National Information Security Plan

=第１次情報セキュリティ基本計画=

第１章　基本理念
本章では、情報セキュリティ問題を考える上で射程に入れるべき我が国の国家目標を提示し、情報セキュリティ問題に取り組む上での基本理念を提示する.

第１節　我が国の国家目標の中での情報セキュリティの位置付けと現在の課題及びその解決
本節では、情報セキュリティ問題を考える上で射程に入れるべき我が国の国家目標と、それを踏まえた情報セキュリティの位置付けと実現すべき基本目標、現在の課題、さらには解決に向けての方向性について提示する.

（１）我が国の国家目標の中での情報セキュリティの位置付け

 * 1) ［１］国家目標I－経済大国日本の持続的発展とＩＴの利用・活用:２００５年現在、我が国はＧＤＰ世界第２位を維持し、その活動を全世界に広げている経済大国である. 豊かな天然資源を持たない我が国は、高品質で世界のマーケットニーズに的確に応える製品を供給してきた製造業によって基礎的な経済基盤が築かれてきた. ところが、物質的な豊かさを追求する「工業経済」は、知恵とノウハウの活用の巧みさが問われる「情報経済」へと、その軸足を移しつつある. この動きに対応するように、我が国の製造業は生産拠点を世界各国に展開することで「工業経済」のグローバル化においても引き続き世界をリードする体制を整備し、同時に製造特許やブランドといった知的財産の保護と活用にも積極的に対応するようになっている. 企業活動のグローバル化と分散化に対応して、強固な国際競争力と高い生産性を維持するためには、ＩＴの利用・活用が不可欠であるということは言うまでもない. ＩＴを社会インフラとして他国以上に一層有効に使いこなし、我が国の経済活動の持続的発展を遂げることが重要な国家目標である.
 * 2) ［２］国家目標II－より良い国民生活の実現とＩＴの利用・活用:
 * 3) *経済活動だけではなく、２１世紀の我が国が直面する社会問題の解決のためにも、ＩＴの利用・活用が不可欠となり始めている. 例えば、少子高齢化の問題に対しても、今後１５年以上にわたって就労人口が減少していくと予測される中で、ＩＴを活用してサービスの品質を維持し、同時に少人数で対応できる体制を構築することが必要となっているが、これに対するＩＴの利用・活用による問題解決が進んできている.
 * 4) *また、防災や災害対策などの国民生活の安全の確保、医療や福祉、教育など、多面にわたる活動について、生活者の視点に立った、安全・安心で、信頼できるＩＴ社会の実現が求められている.
 * 5) *このように、ＩＴを重要な手段として利用・活用し、我が国が直面する社会問題を解決し、安全・安心で、より良い国民生活を実現していくことが重要な国家目標である.
 * 6) ［３］国家目標III－我が国の安全保障におけるＩＴに起因する新たな脅威への対応:
 * 7) *ＩＴが我が国のあらゆる国民生活・社会経済活動において利用・活用されつつある現在において、ＩＴに対する、あるいはＩＴを用いた犯罪やテロの脅威への対応は、我が国の安全保障の観点から積極的に取り組むべき課題である.
 * 8) *また、食糧、エネルギー、金融、財政等これまで安全保障の枠組みでは捉えられることの少なかった幅広い分野において、我が国の持続的発展や国民生活の安全・安心に対する脅威が意識されるようになってきており、我が国の安全保障を確保するためには、これらの分野におけるＩＴの利用・活用の拡大を踏まえた、ＩＴに起因する脅威を十分考慮に入れる必要がある.
 * 9) *このように、ＩＴの利用・活用の拡大によって新たな脅威が発生していることを認識し、これに十分対応していけるよう、関係機関がその体制を強化しつつ連携し、我が国の安全保障を確保していくことが重要な国家目標である.
 * 10) ［４］上記国家目標の中での情報セキュリティの位置付け:
 * 11) *経済大国としての我が国を今後も持続的に発展させ、同時にＩＴを利用・活用したより良い国民生活を実現し、新たな観点からの国家の安全保障を確保しようとする我が国の国家目標の中で、このＩＴ基盤を、真に依存可能で強固なものにすることが、情報セキュリティの役割である. すなわち、コンピュータウイルスの蔓延等に代表される情報セキュリティ問題の深刻化や近年のサイバー犯罪の多発といった課題に対処するための情報セキュリティ確保の取組み強化はもとより、ＩＴの利用・活用を前提とした取組みを強化していくことが、経済大国たる我が国の持続的発展を可能とし、少子高齢化等に直面する社会の高品質維持に貢献し、同時に国際競争力の強化と我が国の安全保障に直結するという視点を持つべきである. ここに、我が国が情報セキュリティ問題に積極的かつ戦略的に取り組むことの基本的な意義がある. そして、このように、広く、多面的な課題を解決する必要のある情報セキュリティ問題への取組みは、個々の主体が各々で行うだけでなく、我が国全体として一体となって行う必要がある.
 * 12) ［５］「セキュリティ立国」の思想に基づく「情報セキュリティ先進国」の実現
 * 13) *我が国は、ＧＤＰ世界第２位の経済大国として高品質・高信頼な工業製品を世界に送り出し、同時に「世界一安全な国」という評価を受け、さらに官民、企業間、地域コミュニティでの協調の中で発展を遂げてきた. このような日本の強み、日本の特長を活かすことは、我が国の様々な政策の中で強く認識されてきており、我が国は、高品質、高信頼性、安全・安心の代名詞としての「ジャパンモデル」を確立する潜在的可能性、すなわち「セキュリティ立国」の思想に基づく国造りが有効であると考えられる.
 * 14) *したがって、情報セキュリティ確保の取組みにおいても、その「セキュリティ立国」の思想に基づく我が国の強みと特長を活かし、世界最高の高度情報通信ネットワーク社会に見合った取組みを実施し、真に「情報セキュリティ先進国」になること（「セキュア・ジャパン」を実現すること）が求められている. さらに、我が国の情報セキュリティ確保の取組みが「ジャパンモデル」として世界に展開させる取組みも視野に入れることが肝要である.

