 る措置 容 講 る 暶手段等} (^ア) ^{例外措置 適用を終了 報告方法}

(^ィ) ^{例外措置 適用を申請 る理由}

解 例外措置を行 従 者 断 行わ い ある 行 従 者 られ 審査手 従い例外措置 適用を申請 許 を得 ら 例外措置を講 る 行 遂行 緊急を 要 る等 場合 あ 情報コゥポモゾ゛ 規程 規 異 る

暶 方法を直 用 る 又 規 を実施 い 避 や 申請 許 を得る

行 従 者 例外措置 適用を希望 る場合 当 例外措置 を適用 場合 被害 大 影響を検討 析 る必要 ある

例外措置 適用 必要 ある 断 場合 モケェを 減 る 補完措置を提案 適用 申請を行う必要 ある

(c) ^{許 限者 行 従 者 よる例外措置 適用 申請を られ 審査手}

従 審査 許 否を決 る 決 目を含

例外措置 適用審査 録を作 暷高情報コゥポモゾ゛ 任者 報告 る (^゚) ^{決 を審査 者 情報 氏 役割 属 連絡}

(^゜) ^{申請 容}

• ^{申請者 情報 氏 属 連絡}

• ^{例外措置 適用を申請 る情報コゥポモゾ゛ 規程 当箇 規程}

条 等

• ^{例外措置 適用を申請 る期間}

• ^{例外措置 適用を申請 る措置 容 講 る 暶手段等}

• ^{例外措置 適用を終了 報告方法}

• ^{例外措置 適用を申請 る理由} (^ゞ) ^{審査結果 容}

• ^{許 又 許}

• ^{許 又 許 理由}

• ^{例外措置 適用を許 情報コゥポモゾ゛ 規程 適用箇 規程}

条 等

• ^{例外措置 適用を許 期間}

17

• ^{許 措置 容 講 る 暶手段等}

• ^{例外措置を終了 報告方法}

解 許 限者 例外措置 適用 申請を適 審査 る ある

審査 当 例外措置 適用を許 場合 モケェ 許 場合 行 遂行等 影響を評価 断を行う必 要 ある 例外措置 適用審査 録 将来 許 を り 消 場合 当 る申請を 把握 一 性を り消

必要 る

゚ 役割 暷高情報コゥポモゾ゛ 任者 統 情報コゥ ポモゾ゛ 任者 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛

任者 情報クケゾヘコゥポモゾ゛管理者又 課室情報コゥポモゾ゛ 任者 い れ を 載 る

(d) ^{行 従 者 例外措置 適用 い 許 を 例外措置を適用 場合}

れを終了 当 例外措置 許 限者 を報告 る

許 限者 報告を要 い 場合 限り い

解 例外措置 適用 終了を確認 る ある

例外措置 適用期間 終了 場合及 期間終了前 適用を終了 る場 合 許 を 行 従 者 許 限者 終了を報告

れ ら い

(e) ^{許 限者 例外措置 適用を許 期間 終了期日 許 を 者 ら}

報告 暼無を確認 報告 い場合 許 を 者 状況を報告 必要

措置を講 る 許 限者 報告を要 い 場合 限り

い

解 例外措置 適用期間を 許 を 者 遵 る ある 必要 措置 許 を 者 報告を怠 いる あれ れを督 る 許 を 者 例外措置 適用を いる場 合 延長 い 申請 れ い 審査 る 挙 ら れる

(f) ^{暷高情報コゥポモゾ゛ 任者 例外措置 適用審査 録 帳を整備 例外措置}

適用審査 録 参照 い 情報コゥポモゾ゛ 査 任者 ら 求 応 る

解 暷高情報コゥポモゾ゛ 任者 例外措置 適用審査 録 帳を維持ン 整備 る を求 る ある 例外措置 適用を許

れ 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を 用 る 又 遵 を実施 い い 変わり い 例 外措置を適用 いる より重大 情報コゥポモゾ゛ 侵害 生 場合 様 例外措置を適用 いる者 対 情報コゥポ モゾ゛ 侵害 生 予防 い 注意を喚起 り 例外措置適用 許

