とりまとめ

2019年４月システムガバナンスの在り方に関する検討会

事務局経済産業省（委託PwCコンサルティング合同会社）

本資料の構成

－検討の背景目的2

－DXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて 17

－ldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について30

－ldquoデジタルガバナンスコードrdquoの政策的位置づけについて35（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

－検討経緯 44

－参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

1

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

2

3

背景

背景

目的

日本企業は次世代デジタル技術の導入活用に苦戦（ldquo2025年の崖rdquo）

bull システムの複雑化やＩＴ関連予算が現行のシステムの保守運用にＩＴ予算の多くが割かれていることなどにより（＝IT資産のldquo負債化rdquo）データ活用が困難な状態にあるとともに事業環境の変化に合わせたシステム改修更新を柔軟かつタイムリーに行うことができない状態にある

bull 足下では社会的な影響が大きいシステム障害の件数も増加してきており デジタル技術の利用運用による社会的影響が懸念される中でSociety50の実現に向けてデジタル技術の利用運用の信頼性を高める必要がある

ＩＴ総合戦略本部において民間部門のデジタル化推進が決定（H301219）

bull 「民間部門のデジタル化時代への対応の促進民間部門において重要産業を中心に旧来のシステムの刷新データ管理セキュリティ対応等のデジタル化時代における競争性効率性の強化と安全確保を両立させたシステムガバナンスシステム投資を促進する【業所管大臣経済産業大臣】」との方針を決定これを踏まえた具体的措置の検討が求められている

本有識者検討会では日本企業のDX推進に向けたデジタルガバナンスマネジメントの促進を目的とした制度的措置の手法検討を実施する

我が国の国際競争力の強化（競争性効率性）と国民生活国民経済の安定確保を両立しつつ民間企業のデジタルトランスフォーメーション（DX）を推進しSociety 50の実現する観点からデジタルガバナンスマネジメントの促進を目的とした政策的措置の手法を検討する

デジタルトランスフォーメーション（DX）企業がビジネス環境の激しい変化に対応しデータとデジタル技術を活用して顧客や社会のニーズを基に製品やサービスビジネスモデルを変革するとともに業務そのものや組織プロセス企業文化風土を変革し競争上の優位性を確立すること（出所デジタルトランスフォーメーションを推進するためのガイドライン（DX 推進ガイドライン）経済産業省）

デジタルガバナンスデジタルトランスフォーメーションを継続的かつ柔軟に実現することができるよう経営者自身が明確な経営理念ビジョンや基本方針を示しその下で組織仕組みプロセスを確立（必要に応じて抜本的根本的変革も含め）し常にその実態を掌握し評価をすること

デジタルマネジメントデジタルガバナンスの下で確立運用されるデジタルトランスフォーメーションの継続的かつ柔軟な実現に向けた組織仕組みプロセスを経営者と連携しながら管理すること

6

課題の現状と原因（まとめ）

日本企業は「攻め」のIT投資が不足している上ITシステム障害等のトラブルも増加しておりデジタル技術の利用面において競争力効率性の観点セキュリティ安全確保の観点で両面に課題

現状のITガバナンスマネジメントやAIIoTビッグデータ等の技術導入検討の不十分さが直接の原因と考えられる（ITリソースが不足し技術的難易度が上昇する中でDX推進に向けた効果的なITガバナンスマネジメントを実現しにくい状態）

全社的なガバナンスマネジメントが機能的に実践されることにより「DXレポート」本文P15において示されるDX成功事例のような効果が想定される（IT予算の全社的な効率化やグループ内全体の業務プロセス改革といったことを通じビジネスの転換を実現）

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加

（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマ

ネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足

bull 技術的難易度の上昇

二次原因（人材不足

技術的難易度の上昇）

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

本資料の構成

－検討の背景目的2

－DXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて 17

－ldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について30

－ldquoデジタルガバナンスコードrdquoの政策的位置づけについて35（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

－検討経緯 44

－参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

1

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

2

3

背景

背景

目的

日本企業は次世代デジタル技術の導入活用に苦戦（ldquo2025年の崖rdquo）

bull システムの複雑化やＩＴ関連予算が現行のシステムの保守運用にＩＴ予算の多くが割かれていることなどにより（＝IT資産のldquo負債化rdquo）データ活用が困難な状態にあるとともに事業環境の変化に合わせたシステム改修更新を柔軟かつタイムリーに行うことができない状態にある

bull 足下では社会的な影響が大きいシステム障害の件数も増加してきており デジタル技術の利用運用による社会的影響が懸念される中でSociety50の実現に向けてデジタル技術の利用運用の信頼性を高める必要がある

ＩＴ総合戦略本部において民間部門のデジタル化推進が決定（H301219）

bull 「民間部門のデジタル化時代への対応の促進民間部門において重要産業を中心に旧来のシステムの刷新データ管理セキュリティ対応等のデジタル化時代における競争性効率性の強化と安全確保を両立させたシステムガバナンスシステム投資を促進する【業所管大臣経済産業大臣】」との方針を決定これを踏まえた具体的措置の検討が求められている

本有識者検討会では日本企業のDX推進に向けたデジタルガバナンスマネジメントの促進を目的とした制度的措置の手法検討を実施する

我が国の国際競争力の強化（競争性効率性）と国民生活国民経済の安定確保を両立しつつ民間企業のデジタルトランスフォーメーション（DX）を推進しSociety 50の実現する観点からデジタルガバナンスマネジメントの促進を目的とした政策的措置の手法を検討する

デジタルトランスフォーメーション（DX）企業がビジネス環境の激しい変化に対応しデータとデジタル技術を活用して顧客や社会のニーズを基に製品やサービスビジネスモデルを変革するとともに業務そのものや組織プロセス企業文化風土を変革し競争上の優位性を確立すること（出所デジタルトランスフォーメーションを推進するためのガイドライン（DX 推進ガイドライン）経済産業省）

デジタルガバナンスデジタルトランスフォーメーションを継続的かつ柔軟に実現することができるよう経営者自身が明確な経営理念ビジョンや基本方針を示しその下で組織仕組みプロセスを確立（必要に応じて抜本的根本的変革も含め）し常にその実態を掌握し評価をすること

デジタルマネジメントデジタルガバナンスの下で確立運用されるデジタルトランスフォーメーションの継続的かつ柔軟な実現に向けた組織仕組みプロセスを経営者と連携しながら管理すること

6

課題の現状と原因（まとめ）

日本企業は「攻め」のIT投資が不足している上ITシステム障害等のトラブルも増加しておりデジタル技術の利用面において競争力効率性の観点セキュリティ安全確保の観点で両面に課題

現状のITガバナンスマネジメントやAIIoTビッグデータ等の技術導入検討の不十分さが直接の原因と考えられる（ITリソースが不足し技術的難易度が上昇する中でDX推進に向けた効果的なITガバナンスマネジメントを実現しにくい状態）

全社的なガバナンスマネジメントが機能的に実践されることにより「DXレポート」本文P15において示されるDX成功事例のような効果が想定される（IT予算の全社的な効率化やグループ内全体の業務プロセス改革といったことを通じビジネスの転換を実現）

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加

（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマ

ネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足

bull 技術的難易度の上昇

二次原因（人材不足

技術的難易度の上昇）

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

2

3

背景

背景

目的

日本企業は次世代デジタル技術の導入活用に苦戦（ldquo2025年の崖rdquo）

bull システムの複雑化やＩＴ関連予算が現行のシステムの保守運用にＩＴ予算の多くが割かれていることなどにより（＝IT資産のldquo負債化rdquo）データ活用が困難な状態にあるとともに事業環境の変化に合わせたシステム改修更新を柔軟かつタイムリーに行うことができない状態にある

bull 足下では社会的な影響が大きいシステム障害の件数も増加してきており デジタル技術の利用運用による社会的影響が懸念される中でSociety50の実現に向けてデジタル技術の利用運用の信頼性を高める必要がある

ＩＴ総合戦略本部において民間部門のデジタル化推進が決定（H301219）

bull 「民間部門のデジタル化時代への対応の促進民間部門において重要産業を中心に旧来のシステムの刷新データ管理セキュリティ対応等のデジタル化時代における競争性効率性の強化と安全確保を両立させたシステムガバナンスシステム投資を促進する【業所管大臣経済産業大臣】」との方針を決定これを踏まえた具体的措置の検討が求められている

本有識者検討会では日本企業のDX推進に向けたデジタルガバナンスマネジメントの促進を目的とした制度的措置の手法検討を実施する

我が国の国際競争力の強化（競争性効率性）と国民生活国民経済の安定確保を両立しつつ民間企業のデジタルトランスフォーメーション（DX）を推進しSociety 50の実現する観点からデジタルガバナンスマネジメントの促進を目的とした政策的措置の手法を検討する

デジタルトランスフォーメーション（DX）企業がビジネス環境の激しい変化に対応しデータとデジタル技術を活用して顧客や社会のニーズを基に製品やサービスビジネスモデルを変革するとともに業務そのものや組織プロセス企業文化風土を変革し競争上の優位性を確立すること（出所デジタルトランスフォーメーションを推進するためのガイドライン（DX 推進ガイドライン）経済産業省）

デジタルガバナンスデジタルトランスフォーメーションを継続的かつ柔軟に実現することができるよう経営者自身が明確な経営理念ビジョンや基本方針を示しその下で組織仕組みプロセスを確立（必要に応じて抜本的根本的変革も含め）し常にその実態を掌握し評価をすること

デジタルマネジメントデジタルガバナンスの下で確立運用されるデジタルトランスフォーメーションの継続的かつ柔軟な実現に向けた組織仕組みプロセスを経営者と連携しながら管理すること

6

課題の現状と原因（まとめ）

日本企業は「攻め」のIT投資が不足している上ITシステム障害等のトラブルも増加しておりデジタル技術の利用面において競争力効率性の観点セキュリティ安全確保の観点で両面に課題

現状のITガバナンスマネジメントやAIIoTビッグデータ等の技術導入検討の不十分さが直接の原因と考えられる（ITリソースが不足し技術的難易度が上昇する中でDX推進に向けた効果的なITガバナンスマネジメントを実現しにくい状態）

全社的なガバナンスマネジメントが機能的に実践されることにより「DXレポート」本文P15において示されるDX成功事例のような効果が想定される（IT予算の全社的な効率化やグループ内全体の業務プロセス改革といったことを通じビジネスの転換を実現）

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加

（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマ

ネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足

bull 技術的難易度の上昇

二次原因（人材不足

技術的難易度の上昇）

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

3

背景

背景

目的

日本企業は次世代デジタル技術の導入活用に苦戦（ldquo2025年の崖rdquo）

bull システムの複雑化やＩＴ関連予算が現行のシステムの保守運用にＩＴ予算の多くが割かれていることなどにより（＝IT資産のldquo負債化rdquo）データ活用が困難な状態にあるとともに事業環境の変化に合わせたシステム改修更新を柔軟かつタイムリーに行うことができない状態にある

bull 足下では社会的な影響が大きいシステム障害の件数も増加してきており デジタル技術の利用運用による社会的影響が懸念される中でSociety50の実現に向けてデジタル技術の利用運用の信頼性を高める必要がある

ＩＴ総合戦略本部において民間部門のデジタル化推進が決定（H301219）

bull 「民間部門のデジタル化時代への対応の促進民間部門において重要産業を中心に旧来のシステムの刷新データ管理セキュリティ対応等のデジタル化時代における競争性効率性の強化と安全確保を両立させたシステムガバナンスシステム投資を促進する【業所管大臣経済産業大臣】」との方針を決定これを踏まえた具体的措置の検討が求められている

本有識者検討会では日本企業のDX推進に向けたデジタルガバナンスマネジメントの促進を目的とした制度的措置の手法検討を実施する

我が国の国際競争力の強化（競争性効率性）と国民生活国民経済の安定確保を両立しつつ民間企業のデジタルトランスフォーメーション（DX）を推進しSociety 50の実現する観点からデジタルガバナンスマネジメントの促進を目的とした政策的措置の手法を検討する

デジタルトランスフォーメーション（DX）企業がビジネス環境の激しい変化に対応しデータとデジタル技術を活用して顧客や社会のニーズを基に製品やサービスビジネスモデルを変革するとともに業務そのものや組織プロセス企業文化風土を変革し競争上の優位性を確立すること（出所デジタルトランスフォーメーションを推進するためのガイドライン（DX 推進ガイドライン）経済産業省）

デジタルガバナンスデジタルトランスフォーメーションを継続的かつ柔軟に実現することができるよう経営者自身が明確な経営理念ビジョンや基本方針を示しその下で組織仕組みプロセスを確立（必要に応じて抜本的根本的変革も含め）し常にその実態を掌握し評価をすること

デジタルマネジメントデジタルガバナンスの下で確立運用されるデジタルトランスフォーメーションの継続的かつ柔軟な実現に向けた組織仕組みプロセスを経営者と連携しながら管理すること

