NITEの情報セキュリティポリシー

	｜サイトマップ｜リンク集｜

ＮＩＴＥトップ＞各種情報＞ＮＩＴＥの情報セキュリティポリシー

　NITEの情報セキュリティポリシー（基本方針）

１．基本的な考え方

　独立行政法人製品評価技術基盤機構（以下「機構」という。）は、物資の品質に関する技術上の情報の収集、評価、整理及び提供並びに技術的法規制の施行業務等を行うことを任務としている特定独立行政法人である。機構の取り扱う情報は、個人情報に関わるもの、事業者の営業上又は技術上の権利に関わるもの、国の行政運営上重要なもの等を多く含み、外部への漏えい、改ざん、消失等が発生した場合には、極めて重大な結果を招くおそれがある。したがって、適切な情報セキュリティ対策を講じることにより情報資産を様々な脅威から守ることは、機構の社会的信頼及び事業継続の確保に必要であり、ひいては国民生活、事業者の事業活動及び行政の安定的運営に資するものである。
　よって、機構における情報セキュリティ対策の体系を構築するため、情報セキュリティ対策の目的、対象、対策の要点、役職員等の責務等を内容として、機構の情報セキュリティに対する基本的な考え方を示す情報セキュリティ基本方針をここに決定した。

２．情報セキュリティ対策の目標

ア. 外部からの意図的な攻撃による障害（不正侵入、コンピューターウイルス、盗聴、盗難、改ざん、破壊、消去、漏えい等） イ. 内部の意図的な不正使用等による障害（不正使用、改ざん、破壊、消去、漏えい、持出し等） ウ. 非意図的要因による障害（次号に掲げるものを除く。）（ハードウエア障害、ソフトウエア障害、ネットワーク障害、設備の故障、誤った使用・運用、過失等） エ. 災害による障害（落雷、火災、水害、地震等） オ. 機構の情報資産を用いた外部の情報資産への加害行為（非意図的なものを含む。）（コンピューターウイルスの送信、不正侵入等）
ア. （１）アからウまでに掲げる脅威に関して、被害を受けず及び当該情報資産に係る外部の関係者に損害を与えず、又は被害若しくは損害を最小限にくい止め、もって実務上、法務上、財務上又は社会的信頼の上で機構の存続又は業務の継続に甚大な悪影響を受ける事態を起こさないこと イ. （１）オに掲げる脅威に関して、外部に損害を与えず又は損害を最小限にくい止め、もって実務上、法務上、財務上又は社会的信頼の上で機構の存続又は業務の継続に甚大な悪影響を受ける事態を起こさないこと ウ. （１）エに掲げる脅威に関して、機構の受ける被害及び当該情報資産に係る外部の関係者に与える損害を可能な範囲で小さくし、もって機構の社会的信頼を獲得し及び保持すること

３．用語の定義

（１）	この基本方針における用語の意義は、以下のとおりとする。

ア. 「情報セキュリティ」とは、情報の機密性、完全性及び可用性をいう。 イ. 「情報セキュリティ対策」とは、情報セキュリティを確保するために必要な措置をいう。 ウ. 「情報」とは、以下のイ)からニ）をいう。

イ）	情報システム内部に記録された情報
ロ）	情報システム外部の電磁気的記録媒体に記録された情報
ハ）	情報システムに関係がある書面に記載された情報
ニ）	機構文書（機構の役職員が職務上作成し、又は取得した文書、図面、電磁的記録（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られた記録をいう。以下同じ。）であって、機構の役員又は職員が組織的に用いるものとして、機構が保有しているものをいう。）したがって、「情報」には、作業途上の文書も適用対象であり、書面に記載された情報には、電磁的に記録されている情報を記載した書面（情報システムに入力された情報を記載した書面、情報システムから出力した情報を記載した書面）及び情報システムに関する設計書が含まれる。

エ. 「情報システム」とは、情報処理及び通信に係るシステムをいう。 オ. 「機密性」とは、情報に関して、認可された者だけがこれにアクセスできる状態を確保することをいう。 カ. 「完全性」とは、情報が破壊、改ざん又は消去されていない状態を確保することをいう。 キ. 「可用性」とは、認可された者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することをいう。 ク. 「情報資産」とは、情報及び情報を管理する仕組み（情報システム及び事務室、保管庫その他の情報を保管するための施設設備（情報システムを除く。）（以下「情報システム等」という。）の総称をいう。 ケ. 「役職員等」とは、機構の役員、職員、非常勤職員、客員研究員、認定審査員、製品事故調査員及び各種委員会委員（ただし、委嘱状が交付された者に限る。）をいう。 コ. 「委託事業者」とは、機構との委託、請負付託、役務等の契約行為により機構の業務を行う者をいう。 サ. 「情報セキュリティ関係規程等」とは、この基本方針、５．（１）の情報セキュリティ管理規程、同規程に基づき制定される情報セキュリティ対策基準その他の規程及びその実施手順その他の情報セキュリティ対策の実施に必要な規程類をいう。

（２）	対象この基本方針の対象は、次に掲げるとおりとする。

ア. 機構の情報資産 イ. 役職員等、派遣職員、委託事業者、共同研究先の当該共同研究従事者（以下、「共同研究従事者」という。）及び共同事業先の当該事業従事者（以下、「共同事業従事者」という。）

４．情報セキュリティ対策の要点

ア. 情報システム等の調達及び開発に係る仕組み及び手続き、機構外での情報処理の制限等について必要な対策を講じる。 イ. （４）及び（５）の対策は、委託事業者、共同研究従事者及び共同事業従事者における情報セキュリティ確保の観点を併せて考慮するものとする。
ア. 役職員等の新任時及び異動時、並びに定期的に情報セキュリティに関する必要な教育を行なうものとする。 イ. アの教育は、当該役職員等の取り扱う情報及びその取扱いの内容に応じたものとし、当該教育を受けた者でなければ当該情報を取り扱わせてはならないものとする。

５．その他

ア. ４に基づく情報セキュリティ対策の基本的かつ具体的な枠組みを規定するため、情報セキュリティ管理規程（以下「管理規程」という。）を定めることとする。 イ. 管理規程の規定する枠組みを実施するのに必要な具体的な対策基準その他の規程（以下「対策基準等」という。）及び対策基準等に定められた対策の内容を具体的な業務又は情報システムにおいて実施するための実施手順並びに監査を実施するための基準及び実施手順は、それぞれ別途定めることとする。 ウ. この基本方針及び管理規程以外の規程類（（１）イの規程類を除く。）において、情報セキュリティの確保に係る部分は、この基本方針及び管理規程に矛盾のないよう、又は、当該部分とこの基本方針及び管理規程とは相互に矛盾のないよう規定するものとする。
ア. 役職員等は、情報セキュリティ関係規程等に定める事項の実施に責任を負うとともに、それらを遵守する。 イ. 役職員等は、情報セキュリティ関係規程等に定める事項を派遣職員、委託事業者、共同研究従事者及び共同事業従事者に遵守させるものとする。
ア. 役職員等、派遣職員、委託事業者、共同研究従事者及び共同事業従事者は、機構の情報資産を使用するに当たって関係する法令及び規則等を遵守する。 イ. アの関係する法令及び規則等には、独立行政法人等の保有する個人情報の保護に関する法律、不正アクセス行為の禁止等に関する法律、著作権法、不正競争防止法、刑法及び国家公務員法が含まれる。

■	情報セキュリティ管理規程
	情報セキュリティ管理規程（PDF:239KB）
■	その他の規程類
	個人情報保護管理規程（PDF:203KB）