- 1 -
法務省民商第63号
会社法(平成17年法律第86号)第941条の規定に基づく電子公告調査機関の登録
及び同法第945条第1項に基づく電子公告調査機関の登録の更新に係る行政手続法(平
成5年法律第88号)第5条第1項の規定による審査基準を定める。
平成21年1月26日
法務大臣 森 英 介
電子公告調査機関の登録及び登録の更新に係る基準
会社法(以下「法」という。)第941条の規定に基づく電子公告調査機関(以下「調
査機関」という。)の登録及び法第945条第1項の規定に基づく調査機関の登録の更新
は,法第943条及び第944条第1項の規定(法第945条第2項において準用する場
合を含む。以下同じ。)に基づき行うところ,法第944条第1項に規定する要件を満た
しているかどうかの判定は,下記の基準によって行うものとする。記第1 組織体制(法第944条第1項第1号ロ)
調査機関として法務大臣の登録を受けようとする者は,情報セキュリティマネジメン
トシステムを構築し,原則としてISO27000等の第三者認証を取得し,法及び電子公
告規則(平成18年法務省令第14号。以下「規則」という。)の規定に基づき適正な
電子公告調査の業務を行うための組織体制を有していること。
第2 人的構成及び業務運営体制(法第944条第1項第1号ロ,第2号)
1 電子公告調査の業務に係る人的構成及び業務運営体制
(1) 規則第5条に規定する方法により電子公告調査を行うために必要となる要員を有
していること。
(2) 電子公告調査の業務に従事する要員(調査機関の職員,契約社員,電子公告調査
の業務の受託者その他の電子公告調査の業務に関わるすべての者をいう。以下「業
務要員」という。)について,それぞれの職務及び権限並びに指揮命令系統を明確
に定めていること。
(3) 業務要員は,適正な電子公告調査の業務を行うために必要となる知識及び経験を
有していること。
(4) 調査機関の営業時間のみならず,営業時間外の時間帯をも通じて,規則第5条第
1項第2号及び第3号に規定する作業を行うことができる業務体制を確保している
こと。
2 電子公告調査の業務に必要な情報セキュリティ対策を講ずるための人的構成及び業
務運営体制
(1) 電子公告調査の業務を適正に行うために必要となる情報セキュリティ対策(以下
「情報セキュリティ対策」という。)を講ずるために必要な要員を有しているこ
�- 2 -
と。
(2) (1)の要員の職務及び権限並びに指揮命令系統を明確に定めていること。
(3) 最高情報セキュリティ責任者(調査機関における情報セキュリティ対策を統括
し,情報セキュリティ対策に係る最終的な責任者をいう。以下同じ。)を置いてい
ること。
最高情報セキュリティ責任者は,調査機関の職員でなければならず,また,原則
として,電子公告調査の業務と情報システムに関する業務には直接関与しないもの
としていること。
(4) 情報セキュリティ責任者(主として業務要員に対する教育,訓練,助言及び指示
を行う者をいう。以下同じ。)を置いていること。
情報セキュリティ責任者は,調査機関の職員でなければならず,また,原則とし
て,電子公告調査の業務と情報システムに関する業務には直接関与しないものとし
ていること。
(5) 情報資産(調査機関にとって価値のある顧客情報,財務経営情報,調査結果情報
その他の情報のうち情報システム内部又は外部記録媒体に記録された情報(当該情
報が書面に記載されているもの)及び調査機関が保有する情報システムをいう。以
下同じ。)の保全のため,同一要員に業務機能又は権限が集中しないよう,権限と
役割の分散を図り,相互牽制の機能を有する体制を確保していること。
3 電子公告調査システム(法第944条第1項第1号に規定する電子計算機及び同号
に規定するプログラムであって,電子公告調査を行うためのサーバ(データベースサ
ーバ,アプリケーションサーバその他の電子公告調査の業務に係るサーバをいう。以
下「調査業務用サーバ」という。),電子公告調査の業務に使用する端末,監視端
末,ネットワーク機器,記憶装置その他の電子公告調査に必要な機器の総体をいう。
以下同じ。)の管理及び運営に係る人的構成及び業務運営体制
(1) 電子公告調査システムの管理及び運営に必要な要員を有していること。
