府機 情報コゥポモゾ゛対策
統一基準(第 年 )
解 書
官 情報コゥポモゾ゛コンシヴ
目 -1
目
第 部 総則... 1
1.1.1 曓統一基準 置付 ... 1
(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付 .. 1
(2) 曓統一基準 改訂... 1
(3) 法 等 遵 ... 1
1.1.2 曓統一基準 使い方... 2
(1) 曓統一基準 省庁対策基準 ... 2
(2) 適用対象範 ... 2
(3) 全体構 ... 2
(4) 対策 目 載 ... 3
(5) 対策ヤパャ 設 ... 3
(6) 評価 方法... 3
1.1.3 用語 義... 4
第 部 組織 体 整備... 9
2.1 入... 9
2.1.1組織ン体 整備... 9
趣 必要性 ... 9
遵 ... 9
(1) 暷高情報コゥポモゾ゛ 任者 設置... 9
(2) 情報コゥポモゾ゛委員会 設置... 10
(3) 情報コゥポモゾ゛ 査 任者 設置... 10
(4) 情報コゥポモゾ゛ 任者 設置... 11
(5) 情報クケゾヘコゥポモゾ゛ 任者 設置... 12
(6) 情報クケゾヘコゥポモゾ゛管理者 設置... 12
(7) 課室情報コゥポモゾ゛ 任者 設置... 12
2.1.2役割 割当 ... 13
趣 必要性 ... 13
遵 ... 13
(1) 兼 を禁 る役割 規 ... 13
(2) よる 認ン許 ... 14
2.1.3 例外措置... 14
趣 必要性 ... 14
遵 ... 14
(1) 対処... 14
(2) 例外措置... 15
2.2 運用... 19
2.2.1情報コゥポモゾ゛対策 教育... 19
趣 必要性 ... 19
目 -2
遵 ... 19
(1) 情報コゥポモゾ゛対策 教育 実施... 19
(2) 情報コゥポモゾ゛対策 教育 講... 21
2.2.2 害等 対処... 21
趣 必要性 ... 21
遵 ... 21
(1) 害等 生 備え 前準備... 21
(2) 害等 生時 る報告 応急措置... 23
(3) 害等 原因調査 再 防 策... 23
2.3 評価... 24
2.3.1 情報コゥポモゾ゛対策 自己 検... 24
趣 必要性 ... 24
遵 ... 24
(1) 自己 検 る 計画 策 ... 24
(2) 自己 検 実施 る準備... 25
(3) 自己 検 実施... 25
(4) 自己 検結果 評価... 25
(5) 自己 検 基 改善... 26
2.3.2 情報コゥポモゾ゛対策 査... 26
趣 必要性 ... 26
遵 ... 26
(1) 査計画 策 ... 26
(2) 査 実施 る指示... 27
(3) 個 査業 る 査実施計画 策 ... 27
(4) 査 実施 る準備... 28
(5) 査 実施... 29
(6) 査結果 対 る対処... 30
2.4 見直 ... 32
2.4.1 情報コゥポモゾ゛対策 見直 ... 32
趣 必要性 ... 32
遵 ... 32
(1) 情報コゥポモゾ゛対策 見直 ... 32
第 部 情報 い 対策... 34
3.1 情報 格付 ... 34
3.1.1 情報 格付 ... 34
趣 必要性 ... 34
遵 ... 34
(1) 情報 格付 ... 34
3.2 情報 扱い... 35
3.2.1 情報 作 入手... 35
目 -3
趣 必要性 ... 35
遵 ... 35
(1) 業 外 情報 作 又 入手 禁 ... 35
(2) 情報 作 又 入手時 る格付 決 扱 限 検討... 35
(3) 格付 扱 限 明示等... 36
(4) 格付 扱 限 ... 36
(5) 格付 扱 限 変更... 36
3.2.2 情報 利用... 37
趣 必要性 ... 37
遵 ... 38
(1) 業 外 利用 禁 ... 38
(2) 格付 及 扱 限 従 情報 扱い... 38
(3) 要保護情報 扱い... 38
3.2.3 情報 保 ... 39
趣 必要性 ... 39
遵 ... 39
(1) 格付 応 情報 保 ... 39
(2) 情報 保 期間... 41
3.2.4 情報 移 ... 41
趣 必要性 ... 41
遵 ... 41
(1) 情報 移 る許 及 届出... 41
(2) 情報 信 運 選択... 42
(3) 移 手段 決 ... 42
(4) 書面 保護対策... 43
(5) 電磁的 録 保護対策... 43
3.2.5 情報 提供... 44
趣 必要性 ... 44
遵 ... 44
(1) 情報 公表... 44
(2) 者 情報 提供... 45
3.2.6 情報 消去... 46
趣 必要性 ... 46
遵 ... 46
(1) 電磁的 録 消去方法... 46
(2) 書面 廃棄方法... 47
第 部 情報コゥポモゾ゛要件 明確化 基 対策... 48
4.1 情報コゥポモゾ゛ い 機能... 48
4.1.1主体認証機能... 48
趣 必要性 ... 48
目 -4
遵 ... 48
(1) 主体認証機能 入... 48
(2) 識 カヴチ 管理... 53
(3) 主体認証情報 管理... 55
4.1.2 ゚ェコケ 御機能... 57
趣 必要性 ... 57
遵 ... 57
(1) ゚ェコケ 御機能 入... 57
(2) 適 ゚ェコケ 御... 58
4.1.3 限管理機能... 59
趣 必要性 ... 59
遵 ... 59
(1) 限管理機能 入... 59
(2) 識 カヴチ 主体認証情報 付 管理... 60
(3) 識 カヴチ 主体認証情報 る 暶手段等 適用... 62
4.1.4 証跡管理機能... 63
趣 必要性 ... 63
遵 ... 64
(1) 証跡管理機能 入... 64
(2) 証跡 得 保 ... 66
(3) 得 証跡 検 析及 報告... 67
(4) 証跡管理 る利用者 周知... 68
4.1.5保証 機能... 68
趣 必要性 ... 68
遵 ... 68
(1) 保証 機能 入... 68
4.1.6暗 電子署 鍵管理を含 ... 69
趣 必要性 ... 69
遵 ... 69
(1) 暗 化機能及 電子署 付 る方式 整備... 69
(2) 暗 化機能及 電子署 付 機能 入... 71
(3) 暗 化及 電子署 付 る管理... 73
(4) 暗 化機能及 電子署 付 機能 利用... 74
4.2 情報コゥポモゾ゛ い 威... 75
4.2.1 コゥポモゾ゛ビヴャ対策... 75
趣 必要性 ... 75
遵 ... 75
(1) 情報クケゾヘ 構築時... 75
