第１章　総則

（目的）

第１条　この達は、技術研究本部における情報システム及び情報システムにおいて取り扱われるデータに関して、総合的かつ体系的な管理の基準及び当該管理を組織的に実施するための基本的事項を定め、もって技術研究本部における情報保証を確保することを目的とする。

（定義）

第２条　この達における用語の意義は、訓令に定めるほか、次の各号によるものとする。

(1) 訓令　防衛庁の情報保証に関する訓令（平成16年防衛庁訓令第29号）をいう。

(2) 運用通達　防衛庁の情報保証に関する訓令の運用について（通達）（防官情第3203号。16.3.30）をいう。

(3) 管理運用要領　情報システムの管理運用を適正かつ効率的に行うために必要な事項を定めたものをいう。

(4) 職員　技術研究本部に属する職員をいう。

(5) システム利用者　情報システムを利用するために認証情報等を付与された者をいう。

(6) 冗長化　最低限必要な分より多めに設備を用意しておき、一部の設備が故障しても必要な機能を継続して維持できるようにシステムを構築すること。

（適用除外）

第３条　訓令第３条第１項に規定される情報システム及び当該情報システムにおいて取り扱われるデータについて、情報保証責任者が必要と認める場合は別に定める。

２　訓令第３条第２項に規定される情報システム及びデータは、情報保証責任者が必要と認める場合を除き、この達のうち第10条、第11条、第12条、第14条、第18条、第19条、第21条、第22条、第24条及び第26条の規定を適用しない。

第２章　組織及び体制

（情報保証対策委員）

第４条　訓令第５条第２項に規定する情報保証責任者が指定する者は別に定める。

（情報保証責任者補助者）

第５条　情報保証責任者の実施する業務を補佐し、訓令第６条に規定するシステム管理者を統括する者として、情報保証責任者補助者を置き、総務部長、技術企画部長、事業監理部長及び研究開発評価官をもって充てる。なお、情報保証責任者補助者が所掌する情報システムは、別に定める。

（システム管理者）

第６条　訓令第６条に規定するシステム管理者は別に定める。

（システム管理者補助者）

第７条　システム管理者は、システム管理者の業務を補佐する者として、システム管理者補助者を指定し、システム管理業務の実務及びシステム相互の連絡等を行わせるものとする。

（事案対処責任者）

第８条　訓令第７条第３項に規定する事案対処責任者は、技術企画部長をもって充てる。

（管理運用要領）

第９条　システム管理者は、訓令を適用又は準用する情報システムを保有する場合、当該情報システムの管理運用要領を定めるものとする。

第３章　物理的対策

（サーバ等の設置）

第10条　システム管理者は、情報システムで取り扱われる情報の種類及び秘密区分等により、サーバ等を設置する情報システム室に対し、運用通達の第２第１項に規定する措置を講じ、実施の有無を情報保証責任者補助者に通知するものとする。

２　情報保証責任者補助者は通知されたものが適切な措置か確認し、情報保証責任者に報告するものとする。

（情報システム室の入退室管理）

第11条　情報システム室への入室許可要領は、システム管理者が情報システム毎に管理運用要領を整備して定めるものとする。システム管理者は、情報システム室への入退室を管理するものとし、入退室時間、入退室者の所属及び氏名等を記載する入退室記録簿を備え、記入させるものとする。

２　システム管理者は、入退室記録及び入退室管理が適切に行われているかについて、必要の都度点検を行うものとする。

３　情報保証責任者補助者は、必要があると認めた場合、入退室記録簿及び入室許可一覧等をシステム管理者に対して提出を求めることができるものとする。

（情報システムの部外への設置）

第12条　システム管理者は、情報システムの一部を部外に設置する場合は、情報保証責任者補助者を経由して、情報保証責任者の承認を得なければならない。

２　前項の場合、システム管理者は、物理的対策及び人的対策等の保全上の処置の確保状況、部外に設置する場合の責任者等について、必要な事項を定めるものとする。

（端末の管理）

第13条　システム管理者は、端末の設置台数及び設置場所を把握するものとする。

２　システム利用者が端末を移動する場合は、システム管理者が許可した使用者及び使用期間によるものとし、管理簿を備え付けるものとする。

第４章　人的対策

（認証情報等の管理）

第14条　システム利用者は、付与された認証情報の管理について、運用通達第３に規定する事項を遵守するものとする。

２　システム管理者は、情報システムの運用において、認証情報をシステム利用者が管理するための設定を行う。情報システムの設定で実現できないものについては、システム管理者が定める管理運用要領において規定するものとする。

（教育及び訓練）

第15条　総務部長は、職員に対し情報保証に関する教育及び訓練を実施するものとする。

２　総務部長は、情報保証に関する高度な知識及び技能を有する人材の育成を計画的に実施し、情報保証責任者に人材育成の実施結果を年１回報告するものとする。

３　総務部長は、教育、訓練及び人材の育成を実施するにあたり、技術的な支援が必要な場合は技術企画部長に支援を求めることができるものとする。

（職員以外の情報システムの利用）

第16条　システム管理者は、職員以外の者に情報システムを利用させる場合は、情報保証責任者補助者の許可を得るものとする。

（業務目的以外の使用禁止）

第17条　システム利用者が業務目的以外で情報システムを使用していた場合、システム管理者は情報保証責任者補助者の承認を得て、認証情報の抹消等を行うことができるものとする。