（２）実現すべき基本目標－ＩＴ基本法が求める「ＩＴを安心して利用可能な環境」の構築へ－

 * 1) ［１］「ＩＴを安心して利用可能な環境」の構築
 * 2) *上に述べた位置付けの下で、情報セキュリティ問題に積極的かつ戦略的に取り組んでいくことが必要である. 具体的には、ＩＴ社会において、以下の３つの条件が満足される環境を構築することが求められている.
 * 3) *#１）事故、災害や攻撃に対して、事前に考えられる対策が十分に施されていること（予防）.
 * 4) *#２）その対策を施された環境を、その環境にかかわる者が、その環境を実際に体験し、その構造や技術等を十分に理解した上で使いこなしていること（認識・体感）.
 * 5) *#３）その上でも、事故、災害や攻撃にさらされた場合の対処方策があらかじめ検討されており、被害の局限化や救済等がなされ、事業の継続性が確保されること（事業継続）.
 * 6) *これは、ＩＴ基本法第２２条にうたわれている「ＩＴを安心して利用可能な環境」の構築の具体化にほかならない. すなわち、情報セキュリティ問題への取組みによって実現すべき基本目標は、単に安全であるだけでなく、上記の３条件を満足し、利用者が安心を実感しながらＩＴを利用・活用できる環境を構築することにある.
 * 7) ［２］利便性とセキュリティの両立
 * 8) *上記の３条件が実現され、利用者が安心を実感しながらＩＴを利用・活用できる環境が構築されれば、ＩＴの利便性と情報セキュリティの両立が図られることとなる. 昨今の状況を見ると、例えば、情報漏洩を防止するために、業務で使用するべき外部持ち運び用のコンピュータからの企業内部ネットワークへの接続を一切禁止するといった、情報セキュリティ対策を重視し、利用者の利便性が過度に損なわれる等の情報セキュリティ対策そのものが自己目的化しているような事例が一部には見られるが、利便性とセキュリティを両立させた対策や政策を推進していくことが必要である.

（３）現在の課題と解決の方向性－「新しい官民連携モデル」の構築へ－

 * 1) ［１］現在の課題
 * 2) *２０００年に制定されたＩＴ基本法において、上記３条件を満足する「ＩＴを安心して利用可能な環境」の構築が求められてきたものの、利用者の視点から見れば、現在においても、これが実現できているとは言い難く、国際的に見てもその取組みは遅れていると言わざるを得ない. 具体的には以下のような問題が近年発生している. これらの問題が我が国で発生している原因としては、１）顕在化した問題のみに対する対症療法的な対応が支配的であること、２）ＩＴ社会を構成する各主体が、組織の縦割り構造の中で独自の対応に終始していることが挙げられる.
 * 3) *#（例１；予防が不十分な例）　業務遂行に個人保有のコンピュータを利用し、かつ、そのコンピュータにファイル交換等を目的とするソフトウェアがインストールされた状態で、利用者の知らない間に当該ソフトウェアがコンピュータウイルスに感染することにより、深刻な情報漏洩を引き起こす例が後を絶たない. 個人保有のコンピュータを安易に業務として使うことはもとより、コンピュータウイルスによる大量の情報漏洩が起きているという事実は以前から認識されていたにもかかわらず、予防の徹底がなされていないために、このような情報漏洩をもたらす結果となっている.
 * 4) *#（例２；認識・体感が不十分な例）無線ＬＡＮ（Local Area Network）は、ネットワーク構築の際の煩雑なケーブル処理を施す必要なく、インターネット等に接続できるシステムとして、企業から一般家庭における個人に到るまで幅広く普及しつつある. しかしながら、実際使用するにあたり、「無線」という利便性に重きを置くあまり、「電波」という特性が忘れ去られ、かつ適切な暗号化及び電波の範囲設定等の対策への認識が不十分であることから、第三者による盗聴あるいはネットワークへの侵入を許容してしまうケースが散見される.
 * 5) *#（例３；事業継続対策が不十分な例）　国際的な証券市場において、想定していなかった情報システムの障害等により、現物の株式取引の停止を余儀なくされた事例や、空港関連施設における停電の発生により航空管制システムが停止し、欠便を発生させた事例等、国民生活・社会経済活動を支える基盤等において、事業継続性確保の取組みが不足している事例が近年頻発している.
 * 6) ［２］解決の方向性－「新しい官民連携モデル」の構築と「情報セキュリティ先進国」の実現－
 * 7) *　今後は、「ＩＴを安心して利用可能な環境」の構築を目指し、対症療法的対応から脱却することが必要である. また、ＩＴ社会を構成するあらゆる主体が、情報セキュリティ問題への取組みの重要性についての共通の認識の下、自らの責任を自覚しながら、それぞれの立場に応じた適切な役割分担の下で対策を実施する、情報セキュリティにおける「新しい官民連携モデル」を構築し、我が国全体として国家的視野に立って情報セキュリティ問題へ取り組んでいくことが必要である. 「新しい官民連携モデル」の下で、我が国全体としての資源の重点的・戦略的投入の強化が図られ、国際的に見ても、我が国が常に世界をリードする「情報セキュリティ先進国」になることを求め続けることが重要である.

