近年、サイバー攻撃等のリスクが増大しており、防衛調達に係るサプライチェーン全体においても、情報セキュリティ対策を講ずることの重要性が高まったことから、契約に基づき企業において取り扱われる「保護すべき情報」の管理に適用するため、情報セキュリティ対策、組織的セキュリティ対策、物理的セキュリティ対策などの対策を網羅的に定めた「装備品等及び役務の調達における情報セキュリティ基準」を2022年3月に整備。
装備品等及び役務の調達における情報セキュリティ基準は、契約に付される「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項注1」の別紙及びその別紙に係る付紙として構成
注1 契約の基本的な内容を補完する付加的な規定で、契約内容に応じて適用するもの
企業は、防衛省と上記特約条項が付された契約を締結した場合は、「装備品等及び役務の調達における情報セキュリティ基準」に基づく対策の実施が必要となります。
また、元請負者から「保護すべき情報」を取り扱う業務を請け負う企業についても、同基準に基づく対策の実施が必要です。
なお、「保護すべき情報」とは、装備品等及び役務の調達に関する情報のうち、防衛省の「部内限り」又は「注意」に該当する情報で、情報セキュリティ指定書において、官により指定された情報です。
上記特約条項が付された契約を締結した企業は、契約締結後、次の手続が必要となります。
・事業計画(資料一式)はこちら
・システムセキュリティ実装計画書(資料一式)はこちら
情報セキュリティ基準
説明 |
「保護すべき情報」を取扱う契約に関し、甲(官)、乙(企業)の責務等を定めたもの |
説明 |
「保護すべき情報」を取扱う企業に対し、防衛省が求める管理策を定めたもの |
情報セキュリティ基準を一部改正しました。(2025年7月1日から適用)
説明 |
「保護すべき情報」を取扱う契約に関し、甲(官)、乙(企業)の責務等を定めたもの |
説明 |
「保護すべき情報」を取扱う企業に対し、防衛省が求める管理策を定めたもの |
情報セキュリティ基準の解説
説明 |
企業側の基本方針・規則を定める資とするために、基準を解説したもの |
説明 |
企業側の実施手順を定める資とするために、実施要領を解説したもの |
情報セキュリティ基準の一部改正に伴い、解説の一部を更新しました。(2025年7月1日から適用)
説明 |
企業側の基本方針・規則を定める資とするために、基準を解説したもの |
説明 |
企業側の実施手順を定める資とするために、実施要領を解説したもの |
情報セキュリティ基準の関連通知
説明 |
情報セキュリティ確保に関する手続き等を定めたもの |
説明 |
情報セキュリティ監査で、企業の手続き、及び官側の確認・評価を定めたもの |
説明 |
情報セキュリティ確保の目的で申請する様式および手順を定めたもの |
説明 |
情報セキュリティ事故等で、企業からの連絡に対し、官側の対応を定めたもの |
説明 |
事業計画やSSP等、事前行為の受付&確認部署を定めたもの |
情報セキュリティ基準の関連通知(2025年6月30日までの規則)
説明 |
情報セキュリティ確保に関する手続き等を定めたもの |
説明 |
情報セキュリティ監査で、企業の手続き、及び官側の確認・評価を定めたもの |
説明 |
情報セキュリティ確保の目的で申請する様式および手順を定めたもの |
説明 |
情報セキュリティ事故等で、企業からの連絡に対し、官側の対応を定めたもの |
参考:新基準では「検知」「対応」「復旧」を追加して制定