別紙

別紙1 附則

2014年(平成26年)12月3日の決定における附則

施行期日

標準ガイドラインは、2015年(平成27年)4月1日から施行する。ただし、次に掲げる事項については、当該事項の定めるところによる。

プロジェクト計画書及びプロジェクト管理要領の作成に関する特例

2015年(平成27年)4月1日に現に実行中のプロジェクトのうち、次の(1)及び(2)に掲げるものについては、2015年(平成27年)4月1日以後、遅くともそれぞれに定める時期までにプロジェクト計画書及びプロジェクト管理要領を作成するものとする。ただし、一プロジェクトに複数の情報システムが含まれる場合は、これらの情報システムのそれぞれに係る(1)又は(2)に定める時期のうち、2015年(平成27年)4月1日以後、最も早く到来することとなる時期までに作成するものとする。

(1) 本番移行開始前の情報システムを対象とするプロジェクト 2015年(平成27年)4月1日以後初めてのレビューポイント(「第3編第2章4.2)プロジェクトの工程レビュー」参照)又はこれに相当する時期を迎える前

(2) 本番移行開始後の情報システムを対象とするプロジェクト 2018年(平成30年)8月31日

関連する指針等の廃止

次の(1)から(5)までに掲げる指針等は、標準ガイドラインの適用開始時に廃止するものとする。

(1) 「業務・システム最適化指針」(2006年(平成18年)3月31日(各府省情報化統括責任者(CIO)連絡会議決定)

(2) 「情報システムに係る政府調達の基本指針」(2007年(平成19年)3月1日各府省情報化統括責任者(CIO)連絡会議決定)

(3) 「行政機関におけるIT人材の育成・確保指針」(2007年(平成19年)4月13日各府省情報化統括責任者(CIO)連絡会議決定)

(4) 「電子政府ユーザビリティガイドライン」(2009年(平成21年)7月1日各府省情報化統括責任者(CIO)連絡会議決定)

(5) (1)から(4)までを根拠に作成された実務参考資料

経過措置

廃止される2)(1)から(4)までの決定に基づき、現に実施し、完了していない取組については、なお従前の例による。ただし、次の及びに掲げる指針については、それぞれに定めるとおりとする。

なお、本経過措置は、2020年3月31日までとし、次に掲げる指針は完全に廃止するものとする。

業務・システム最適化指針

「電子政府構築計画」(2003年(平成15年)7月17日各府省情報化統括責任者(CIO)連絡会議決定)に基づき策定された87分野の業務・システム最適化計画に関する業務に関し、契約変更を伴わない内容については、標準ガイドラインを優先的に適用するものとする。

情報システムに係る政府調達の基本指針

「情報システムに係る政府調達の基本指針」に基づき行われる調達手続中、情報システムに係る調達事例データベースへの登録は、2014年(平成26年)9月26日の同データベースの廃止をもって不要とする。

同方針に基づき行われた調達案件に関し、契約変更を伴わない内容については、受注事業者との協議の上、標準ガイドラインを適用するものとする。

2017年(平成29年)5月9日の改定における附則

施行期日

2017年(平成29年)5月9日の改定の内容は、改定の日から施行する。

2018年(平成30年)3月30日の改定における附則

施行期日

2018年(平成30年)3月30日の改定の内容は、改定の日から施行する。

ただし、次に掲げる事項については、当該事項の定めるところによる。なお、当該事項に該当する場合であっても、施行日前に実施することを妨げるものではない。

プロジェクトの検証に関する特例

(1) 「第2編第9章 プロジェクトの検証」の部分 2019年(平成31年)4月1日

経過措置

各府省のITガバナンス規定の明確化

第2編第2章2.府省体制」(中長期計画の部分を除く。)、「第2編第6章予算及び執行」及び「第2編第7章情報システムの管理(ODBの活用)」について、2018年(平成30年)3月30日の改定の施行日に対応できていない事項については、2020年3月31日までに実施できるよう中長期計画に必要な措置を定めるものとする。

ODBのドメイン登録

ドメイン管理簿とODBのドメイン登録の作業が重複している点について、ODBの更改に合わせた見直しの結論を得るまでは、当面ODBのドメイン部分の入力は不要とし、ドメイン管理簿の整備を継続するものとする。

既存の関連ドキュメントの標準ガイドライン群への体系化

政府情報システムの整備及び管理に関する標準ガイドライン実務手引書等、標準ガイドライン群に含まれると考えられる関連文書については、順次、整合性等を確認の上、標準ガイドライン群に体系化していくものとし、それまでの間、効力を有するものとする。

2019年(平成31年)2月25日の改定における附則

施行期日

2019年(平成31年)2月25日の改定の内容は、2019年(平成31年)4月1日から施行する。なお、当該事項に該当する場合であっても、施行日前に実施することを妨げるものではない。

2020年(令和2年)3月31日の改定における附則

施行期日

2020年(令和2年)3月31日の改定の内容は、2020年(令和2年)4月1日から施行する。なお、当該事項に該当する場合であっても、施行日前に実施することを妨げるものではない。