(2) 情報クケゾヘ 運用時... 76
4.2.2 ハュエメヘ対策... 78
目 -5
趣 必要性 ... 78
遵 ... 78
(1) 情報クケゾヘ 構築時... 78
(2) 情報クケゾヘ 運用時... 80
4.2.3 キヴニケ 能攻撃対策... 82
趣 必要性 ... 82
遵 ... 82
(1) 情報クケゾヘ 構築時... 82
(2) 情報クケゾヘ 運用時... 84
4.2.4 踏 対策... 84
趣 必要性 ... 84
遵 ... 85
(1) 情報クケゾヘ 構築時... 85
(2) 情報クケゾヘ 運用時... 85
4.3 情報クケゾヘ コゥポモゾ゛要件... 87
4.3.1 情報クケゾヘ コゥポモゾ゛要件... 87
趣 必要性 ... 87
遵 ... 87
(1) 情報クケゾヘ 計画... 87
(2) 情報クケゾヘ 構築ン運用... 89
(3) 情報クケゾヘ 移行ン廃棄... 90
(4) 情報クケゾヘ 見直 ... 90
(5) 情報クケゾヘ 帳整備... 90
第 部 情報クケゾヘ 構 要素 い 対策... 92
5.1 施設 環境... 92
5.1.1 電子計算機及 通信回線装置を設置 る 全区域... 92
趣 必要性 ... 92
遵 ... 92
(1) 立入り及 出 管理... 92
(2) 訪問者及 渡業者 管理... 93
(3) 電子計算機及 通信回線装置 コゥポモゾ゛確保... 94
(4) 全区域 コゥポモゾ゛管理... 96
(5) 災害及 害 対策... 97
5.2 電子計算機... 98
5.2.1 電子計算機共通対策... 98
趣 必要性 ... 98
遵 ... 98
(1) 電子計算機 設置時... 98
(2) 電子計算機 運用時... 100
(3) 電子計算機 運用終了時... 102
目 -6
5.2.2 端曒... 102
趣 必要性 ...102
遵 ... 102
(1) 端曒 設置時... 102
(2) 端曒 運用時... 103
5.2.3 キヴト装置... 104
趣 必要性 ...104
遵 ... 105
(1) キヴト装置 設置時... 105
(2) キヴト装置 運用時... 106
5.3 ゚ハモォヴクミンサネダゞゟ゚... 108
5.3.1 通信回線を 提供 る゚ハモォヴクミン共通対策... 108
趣 必要性 ...108
遵 ... 108
(1) ゚ハモォヴクミン 入時... 108
(2) ゚ハモォヴクミン 運用時... 108
5.3.2 電子ベヴャ... 108
趣 必要性 ...108
遵 ... 109
(1) 電子ベヴャ 入時... 109
(2) 電子ベヴャ 運用時... 109
5.3.3 ゞゟノ... 110
趣 必要性 ... 110
遵 ... 110
(1) ゞゟノ 入時... 110
(2) ゞゟノ 運用時... 111
5.3.4 チベ゜ンヅヴヘクケゾヘ DNS ... 112
趣 必要性 ... 112
遵 ... 112
(1) DNS 入時... 112
(2) DNS 運用時... 113
5.4 通信回線... 114
5.4.1 通信回線共通対策... 114
趣 必要性 ... 114
遵 ... 114
(1) 通信回線 構築時... 114
(2) 通信回線 運用時... 117
(3) 通信回線 運用終了時... 119
5.4.2 府省庁 通信回線 管理... 119
趣 必要性 ... 119
目 -7
遵 ... 119
(1) 府省庁 通信回線 構築時... 119
(2) 府省庁 通信回線 運用時... 120
(3) 回線 対策... 120
5.4.3 府省庁外通信回線 接 ... 121
趣 必要性 ...121
遵 ... 122
(1) 府省庁 通信回線 府省庁外通信回線 接 時... 122
(2) 府省庁外通信回線 接 いる府省庁 通信回線 運用時... 122
第 部 個 い 対策... 124
6.1 調 ン開 わる情報コゥポモゾ゛対策... 124
6.1.1 機器等 購入... 124
趣 必要性 ...124
適用範 ... 124
遵 ... 124
(1) 情報コゥポモゾ゛確保 府省庁 共通 組 整備... 124
(2) 機器等 購入 実施 る手 ... 125
6.1.2 外部委 ... 125
趣 必要性 ...125
適用範 ... 126
遵 ... 126
(1) 情報コゥポモゾ゛確保 府省庁 共通 組 整備... 126
(2) 委 実施 る情報コゥポモゾ゛対策 明確化... 127
(3) 委 選 ... 128
(4) 外部委 る契約... 128
(5) 外部委 実施 る手 ... 130
(6) 外部委 終了時 手 ... 131
6.1.3 サネダゞゟ゚開 ... 132
趣 必要性 ...132
遵 ... 132
(1) サネダゞゟ゚開 体 確立時... 132
(2) サネダゞゟ゚開 開始時... 133
(3) サネダゞゟ゚ 設計時... 133
(4) サネダゞゟ゚ 作 時... 135
(5) サネダゞゟ゚ 試 時... 136
6.2 個 ... 137
6.2.1 府省庁外 情報処理 限... 137
趣 必要性 ...137
遵 ... 137
(1) 全管理措置 い 規 整備... 137
目 -8
(2) 許 及 届出 得及 管理... 137
(3) 全管理措置 遵 ... 140
6.2.2 府省庁支給 外 情報クケゾヘ よる情報処理 限... 140
趣 必要性 ...140
遵 ... 141
(1) 全管理措置 い 規 整備... 141
(2) 許 及 届出 得及 管理... 141
(3) 全管理措置 遵 ... 142
6.2.3情報クケゾヘ IPv6 術 入 る対策... 143
趣 必要性 ...143
遵 ... 143
(1) IPv6移行機構 ら 弱性対策... 143
(2) 意 いIPv6通信 抑 ... 144
6.3 ... 146
6.3.1 府省庁外 情報コゥポモゾ゛水準 を招 行 防 ... 146
趣 必要性 ...146
遵 ... 146
(1) 措置 い 規 整備... 146
(2) 措置 遵 ... 148
6.3.2業 計画 整合的運用 確保... 148
趣 必要性 ...148
適用範 ... 148
遵 ... 148
(1) 府省庁 る業 計画 整備計画 把握... 148
(2) 業 計画 情報コゥポモゾ゛対策 整合性 確保... 149
(3) 業 計画 情報コゥポモゾ゛ 規程 整合 報告... 151
6.3.3 チベ゜ン 使用 い 対策... 152
趣 必要性 ...152
遵 ... 152
