（１）情報の安全管理のために必要な措置

措置の対象となる「情報」は、「電磁的方式により記録され、又は発信され、若しくは受信される情報」と規定されており、例えば、口頭での情報伝達は含まれない。

また、必要な措置については、「漏えい、滅失又は毀損の防止」と、いわゆる情報のCIAを定義の中に実質的に組み込んでいるが、これに限定せず、「その他の当該情報の安全管理のために必要な措置」と広く規定しており、外部からのサイバー攻撃に対する対策に限らず、内部不正に対する対策等も含まれることとなる。

（２）情報システム及び情報通信ネットワークの安全性・信頼性の確保に必要な措置

ここにいう安全性の確保には、情報システム又は情報通信ネットワークについて外部からの侵入が防止された状態にあることが含まれており、信頼性の確保には、情報システム又は情報通信ネットワークが、災害等により障害が起こっても迅速に復旧することが含まれている。このように、情報システム又は情報通信ネットワークの安全性・信頼性の確保に必要な措置については、外部からのサイバー攻撃への対策に限られない。

（３）情報通信ネットワーク又は電磁的記録媒体を通じた電子計算機に対する不正な活動

情報システム及び情報通信ネットワークの安全性・信頼性の確保に必要な措置については、「情報通信ネットワーク又は電磁的方式で作られた記録に係る記録媒体（以下「電磁的記録媒体」という。）を通じた電子計算機に対する不正な活動²による被害の防止のために必要な措置を含む」としている。

サイバー攻撃は、一般的に情報通信ネットワークを通じたものが想定されるが、本定義においては、「電磁的記録媒体を通じた」ものも含まれており、例えば、ネットワークと連結していない制御系のシステムを標的とし、USBメモリ等の外部記録媒体に保存された不正なプログラムを作用させて制御システムを乗っ取ることも、「電磁的記録媒体を通じた電子計算機に対する不正な活動」にあたる。

なお、いわゆるフィッシング³については、電子計算機そのものに対して不正な活動を行っているわけではないので、「電子計算機に対する」不正な活動にはあたらないが、フィッシング対策のための措置については、一般に、情報の安全管理のために必要な措置、又は、情報システム及び情報通信ネットワークの安全性および信頼性の確保のための措置に含まれると考えられる。

（１）サイバーセキュリティ戦略本部について

基本法第25条は、サイバーセキュリティに関する施策を総合的かつ効果的に推進するため、内閣に、サイバーセキュリティ戦略本部を設置することを規定している。

同本部は、関係閣僚及び有識者により構成されており、内閣官房内閣サイバーセキュリティセンター（NISC）が事務局を務める（基本法第35条、内閣官房組織令第4条の2）。

同本部の所掌事務として具体的に明記されている主なものを抜粋すると、以下のとおりである（同法第26条第1項各号）。

1. サイバーセキュリティ戦略の案の作成
2. 国の行政機関、独立行政法人及び指定法人²におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく監査
3. 国の行政機関、独立行政法人及び指定法人で発生したサイバーセキュリティに関する重大な事象に対する原因究明調査
4. サイバーセキュリティに関する事象が発生した場合における国内外の関係者との連絡調整
5. その他サイバーセキュリティに関する重要施策に関する、企画に関する調査審議、施策の実施の推進及び総合調整

（２）サイバーセキュリティ戦略

基本法第12条は、サイバーセキュリティに関する施策の基本的な方針等を定めるものとして、政府がサイバーセキュリティ戦略を定める旨を規定している。なお、上記（１）のとおり、その案についてはサイバーセキュリティ戦略本部が作成する（基本法第26条第1項第1号）。

現在、令和3年に閣議決定されたサイバーセキュリティ戦略が最新のものであり、「Cybersecurity for All」（誰も取り残さないサイバーセキュリティ）の確保に向けた取組みを進める必要があるという考え方の下で、①デジタルトランスフォーメーション（DX）とサイバーセキュリティの同時推進、②公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保、③安全保障の観点からの取組強化という3つの方向性に基づき施策を推進するとしつつ、基本法第13条から第24条までに規定する我が国におけるサイバーセキュリティに関する様々な基本的施策に関する事項が盛り込まれている。

なお、同戦略は、「中長期的視点から…（中略）…2020年代初めの今後3年間にとるべき諸施策の目標や実施方針を示すものである」とされているとおり、定期的な改定を想定したものとなっている。

（３）対策の基準の作成及び当該基準に基づく監査

サイバーセキュリティ戦略本部は、国の行政機関、独立行政法人及び指定法人³におけるサイバーセキュリティに関する対策の基準の作成及び当該基準に基づく監査を行う（基本法第26条第1項第2号）。