第２節　我が国が情報セキュリティ問題に取り組む上での４つの基本方針
前節で述べたように、「ＩＴを安心して利用可能な環境」を構築するとの基本目標を実現するためには、ＩＴ社会を構成するあらゆる主体が適切な役割分担の下で参加した「新しい官民連携モデル」を構築し、我が国全体として国家的視野に立った情報セキュリティ問題への取組みが必要である. このために各主体が果たすべき役割については、次章で提示するが、その前提として、ここでは、我が国全体としての資源の重点的・戦略的投入の強化に向けた４つの基本方針を提示することとする. すなわち、「官民各主体の共通認識の形成」、「先進的技術の追求」、「公的対応能力の強化」、「連携・協調の推進」の４つの基本方針を、すべての主体が共有し、問題に取り組んでいくことが必要である.
 * 1) （１）官民各主体の共通認識の形成
 * 2) *まず大前提として、個々の主体における情報セキュリティを確保するためには、それぞれの主体による、それぞれの行動原理に沿った自律的な取組みが重要である. この自律的な取組みを促進するためには、それぞれが「何のために、どの程度のリスクに対応して情報セキュリティ対策を行うのか」という点についての共通認識を形成することが必要である.
 * 3) （２）先進的技術の追求
 * 4) *前節で示したように、急速に拡大するＩＴの利用・活用に対応し、次から次へと発生する新しい情報セキュリティの脅威に、対症療法的ではなく対応するためには、常に最先端の研究開発・技術開発の要素を取り入れた情報セキュリティ対策を推進していくことが必要である.
 * 5) *この際、１）単一の技術や単一の基盤に依存することのリスクを認知し、その改善に取り組むこと、２）既存の基盤に対する技術的な解決方法に加え、ビルトイン型の情報セキュリティ機能を持ったそもそもの基盤自体を新たに構築する観点から、ＩＰｖ６（Internet Protocol version 6）の導入や、さらなる研究開発・技術開発を行うことが重要である.
 * 6) （３）公的対応能力の強化
 * 7) *前節で示したように、我が国が、「情報セキュリティ先進国」としての強みを比較優位にまで高めていくためには、１）公的部門が国内外及び官民における「ベストプラクティス（模範例）」を積極活用した対策を実行する等の率先した対策を行っていくこと、そして同時に、２）多様性を持った社会基盤の構築や、３）ＩＴの利用・活用の拡大によって新たな脅威が発生していることを踏まえた、国防の強化や犯罪やテロへの対抗力、災害対策の強化等の安全保障・危機管理的な側面からの取組みを推進する等、公的部門の対応能力を戦略的に強化していくことが必要である.
 * 8) *一方で、公的部門の対応能力を強化していく際には、人権保障や、公的部門の活動の透明性や適法性の確保に、常に留意し続けることが必須である.
 * 9) （４）連携・協調の推進
 * 10) *前節で示したように、官民の各主体が連携しながら「新しい官民連携モデル」を構築していくためには、国内における官民の各主体の連携・協調を図り、その英知を結集した取組みを行うことが必要である.
 * 11) *加えて、世界一のブロードバンド大国となった我が国が直面する問題は、他国がこれから直面する問題であり、世界のトップランナーとして、問題解決の責任があることにかんがみ、国際協調・貢献の取組みも不可欠である. この際、情報セキュリティ対策を実施する者が評価される仕組みの導入等を通じ、我が国が生み出した成果を他国が再利用可能な形としてまとめ、情報セキュリティの　「ジャパンモデル」　として提示することも必要である.
 * 12) *また、ＩＴの基盤は、２４時間・３６５日、常時世界と繋がっていることを常に意識した国際的に責任のある取組みを行うことが必要である.

第２章　「新しい官民連携モデル」の構築における各主体の役割と連携
［４］個人の４領域に分け、それぞれの特性に応じた対策のあり方を検討することが有効であるとの立場に立っている. のそれぞれについて期待される役割と連携のあり方を提示する.
 * 前章で述べたように、情報セキュリティ問題への取組みにあたっては、ＩＴ社会を構成するあらゆる主体が、それぞれが自らの責任を自覚しながら、それぞれの立場に応じた適切な役割分担の下で、「ＩＴを安心して利用可能な環境」の構築に参加し、「新しい官民連携モデル」を実現していくことが必要である. あらゆる主体が参加するための取組みを推進していくためには、各主体が自らの行動が「ＩＴを安心して利用可能な環境」を構築することに対してどのような影響を与えており、どのような行動を行うことが期待されているかということについて、具体的に認識することが重要である.
 * ＩＴ社会を構成する主体としては、まず、１）対策を実際に適用し、実施する主体が存在する. 本基本計画においては、対策を実際に適用し実施する主体の領域を、［１］政府機関・地方公共団体、 ［２］重要インフラ、 ［３］企業、
 * また、２）この４領域の主体が実際に対策を適用し、実施するにあたり、その対策の手法や環境整備を側面的に支援し、問題の理解・解決を促進する主体が存在する. 本基本計画では、
 * ［１］政策を立案・実施する主体としての政府・地方公共団体、
 * ［２］初等中等教育機関、高等教育機関及び研究開発・技術開発実施機関（以下、「教育機関・研究機関」という. ）、
 * ［３］情報システムの構築や通信サービスの提供等ＩＴ基盤を構築・提供している事業者（以下、「情報関連事業者」という. ）や非営利組織（以下、「情報関連非営利組織」という. ）、そして、
 * ［４］メディアの４主体を、問題の理解・解決を促進する主体のうち重要な役割を有するものとして取り上げるものとする.
 * したがって、ここでは、
 * １）対策を実際に適用し、実施する４領域の各主体と、
 * ２）問題の理解・解決を促進するための４主体

