最終更新日:2026年5月7日
sg sg-security-management asset_management risk_assessment sg-security-law
まず結論
政府機関等の情報セキュリティ対策のための統一基準は、国の行政機関などが、情報セキュリティ対策を行うときに守るべき共通ルールです。
SG試験では、細かい条文を覚えるよりも、次の判断が大切です。
- 根拠は個人情報保護法ではなく、サイバーセキュリティ基本法側の考え方
- 対象はすべての民間企業ではなく、政府機関等
- 情報を機密性・完全性・可用性の観点で格付けする
つまり、試験では「何のための基準か」「誰に適用されるか」「何を分類するか」を切り分ける問題として出やすいです。
直感的な説明
政府機関は、国民の情報や行政の重要な情報を多く扱います。
そのため、各機関がバラバラの考え方で対策すると、弱いところができてしまいます。
そこで、政府機関等が共通して守るべき基準として用意されているのが、この統一基準です。
イメージとしては、
政府機関向けの「情報セキュリティ対策の共通ルールブック」
です。
たとえば、ある情報を扱うときに、
- 外部に漏れると困るか
- 内容が改ざんされると困るか
- 必要なときに使えないと困るか
という観点で重要度を整理し、それに応じて扱い方を決めます。
定義・仕組み
統一基準は、政府機関等が情報セキュリティ対策を行うために、共通的に必要な対策事項を定めた基準です。
現在の公式資料では、関連する文書として 政府機関等のサイバーセキュリティ対策のための統一基準 が公開されています。
統一基準では、情報セキュリティ対策を幅広く整理しています。
主な構成は、次のような領域です。
| 区分 | 内容のイメージ |
|---|---|
| 総則 | 基準の目的や基本的な考え方 |
| 情報セキュリティ対策の基本的枠組み | 組織体制、規程、責任など |
| 情報の取扱い | 情報の格付、取扱制限など |
| 外部委託 | 委託先に求める対策や管理 |
| 情報システムのライフサイクル | 企画、開発、運用、廃棄など |
| 情報システムのセキュリティ要件 | システムに求める安全性 |
| 情報システムの構成要素 | 端末、サーバ、通信回線など |
| 情報システムの利用 | 利用者、端末、クラウド利用など |
特にSG試験で押さえたいのは、情報の格付です。
統一基準では、情報を次の3つの観点で整理します。
| 観点 | 意味 | 試験での見方 |
|---|---|---|
| 機密性 | 許可された人だけが見られること | 漏えいすると困るか |
| 完全性 | 正確で改ざんされていないこと | 改ざんされると困るか |
| 可用性 | 必要なときに使えること | 利用できないと困るか |
また、重要な情報には次のような名称が使われます。
| 名称 | 対応する考え方 |
|---|---|
| 要機密情報 | 機密性の観点で保護が必要な情報 |
| 要保全情報 | 完全性の観点で保護が必要な情報 |
| 要安定情報 | 可用性の観点で保護が必要な情報 |
| 要保護情報 | 上記のいずれかに該当し、保護が必要な情報 |
ここで大切なのは、個人情報だけを守る基準ではないという点です。
行政で扱う情報全体について、業務や国民への影響を考えて守るための基準です。
どんな場面で使う?
この統一基準は、政府機関等が情報セキュリティ対策を整備するときに使われます。
たとえば、次のような場面です。
- 情報セキュリティポリシーを作る
- 情報の格付や取扱制限を決める
- 外部委託先に求める対策を決める
- 情報システムの企画・開発・運用で必要な対策を整理する
- クラウドサービスや外部サービスを利用するときの注意点を確認する
SG試験では、特に委託先管理や情報資産管理の文脈で出てくると理解しやすいです。
たとえば、政府機関が外部業者にシステム開発や運用を委託する場合でも、情報の重要度に応じた管理が必要です。
このとき、統一基準は「委託先にも必要な対策を求めるための基準」として関係します。
選択肢では、次のような表現に注意します。
- 「すべての民間企業に直接適用される」
- 「個人情報だけを対象にする」
- 「不正アクセス禁止法に基づく基準である」
これらは、統一基準の役割から外れやすい表現です。
よくある誤解・混同
個人情報保護法に基づく基準と混同しない
統一基準は、個人情報保護法そのものに基づく基準ではありません。
個人情報も重要な情報の一部ですが、統一基準の対象はそれだけではありません。
政府機関等が扱う情報全体について、セキュリティ対策を整理する基準です。
不正アクセス禁止法に基づく基準と混同しない
不正アクセス禁止法は、不正アクセス行為などを禁止する法律です。
一方、統一基準は、政府機関等がどのように情報セキュリティ対策を行うかを定める基準です。
つまり、
- 不正アクセス禁止法:不正アクセス行為を禁止する法律
- 統一基準:政府機関等の対策をそろえるための基準
という違いがあります。
適用範囲を広げすぎない
統一基準の対象は、政府機関等です。
すべての民間企業に直接適用される、と考えると誤りです。
ただし、政府機関等から業務を委託される事業者は、契約や仕様書を通じて、統一基準に沿った対応を求められることがあります。
ここは試験でもひっかけになりやすいです。
CIAの格付を「暗号方式の分類」と誤解しない
機密性・完全性・可用性は、暗号技術の種類を分けるものではありません。
情報をどの程度守る必要があるかを判断するための観点です。
SG試験では、
情報をCIAの観点で格付けして、取扱いを決める
と整理しておくと選択肢を切りやすくなります。
まとめ(試験直前用)
- 統一基準は、政府機関等が守る情報セキュリティ対策の共通基準
- 根拠は、個人情報保護法や不正アクセス禁止法ではなく、サイバーセキュリティ基本法側の考え方で整理する
- 対象は、すべての民間企業ではなく、国の行政機関・独立行政法人・指定法人など
- 情報は、機密性・完全性・可用性の観点で格付けする
- 要機密情報・要保全情報・要安定情報は、どの観点で保護が必要かで切り分ける
🔗 関連記事
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
- 匿名加工情報の第三者提供とは?公表義務と注意点【SG試験】
- 情報資産台帳とは?リスク管理の出発点を整理【SG試験】
- 保証型監査と助言型監査の違い【SG試験】