6

課題の現状と原因（まとめ）

日本企業は「攻め」のIT投資が不足している上ITシステム障害等のトラブルも増加しておりデジタル技術の利用面において競争力効率性の観点セキュリティ安全確保の観点で両面に課題

現状のITガバナンスマネジメントやAIIoTビッグデータ等の技術導入検討の不十分さが直接の原因と考えられる（ITリソースが不足し技術的難易度が上昇する中でDX推進に向けた効果的なITガバナンスマネジメントを実現しにくい状態）

全社的なガバナンスマネジメントが機能的に実践されることにより「DXレポート」本文P15において示されるDX成功事例のような効果が想定される（IT予算の全社的な効率化やグループ内全体の業務プロセス改革といったことを通じビジネスの転換を実現）

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加

（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマ

ネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足

bull 技術的難易度の上昇

二次原因（人材不足

技術的難易度の上昇）

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

6

課題の現状と原因（まとめ）

日本企業は「攻め」のIT投資が不足している上ITシステム障害等のトラブルも増加しておりデジタル技術の利用面において競争力効率性の観点セキュリティ安全確保の観点で両面に課題

現状のITガバナンスマネジメントやAIIoTビッグデータ等の技術導入検討の不十分さが直接の原因と考えられる（ITリソースが不足し技術的難易度が上昇する中でDX推進に向けた効果的なITガバナンスマネジメントを実現しにくい状態）

全社的なガバナンスマネジメントが機能的に実践されることにより「DXレポート」本文P15において示されるDX成功事例のような効果が想定される（IT予算の全社的な効率化やグループ内全体の業務プロセス改革といったことを通じビジネスの転換を実現）

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加

（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマ

ネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足

bull 技術的難易度の上昇

二次原因（人材不足

技術的難易度の上昇）

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

11

一次原因（２３） 現状のITガバナンスマネジメントが不十分①

システム監査を実施している企業は大企業であっても約６割にとどまる

またシステム監査を実施していてもその結果を経営者に報告していない場合もある

その他IT投資の進捗や人材管理状況外部サービスの状況についても経営者に報告していないことも多くITマネジメントとガバナンスが一体になっていないことが多いと考えられる

出所いずれも「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

定期的（年1回以上）に経営者に報告を行う項目

501

276

198

404

499

724

802

596主要なシステム監査の結果

アウトソースしたシステム又はクラウドサービスのサービスレベル（稼働率利用者満足度調査等）

IT投資の進捗（予算と実績の差異等）

IT人材管理状況（要員数資格スキル

取得状況等）

報告していない（わからない場合を含む）

報告している

324

628

290

366

205

440

309

167

27

全体

うち大企業（従業員1000名以上）

うち中堅企業（従業員100~999名）

実施していない実施している わからない

システム監査の実施状況

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

12

一次原因（３３） 現状のITガバナンスマネジメントが不十分③

AIやIoTビッグデータ等のデジタル技術について導入購入した際の影響考慮点を評価したことがない企業が8割以上を占めており技術導入前の検討段階で取組が不足している

自社に導入購入した際の影響を評価したことがあるIT技術

469

358

158

158

154

531

642

842

842

846

909

120

91

880

10 905030 7040200 60 10080

アジャイル開発

IoT

AI

評価したことがある

デジタルイノベーション

ビッグデータ（BD）

評価したことがない

スマートデバイス

クラウドサービス

出所 「平成29年度サイバーセキュリティ経済基盤構築事業（システム監査制度に関する調査研究）調査報告書」 経済産業省 2018年3月

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

16

二次原因（44）技術的難易度上昇

大手IT企業のマネジメント層も技術の進化スピードの速さから最新IT技術導入の難化を認識している

「テクノロジーが時代を革新する原動力になっている一方で多くのエンジニアやビジネスリーダーにとって次々と現れて急速に進化する新技術をキャッチアップする難易度が上がっている」

日本マイクロソフト 執行役員 常務デジタルトランスフォーメーション事業本部長

伊藤かつら氏

日本全体として労働力が減少していることもIT人材確保を難しくするが特に大きな要因はIT技術の複雑化であると考えている

IT技術（例えばクラウドサービス）が早いスピードで進化することで新たなスキルの獲得が追い付いていかなくなるのではと危惧している

大手ITベンダーへのヒアリング結果より

出所 「ITの進化に追い付くのが大変な時代――DXを容易に実現する3つの要素とは」Microsoft Tech Summit 2018基調講演レポート 2018年12月

出所 「平成30年度我が国におけるデータ駆動型社会に係る基盤整備（ITシステム実態調査事業）報告書」 経済産業省 2018年12月

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

17

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

18

検討の方向性

技術的難易度が上昇しリソースが加速することが見込まれる中「2025年の崖」の克服のためには我が国産業界においてDXに向けた準備体制を整えることは喫緊の課題

DX推進に向けてまずは適切なガバナンスマネジメントの在り方を整理する必要があるためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するためのガイドラインとなる総合的な「デジタルガバナンスコード」を策定することが必要がではないか

対応方針

bull まずはガバナンスマネジメントの在り方を整理することが必要

bull このためデジタル技術の利用に際してのガバナンスマネジメント面の妥当性適正性を客観的に評価するための総合的な「デジタルガバナンスコード」を策定

bull ITシステムが複雑化しIT予算運用が非効率化

bull 日本企業は「攻め」のIT投資が不足

bull ITシステム障害等のトラブルが増加（特に社会インフラを支える事業分野でもトラブルが生じている）

デジタル技術ITシステムの利用における課題

一次原因（現状のITガバナンスマネジメントが不十分）

bull 経営層承認のIT戦略がない

bull システム監査の結果等が経営層に報告されていない

bull AIIoTビッグデータ等の技術導入の検討が不十分

bull IT人材（特に先端ハイエンドIT人材）の不足bull 技術的難易度の上昇

二次原因

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

22

観点

評価項目

要求事項（質問項目）

対策

レベルBasic

対策

レベルAdvanced

対策

レベルHighlyAdvanced

DXの視点 セキュリティの視点

ニーズ整合性

柔軟性

専門性

デジタル適応性

データ活用性

機密性

完全性

可用性

ガバナンス

経営のあり方

しているか

している

している

している

しているか

している

している

している

リーダーシップ

組織文化

体制仕組み

人材

マネジメント

計画

支援

運用

ﾊﾟﾌｫｰﾏﾝｽ評価

改善

デジタルガバナンスコード 設計イメージ

ldquoデジタルガバナンスコードrdquoにおける評価項目観点（案） ガバナンスマネジメントの各項目（縦軸）に沿って具体的な要求事項を整理し各要求事項がど

のような特性要素に関わるものかを横軸の項目に沿って明示する形としてはどうか

またDXを進めていく上で各項目においてあるべき姿（To Be）と現時点での実態（As Is）の乖離を確認し達成度を測ることができるよう要求事項の整理の仕方として各質問項目に応じて複数の水準レベルに分けて対策（プラクティス）の例を示し現時点での達成度が自己評価できる形としてはどうかまた（To Beの水準については技術進歩等に応じて随時見直しも必要ではないか）

hellip hellip hellip hellip

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

23

各特性要素のイメージ

ニーズとの整合性

hellipデジタル化されたカスタマーリレーションによる顧客ニーズとの整合を高められる度合い

柔軟性

hellip他者連携や環境変化に自律的に柔軟に応じられる度合い

専門性

hellip専門技術的知見を持つ人材の確保度合い

デジタルへの適応性

hellipリスクを好機と捉えデジタル技術の導入変更を選好する度合い

データ活用性

hellipデータ利活用がしやすい状態にある度合い

機密性

hellip許可されていない範囲に情報を使用不可非公開にできる度合い

完全性

hellip情報が正確で完全な状態に保てる度合い

可用性

hellip必要な時にシステムデータを想定どおり利用できる度合い

リスク耐性

hellipリスクを見極めた上でそれを受容したり回避したりできる度合い

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

24

（参考）DXの評価軸に関する各社分析

各社分析におけるDXの評価軸 各社分析結果を元に設定したDXの評価軸

PwC BCG Deloitte

製品サービス面の運用オペレーショ

ン

カスタマーリレーションのデジタル化

カスタマーリレーションのデジタル化

デジタル技術活用が考慮された包括的経営

顧客ニーズとの整合性bull ニーズと整合しつつデジタル化されたカスタマーリレーション

技術変化に対応した新製品新ビジネスモデル

継続的且つ迅速にビジネスを変革できるデータ活用技術基盤

他者との連携を前提としたビジネスエコシステム

先進性bull 技術的競争力の実現柔軟性bull 他者との連携や継続的な変化に対して自律的に応じられる柔軟な運用

組織体制組織文化

戦略立案＋実行を推進できるCDO人材

デジタル技術と人的作業の調査を実現する人材体制カルチャーの構築

柔軟な雇用体系と適切な技術的スキルレベルの実現

専門性bull 十分な技術的知見を有する人材の確保

先導性bull 他者を先導できるリーダーの確保と組織の構築

デジタル化されたオペレーションデジタルカルチャーの醸成

デジタル化自動化された中央集権的なオペレーション

協調分散型リーダーシップの実現リスクを恐れず将来性のあるプロジェクトに取り組むカルチャー

デジタルへの適応性bull デジタル技術の導入変化を選好する企業カルチャー

出所 ldquoThe digitization of utilitiesrdquo PwC 2016ldquoDigital Transformationrdquo Boston Consulting Group 2019ldquoAligning the organization for its digital futurerdquo Deloitte InsightsldquoIs Your Company Ready for a Digital Futurerdquo MIT Sloan Management Review Winter 2018 Issue

前頁のDXの視点に関する要素は下記資料を参考に設定

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

DXの実現に向けて必要となる評価指標項目について（12）

例えば以下のような指標項目を検討してはどうか

26

明確な経営理念ビジョンや基本方針がたてられていることそれに基づくデジタル技術の導入運用方針が明確になっていることを評価するもの

CDO（Chief Digital Officer）が設置されていることを評価するもの

IT予算のうち維持管理バリューアップと分けた場合の維持管理の割合が一定以下になっていることを評価するもの

IT予算の維持管理の割合を評価する場合基幹系システムの刷新に要するコストはバリューアップに含むことを明確化するなどによりシステム刷新を妨げる方向になる評価にはならないようにすべき

全社的に又は外部と連携しながらデータの利活用ができていることを評価するもの

総人件費に占めるIT関連の教育研修費の割合が一定以上になっていることを評価するもの

IT人材育成研修の目標計画を設定していることを評価するもの

デジタルサービスITシステムの設計プロジェクトの実現度合いを評価するもの

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

27

DXの実現に向けて必要となる評価指標項目について(22)

その他に以下の観点を評価する指標項目を検討してはどうか

長期的な目線にたって効果が見込まれるIT投資を評価するもの

財務会計の観点からもDXの達成度を評価できるような定量的な指標（例えば前々ページに明示したIT予算に占める維持管理の割合等）

DX推進のためのリスクテイクを評価するもの（リスクを抑えるばかりでなくリスクを見極めた上でどこまで許容してDXを実行できるかどうか）

デジタルサービスやITシステムのサービスリリースの期間を短縮できているかどうかを評価するもの

経営者だけではなく現場責任者スタッフがDX推進の能力文化（デジタルカルチャー）を有しておりその文化が根付いていることを評価するもの

セキュリティマネジメントの在り方だけでなく将来的なビジネスモデル変革に合わせた情報セキュリティ変革の在り方を評価するもの

既存のシステムやサービスで不要なもの効果をあげていないものを廃棄することを評価するもの

企業のダイナミズムやイノベーション創出の実現性イノベーティブな人材育成確保等の観点を評価するもの

外部システムや外部企業との連携性を評価するもの

コードは個社で利用されるべきものではあるものの各社が属する産業ビジネス全体の構造環境やその変化を見据えたデジタル化を意識していることを評価するもの

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

28

デジタルガバナンスコードの策定運用に関しての留意点（12）

以下の観点に留意する必要があるのではないか

要求事項や対策の詳細を検討整理していく上では評価をする側だけでなく評価を受ける側である事業者自身の声も反映しながら進めていくべき

DXレポートに示される展望に沿ってDXを進めていく上で求められる要求事項を整理していく中で足りない観点項目があると考えられれば柔軟に加除していくべきであり本評価軸案は検討のたたき台として取り扱うべき

各項目のLevelに応じたプラクティス対策の達成度を含め評価軸や各評価項目については本評価基準を各事業者による利用状況をフォローアップすることにより実態把握を行いその結果に基づき随時コードの見直しも必要（そのためにもまずは本評価基準をベンチマークとして各事業者が活用できるようにすることが重要）

既存の規格基準で十分に整理されている観点については（例えばセキュリティマネジメント面等）詳細に整理し尽くすということではなくDXの実現という政策目的に照らし経営者の動機付けにつながるような項目に一定程度絞ることとし分かりやすく整理すべき