第５章　技術的対策

（情報システムの技術に関する基準）

第18条　情報システムの技術に関する基準の運用については、運用通達第４第１項第１号に定めるところとし、保全措置の一部を運用上の措置により代替する場合または、特別の事情により一部を講じない場合は、その内容について設計書等に詳細を記載するものとし、システム管理者が定める管理運用要領に代替する事項及び禁止する事項等を規定するものとする。

２　システム管理者は、運用通達第４第１項第２号から第５号の規定に基づく情報システムの接続を行う場合は、情報保証責任者補助者を経由して情報保証責任者に報告するものとする。

３　システム管理者は、運用通達第４第１項第２号から第６号に基づく接続を行う情報システムについて、当該情報システムを構築又は更新する場合には、所要の措置をとるものとし、情報保証責任者は、これらの措置が適切に行われていないと判断した場合には、適切な措置を施すまで当該情報システムの運用を停止させるものとする。

（情報システムの導入）

第19条　システム管理者は、他の情報システムと接続する場合は、当該システムを管理する者と十分に調整し、支障が生じないように細部にわたり動作確認を行い、不具合発生時の対応を考慮して、導入及び運用等を行うものとする。

（情報システムの変更）

第20条　システム利用者は、端末に対してシステム管理者が許可しないソフトウェアの導入及び使用をしてはならない。また、システム管理者はソフトウェアの動作確認を十分に実施し、セキュリティの低下及び不具合を発生させないことを確認してから許可するものとする。

（システム利用者の登録）

第21条　システム管理者は、情報システムを利用するシステム利用者の登録、変更、抹消等を適切に行い、システム利用者の管理台帳等を備え付け管理するものとする。

２　システム利用者は、システムを利用するための情報に変更等が発生した場合は速やかにシステム管理者に届け出るものとする。

（アクセス記録）

第22条　システム管理者は、技術研究本部外への通信状況、その他情報保証を確保するために必要なサーバ等のアクセス記録を最低３年間保存することとする。

（情報システムの障害発生時の措置等）

第23条　システム管理者は、情報システムの障害に関する記録を行うとともに、当該情報システムの更新等が行われるまで障害記録を履歴として管理するものとする。

２　システム管理者は障害による電子計算機情報の消失を極力防ぐための処置として、定期的な複製の作成及びハードウェア構成の冗長化を行うものとする。

（セキュリティ情報の収集）

第24条　訓令第27条及び運用通達第４第８項に規定する事項を実施するための、技術研究本部内の連絡体制は別に定める。

２　技術研究本部の附置機関の連絡体制はシステム管理者が定め、情報保証責任者補助者を経由して情報保証責任者に報告するものとする。

３　システム管理者は、訓令第27条第２項に基づき、セキュリティ情報を必要に応じ情報保証責任者補助者を経由して情報保証責任者に報告するものとする。

第６章　運用

（遵守状況の確認）

第25条　システム管理者は、訓令、運用通達及び個別の情報システムの管理運用要領等の規則をシステム利用者に周知徹底するものとし、必要に応じて利用状況を確認するものとする。

２　システム管理者は、前項に示す規則等に違反している状況を発見した場合等で、情報保証上重大な影響を及ぼすと判断した場合は、情報保証責任者補助者を経由して情報保証責任者に報告するものとする。

３　システム利用者は管理運用要領等の規則を遵守し、システムを利用するものとする。

（サイバー攻撃等の未然防止）

第26条　運用通達第５第２項第１号に規定する連絡体制は別に定める。

（サイバー攻撃等への対処）

第27条　システム管理者は、サイバー攻撃等を検知した場合またはシステム利用者から報告等を受けた場合には、運用通達第５第２項第１号に規定する連絡体制を利用して事案対処責任者に通報し、連携して対処を行うものとする。

２　事案対処責任者は、官房長が定めた連絡体制を利用し、事案対処統括者に通報するとともに、状況により他のシステム管理者に運用通達第５第２項第１号に規定する連絡体制を利用して周知し、各情報システムの状況の確認及び防止策を実施させるものとする。

３　システム管理者は、訓令第30条第３項の規定に基づき、事案対処責任者の確認を受けてから情報保証責任者補助者を経由して情報保証責任者に報告するものとする。

第７章　雑則

（委任規定）

第28条　この達の実施に関し必要な事項のうち、情報システム全般については情報保証責任者補助者が各々所掌する事項について、個別の情報システムについてはシステム管理者が各々所掌する事項について、別に定めるものとする。

附　則

この達は、平成16年11月15日から施行する。

附　則（平成16年7月28日技術研究本部達第８号）

この達は、平成18年7月31から施行する。