Home(page1) | page2 | page3 | page4 | page5
第1章 総 則
(趣旨)
第1条 この達は、海上自衛隊における情報保証に関して必要な事項を定めるものとする。
(定義)
第2条 この達において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1) 部隊等 海上幕僚監部並びに長官直轄部隊及び当該部隊の編成に加わる各級の部隊並びに機関(海上幕僚長の監督を受ける自衛隊地区病院を含む。)をいう。
(2) 幹部自衛官等 幹部自衛官及び行政職俸給表(一)2級(任命権に関する訓令(昭和36年防衛庁訓令第4号)別表に掲げる行政職俸給表(一)2級に対応する各俸給表の職務の級を含む。)以上の事務官等をいう。
(適用除外)
第3条 ネットワークに接続しないで独立して業務処理を行う1台の電子計算機及び当該電子計算機において取り扱われるデータは、必要と認める場合を除き、第12条、第13条、第15条、第17条、第21条、第22条、第24条から第26条まで、第30条、第31条及び第33条から第35条までの規定を適用しない。
2 防衛庁の情報保証に関する訓令(平成16年防衛庁訓令第29号。以下「訓令」という。)第3条第1項及び第2項並びに前項に規定する情報保証責任者が必要と認める場合は別に定める。
第2章 組織及び体制
(情報保証責任者補助者)
第4条 情報保証責任者補助者は、海上幕僚監部指揮通信情報部長をもって充てる。
2 情報保証責任者補助者は、情報保証に関する事務に関し情報保証責任者を補佐する。
(情報保証対策委員)
第5条 訓令第5条第2項に規定される情報保証対策委員会の委員は、海上幕僚監部指揮通信情報部指揮通信課長をもって充てる。
(海上自衛隊情報保証対策委員会)
第6条 海上自衛隊の情報保証に関して部隊等相互間の調整、連絡及び技術的事項の検討並びに第36条に規定する評価及び見直しの審議を行うため、海上自衛隊情報保証対策委員会(以下「海自対策委員会」という。)を置く。
2 委員長は、海上幕僚監部指揮通信情報部長をもって充てる。
3 海自対策委員会の構成、運営は別に定める。
(システム管理者)
第7条 訓令第6条に規定されるシステム管理者は別に指定する。
2 システム管理者は、所掌する情報システムの情報保証に関して、第9条に規定するシステム使用責任者を統制し、当該情報システムの運用、維持管理等を行う。
(事案対処責任者等)
第8条 訓令第7条第3項に規定される事案対処責任者は、システム通信隊群司令をもって充てる。
2 事案対処責任者は、情報システムのサイバー攻撃等の未然防止及び対処に関しシステム管理者を統制し、又はシステム管理者に対し技術的支援を行う。
3 情報システムのサイバー攻撃等の未然防止及び対処を実施し、事案対処責任者を包括的に補佐する者として、事案対処実施者を、所掌する地域の範囲に応じて事案対処責任者を補佐する者として、地区事案対処実施者を置く。
4 事案対処実施者は、保全監査隊司令をもって、地区事案対処実施者は、各システム通信隊司令並びに各システム通信分遣隊長及び別に指定する者をもって充てる。
5 事案対処責任者は、必要に応じ、指揮通信開発隊司令から情報保証に関する技術的支援を得ることができる。
(システム使用責任者)
第9条 各システム管理者が運用、維持管理する情報システムを保有し、使用する部隊等において当該情報システムの情報保証に関して、システム管理者の統制を受け、第11条に規定するシステム利用者の指導監督その他の事務を行うものとしてシステム使用責任者を別表のとおり置く。
(システム使用責任者補助者)
第10条 システム使用責任者は、幹部自衛官等のうちから、システム使用責任者補助者を指定するものとする。
2 システム使用責任者補助者の指定に当たっては、努めてシステム使用責任者の直近下位の者を充てるものとする。ただし、幹部自衛官等がシステム使用責任者の下にいないときは、システム使用責任者補助者を置かない。
3 システム使用責任者補助者は、この達の定めるところにより、システム使用責任者の情報保証に伴う事務を補佐する。
(システム利用者)
第11条 情報システムにアクセスしてそれを利用できる者として指定された隊員を「システム利用者」という。
2 システム利用者は、情報システムの利用に当たり、システム使用責任者の指導監督に従い、情報保証の確保に努めるものとする。
第3章 物理的対策
(サーバ等の設置)
第12条 訓令第8条の規定に基づき、情報保証を確保するために必要と認めるときは、システム管理者に命じ情報システム室にサーバ等を設置するものとする。