(2) (1)の要員の職務及び権限並びに指揮命令系統を明確に定めていること。
(3) 情報システム管理者(電子公告調査システムの管理及び運営の責任者をいう。以
下同じ。)を置いていること。
情報システム管理者は,調査機関の職員でなければならず,また,原則として,
最高情報セキュリティ責任者,情報セキュリティ責任者又は電子公告調査の業務の
管理者と兼務しないものとしていること。
(4) 規則第5条に定める方法により電子公告調査を行うために必要となる情報システ
ム管理要員(業務要員のうち,情報システムの管理及び運営に関わる要員をいう。
以下同じ。)を有していること。
(5) 情報システム管理要員は,電子公告調査システムの構成及び機能について熟知
し,電子公告調査システムの円滑な運用を行うとともに,障害発生時に適切かつ迅
速な判断を行うことのできる者であること。
第3 電子公告調査システムの機能及び構成(法第944条第1項第1号イ,ロ,ハ)
1 電子公告調査システムの機能
(1) 電子公告調査システムは,規則第5条に定める方法により電子公告調査を行うこ
�- 3 -
とができるものであること。
(2) 電子公告調査システムは,人為的ミス,改ざんその他の不正及び不当事案の発生
を防止する観点から,法第946条第4項及び規則第7条に定める調査結果通知の
作成において,同条第1項第3号に規定する事項については,調査結果通知に自動
で反映することができる機能を備えていること。
2 電子公告調査システムの構成
電子公告調査システムに障害が発生し,電子公告調査を行うことができない状態に
なった場合には,調査機関の定める巡回調査(規則第5条第1項第1号に規定する作
業のことをいう。)のインターバル時間内(6時間以内であること)に当該障害を復
旧することができるような構成となっていること。
第4 電子公告調査の業務(法第944条第1項第1号イ,ロ,ハ,第2号)
1 全般
(1) 次に掲げる電子公告調査の業務に係る事業所又は事務所その他の施設の所在場所
を明確に定めていること(外部委託先を含む。)。
ア 法第941条及び規則第3条の規定による調査申請者からの求めを受ける事業
所又は事務所その他の施設の所在場所
イ 法第946条第3項及び規則第6条の規定による法務大臣に対する報告を行う
事業所又は事務所その他の施設の所在場所
ウ 規則第5条の規定による電子公告調査の業務を行う事業所又は事務所その他の
施設の所在場所
エ 規則第7条の規定による調査結果通知を作成し,当該調査結果通知を行う事業
所又は事務所その他の施設の所在場所
オ 電子公告調査システムの監視を行う事業所又は事務所その他の施設の所在場所
カ 電子公告調査の業務に係る代理店や業務提携先がある場合には,当該施設の所
在場所
(2) 電子公告調査の業務の具体的内容及び手順を明確に定め,当該手順を書面又は記
録として作成し,規則第10条第3項に定める期間保存するものとしていること。
なお,正常時だけでなく,公告情報の情報入手作業ができない場合や情報入手作
業により取得した情報と調査委託者から示された公告情報とが異なる場合などの異
常時を想定した手順についても,明確に定めていること。
(3) 電子公告調査の業務を行う上での留意事項が明確にされているとともに,業務要
員に対する教育計画を定め,当該計画を書面又は記録として作成し,規則第10条
第3項に定める期間保存するものとしていること。
(4) (3)の教育計画に基づき,業務要員に対して適切な教育を行うとともに,当該教
育を実施した場合には,その結果の記録を作成し,規則第10条第3項に定める期
間保存するものとしていること。
(5) 電子公告調査の業務について定期的な内部監査を実施し,当該監査の結果の記録
を作成し,規則第10条第3項に定める期間保存するとともに,監査結果に基づき
改善の必要があると認められるときは,適切な対策を講ずるものとしていること。
2 電子公告調査の求めの受領
�- 4 -
(1) 電子公告調査の求めの受領(規則第5条第3項による情報の受領を含む。)に係
る業務については,管理区域(電子公告調査システム,規則第3条に規定する事項
及び情報,規則第5条第3項に規定する情報その他の重要な情報資産(以下「重要