DXの視点とセキュリティの視点の両立を目指すという観点から両者の視点でトレードオフになるような面を重点的に項目としてあげるべき

産業ごとに現状の達成度や目標の方向性が異なる場合もあるため産業によってどの指標項目に比重傾斜を置くかということも検討すべき

DXの定義そのものを直接表現してその達成度を評価できる項目があると経営者の意識付けになりやすい

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

29

デジタルガバナンスコードの策定運用に関しての留意点（22）

以下の観点に留意する必要があるのではないか

定量的な指標は重要ではあるもののビジネス産業の環境によって現在の達成度も異なっておりまた各企業によって目標も異なるため一律に線を引けるかどうかについてはよく検討する必要がある各企業が設定する目標点への達成を図るような指標も重要

各企業の経営状況やビジネスの様態等によって各項目の目指すべき水準が異なるため項目全体を整理する上では全体のバランスを考慮した設計が必要

各事業者がデジタルガバナンスコードを利用して評価を実施する場合定期的な評価を行うとともにその結果が経営者にも報告される必要があるこのような観点も含めてコードの利用手引きのようなものも整理すべき

デジタル技術が進展していく中でコードの運用にあたっては最新の知見等が適切に反映されるよう（例えば２～３年に一度）定期的に見直しの検討を行うべき

見直しを実施していく際本コードの評価結果から産業界全体のDXの進捗を考慮し中長期的にはldquo2025年の崖rdquoの観点からldquoビジネスモデルの創出rdquo等の観点に徐々にシフトし指標や要求事項を整理していくべき

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

30

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

31

ldquoデジタルガバナンスコードrdquoに基づく評価の実施者について

ldquoデジタルガバナンスコードrdquoに基づく評価の実施に当たっては評価の内容がセキュリティや営業秘密に関わるような機微な内容に触れることも想定されることから必ずしも外部評価というより内部の評価実施者による評価として活用されることが重要

他方で内部の評価実施者が評価を行う場合であっても評価の客観性独立性が確保される必要があることから評価実施者には一定の規律が求められる公の資格の保有者等が望ましいと考えられる

ただしデジタルトランスフォーメーションの実現に向けたデジタルガバナンスの促進につながるような経営者の動機付けをすることができる評価実施者としてはこれらの主体で充足するとは限らない今後デジタルガバナンスコードの内容や意図を具体化しながら評価実施者として求められるスキルセットやコンピテンシー業務経験も併せて整理していくことが必要（またITデジタル技術に関する知識や経営面の知識監査等の客観性独立性のある評価を行うノウハウ等いくつかのスキル要素があり得ることにも留意）

その際関連する各資格で求められる業務や素養と比較しそれぞれで追加的に求められる要素を整理することも必要

他方一個人がそれらのスキル能力を全て有するものとは限らないため役割分担を明確にしたチームでの評価実施も考慮にいれてはどうか構成チーム全体のスキル能力として整理するということも考えられる（ただしチームでの評価を実施する場合責任が分散するというデメリットもあることに留意）

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

32

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(12)

資格名 資格概要 資格維持要件

CISA（CertifiedInformation Systems Auditor）

情報システムの監査およびセキュリティコントロールに関する高度な知識技能および経験を有するプロフェッショナル

毎年最低20単位3年間で120単位の継続教育が必要

CSA（公認システム監査人） 情報システムを総合的かつ客観的に点検評価し関係者に助言勧告 2年間で最低80時間の継続教育義務履行が必要

ITコーディネータ ＩＴコーディネータは真に経営に役立つＩＴ利活用に向け経営者の立場に立った助言支援を行いＩＴ経営を実現する人材時代の潮流はＳａａＳクラウド－経営革新業務改革ニーズに合致する戦略的なＩＴ利活用の推進人材として新たな役割を担う

毎年10ポイント以上の実践力ポイントの獲得と実務活動報告書の提出等が必要

CGEIT（Certified in the Governance of Enterprise IT）

ITガバナンスの原理や実践に豊富な知識と経験を持つ専門家 毎年最低20単位3年間で120単位の継続教育が必要

システム監査技術者 高度IT人材として確立した専門分野をもち監査対象から独立した立場で情報システムや組込みシステムを総合的に点検評価検証して監査報告の利用者に情報システムのガバナンスマネジメントコントロールの適切性などに対する保証を与える又は改善のための助言を行う

特になし

ISMS審査員 組織の情報セキュリティマネジメントシステムがISOIEC 27001に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

JRCAの審査員登録の有効期限は3年資格維持のために年15時間（審査員補は年5時間）のCPD(継続的専門能力開発)さらに資格更

新時には資格区分によって必要となる審査実績

ITSMS審査員 組織のITサービスマネジメントシステムがISOIEC 20000-1に基づき構築運用されているかどうかを審査するために必要な力量を有していることを証明する資格

IRCAの審査員登録の有効期限は5年目安として年10～15時間のCPD(継続的専門能力開発)及び資格区分によって必要となる審査実績

出所 各資格認定団体Webサイト

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

33

（参考）デジタルガバナンスコードに基づく評価実施者_デジタルIT関連資格例(22)

資格名 資格概要 資格維持要件

CIA（公認内部監査人） 企業内部の業務処理の適法性などを監査する内部監査人についてその能力を証明する資格

年間40単位の研修等受講（内部監査業務従事者の場合）

ITストラテジスト 高度IT人材として確立した専門分野をもち企業の経営戦略に基づいてビジネスモデルや企業活動における特定のプロセスについて情報技術を活用して改革高度化最適化するための基本戦略を策定提案推進

特になし

公認情報セキュリティ監査人 情報セキュリティ監査制度に対する知識と経験を有するとともに実証された能力として監査計画を立案し監査計画に基づいて監査を実施し報告書を作成し監査結果を被監査主体に報告する

3年間で120ポイント以上の資格維持プログラム修了

情報処理安全確保支援士 サイバーセキュリティリスクを分析評価し組織の事業サービス及び情報システムの安全を確保するセキュリティエンジニアや技術管理の両面から有効な対策を助言提案して経営層を支援するセキュリティコンサルタント

3年間で集合講習オンライン講習計24時間程度

専門監査人（システム監査学会）

情報セキュリティ専門監査人

（要求水準）システム監査基準に基づく監査ができること情報セキュリティ監査基準に基づく監査ができることＩＳＭＳ認証基準に基づく監査ができること情報セキュリティ構造上の欠陥を指摘できること情報セキュリティ管理上の欠陥を指摘できること

３年間で一定の監査実績研究会発表論文掲載150ポイント相当の業務実績

個人情報保護専門監査人

（要求水準）システム監査基準に基づく監査ができること個人情報保護の状況を監査できることプライバシーマーク制度で要求されている監査ができること情報漏洩の可能性を指摘できること情報資産の保全についての問題点を指摘できること

会計システム専門監査人

（要求水準）システム監査基準に基づく監査ができること会計システムの欠陥を指摘できること会計情報の不正エラー等を指摘できること会計情報の保全について問題点を指摘できること

出所 各資格認定団体Webサイト

CISACSAITコーディネータCGEITITSMS審査員公認情報セキュリティ監査人情報処理安全確保支援士CIA（公認内部監査人）専門監査人（システム監査学会）は資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

34

（参考）デジタルガバナンスコードに基づく評価実施者_経営法務関連資格例

資格名 資格概要 資格維持要件

弁護士 社会で生活する人々の「事件」や「紛争」について法律の専門家として適切な予防方法や対処方法解決策をアドバイスする

特になし

公認会計士 企業が作成した財務諸表の監査を行い独立した立場から監査意見を表明しその情報の信頼性を確保するあるいは税務業務（ただし税理士登録をすることが必要）や経営コンサルティング等により健全な経済社会の維持と発展に寄与する

毎年最低40単位の継続教育が必要（会員12年目の場合）3年間で120単位の継続教育が必要（会員3年目以降の場合）

税理士 依頼人の代理として確定申告青色申告の承認申請税務調査の立会い税務署の更正決定に不服がある場合の申立てをするまた確定申告書相続税申告書青色申告承認申請書その他税務署などに提出する書類を作成する

毎年最低36単位の継続教育が必要

中小企業診断士 企業の成長戦略の策定について専門的知識をもってアドバイスおよび策定した成長戦略を実行するに当たって具体的な経営計画を立てその実績やその後の経営環境の変化を踏まえた支援をする

5年間で以下二つを満たすこと専門知識補充要件(理論政策更新(理論政策)研修受講等5回以上)実務要件(実務実績等30日以上)

出所 各資格認定団体Webサイト

いずれの資格も資格運営団体等において倫理規定等において独立性又は客観性に関してルール順守が求められており適切な業務執行が行われない場合資格取消などの処分が可能となっている

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策措置について（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

35

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

特徴メリット 論点デメリット

① 最も簡易なスキーム多くの評価

実施が見込まれるためベンチマークとして機能しやすい

評価者の信頼性が求められるため資格維持要件がかかるCISACSA等のデジタル面全般に精通しており中立性客観性が業務倫理要件として明確になっている資格に限定する必要がある

② 評価者に加えて格付機関のチェッ

クが入るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

実質的に評価者と格付機関のダブルチェックをすることとなるため事業者の負担が大きい

③ 格付機関の統一的な評価がなされ

るため格付の信頼性が高い

優良認定をする国として格付機関の選定が必要（評価に必要な能力が多岐にわたる可能性があることから人的制約や予算的制約等により恒久的な運用が困難になる可能性）

格付機関でないと評価がなされないため活用される事業者数が限られる

38

政策措置例①「DX格付け」制度のスキーム案

事業者の負担制度運営の安定性の観点から①のスキームが現実的ではないか

国（主務大臣） 審査機関評価者

（資格を有する専門家）事業者

デジタルガバナンスに関する実態

実態を評価評価者の評価結果を踏まえ

格付優良認定

デジタルガバナンスに関する実態

実態を評価

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえた優良認定

評価結果を踏まえた格付

①

②

デジタルガバナンスに関する実態

格付選定業務を実施する機関を認定登録

審査機関の結果を踏まえ優良認定

実態を評価格付③

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

39

【参考】「おもてなし規格認証」

サービス産業と地域経済の活性化に向けたサービス品質を「見える化」するための規格認証制度として「おもてなし規格認証」が2017年に創設されている規格の設計の観点から本制度も参考になるのではないか

目的

bull サービス品質を「見える化」しサービス事業者の方々の支援を通じて地域経済の活性化をはかる

（1）質の高いサービス提供を行っている事業者の見える化支援

（2）質の高いサービスを提供したいと考える事業者への手引きの提供

（3）消費者の高品質なサービス享受の機会増加

４段階の認証

認証取得のメリット

① 「登録証」または「認証書」とマークの活用

② 認証（紫認証紺認証又は金認証を取得した事業者に限る）は設備資金及び運転資金について日本政策金融公庫の低利融資を活用可能【中小企業向け】

③ 「経営力向上計画」を策定し申請することで固定資産税を軽減【中小企業向け】

紅認証サービス向上の取組に意欲的なサービス提供者（自己適合宣言）

金認証お客さまの期待を超えるサービス提供者（第三者認証【有償】）

紺認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

紫認証独自の創意工夫が凝らされたサービス提供者（第三者認証【有償】）

認証内容

顧客従業員地域社会の満足度を高めるための取組として設定された40項目への適合性を確認

従業員の働きやすさに配慮した取組仕組み

お客さまに対してわかりやすく案内説明などを行うツールの整備

自社がターゲットとする外国人のお客様の文化などの理解 等

認証の有効期間は１年間（取得年度末まで）であり最新の認証を得るためには更新が必要

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

40

政策措置例②その他の措置

DX格付以外の政策手法として例えば以下のような措置も検討し得るのではないか

＜検討対象として想定される措置の例＞

（１）政府調達基準への位置づけ

民間事業者が政府が公募する事業へ参画する場合にマーク取得を要件化観点要素

（２）補助金

デジタルガバナンスコードに基づく評価を実施する際の費用等の補助

（３）税制

デジタルガバナンスコードに基づく評価結果を受けた税制上の措置

（４）金融面の措置

デジタルガバナンスコードに基づく評価結果を受けて金融機関から融資を受けやすくする環境

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

42

中長期的な検討（22）評価者の能力強化

企業におけるDXは経営判断そのものであり経営者自身のコミットの上で全社的に業務の変革を伴いながら実施していくものこのためDXの実現に向けたデジタルガバナンスの評価を実施していくには経営者の判断を迫るものである必要がある

このためまずはデジタルガバナンスの現状について自己評価できる評価基準としてデジタルガバナンスコードを策定した上で中長期的には当該評価基準を個社の経営状況に応じてきめ細かい評価やその結果に応じた対策の提案を実現できる人材の確保育成が必要ではないか

デジタルガバナンスコードの策定

デジタルガバナンスコード事業者での活用hArr活用状況を踏まえてコードを見直し

コーポレートガバナンスや会計面での連動を検討

評価者のスキル整理育成確保策の検討

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

43

政策措置を検討する上での留意点

政策措置を検討する上で以下の点に留意する必要があるのではないか

投資家などのステークホルダーへのメッセージになる政策も必要だがまず経営者自身へのメッセージになることも重要であり格付のような制度を構築する際は自主認証のような形式も念頭におくべき

