会計検査院　情報セキュリティポリシー基本方針

第1　目的

現在、社会経済の情報化の進展に伴い、会計検査院（以下「本院」という。）と本院を取り巻く環境は、情報技術なしでは成り立たない状況となっている。そして、本院内部や検査対象である各府省等では、情報技術を利用した業務が行われていて、本院職員や関係者は、多様な場面で様々な情報に接する機会が増大している。

このような状況を踏まえ、本院は、各府省等との連携を図りつつ本院業務の情報化を推進していくことで、情報化による業務の一層の円滑化・効率化を図っているところである。

しかし、このような情報化の中で構築し運用されている情報資産は、常に情報漏えい・改ざん、情報システムの事故・故障、地震・火災等の自然災害などの脅威にさらされており、これらの脅威が現実化した場合、業務の遂行が著しく困難になることはもとより、国民の信頼を損なうなど、その損害は甚大になるおそれがある。そして、このような認識の下、政府においては政府機関の情報セキュリティ対策のための統一基準を定め、情報セキュリティ対策の実施を図っている状況である。

本院においては、多岐にわたる検査対象の情報を取り扱っており、より高いレベルの情報セキュリティ対策が必要とされるため、本院が行う情報セキュリティ対策として情報セキュリティポリシーを定め、国の財政監督機関として必要な情報セキュリティ水準を達成することを目的とする。

第2　対象範囲

情報セキュリティポリシーとは、情報資産の情報セキュリティ対策について、総合的かつ具体的に取りまとめたもので、基本方針及び対策基準からなる。情報資産とは情報システム（情報システムに係る設備・情報システム内部の電磁的記録媒体を含む。以下同じ。）、ネットワーク、磁気媒体等（USBメモリ、MO、 DVDなど）、情報システムや磁気媒体等に保存されている情報及び紙媒体の情報である。

情報セキュリティポリシーの対象範囲は、本院の情報資産、並びに本院のすべての職員及び契約等に基づき本院の業務を行う又は行う可能性のある者（以下「職員等」という。）とする。

第3　情報セキュリティの基本原則

1. (1)最高情報セキュリティ責任者を設置し、情報セキュリティ対策に取り組むための体制を構築する。
2. (2)基本方針を遵守し、対策基準が定める事項を遵守及び適用する。また、情報セキュリティを確保するために必要となる実施手順を作成し、これに基づいた運用を行う。
3. (3)情報セキュリティ対策を適切に実施するために、情報セキュリティに関する必要な教育を実施する。
4. (4)情報セキュリティに支障を及ぼすインシデントが発生した場合は速やかに対応する。
5. (5)情報資産を情報セキュリティ上の脅威から保護するため、リスクアセスメントを実施し、適切な情報セキュリティ対策を行う。
6. (6)情報セキュリティ対策の運用状況を点検するために情報セキュリティ監査、自己点検等を実施する。
7. (7)情報セキュリティの水準を維持するとともに、定期的に見直しを実施し必要に応じて改善する。
8. (8)職員等は情報セキュリティポリシー、実施手順のほか、著作権、個人情報の保護、文書管理及び情報セキュリティに関する法令等（以下「関係法令等」という。）を遵守する。
9. (9)情報セキュリティポリシーの違反には、厳正に対処する。