情報資産」という。)を設置し,又は保管する区域をいう。以下同じ。)において
行うものとしていること。
(2) (1)の業務に携わる業務要員を限定していること。
(3) (1)の受領に際し,当該受領に係る事項又は情報が外部に漏えいしないよう,適
切な対策を講じていること。
(4) (1)により受領した事項又は情報の滅失,毀損又は改ざんの防止のため,適切な
対策を講じていること。
3 法第946条第3項及び規則第6条の規定に基づく法務大臣に対する報告
(1) 法務大臣に対する報告に係る業務については,管理区域において行うものとして
いること。
(2) 法務大臣に対する報告に係る事項及び情報の滅失,毀損又は改ざんの防止のた
め,適切な対策を講じていること。
(3) 法務大臣に対する報告に係る業務に携わる業務要員を限定していること。
4 電子公告調査の業務
(1) 規則第5条に定める電子公告調査の業務については,管理区域において行うもの
としていること。
(2) 公告サーバにより情報入手作業をすることができない場合や情報入手作業により
取得した情報と公告情報とが異なる場合における関係者への連絡体制を定め,当該
体制を書面又は記録として作成し,規則第10条第3項に定める期間保存するもの
としていること。
なお,この連絡体制については,調査機関の営業時間のみならず,営業時間外の
時間帯をも通じたものでなければならない。
(3) 規則第5条第1項第2号及び第3号に規定する場合に該当することとなったとき
は,当該各号に掲げる作業を速やかに行うための対策を講じていること。
5 調査結果通知の作成及び発行
(1) 法第946条第4項及び規則第7条の規定に基づく調査結果通知の作成に係る業
務は,管理区域において行うものとしていること。
(2) 調査結果通知の作成に際して,当該通知の作成に係る事項及び情報の滅失,毀損
又は改ざんの防止のため,適切な対策を講じていること。
(3) 調査結果通知の作成及び発行に係る業務に携わる業務要員を限定していること。
(4) 調査結果通知を電子通信回線を通じて調査委託者に送信する場合には,当該通知
に係る情報の滅失,毀損又は改ざんの防止のため,適切な対策を講じていること。
6 調査委託者からの照会対応
調査委託者から電子公告調査に関する照会があった場合には,これに速やかに回答
することができる体制を整備していること。
7 電子公告調査の業務の外部委託(法第944条第1項第1号ロ,第2号関係)
(1) 電子公告調査に係る業務の一部を外部事業者に委託している場合にあっては,次
�- 5 -
に掲げる業務については外部委託を行っていないこと。
ア 規則第3条に規定する事項又は情報の受領に係る業務及び当該事項又は情報の
管理に係る業務
イ 規則第7条に規定する調査結果通知の方法等に係る業務及び同条第1項に規定
する事項及び情報の管理に係る業務
ウ 法第955条に規定する調査記録簿等の保存及び管理に係る業務
(2) 調査機関は,外部委託に係る業務のすべてについて責任を負うものとしているこ
と。
(3) 調査機関は,受託者と電子公告調査の業務の一部の委託契約を締結している場合
又は締結しようとする場合には,あらかじめ当該受託者が委託に係る業務を行う範
囲において,調査機関と同等の登録基準を満たしていることを確認していること。
(4) (3)の委託契約には,次に掲げる事項を含むものとしていること。
ア 委託業務の内容に関すること。
イ 委託業務の期間に関すること。
ウ 委託業務の実施場所に関すること。
エ 委託業務の実施方法に関すること。
オ 委託料に関すること。
カ 委託業務の調査に関すること。
キ 委託業務の実施状況に係る調査機関への報告に関すること。
ク セキュリティ領域の管理方策及び管理指針に関すること。
ケ 委託業務の再委託の禁止に関すること。
コ 委託業務に係るリカバリー計画に関すること。
サ 機密保持に関すること。
シ 受託者の委託契約違反に関すること(損害賠償責任,契約の解除等に関するこ
と)。
第5 情報セキュリティ管理に関する事項(法第944条第1項第1号イ,ロ,ハ,第2号)1 電子公告調査の業務に必要な情報セキュリティ管理方針を定め,当該方針を書面又
は記録として作成し,規則第10条第3項に定める期間保存するものとしているこ