中小企業などにもデジタルガバナンスコードの活用を促していくためには簡便な形式とすることが必要このため例えば優良認定制度を検討する場合は認定に必要な評価実施者の要件は特に幅広く設定しておく必要があるのではないかまた中小企業には評価コストを補助するような仕組みも検討すべき

優良認定資金支援その他の政策措置のオプションのバリエーションがある中でそれぞれの政策の内容や強度の応じてデジタルガバナンスコードのうちのどの観点項目についての評価が要件になるのかまたそれぞれの項目においてどのレベルの達成度が求められるのかどのような主体が評価すべきなのか各項目別に整理していくことが必要

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施方法について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）（経済産業省2018年9月）

44

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

座長bull 遠山 曉 中央大学 名誉教授

委員bull 稲垣 隆一 稲垣隆一法律事務所 弁護士bull 江原 悠介 PwCあらた有限責任監査法人 シニアマネージャーbull 川津 篤子 有限責任監査法人トーマツ パートナーbull 野中 誠 東洋大学 教授bull 原田 要之助 情報セキュリティ大学院大学 教授bull 鷲崎 弘宜 早稲田大学 教授

45

検討会の検討経緯

委員構成

１検討の背景 本検討に関する問題意識の共有

２検討の進め方 会議の背景目的の確認 ｽｹｼﾞｭｰﾙの確認

３評価軸の設定 DX推進に向けたデジタルガバナンスマネジメントの評価軸設定

議事内容

第3回第1回 第2回

１重要ｼｽﾃﾑの評価軸 前回議論の振り返りとまとめ

２評価軸に関連する基準規格 評価軸毎の評価で参考となる基準規格の洗い出し

洗い出した基準規格で不足する観点の確認

評価者の要件適切な頻度

１重要ｼｽﾃﾑの評価基準規格 前回議論の振り返りとまとめ

２制度的措置 制度的措置原案の方向性

３とりまとめ 有識者検討会のとりまとめ

検討の進め方

オブザーバーbull 永宮 直史 日本セキュリティ監査協会 事務局長bull 山内 徹 日本情報経済社会推進協会 常務理事

関係省庁bull 経済産業省 商務情報政策局 情報経済課bull 経済産業省 商務情報政策局 総務課 情報プロジェクト室bull 内閣官房 情報通信技術（IT）総合戦略室bull 内閣官房 内閣サイバーセキュリティセンターbull 総務省 サイバーセキュリティ統括官室bull 総務省 情報流通行政局 情報通信政策課

事務局bull 経済産業省 商務情報政策局 情報技術利用促進課（委託PwCコンサルティング合同会社）

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

ー検討の背景目的

ーDXに向けた実態を評価するための基準ldquoデジタルガバナンスコードrdquoの策定に向けて

ーldquoデジタルガバナンスコードrdquoに基づく評価の実施主体について

ーldquoデジタルガバナンスコードrdquoの政策的位置づけについて（あくまで本検討会における提案であり関係当局等と調整を踏まえたものではない）

ー検討経緯

ー参考「DXレポート～ITシステム「2025年の崖」の克服とDXの本格的な展開～」（サマリー）経済産業省2018年9月）

46

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

(別紙)既存評価基準規格一覧

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）

システム管理基準 どのような組織体においても情報システムの管理において共通して留意すべき基本的事項を体系化一般化

httpwwwmetigo 情報システムの企画開発保守運用といったライフサイクルを管理するためのITマネジメントと経営陣がステークホルダのニーズに基づき組織の価値を高めるために実践する行動であり情報システムのあるべき姿を示す情報システム戦略の策定及び実現に必要となる組織能力であるITガバナンスについて留意すべき基本的事項を体系化一般化

前文システム管理基準の枠組みⅠ ITガバナンスⅡ 企画フェーズⅢ 開発フェーズⅣ アジャイル開発Ⅴ運用利用フェーズⅥ 保守フェーズⅦ 外部サービス管理Ⅷ 事業継続管理Ⅸ 人的資源管理Ⅹ ドキュメント管理

- - - - - - -

Cobit2019（Control Objectives forInformation and relatedTechnology)

事業体のITに関するガバナンスのフレームワークを提供する

httpitgijpcobit2019indexhtml

以下の4点を踏まえISACA（InformationSystems Audit and Control Association）がCOBIT 5（Control Objectives forInformation and related Technology）の改訂版としてフレームワークを提供している

1ITガバナンスからIampTガバナンスへ（IampTガバナンスの最適化）2変化する環境に相応したプロダクトであること3これまでに構築されたCOBI（ControlObjectives for Information and relatedTechnology）Tの強み特定されている機会の上に構築すること4把握されているCOBIT 5（ControlObjectives for Information and relatedTechnology）の限界

Introduction and MethodologyGovernance and Management ObjectivesDesigning an Information and Technology GovernanceSolutionImplementing and Optimizing an Information andTechnology Governance Solution

httpswwwisacaorgCOBITPagesCOBIT-2019-Publications-Resourcesaspx

ISACA COBIT2019 - - - - - - - -

Val IT IT投資に関する包括的なガイドラインでIT投資を機軸とした変革のためのマネジメントフレームワークを提供する

httpwwwisacaorgAbout-ISACAPress-roomNews-ReleasesJapanesePagesNew-Series-from-ITGI-Focuses-on-IT-Value-Japaneseaspx

IT投資に関する包括的なガイドラインとして価値ガバナンスポートフォリオ管理投資管理の3つの観点でフレームワークを提供している

価値ガバナンス (Value Governance VG)ポートフォリオ管理(Portfolio Management PM)投資管理(Investment Management IM)

httpwwwisacaorgknowledge-centerval-it-it-value-delivery-pagesval-it1aspx

ISACA v20 - - - - - - - -

ISOIEC 38500シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

期待効果組織のITガバナンスに対する信頼をステークホルダーに保証する組織におけるITガバナンスにおいて経営者に対する情報及び指針を提供するITガバナンスに対し客観的な評価を行う際の基盤を提供する

httpkikakuruicomqQ38500-2015-01html

EDM（Evaluate Direct and Monitor）モデルに基づき経営者が6つの原則（責任戦略取得パフォーマンス適合人間行動）に沿って取り組むべき事項が示されている

0序文1適用範囲適用及び目的2用語及び定義3良好なITガバナンスのための枠組み4ITガバナンスのための手引き

httpkikakuruicomqQ38500-2015-01html

ISO ISOIEC385002015

- - - - - - - -

ISOJIS Q31000（ISOInternationalOrganization forStandardization）（JISJapanese IndustrialStandards）

組織を取り巻くあらゆるリスクを運用管理するための体系的かつ透明性があり信頼ができる形での原則及び指針を提供する

httpskikakuruicomqQ31000-2010-01html

リスクマネジメントに係る原則及び一般的な指針を国際標準規格として規定する

序文1 適用範囲2 引用規格3 用語及び定義4 原則5 枠組み 51 一般52 リーダーシップ及びコミットメント53 統合54 設計55 実施56 評価57 改善6 プロセス 61 一般62 コミュニケーション及び協議63 適用範囲組織の状況及び基準64 リスクアセスメント65 リスク対応66 モニタリング及びレビュー67 記録作成及び報告 参考文献

httpswwwnewton-consultingcojpbcmnaviguidelineiso31000html

ISOJIS ISO310002018 - - - - - - - -

COSO-ERM（COSOThe Committee ofSponsoring Organizationof the TreadwayCommission）（ERMEnterprise RiskManagement)

組織のリスクマネジメントを効果的効率的に行うことを通じて組織の目的目標達成を促進することを狙いとするフレームワークを提供する

httpswwwpwccomjpjajapan-knowledgepwcs-viewpdfpwcs-view201712-04pdf

従来のCOSO（The Committee of SponsoringOrganization of the Treadway Commission）フレームワーク（内部統制フレームワーク）を補完的に拡張して組織のリスクマネジメントを効果的効率的に行うことを目的に事業体の戦略業務報告コンプライアンスに係る構成要素をフレームワークとして提供している

＜事業体の目的＞戦略業務報告コンプライアンス＜構成要素＞内部環境目的の設定事象の識別リスクの評価リスクへの対応統制活動情報と伝達モニタリング

httpswwwcosoorgDocumentsCOSO-ERM-Executive-Summary-Japanesepdf

COSO 2017年9月改訂 - - - - - - - -

DX推進ガイドライン（DXDigitalTransformation）

デジタルトランスフォーメーションの実現及び実現するためのITシステム構築にあたり経営者が押さえておくべき事項を明確にすること及び取締役会や株主がデジタルトランスフォーメーションに係る取組を評価する上で活用できるものとすること

httpwwwmetigojppress2018122018121200420181212004html

デジタルトランスフォーメーションを推進するための経営における有り方や仕組み及びデジタルトランスフォーメーションを実現するIT基盤を構築する際の体制や実行プロセスの構築などに関するガイドライン

1はじめに2デジタルトランスフォーメーションを推進するためのガイドライン2-(1)DX推進のための経営の在り方仕組み2-(2)DXを実現する上で基盤となるITシステムの構築

httpwwwmetigojppress2018122018121200420181212004-1pdf

経済産業省 Ver10 - - - - - - - -

評価基準規格評価基準規格概要

評価者の要件 参考文献（評価者）

ITガバナンスDXの視点

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IT-CMF（IT CapabilityMaturity Framework）

グローバルで活用されているビジネスバリュー志向のITマネジメントフレームワークである企業組織がITを活用しビジネス貢献するために必要となるケイパビリティ（能力）とその成熟度が定義されているもの

httpswwwkeieik 4 Macro-Capabilities36 IT ManagementCritical Capabilities315 CapabilityBuilding Blocks + Individual MaturityProfiles800 Maturity AssessmentQuestionsから構成されている4 Macro-Capabilitiesは右記の通り

MANAGING IT LIKE BUSINESSMANAGING THE IT BUDGETMANAGING IT FOR BUSINESS VALUEMANAGING THE IT CAPABILITY

httpsiviieit-c IVI(Innovation ValueInstitute）

2nd edition - - - - - - - -

PMBOK（Project Management Bodyof Knowledge）

国際的に標準とされているプロジェクトマネジメントの知識体系でプロジェクトマネージャーの支店よりプロジェクトマネジメントに係るナレッジや技法を提供すること

httpsjawikipediaorgwikiPMBOK

プロジェクトマネジメントに係る各プロセスを5個の基本的なプロセス群と10個の知識エリアに分類し各プロセスにおける情報や実勢方法を提供する

＜プロセス群＞立ち上げプロセス群計画プロセス群など

＜知識エリア＞プロジェクト統合マネジメントプロジェクトスコープマネジメントプロジェクトスケジュールマネジメントなど

プロジェクトマネジメント協会

第6版 - - - - - - - -

PRINCE2（projects in controlledenvironments 2ndversion）

英国におけるプロジェクトマネジメントのデファクトスタンダードとして開発され組織全体としてプロジェクトを推進する観点よりプロジェクトマネジメントに係る手順やプロセスを提供すること

httpsjawikipediaorgwikiPRINCE2

プロジェクトマネジメントに係る方法論を要素原則テーマプロセスなどの観点より提供する

＜要素＞原則テーマプロセステーラリング

＜原則＞ビジネスの継続の正当性経験からの学習定義された役割および責任など

httpswwwprince2英国商務省 2017年版 - - - - - - - -

Val ITモデル 組織が負担のできる費用でまた既知であり許容されるレベルのリスクで情報化投資から最大の価値を実現する状況をマネジメントに確保させ役員や経営者が情報化投資に関する自らの役割を理解し実行することを支援するガイドラインプロセスサポートプラクティスを提供する

httpitgijppdfdataVALIT_FrameworkVersion1pdf

投資の決定と利益の実現に重点を置いたフレームワークプロセスベストプラクティス

ValITフレームワークValITプロセスと重点管理プラクティス

httpitgijppdfdataVALIT_FrameworkVersion1pdf

ITガバナンス協会（米国）

Ver20 - - - - - - - -

CMMI（Capability MaturityModel Integration）

組織におけるプロセスを評価し改善につなげるための評価モデルを提供する

httpsjawikipediaorgwikiE883BDE58A9BE68890E7869FE5BAA6E383A2E38387E383ABE7B5B1E59088

カーネギーメロン大学ソフトウェアエンジニアリングインスティテュート

Ver20 〇 カーネギーメロン大学のソフトウェア工学研究

所(SEISoftwareEngineeringInstitute)

大和コンピューター 等

参考文献欄参照 - httpssascmmiinstitutecomparsparsaspx

SEI（SoftwareEngineeringInstitute）がCMMI（Capability MaturityModel Integration）レベルを認定できる人組織（SCAMPI（Standard CMMIAppraisal Method forProcess Improvement）アプレイザー）を認定成熟度の水準に応じて評価者に求められる専門性が異なる