第１節　対策実施主体の役割と連携

 * 1) （１）政府機関・地方公共団体
 * 2) *政府機関・地方公共団体が取り扱う情報には、高い機密性を有する情報をはじめ、法令に基づき収集した個人や企業に関する情報等、その漏洩、改ざん又は破壊等が発生した場合には極めて重大な結果を招くおそれがあるものが多数含まれている. また、電子政府・電子自治体の進展により、個人や企業との関係での行政サービスのオンライン化が進む中、その停止があってはならない情報システムも存在する. すなわち、政府機関・地方公共団体における情報セキュリティの確保は、個人の権利・財産の保護から、国民生活・社会経済活動、行政機能の維持、さらには我が国の安全保障の確保に至る様々な分野に関係する重要課題であり、政府機関においては、国内外及び官民における「ベストプラクティス（模範例）」を積極活用した対策を実行し、常に最高水準の情報セキュリティ対策レベルを維持していくことが必要である. また、地方公共団体は、政府機関の取組みも踏まえながら情報セキュリティ対策の強化を図ることが必要である.
 * 3) *その際、政府機関においては、それぞれの業務や情報システムは異なるとしても、行政機能を司る、同じ我が国の政府機関であり、共同で利用している情報システム等も存在するほか、共通の部分も多いことから、政府機関全体で協調し、成果の共有化や対策の統一化等の横断的取組みを実施していくことが重要である. また、地方公共団体においても同様のことが言え、横断的取組みを実施していくことが重要である.
 * 4) *なお、地域と密着した行政サービスを実施し、個人情報を取り扱う業務が多く、規模も様々である地方公共団体と、国家レベルでの基盤の構築を担当し、全体的に規模の大きい政府機関とはその特性に違いがあることにも留意が必要である.
 * 5) （２）重要インフラ
 * 6) *重要インフラは、文字通り国民生活・社会経済活動の基盤であり、あらゆる脅威からその安定的供給を確保することが最優先の課題である. 特に、近年発生した大地震を含めた事例からも分かるとおり、各重要インフラ分野におけるＩＴ化の進展や相互の依存関係の増大に伴い、各重要インフラ事業者等が個別に対策を講じるだけでは、国全体としての重要インフラの安全性が確保できない状況が生じつつある. このため、重要インフラのＩＴ障害に対して、分野を越えた横断的情報セキュリティ対策を一層強化していくことが喫緊の課題となっている.
 * 7) *ＩＴ障害については、これまでサイバー攻撃等意図的要因に起因する障害に対する取組みを中心として、官民の連絡・連携体制が構築されてきたが、実社会で経験するＩＴ障害の多くは、システム障害や人為的なミス、あるいは災害等多種多様な脅威に起因するものであり、今後はかかる脅威も想定して対策を講じていく必要がある.
 * 8) *また、重要インフラの大部分は、民間事業者が各事業分野ごとに各重要インフラ所管省庁の許認可の下で運営を担っていることから、情報セキュリティ対策も各分野ごとに重要インフラ所管省庁を中心に進められてきた. このため、重要インフラ全体を見渡すと、各分野ごとにその事業環境や業界構造の多様性も相まって、情報セキュリティへの取組みの歴史も対策水準もかなり異なっているのが実態である. 今後、各重要インフラ間の相互依存性がますます増大していくことを考えれば、重要インフラの情報セキュリティ水準の向上とＩＴ障害への対応能力の強化（未然防止、被害拡大防止・迅速な復旧、再発防止）の両面で、各事業分野や重要インフラ事業者等の特質を踏まえながら、従来の縦割り型の施策実施体制だけでなく、分野横断的な取組みを含めた新たな官民の連携体制を再構築していく必要がある.
 * 9) （３）企業
 * 10) *企業においては、グローバル社会における経済発展の担い手であると同時に、ＩＴの根幹を担う製品・サービス等を提供する主体でもあるという面から、情報セキュリティ対策を実施することが必要である. その対策の実施は、各企業の経営判断に基づいた自主的な取組みが前提とはなるが、高度にネットワーク化されたＩＴ社会においては、企業一社の事故によるトラブルが社会全体に波及する可能性があること、多くの個人に関する情報等の集積度合いが高まっていることから、企業は、自身の被害の局限化や法令遵守に留まらず、ＩＴ社会を構成する一員としての立場からも情報セキュリティ対策に取り組む責任があることを認識した上で、より積極的に対策に取り組むことが期待される.
 * 11) *また、企業の積極的な対策の実施が、個人の情報セキュリティに関する意識にも間接的に影響を及ぼすという循環を作ることも重要である.
 * 12) （４）個人
 * 13) *個人においては、自身が被害者とならない限り、自らが情報セキュリティ対策を行わないことが、実は他人に迷惑をかけているという認識が薄い状況にある. 個人においても、老若男女を問わず各人がＩＴ社会を構成する一員としての責任があり、「知らない人に付いていかない」といった極めて一般的な安全に対する認識と同等の認識を情報セキュリティに対しても、醸成していくことが必要である. 自分の身は自分で守るという原点を明確に認識して行動することが期待される.
 * 14) *しかしながら、我が国の８０００万人のインターネット利用者の情報セキュリティに対する理解が世代間で違うという点や、そもそも一般個人にとってはＩＴの仕組みは理解しがたいという点から、個人の自己責任の限界を補うことが必須であり、他の対策実施領域に比べ、他の主体による支援が重要である.

第３章　今後３年間に取り組む重点政策－「新しい官民連携モデル」の構築－

 * ＩＴ社会を構成するあらゆる主体が、前章に示した適切な役割分担の下で、「ＩＴを安心して利用可能な環境」を構築するため、政府は、今後３年間、以下の重点政策に総合的に取組み、「新しい官民連携モデル」を構築する.
 * また、ここで示した政策の方向性に従い、政府は、毎年度、より具体的な施策の実施プログラムを「年度計画」として策定し、本基本計画の実現を図る.