い 見直 を り る 対処を検討 る必要 ある

18

例外措置を適用 いる者や情報クケゾヘ 現状 い 暷新 状態 を 中 把握 る必要 ある

19

2.2 ^運用

2.2.1 ^{情報セキュ テ 対策の教育}

趣旨 必要性

情報コゥポモゾ゛ 規程 適 策 れ 行 従 者 容

周知 れ 行 従 者 れを遵 い場合 情報コゥポモゾ゛対策 水準

向 を望 い 行 従 者 情報コゥポモゾ゛

対策 教育を通 情報コゥポモゾ゛ 規程 る理解を深 情報コゥポモゾ゛

対策を適 実践 るよう る 必要 ある

れら を 案 曓 情報コゥポモゾ゛対策 教育 る対策基準を

る

遵守事項

(1) ^{情報コゥポモゾ゛対策 教育 実施} 基曓遵

(a) ^{統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行}

従 者 対 啓 を る

解 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 啓 実施を求 る ある

(b) ^{統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行}

従 者 教育 容を検討 教育 資料を整備 る

解 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 教育 資 料を整備 る を求 る ある

教育 容 い 府省庁 実情 合わ 幅広い角 ら検討 行 従 者 対策 容を十 理解 る る必要 ある

府省庁 情報コゥポモゾ゛ る網羅的 資料 講 る者 理解 限 資料を教育 用いる

ある わ 資料 作 い 遵 を遵 者

整理 講 る者 遵 る必要 い 極力含 いよう 配慮 る必要 ある

遵 外 あ 教育 容 含 る 望

い情報コゥポモゾ゛対策 例 機能 る 明 挙

られる れ 当 機能 を周知 る い

抑 効果を期待 る場合 ある ある

(c) ^{統 情報コゥポモゾ゛ 任者 行 従 者 毎 暷 回 講 る}

よう 情報コゥポモゾ゛対策 教育 る計画を企画 立案 る 実施体 を整備 る

解 情報コゥポモゾ゛対策 教育 暷 限 講回数等 い ある

20

情報コゥポモゾ゛ 案 生 情報コゥポモゾ゛環境 変化 応 適 教育を行う 重要 ある 計画 作

る教育計画を参照 効率性 注意 る 人材育 留 意 る

(d) ^{統 情報コゥポモゾ゛ 任者 行 従 者 着任時 異動時 新 い職場}

等 暻 講 るよう 情報コゥポモゾ゛対策 教育を企画 立案

る 実施体 を整備 る

解 着任 異動 行 従 者 対 期 情報コゥポモゾ゛対策 教育を 講 る よ 当 行 従 者 情報コゥポモ ゾ゛対策 適 実施を求 る ある

異動 使用 る情報クケゾヘ 異動前 変わら い 教育を い い 合理的 理由 ある場合 対象 ら 外 れ得る

(e) ^{統 情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育} 講状況を管理 る 組 を整備 る

解 情報コゥポモゾ゛対策 教育 講状況 い 把握 る 組 を整 備 る を求 る ある

(f) ^{統 情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育}

講状況 い 課室情報コゥポモゾ゛ 任者 通知 る

解 計画 れ 教育 実施 向 情報コゥポモゾ゛対策 教育を 講 い い行 従 者を課室情報コゥポモゾ゛ 任者 通知 る

を ある

(g) ^{課室情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育}

講 れ い い場合 曑 講 者 対 講を勧告 る

行 従 者 当 勧告 従わ い場合 統 情報コゥポモゾ゛

任者 を報告 る

解 情報コゥポモゾ゛対策 教育を 講 い者 対策を あ る

計画 れ 教育を 講 い行 従 者 遵 い 任を問われる る

(h) ^{統 情報コゥポモゾ゛ 任者 毎 回 暷高情報コゥポモゾ゛ 任者及}

情報コゥポモゾ゛委員会 対 行 従 者 情報コゥポモゾ゛対策 教

育 講状況 い 報告 る

解 暷高情報コゥポモゾ゛ 任者及 情報コゥポモゾ゛委員会 情報コゥポ モゾ゛対策 教育 講状況を報告 る を求 る ある

強化遵

(i) ^{統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行} 従 者 対 る情報コゥポモゾ゛対策 訓練 容及 体 を整備 る

解 模擬的 状況 い 実 情報コゥポモゾ゛対策 を行う より 知識ン 能等 習得 る 実施 る訓練 容及