ISO 21500（ISOInternationalOrganization forStandardization）

プロジェクトマネジメントに係る国際規格を策定しプロジェクトマネジメントの概念及びプロセスに関する包括的な手引きを提供すること

httpswwwpmi-japanorgtopicspmi1pmbok5_2php

プロジェクトマネジメントに係る包括的な概念とプロセスについて国際的な共通する理解を基本ガイドラインとしてまとめている

プロジェクトマネジメントの概念プロジェクトマネジメントのプロセス

httpswwwjisaorjpit_infoengineeringtabid1626Defaultaspx

ISO ISO215002012 - - - - - - - -

ISO 10006（ISOInternationalOrganization forStandardization）

プロジェクトにおける品質マネジメントの指針としてISO9001におけるプロジェクト部分を補完するためのガイドラインを提供する

httpkikakuruicomqQ10006-2004-01html

プロジェクトにおける品質マネジメントの手引きを提供し品質マネジメントにおける原則及び実践を概説する

序文1適用範囲2引用企画3定義4プロジェクトにおける品質マネジメントシステム5経営者管理者の責任6資源の運用管理7製品実現8測定分析及び改善

httpkikakuruicomqQ10006-2004-01html

ISO 100062003 -ISO9001に含まれるため本基準単体での認

証は無い

- - - - -

共通フレーム(ISOIEC 122072008 の翻訳である JIS X 01602012 をベースとしている）（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割などを包括的に定めたものでシステム開発を委託する際などに発注側と受注側の間に誤解が生じないように汎用的な用語や各工程の内容（分類）を標準化する

httpsjawikiped ソフトウェアシステムサービスの構想から開発運用保守廃棄に至るまでのライフサイクルを通じて必要な作業項目役割等を包括的に規定した共通の枠組みを規定する

第1部 共通フレームの必要性第2部 共通フレーム概説第3部 共通フレームとガイダンス第4部 プロセス解説及び適用とテーラリング（修整）

httpswwwipago情報処理推進機構

2013年度版 - - - - - - - -

ITマネジメント

開発保守

28

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC20000（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サービスマネジメントシステムを調整のとれた形で統合しかつ実施することによって継続的な管理並びに継続的改善の機会より高い有効性及び効率性を得ること

JIS_Q_20000_001_2012 P1より

サービスマネジメントシステムを計画確立導入運用監視レビュー維持及び改善するためのサービスの提供者に対する要求事項を規定する

0序文1適用範囲2引用規格3用語及び定義4サービスマネジメントシステムの一般要求事項5新規サービス又はサービス変更の設計及び移行プロセス6サービス提供プロセス7関係プロセス8解決プロセス9統合的制御プロセス

JIS_Q_20000_001_2012 P2より

ISO ISO20000-12018 〇 JIPDEC ビューロベリタス等（日本で8機関）

208 2018年3月末 httpswwwjipde IECISO20000（ITSMS)審査員と内部監査員

（ITSMS Informationtechnology-ServiceManagement System)

httpcertificationbureauveritasjpnewsletter071210newsletter071210_jipdechtm

ITIL（Information TechnologyInfrastructure Library）

期待効果環境変化への対応力向上利用者の満足度向上ビジネスのレジリエンス強化サービス提供の費用対効果向上

httpwwwitsmf-japanorgaboutusitilhtml

ITサービスに関する仕事の内容進め方考え方など幅広い知識と勘所の記述されたグローバルな共通言語知識体系

＜フレームワーク＞サービスデザインサービストランジションサービスオペレーションサービスストラテジ継続的サービス改善

httpwwwitsmf-ja英国商務省 v4 （2019年2月公開予定）

- - - - - - - -

ISO27000シリーズ（ISOInternationalOrganization forStandardization）

ISMS（Information SecurityManagement System）の要求事項を定めた規格であり組織がISMSを確立し実施し維持し継続的に改善すること

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

httpsismsjpism組織の状況の下でISMS（InformationSecurity Management System） を確立し実施し維持し継続的に改善するための要求事項について規定するこの規格は組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する

ISMS＝個別の問題毎の技術対策の他に組織のマネジメントとして自らのリスクアセスメントにより必要なセキュリティレベルを決めプランを持ち資源を配分してシステムを運用すること

0序文1適用範囲2引用規格3用語及び定義4組織の状況5リーダーシップ6計画7支援8運用9パフォーマンス評価10改善

httpskikakuruic ISO ISO270002018 〇 ISMS-AC 以下ご参照https 5497 2018年3月末 httpswwwjipde 情報セキュリティマネジメントシステム審査員（ISMS審査員）（ISMSInformationSecurity ManagementSystem）

httpswwwjsaorjpdatasmedia10000md_3324

pdf

情報セキュリティ管理基準 情報セキュリティマネジメントにおける管理策のための国際標準規格であるISOIEC 177992000（JIS X 50802002）を基に組織体の業種及び規模等を問わず汎用的に適用できるように情報資産を保護するための最適な実践慣行を帰納要約し情報セキュリティに関するコントロールの目的コントロールの項目を規定したもの（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnical Commission）（JISJapanese IndustrialStandards）

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

マネジメント基準と管理策基準として情報セキュリティマネジメントの計画実行点検処置に必要な実施事項及び「管理策基準」として組織における情報セキュリティマネジメントの確立段階においてリスク対応方針に従って管理策を選択する際の選択肢を規定する

Ⅰ主旨Ⅱ本管理基準の位置づけⅢ 構成Ⅳ マネジメント基準Ⅴ 管理策基準

httpwwwmetigojppolicynetsecuritydownloadfilesIS_Management_Standard_H28pdf

経済産業省 2018年度改正版 - - - - - - - -

ISO 22307(PIA)（ISOInternationalOrganization forStandardization）（PIAPrivacy ImpactAssessment）

個人情報の収集を伴う情報システムの企画構築改修にあたり情報提供者のプライバシーへの影響を「事前」に評価し情報システムの構築運用を適正に行うことを促す一連のプロセスであり設計段階からプライバシー保護策を織り込むことにより「公共の利益」と「個人の権利」を両立させることを目的とする

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

システム開発の初期段階において実施すべきPIA（Privacy Impact Assessment）について要求事項を規定している

＜PIAプロセスにおける要求事項＞PIA計画評価PIA報告PIA実施に必要な専門技能を持つ人の関与公共的で独立した見地の関与PIA結果を意思決定に用いることについての合意

httpsjawikipediaorgwikiE38397E383A9E382A4E38390E382B7E383BCE5BDB1E99FBFE8A995E4BEA1

ISO ISO270002008 -一部の海外では認定機関があるが国内ではまだ未実施

- - - - - - -

ISAE3000（ISAEInternationalStandard on AssuranceEngagements）

国際監査基準(ISAInternational Standards onAuditing)及び国際レビュー業務基準(ISREInternationalStandard on ReviewEngagements)で取り扱われている過去財務情報の監査又はレビュー以外の保証業務に適用される（CSR報告書や持続可能性報告書に記載される環境パフォーマンス指標や社会パフォーマンス指標に係る保証業務が多い）

保証業務には業務実施者以外の者が規準に照らして主題を測定又は評価する場合の証明業務と業務実施者が規準に照らして主題を測定又は評価する場合の直接業務の両方が含まれている本基準は合理的保証業務及び限定的保証業務の証明業務並びに業務状況に応じた直接業務に対し適用される

httpsjicpaorjpspecialized_field20180606ufehtml

目的欄参照のこと 序説範囲目的要求事項適用及びその他の説明指針など

httpsjicpaorjp国際監査保証基準審議会（IAASB）

2018年改訂版 〇 第三者機関（監査補人など）

同左 不明（CSR

（CorporateSocial

Responsibility）報告書や統合報告書の開示企業数におおよそ

相当）

- - 保証対象の情報を理解しレビューするために必要な知識スキル及び力量を有していること独立性を確保する上でIFACの倫理規則（IFAC Code of Ethicsfor ProfessionalAccountants）を遵守すること

（IFACInternationalFederation ofAccountants）

-

セキュリティ一般

運用

38

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

ISOIEC 27101シリーズ（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

サイバーセキュリティ枠組みの策定サイバー保険の利用及び既存の企画（（ISOInternationalOrganization forStandardizationIECInternational ElectrotechnicalCommission）をサイバーセキュリティフレームワークに活用するためのガイドラインを提供することを目的とする

httpsismsjp27000family27000family_20180620pdf

サイバーセキュリティに係るフレームワーク策定におけるガイドラインを提供する

＜ISO 27101＞5 Overview6 Concepts61 Identify62 Protect63 Detect64 Respond65 Recover

httpwwwiso27001securitycomhtml27101html

ISO -現在作成中

- - - - - - - -

NIST CyberSecurityFramework（NISTNational Instituteof Standards andTechnology）

重要インフラ事業者運営者におけるサイバーセキュリティに係るリスクマネジメントを改善するためのフレームワークを提供する

httpswwwipagojpfiles000071204pdf

サイバーセキュリティに係るリスクマネジメントの観点よりフレームワークの基本理念使い方及びセルフアセスメントの実施手順を規定する

フレームワークの照会フレームワークの基本的な考え方フレームワークの使い方フレームワークを利用したサイバーセキュリティリスクの自己アセスメント

httpswwwipagojpfiles000071204pdf

NIST Ver11 - - - - - - - -

政府機関の情報セキュリティ対策のための統一基準

共通的に必要とされる情報セキュリティ対策であり政府機関等の情報セキュリティ対策のための統一規範（サイバーセキュリティ戦略本部決定）に基づく機関等における統一的な枠組みの中で統一規範の実施のため必要な要件として情報セキュリティ対策の項目ごとに機関等が遵守すべき事項（以下「遵守事項」という）を規定することにより機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする

httpswwwniscgojpactivegeneralpdfkijyun30pdf

機関等が行うべき対策について目的別に部節及び款の３階層にて対策項目を分類し各款に対して目的及び趣旨並びに遵守事項を示している

第1部 総則第2部 情報セキュリティ対策の基本的枠組み第3部 情報の取扱い第4部 外部委託第5部 情報システムのライフサイクル第6部 情報システムのセキュリティ要件第7部 情報システムの構成要素第8部 情報システムの利用

httpswwwniscgojpactivegeneralpdfkijyun30pdf

サイバーセキュリティ対策本部（NISC）

平成30年度改訂版 - - - - - - - -

重要インフラにおける情報セキュリティ確保係る安全基準など策定指針

重要インフラにおける機能保証の考え方を踏まえ重要インフラサービスの安全かつ持続的な提供の実現を図る観点から「安全基準等」において規定が望まれる項目を整理記載することによって「安全基準等」の策定改定を支援することを目的としている

httpswwwniscgojpactiveinfrapdfshishin5pdf

重要インフラ事業者等が自主的な取組や継続的な改善を行う際に参照しやすいよう情報セキュリティの対策項目をＰＤＣＡサイクルに沿って記載している

１目的及び位置づけ１１ 重要インフラにおける情報セキュリティ対策の重要性１２ 「安全基準等」とは何か１３ 指針の位置づけ１４ 指針を踏まえた「安全基準等」の継続的改及び浸透への期待２「安全基準等」で規定が望まれる項目２１ 策定目的２２ 対象範囲２３ 関係主体の役割２４ 対策項目

httpswwwniscgojpactiveinfrapdfshishin5pdf

NISC 第5版 - - - - - - - -

サイバーセキュリティ経営ガイドライン

経営者のリーダーシップの下でサイバーセキュリティに対する適切な投資が行われ企業のサイバーセキュリティ対策強化が行われることを最大の目的としている

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

大企業及び中小企業（小規模事業者を除く）の経営者を対象としてサイバー攻撃から企業を守る観点で経営者が認識する必要がある「３原則」及び経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISOChief Information SecurityOfficer 等）に指示すべき「重要１０項目」を記載している

１はじめに２経営者が認識すべき3原則３サイバーセキュリティ経営の重要１０項目

httpwwwmetigojppolicynetsecuritydownloadfilesCSM_Guideline_v20pdf

経済産業省 Ver20 - - - - - - - -

サイバーフィジカルセキュリティ対策フレームワーク（案）

IoTやAIによって実現される「Society50」「ConnectedIndustries」におけるサプライチェーン全体のサイバーセキュリティ確保を目的としたもの

httpwwwmetigo サイバー空間とフィジカル空間が融合することで新たな価値を生み出していく「Society50」における産業社会では一方でサイバー攻撃の起点が拡大するとともにサイバー攻撃による被害がフィジカル空間に及ぼす影響も増大しこれまでとは異なる新たなリスクを伴うことになる本フレームワークは新たな産業社会におけるこうした環境において付加価値を創造する活動が直面する新たなリスクに対応していくための指針を示すものである