(情報システム室の入退室管理)
第13条 システム使用責任者は、訓令第9条の規定に基づき、情報システム室の入退室を、許可された者のみに限定することとし、入退室の記録、身分証明書等の装着等、入退室管理に必要な措置を講じなければならない。
2 情報システム室への立入許可は、当該システム室を管理するシステム使用責任者又は部隊等の長(以下「立入許可権者」という。)が行うものとする。
3 立入許可権者は、次の各号に定める者に対する情報システム室への立入許可は、秘密保全に関する達(昭和43年海上自衛隊達第76号)(以下「保全達」という。)第18条第4項を準用する。
(1) 情報システム室において勤務を命ぜられた者
(2) システム管理者又はシステム使用責任者がその職務遂行上必要と認めた者
4 立入許可権者は、情報システム室への立入りを部外の者に行わせる場合には、保全達第18条第5項の規定を準用し、立入りを許可するものとする。
5 入退室の記録に関しては、保全達第18条第6項の規定を準用する。
6 情報システム室を管理する者は、天災その他やむを得ない事由があると認めるときは、第1項の規定にかかわらず必要な人員を当該情報システム室に立ち入らせることができる。
(情報システムの搬入又は設置等)
第14条 システム使用責任者は、情報システムの搬入又は設置等を部外の者に行わせる場合には、システム使用責任者の指定する者が同行する等の措置を講じなければならない。
(情報システムの部外への設置)
第15条 システム管理者は、訓令第11条の規定に基づき、情報システムの一部を部外に設置する場合には、事前に情報保証責任者の承認を得なければならない。
(端末の管理)
第16条 システム使用責任者は、訓令第12条に規定される事務室等に隊員がいない場合における当該事務室等の施錠その他端末の盗難防止のための措置を講じなければならない。
2 システム使用責任者は、訓令第12条第2項の規定に基づき、隊員が事務室等に情報システムの端末を持ち込む場合又は事務室等から持ち出す場合には、当該情報システムのシステム管理者の許可を得なければならない。
3 システム使用責任者は、端末の移動許可に関し、別記様式第1の端末等移動管理簿を作成し、許可内容を記録しなければならない。
第4章 人的対策
(認証情報等の管理)
第17条 システム管理者は、システム利用者に対し、認証情報及び必要に応じこれを記録したICカードその他の媒体を付与するものとする。
2 システム使用責任者は、システム利用者に対し、前項の規定により付与されたシステム利用者を特定するための認証情報及びこれを記録したICカードその他の媒体を適切に管理させるものとする。
(教育及び訓練)
第18条 システム管理者、システム使用責任者及び事案対処責任者は、必要に応じ、隊員に対し、情報保証に必要な知識の習得及び意識の高揚を図るため、情報保証に関する教育を行うものとする。
2 事案対処責任者は、前項の教育の実施に関し、システム管理者及びシステム使用責任者に対し、必要に応じ、所要の技術的な支援を行うものとする。
3 システム管理者及び事案対処責任者は、必要に応じ、サイバー攻撃等対処訓練を計画・実施するものとする。
4 前項の規定により、システム管理者がサイバー攻撃等対処訓練を実施する場合は、事前に事案対処責任者と協議を行うものとする。
(システム利用者以外の情報システムの利用)
第19条 システム使用責任者は、維持管理等においてシステム利用者以外の者に情報システムを利用させる場合は、システム管理者の定める当該情報システムを取り扱う際にシステム利用者が守るべき内容を当該システム利用者以外の者に理解させ、遵守させるようにしなければならない。
(業務目的以外の使用禁止)
第20条 システム利用者は、システム管理者が定めた業務目的以外で情報システムを使用してはならない。
第5章 技術的対策
(情報システムの技術に関する基準)
第21条 システム管理者は、訓令第17条の規定により官房長が別に定める情報システムが満たすべき情報保証に関する技術上の基準に従い、必要な保全措置を講じるものとする。
2 前項の規定によらない場合については、情報保証責任者の許可を得なければならない。
(情報システムの導入)
第22条 新たに導入する情報システムを運用、維持管理する部隊等の長は、事前に情報保証責任者に対し、当該システムの導入及びシステム管理者の指定について申請するものとする。また、この際、すでに稼働している情報システムと接続する場合には、当該システム管理者と接続に関する協議を実施し、情報保証上の支障が生じないよう必要な措置を講じなければならない。