第１節　対策実施４領域における情報セキュリティ対策の強化

 * 第２章第１節で示したように、本基本計画においては、我が国全般の情報セキュリティ基盤の強化策を総合的に講じていくにあたり、対策を実際に適用し実施する主体の領域を、（１）政府機関・地方公共団体、（２）重要インフラ、（３）企業、（４）個人の４領域に分け、その対策のあり方を検討することが有効であるとの立場に立っている. 政府は、この対策実施４領域について、前章第１節で示したそれぞれの役割に応じた対策を促進するための政策に、総合的に取り組んでいくことが必要である.
 * 1) （１）政府機関・地方公共団体
 * 2) *政府機関においては、第２章第１節で示したように、国内外及び官民における「ベストプラクティス（模範例）」を積極活用した対策を実行し、常に最高水準の情報セキュリティ対策レベルを維持していくことが必要であり、また、地方公共団体においては、政府機関の取組みも踏まえながら情報セキュリティ対策の強化を図ることが必要である.
 * 3) *　しかしながら、現在の状況を見ると、政府機関においては、情報セキュリティ水準に格差がある、特に内部からの脅威に対して脆弱である、緊急対応及び事業継続の観点からの取組みが不足している、年々複雑化する情報セキュリティ問題に対応するための高度な専門知識を有する人材が不足しているという問題を抱えている. また、地方公共団体においては、ＩＴ障害や情報漏洩などへの対策が徹底されておらず、また、地方公共団体間の情報共有体制が十分に構築されていないという問題を抱えている.
 * 4) *したがって、政府は、１）２００８年度までに政府機関統一基準のレベルを世界最高水準のものとし、かつ２）２００９年度初めには、すべての政府機関において、政府機関統一基準が求める水準の対策を実施していることを目指し、地方公共団体については、１）２００６年９月を目処に地方公共団体における情報セキュリティ確保に係るガイドラインの見直しを行うとともに、情報セキュリティ監査や研修等の対策を推進すること、また、２）２００６年度末までに地方公共団体間の情報共有体制が整備されることを目指し、今後３年間に、主に以下の政策に重点的に取り組んでいくこととする.
 * 5) *#ア　政府機関
 * 6) *##［１］政府機関統一基準とそれに基づく評価・勧告によるＰＤＣＡサイクルの構築
 * 7) *##*政府機関の情報セキュリティ対策の水準を世界最高のものとするため、政府機関統一基準について、技術や環境の変化を踏まえ、毎年その見直しを行うものとする.
 * 8) *##*また、各政府機関の情報セキュリティ対策の実施状況を、政府機関統一基準に基づき、必要な範囲で検査・評価し、勧告を通じた各政府機関の対策の改善と政府機関統一基準等の改善に結びつけることで、政府全体としてのＰＤＣＡサイクル（Plan･Do･Check･Actサイクル）を確立する. なお、評価の結果については、情報セキュリティの維持・確保にも配慮しつつ公表することとする.
 * 9) *##*さらに、政府機関の対策の内容・経験及びその他の知識は、民間企業、地方公共団体、独立行政法人等にとっても参照すべき価値のあるものであることが望まれるため、「ベストプラクティス（模範例）」として、これらの知識を分かりやすい形で公開し、その普及に努める. また、外部委託先の情報セキュリティ対策の水準の確保の観点についても十分に留意する必要がある.
 * 10) *##［２］独立行政法人等のセキュリティ対策の改善
 * 11) *##*政府機関統一基準を踏まえ、独立行政法人等の情報セキュリティ水準の向上を促進する. 特に、これまで情報セキュリティポリシーを策定していない独立行政法人等については、情報資産及びリスクの状況等、各法人の実情を踏まえつつ、情報セキュリティポリシーの策定を行い、また策定されている独立行政法人等については、ポリシーの見直しを行う等の改善を図る.
 * 12) *##［３］中長期的なセキュリティ対策の強化・検討
 * 13) *##*情報セキュリティに関する要求仕様の共通化、年度途中での緊急事態対応に向けた取組み等、以下のような、政府機関が全体として協力して行うべき情報セキュリティ対策の実施を図る.
 * 14) *##*#（ア）最適化対象の府省共通業務・システム及び一部関係府省業務・システムの開発との連携
 * 15) *##*#*府省共通業務・システム及び一部関係府省業務・システムの最適化において、新たに開発（導入）するシステムについては、政府機関統一基準等との連携を図りつつ、情報セキュリティ機能の明確化等を通じて、情報セキュリティに関する要求仕様の共通化、信頼性の高い製品等の利用等を推進する.
 * 16) *##*#（イ）セキュリティ強化に資する新規システム（機能）の導入検討とその実現
 * 17) *##*#*次世代の電子政府構築に向けて、政府全体の業務・システムの基盤となる共通的なプラットフォームの構築・整備について検討等を行うことが重要である. そのプラットフォームについてセキュリティ強化を図るため、ＩＰｖ６、国家公務員身分証ＩＣカード、暗号、電子署名、生体認証等の新規システム（機能）の導入について総合的な検討等を行い、その実現を推進する.
 * 18) *##*#*　特に、今後、すべての政府機関の情報システムがＩＰｖ６を早期に利用できるようにするため、原則として２００８年度までに、各府省の情報システムの新たな開発（導入）又は更改に合わせて、情報通信機器やソフトウェアのＩＰｖ６対応化を図る.
 * 19) *##*#（ウ）政府機関への成りすましの防止
 * 20) *##*#*悪意の第三者が政府機関に成りすまし、一般国民や民間企業等に害を及ぼすことが無いよう、正統な政府機関であることを容易に確認可能とするため、電子証明書の広範な活用や、政府機関のドメインであることが保証されるドメイン名の利用を推進する.
 * 21) *##*#（エ）政府機関における安全な暗号利用の促進
 * 22) *##*#*電子政府の安全性及び信頼性を確保するため、電子政府で使われている推奨暗号について、その安全性を継続的に監視・調査するとともに、技術動向及び国際的な取組みを踏まえ、暗号の適切な利用方策について検討を進める.
 * 23) *##［４］サイバー攻撃等に対する政府機関における緊急対応能力の強化