本規定に基づくものとして、「政府機関等のサイバーセキュリティ対策のための統一基準群」⁴が定められており、これは、国の行政機関、独立行政法人及び指定法人における情報セキュリティ水準を向上させるための統一的な枠組みであり、政府機関等における情報セキュリティのベースラインを定めている。

また、監査に関しては、サイバーセキュリティ戦略本部「サイバーセキュリティ対策を強化するための監査に係る基本方針」（平成27年決定、平成31年一部改定）に基づき、①マネジメント監査（セキュリティ向上のための体制・制度が機能しているかの検証による評価（監査））、②ペネトレーションテスト（情報システムに対する擬似的攻撃による評価（監査））の二つにより監査を実施⁵することとされている。

（４）重大な事象に関する原因究明調査

サイバーセキュリティ戦略本部は、国の行政機関、独立行政法人及び指定法人⁶で発生したサイバーセキュリティに関する重大な事象に対する原因究明調査を行う（基本法第26条第1項第3号）。本号に基づく事務を適切に遂行するため、サイバーセキュリティ戦略本部は「サイバーセキュリティ戦略本部重大事象施策評価規則」（平成27年決定、平成31年一部改定）を定めており、同規則においては、基本法第26条第1項第3号にいう「国の行政機関、独立行政法人又は指定法人で発生したサイバーセキュリティに関する重大な事象」（特定重大事象）を以下のとおり挙げている。

1. 国の行政機関、独立行政法人又は指定法人が運用する情報システムにおける障害を伴う事象であって、当該国の行政機関、独立行政法人又は指定法人が実施する事務の遂行に著しい支障を及ぼし、又は及ぼすおそれがあるもの
2. 情報の漏えいを伴う事象であって、国民生活又は社会経済に重大な影響を与え、又は与えるおそれがあるもの
3. ①、②のほか、我が国のサイバーセキュリティに対する国内外の信用を著しく失墜させ、又は失墜させるおそれがある事象

（５）情報システムに対する不正な活動の監視及び分析

基本法第13条は、国が講ずる施策として、「情報通信ネットワーク又は電磁的記録媒体を通じた国の行政機関、独立行政法人又は指定法人の情報システムに対する不正な活動の監視及び分析」を挙げており、当該規定を踏まえ、内閣官房組織令第4条の2第1号は、「情報通信ネットワーク又は電磁的記録媒体…を通じて行われる行政各部の情報システムに対する不正な活動の監視及び分析に関すること」をNISCの所掌事務としている。

本規定に基づき、NISCは、政府関係機関情報セキュリティ横断監視・即応調整チーム（GSOC⁷）を運用しており、GSOCにおいては、24時間365日体制でサイバー攻撃等の不審な通信の横断的な監視、不正プログラムの分析や脅威情報の収集を実施し、各組織へ情報提供を行っている。

（６）重要インフラ防護の推進に係る取組み

上記（２）のサイバーセキュリティ戦略には、重要社会基盤事業者及びその組織する団体並びに地方公共団体におけるサイバーセキュリティの確保の促進に関する事項を定める必要がある（基本法第12条第2項第3号）。

ここにいう「重要社会基盤事業者」とは、「国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業を行う者」（基本法第3条第1項）と定義されており、いわゆる重要インフラ事業者を指す。

重要インフラの防護については、「任務保証⁸」の考え方を踏まえ、重要インフラサービスの安全かつ持続的な提供を実現するため、サイバーセキュリティ戦略本部が「重要インフラのサイバーセキュリティ対策に係る行動計画」（令和4年決定）を策定している。同行動計画においては、重要インフラ分野として14の分野⁹が指定されており、当該分野に属する事業を営む者等のうち、対象となる重要インフラ事業者等¹⁰が挙げられているところ、①安全基準等の整備・浸透¹¹、②情報共有体制の強化、③障害対応体制の強化、④リスクマネジメント及び対処態勢の整備、⑤防護基盤の強化という5つの施策群に基づく取組みを推進している

（７）横断的施策

（８）多様な主体の連携及びサイバーセキュリティ協議会

基本法第16条は、国、地方公共団体、重要社会基盤事業者、サイバー関連事業者¹⁵等の多様な主体による相互連携に関することを規定している。同条を具体化する形で、平成30年に改正されたサイバーセキュリティ基本法に基づき組織されたのが、同法第17条に規定するサイバーセキュリティ協議会である。

同協議会は、官民様々な主体を構成員とし、サイバーセキュリティに関する情報共有を行うことによって、サイバー攻撃による被害の予防及び被害拡大の防止を目的としている法定の情報共有体制である。詳細については、Q57を参照。