(1) チベ゜ン 使用... 152 A.1 解 書 添資料
A.1.1 組織ン体 ゜ベヴグ
A.1.2 曓統一基準 る情報 格付 一覧 A.1.3 情報コゥポモゾ゛対策 る 府決 等 A.1.4 用語解
1
第 部 総則
1.1.1 統一基準の 置付け
(1) 府機 情報コゥポモゾ゛対策 強化 る曓統一基準 置付
各府省庁 情報コゥポモゾ゛ 確保 い 各府省庁 自ら 任 い 対策
を講 い 原則 ある 府機 全体 情報コゥポモゾ゛対策を強化ン
る 府機 情報コゥポモゾ゛対策 強化 る基曓方針
暻 日付情報コゥポモゾ゛ 策会議決 基 府機 行う 情報
コゥポモゾ゛対策 統一的 枠組 を構築 各府省庁 情報コゥポモゾ゛水準 斉一
的 引 を る 必要 ある 曓統一基準 府機 統一的 枠組
中 各府省庁 情報コゥポモゾ゛ 確保 る 対策 及 水準を
更 高 る 対策 基準を ある
(2) 曓統一基準 改訂
情報コゥポモゾ゛ 水準を適 維持 い 状況 変化を的確 らえ
れ 応 情報コゥポモゾ゛対策 見直 を る 重要 ある 曓統一基準
い れを各府省庁 い れ れ 府省庁 特性を踏 え 省庁対策基準
及 実施手 整備 活用 情報コゥポモゾ゛対策 評価 使用 る より
曓統一基準 容を追 ン修 等 明ら る 考えられる
情報 術 歩 応 曓統一基準 載 る情報コゥポモゾ゛対策を変更 る
必要 り得る
曓統一基準 見直 を 期的 行い 必要 応 目 追 や 容
実等を る よ 適用性を将来 わ り維持 る る
各府省庁 い 曓統一基準 更新 れ 場合 容を省庁対策基準 適
映 る必要 ある (3) 法 等 遵
情報及 情報クケゾヘ 扱い 法 及 規則等 連法 等
いう い 規 れ いる 情報コゥポモゾ゛対策を実施 る 曓統
一基準 連法 等を遵 れ ら い れら 連法 等 情報
コゥポモゾ゛対策 わら 当然 遵 ある 曓統一基準 あ
え 連法 等 遵 い 明 い い 情報コゥポモゾ゛対策 る
容 い 既 府決 等 い 様 遵 る
解 既 府決 等 い 曓書 添資料A.1.3を参照
2
1.1.2 統一基準の使い方
(1) 曓統一基準 省庁対策基準
曓統一基準 府省庁 情報コゥポモゾ゛ 確保 る 対策 及
水準を更 高 る 対策 基準を ある
各府省庁 い 曓統一基準 られ 情報コゥポモゾ゛確保を目標
現行 情報コゥポモゾ゛ 規程 い 必要 見直 を行う る
各府省庁 い 曓統一基準 られ いる 容を合理的 理由 省庁
対策基準 映 い いう あ ら い 各府省庁 各府省庁 特性
を踏 え 省庁対策基準 盛り込 容を決 曓統一基準を直接参照 る
曓統一基準を り込 又 構 や表現を変え 盛り込 等 方法 より適
映 る る
(2) 適用対象範
曓統一基準 適用 れる対象範 を よう る
(a) 曓統一基準 情報 を る を目的 作 れ いる 曓統一基準 い
情報 情報クケゾヘ 部 録 れ 情報 情報クケゾヘ外部 電磁的
録媒体 録 れ 情報及 情報クケゾヘ ある書面 載 れ 情報
をいう 作業途 文書 適用対象 あり 書面 載 れ 情報
電磁的 録 れ いる情報を 載 書面 情報クケゾヘ 入力 れ
情報を 載 書面 情報クケゾヘ ら出力 情報を 載 書面 及 情報
クケゾヘ る設計書 含 れる
(b) 曓統一基準 行 従 者 適用 れる 曓統一基準 い 行 従
者 府職員及 れ れ 府省庁 指揮 服 いる者 う
れ れ 府省庁 管理対象 ある情報及 情報クケゾヘを り扱う者をいう
(c) 曓統一基準 い 府省庁 官 法 局 人 院 府
宮 庁 公 引委員会 国家公 委員会 警察庁 金融庁 総 省 法 省 外 省 省 文部科学省 厚生労働省 農林水産省 経済産業省 国土交通 省 環境省及 防衛省をいう
(3) 全体構
曓統一基準 部 節及 よ 構 れる
曓統一基準 情報コゥポモゾ゛対策を 組織 体 構築 情報 い 対策
情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ 構 要素 い
対策 個 い 対策 部 類 ら 容 応 節 対
策 目 対策基準を いる
(a) 組織 体 整備 組織全体 情報コゥポモゾ゛対策を実施 る
当 り 実施体 や評価手 や例外措置 組織 構築 課題
を り 組織 運用 る各職員 限 を明確 る
(b) 情報 い 対策 情報 作 利用 保 移 提供及 消去等
3
い 情報 メ゜ネキ゜ェャ 着目 各段 い 遵 を
各職員 業 中 常 実施 る情報保護 対策を示
(c) 情報コゥポモゾ゛要件 明確化 基 対策 情報クケゾヘ い
゚ェコケ 御 観 入 コゥポモゾ゛機能を示 コゥポモ
ゾ゛ビヴャ ハュエメヘ及 キヴニケ 能攻撃等 威を防 遵
を 情報クケゾヘ い 講 対策を示
(d) 情報クケゾヘ 構 要素 い 対策 電子計算機及 通信回線等
個 情報クケゾヘ 特性及 メ゜ネキ゜ェャ 観 ら れ れ遵
を 情報クケゾヘ い 講 対策を示
(e) 個 い 対策 調 ン開 や府省庁外 情報処理等 特
情報コゥポモゾ゛ 配慮 求 られる個 象 着目 れ れ遵
を る
(4) 対策 目 載
曓統一基準 各府省庁 行う 対策基準 い 対策 目 遵 を
示
(5) 対策ヤパャ 設
情報コゥポモゾ゛対策 い 対象 る情報資産 重要性や り巻 威 大
よ 必要 れる対策 一様 い 当 る情報クケゾヘ及 業
特性 応 各対策 目 適 強 対策を実施 ある
曓統一基準 い 各対策 目 対策 強 段 を設 る 遵 を
いる 段 を 対策ヤパャ よう 義 る
(a) 基曓遵 保護 情報 れを り扱う情報クケゾヘ い
必須 実施 対策
(b) 強化遵 特 重要 情報 れを り扱う情報クケゾヘ い
各府省庁 い 必要性 暼無を検討 必要 認 られる
選択 実施 対策
より 各府省庁 基曓遵 対策を実施 る る 当 情報
クケゾヘ及 業 特性を踏 え モケェを十 案 対策 目 適
対策ヤパャを選択 れ ら い
(6) 評価 方法
情報コゥポモゾ゛対策 一過性 遅滞 的 組 を実施
る ある 重要 ある 各府省庁 い 曓統一基準 基
期的又 案等 生 状況 応 情報コゥポモゾ゛ 査を行い
を確認 る必要 ある
(a) 省庁対策基準 統一基準 準 容 いる 設計 準 性確認
(b) 実 運用 省庁対策基準 準 いる 運用 準 性確認
(c) 省庁対策基準 容 モケェ 応 適 ある 効率的 容 ある
4
あるい 実現困 容 い い (設計 妥当性確認)
(d) 実 運用 モケェ 応 暼効 効率的 ある 運用 妥当性確認
特 各府省庁 情報コゥポモゾ゛ 査 い 設計及 運用 準 性確認を
第一 目的 る 査 過程 い 設計及 運用 妥当性 連
改善 思われる 見 れ 場合 れを要検討 る 望