2 新たに情報システムを導入する部隊等の長は、情報システムの導入及び連接に対する情報保証上の技術的事項の検討について、海自対策委員会に諮るものとする。
3 システム管理者は、情報システムを導入した場合には、当該情報システムの別に定める構成データの記録を作成し、事案対処責任者に通報する。
4 隊員は、端末に対して、システム管理者に許可されていないソフトウェアを導入してはならない。
5 第1項及び第2項の規定は、海上自衛隊業務計画に基づく情報システムについては、海上幕僚監部装備品等性能審議委員会の第10分科委員会(以下「性審第10分科」という。)における審議をもって代えることができる。
(情報システムの変更)
第23条 システム利用者は、情報システムに係る配線の変更、改造、機器の増設、交換又はソフトウェアの変更等を行う必要がある場合は、システム使用責任者を経由し、システム管理者の許可を得なければならない。
2 システム管理者は、情報システムの構成を変更し、新たに他の情報システムと接続する場合又は当該接続形態を変更する場合は、当該システム管理者と接続に関する協議を実施し、情報保証上の支障が生じないよう必要な措置を講じなければならない。
3 システム管理者は、前項の規定する情報保証上の支障が生じるおそれのある場合、情報システムの変更及び連接に対する情報保証上の技術的事項の検討について、海自対策委員会に諮るものとする。
4 システム管理者は、情報システムの変更を行った場合には、当該情報システムの別に定める構成データの変更の記録を作成し、事案対処責任者に通報する。
5 第2項及び第3項の規定は、海上自衛隊業務計画に基づく情報システムについては、性審第10分科における審議をもって代えることができる。
(情報システムを利用する隊員の登録)
第24条 システム使用責任者は、システム使用責任者補助者及びシステム利用者の登録、変更、抹消等を別記様式第2により、適切に行わなければならない。
2 システム利用者の登録、変更、抹消等が当該システムにより可能なものについては、別記様式第2による管理をシステムによる管理に代えることができる。
(アクセス制御)
第25条 システム管理者は、訓令第21条の規定に基づき、電子計算機情報のうち、利用を制限しなければならない情報がある場合には、アクセスを制限するための措置を講じなければならない。
2 システム管理者は、部外からのアクセスを許可する場合は、情報保証責任者に申請し、許可を得なければならない。
(アクセス記録)
第26条 システム管理者及びシステム使用責任者は、訓令第22条の規定に基づき、システム構成上可能な場合に、端末及びサーバ等へアクセスした記録(以下「アクセス記録」という。)の取得及び保存を実施する。
2 事案対処責任者はサイバー攻撃等への対処に際し、必要と認める場合には、アクセス記録の保存に関し、システム管理者に所要の指示をすることができる。
3 アクセス記録の詳細及び保存要領については別に示す。
(情報システムの障害発生時の措置等)
第27条 システム管理者は、訓令第23条に基づき、障害を復旧するための措置、障害の記録の作成及び保存並びに定期的な電子計算機情報の複製の作成及び保存を含めた、情報システム障害発生時の措置要領を定めなければならない。
(情報システムの修理、廃棄等)
第28条 システム管理者及びシステム使用責任者は、情報システムの全部又は一部を修理、廃棄又は返却等のため部外の事業者に受け渡す場合は、別に示す保全上の措置を講じなければならない。
(情報システムの仕様書等の管理)
第29条 訓令第25条に規定される情報システムの仕様書、ネットワーク構成図、基本設計書及び詳細設計書並びにこれらを記録した記録媒体の管理要領については、別に示す。
(情報システムの調達)
第30条 訓令第26条の規定によるほか情報システムの調達について必要な事項は、別に示す。
(セキュリティ情報の収集)
第31条 訓令第27条の規定に基づき行うセキュリティ情報の継続的な収集の要領は、別に示す。事案対処責任者は当該情報収集について情報保証責任者を補佐し、必要に応じ情報保証責任者に報告するとともに、システム管理者及びシステム使用責任者に通知するものとする。
2 システム管理者及びシステム使用責任者は、セキュリティ情報を常に把握し、必要に応じ情報保証責任者に報告するとともに事案対処責任者に通報するものとする。
3 システム管理者及びシステム使用責任者は、セキュリティ情報に関して必要な事項を、隊員に周知徹底するものとする。
