なお、警察情報システムの整備に係る情報セキュリティ対策要綱の制定(平成25年総情発甲第227号)は、同日限り廃止する。

別記

愛知県警察情報システムの整備に係る情報セキュリティ対策要綱

第1　総則

1　目的

この要綱は、愛知県警察情報セキュリティに関する規程(平成30年愛知県警察本部訓令第20号。以下「セキュリティ規程」という。)第14条第2項の規定に基づき、警察情報システムの整備をする者が情報セキュリティを維持するために遵守すべき対策及び技術的要件を定めることを目的とする。

2　定義

(1)　この要綱における用語の意義は、セキュリティ規程及び管理対象情報の取扱いに係る情報セキュリティ対策要綱の制定(平成30年総情発甲第98号)中の定義、略称その他の例による。

(2)　この要綱において「クラウドサービス」とは、事業者により定義されたインタフェースを用いた拡張性及び柔軟性を持つ共用可能な物理的又は仮想的なリソースに、ネットワーク経由でアクセスするモデルを通じて提供され、利用者により自由にリソースの設定及び管理が可能なサービスであって、情報セキュリティに係る十分な条件設定の余地があるものをいう。

第2　技術的要件

システムセキュリティ責任者は、整備する警察情報システムについて、必要に応じてシステム管理者(愛知県警察情報管理システム運用管理規程(平成25年愛知県警察本部訓令第33号)第5条に規定する者をいう。)と連携し、総務部長が別に定める技術的要件を満たさなければならない。

第3　設計、調達、運用及び廃棄

1　共通事項

システムセキュリティ責任者は、次に掲げる事項を遵守しなければならない。

ア　警察情報システムの設計に当たっては、用途及び設置環境に応じた情報セキュリティ対策を講ずること。

イ　必要に応じて、整備する警察情報システムの情報セキュリティ機能の設計について第三者機関によるST(Security Target)(セキュリティ設計仕様書をいう。以下同じ。)評価及びST確認を受けること。

ウ　警察情報システムの整備又は運用開始時に、当該機器上で利用するソフトウェアに関連する公開された脆ぜい弱性についての対策を講ずること。

エ　警察情報システムの運用開始の手順及び環境を定めるに当たっては、情報セキュリティを損なうことのないよう留意するとともに、必要に応じて試験を実施すること。

オ　警察情報システムの移行又は廃棄を行う場合は、当該情報システムに保存されている管理対象情報に係る機密性、完全性及び可用性の分類並びに取扱制限を考慮した上で、次に掲げる措置を適切に執ること。

(ア)　警察情報システム移行時の管理対象情報の移行作業における情報セキュリティ対策

(イ)　警察情報システム廃棄時の不要な管理対象情報の消去

2　機器の調達

システムセキュリティ責任者は、警察情報システムを構成する機器の調達に当たっては、次に掲げるもののほか、総務部長が別に定める事項を遵守しなければならない。

ア　機器の選定にあっては、情報セキュリティの確保に必要な機能及び信頼性を有するものを選定すること。

イ　情報セキュリティに配慮したIT製品を効率的に調達できるよう経済産業省が策定した指針を参照して利用環境における脅威を分析した上で、当該機器に存在する情報セキュリティ上の脅威に対抗するための情報セキュリティ要件を策定すること。

ウ　必要に応じて、機器の納入時における検査等を実施すること。

3　プログラム開発

システムセキュリティ責任者は、警察情報システムのプログラム開発を行うときは、総務部長が別に定める事項を遵守しなければならない。

4　外部委託

システムセキュリティ責任者は、警察情報システムの設計、運用及び廃棄の外部委託に当たっては、次に掲げるもののほか、総務部長が別に定める事項を遵守しなければならない。

