会議

各府省庁の情報セキュリティ対策の評価に係る基本方針について（案）

1. 各府省庁の情報セキュリティ対策についての総合的・客観的・統一的評価の必要性
   　各府省庁における情報セキュリティの確保は、当該府省庁の責任であり、各府省庁の情報セキュリティ対策が政府の基本方針及び当該府省庁の情報セキュリティポリシー、情報システム関係訓令等に基づき遺漏無く適切に行われているかどうかについても、第一次的には、当該府省庁が、自己点検し、又は外部の者に監査等を委託することにより、自らの責任において確認すべきものである。
   　しかしながら、各府省庁による自己点検は、ややもすると客観性に欠けるおそれがあるだけでなく、これを実施するための十分な能力を有する者を各府省庁の内部において相当数確保することは、必ずしも容易ではない。そして、仮に、複数の府省庁が同等の能力を有する自省の職員によってそれぞれ自己点検を実施した場合であっても、（これらの府省庁が別々の基準により自己点検を実施したときはもとより、共通の基準によりこれを実施したときでも、）これらの府省庁での自己点検の結果を比較することは困難である。
   　また、各府省庁が外部の者に委託して監査等を行わせる場合も、委託先の能力や委託契約の内容によっては、やはり複数の府省庁に係る結果の比較は困難である。
   　このため、各府省庁の情報セキュリティ対策を客観的に評価するとともに、これらの評価結果を比較検証し、政府全体として情報セキュリティ対策の実を挙げるためには、各府省庁に対して中立的な同一の主体が同一の判断基準に基づいて、監査等を実施することが必要である。
   　このような観点から、昨年は、内閣官房が各府省庁の情報システムの脆弱性に関する検査を実施したところであるが、これは、各府省庁の情報セキュリティ対策について、統一的な基準に基づく客観的な立場からの評価を行ったという点では、政府で初めての試みであった。
   　当該脆弱性検査の結果、各府省庁の情報セキュリティ水準にはばらつきがあり、まだまだ政府全体としての情報セキュリティ対策は不十分であることが判明したところであり、今後も、こうした内閣官房等による各府省庁の情報セキュリティ対策の評価が有効かつ必要であることが明らかになったところである。
   　他方、当該脆弱性検査は、情報システムの技術的観点からの安全性に係る事項について、その一部を検査したものに過ぎず、最近の官民における情報漏洩事案等の多くが情報システムの技術的側面だけでなく、運用面にも起因するものであることをも踏まえれば、今後は、情報システムのいわゆる技術的セキュリティに関する事項だけでなく、情報システム及びその運用に係るいわゆる物理的、人的セキュリティに関する事項をも含めた総合的な評価を実施していくことが必要であると考えられる。

2. 各府省庁の情報セキュリティ対策の評価に係る基本方針

   (1)	評価は、別途策定する「各府省庁の情報システム及びその運用に関する安全基準」（以下「基準」という。）に基づき、内閣官房が総合的・客観的・統一的な視点で実施するものとし、内閣官房は、必要に応じて関係府省庁の協力を得るものとする。
   (2)	評価を効率的に実施し、及び評価を実施するために必要な能力を有する者を政府部内において育成し、確保するため、民間が有する知識及び技術の活用について考慮するものとする。この場合においては、内閣官房への非常勤職員としての採用その他の必要な措置を講ずることにより、秘密の保持及び責任の所在の明確化を図ることとする。
   (3)	評価の結果については、当該府省庁の情報セキュリティ水準が客観的に明示できるような方法を工夫することとする。
   (4)	各府省庁は、評価の結果を踏まえ、必要とされる情報セキュリティ対策の予算及び人員の確保について考慮するものとする。
   (5)	（１）から（４）までに定めるもののほか、評価の対象となる情報システムの範囲、評価の実施方法、その他評価を実施するために必要な事項は、１の趣旨を踏まえつつ、内閣官房が各府省庁と協議して定めるものとする。