防衛装備庁

装備品等及び役務の調達における情報セキュリティ基準について

What's New !!

2025/6/20
情報セキュリティ基準の関連通知を更新しました。UP!
2025/6/13
情報セキュリティ基準の解説を更新しました。UP!
2025/6/3
情報セキュリティ基準を更新しました。
2025/3/27
システムセキュリティ実装計画書(資料一式)を更新し、DSG利用企業用記入例を追加しました。
2024/12/10
事業計画(資料一式)を更新しました。
システムセキュリティ実装計画書(資料一式)を更新しました。
規則類(装装保第4208、5457号)を一部改正しました。
FAQを掲載しました。
装備品等及び役務の調達における情報セキュリティ基準相談窓口
防衛装備庁 装備政策部 装備保全管理課 産業サイバーセキュリティ室
URL https://www.mod.go.jp/atla/cybersecurity.html
E-Mail industrial-cybersecurity-office[at]ext.atla.mod.go.jp
[at]は@に置き換えてください。
TEL 03-3268-3111(代表)内線27030・27024・27028
受付時間 平日10:00~12:00・13:00~16:00

装備品等及び役務の調達における情報セキュリティ基準とは

近年、サイバー攻撃等のリスクが増大しており、防衛調達に係るサプライチェーン全体においても、情報セキュリティ対策を講ずることの重要性が高まったことから、契約に基づき企業において取り扱われる「保護すべき情報」の管理に適用するため、情報セキュリティ対策、組織的セキュリティ対策、物理的セキュリティ対策などの対策を網羅的に定めた「装備品等及び役務の調達における情報セキュリティ基準」を2022年3月に整備。

装備品等及び役務の調達における情報セキュリティ基準は、契約に付される「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項注1」の別紙及びその別紙に係る付紙として構成

注1 契約の基本的な内容を補完する付加的な規定で、契約内容に応じて適用するもの

企業は、防衛省と上記特約条項が付された契約を締結した場合は、「装備品等及び役務の調達における情報セキュリティ基準」に基づく対策の実施が必要となります。
また、元請負者から「保護すべき情報」を取り扱う業務を請け負う企業についても、同基準に基づく対策の実施が必要です。

なお、「保護すべき情報」とは、装備品等及び役務の調達に関する情報のうち、防衛省の「部内限り」又は「注意」に該当する情報で、情報セキュリティ指定書において、官により指定された情報です。








秘(装備品等秘密)、特定秘密、特別防衛秘密 秘密等については、リンク先の「防衛産業保全マニュアル」等をご覧ください。
注  意 } この中から、官が「保護すべき情報」として指定
部内限り
(区分無し) 秘密や保護すべき情報に係る特約は付きません。

上記特約条項が付された契約を締結した企業は、契約締結後、次の手続が必要となります。

  • 速やかに情報セキュリティ基本方針等を提出し、契約担当官等の確認を受ける
  • 保護すべき情報を情報システムで取り扱う場合は、システムセキュリティ実装計画書を提出し、契約担当官等の確認を受ける
  • これらの確認を終えた後、取扱者に係る届出を行う。

これらの手続きを経て、保護すべき情報を取り扱うことが可能となります。

代表的な手続きの流れ(イメージ図)は、次のとおり

代表的な手続きの流れ(イメージ図)は、次のとおり

1.お知らせ(研修等)

2.提出書類

・事業計画(資料一式)はこちら

・システムセキュリティ実装計画書(資料一式)はこちら

3.サイバー規則体系

情報セキュリティ基準

説明 「保護すべき情報」を取扱う契約に関し、甲(官)、乙(企業)の責務等を定めたもの
説明 「保護すべき情報」を取扱う企業に対し、防衛省が求める管理策を定めたもの

情報セキュリティ基準を一部改正しました。(2025年7月1日から適用)

説明 「保護すべき情報」を取扱う契約に関し、甲(官)、乙(企業)の責務等を定めたもの
説明 「保護すべき情報」を取扱う企業に対し、防衛省が求める管理策を定めたもの

情報セキュリティ基準の解説

説明 企業側の基本方針・規則を定める資とするために、基準を解説したもの
説明 企業側の実施手順を定める資とするために、実施要領を解説したもの

情報セキュリティ基準の一部改正に伴い、解説の一部を更新しました。(2025年7月1日から適用)

説明 企業側の基本方針・規則を定める資とするために、基準を解説したもの
説明 企業側の実施手順を定める資とするために、実施要領を解説したもの

情報セキュリティ基準の関連通知

説明 情報セキュリティ確保に関する手続き等を定めたもの
説明 情報セキュリティ監査で、企業の手続き、及び官側の確認・評価を定めたもの
説明 情報セキュリティ確保の目的で申請する様式および手順を定めたもの
説明 情報セキュリティ事故等で、企業からの連絡に対し、官側の対応を定めたもの
説明 保護すべき情報の指定について定めたもの
説明 事業計画やSSP等、事前行為の受付&確認部署を定めたもの

情報セキュリティ基準の関連通知(2025年6月30日までの規則)

説明 情報セキュリティ確保に関する手続き等を定めたもの
説明 情報セキュリティ監査で、企業の手続き、及び官側の確認・評価を定めたもの
説明 情報セキュリティ確保の目的で申請する様式および手順を定めたもの
説明 情報セキュリティ事故等で、企業からの連絡に対し、官側の対応を定めたもの

参考:新基準では「検知」「対応」「復旧」を追加して制定

4.FAQ

よくある質問はこちら(随時更新)UP!

ページTOPへ戻る