フレームワークの全体構成第Ⅰ部（コンセプト）ではバリュークリエイションプロセスにおけるサイバーセキュリティの観点からリスク源を整理するためのモデル(三層構造アプローチと６つの構成要素)と基本的なリスク認識それに対するアプローチを信頼性の確保という形で整理する第Ⅱ部（ポリシー）では第Ⅰ部で示したモデルを活用してリスク源を整理するとともにこうしたリスク源に対応する対策要件を提示する第Ⅲ部（メソッド）では第Ⅱ部で示した対策要件を対策の種類に応じて整理し更に付録の形でセキュリティの強度を踏まえて分類した対策例を示す

httpwwwmetigo経産省 現段階では案2019年1月9日リリースhttpwwwmetigojppress2018012019010900120190109001-2pdf

- - - - - - - -

ISOIEC 27030（ISOInternationalOrganization forStandardization）（IECInternationalElectrotechnicalCommission）

IoT（Internet of Things）のセキュリティとプライバシーに係る原則及びリスク管理に係る国際標準規格を提供しIoTの設計製造者及び利用者にIoT（Internet of Things）に係るサイバーセキュリティリスクへの認識を向上させリスク管理における成熟度を向上させることを目的とする

httpwwwiso27001securitycomhtml27030html

-現時点でDraft版となり内容の詳細までは公開されていない

-現時点でDraft版となり内容の詳細までは公開されていない

httpwwwiso27001securitycomhtml27030html

ISO -現時点でDraft版となる

- - - - - - - -

セキュリティ

サイバーセキュリティ

48

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IoTセキュリティガイドライン（IoTInternet ofThings）

IoT（Internet of Things） 機器やシステム サービスについてその関係者がセキュリティ確保等の観点から求められる基本的な取組をセキュリテ ィバイデザイン3 を基本原則としつつ明確化するものであるこれによって産業界による積極的な開発等の取組を促すとともに利用者が安心して IoT（Internet ofThings）機器やシステムサービスを利用できる環境を生み出すことにつなげること

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT（Internet of Things）機器システムサービスの供給者である経営者機器メーカシステム提供者サービス提供者（一部企業利用者を含む）を対象とした IoT（Internet of Things）セキュリティ対策の５指針及び利用者向けの注意事項を記載している

第1章 背景と目的第2章 IoTセキュリティ対策の5つの指針第3章 一般利用者のためのルール第4章 今後の検討事項

httpwwwmetigojppress2016072016070500220160705002-1pdf

IoT推進コンソーシアム総務省経済産業省

Ver10 - - - - - - - -

STRATEGIC PRINCIPLES FORSECURING THE INTERNET OFTHINGS

IoT（Internet of Things）機器の開発製造実装使用時におけるセキュリティ検討及び関連するステークホルダーに対するベストプラクティスを提供することを目的とする

httpswwwdhsgovsitesdefaultfilespublicationsStrategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINALpdf

IoT（Internet of Things）機器のセキュリティに関する戦略的原則及び関連するベストプラクティスを記載している

＜戦略的原則＞設計段階からセキュリティを組み込むこと脆弱性管理およびセキュリティアップデートを行うこと確立されたセキュリティ対策を採用すること想定される影響に応じ優先度をつけてセキュリティ対策を行うことIoT全体において透明性を促進することネットワーク接続には注意を重ね慎重に検討すること

httpswwwipagojpfiles000057264pdf

米国土安全保障省

Ver11 - - - - - - - -

Security Guidance forEarly Adopters of theInternet of Things

IoT（Internet of Things）機器の導入において各業界での実装要件に応じたセキュリティ評価を行うための基本的なセキュリティコントロール群を提供することを目的とする

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

IoT（Internet of Things）機器におけるセキュリティ対策について「端末」「ゲートウェイアプリケーション」「エンタープライズコンピューティングクラウドデータ分析」の大きく3つに分類しセキュリティの手引きを記載している

1 Introduction2 Purpose3 IoT Threats to Individuals and Organizations4 Challenges to Secure IoT Deployments5 Recommended Security Controls6 Future Efforts

httpsdownloadscloudsecurityallianceorgwhitepapersSecurity_Guidance_for_Early_Adopters_of_the_Internet_of_Thingspdf

CSA（CloudSecurityAliance）

2015April - - - - - - - -

Industrial InternetSecurity Framework

httpswwwiicons クラウドから通信経路プロトコルなどIoT（Internet of Things）を構成する様々な要素において想定すべきリスクと対策の概論を提供する

なお実用的な対策群については実証実験による結果を別途IIC（ Industrial InternetConsortium）メンバー向けに公開している

1 Overview2 Motivation3 Key System Characteristics Enabling Trustworthiness4 Distinguishing Aspects of Securing the IIoT5 Managing Risk6 Permeation of Trust in the IIoT System Lifecycle7 IISF Functional Viewpoint8 Protecting Endpoints9 Protecting Communications and Connectivity10 Security Monitoring and Analysis11 Security Configuration and Management12 Looking AheadmdashThe Future of the IIoT

httpswwwiiconsortiumorgIISFhtm

インダストリアルインターネットコンソーシアム

2016年9月版 - - - - - - - -

制御機器認証プログラム(EDSA)マネジメントシステム（IEC 62443-4-14-2）（EDSAEmbedded DeviceSecurity Assurance）

国際計測制御学会のメンバーを中心としたISCS(ISA SecurityCompliance Institute)が開発した制御機器認証プログラム(EDSAEmbedded DeviceSecurity Assurance)に係る認証制度主に製品向け

httpwwwcssc-cl 以下3つの評価項目で構成される①ソフトウェア開発の各フェーズにおけるセキュリティ評価(SDSASoftwareDevelopment Security Assessment)②セキュリティ機能の実装評価(FSAFunctional Security Assessment)③通信の堅牢性テスト(CRTCommunicationRobustness Testing)

同左 httpwwwcssc-cl ISOIEC 2010年 〇 ISOIEC 技術研究組合制御システムセキュリティセンター(CSSCControlSystem SecurityCenter )

5社程度 2017年 - 特になし（特定の認証機関にのみ認証権限が付与されている）

-

制御系システムのセキュリティマネジメントシステム(IEC 62443-2-1CSMS適合性評価制度)（CSMSCyber SecurityManagement System）

国際電気標準会議（IECInternational ElectrotechnicalCommission）がIEC 62443に基づき制御システムの製造やオペレーションを行う企業がセキュリティに関して取り組むべき組織マネジメントについて規定した国際標準（IEC 62443-2-1）制御系システムのセキュリティマネジメントシステムに係る認証基準

httpsismsjpcsm基本的にISMS（Control System SecurityCenter ）に加え制御系システム固有の項目が追加された構成

同左 httpsismsjpcsm ISOIEC 2010年 〇 ISOIEC 一般財団法人日本品質保証機構BSIグループジャパン株式会社

6社程度 2018年12月 httpsismsjpc 特になし（特定の認証機関にのみ認証権限が付与されている）

-

金融機関などコンピュータシステムの安全対策基準解説書FISC（FISCCenter forFinancial IndustryInformation Systems)

金融庁が金融機関のシステム管理体制を検査する際に使用する金融システムの導入運用に係る業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

金融システムの導入運用に係るガイドラインとして「統制」「実務」「設備」「監査」の4つに分類し業界標準のガイドラインを提供している

第9版ではFinTechやクラウドによるビジネス環境の変化に対応し旧基準（第8版）の分類「技術」「運用」「設備」から見直されている

＜基準分類＞統制（1～26）監査(1)実務（1～141）設備（1～137）

httpswwwfiscorjppublication『金融機関等コンピュータシステムの安全対策基準（第9版）』（解説書FISCガイドライン検索システム）

FISC 第9版 - - - - - - - -

PCIデータセキュリティスタンダード(PCI-DSSPayment CardIndustry Data SecurityStandard)

クレジットカード情報のセキュリティを強化するためにクレジット業界におけるグローバルセキュリティー基準を提供することを目的とする

httpsjapcisecuritystandardsorgminisiteenv2

カード会員データのセキュリティの強化及びデータの保護に係る技術面運用面の要件のベースラインとして6つの要件（詳細は12つ）を提供する

＜PCIデータセキュリティ基準 ndash 概要＞安全なネットワークとシステムの構築と維持カード会員データの保護脆弱性管理プログラムの維持強力なアクセス制御手法の導入ネットワークの定期的な監視およびテスト情報セキュリティポリシーの維持

httpsjapcisecuritystandardsorg_onelink_pcisecurityen2jaminisiteendocsPCI_DSS_v3202_JA-JP_20180801pdf

PCI SSC v321 〇 PCI-CSS NRIセキュアテクノロジーズ株式会社等QSA（QualifiedSecurityAssessors認定審査機関）

参考文献欄参照 2018年9月時点

httpswwwjcdscorgqsa-asvphp

PCI SSC（Payment CardIndustry DataSecurity Standard）が認定した審査機関(QSA)及びセキュリティベンダー（ASV)であることが求められる

-

制御系

IoTセキュリティ

（Internet ofThings）

58

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン金融端末（ATM）分野（重要生活機器連携セキュリティ協議会）CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちATM（Automatic TellerMachine）に関する基準

httpswwwccdsorjpaboutindexhtml

過去に発生したATM（Automatic TellerMachine）に係る犯罪手口等を踏まえATM（Automatic Teller Machine）に係る具体的なセキュリティ対策を必要となる対策案や影響分析等をベースリアンを提供する

1 前書き2 セキュリティ対策立案手順

21 犯罪事例分析と対策案リストアップ22 対策の業務への影響分析23 対策案の比較評価24 未出現犯罪に対する適用拡張

3 まとめ付録 リスク評価式参考文献

httpswwwccdsorjppublicdocumentotherguidelines[CCDS]ATME7B7A8E588A5E5868A_E382BBE382ADE383A5E383AAE38386E382A3E5AFBEE7AD96E6A49CE8A88EE5AE9FE8B7B5E382ACE382A4E38389_Ver10pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver10 - - - - - - - -

製品分野別セキュリティガイドラインオープン分野CCDS（CCDSConnected ConsumerDevice Security Council）

重要生活機器を利用者が安全安心に利用できる環境を実現するため重要生活機器のセキュリティ技術に関するガイドラインや標準化の検討普及啓発を行い産業発展新規事業創造国民生活の向上に寄与することを目的とする

当該評価基準は重要生活機器のうちオープンPOS（Point OfSales）に関する基準

httpswwwccdsorjpaboutindexhtml

オープンPOS（Point Of Sales）を導入運用するにあたりシステム構成運用モデルセキュリティ上の脅威とその対策等のガイドラインを提供する

1 はじめに2 システム構成と運用モデル3 想定されるセキュリティ上の脅威4 セキュリティ対策指針5 開発フェーズとセキュリティの取組み6 まとめ参考文献

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E382AAE383BCE38397E383B3POSE7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

Ver20 - - - - - - - -

xxxx事業者向けの総合的な監督指針

各事業者に対して監督事務の基本的考え方監督上の評価項目事務処理上の留意点について体系的に整理し必要な情報を極力集約したオールインワン型の行政部内の職員向けの手引書を提供することを目的とする

httpswwwfsagojpcommonlawindexhtml

各事業者向けに監督指針事務ガイドラインを提供する

＜監督指針＞主要行等向けの総合的な監督指針中小地域金融機関向けの総合的な監督指針保険会社向けの総合的な監督指針少額短期保険業者向けの監督指針認可特定保険業者向けの総合的な監督指針金融商品取引業者等向けの総合的な監督指針 など

httpswwwfsagojpcommonlawindexhtml

金融庁 各事業者向けの監督指針により異なる

- - - - - - - -

FFIEC Cyber SecurityAssesment Tool（Federal FinancialInstitutions ExaminationCouncil）

NIST (National Institute ofStandards and Technology米国国立標準技術研究所)が定めているサイバーセキュリティを強化するためのフレームワークであり金融機関がサイバーセキュリティ対策を実施する際のアセスメントツールを提供することを目的とする

httpswwwffiecgovcyberassessmenttoolhtm

サイバーセキュリティの成熟度評価として右記の5つの領域に対して固有リスクのレベルと成熟度のレベルをそれぞれ5段階で評価フレームワークを提供する

領域 1サイバーリスクの管理と監督領域 2脅威情報の収集と共有領域 3サイバーセキュリティ統制領域 4外部依存関係の管理領域領域5サイバーインシデント管理とレジリエンス

httpswwwfsagojpcommonaboutresearch20160815-101pdf

FFICE May 2017 1 - - - - - - - -

金融機関等コンピュータシステムのシステム監査基準

金融機関等のシステム監査導入と推進のための業界標準ガイドラインを提供することを目的とする

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

金融システムのシステム監査導入に係る要素を13項目に分類しガイドラインを提供する

＜要素＞1情報システムの計画と管理2情報システムリスクの管理3情報セキュリティ4 システム開発5システム運用6システム利用7入出力等の処理8ネットワーク9システム資産資源管理10外部委託11コンティンジェンシープラン12 ドキュメンテーション13 クラウドサービスの利用

httpswwwfiscorjppublication『金融機関等のシステム監査指針（改訂第3版追補）』（解説書FISCガイドライン検索システム）

FISC 改訂第3版追補 - - - - - - - -

JESC Z0004（JESCJapanElectrotechnical Standardsand Codes Committee）

電力制御システム等のサイバーセキュリティ確保を目的として電気事業者が実施すべきセキュリティ対策の要求事項について規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0004_00html

httpswwwniscgojpconferencecsciipdai07pdf07shiryou0601pdf

電力制御システムにおけるサイバーセキュリティ対策としてファシリティ面運用管理面またセキュリティ事故が発生した場合のガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 設備システムのセキュリティ第6章 運用管理のセキュリティ第7章 セキュリティ事故の対応

httpswwwdenkiorjpwp-contentuploads201607d20160707pdf

JESC（JapanElectrotechnicalStandardsand CodesCommittee日本電気技術規格委員会）

2016年版 - - - - - - - -

JESCZ003（JESCJapanElectrotechnical Standardsand Codes Committee）

スマートメーターシステムのセキュリティ確保を目的としてスマートメーターシステムの設計調達段階から保守運用段階までの一連の工程におけるセキュリティ対策の要求事項を規定することを目的とする

httpwwwjescgrjpjesc-assentprivatejesc_Z0003_00html

スマートメーターシステムにおけるサイバーセキュリティ対策としてセキュリティ管理機器通信システムに係るセキュリティ対策また運用面のセキュリティに関するガイドラインを提供する