と。
当該書面又は記録には,次に掲げる事項を記載していること。
(1) 電子公告制度及び電子公告調査業務の概要
(2) 情報セキュリティ管理の方針及び実施手順
(3) 情報セキュリティ管理体制
(4) 情報セキュリティ管理業務の内容
2 業務要員が情報セキュリティ管理方針及びその実施手順を理解することができるよ
う,業務要員に対し,情報セキュリティ管理方針及びその実施手順に関する教育及び
訓練を行うとともに,当該教育又は訓練を行った場合には,その記録を作成し,規則
第10条第3項に定める期間保存するものとしていること。
3 業務要員が情報セキュリティ管理方針及びその実施手順を遵守するため,次に掲げ
�- 6 -
る対策を講じていること。
(1) 職務規程その他の規程において,情報セキュリティ管理方針及びその実施手順に
関する遵守事項を定めていること。
(2) (1)の規程には,情報セキュリティ管理方針及びその実施手順に違反した場合に
おける罰則規定を設けていること。
4 電子公告調査システムの変更や新たな情報セキュリティに係る脅威等に伴い,情報
セキュリティ管理方針及びその実施手順について,定期的な評価及び見直しを行うと
ともに,その結果に基づき適切な改善対策を講ずるものとしていること。
第6 機密保持(法第944条第1項1号ロ,第2号)
1 調査機関は,業務要員(業務要員が派遣労働者である場合にあっては,派遣元事業
主)との間で機密保持に係る契約を締結していること。
2 業務要員が派遣労働者である場合にあっては,派遣労働者と派遣元事業主との間で
機密保持に係る契約を締結していること。
3 職務規程その他の規程において,機密保持に係る契約に違反した場合における罰則
規定を定めていること。
第7 情報資産(法第944条第1項第1号ロ,第2号)
1 次に掲げる事項を記載した情報資産目録を書面又は記録として作成し,規則第10
条第3項に定める期間保存するものとしていること。
(1) 情報資産の管理責任者
(2) 情報資産の形態
(3) 情報資産の保管場所
(4) 情報資産の保存期間
(5) 情報資産の廃棄方法
(6) 情報資産へのアクセスが許諾されている者
2 各情報資産の内容及び対応する業務並びにシステム機能に基づき想定されるリスク
並びに当該リスクが業務運営に与える影響に基づき,当該情報資産の重要度を定めて
いること。
3 2の重要度に応じたリスク分析及び評価を行うとともに,当該リスク分析及び評価
の結果に基づき各情報資産に対するセキュリティ対策を検討していること。
4 情報資産目録へのアクセス制限を行い,当該目録を利用し,又は閲覧することがで
きる業務要員を限定していること。
5 情報資産目録について,定期的な評価及び見直しを行うものとしていること。
第8 物理的セキュリティ(法第944条第1項第1号ロ)
1 管理区域については,以下に掲げるセキュリティ対策が講じられていること。
なお,電子公告調査システムの一部を外部事業者のデータセンター等に設置してい
る場合には,当該データセンター等はISO27001又はJISQ27001を取得している
場所であること。
(1) 管理区域の立入りについて,情報資産の重要度に応じたセキュリティ管理策を定
め,当該管理策を書面又は記録として作成し,規則第10条第3項に定める期間保
存するものとしていること。
�- 7 -
(2) 情報資産の重要度に応じて,管理区域への立入りが可能な業務要員を限定してい
ること。
(3) 管理区域の立入りに関するルールを定め,当該ルールを書面又は記録として作成
し,規則第10条第3項に定める期間保存するものとしているとともに,当該ルー
ルを業務要員その他の関係者に周知していること。
なお,当該ルールには,次に掲げる事項が定められていること。
ア 調査機関の営業時間のみならず,営業時間外の時間帯をも通じた立入り及び緊
急時における立入りに関するルール
イ 管理区域へ機器又は物品を搬入する場合及び保守作業のために外部事業者が立
ち入る場合についてのルール(調査機関の職員が同行することを含むものとす
る。)
(4) 管理区域の出入口(当該区域が入居している建物,サーバルームその他の電子公
告調査の業務に係る情報資産を有する区域の出入口等)には,不正な立入りを防止
