基　本　理　念

　近年、IT技術の高度化とインターネットなどの情報通信ネットワークの発展・拡大により、生活の利便性は高まり、道路管理にかかる情報システムにおいてもその恩恵は大きく、飛躍的かつ有機的な情報のやりとりが可能となってきました。一方、個人情報をはじめとした秘密情報の漏えい、ウイルスや不正アクセスによるシステムへの侵害なども社会問題化するほどその危機が多種かつ身近なものになってきています。

　道路管理センターは、安全で快適な道路を実現し管理していくためには、道路管理行政の高度化及び合理化を図る必要があることから、道路及び占用物件に関する各種情報を総合的に管理する「道路管理システム」(以下「システム」という。)を構築し、管理・運用を行っており、システムが提供する各種業務機能の安定した稼動を継続していくことが、システムに関わる私たちの使命であると考えています。

　システムをはじめ道路管理センターが扱う情報資産の中には、システム運営上重要な情報が多数含まれており、当該情報が滅失・毀損・漏えい、または装置等の故障・自然障害などにより重大な影響を及ぼすおそれがあることから、これらの情報資産を様々な脅威から守り適正に管理・保護する情報セキュリティの確保を図ることが不可欠であります。

　システムは、「道路管理システム情報セキュリティ対策要領」等により、情報セキュリティの確保を図っておりますが、システム参加者の皆様に安心して利用していただけるシステムであり続けるため、職員ひとりひとりが情報セキュリティの重要性を認識し不断の努力を持ってその水準を向上させていく必要があります。

　これらのことから、道路管理センターは、ここに情報セキュリティ対策に関する基本的な方針として情報セキュリティポリシーを明文化し、全職員が道路管理システムにかかる情報資産を適切かつ安全に扱い、各種脅威から守るべく情報セキュリティの確保に取り組んでまいります。

平成２１年２月１日

財団法人　道路管理センター理事長

情報セキュリティ基本方針

１　目的
　システム参加者が安心・信頼して道路管理システムを利用することができるようにするとともに、道路管理センターにおける継続的かつ安定的なシステムサービスを確保するために、情報資産の機密性、完全性及び可用性を維持するための情報セキュリティ対策を整備するものである。

２　定義
(1)　システム参加者
　道路管理センターと道路管理システム利用契約を締結した道路管理者及び公益事業者をいう。
(2)　公益事業者
　水道事業者、下水道事業者、軌道経営者、鉄道事業者、電気通信事業者、電気事業者及びガス事業者をいう。
(3)　情報システム
　情報処理に係る電子計算機及びネットワーク等の情報を処理する仕組みであり、一般的な内部事務で扱う機器（パソコン、プリンタ、FAX、LAN等）も含む。
(4)　情報資産
　情報システムあるいは記録媒体に格納もしくは記録された電子情報及び情報システムに入力される前あるいは情報システムから出力された情報をいう。
(5)　情報セキュリティ
　情報資産の機密性、完全性及び可用性を維持することをいう。
(6)　機密性
　情報にアクセスすることが認可された者だけがアクセスできることを確実にすることをいう。
(7)　完全性
　情報及び処理の方法の正確さ及び完全である状態を保護することをいう。
(8)　可用性
　許可された利用者が必要なときに情報にアクセスできることを確実にすることをいう。

３　情報セキュリティポリシーの位置付け
　情報セキュリティポリシーは、道路管理センターの情報資産に関するセキュリティ対策について、総合的、体系的かつ具体的にとりまとめたものであり、情報セキュリティ対策の最上位に位置づけられるものである。

４　情報セキュリティポリシーの対象範囲
(1)　情報セキュリティポリシーは、道路管理センターの本部及び支部において情報資産及び情報資産に接するすべての職員（派遣職員を含む）及びシステム参加者等を対象とする。
(2)　(1)の情報資産に係る業務を外部委託する場合には、委託業務の受託者に対しても情報セキュリティポリシーを遵守させるための措置を講ずるものとする。

５　職員等の責務
　道路管理センターの職員及びシステム参加者は、情報セキュリティの重要性について共通の認識を持つとともに、当基本方針及びこれに基づく情報セキュリティ対策に関する規定を遵守しなければならない。

６　情報セキュリティ管理体制
　道路管理センターが保有する情報資産について、情報セキュリティ対策を推進し、管理するための本部と支部を併せた組織・体制を確立し、その役割、責任等を定めるものとする。

７　情報資産の分類
　情報資産を分類し、その重要度に応じた情報セキュリティ対策を行うものとする。

８　情報セキュリティに対する脅威
　情報資産の機密性、完全性、可用性に危害を与える原因となるものとして、次のような脅威を想定する。
(1)　人的要因に関するもの
　不正アクセス、悪意のあるソフトウェア、情報の流出、改ざん、消去、操作ミス、機器及び記録媒体の盗難等の脅威
(2)　ハード的技術的な故障に関するもの
　停電、空調の故障、ハードウェアの故障、ソフトウェアの不具合、ネットワークの不通等の障害による脅威
(3)　自然災害等に関するもの
　地震、火災、水害等の災害や事故、事件等の脅威

９　情報セキュリティ対策
　道路管理センターの情報資産について以下の情報セキュリティ対策を講ずるものとする。
(1)　人的セキュリティ対策
　情報資産に接する職員の情報セキュリティに関する権限や責任等を定めるとともに、すべての職員に情報セキュリティポリシーの内容を周知徹底するため、教育・訓練を行う。
(2)　物理的及び環境的セキュリティ対策
　電子計算機室等について不正な立入り等から保護するため、入退室や機器管理上の物理的な対策を講ずる。
(3)　技術及び運用におけるセキュリティ対策
　情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制限、コンピュータウィルス対策等を実施する。

１０　情報セキュリティ対策基準の策定
　道路管理センターの情報資産について、情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項及び判断等の基準を統一的なレベルで定める必要がある。
　そのため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

１１　情報セキュリティ実施手順の策定
　個々の情報資産に関する対策の手順を具体的に定めておく必要があることから、情報セキュリティ対策基準に基づき、情報システムを所管する部門で情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティを実効あるものとするために定める各種の規程のうち、公にすることによって、この基本方針の目的であるセキュリティ対策の実効性を損なう恐れがあると認められるものについては、これを公開しないことがある。

１２　情報セキュリティ監査及び自己点検の実施
　情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

１３　情報セキュリティポリシーの見直し
　情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため、新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。