経過措置

旧ガイドライン(2019年2月25日改定)第1編第3章1による適用除外の規定は廃止する。

ただし、旧ガイドライン第1編第3章1.(1)の区分により適用除外の指定を受けた政府情報システムについては、新ガイドラインにおける適用除外を引き続き適用するものとする。

2020年(令和2年)11月27日の改定における附則

施行期日

   2020年(令和2年)11月27日の改定の内容は、改定の日から施行する。

2021年(令和3年)3月30日の改定における附則

施行期日

   2021年(令和3年)3月30日の改定の内容は、改定の日から施行する。

2021年(令和3年)9月10日の改定における附則

施行期日

2021年(令和3年)9月10日の改定の内容は、改定の日から施行し、改定後の内容は、令和3年9月1日から適用する。

2022年(令和4年)4月20日の改定における附則

施行期日

   2022年(令和4年)4月20日の改定の内容は、改定の日から施行する。

2023年(令和5年)3月31日の改定における附則

施行期日

   2023年(令和5年)3月31日の改定の内容は、改定の日から施行する。

2024年(令和6年)5月31日の改定における附則

施行期日

   2024年(令和6年)5月31日の改定の内容は、改定の日から施行する。

2025年(令和7年)5月27日の改定における附則

施行期日

   2025年(令和7年)5月27日の改定の内容は、改定の日から施行する。

別紙2 情報システムの経費区分

(注1)以下の例による。

  • 紙による行政手続のオンライン化による国民の利便性向上に有効なもの

  • ワンストップ化による国民の来訪回数の低減など国民の負担軽減に有効なもの

  • 行政事務の自動化又は時間短縮などに有効なもの

  • 運用等経費など将来の経費削減に有効なもの

(注2)以下の例による。

  • 法令改正等により現行の仕様のままでは法令等に違反する状態になることを避けるために行うもの

  • 災害発生等の情報収集及び人々の避難等の行動につなげるなど国民の身体への悪影響又は経済的損失を回避するためのもの

  • サイバー攻撃による基盤となる情報システムの停止などを回避するためのもの

  • 重要インフラの停止など社会混乱を回避するためのもの 

  • パソコンやネットワークの更新など行政事務の停止を回避するためのもの

別紙3 調達仕様書に盛り込むべき情報資産管理標準シートの提出等に関する作業内容

調達を行うときは、調達内容に応じ、少なくとも次の1.及び2.に定める作業内容を調達仕様書に盛り込むものとする。また、3.に掲げる項目については、必要に応じて、適宜様式を定めた上で適時に内容を記載することを調達仕様書に盛り込むものとする。

契約金額内訳

別紙2 情報システムの経費区分」に基づき区分等した契約金額の内訳を、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。

情報資産管理標準シートの提出

情報資産管理標準シートを、デジタル庁から作業依頼のある時期(原則毎年度末)に提出すること。

その他

ハードウェアの管理

情報システムを構成するハードウェアの製品名、型番、ハードウェア分類、契約形態、保守期限等

ソフトウェアの管理

情報システムを構成するソフトウェア製品の名称(エディションを含む。)、バージョン、ソフトウェア分類、契約形態、ライセンス形態、サポート期限等

回線の管理

情報システムを構成する回線の回線種別、回線サービス名、事業者名、使用期間、ネットワーク帯域等

外部サービスの管理

情報システムを構成するクラウドサービス等の外部サービスの外部サービス利用形態、使用期間等

施設の管理

情報システムを構成するハードウェア等が設置され、又は情報システムの運用業務等に用いる区域を有する施設の施設形態、所在地、耐久性、ラック数、各区域に関する情報等

公開ドメインの管理

情報システムが利用する公開ドメインの名称、DNS名、有効期限等

取扱情報の管理

情報システムが取り扱う情報について、データ・マスタ名、個人情報の有無、格付等

情報セキュリティ要件の管理

情報システムの情報セキュリティ要件

指標の管理

情報システムの運用及び保守の間、把握すべきKPI注記)名、KPI分類、計画値等の案

注記)KPI(Key Performance Indicator)とは、目標・戦略を実現するために設定した具体的な業務プロセスをモニタリングするために設定される指標(業績評価指標:Performance Indicators)のうち、特に重要なものをいう。

各データの変更管理

情報システムの運用及び保守において、上記の各項目についてその内容に変更が生じる作業をしたときは、当該変更を行った項目

作業実績等の管理

情報システムの運用及び保守中に取りまとめた作業実績、リスク、課題及び障害事由

スケジュールや工数等の管理

役務を伴う調達案件については、PJMOの求めに応じ、スケジュールや工数等の計画値及び実績値

別紙4 スタンドアロンコンピュータの管理

各府省は、スタンドアロンコンピュータを用いなければならないときは、次のとおり管理するものとする。

スタンドアロンコンピュータ管理責任者等の指定

各府省は、スタンドアロンコンピュータ管理責任者(この別紙4において「管理責任者」という。)及びスタンドアロンコンピュータ管理担当者を設置するものとする。

本ガイドラインの本紙の適用

スタンドアロンコンピュータについては、本ガイドラインの本紙の「第2編 ITガバナンス」、「第3編 ITマネジメント」の「第3章 予算及び執行」、「第4章 サービス・業務企画」、「第5章 要件定義」、「第6章 調達」、「第8章 サービス・業務の運営と改善」を適用するものとする。また、スタンドアロンコンピュータに関して運用契約を締結する場合には、「第9章 運用及び保守」を適用するものとする。なお、これらの適用において、「PJMO」とあるのは、「スタンドアロンコンピュータ管理責任者」と読み替えるものとする。

