第216回国会(臨時会)
答弁書
|
内閣参質二一六第四二号 令和七年一月七日 内閣総理大臣 石破 茂
参議院議長 関口 昌一 殿 参議院議員神谷宗幣君提出ガバメントクラウドのセキュリティ基準見直しに関する質問に対し、別紙答弁書を送付する。 参議院議員神谷宗幣君提出ガバメントクラウドのセキュリティ基準見直しに関する質問に対する答弁書 一について お尋ねの「データ」及び「我が国がCSPに対して講じ得る、データの国外移転を禁止する措置又はデータの外国機関に対する開示を禁止する措置」の具体的に意味するところが必ずしも明らかではないが、デジタル庁が令和五年度に行った「デジタル庁におけるガバメントクラウド整備のためのクラウドサービスの提供―令和五年度募集―」に係る募集に当たっては、その調達仕様書において、「情報資産はユーザが指示しない限り日本国内に保管されること」、「障害発生時の情報資産の退避先は当庁が指定した場合を除き全て日本国内であること」、「運用系の情報資産は当庁が指定した場合を除き全て日本国内に保管されること」、「環境一式に保管される業務データはユーザが所有権を持ち、ユーザが指定した場所に保管され、ユーザの許可なしに他所に移転・複写したりしないこと」、「政府機関等からの開示請求に際しては、速やかに当庁に通知するとともに協議に応じること。また、当該請求に対して必要に応じて異議申し立て等の適切な対応を取るとともに、国内法以外に基づく開示請求であった場合は主権免除の適用について当該外国政府機関等に通知すること」等を、クラウド・コンピューティング・サービスの提供事業者(以下単に「提供事業者」という。)が満たすべき要件として設けた上で、当該要件を満たした提供事業者と契約を締結しているところであり、仮に契約違反が認められる場合には、当該契約及び関係法令に基づき対処することとなる。なお、ここでいう「ユーザ」とは、情報システムの整備に当たって、ガバメントクラウドを利用する府省庁及び地方公共団体を指す。 二について 「政府情報システムのためのセキュリティ評価制度」(以下「ISMAP」という。)は、情報セキュリティ等に関する有識者と制度所管省庁の職員を構成員とするISMAP運営委員会が令和二年六月三日に決定した「政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程」において定められているとおり、「政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資すること」を目的とした制度である。お尋ねの「データ」及び「供給途絶や事業停止」の具体的に意味するところが必ずしも明らかではないが、クラウド・コンピューティング・サービスの登録に関する事項を定める「ISMAPクラウドサービス登録規則」(令和二年六月三日ISMAP運営委員会決定)において、「申請者に対する要求事項」が定められている。例えば、提供事業者が提供するクラウド・コンピューティング・サービスの登録申請時に提出が必要となる当該提供事業者の情報セキュリティ対策について言明した言明書において「クラウドサービスを提供する情報処理設備を収容するデータセンターが設置されている独立した地域」を記載すること、「クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用され、調達府省庁等が意図しないまま当該調達府省庁等の管理する情報にアクセスされ又は処理されるリスクについて、ISMAP運営委員会及び当該省庁等がリスク評価を行うために必要な情報」をISMAP運営委員会に提供しなければならないこと、「ISMAPクラウドサービスリストに登録されているクラウドサービスについて登録期間中に重大な統制の変更及び当該変更につながりうる事象が生じた場合又はISMAPクラウドサービスリストに掲載されている情報に変更が生じた場合には、本規則第十章の規定に従い、遅滞なくISMAP運営委員会に届け出ること」を宣誓しなければならないことなど、クラウド・コンピューティング・サービスで取り扱われる情報に係るお尋ねの「保存場所」、「国外移転」及び「外国政府や外国機関」に対する開示、提供事業者の事業継続等に係る事項が含まれている。 三について お尋ねの「その際に示されたリスク」の意味するところが明らかではなく、お答えすることは困難である。なお、ISMAPについては、適切な情報セキュリティ水準が確保された信頼できるクラウドの利用を促進する観点から、その運用状況等を踏まえて制度の継続的な見直しを行うこととしている。 四について お尋ねの趣旨が必ずしも明らかではないが、政府としては、まずは、一についてで述べた契約や二についてで述べた制度等を通じて、個人情報の保護等に適切に対応していくことが重要であると考えている。 |