ア　外部委託によって情報セキュリティが損なわれることのないよう、十分に検討の上、委託先には事業継続性を有すると認められる事業者を選定すること。

イ　次に掲げる事項を例として、情報セキュリティ対策の実施を委託先の選定条件とし、仕様書等に盛り込むこと。

(ア)　委託先に提供する管理対象情報の目的外利用の禁止

(イ)　委託先における情報セキュリティ対策の実施内容及び管理体制

(ウ)　委託事業の実施に当たり、委託先企業、再委託先企業等の従業員その他の者による意図しない変更が加えられないための管理体制

(エ)　次に掲げる事項の情報提供

a　委託先企業の資本関係、役員等

b　委託事業の実施場所

c　委託事業従事者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績、国籍等

(オ)　情報セキュリティインシデントへの対処方法

(カ)　情報セキュリティ対策その他の契約の履行状況の確認方法

(キ)　情報セキュリティ対策の履行が不十分な場合の対処方法

ウ　委託する業務において取り扱う管理対象情報の分類等を勘案し、必要に応じて次に掲げる事項を仕様書等に盛り込むこと。

(ア)　情報セキュリティ監査の受入れ

(イ)　サービスレベルの保証

エ　委託先企業がその役務内容の一部を再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、アからウまでの措置の実施を委託先企業に担保させるとともに、再委託先企業の情報セキュリティ対策の実施状況を確認するために必要な情報をシステムセキュリティ責任者に提供し、システムセキュリティ責任者の承認を受けるよう、仕様書等に盛り込むこと。

オ　あらかじめ当該委託に係る作業を監督する職員の任務を定めるとともに、アからエまでに定める事項のほか、情報セキュリティの観点から委託先企業に遵守させる事項を仕様書等に盛り込むこと。

カ　委託先企業等から業務に従事する要員(以下「委託要員」という。)を受け入れる場合は、要機密情報の漏えいを防止するため、委託要員の受入れに先立ち、委託先企業等の責任者から要員受入申請書及び要員名簿の提出を、委託要員から総務部長が別に定める誓約書(以下「誓約書」という。)の提出を受け、委託要員として適当であると認める場合は、受入れを承認すること。ただし、委託要員の従事する期間が年度を超える場合は、年度ごとに委託先企業等から要員受入申請書及び要員名簿の再提出を、委託要員から誓約書の再提出をそれぞれ受けること。

キ　機器の搬入、搬出、点検、障害復旧等により、一時的に委託要員を受け入れる場合は、委託先企業等の責任者から派遣する委託要員の氏名、性別、生年月日及び役職を記した名簿の提出を受けることにより、カの要員受入申請書、要員名簿及び誓約書の提出を省略することができる。

ク　クラウドサービスの利用に当たっては、次に掲げる事項を遵守すること。

(ア)　取り扱う管理対象情報の分類は、機密性1(低)情報に限ること。

(イ)　取扱制限を踏まえ、管理対象情報の取扱いをクラウドサービスに委ねることの可否を判断すること。

(ウ)　取り扱う管理対象情報に対して国内法以外の法令が適用されるリスクを評価して委託先企業を選定し、必要に応じて委託事業の実施場所並びに契約に定める準拠法及び裁判管轄を指定すること。

(エ)　クラウドサービスの中断及び終了時に円滑に職務を移行するための対策を検討し、委託先企業を選定する際の要件とすること。

(オ)　クラウドサービスの特性を踏まえ、クラウドサービス部分を含む情報の流通経路全般にわたる情報セキュリティが適切に確保されるよう情報の流通経路全般を見据えた情報セキュリティ設計を行った上で、情報セキュリティ要件を定めること。

(カ)　クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービスの委託先企業の信頼性が十分であることを総合的かつ客観的に評価し、利用の可否を判断すること。

第4　維持管理作業に係るドキュメント等の整備

システムセキュリティ責任者は、総務部長が別に定めるところにより、警察情報システムの構成、情報の処理手順等の変更等に係る維持管理作業に必要なドキュメント及び記録簿を整備し、その内容を常に最新のものとしておかなければならない。

第5　その他

1　経過措置

システムセキュリティ責任者は、この通達の施行の際現に整備されている警察情報システムのうち、この通達に定められた事項を満たしていないものについては、当該事項について、適用を猶予することができる。この場合、システムセキュリティ責任者は、可能な限り早期に要件を満たすことができるよう努めるとともに、総務部長が別に定める代替手段その他必要に応じて情報セキュリティを確保するための措置を講じなければならない。

2　情報セキュリティ要件を適用することが困難な場合の措置

部長(総務部長を除く。)は、部内の所属が整備する特定の警察情報システムについて、この通達に定める情報セキュリティ要件を適用することが困難であると判断したときは、総務部長と協議の上、当該情報システムの情報セキュリティ要件について、別に定めることができる。