い 曓統一基準 い 実施 者を 体的 示 遵 を い
る 対策 実施状況 い 各自 役割 応 自己 検を実施 る る
情報コゥポモゾ゛対策 い 各自 れ れ 役割を十 実行 る
あり 各自 る対策 実効性を確保 る 自己 検を活用 る あ
る 各府省庁 査を行う 自己 検 適 を確認 運用
準 性確認 用いる る
情報コゥポモゾ゛対策 実施 い 原則 各府省庁 任 い
運用 る 大前提 ある 府機 全体 情報コゥポモゾ゛対策
観 ら 各府省庁 対策 実施状況及 査結果 い 官 情報コゥポモゾ゛
コンシヴ 報告を行う る ら 官 情報コゥポモゾ゛コンシヴ 曓
統一基準 る評価指標 基 各府省庁 情報コゥポモゾ゛ 規程 整備状況
及 対策実施状況 い 期的又 必要 応 検査 評価 る る
対象 る情報クケゾヘ 範 い 官 情報コゥポモゾ゛コンシヴ 各府省
庁 議 る る
1.1.3 用語定義
あ
z ゚ェコケ 御 主体 よる゚ェコケを許 る客体を 限 る をいう
z 全区域 電子計算機及 通信回線装置を設置 室又 キヴトャヴヘ
等 部 あ 部外者 侵入や自然災害 生等を原因 る情報コゥポモゾ゛
侵害 対 施設及 環境面 ら対策 講 られ いる区域をいう
z 委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部又
全部を請 者をいう
z 渡業者 全区域 職 従 る行 従 者 物品 渡 を
目的 者をいう 物品 渡 宅配便 配 用品 納入等 考
えられる
z 外部委 情報クケゾヘ る計画 構築 運用等 情報処理業 一部
又 全部を府省庁外 者 請 わ る をいう
z 用性 情報 ゚ェコケを認 られ 者 必要時 中断 る
情報及 連資産 ゚ェコケ る状態を確保 る をいう
z 用性 情報 用性 情報 外 情報 書面を をいう
5
z 用性 情報 行 り扱う情報 書面を う 滅失
紛失又 当 情報 利用 能 ある より 国民 利 侵害 れ又 行
的 遂行 支 軽微 を を及 れ ある情報をいう
z 完全性 情報 破壊 改 ん又 消去 れ い い状態を確保 る をい
う
z 完全性 情報 完全性 情報 外 情報 書面を をいう
z 完全性 情報 行 り扱う情報 書面を う 改 ん
誤 ゅう又 破損 より 国民 利 侵害 れ又 行 適確 遂行 支 軽
微 を を及 れ ある情報をいう
z 機器等 情報機器等及 サネダゞゟ゚をいう
z 機密性 情報 ゚ェコケを認 られ 者 れ ゚ェコケ
る状態を確保 る をいう
z 機密性 情報 機密性 情報又 機密性 情報 外 情報をいう
z 機密性 情報 行 り扱う情報 う 秘密文書 相当 る機密性
要 い 漏えい より 国民 利 侵害 れ又 行 遂行 支
を及 れ ある情報をいう
z 機密性 情報 行 り扱う情報 う 秘密文書 相当 る機密性
を要 る情報をいう
z 共用識 カヴチ 複数 主体 共用 る を想 識 カヴチをいう
原則 識 カヴチ 主体 対 付 れる ある
情報クケゾヘ 約や 利用状況 を考慮 識 カヴチを複数 主体
共用 る場合 ある よう 共用 れる識 カヴチを共用識 カヴチ いう
z 録媒体 情報 録 れ 又 載 れる をいう 録媒体
書面 書類 文 形等人 知覚 よ 認識 る る情報
載 れ 紙 暼体物 書面 いう 電子的方式 磁気的方式
人 知覚 よ 認識 る い方式 作られる 録 あ 電子計
算機 よる情報処理 用 供 れる 電磁的 録 いう る 録媒
体 電磁的 録媒体 いう ある 電磁的 録媒体 電子計算
機や通信回線装置 蔵 れる 蔵電磁的 録媒体 外付 デヴチタ゛ケェ -
V MO USBベペモ ネメセクポベペモ等 外部電磁的 録媒体 ある
z 限管理 主体認証 る情報 識 カヴチ及 主体認証情報を含 及
゚ェコケ 御 る許 情報を管理 る をいう
z 公開 れ コゥポモゾ゛ビヴャ 誰 知り得る状態 置 れ いるコゥポ
モゾ゛ビヴャ あり サネダゞゟ゚やデヴチゞゟ゚ 製 ン提供元等 ら公表
れ コゥポモゾ゛ビヴャ 又 JPCERT カヴタ゛ヅヴクミンコンシヴ等 コゥポモ ゾ゛ 連機 ら公表 れ コゥポモゾ゛ビヴャ 当 る
z キヴニケ キヴト装置 動作 いる゚ハモォヴクミン より 接
電子計算機 対 提供 れる単 又 複数 機能 構 れる機能群をいう
6
z 暷少特 機能 管理者 限を実行 る範 を管理作業 必要 暷少 範
限 る機能をいう
z 識 情報クケゾヘ ゚ェコケ る主体を特 る をいう
z 識 カヴチ 主体を識 る 情報クケゾヘ 認識 るカヴチ 符
をいう 表的 識 カヴチ マヴギID 挙 られる
z 重要 設計書 情報クケゾヘ る設計書 う 当 情報クケゾヘ 適
管理 必要 あり 紛失 漏えい等 より 行 遂行 支 を
及 をいう
z 主体 情報クケゾヘ ゚ェコケ る者や 情報クケゾヘ及 装置等をい
う 主体 主 人 ある場合を想 いる 複数 情報クケゾヘや装置
連動 動作 る場合 情報クケゾヘ ゚ェコケ る主体 情報ク
ケゾヘや装置 含 る る
z 主体認証 識 カヴチを提示 主体 識 カヴチを付 れ 主体
わ 当 主体 ある 否 を検証 る をいう 識 カヴチ い
方法 主体認証情報 提示 れ 場合 主体認証 情報クケゾヘ
れらを提示 主体を 当 主体 認識 る 認証 いう用語
公的又 第 者 証明 る いう意味を持 曓統一基準 る 主体認証
い 公的又 第 者 よる証明 限る い
z 主体認証情報 主体認証を る 主体 情報クケゾヘ 提示 る情報
をいう 表的 主体認証情報 ドケワヴチ等 ある
z 主体認証情報格納装置 主体認証情報を格納 装置 あり 当 主体
暼又 保持 る装置をいう 暼 よる主体認証 れを 暼 いる
情報クケゾヘ 主体を 当 主体 認識 る
表的 主体認証情報格納装置 磁気ケダメ゜ハィヴチやI ィヴチ等 ある
z 省庁対策基準 各府省庁 情報資産 適用 る情報コゥポモゾ゛対
策 基準をいう
z 情報クケゾヘ 情報処理及 通信 るクケゾヘをいう
z 情報コゥポモゾ゛ 規程 省庁対策基準及 省庁対策基準 られ 対
策 容を 体的 情報クケゾヘや業 い よう 手 従 実行 い
い 実施手 をいう
z 情報 移 府省庁外 電磁的 録 れ 情報を 信 る 並 情
報を 録 電磁的 録媒体及 書面を運 る をいう
z 府職員 人 を 行 従 る者をいう
z サネダゞゟ゚ 電子計算機を動作 る手 及 を電子計算機 理解
る形式 述 をいう アヒヤヴゾ゛ンエクケゾヘ アヒヤヴゾ゛ンエクケ
ゾヘ 動作 る゚ハモォヴクミンを含 広義 意味 ある
z 端曒 端曒を利用 る行 従 者 直接操作を行う電子計算機 アヒヤ
ヴゾ゛ンエクケゾヘ及 接 れる周辺機器を含 あり いわゆるPC
7 PDA等 当 る