第1章 総則第2章 組織第3章 文書化第4章 セキュリティ管理第5章 機器のセキュリティ第6章 通信のセキュリティ第7章 システムのセキュリティ第8章 運用のセキュリティ

httpswwwdenkiorjpwp-contentuploads201607s20160609pdf

JESC（（JESCJapanElectrotechnicalStandardsand CodesCommittee）日本電気技術規格委員会）

2016年版 - - - - - - - -

ISO 26262（ISOInternationalOrganization forStandardization）

社会が許容する安全性とのバランスを確保する為にIEC 61508で国際規格化されていた機能安全の考え方を自動車産業に適用する為に策定された（IECInternationalElectrotechnical Commission）

httpsjawikipediaorgwikiISO_26262

自動車に搭載されているセンサー等の電子機器などのハードウェアソフトウェアを対象に自動車の構想段階から廃車に至るまでのライフサイクル全体で機能安全の考え方を記載している

１用語２機能安全の管理３コンセプトフェーズ４製品開発システムレベル５製品開発ハードウェアレベル６製品開発ソフトウェアレベル７生産運用廃棄８サポートプロセス９ASIL１０ガイドライン

httpsmonoistatmarkitcojpmnarticles110830news002html

ISO 〇 JQA等 - 品質安全マネジメント認証２社機能安全マネジメント認証１社

第三者認証機関により公開されているため上記はJQA（JapanQualityAssurance）の場合

2019年2月時点

- 特になし（公認内部監査員制度を持たない）

httpswwwtuv-sudjpjp-jppress-media-centrenews-archive-1201808-iso-26262

電力

金融

68

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

製品分野別セキュリティガイドライン車載分野CCDS（CCDSConnected ConsumerDevice Security Council）

IPAにて検討公開されたは「つながる世界の開発指針～安全安心な IoT（Internet of Things）の実現に向けて開発者に認識してほしい重要ポイント」について個々の製品分野（車載機）における具体的なセーフティとセキュリティをカバーした設計開発を進めるためのガイドラインを提供すること

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

車載機器において適切なセキュリティ対策を実施するための設計から製品リリース後までに考慮すべき設計開発プロセスをガイドラインとしてまとめている

1 はじめに2 車載ガイドラインのシステムモデル3 想定されるセキュリティ上の脅威4 ライフサイクルのフェーズとセキュリティの取組み5 脅威分析について6 リスク評価の方法7 リスク評価の結果8 リスク評価の傾向分析9 まとめ10 「つながる世界の開発指針」と本書との関係11 「自動車の情報セキュリティへの取組みガイド」と本書との関係12 「IOT セキュリティガイドライン」と本書との関係

httpswwwccdsorjppublicdocumentotherguidelinesCCDSE8A3BDE59381E58886E9878EE588A5E382BBE382ADE383A5E383AAE38386E382A3E382ACE382A4E38389E383A9E382A4E383B3_E8BB8AE8BC89E599A8E7B7A8_Ver20pdf

一般社団法人重要生活機器連携セキュリティ協議会

V20 - - - - - - - -

Postmarket Management ofCybersecurity in MedicalDevices

医療機器の製造業者がサイバーセキュリティにおいて対応が必要な事項についてFDA（Food andDrug Administration）としての推奨事項をガイドラインとして提供するもの

httpswwwfdago 医療機器に係るサイバーセキュリティのリスク管理コントロール等のフレームワークを提示する

I INTRODUCTIONII BACKGROUNDIII SCOPEIV DEFINITIONSV GENERAL PRINCIPLESVI MEDICAL DEVICE CYBERSECURITY RISK MANAGEMENTVII REMEDIATING AND REPORTING CYBERSECURITYVULNERABILITIESVIII RECOMMENDED CONTENT TO INCLUDE IN PMA PERIODICREPORTSIX CRITERIA FOR DEFINING ACTIVE PARTICIPATION BY AMANUFACTURER IN AN ISAOX APPENDIX ELEMENTS OF AN EFFECTIVE POSTMARKETCYBERSECURITY PROGRAM

httpswwwfdagovdownloadsMedicalDevicesDeviceRegulationandGuidanceGuidanceDocumentsUCM482022pdf

FDA（米国） 2016年度末版 - - - - - - - -

医療情報システムの安全管理に関するガイドライン

「法令に保存義務が規定されている診療録及び診療諸記録の電子媒体による保存に関するガイドライン」「診療録等の外部保存に関するガイドライン」の見直し及び個人情報保護に資する情報システムの運用管理に関わる指針とe-文書法への適切な対応を行うための指針を統合的に提供することを目的としている

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

医療情報システムの安全管理やe-文書法への適切な対応を行うため技術的及び運用管理上の観点から所要の対策を示している

1 はじめに2 本指針の読み方3 本ガイドラインの対象システム及び対象情報4 電子的な医療情報を扱う際の責任のあり方5 情報の相互運用性と標準化について6 情報システムの基本的な安全管理7 電子保存の要求事項について8 診療録及び診療諸記録を外部に保存する際の基準9 診療録等をスキャナ等により電子化して保存する場合について10 運用管理について

httpswwwmhlwgojpfile05-Shingikai-12601000-Seisakutoukatsukan-Sanjikanshitsu_Shakaihoshoutantou0000166260pdf

厚生労働省 第5版 - - - - - - - -

HISPRO適合性評価( 支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス)（HISPROHealthInformation SecurityPerformance RatingOrganization）（IpsecSecurityArchitecture for InternetProtocol）（IKEInternet KeyExchange）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価指針は右記の通りhttpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

①接続中継地点がある場合は電気通信事業法に従い事業の届出を行っている事業者であること②評価対象となるサービスの契約書およびサービス仕様書が提示されていること③サービスの提供範囲責任範囲が明確になっていること④顧客情報を適切に管理することが明文化されていること⑤サービス拠点の物理セキュリティや災害に対する対応が明確になっていること⑥サービス設備のセキュリティが確保されていること⑦サービス設備のシステム障害などを考慮した BCP（business continuity plan）が確立していること⑧システム監視や障害発生時の連絡方法故障復旧体制について記述されていること⑨合意された内容に沿った通信設定がされていること（通信の合意をしていない拠点との通信やアクセスができないようになっていること）が明確になっていること⑩暗号化通信において適正な技術を適用していること⑪サービスに使用する医療機関の終端装置の製品情報および仕様が明確になっていること⑫医療機関のセキュリティを守るために終端装置の設置個所から医療機関外までの セキュリティ対策実施を喚起していること

「支払基金等へのレセプトオンライン請求用IPsec＋IKEサービス」チェックリスト項目集httpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf20090915shinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf200909OnRece20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekkahtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

HISPRO適合性評価( 民間事業者による医療情報の外部保存及びASPSaaSサービ)（HISPROHealthInformation SecurityPerformance RatingOrganization）（ASPApplication ServiceProvider）（SaaSSoftware as aService）

保健医療福祉の各分野において国の提唱する「医療情報システムの安全管理に関するガイドライン」に基づいた 安全な情報基盤を効率よく実現することを目的とする

補足サービス提供事業者による各種製品サービスの紹介説明に下記マーク（）が付けられたものは当協会により該当する安全管理ガイドライン（厚生労働省経済産業省総務省発行）への適合性が評価済であることを表す

httpwwwhispro 評価の視点は右記の通りhttpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

３評価の視点１）協会は利用者代わって評価する立場 利用者に開示する情報が評価対象になる２）ISMS 又はP マークの第三者認証を取得が条件 当協会の確認はガイドラインの要求事項に対する対策内容と申請者内部の審査者が何をもって確認したか適切なエビデンスであるかの確認 対策内容の実施の現場確認自体の責任は申請者内の審査者側にあるとの整理３）医療機関とのSLA やサービス契約書事項の雛型文書が評価対象

「責任分界点の説明」と「利用者へのセキュリティ遵守事項説明」の利用者へ提供 代理店を通す場合には誰が責任を持って行うのかの規定化が必須４）評価は原則書類審査 エビデンスの実在性が疑われる場合あるいは審査者の審査の実行性が確認出来ない場合は立入調査もありえるまた2 年後の更新評価でサービス利用者としての医療機関等の利用環境等への立ち入りその実効性を評価する場合がある５）「HISPRO 評価」の標榜表現の評価 評価申請者であるサービス提供者が「HISPRO 評価」を標榜するならばその文章を申請時添付するHISPRO による評価範囲と齟齬がないか記載が明確であることを評価する

「民間事業者による医療情報の外部保存及びＡＳＰＳａａＳサービス」チェックリスト項目集httpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

2012年12月評価手順指針およびチェックリストは以下のとおり

評価手順指針httpwwwhisproorjpopenpdf201212ASPSaaSshinseihoushinpdftoolbar=0

チェックリストhttpwwwhisproorjpopenpdf201212ASPSaaS20koumokupdftoolbar=0

〇 一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）

- 組織ではなくサービス（システム）単位認定サービスは以下にて閲覧可能httpwwwhisproorjpopenkekka-gaibuhtm

- - 評価者は一般社団法人保健医療福祉情報安全管理適合性評価協会（HISPRO）のみ

httpwwwhisproorjpopenoutlinehtm

自動車

医療

セキュリティ（インダストリー別）

HSP-C-Cxxxx-20xx

SP Cxx x-20xx

78

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

目的 参考文献（目的） 規定内容 目次 参考文献（規定内容） 作成主体 最新Ver 認証基準 認定機関 認証機関 認定取得組織数 集計時点 参考文献（組織数）評価基準規格

評価基準規格概要評価者の要件 参考文献（評価者）

IEC 60601（IECInternationalElectrotechnicalCommission）

医療用電気機器において安全確保に必要となる一般要求事項を規定し個別規格に対する基礎を与えること個別企画（各医療電子機器ごとの企画）はIEC60601-2-33などで規定されている（IECInternationalElectrotechnical Commission）

httpswebstoreiecchpublication2603

医療用電子機器における基礎安全と基本性能に関する一般要求事項を規定している

1 適用範囲目的及び関連規格2 引用規格3 用語及び定義4 一般要求事項5 ME 機器の試験に対する一般要求事項6 ME 機器及び ME システムの分類7 ME 機器の標識表示及び文書8 ME 機器の電気的ハザードに関する保護9 ME 機器及び ME システムの機械的ハザードに関する保護10 不要又は過度の放射のハザードに関する保護11 過度の温度及び他のハザードに関する保護12 制御及び計器の精度並びに危険な出力に対する保護13 ME 機器の危険状態及び故障状態14 プログラマブル電気医用システム（PEMS）15 ME 機器の構造16 ME システム17 ME 機器及び ME システムの電磁両立性

httpwwwkanrigakkaijphousyasenshiryouimg26-00pdf

IEC 60601-12018 〇 IEC JQA（JapanQualityAssurance日本品質機構）など

組織ではなく製品単位となり製品数は不明認定製品は以下にて閲覧可能httpswwwpmdagojpreview-servicesdrug-reviewsabout-reviewsdevices0026html

- - IECに基づく -

ISO 14971（ISOInternationalOrganization forStandardization）

医療機器のリスク管理に関する国際的基準であり医療機器に係るリスクマネージメントプロセスの設立文書化維持を目的としている

httpkikakuruicomt14T14971-2012-01html

製造業者が体外診断用医療機器を含む医療機器に関連するハザードを特定しリスクの推定及び評価を行いこれらのリスクをコントロールしそのコントロールの有効性を監視する手順について規定している

