工業標準化法に係る「電磁的方法による保存をする場合に確保するよう努めなければならない基準案」に対する意見募集の結果について

　国土交通省では、平成１７年６月２２日（水）～７月２２日（金）まで、工業標準化法に係る「電磁的方法による保存をする場合に確保するよう努めなければならない基準案」に対する意見募集について、パブリックコメントを実施し、広く国民の皆様からご意見の募集を行いました。
　その結果、１０件のご意見が寄せられました。お寄せいただいたご意見とそれに対する国土交通省の見解は次のとおりです。
　皆様方のご協力に深くお礼申し上げるとともに、今後とも国土交通行政の推進にご協力いただきますようお願い申し上げます。

該当箇所	意見の概要	回答
第１条	電子保存の要求事項として真正性・見読性・保存性の確保を個々の基準の目的として明示してはどうか。（「診療録等の外部保存に関するガイドラインについて（医政発第０５３１００５号）」を考慮するべきではないか。）	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、文書の電磁的保存に関する４要件（見読性・完全性・機密性・検索性）について検討がされております。検討段階において御意見にある「診療録等の外部保存に関するガイドライン」についても参考文献として用いられており、「電磁的方法による保存等をする場合に確保するよう努めなければならない基準（平成１７年経済産業省・環境省告示第２号）」との整合性を勘案したものですので、原文のままとさせて頂きたいと考えております。
第２条第１項	「情報システム」でのホストコンピューターや端末という表現がやや古い印象を受けます。	本基準における用語の定義は、「情報システム安全対策基準（平成９年通商産業省告示第５３６号）」（PDF形式）に準じ、「電磁的方法による保存等をする場合に確保するよう努めなければならない基準（平成１７年経済産業省・環境省告示第２号）」との整合性を勘案したものです。御意見のとおり、やや古い印象をうける表現が含まれていることは否定しませんが、あくまでも例示であり、誤解が生じるものではないと考えます。
別表第１条第１項	システムに「ログデータ」の保存機能を設けることは現実的ではないのではないか、「ログデータ」は電子データと共に電子的に保存することでもよいのではないか。「ログデータ」には、保存、更新のほかアクセスのあった日時と実施者も記録するべきではないのか。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、文書の電磁的保存を行う毎にアクセス制御を行い、ログを取得し管理することを行うよう努めることを求めるものです。「ログデータ」を取得することで、保存されている電磁的文書へ何時、誰がどのような目的（読み取り、書き込み、削除、ファイル名称の変更、新規作成等）でアクセスしたのかが記録され、不正アクセスの防止（監視）、不正行為の追跡を可能とすることを想定するものあり、電子データと共に電子的に保存するだけでは不正アクセス等の追跡が不可能になる恐れがあると思われます。
別表第１条第２項他	「管理規程」を定めることとあるが、「手順」又は「手順書」の策定ではいけないのか。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、規程を定めることにより管理に関する責任等が明確化されるものと考えております。「手順」又は「手順書」の定義が不明確なのですが、責任等が明確となっている「手順」又は「手順書」であれば、御意見のとおりで結構だと思います。
別表第２条　アクセス	認証機能の実現手段として、ＩＤ、パスワード等と述べているが、情報システムが扱う情報の安全管理上の重要度に応じてICカード等のセキュリティ・デバイスを併用した認証方式(2要素認証)の採用も推奨することが望ましいのではないか。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、情報システムへの認証および文書の電磁的記録へのアクセスに際し、識別子（ＩＤ）とパスワードを適切に扱うことを求めるものです。アクセスを認可された正当な利用者だけが情報システムを利用することを確実にするため、個人別のＩＤ、パスワードを登録管理し、認証する仕組みを設けて、不正アクセスから情報システムを保護し、個人別のＩＤ、パスワード等の登録に際しては、利用者の権限に応じて情報システムへのアクセス範囲、機密度を考慮して登録することを想定するものです。御意見のとおり、より認証強度が高い方式であるセキュリティ・デバイスを併用した認証方式については、本基準においては最低限の基準を設けることによって包含しておりますので、各事業者において判断していただくものと考えております。
別表第２条第６項	「無効化」では不十分であり、「ＩＤについては再利用できないようにすること」を加えるべきではないか。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、不要になったＩＤを登録抹消しないで放置すると、そのＩＤのパスワードが変わらないので解読されやすくなり、また、不正利用されてもその発見が遅れ、被害が拡大する恐れがあるので、使わなくなったＩＤ及びパスワードは直ちに登録抹消することを想定していますますので、御意見については本基準に包含されております。
別表第４条第２項及び第３項	すべてのシステムにデータエラーの検出や不正なアクセス等を発見する機能を設けることは現実的ではないと思われます。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、不正アクセスの防止並びにコンピュータウイルスのチェック等を行い、データの意図しない滅失を防ぐことで、被害の予防並びに被害の拡大防止を行うよう努めることを求めることです。情報システムに対する不正アクセス防止のため、コンピュータ不正アクセス防止システム（ファイアーウオール機能）を設置して、社内ネットワークへの不正侵入、サービス妨害、情報盗用等の不正アクセスを監視すること、通常、文書の電磁的記録のデータは、セキュリティが確保された処理方式を採用するが、利用者がネットワークを通じてデータファイルにアクセスする場合、データ転送におけるエラーデータの混入を排除し、処理の正確性を期すべく、エラー検出を適切に行う機能を有したプロトコルを採用していることを想定するものです。
別表第５条第１項	スキャナによる読み取りに係る運用管理規程を定める、ことの意義がよく理解できません。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、スキャナによるスキャニングを行う際には抜け落ちがあってはならないことから、イメージ化文書の保存・管理についての責任等を明確化し、スキャニング漏れを予防するための運用規定を定めることを想定しており、具体的にはスキャニングを行う担当者を適切に記録する手段、スキャニング対象である紙文書とイメージ化文書との対応関係を確認する手段を定めることが重要であると考えます。
別表第６条第５項及び第６項	「情報システムの非使用時」、「施錠」及び「正常作動」の意味を明確にして頂ければと思います。	本基準は、「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、「情報システムの非使用時」とは、使用しない時や一時的な離席時には電源を切って機能を停止させている時であり、「施錠」とは、情報の盗み見・漏洩防止、情報システム自体の盗難防止も兼ねて、鍵付きのロッカに保管すること、「正常作動」とは、作業開始前に、スキャナや入出力機器の点検・調整、各種設定（解像度、階調他）の調整、本番作業前の試行により、情報処理機器及びソフトウェアが正常に作動することを想定しております。
別表第７条第２項	第三者による情報システムの監査の実施を基準に記載することは現実的ではないと思います。また、「第三者」「定期的」の意味を明確にして頂ければと思います。	本基準は「文書の電磁的保存等に関する検討委員会」における検討結果を踏まえたものであり、自主点検又は内部監査はいくら客観的に監査を実施したとしても、監査対象から独立しているとは言えず、偏向を排し、常に公正かつ客観的な監査判断は困難であり、必要に応じて、第三者による情報システムの監査を実施することを想定しています。つまり「第三者」とは、監査対象から独立しており偏向を排し、常に公正かつ客観的な審査判断を行うことが出来る者、「定期的」とは、基本的には監査を行う第三者が決めることではあると思われるが、１年間に１回程度を想定しています。