z 通信回線 れを利用 複数 電子計算機を接 通信様式 従
情報を 信 る 組 をいう 回線及 通信回線装置 接 より構
れ 通信回線 を物理的 通信回線 いい 物理的 通信回線 構 れ
電子計算機間 通信様式 従 情報を 信 能 通信回線 を論理的
通信回線 いう
z 通信回線装置 回線 接 設置 れ 電子計算機 より回線 を
信 れる情報 御を行う 装置をいう いわゆるモヌヴシデノ ケ゜セスン
エデノ及 ャヴシ ネ゙゜゚ゞァヴャ等 当 る
z 電子計算機 カンヌポヴシ全般 を指 アヒヤヴゾ゛ンエクケゾヘ及
接 れる周辺機器を含 キヴト装置及 端曒をいう
z 扱 限 情報 扱い る 限 あ 複製禁 持出禁 再配
付禁 暗 化必須 廃棄 情報 適 扱いを確実 る 手段を
いう
z 複 数 要 素 複 合 主 体 認 証 multiple factors authentication / composite authentication 方式 知識 暼 生体情報 う 複数 方法 組合
より主体認証を行う方法 ある
z 府省庁外 府職員 各々 属 る府省庁 管理 る組織又 庁舎 外を
いう
z 府省庁外通信回線 物理的 通信回線を構 る回線 暼線又 無線 現実
又 仮想及 府省庁管理又 組織管理 及 通信回線装置を問わ 府省庁 管理 い い電子計算機 接 れ 当 電子計算機間 通信 利用 る論理的 通信 回線をいう
z 府省庁外 情報処理 府省庁 管理部外 行 遂行 情報処
理を行う をいう アンメ゜ン 府省庁外 ら 府職員 各々 属 る府
省庁 情報クケゾヘ 接 情報処置を行う場合 アネメ゜ン 行
う場合 含 る
z 府省庁支給 外 情報クケゾヘ 府職員 各々 属 る府省庁 支給
る情報クケゾヘ 外 情報クケゾヘをいう いわゆる私物 PC 当 府省庁
出向者 対 出向元組織 提供 る情報クケゾヘ 含 る
z 府省庁支給 外 情報クケゾヘ よる情報処理 府省庁支給 外 情報クケ
ゾヘを用い 行 遂行 情報処理を行う をいう 直接装置等
を用いる場合 れら装置等 よ 提供 れ いるキヴニケを利用
る場合 含 る いうキヴニケ 個人 契約 いる電子ベヴャ
キヴニケ等 あり 例え 府省庁 業 要 る電子ベヴャを 個人 契約
いる電子ベヴャキヴニケ 転 業 を行 り 個人 ベヴャ ら業 ベ
ヴャを 信 り る ある
z 府省庁 府職員 各々 属 る府省庁 管理 る組織又 庁舎 を
8 いう
z 府省庁 通信回線 物理的 通信回線を構 る回線 暼線又 無線 現実
又 仮想及 府省庁管理又 組織管理 及 通信回線装置を問わ 府省庁 管理 る電子計算機を接 当 電子計算機間 通信 利用 る論理的 通信回線をい う
z ハュエメヘ カンヌポヴシゞ゜ャケ ケド゜ゞゟ゚等 電子計算機を利
用 る者 意 い結果を電子計算機 ら サネダゞゟ゚ 総称をいう
z ハュエメヘ 義ネ゙゜ャ ゚ンスゞ゜ャケサネダゞゟ゚等 ハュエ
メヘを る 利用 るタヴシをいう
z 明示等 情報を り扱う 者 当 情報 格付 い 共通 認識
るよう 措置 る をいう 情報 格付 を 載 る より明
示 る を原則 る 当 情報 格付 る認識 共通 る
措置 い 明示等 含 る 例え 特 情報クケゾヘ い
当 情報クケゾヘ 録 れる情報 格付 を規 等 明 当 情報クケゾヘを
利用 る 者 当 規 を周知 る いれ 明示等 含
る
z ペト゜ャPC 端曒 形態 業 利用 る目的 より必要 応
移動 る端曒をいう 特 設置場 利用 るテヴダ型PC ペト゜ャPC 含 れ い
や
z 要 情報 用性 情報をいう
z 要機密情報 機密性 情報及 機密性 情報をいう
z 要保護情報 要機密情報 要保全情報及 要 情報をいう
z 要保全情報 完全性 情報をいう
ら
z 例外措置 行 従 者 実施 任を持 情報コゥポモゾ゛ 規
程を遵 る 困 状況 行 適 遂行を る 遵
異 る 暶 方法を 用 又 遵 を実施 い い 合理的理由
ある場合 い 申請 許 を得 適用 る行 をいう
z ュエ゜ン 何ら 主体 主体認証を要求 る行 をいう ュエ゜ン
主体認証 行われる ュエ゜ン 段 主体 当 ある 限ら い
z ュエアン ュエ゜ン 結果 より 主体認証を要求 主体 当 ある
情報クケゾヘ 確認 れ 状態をいう
9
第 部 組織と体制の整備
2.1 導入
2.1.1 組織 体制の整備
趣旨 必要性
情報コゥポモゾ゛対策 れ る 行 従 者 職 及 職 応
えられ いる 限 を理解 う を全う る 実現 れる
れら 限 を明確 必要 る組織ン体 を整備 る必要 ある
れら を 案 曓 情報コゥポモゾ゛対策 る組織ン体 る対
策基準を る
遵守事項
(1) 暷高情報コゥポモゾ゛ 任者 設置 基曓遵
(a) 暷高情報コゥポモゾ゛ 任者を 人置
解 各府省庁 る情報コゥポモゾ゛対策 暷高 任者を置 を ある
情報コゥポモゾ゛対策 実現 行 従 者一人一人 意識 向
や 遂行 ろん 組織的 組 や幹部 任
を持 必須 あり 各府省庁 る暷高 任者 設置 役割 明確化 重要 ある 曓統一基準 規 る各役割 い
゜ベヴグ 曓書 添資料A.1.1 を参考 れ い
(b) 暷高情報コゥポモゾ゛ 任者 府省庁 る情報コゥポモゾ゛対策 る
を統 る
解 暷高情報コゥポモゾ゛ 任者 各府省庁 る情報コゥポモゾ゛ 対策 体 十 機能 るよう 管理 る 省庁対策基準
決 や評価結果 よる見直 る 認等を行う
(c) 暷高情報コゥポモゾ゛ 任者 必要 応 情報コゥポモゾ゛ る 門的
知識及 経 を暼 門家を暷高情報コゥポモゾ゛゚チト゜ギヴ 置
解 情報コゥポモゾ゛ る 門家を暷高情報コゥポモゾ゛゚チト゜ギヴ
置 を ある
各府省庁 る情報コゥポモゾ゛対策 い 情報クケゾヘ る 術や 案 対 る対処等 門的 知識及 経 必要 る
省庁対策基準 策 ン 入 ら運用 評価 見直 門的 言を行う 門家を活用 る 重要 ある
暷高情報コゥポモゾ゛ 任者 情報クケゾヘ る 門的 知識及
10
経 を高 水準 暼 いる 門家 言を必要 い い 特 場合を 置 を義 付 いる ある
CIO 情報化統 任者 補 官 暷高情報コゥポモゾ゛゚チト
゜ギヴを兼 る る
(2) 情報コゥポモゾ゛委員会 設置 基曓遵
(a) 暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛委員会を設置 委員長及 委員を置
解 各府省庁 省庁対策基準 策 等を行う機能を持 組織 設置 い ある
情報コゥポモゾ゛対策 運用を 滑 る 委員会を設置 組織 全体 り組 重要 ある 暷高情報コゥポモゾ゛ 任者 委 員長を兼 る 能 ある
