制定文
国家戦略特別区域法 (2013年法律第107号)
第28条の2第1項
《認定区域計画に定められている国家戦略特別…》
区域データ連携基盤整備事業の実施主体であって、内閣府令・総務省令・経済産業省令で定めるデータの安全管理に係る基準に適合することについて内閣総理大臣の確認を受けたもの以下この条及び次条において単に「実施
の規定に基づき、 内閣府・総務省・経済産業省関係国家戦略特別区域法施行規則 を次のように定める。
1項 国家戦略特別区域法
第28条の2第1項
《認定区域計画に定められている国家戦略特別…》
区域データ連携基盤整備事業の実施主体であって、内閣府令・総務省令・経済産業省令で定めるデータの安全管理に係る基準に適合することについて内閣総理大臣の確認を受けたもの以下この条及び次条において単に「実施
に規定する内閣府令・総務省令・経済産業省令で定めるデータの安全管理に係る基準は、認定区域計画に定められている国家戦略特別区域データ連携基盤整備事業の実施主体が、次の各号のいずれにも該当することとする。
1号 サイバーセキュリティ( サイバーセキュリティ基本法 (2014年法律第104号)
第2条
《定義 この法律において「サイバーセキュ…》
リティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式以下この条において「電磁的方式」という。により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅
に規定するサイバーセキュリティをいう。以下同じ。)に関するリスクを経営リスクの一つとして位置付けており、その実施する国家戦略特別区域データ連携基盤整備事業(以下「 対象事業 」という。)に関わる、平時及び非常時の責任体制及び関係者の役割分担を明確にしていること。
2号 対象事業 を円滑かつ確実に実施するために必要な事項を定めた運用規程等において、サイバーセキュリティに関する事項を定めていること。
3号 サイバーセキュリティの確保に関する運用を的確に行うに足りる知識及び技能を有する者として、情報処理安全確保支援士( 情報処理の促進に関する法律 (1970年法律第90号)
第15条
《登録 情報処理安全確保支援士となる資格…》
を有する者が情報処理安全確保支援士となるには、情報処理安全確保支援士登録簿に、氏名、生年月日その他経済産業省令で定める事項の登録を受けなければならない。 2 前項の登録以下単に「登録」という。は、3年
の登録を受けた情報処理安全確保支援士をいう。)又はこれと同等以上の知識及び技能を有すると認められる者を配置していること。
4号 サイバーセキュリティに関する計画の策定、実施、評価及びその改善を継続して行うことにより、継続的なサイバーセキュリティの水準の向上につながる仕組みを構築し、その有効化を図るため、次のいずれかを実施していること。
イ サイバーセキュリティの確保のための管理体制について、合理的かつ客観的な基準による公正な第三者認証を取得し、維持していること。
ロ 定期的に、サイバーセキュリティに関する外部監査等(当該監査を受けられないやむを得ない事情がある場合であって、独立性及び公平性を担保し、外部監査に準じた措置として組織内において講じているものを含む。)を実施するとともに、当該外部監査等の結果に基づき、サイバーセキュリティ対策の改善を行っていること。
5号 サイバーセキュリティに関するインシデント( 対象事業 において収集及び整理をしている区域データの漏えい、滅失又は毀損の発生をいう。)に対し、サイバーセキュリティを維持するための責任、権限及び能力を備えた当該インシデントに対応する要員を配置し、対応方針を含む運用規程等を定めていること。
6号 不正アクセス等のサイバー攻撃による障害等から迅速に復旧するための方法を含む適切な事業継続計画を策定していること。
7号 サイバー攻撃に対するリスク分析を実施し、 対象事業 におけるリスクを認識した上で、対象事業の実施主体に加え、運営業務の外部委託先も含め、当該リスクに応じた技術的及び組織的なサイバーセキュリティ対策を実施すること。
8号 対象事業 に用いるソフトウェア及びハードウェアの脆弱性が顕在化しないよう、当該脆弱性に関する情報収集、当該脆弱性を克服するためのプログラム(いわゆるセキュリティパッチ)の適用等の必要な対策を継続的に講ずること。
9号 日々進化するサイバー攻撃等の脅威に対して、これらの検知及び監視を行うサイバーセキュリティ対策を講ずること。