 * 24) *##*サイバー攻撃等への迅速かつ適切な緊急時の対応及び技術や環境の変化への適応を実現するために、政府内において迅速に情報を共有し、統一的に情報を分析し、適切な対策を講ずることができる体制を構築するとともに、対処を行う関係機関の能力を向上させ体制を整備し、過去の緊急時等の対応から得られた知見を政府機関統一基準等の改善や政府における人材育成等に取り入れるなどにより、緊急対応能力を強化する.
 * 25) *##［５］政府機関における人材育成
 * 26) *##*政府として情報セキュリティ対策を一体的に進めていくために、必要な知見や専門性を有する人材を育成・確保することが重要であることにかんがみ、政府機関における情報システム管理部門の担当職員の育成、情報セキュリティに関する専門性の高い人材の活用、教育機関と連携した人材育成の取組み、幹部職員・一般職員の意識の向上方策等を推進する. なお、政府機関の情報システム管理部門において、情報セキュリティ対策業務に携わる専門的職員については、全員が情報セキュリティに関する資格を保有することを目指す.
 * 27) *#イ　地方公共団体
 * 28) *##［１］情報セキュリティ確保に係るガイドラインの見直し等
 * 29) *##*地方公共団体における情報セキュリティ確保に係るガイドラインの見直し等を行うとともに、各地方公共団体における当該ガイドライン等を踏まえた対策の実施を推進する.
 * 30) *##［２］情報セキュリティ監査実施の推進
 * 31) *##*各地方公共団体が講じる情報セキュリティ対策について、その実効性の評価・見直しによる継続的な対策レベルの向上に資するため、情報セキュリティ監査の実施を推進する.
 * 32) *##［３］「自治体情報共有・分析センター」（仮称）の創設促進
 * 33) *##*地方公共団体におけるＩＴ障害の未然防止、拡大防止・迅速な復旧及び再発防止に資するとともに、地方公共団体全体のセキュリティレベル向上を図るため、地方公共団体における情報セキュリティに関する情報の収集・分析・共有や政府等から提供される情報の共有等を行う機能を有する「自治体情報共有・分析センター」（仮称）の創設を促進する.
 * 34) *##［４］職員の研修等の支援
 * 35) *##*上記のほか、高度な技術の開発・導入や職員の研修等について支援を行い、地方公共団体のセキュリティ強化を図る.
 * 36) （２）重要インフラ
 * 37) *重要インフラにおいては、第２章第１節で示したようにそのサービスの安定的供給が最優先課題であるという面から、各事業において発生するＩＴ障害が国民生活・社会経済活動に重大な影響を及ぼさないよう対策を実施することが必要である. しかしながら、現在の状況を見ると、サイバー攻撃等意図的要因に起因する障害以外のＩＴ障害への対策についての検討が不足しており、官民の情報共有体制が十分に構築されていない等の問題を抱えている. したがって、政府は、２００９年度初めには、重要インフラにおけるＩＴ障害の発生を限りなくゼロにすることを目指し、今後３年間に、主に以下の政策に重点的に取り組んでいくこととする. なお、重要インフラの情報セキュリティ対策については、「重要インフラの情報セキュリティ対策に係る行動計画」（２００５年１２月１３日情報セキュリティ政策会議決定）が別途定められており、本行動計画に従って、より具体的な対策に取り組んでいくこととする.
 * 38) *#［１］重要インフラにおける情報セキュリティ確保に係る「安全基準等」の整備
 * 39) *#*「重要インフラにおける情報セキュリティ確保に係る『安全基準等』策定にあたっての指針」を踏まえ、それぞれの重要インフラ事業分野ごとに、必要な又は望ましい情報セキュリティ対策の水準について、「安全基準等」に明示することを目標とする. さらに、指針については１年ごと及び必要に応じて適時見直すこととし、「安全基準等」については、情報セキュリティを取り巻く環境の変化に応じ、随時見直しを行う.
 * 40) *#［２］情報共有体制の強化
 * 41) *#*ＩＴ障害に関する情報について、１）ＩＴ障害の未然防止、２）ＩＴ障害の拡大防止・迅速な復旧、３）ＩＴ障害の要因等の分析・検証による再発防止の３つの側面から、政府等は重要インフラ事業者等に対し適宜・適切に提供し、また重要インフラ事業者等間並びに相互依存性のある重要インフラ分野間においてはこれら情報を共有する体制を強化する.
 * 42) *#*#（ア）官民の情報提供・連絡のための環境整備
 * 43) *#*#*　関係機関と連携し、注意喚起等、各重要インフラ事業者等の対策に資するものとして、重要インフラ事業者等に提供する情報の収集を行い、ＣＥＰＴＯＡＲ（後述）等を通じて、情報を提供する.
 * 44) *#*#*また、重要インフラ事業者等が、法令等で報告が義務づけられている事故、障害、業務遅延等のほか、特異重大なものとして重要インフラ事業者等が連絡を要すると判断した情報を政府に連絡するための環境の整備を促進する.
 * 45) *#*#（イ）各重要インフラ分野における情報共有・分析機能（ＣＥＰＴＯＡＲ）の整備
 * 46) *#*#*ＩＴ障害の未然防止、発生時の被害拡大防止・迅速な復旧及び再発防止のため、政府等から提供される情報について、適切に重要インフラ事業者等に提供し、関係重要インフラ事業者等間で共有することにより、各重要インフラ事業者等のサービスの維持・復旧能力の向上に資するため、各重要インフラ分野内に「情報共有・分析機能」（ＣＥＰＴＯＡＲ：Capability　for Engineering of Protection, Technical Operation, Analysis and Response）の整備を促進する.
 * 47) *#*#（ウ）「重要インフラ連絡協議会（ＣＥＰＴＯＡＲ－Ｃｏｕｎｃｉｌ）」（仮称）の創設促進
 * 48) *#*#*重要インフラ事業者等において、分野横断的な情報共有の推進を図り、多様な知見をサービスの維持・復旧に活かしていくため、各ＣＥＰＴＯＡＲ間での横断的な情報共有の場として「重要インフラ連絡協議会（ＣＥＰＴＯＡＲ－Ｃｏｕｎｃｉｌ）」（仮称）の創設を促進する.
 * 49) *#［３］相互依存性解析の実施