実 を担当 る 委員会を設置 又 既 情報クケゾヘ管 理部門 情報コゥポモゾ゛対策 各府省庁 運用を統 る機能を 持 る等 部門 断的 連携 組 を確立 る 望 れる (b) 情報コゥポモゾ゛委員会 情報コゥポモゾ゛ る省庁対策基準を策
暷高情報コゥポモゾ゛ 任者 認を得る
解 全省的 る 省庁対策基準策 る情報コゥポモゾ゛委員会
役割を ある
(3) 情報コゥポモゾ゛ 査 任者 設置 基曓遵
(a) 暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 査 任者を 人置
解 各府省庁 い 策 省庁対策基準 基 査を行う 任者を置
を ある
情報コゥポモゾ゛ 査 任者 情報コゥポモゾ゛ 任者 管 る組 織 る情報コゥポモゾ゛ 査を実施 る 情報コゥポモゾ゛
任者 兼 る い
査 実効性を確保 る 情報コゥポモゾ゛ 任者より職 席者を情報コゥポモゾ゛ 査 任者 置 望 い 情報コゥポモゾ゛ 査 任者 各府省庁 情報コゥポモゾ゛ る情報を共暼 る 情報コゥポモゾ゛委員会 アノギヴト 参 る 望 れる
情報コゥポモゾ゛ 査 任者 業 を補 る 府省庁 部及 外部 担当者を置 必要性を検討 る 望 れる 業 実効性を担保 る 外部組織 活用 考えられる
11
(b) 情報コゥポモゾ゛ 査 任者 暷高情報コゥポモゾ゛ 任者 指示 基
査 る を統 る
(4) 情報コゥポモゾ゛ 任者 設置 基曓遵
(a) 暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 運用 る管理を行う
単 を 単 情報コゥポモゾ゛ 任者を置 う 情
報コゥポモゾ゛ 任者を統 る者 統 情報コゥポモゾ゛ 任者を 人置
解 組織 役割 明確化 情報コゥポモゾ゛対策 運用 い 管理を行う単 を決 る を ある
管理を行う単 部 局 外局 地方支 局等含 や情報 クケゾヘ 等 挙 られる 情報コゥポモゾ゛ 任者 府省庁 実 施手 を策 る 組織 情報コゥポモゾ゛対策 運用実 態を十 踏 え 実 ヤパャ 管理 組 を確立 行
従 者 周知や教育を行う等 個 対策を機能 る環境 を整備 る 重要 ある
(b) 情報コゥポモゾ゛ 任者 管 る単 る情報コゥポモゾ゛対策
る を統 る
(c) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 る 用 開始 終
了及 人 異動等 る管理 規 を整備 る
解 用 開始 終了及 人 異動等 る管理 規 現実 人 配置状況 情報クケゾヘ ゚ェコケ 付 状況等 整合や 用及 異動時等 る適 教育 十 を原因 る情報コゥポ モゾ゛ 侵害を回避 る を目的 る規 ある
体的
ン人 担当課又 各課室 ら 情報クケゾヘ 管課 人 異動 る 情報 提供 れる連絡体
ン人 異動 情報 基 ゚ェコケ 変更 職員 教育等 情報コ ゥポモゾ゛ 業 を適 実施 る 手
等を整備 る 求 られる
れ 転出 伴う゚ィゞンダ 失効 情報クケゾヘ ゚ェコケ 変更 管理等 含 れる
(d) 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 る 用 開始 終了及
人 異動等 る管理 規 従 運用 れ いる を 期的 確
認 る
(e) 暷高情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者を置い 時及 変更
時 統 情報コゥポモゾ゛ 任者 を連絡 る
(f) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任者 対 る連絡 網を整備 る
12 (5) 情報クケゾヘコゥポモゾ゛ 任者 設置
基曓遵
(a) 情報コゥポモゾ゛ 任者 管 る単 る情報クケゾヘ 情報クケ
ゾヘコゥポモゾ゛ 任者を置
解 各情報クケゾヘ い 計画 構築 運用等 メ゜ネキ゜ェャ全般を 通 必要 る情報コゥポモゾ゛対策 任者を置 を
ある
府省庁 LANクケゾヘ よう 全省的 クケゾヘ 特 部門 る個 業 クケゾヘ 府省庁 情報クケゾヘを 情報クケゾ ヘ単 情報コゥポモゾ゛対策 運用 任 を明確 る 重要 ある
(b) 情報クケゾヘコゥポモゾ゛ 任者 管 る情報クケゾヘ 対 る情報コゥポ
モゾ゛対策 る を統 る
(c) 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛ 任者を置い 時及 変
更 時 統 情報コゥポモゾ゛ 任者 を報告 る
(d) 統 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛ 任者 対 る連絡網を整備 る
(6) 情報クケゾヘコゥポモゾ゛管理者 設置 基曓遵
(a) 情報クケゾヘコゥポモゾ゛ 任者 管 る情報クケゾヘ 管理業 い
必要 単 情報クケゾヘコゥポモゾ゛管理者を置
解 各情報クケゾヘ い 管理業 情報コゥポモゾ゛対策 実施を管理 る者を置 を ある
計画 構築 運用等 情報クケゾヘ メ゜ネキ゜ェャやキヴト タヴシ パヴケ ゚ハモォヴクミン等 装置ン機能 必要 応 設置 る 必要 ある
情報クケゾヘコゥポモゾ゛管理者 情報コゥポモゾ゛ 任者 よ られ 手 や 断 れ 従い 対策を実施 る
(b) 情報クケゾヘコゥポモゾ゛管理者 管 る管理業 る情報コゥポモゾ
゛対策を実施 る
(c) 情報クケゾヘコゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛管理者を置い
時及 変更 時 統 情報コゥポモゾ゛ 任者 を報告 る
(d) 統 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛管理者 対 る連絡網を整備 る
(7) 課室情報コゥポモゾ゛ 任者 設置 基曓遵
(a) 情報コゥポモゾ゛ 任者 各課室 課室情報コゥポモゾ゛ 任者を 1 人置
13
解 課室単 情報コゥポモゾ゛対策 を統 る者を置 を ある
課室情報コゥポモゾ゛ 任者 管 る や職員 る情報 扱い等 是非を 断 情報 持 出 や公開等 い
任を暼 る者 あり 課室長若 れ 相当 る者 ある 望 い 情報コゥポモゾ゛ 任者 各課室 1 人任 統 情報 コゥポモゾ゛ 任者 報告 る ある
(b) 課室情報コゥポモゾ゛ 任者 課室 る情報コゥポモゾ゛対策 る
を統 る
(c) 情報コゥポモゾ゛ 任者 課室情報コゥポモゾ゛ 任者を置い 時及 変更
時 統 情報コゥポモゾ゛ 任者 を報告 る
(d) 統 情報コゥポモゾ゛ 任者 課室情報コゥポモゾ゛ 任者 対 る 連絡網を整備 る
2.1.2 役割の割当
趣旨 必要性
情報コゥポモゾ゛対策 る組織 い 認 る者 認 れる者 一 ある場
合や 査 る者 査 れる者 一 ある場合 情報コゥポモゾ゛ 確保 れ い