するため,適切な対策を講じていること。
(5) 情報システム管理者は,管理区域の立入りに係る記録を取得し,定期的にこれを
確認するとともに,当該記録を規則第10条第3項に定める期間保存するものとし
ていること。
(6) 管理区域としてのセキュリティ水準が保たれているかどうかの確認を定期的に行
うものとしていること。
(7) 管理区域については,情報資産の変更又は見直しに応じて定期的にセキュリティ
対策を評価し,見直しを行うものとしていること。
2 管理区域への立入りに係る許諾及び当該許諾に係る識別符号の付与
(1) 当該管理区域への立入りの許諾及び当該許諾に係る識別符号の付与に関するルー
ルを定め,当該ルールを書面又は記録として作成し,規則第10条第3項に定める
期間保存するものとするとともに,当該ルールを業務要員その他の関係者に周知し
ていること。
(2) 立入りが許諾されている業務要員は,認証用の識別符号の取扱いについて,情報
セキュリティ責任者が定める事項を遵守するものとしていること。
(3) 立入りを許諾されている業務要員が認証用の識別符号を紛失した場合には,直ち
に情報セキュリティ責任者に届け出るものとしていること。
(4) 情報セキュリティ責任者は,管理区域への立入りに係る認証用の識別符号につい
て,定期的に確認するものとしていること。
第9 環境的セキュリティ(法第944条第1項第1号ロ,第2号)
1 停電対策
停電が発生した場合でも,電子公告調査の業務を継続することができるために必要
な電力を確保するための適切な対策を講じていること。
2 火災・水害・地震対策
(1) 電子公告調査システムが設置されている建築物は耐火建物であること。また,当
該システムを設置する区域には,適切な火災対策を講じていること。
(2) 電子公告調査システム及び電子公告調査システムが設置されている区域には,上
�- 8 -
位階からの漏水や空調機からの漏水などに対して,適切な水害防止対策を講じてい
ること。
(3) 電子公告調査システム並びに電子公告調査システムが設置されている建築物及び
区域には,適切な耐震対策を講じていること。
3 配線
電子公告調査システムの配線を保護するため,適切な対策を講じていること。
第10 電子公告調査システムのセキュリティ対策(法第944条第1項第1号ロ,第2号)1 電子公告調査システムの利用方針,業務遂行上の留意事項及び実施手順を定め,当
該方針等を書面又は記録として作成し,規則第10条第3項に定める期間保存するも
のとするとともに,業務要員その他の関係者に周知していること。
2 電子公告調査システムについては,業務目的以外の使用を禁止するものとしている
こと。
3 原則として,電子公告調査システムについて,改造,増設,交換,ソフトウェアの
導入その他の変更を行わないものとしていること。
ただし,ソフトウェアのバージョンアップ等の業務に必要なものについては,情報
システム管理者の許可を得て行うものとしていること。
4 調査業務用サーバは,電子公告調査を行うための専用サーバとしていること。
第11 情報資産へのアクセス制御(法第944条第1項第1号ロ)
1 情報資産へのアクセス制御に関する書面又は記録を作成し,規則第10条第3項に
定める期間保存するものとしていること。
当該書面又は記録には,アクセスを許可するための利用者登録及びその登録削除の
手続を定めていること。
2 電子公告調査システムへの外部からのアクセス制御
(1) 調査委託者その他の調査機関の業務要員以外の者による外部からの電子公告調査
システムへのアクセスに備えて,情報の機密性を確保するため,適切な対策を講じ
ていること。
(2) 調査業務用サーバは,外部からアクセスされる他のシステム(メールシステム
等)と遮断されているネットワーク内に存在させていること。
3 情報資産への内部からのアクセス制御
(1) 電子公告調査システムのアクセスに係る許諾及び当該許諾に係る識別符号に係る
書面又は記録を作成し,規則第10条第3項に定める期間保存するものとしている
こと。
(2) (1)の識別符号は,業務要員ごとに異なるものとしていること。
(3) 情報資産へのアクセスが許可された者以外の者による情報資産へのアクセスがで