 * 50) *#*我が国全体としての重要インフラ対策の向上に向けた、分野横断的な状況の把握のため、それぞれの重要インフラに起こりうる脅威が何であるかを把握するとともに、ある重要インフラにＩＴ障害が生じた場合に、他の重要インフラに、いかなる影響が波及するかという相互依存性の把握を行う.
 * 51) *#［４］分野横断的な演習の実施
 * 52) *#*想定される具体的な脅威シナリオの類型をもとに、各重要インフラ所管省庁、各重要インフラ事業者等、各重要インフラ分野のＣＥＰＴＯＡＲ等の協力の下に、重要インフラ横断的な演習を行う. 演習を通じ、安全基準等、情報共有体制、情報共有・分析機能、相互依存性解析等の各施策の実効性・妥当性を定期的に、かつ、段階的に、検証する. また、この演習やその他の訓練、セミナー等を通じて、重要インフラ所管省庁及び重要インフラ事業者等を中心に、高度なＩＴスキルを有する人材を育成し、確保する.
 * 53) （３）企業
 * 54) *企業においては、第２章第１節で示したように、グローバル社会における経済発展の担い手であると同時に、ＩＴの根幹を担う製品・サービス等を提供する主体でもあるという面から、対策を実施することが必要である. しかしながら、現在の状況を見ると、企業におけるセキュリティ対策が市場評価に十分に繋がっていない、企業における情報セキュリティ人材の確保・育成が十分でないという問題を抱えている. したがって、政府は、２００９年度初めには、企業における情報セキュリティ対策の実施状況を世界トップクラスの水準にすることを目指し、今後３年間に、主に以下の政策に重点的に取り組んでいくこととする.
 * 55) *#［１］企業の情報セキュリティ対策が市場評価に繋がる環境の整備
 * 56) *#*社会的責任にも配慮したコーポレートガバナンスと、それを支えるメカニズムである内部統制の仕組みを、情報セキュリティの観点から企業内に構築・運用することを推進する. このため、情報セキュリティ対策ベンチマーク、情報セキュリティ報告書モデル及び事業継続計画策定ガイドラインの普及・改善を図るとともに、情報システム等の政府調達の競争参加者に対して、必要に応じて、これらの制度や第三者評価の結果等を活用した情報セキュリティ対策レベルの評価を入札条件等の一つとする. また、政府が推進する情報セキュリティに関する取組みについて、政府全体としての整合性を確保する.
 * 57) *#［２］質の高い情報セキュリティ関連製品及びサービスの提供促進
 * 58) *#*情報セキュリティ対策は、本来業務を達成するために必要な機能とは異なる機能を、リスクに応じて講じていく性質のものであること、また、対策そのものを可視化しにくい特性等を持つことから、企業が情報セキュリティ対策を講ずる際には、理解のしやすい形で必要な対策を選択できる環境が整備される必要がある. このため、企業の情報セキュリティ関連リスクに対する定量的評価手法の研究を推進するとともに、ＩＴセキュリティ評価及び認証制度、情報セキュリティマネジメントシステム（ＩＳＭＳ）適合性評価制度、情報セキュリティ監査といった第三者評価の活用を推進することにより、質の高い情報セキュリティ関連製品及びサービスの提供が促進されることを図ることとする.
 * 59) *#*また、こうした第三者評価の審査等の効率化を図るとともに、質の高い情報セキュリティ関連製品等を活用する企業に対し、その投資を加速するためのインセンティブが与えられる環境の整備を促進する.
 * 60) *#［３］企業における情報セキュリティ人材の確保・育成
 * 61) *#*企業においては、経営トップ等の情報セキュリティへの理解や企業内における情報セキュリティ人材が不足している. このため、企業の情報セキュリティ対策が市場評価に繋がる環境の整備を通じて経営トップ等の情報セキュリティへの理解を普及させるとともに、企業の情報システム担当者等に対する全国規模での広報啓発を推進する. また、各企業において情報セキュリティ対策を行っている担当者のモチベーションの維持のための取組みを促進する.
 * 62) *#［４］コンピュータウイルスや脆弱性等に早期に対応するための体制の強化
 * 63) *#*企業における情報セキュリティ問題に的確に対応するためには、情報関連事業者をはじめとする関係者間において、迅速な情報共有、対策の策定及び対策の普及を円滑に図る必要がある. このため、情報関連事業者等の自主的な協力を得ながら平時からの連絡体制を構築し、コンピュータウイルスや脆弱性等に早期に対応するための連携対応体制を強化する.
 * 64) （４）個人
 * 65) *個人においては、第２章第１節で示したように、８０００万人のインターネット利用者の情報セキュリティに対する理解が均一ではないという現状を認識し、老若男女を問わず各人がその状況に応じて情報セキュリティに関するリテラシーを向上させることを支援すべく、関係する各主体が様々な対策を実施することが必要である. しかしながら、現在の状況を見ると、個人が情報セキュリティを当たり前のこととして認識できる環境、また、一般個人にとってＩＴの仕組みは理解しがたいにも関わらず、個人の自己責任の限界を補う環境が不足している、という問題を抱えている. したがって、政府は、２００９年度初めには、「ＩＴ利用に不安を感じる」とする個人を限りなくゼロにすることを目指し、今後３年間に、主に以下の政策に重点的に取り組んでいくこととする.
 * 66) *# ［１］情報セキュリティ教育の強化・推進
 * 67) *#*初等中等教育からの情報セキュリティ教育や世代横断的な情報セキュリティ教育を推進する.
 * 68) *#［２］広報啓発・情報発信の強化・推進
 * 69) *#*全国的規模での広報啓発・情報発信の継続的実施、ランドマーク的イベントの実施（「情報セキュリティの日」の創設等）、日常からの世論喚起・情報提供の仕組み（「情報セキュリティ天気予報」（仮称）の実施検討）の構築、我が国の情報セキュリティの基本戦略の国内外への発信を行う.
 * 70) *#［３］個人が負担感なく情報関連製品・サービスを利用できる環境整備
 * 71) *#*情報関連事業者が、個人が高度な情報セキュリティ機能を享受しながら負担感なく利用できる製品やサービス（「情報セキュリティ・ユニバーサルデザイン」）を開発・供給する環境の整備を促進する.