る 確認 証明 れ ら い 情報コゥポモゾ゛を確立 る 兼
い い役割 る 認や許 案 い 情報コゥポモゾ゛
対策 る組織体 え 職 限等 ら 当 組織体 認等を行う者
認等を 場合 ある
れら を 案 曓 情報コゥポモゾ゛対策 る役割 割当 る
対策基準を る
遵守事項
(1) 兼 を禁 る役割 規 基曓遵
(a) 行 従 者 情報コゥポモゾ゛対策 運用 い 役割を兼
い
(゚) 認又 許 案 申請者 認 限者又 許 限者 認
限者等 いう
(゜) 査を る者 査を実施 る者
解 認又 許 る役割 者自ら 申請を る場合 申請
い 自ら 認又 許 る い 組織ン体 及
申請手 を整備 る 当 十 留意 る必要 あ る
14 (2) よる 認ン許
基曓遵
(a) 行 従 者 認 限者等 暼 る職 限等 ら 当 認 限者
等 認又 許 認等 いう 否 断を行う 適
認 られる場合 当 認 限者等 認等 申請を る
場合 い 当 認 限者等 認等を得 当 認 限者
等 認等を得る を要 い
解 認や許 案 容 よ 認 限者等 認等 否 断 を行う 適 い場合 想 れる よう 場合
申請 認等を得る る
兼 を禁 る役割 規 を遵 る必要 ある
自ら 認 限者 あ 当 自ら る 認
等 案 い 自ら 認等 ら い
(b) 行 従 者 前 場合 い 認等を え 認 限者等
る遵 準 措置を講 る
解 認 限者等 認等を行 場合 当 当 認 限
者等 遵 準 措置を講 る を求 る ある 例え 機密性 情報 完全性 情報又 用性 情報 い 府省 庁外 情報処理や府省庁外支給 外 情報クケゾヘ よる情報処理を 課室情報コゥポモゾ゛ 任者 わ 許 る場合
対 許 録を 得 る 求 られる
2.1.3 違反 例外措置
趣旨 必要性
各府省庁 い 情報コゥポモゾ゛を 的 維持 る 万一 あ 場
合 られ 手 従 適 対処 る必要 ある
情報コゥポモゾ゛ 規程 適用 行 適 遂行を著 妨 る等 理
由 より 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を 用 る 又 規
を実施 い を認 るを得 い場合 い られ 例外措置 手
より 情報コゥポモゾ゛を維持 軟 対応 る れ 当 規程
実効性を確保 る 困 る
れら を 案 曓 例外措置 る対策基準を る
遵守事項
(1) 対処
基曓遵
(a) 行 従 者 情報コゥポモゾ゛ 規程 重大 を知 場合 各
規 実施 任を持 情報コゥポモゾ゛ 任者 を報告 る
15
解 府省庁 い 情報コゥポモゾ゛を 的 維持 る 重大 を確実 捕捉 る ある 府省庁 い 例規 を知 者 れを報告 る義 課 れ り 情報コゥポモゾ
゛ 規程 い 各規 実施 任を持 情報コゥポ モゾ゛ 任者 報告 る る
情報コゥポモゾ゛ 規程 重大 当 より府省庁 業 重大 支 を来 又 能性 ある をいう
(b) 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 重大 報告を
場合及 自ら 重大 を知 場合 者及 必要 者 情報コゥポモ
ゾ゛ 維持 必要 措置を講 る
解 情報コゥポモゾ゛ 規程 重大 より機密性 完全性 用 性 損 われる等 情報及 情報クケゾヘを回復 る 情報 コゥポモゾ゛対策 適 実施を再 徹底 る 者及 当 規 実施 任を持 者を含 必要 者 情報コゥポモゾ゛維持
措置を講 る を求 る ある より情報 漏えい 滅失 損 又 情報クケゾヘ 利用 支 を来 いれ れを 急 解決 問題 大を防 る必要 ある 情報コゥポモゾ゛ 規程を知ら を犯 あれ 者及 当 規 実施
任を持 者を含 必要 者 れを知ら 情報コゥポモゾ゛を維持 る 措置を講 る必要 ある
(c) 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 重大 報告を
場合及 自ら 重大 を知 場合 暷高情報コゥポモゾ゛ 任者
を報告 る
解 情報コゥポモゾ゛ 規程 あ 場合 実を
容 結果 業 影響 社会的評価等を含 暷高情報コゥポ モゾ゛ 任者 報告 る を求 る ある
(2) 例外措置 基曓遵
(a) 情報コゥポモゾ゛委員会 例外措置 適用 申請を審査 る者 許 限者
いう を 審査手 を整備 る
解 例外措置 適用 申請を 審査を遅滞 実施 るよう
許 限者を 審査手 を整備 ある 緊急を
要 申請 れる場合 遂行 要 遅滞を生 審査を や 実施 る必要 ある 申請 容 応 暷高情報コゥ ポモゾ゛ 任者 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 任 者 情報クケゾヘコゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛管理 者又 課室情報コゥポモゾ゛ 任者 中 ら許 限者を
重要 ある
(b) 行 従 者 例外措置 適用を希望 る場合 られ 審査手 従い
16
許 限者 例外措置 適用を申請 る 行 遂行 緊急を要
る等 場合 あ 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を直
用 る 又 規 を実施 い 避 や 申請 許
を得る 行 従 者 申請 を含 目を明確 る
(゚) 申請者 情報 氏 属 連絡
(゜) 例外措置 適用を申請 る情報コゥポモゾ゛ 規程 適用箇 規程 条 等
(ゞ) 例外措置 適用を申請 る期間
(゠) 例外措置 適用を申請 る措置 容 講 る 暶手段等 (ア) 例外措置 適用を終了 報告方法
(ィ) 例外措置 適用を申請 る理由
解 例外措置を行 従 者 断 行わ い ある 行 従 者 られ 審査手 従い例外措置 適用を申請 許 を得 ら 例外措置を講 る 行 遂行 緊急を 要 る等 場合 あ 情報コゥポモゾ゛ 規程 規 異 る
暶 方法を直 用 る 又 規 を実施 い 避 や 申請 許 を得る
行 従 者 例外措置 適用を希望 る場合 当 例外措置 を適用 場合 被害 大 影響を検討 析 る必要 ある
例外措置 適用 必要 ある 断 場合 モケェを 減 る 補完措置を提案 適用 申請を行う必要 ある
(c) 許 限者 行 従 者 よる例外措置 適用 申請を られ 審査手
従 審査 許 否を決 る 決 目を含
例外措置 適用審査 録を作 暷高情報コゥポモゾ゛ 任者 報告 る (゚) 決 を審査 者 情報 氏 役割 属 連絡
(゜) 申請 容
• 申請者 情報 氏 属 連絡
• 例外措置 適用を申請 る情報コゥポモゾ゛ 規程 当箇 規程
条 等
• 例外措置 適用を申請 る期間
• 例外措置 適用を申請 る措置 容 講 る 暶手段等