きないよう,適切な対策を講じていること。
(4) アクセス権限については,定期的な点検を実施し,見直しを行うものとしている
こと。
4 パスワードの管理
(1) パスワードに関する管理・運用ルールを定め,当該ルールを書面又は記録として
�- 9 -
作成し,規則第10条第3項に定める期間保存するものとするとともに,当該ルー
ルを業務要員その他の関係者に周知していること。
(2) パスワードについては,定期的な変更を強制又は推奨するものとし,古いパスワ
ードの再利用はしないものとしていること。
(3) 初期パスワードは,最初のログイン時点で変更する仕組みとしていること。
(4) パスワードの長さは十分な長さとし,文字列は他人が推測しにくいものとしてい
ること。
(5) 電子公告調査システムに係るパスワードが他人に使用された場合又は使用される
危険性があると認識した場合には,直ちに当該パスワードによる認証を停止し又は
これに対応する識別符号による当該システムの利用を継続させないものとしている
こと。
(6) 端末にパスワードを記憶することを禁止し,他人がパスワードを認識することが
できないような対策を講じていること。
(7) パスワードは,業務要員ごとに異なるものとしていること。
第12 ネットワーク制御(法第944条第1項第1号ロ,第2号)
1 ネットワーク制御
(1) 外部と接続するネットワークには,重要情報資産を守るため,適切な対策を講じ
ていること。
なお,電子公告調査システムが複数の管理区域に分離して設置されている場合に
おいても同様とする。
(2) 電子公告調査の業務に必要でないネットワークサービスについては,これを使用
できないような対策を講じていること。
(3) モバイル端末等による外部からのリモートアクセスを禁止していること。
(4) 無線LANを使用していないこと。
2 電子公告調査システムは,電子公告調査の業務と関係のないシステムと接続してい
ないこと。
3 電子公告調査の業務に必要な情報システムが電子公告調査システムに接続している
場合には,当該情報システムについても侵入検知装置の設置その他のネットワーク制
御に関する対策を講じていること。
第13 メールの制御管理(法第944条第1項第1号ロ)
1 電子公告調査の業務においてメールを使用する場合には,原則として,当該業務に
係る専用のメールサーバとしていること。
2 電子公告調査の業務に関するメールサーバと他のメールサーバを同一のサーバとす
るときは,情報の漏えい,滅失,毀損又は改ざんの防止のため,適切な対策を講じて
いること。
3 メールの中継処理及び自動転送機能を使用していないこと。
第14 アクセス記録等(法944条第1項第1号ロ,ハ,第2号)
1 情報システム管理者は,重要情報資産へのアクセス記録(外部からのもの(調査申
込者,調査委託者からのものを含む。))を取得し,規則第10条第2項第10号ホ
に規定する記録を同条第3項に定める期間保存するものとしていること。
�- 10 -
また,取得した記録については,定期的に分析し,適切な対策を講ずるものとして
いること。
2 情報システム管理者は,重要情報資産へのアクセス記録(内部からのもの)を取得
し,規則第10条第3項に定める期間保存するものとしていること。
また,これを定期的に分析し,適切な対策を講ずるものとしていること。
3 情報システム管理者は,情報セキュリティに関する事案を検知するため,アクセス
記録の取得及び保存について記載したシステム監視計画を定め,当該計画を書面又は
記録として作成し,規則第10条第3項に定める期間保存するものとしていること。
システム監視計画には,アクセス状況の管理に必要となるデータ項目,取得したア
クセス記録の保存期間並びに取得した各種アクセス記録に関する分析,監視及びその
分析報告に関する事項を定めていること。
4 保存されているアクセス記録の漏えい,滅失,毀損又は改ざんの防止のため,適切
な対策を講じていること。
5 情報システム管理者は,システム監視計画に従い,取得したアクセス記録を定期的
に分析し,監視し,その報告書を作成するものとしていること。
第15 コンピュータウィルス対策(法第944条第1項第1号ロ,第2号)