0序文1適用範囲2用語及び定義3リスクマネジメントの一般要求事項4リスク分析5リスク評価6リスクコントロール7残留リスクの全体的な受容可能性の評価8リスクマネジメント報告書9製造及び製造後情報

httpkikakuruicomt14T14971-2012-01html

ISO149712007 - - - - - - - -

鉄道

鉄道分野における情報セキュリティ確保に係る安全ガイドライン

各事業分野（鉄道物流航空空港）においてその特性に応じた必要又は望ましい情報セキュリティの水準を明示し個々の事業者が重要インフラの担い手としての意識に基づいて自主的な取り組みにおける努力や検証をするための目標を定めること

httpwwwmlitgojpcommon001127563pdf

各事業分野（鉄道物流航空空港）において分野横断的に有効な対策項目及び対策の例示に加え各分野における情報セキュリティ対策の現状と課題を踏まえ安全ガイドラインとして事業特性に応じた対策項目を推奨基準としてまとめている

1 「安全ガイドライン」策定の背景2 鉄道分野における「安全ガイドライン」の概要3 鉄道分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127563pdf

国土交通省 第3版 - - - - - - - -

物流

物流分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127564pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 物流分野における「安全ガイドライン」の概要3 「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127564pdf

国土交通省 第3版 - - - - - - - -

航空分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001127526pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 航空分野における「安全ガイドライン」の概要3 航空分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001127526pdf

国土交通省 第4版 - - - - - - - -

空港分野における情報セキュリティ確保に係る安全ガイドライン

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

httpwwwmlitgojpcommon001229687pdf

「鉄道分野における情報セキュリティ確保に係る安全ガイドライン」と同様

1 「安全ガイドライン」策定の背景2 空港分野における「安全ガイドライン」の概要3 空港分野における「安全ガイドライン」の対象範囲等4 推奨される対策項目5 参考文献6 用語集

httpwwwmlitgojpcommon001229687pdf

国土交通省 第1版 - - - - - - - -

水道

水道分野における情報セキュリティ確保に係る安全ガイドライン

水道事業者が自ら実施する情報セキュリティ対策の参考となるような考えられる措置を示すことに加えて水道事業者の情報セキュリティに対する現状認識や今後必要となる対策のレベルへの理解を深めることを意図したもの

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

水道事業者が情報セキュリティ対策を行うため組織体制資源等も含めた観点より情報セキュリティ対策を行うことの趣旨及び具体的な実施内容について記載している

1 総則2 組織体制及び資源の対策21 組織体制及び人的資源の確保22 情報セキュリティ人材の育成等23 外部監査等による情報セキュリティ対策の評価3 情報セキュリティ対策31 情報についての対策32 情報セキュリティ要件の明確化に基づく対策33 情報システムについての対策34 IT 障害の観点から見た事業継続性確保のための対策35 情報漏えい防止のための対策36 外部委託における情報セキュリティ確保のための対策37 IT 障害発生時の利用者の対応ための情報の提供等の対策38 IT に係る環境変化に伴う脅威のための対策

httpswwwmhlwgojpfile06-Seisakujouhou-10900000-Kenkoukyoku0000046638pdf

厚生労働省 第3版 - - - - - - - -

航空

HSP-C-Cxxxx-20xx

88

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 1 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 2 月 28 日(木) 1100 ～ 1300

場所PwC 大手町オフィス 大手センタービル 2F Room G

2 議事要旨

本検討会で目指すゴールについて

DX を経営課題として位置付けられるようにするには経営陣の意識を変えるというこ

とを趣旨とした内容とすべきである

DX 推進に向けどの対象（社会全体と個社（個社の場合は組織内の誰か）又は双方）

をどう動機づけるかを明確にすべきである

グローバル企業を対象とするのか中小企業を対象とするのか全企業を対象とする

のかを明確にすべきである

「IT ガバナンス」という既存の表現を使うと主体によって特定の解釈をされてしま

うおそれがあるため「デジタルガバナンス」という表現に統一して検討を進めては

どうか

DX推進が必要となる企業や業界を示すベンチマークとなるものを設定できないか

評価結果が数値化されるようにできないか検討してほしい

評価軸案について

一定のリスクテイクを求める項目を含めるべきである

企業により事業の多様性に差があり100 点となる基準は個社や業界毎で異なるため

要素や特性で一概に評価できない

DX 推進は技術的課題とはせず業務組織と密接に関係した課題と捉えるべきである

評価軸にはプロセス的な項目だけではなくプロセス以外の項目（人材文化等）も

必要である

適応性という要素があるがデジタル環境に順応する組織能力を測るという意味で重

要な観点である

負の IT 資産の評価は経営者のみでなく社会的に受けられる分かりやすさが必要では

ないか

保有している IT 資産がリスクであると示せるという意味で情報セキュリティリスク

は評価軸として重要である

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

レガシーシステムについて

DX 推進を妨げ得るレガシーシステムを評価する項目もあってはどうか（又は「技術的

負債」として評価してはどうか）

レガシーシステムは相互運用性がなく改修の際にも多くの工数が必要となりビジ

ネスモデル転換の足枷となる

レガシーシステムがデータ活用の足枷になっていることはあまり認知されておらず

データ活用の観点を評価に含めることも重要である

制度的措置について

DX 推進のためにはアメとムチに相当する政策が必要となりアメのための評価とムチ

のための評価は異なるものとなるはず古いシステムを持つことをムチで規制してい

くという社会的コンセンサスを作ることが必要である

短期的利益のために減価償却済みのシステムを使い続けることに関しマイナス評価

するための材料が必要である

評価基準を作成し提示しても活用する企業は限られるため企業が普段行う業務に

結び付けて評価できるようにするべきである（例えばPLや BSの明細を入力すると

自動でレガシーシステムを特定できるサービスの提供）

その他

動機づける方法を明確にするためにも経営者の DX 推進に向けた意思決定を妨げてい

る真因を調査すべきである

本検討の最終成果物を紹介する文章を作成することでゴールを明確化してはどうか

（社会的インパクトがあること又は利益増加に繋がることを明記）

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 2 回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019 年 3 月 11 日(月) 1000 ～ 1200

場所PwC 大手町オフィス 大手センタービル 2F Room E

2 議事要旨

評価基準規格について

DXのあるべき姿（To Be）に対して現状（As Is）どこまで達成できているかの達成

状況を確認できるような形式とすべきである

「デジタルガバナンスコード」は各社の状況を踏まえて段階的に満たすことができる

ように設計するべきである

サステナビリティの観点からなのかイノベーションの観点からなのかどちらの観

点で評価項目を整理するのかによって内容が異なってくるサステナビリティの観点

から負の IT資産を所有することはリスクとなり得るという評価を盛り込んではど

うか

IT マネジメントやセキュリティについては既に複数の評価基準規格が存在するため

DXに必要な評価項目のみに絞るべきである

マネジメントプロセス（PDCA）を詳細に評価するよりガバナンスの評価に重点を置

くべきである

DX に関連するプロジェクトについてプロジェクト数規模金額実現性を評価す

るような項目を検討してはどうか

中長期的なロードマップを持っておりシステムのアーキテクチャに反映できている

かを評価する項目を作成してはどうか

システムの内製化度合いは定量的な指標としない方がいいのではないか

レガシーシステムのレベル種類が分かれば次に実施すべき事項が明らかになるため

評価項目に加えても良いのではないか

イノベーションを引き起こすための内容を「デジタルガバナンスコード」に盛り込む

べきである

基本的にはルールベースの評価になると思われるがセキュリティについてはリスク

ベースの評価が一部で必要になる可能性がある

評価の視点として2025 年までの変化を目指すのかより長期的な変化を目指すのか

を明確にすべきである

DX を進めていくには経営資源の配分について大きな判断が求められる中でそれを後

押しする政策措置も求められるのではないかであればその措置の要件になるよう

な評価項目の設定を考えてはどうか

評価項目を検討していると項目が膨れ上がる方向になりがちセキュリティと DXがト

レードオフになるような観点を重視してはどうか

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

評価者評価制度について

「デジタルガバナンスコード」の中身に応じて評価に必要な能力が異なるのではない

か

評価には複数の異なる能力が必要となるためチームで対応する必要があるのではな

いか

チームを構成する際に必要な能力コンピテンシーを定義し能力証明を求めてはど

うか

資格要件のみではなく業務要件も考慮してはどうか

資格という意味では弁護士や公認会計士等も経営者の判断に関わる立場でありこ

のような資格もフォーカスすべきではないか

評価について国が主導するのか民間の評価を国が追認するのか明確にすべきである

中小企業が評価を実施する際に中小企業向け評価方法や政府による支援策を講じるの

か明確にすべきである

「デジタルガバナンスコード」に加え評価対象別の評価ガイドラインの様なものが

必要ではないか

評価頻度について

「2025 年の崖」を考慮した場合3 年毎の評価では変化のスピードが不足してしまう

のではないか

保証を目的とする場合は毎年評価を実施するのが望ましい一方DX 推進の進捗度に

応じた評価を目的とする場合は評価を定期的に実施する必要がないと考える

その他

企業にとってどのような内容が DXへの動機付けとなるかを本検討と並行して調査する

べきである

今後検討を具体化していくにあたって中長期的には評価を受ける側である事業者に

この評価基準を使ってもらいつつそのような事業者の意見も考慮すべきである

評価対象は大企業か中小企業かまたは企業全般であるかを明確にすべきである

個社にフォーカスを当て DX 推進を求めるのか産業別で DX 推進を求めるのかを明確

にすべきである

To Be に対して As Is の達成度に応じてマークを示して優良認定するようなマークが

あるとよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

第 3回システムガバナンスの在り方に関する検討会議事要旨

1 会議の概要

日時2019年 3月 29日(金) 1300 ～ 1500

場所PwC大手町オフィス 大手センタービル 2F Room G

2 議事要旨

背景目的について

デジタルガバナンスマネジメントの定義デジタルガバナンスコードの定義を記

載した方が読み手である企業において参照され広く普及する可能性が高まるので

はないか

企業の状況に合わせ当初は付加価値を生まない部分を切り捨てることを評価しDX

が進むと付加価値を生んでいることを評価するコードとしてはどうか

コーポレートガバナンスコードやスチュワードシップコードと並ぶものとして

デジタルガバナンスコードを位置付けてはどうかコードという表現を使うことで

同列のものと経営者に認識される可能性が高まる(経営者が簡単に読める部分を最初

に述べて後半は経営者をサポートする担当者や評価者が読むようにさいてはどうか)

データを活用しながら付加価値を生まない部分を切り捨て現状を把握し付加価値

を生み出す部分を育てることが経営者に求められるそのためコードには経営にデ

ータ活用に関する取り組みを評価する内容を含めた方が良い

人材の有無ではなく優れた人材を評価できる仕組みがあるかイノベーションに関

する行動を評価する仕組みがあるかといった視点で評価するべきである（この項

目は評価の部分に移した方がよい）

「デジタルガバナンスコード」の策定について

外部システムや他社システムとの連携及びデータの連携についても評価対象として考

慮した方が良い

評価項目は「～がない」といったネガティブな表現ではなく「戦略の検討が行われ

ている」「CDOを設置していないが今後設置を検討」といったポジティブな表現

の方が企業は奮起しやすいのではないか

どのような目標を設定するかは企業毎に異なるため例えば政府目標を最終目標

（High Advanced）としその前段階で各社が独自目標を設定できるように工夫して

はどうかそういった工夫によりコードを活用しようとする企業が増えるのではな

いか

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073

主語が不明確とならないよう注意するべきである例えば「経営層の承認を得てい

る」の主語は現場マネジメント層となる社長や経営層が実施すべきものはそのよう

に主語を記載するべきである

イノベーティブな提案をした人の人事評価チャレンジ制度DXへの取組に対する

評価制度の有無も項目に入れてはどうか

付加価値を生んでいないシステムやプロジェクトを打ち切っていることを評価する項

目を記載してはどうか

「デジタルガバナンスコード」に基づく評価の実施方法について

デジタルガバナンスコードが策定されていない段階では具体的な評価者要件を定め

られないが評価に必要な能力は ITだけではないことは確かであるため多様な能力

を持つ評価者が必要と記載するべき

ITに関する有識者（資格者）であればデジタルガバナンスの評価を実施できるわけで

はなく特別なトレーニングを受ける必要がある

デジタルガバナンスの評価では単に ITについて評価するだけでなくITを活用し

た事業の内容や外部との接続やデータの利用などの条件などについても評価が必要と

なるので法律会計税務経営等に関する知見も必要となると考えられ多様な

専門性を有するメンバーで評価チームが結成される

「デジタルガバナンスコード」の政策的措置について

誰に対しどのようなメッセージを発するかにより政策的措置は異なる

政策的措置を実施する場合なぜその措置が必要で国民にとってのメリットは何か

を明確にする必要がある

経済産業省の類似事例として「おもてなし認証」があるが評価結果をアピールする

対象がデジタルガバナンスコードとは異なるのでこの認証をそのままデジタルガ

バナンスに関して活用できない

「おもてなし認証」の紅認証の様に自己申告でも一定の認証を獲得できる仕組み

は多様な企業のコード活用促進に寄与するさらに高い認証を獲得したい企業に

はより高度な評価基準を設定すればよい

以上

お問い合わせ先

商務情報政策局 情報技術利用促進課

電話03-3501-2646

FAX03-3580-6073