第２節　横断的な情報セキュリティ基盤の形成
情報セキュリティ関連の高等教育機関（大学院等を中心）において、他分野の学生や社会人を受け入れる等、多面的・総合的能力を有する人材の育成・確保やリカレント教育への主体的な取組みを促進する. ［２］情報セキュリティに関する資格制度の体系化 高い能力を有する情報セキュリティ技術者、各組織における最高情報セキュリティ責任者（ＣＩＳＯ）、各組織の情報システムの運用担当者等それぞれに応じた適切なスキルを確定し、情報セキュリティに関する資格制度の体系化を推進する.
 * 各主体がそれぞれ「何のために、どの程度のリスクに対応して情報セキュリティ対策を行うのか」という点についての共通認識の形成を促進し、官民による持続的かつ強固な情報セキュリティ対策を継続させるためには、その土台となる社会全体の基盤を形成することが必要である. このため、情報セキュリティ技術戦略の推進、情報セキュリティ人材の育成・確保、国際連携・協調の推進、犯罪の取締り及び権利利益の保護・救済という視点からの政策に総合的に取り組んでいくことが必要である.
 * （１）情報セキュリティ技術戦略の推進
 * 第１章に述べた「ＩＴを安心して利用可能な環境」を実現するためには、情報セキュリティ技術の高度化と、その技術を理解した上での利用・活用が不可欠である. しかし、現状は、１）急速に拡大するＩＴ利用・活用に、情報セキュリティ技術の開発が対応できていない、２）既存の情報セキュリティ技術の限界を補完する組織・人間系の管理手法とのバランスを欠くという問題が存在している.
 * したがって、政府は、民間部門における取組みとの役割分担を明確にしつつ、今後３年間に、情報セキュリティに関する技術戦略として、主に以下の政策に重点的に取り組んでいくこととする.
 * ［１］研究開発・技術開発の効率的な実施体制の構築
 * 限られた投資の中で効率的・効果的に研究開発・技術開発を実施するために、我が国における情報セキュリティに関連する研究開発・技術開発の実施状況の把握と継続的な見直しを行う. また、投資効率の改善のため、成果利用までを見据えた研究開発・技術開発を実施するための体制を構築し、その成果を政府が活用することを前提とした新たな研究開発・技術開発に取り組むこととする.
 * ［２］情報セキュリティ技術開発の重点化と環境整備
 * 情報セキュリティ技術の高度化及び組織・人間系の管理手法の高度化のため、基盤としてのＩＴを強化することに直結する中長期的な目標に対する研究開発・技術開発を促進する. 一方、短期的な目標設定がなされている研究開発・技術開発については、その投資効率を把握し、バランスの良い投資を行う. なお、高い投資効率が見込まれるものの民間の取組みが期待できない萌芽的研究開発に対しては政府が主体的に取り組むこととする.
 * ［３］「グランドチャレンジ型」研究開発・技術開発の推進
 * 情報セキュリティ対策においては、対症療法的な対応だけでなく、中長期的な視野に立ったビルトイン型の研究開発等が重要である. したがって、情報セキュリティ技術の研究開発・技術開発においても、短期的な問題解決のための技術開発だけでなく、長期的な視野で抜本的な技術革新等の実現を目指す「グランドチャレンジ型」の研究開発・技術開発に取り組むこととする.
 * （２）情報セキュリティ人材の育成・確保
 * 第１章に述べた「ＩＴを安心して利用可能な環境」を実現するためには、対策実施主体における情報セキュリティ対策の運用や、情報セキュリティに関する高度な研究開発・技術開発を支える人材の育成・確保が不可欠である.
 * この際、高い能力を有する情報セキュリティ技術者の育成に努めることは重要であるが、これに加えて、広い知識と鋭い洞察力を持つ各組織における最高情報セキュリティ責任者（ＣＩＳＯ）、各組織の情報システムの運用担当者やＩＴ分野に関する法律家等、多面的・総合的能力を有する実務家・専門家の育成が必要なこと、人材の育成には時間を要すること、国際的に通用する人材の育成が必要なことに留意が必要である.
 * したがって、政府は、今後３年間に、政府機関の対策のための人材育成（第３章第１節（１）ア［５］）、重要インフラの対策のための人材育成（第３章第１節（２）［４］）、企業の対策のための人材育成（第３章第１節（３）［３］）に取り組むと同時に、主に以下の政策に重点的に取り組んでいくこととする.
 * ［１］多面的・総合的能力を有する実務家・専門家の育成
 * （３）国際連携・協調の推進
 * ＩＴの利用・活用と経済活動のグローバル化が進展する中、国際的にも、情報セキュリティの基盤を整備し、その便益を享受できるようにすることが重要である. その際、１）情報セキュリティの脅威がボーダーレス化し、増加・多様化していることから、国際的に協調しつつ、取り組んでいくことが重要であるとともに、２）世界一のブロードバンド大国となった我が国が直面する問題は、他国がこれから直面する問題であり、世界のトップランナーとして、問題解決の責任があることにかんがみ、情報セキュリティの「ジャパンモデル」を国際的に提示していくことも不可欠である.
 * 以上の観点を踏まえ、政府は、今後３年間に、情報セキュリティ分野に関する国際連携・協調の推進に関し、主に以下の政策に重点的に取り組んでいくこととする.
 * ［１］国際的な安全・安心の基盤づくり・環境の整備への貢献
 * ＯＥＣＤやＧ８等の多国間の枠組みにおける協力を推進するとともに、重要インフラ防護のための早期警戒・監視・警報ネットワーク等へ積極的に参加すること等により、諸外国の関係機関との情報交換等の連携を強化する. この際、横断的な情報セキュリティ問題に関する我が国としてのＰＯＣ（Ｐｏｉｎｔ　ｏｆ　Ｃｏｎｔａｃｔ）の機能を明確化し、より効果的で円滑な連携の促進を図る. さらに、国際的なレベルでの文化醸成、リテラシー向上に努め、国際面でも、環境整備に貢献していく.
 * ［２］情報セキュリティ領域での我が国発の国際貢献
 * 我が国発の付加価値の高いイノベーションの創出、先見性をもった技術開発の国際的活用、「ベストプラクティス（模範例）」の普及・啓発、国際的な標準開発への貢献等を通じ、我が国の強みを発揮しつつ、我が国の役割を積極的に果たしていく.
 * （４）犯罪の取締り及び権利利益の保護・救済
 * 「ＩＴを安心して利用可能な環境」を構築するためには、サイバー犯罪が未然に防がれること、サイバー犯罪を行った者が検挙されること、サイバー空間で権利や利益を侵害された者が保護・救済されること等、サイバー空間が安心して安全かつ快適に利用できるものとすることが必要である. 以上の観点を踏まえ、政府は、今後３年間に、主に以下の政策に重点的に取り組んでいくこととする.

［１］サイバー犯罪の取締り及び権利利益の保護救済のための基盤整備 法執行機関のサイバー犯罪捜査の技能水準の向上や体制の強化を図るとともに、サイバー犯罪条約の締結に伴う法制度の改正や国際協力の強化により、サイバー犯罪の取締りを強化する. あわせて、他の権利利益である通信の秘密をはじめとする基本的人権に十分配慮しつつ、サイバー空間における権利利益の保護・救済のための基盤のさらなる整備に努める.

［２］サイバー空間の安全性・信頼性を向上させる技術の開発・普及 通信相手が誰なのかをすべての通信当事者の承認の下に確認可能とするための認証技術その他のサイバー空間の安全性及び信頼性を向上させるための技術の開発・普及を推進する.