1 技術基準 (電磁的方法による保存をする情報システムの技術面の安全対策) |
[1] 情報システムには、個人別のID、パスワード等の利用者登録、管理及び認証機能を設けること。 [2] 情報システムには、データの保存及び更新時に保存及び更新の日時並びに実施者を記録する「ログデータ」の保存機能を設けること。 [3] 情報システムの電源には、システムに無関係な機器の接続を禁止し、電源の誤切断を防止すること。 [4] 情報システムには、データのエラーの検出機能を設けること。 [5] 情報システムのうち、データの保管を行う機器に直接接続されたコンピュータが、公衆回線とのオンラインによって接続される場合には、アクセスするユーザ等の正当性を識別し認証する機能を設けること。 [6] 情報システムには、情報やシステムの機密度を区分し、アクセス権限を制御する機能を設けること。 [7] 情報システムには、システムへの不正なアクセス及びデータの不正な変更を発見するソフトウェア機能を設けること。 |
2 運用基準 (電磁的方法による保存をする関係者の遵守事項等人的システムの安全対策) |
[1] 情報システムの非使用時には、施錠し又は機能を停止させること。 [2] 情報処理機器及びソフトウェアは、正常作動を確認した上で情報システム上での運用を開始すること。 [3] 情報システムは、IDを付与された関係者以外の者が操作をしないよう周知徹底する等の措置をとること。 [4] 情報システムのIDは、複数者で共用しないこと。 [5] 情報システムの管理には、管理責任者を定めること。 [6] 管理責任者は、以下の項目の管理規定を明文化して定め、関係者に周知徹底すること。 ・事務室及びデータ保管室への入退室管理 ・ID及びパスワードの付与及び廃止の管理 ・データ記録媒体の使用、保管、搬出入及び廃棄の管理 [7] 情報システムの保守、点検、改造等は、あらかじめ計画を設けた上で行い 、バックアップ等当該行為の期間のデータ保護措置を講じること。 [8] 外部から入手したソフトウェア、使用済記録媒体等は、ウイルス検査後に利用すること。 [9] データを収蔵したデータ記録媒体は、保管場所を定め、施錠して保管し、保管場所からの搬出入及び授受は管理記録を整備して行うこと。 [10] データを収蔵したデータ記録媒体は、当該媒体以外にバックアップを行い、当該媒体と異なる保管場所に保管すること。 [11] 情報システムの「ログデータ」は、安全な場所及び媒体に1年間又は次回の定期的な内部監査の時まで保存すること。 [12] 人事異動等で使わなくなったID及びパスワードは、直ちに無効化すること。 [13] データを収蔵したデータの記録媒体及びバックアップは、定期的に保管状況の点検を実施すること。 |