• 例外措置 適用を終了 報告方法
• 例外措置 適用を申請 る理由 (ゞ) 審査結果 容
• 許 又 許
• 許 又 許 理由
• 例外措置 適用を許 情報コゥポモゾ゛ 規程 適用箇 規程
条 等
• 例外措置 適用を許 期間
17
• 許 措置 容 講 る 暶手段等
• 例外措置を終了 報告方法
解 許 限者 例外措置 適用 申請を適 審査 る ある
審査 当 例外措置 適用を許 場合 モケェ 許 場合 行 遂行等 影響を評価 断を行う必 要 ある 例外措置 適用審査 録 将来 許 を り 消 場合 当 る申請を 把握 一 性を り消
必要 る
゚ 役割 暷高情報コゥポモゾ゛ 任者 統 情報コゥ ポモゾ゛ 任者 情報コゥポモゾ゛ 任者 情報クケゾヘコゥポモゾ゛
任者 情報クケゾヘコゥポモゾ゛管理者又 課室情報コゥポモゾ゛ 任者 い れ を 載 る
(d) 行 従 者 例外措置 適用 い 許 を 例外措置を適用 場合
れを終了 当 例外措置 許 限者 を報告 る
許 限者 報告を要 い 場合 限り い
解 例外措置 適用 終了を確認 る ある
例外措置 適用期間 終了 場合及 期間終了前 適用を終了 る場 合 許 を 行 従 者 許 限者 終了を報告
れ ら い
(e) 許 限者 例外措置 適用を許 期間 終了期日 許 を 者 ら
報告 暼無を確認 報告 い場合 許 を 者 状況を報告 必要
措置を講 る 許 限者 報告を要 い 場合 限り
い
解 例外措置 適用期間を 許 を 者 遵 る ある 必要 措置 許 を 者 報告を怠 いる あれ れを督 る 許 を 者 例外措置 適用を いる場 合 延長 い 申請 れ い 審査 る 挙 ら れる
(f) 暷高情報コゥポモゾ゛ 任者 例外措置 適用審査 録 帳を整備 例外措置
適用審査 録 参照 い 情報コゥポモゾ゛ 査 任者 ら 求 応 る
解 暷高情報コゥポモゾ゛ 任者 例外措置 適用審査 録 帳を維持ン 整備 る を求 る ある 例外措置 適用を許
れ 情報コゥポモゾ゛ 規程 規 異 る 暶 方法を 用 る 又 遵 を実施 い い 変わり い 例 外措置を適用 いる より重大 情報コゥポモゾ゛ 侵害 生 場合 様 例外措置を適用 いる者 対 情報コゥポ モゾ゛ 侵害 生 予防 い 注意を喚起 り 例外措置適用 許
い 見直 を り る 対処を検討 る必要 ある
18
例外措置を適用 いる者や情報クケゾヘ 現状 い 暷新 状態 を 中 把握 る必要 ある
19
2.2 運用
2.2.1 情報セキュ テ 対策の教育
趣旨 必要性
情報コゥポモゾ゛ 規程 適 策 れ 行 従 者 容
周知 れ 行 従 者 れを遵 い場合 情報コゥポモゾ゛対策 水準
向 を望 い 行 従 者 情報コゥポモゾ゛
対策 教育を通 情報コゥポモゾ゛ 規程 る理解を深 情報コゥポモゾ゛
対策を適 実践 るよう る 必要 ある
れら を 案 曓 情報コゥポモゾ゛対策 教育 る対策基準を
る
遵守事項
(1) 情報コゥポモゾ゛対策 教育 実施 基曓遵
(a) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行
従 者 対 啓 を る
解 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 啓 実施を求 る ある
(b) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行
従 者 教育 容を検討 教育 資料を整備 る
解 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛対策 教育 資 料を整備 る を求 る ある
教育 容 い 府省庁 実情 合わ 幅広い角 ら検討 行 従 者 対策 容を十 理解 る る必要 ある
府省庁 情報コゥポモゾ゛ る網羅的 資料 講 る者 理解 限 資料を教育 用いる
ある わ 資料 作 い 遵 を遵 者
整理 講 る者 遵 る必要 い 極力含 いよう 配慮 る必要 ある
遵 外 あ 教育 容 含 る 望
い情報コゥポモゾ゛対策 例 機能 る 明 挙
られる れ 当 機能 を周知 る い
抑 効果を期待 る場合 ある ある
(c) 統 情報コゥポモゾ゛ 任者 行 従 者 毎 暷 回 講 る
よう 情報コゥポモゾ゛対策 教育 る計画を企画 立案 る 実施体 を整備 る
解 情報コゥポモゾ゛対策 教育 暷 限 講回数等 い ある
20
情報コゥポモゾ゛ 案 生 情報コゥポモゾ゛環境 変化 応 適 教育を行う 重要 ある 計画 作
る教育計画を参照 効率性 注意 る 人材育 留 意 る
(d) 統 情報コゥポモゾ゛ 任者 行 従 者 着任時 異動時 新 い職場
等 暻 講 るよう 情報コゥポモゾ゛対策 教育を企画 立案
る 実施体 を整備 る
解 着任 異動 行 従 者 対 期 情報コゥポモゾ゛対策 教育を 講 る よ 当 行 従 者 情報コゥポモ ゾ゛対策 適 実施を求 る ある
異動 使用 る情報クケゾヘ 異動前 変わら い 教育を い い 合理的 理由 ある場合 対象 ら 外 れ得る
(e) 統 情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育 講状況を管理 る 組 を整備 る
解 情報コゥポモゾ゛対策 教育 講状況 い 把握 る 組 を整 備 る を求 る ある
(f) 統 情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育
講状況 い 課室情報コゥポモゾ゛ 任者 通知 る
解 計画 れ 教育 実施 向 情報コゥポモゾ゛対策 教育を 講 い い行 従 者を課室情報コゥポモゾ゛ 任者 通知 る
を ある
(g) 課室情報コゥポモゾ゛ 任者 行 従 者 情報コゥポモゾ゛対策 教育
講 れ い い場合 曑 講 者 対 講を勧告 る
行 従 者 当 勧告 従わ い場合 統 情報コゥポモゾ゛
任者 を報告 る
解 情報コゥポモゾ゛対策 教育を 講 い者 対策を あ る
計画 れ 教育を 講 い行 従 者 遵 い 任を問われる る
(h) 統 情報コゥポモゾ゛ 任者 毎 回 暷高情報コゥポモゾ゛ 任者及
情報コゥポモゾ゛委員会 対 行 従 者 情報コゥポモゾ゛対策 教
育 講状況 い 報告 る
解 暷高情報コゥポモゾ゛ 任者及 情報コゥポモゾ゛委員会 情報コゥポ モゾ゛対策 教育 講状況を報告 る を求 る ある
強化遵
(i) 統 情報コゥポモゾ゛ 任者 情報コゥポモゾ゛ 規程 い 行 従 者 対 る情報コゥポモゾ゛対策 訓練 容及 体 を整備 る
解 模擬的 状況 い 実 情報コゥポモゾ゛対策 を行う より 知識ン 能等 習得 る 実施 る訓練 容及