1 電子公告調査システムのコンピュータウィルス(以下「ウィルス」という。)対策
として,次に掲げる対策を講じていること。
(1) ウィルスチェックを行う場合の運用ルール(担当者,タイミング,記録の取得
等)を定め,当該ルールを書面又は記録として作成し,規則第10条第3項に定め
る期間保存するものとしていること。
(2) ウィルスチェック用のパターンファイルを最新のものに保つための措置を講じて
いること。
(3) 調査業務用サーバ,クライアント端末その他の電子公告調査システムに係る情報
機器類にウィルス検知及び駆除に関するソフトウェアを導入していること。
(4) 電子公告調査システムに係る端末については,定期的かつ自動的にウィルスチェ
ックを行う仕組みになっていること。
2 外部からのデータを読み込む場合,又は電子メールによる送信その他の方法により
データを外部に提供する場合には,必ずウィルスチェックを行うものとしているこ
と。
第16 移動型情報資産に関するセキュリティ対策(法944条第1項第1号ロ,2号)
1 端末に関するセキュリティ対策として,次に掲げる対策を講じていること。
(1) 端末に関するセキュリティ対策に関する書面又は記録を作成し,規則第10条第
3項に掲げる期間保存するものとしていること。
(2) 端末を使用することができる業務要員を限定し,当該業務要員以外の者により使
用され,又は端末に保存されている情報の閲覧を防止するため,適切な対策を講じ
ていること。
(3) 端末の持込み及び持出しは,原則として禁止し,業務に必要な範囲において持込
み又は持出しを行う場合には,情報システム管理者の許可を得るものとしているこ
と。
�- 11 -
(4) 端末の持込み又は持出しを行う場合には,ウィルス対策(持込み時)及び情報漏
えいの防止(持出し時)のため,適切な対策を講ずるものとしていること。
2 記録媒体に関するセキュリティ対策として,次に掲げる対策を講じていること。
(1) 記録媒体に関するセキュリティ対策に関する書面又は記録を作成し,規則第10
条第3項に定める期間保存するものとしていること。
(2) 記録媒体を使用することができる業務要員を限定し,当該業務要員以外の者によ
り使用され,又は保存されている情報の閲覧を防止するため,適切な対策を講じて
いること。
(3) 記録媒体については,施錠可能な場所に保管するものとしていること。
(4) 記録媒体の持出しは,原則として禁止し,業務に必要な範囲において持出しを行
う場合には,情報システム管理者の許可を得るとともに,記録された情報の機密性
を確保するため,適切な対策を講じていること。
(5) 記録媒体を廃棄する場合には,当該媒体に記録された情報を復元できない方法に
より廃棄するものとしていること。
第17 電子公告調査システムの維持管理(法第944条第1項第1号ロ,第2号)
1 電子公告調査システムの監視(通信・サーバの死活監視等,コンピュータシステム
の維持・運営)
(1) 規則第5条第1項に規定する作業に係る電子公告調査システムの監視体制を確保
していること。
(2) (1)の監視体制は,調査機関の営業時間のみならず,営業時間外の時間帯をも通
じた体制となっていること。
2 電子公告調査システムの円滑な運用を確保するため,以下に掲げる対策を講じてい
ること。
(1) ネットワーク監視やサーバの死活監視その他のシステム監視計画を定め,当該計
画を書面又は記録として作成し,規則第10条第3項に定める期間保存するものと
していること。
(2) 電子公告調査システムの性能品質を確保するためのシステム性能監視計画を定
め,当該計画を書面又は記録として作成し,規則第10条第3項に定める期間保存
するものとしていること。
(3) (1)及び(2)の計画に基づく監視結果の記録を取得し,規則第10条第3項に定め
る期間保存するとともに,その記録の確認及び評価を実施するものとしているこ
と。
(4) 電子公告調査システムに係る監視業務を外部事業者に委託している場合において
は,(1)から(3)までの内容を満たす委託契約を締結していること。
3 電子公告調査システムの変更管理
(1) 電子公告調査システムに係る追加,変更,廃棄等に関する手順を定め,当該手順