第6章 運用
(遵守状況の確認)
第32条 訓令第28条の規定は、システム使用責任者についても準用する。
2 隊員は、この達に関する違反が発生した場合は、直ちにシステム使用責任者に報告しなければならない。また、システム使用責任者は、隊員の違反の状況を直ちにシステム管理者に報告しなければならない。
3 システム管理者は、違反の発生が直ちに情報保証上重大な影響を及ぼす可能性があると判断した場合には、情報保証責任者に報告するとともに、事案対処責任者に通報しなければならない。
(サイバー攻撃等の未然防止)
第33条 訓令第29条の規定に基づくサイバー攻撃等に対処するための要領は、別に示す。
2 事案対処責任者は、前項に規定する要領に基づき、サイバー攻撃等の未然防止のための必要な措置に関し、事案対処統括者及び他の機関等の事案対処責任者と調整を行い、システム管理者を統制し、又はシステム管理者に対し技術的支援を行うものとする。
3 システム使用責任者は、第1項に規定する要領に基づき、システム管理者が行うサイバー攻撃等を未然に防止するための措置を講ずるものとする。
4 システム管理者は、サイバー攻撃等の未然防止のための必要な措置に関し、必要と認める場合、他のシステム管理者による技術的支援を得ることができる。
(サイバー攻撃等への対処)
第34条 システム利用者は、サイバー攻撃等の兆候あるいは被害を認めた場合、前条第1項に規定する要領に基づき、速やかにシステム使用責任者に報告するものとする。
2 システム使用責任者は、前項の報告があった場合又はサイバー攻撃等の発生を認めた場合には直ちにシステム管理者に報告するとともに事案対処責任者に通報する。また、前条第1項に規定する要領に基づき、証拠保全、被害拡大防止、復旧等の措置を迅速に実施するとともに、再発防止のための措置を講じなければならない。
3 事案対処責任者は、サイバー攻撃等が他の機関等の情報システムに影響を及ぼすおそれがある場合は、事案対処統括者及び他の機関等の事案対処責任者に通報し、当該事案対処責任者と連携して対処する。
4 事案対処責任者は、前条第1項に規定する要領に従い、サイバー攻撃等の対処についてシステム管理者を統制し、又はシステム管理者に対し技術的支援を行うものとする。ただし、サイバー攻撃等の状況により事案対処責任者が必要と認めた場合は、システム使用責任者を統制し、又はシステム使用責任者に対し技術的支援を行うことができる。
5 第1項及び第2項の場合において、被害が重大であったときは、システム管理者は、各種情報保証対策の改善等再発防止に必要な事項を含め、情報保証責任者に報告するものとする。
6 システム管理者又はシステム使用責任者は、サイバー攻撃等への対処に関し、必要と認める場合、他のシステム管理者又はシステム使用責任者による技術的支援を得ることができる。
(監査)
第35条 訓令第31条第1項に基づく情報システムの監査は、海上幕僚監部監察官又は別に指示する者に実施させる。
2 システム管理者は、情報保証を確保するため、所掌する情報システムの導入、変更時等必要と認める場合、当該情報システムの監査を実施し、結果を情報保証責任者に報告するとともに、事案対処責任者に通報しなければならない。その際、要すれば、海上幕僚監部監察官の支援を得ることができる。
3 事案対処責任者は、必要に応じて、サイバー攻撃等の未然防止及び対処に係る情報システムの監査を実施することができる。なお、当該監査を実施した場合、結果を情報保証責任者に報告するとともにシステム管理者に通知するものとする。
4 監査を受ける情報システムを使用するシステム使用責任者は、監査が円滑に行われるよう、監査実施者に協力するものとする。
5 システム管理者は、監査の結果において重大な不具合を指摘された又は認めた場合、修正の可否、予算処置、修正時期等について海自対策委員会に諮り、結果を情報保証責任者に報告するものとする。
第7章 評価及び見直し
(評価及び見直し)
第36条 海自対策委員会は、技術の進歩等により情報システムに新たな対策等を講じる必要が生じた場合には、この達及び関連規則の実効性を評価し、必要に応じ見直しを審議する。
附 則
この達は、平成16年7月1日から施行する。
附 則〔防衛庁設置法等の一部を改正する法律等の施行に伴う関係海上自衛隊達等の整理に関する達の附則〕
この達は、平成18年3月27日から施行する。
附 則〔防衛庁の職員の給与等に関する法律の一部を改正する法律等の施行に伴う関係海上自衛隊達の整理に関する達による附則〕
この達は、平成18年4月1日から施行する。