スタンドアロンコンピュータの管理の特例

管理責任者は、本ガイドラインの本紙に定めるほか、次のとおり取り組むものとする。

調達

管理責任者は、スタンドアロンコンピュータを調達するときは、情報セキュリティ要件について明確に仕様を定めるとともに、ウイルス対策ソフト等、セキュリティ対策に必要なソフトウェア製品も併せて調達するものとする。

運用及び保守

管理責任者は、自府省の情報セキュリティポリシーに基づき、スタンドアロンコンピュータを管理するほか、スタンドアロンコンピュータ本体に保存されるデータの重要度に応じ、次のアからカまでに掲げる事項に取り組むものとする。

スタンドアロンコンピュータを共用する場合のデータの閲覧・利用

管理責任者は、個々のスタンドアロンコンピュータを複数の者で共用するときは、権限を持たない者がスタンドアロンコンピュータに導入されたソフトウェア製品の操作、保存されているデータの閲覧又は持ち出しができないよう制御するものとする。

スタンドアロンコンピュータを共用する場合のライセンス適用

管理責任者は、個々のスタンドアロンコンピュータを複数の者で共用するときは、ソフトウェア製品の許諾条件に合致するよう必要なライセンスを取得し、管理するものとする。

セキュリティ対策ソフトウェア製品の利用及び更新

管理責任者は、スタンドアロンコンピュータには、ウイルス対策ソフトウェア製品を導入し、常に最新のウイルス定義ファイルを適用するものとする。必要に応じて、データの暗号化や外部記録媒体使用を不可にするソフトウェアを利用する等、セキュリティ対策を講ずるものとする。

ソフトウェアアップデートの適用

管理責任者は、スタンドアロンコンピュータで利用するOS、ソフトウェア製品のアップデートファイル(セキュリティパッチ等)を適用し、常に最新の状態を保つこと。スタンドアロンコンピュータに導入しているソフトウェア製品については、そのサポート期間を調達時にあらかじめ確認し、サポート切れによる影響がないよう留意するものとする。

物理的セキュリティ対策

管理責任者は、情報システムセキュリティ責任者の承認がない状態によるスタンドアロンコンピュータの持ち出しが行われないよう、セキュリティレベルに応じて、物理的セキュリティ対策を講ずるものとする。スタンドアロンコンピュータに保存されているデータの重要度に応じ、スタンドアロンコンピュータのデータ保存領域を適切に暗号化すること。

データの持込み・持ち出し

管理責任者は、スタンドアロンコンピュータの利用者に対し、使用を許可された外部記憶媒体を利用してスタンドアロンコンピュータから府省内LANに接続しているコンピュータにデータを移動するときは、スタンドアロンコンピュータ上で、当該外部記憶媒体に対し、最新のウイルス定義ファイルを適用したウイルス対策ソフトウェア製品によるセキュリティチェックを行うよう求めるものとする。

別紙5 システムプロファイルに係る定義について

各府省は、所管する情報システムそれぞれについて、事業活動におけるその信頼性に関し、「情報システムの機能の喪失、低下等によるサービス停止等発生時の影響度」を表 1の四つのシステムプロファイルレベル(Type)から該当するものを一つ選択することにより、システムプロファイルを定義するものとする。レベルの該当・非該当の判断は、TypeⅣから降順に行う。

なお、定義するシステムプロファイルは、表 2のように、当該情報システムのシステム基盤に係る非機能要件を検討する際の最も原点となる判断要素となる。このため、例えば、情報システムの運用が停止されては業務実施部門の業務に支障が出る、既存の情報システムの稼働率が99.99%を要求しているといっただけで、TypeⅣ、TypeⅢに判断してしまった場合、不適切な情報システム経費が発生するおそれがある。

分類判断要素
TypeⅣサービス停止等が起きた場合、これにより人命損害が発生する可能性があるもの又は想定される経済的損失が甚大であるもの
TypeⅢサービス停止等が起きた場合、これにより身体への悪影響が発生する可能性があるもの又は想定される経済的損失が大きいもの
TypeⅡサービス停止等が起きた場合、これにより経済的損失が少なからず発生するもの
TypeⅠTypeⅡからⅣまでに該当しないもの

表 1 システムプロファイル

注記1)このモデルは、「非機能要求グレード2018利用ガイド[解説編]」(2018年4月 独立行政法人情報処理推進機構)の「モデルシステムシート」を参考に、政府情報システムに合わせて修正している。

注記2)重要な情報資産とは、個人情報、センシティブ情報、換金性の高い情報等、特に高い情報セキュリティ対策が必要な情報資産のこと。