を書面又は記録として作成し,規則第10条第3項に定める期間保存するものとし
ていること。
(2) 電子公告調査システムの追加,変更,廃棄等を行った場合には,その際の設定,
構成等の履歴を記録し,規則第10条第3項に定める期間保存するものとしている
�- 12 -
こと。
(3) 電子公告調査システムの追加,変更,廃棄等を行うに当たっては,当該作業を行
う者の職務を明確にするとともに,重要情報資産の漏えい,滅失,毀損又は改ざん
の防止のため,適切な対策を講じていること。
4 電子公告調査システムの保守
(1) 電子公告調査システムの稼動状況,不具合の発生及び対処状況を管理する体制と
運営ルールを定め,当該体制及びルールを書面又は記録として作成し,規則第10
条第3項に定める期間保存するものとしていること。
(2) 電子公告調査システムの保守業務を外部事業者に委託している場合においても
(1)と同様とするとともに,受託者との間で,調査機関の営業時間のみならず,営
業時間外の時間帯をも通じた問合せ及び緊急時の問合せ並びに障害対応の手続に関
する事項を含む保守契約を締結していること。
(3) 電子公告調査システムについて,外部事業者との間でハウジング又はホスティン
グの契約を締結している場合には,当該外部事業者の保守サービス内容についても
確認していること。
第18 バックアップ(法第944条第1項第1号ロ,ハ,第2号)
重要情報資産のバックアップについて,次に掲げる対策を講じていること。
1 重要情報資産に関するバックアップに関する書面又は記録を作成し,規則10条第
3項に定める期間保存するものとしていること。
なお,当該書面又は記録には,バックアップ対象データ,取得タイミング並びに保
管及び運用に関する事項が含まれていること。
2 情報システム管理者は,サーバ等に記録された電子公告調査の業務に係る情報につ
いて,その重要度に応じて期間を設定し,定期的にバックアップを取得するものとし
ていること。
3 重要情報資産(電磁的に記録されたものに限る。)については,少なくとも2世代
以上のバックアップを行っていること。
4 外部磁気媒体の可読性のチェックを実施するものとしていること。
5 3のバックアップに係る外部磁気媒体は,災害等により生じる支障の有無を考慮
し,遠隔地において保管するものとしていること。
第19 危機管理(法第944条第1項1号イ,ロ,ハ,第2号)
1 災害発生時や電子公告調査システムの故障等の発生による影響を最小化し,早期の
復旧を図るため,電子公告調査の業務に係る危機管理計画(障害発生時の連絡体制,
障害対応手順,障害復旧手順)を定め,当該計画を書面又は記録として作成し,規則
第10条第3項に定める期間保存するものとしていること。
なお,危機管理計画には,次に掲げる事項を規定していること。
(1) 非常時における管理者権限の代行
(2) 外部委託先や代理店等で業務を行えなくなった場合における対応策
(3) 事業所や電子公告調査システムを設置している施設が長期間にわたり使用不可能
となった場合における対応策
(4) 監視で異常が発見された場合における切り分け及び復旧手順
�- 13 -
2 危機管理計画について,業務要員その他の関係者に周知されていること。
3 危機管理計画に掲げる事項に係る教育又は訓練の実施計画を定め,当該教育又は訓
練を実行した場合には,その記録を規則第10条第3項に定める期間保存するものと
していること。
4 危機管理計画について,定期的に見直しを行うものとしていること。
第20 再発防止(法944条第1項第1号ロ,第2号)
1 情報セキュリティに影響を及ぼす事象が発生したときは,再発防止計画を策定し,
当該事象に係るリスク分析及び再発防止策の検討を行うものとしていること。
2 障害等の情報及びこれに対する処理結果等について,障害記録として体系的に整理
し,再発防止のために活用することができるようにしていること。
3 障害記録
(1) 障害記録については,定期的に情報システム管理者が確認するとともに,規則第
10条第3項に定める期間保存するものとしていること。
(2) 障害記録に基づき,原因分析と予防及び是正処置を含む適切な対策を講じるもの
としていること。
附 則
本基準は,平成21年1月26日から施行する。
