情報セキュリティ特約とは?※22年10月更新:2023年4月(令和5年度)以降の契約に関しては、新たな基準による情報セキュリティ特約契約が定められるとされています。23年3月以前に締結された契約などは従来の基準に従うこととなります。詳しくは、防衛装備庁の公式サイトをご覧ください。防衛省・自衛隊の調達を担当する外局である防衛装備庁が定めている「装備品等及び役務の調達における情報セキュリティの確保に関する特約条項」、通称、情報セキュリティ特約は、防衛省・自衛隊と民間企業との契約に際して、情報セキュリティの確保のために付与される契約の1つです。防衛省・自衛隊が公告・告示する調達などに入札を検討されている際にネックになるのが、この「情報セキュリティ特約」です。簡単に言えば、防衛省・自衛隊からの情報セキュリティに関する要求にあたります。情報セキュリティ特約の内容公開されている文書には、次のようなものがあります。 (22年1月現在のものです。最新の情報は、防衛省・自衛隊へご確認ください)装備品等及び役務の調達における情報セキュリティの確保について(通達)装備品等及び役務の調達における情報セキュリティの確保について(通知)これらに記載されている「調達における情報セキュリティ基準」は、防衛省・自衛隊との契約にあたり、情報セキュリティ特約が付与された場合に、民間企業側が満たしていなければならない基準として定められています。「調達における情報セキュリティ基準」には、情報セキュリティ基本方針等の作成組織のセキュリティ保護すべき情報の管理人的セキュリティ物理的及び環境的セキュリティ通信及び運用管理情報セキュリティ事故等の管理順守状況等といった項目が盛り込まれており、契約する民間企業が、防衛省・自衛隊の情報をちゃんと保護できる体制にあるかに重点が置かれています。「保護すべき情報」とはこの特約の中には「保護すべき情報」という単語が出てきます。この「保護すべき情報」は、防衛省・自衛隊の定める ”いわゆる防衛省・自衛隊の「秘密」ではないものの、取扱上を注意を要する文書等” のこととされています。防衛省・自衛隊では、特定秘密保護法や自衛隊法などにもとづく国防上の秘密が当然ありますが、それらには該当しないものの、国防上、慎重な取扱いが必要となる情報が多数存在します。これらの文書や情報は、防衛省・自衛隊内部では「注意」「部内限り」と呼ばれており、防衛省・自衛隊の外部に共有することは原則としてありません。そのため、入札などを通じて契約した民間企業にこれらの「保護すべき情報」を安全に共有するために、「情報セキュリティ特約」が設けられています。情報セキュリティ特約がついた契約契約時に「情報セキュリティ特約」が付与された場合、多くのケースで①入札前の書類の提出②入札後の書類の提出③契約前の書類の提出が発生します。契約した民間企業は、情報セキュリティ特約のとおり、企業の業務遂行体制が防衛省・自衛隊の調達における情報セキュリティ基準を満たしていることを説明しなくてはなりません。実地監査によるチェック「情報セキュリティ特約」が締結された場合、契約した民間企業が、適切に「保護すべき情報」を管理しているかを確認するため、防衛省・自衛隊による実地監査が契約履行後に入る場合があります。実際に、情報セキュリティ特約のとおりに業務が遂行されているか、防衛省・自衛隊側から厳しいチェックが行われ、監査の結果によっては、是正の指示を受けたり、最悪の場合、契約の一時停止になる場合もあり得ます。下請負者に対する義務特約の有効範囲は、契約した民間企業だけに止まらず、防衛省・自衛隊の契約を下請けで行う企業にも及びます。契約した企業は、これらの下請けの情報セキュリティに関する監督はもちろん、場合によっては、立ち合いのもと、防衛省・自衛隊が直接下請け業者をチェックする場合もあります。スムーズな入札・安全な契約の履行のために防衛省・自衛隊の調達や役務の入札や契約を検討されている場合には、「情報セキュリティ特約」の有無を確認し、もし特約が付与されるようであれば、事前にその準備をしておくことが重要です。情報セキュリティ特約は、防衛省・自衛隊にとっての情報を適切に保護できる管理体制の構築が必要不可欠となります。現場だけでなく、経営陣を巻き込んだ体制づくりや、防衛省・自衛隊の特有の概念や考え方に沿ったセキュリティ体制・手続きを整備しなくてはなりません。情報セキュリティの体制をしっかり作る弊社では、主に情報セキュリティ特約を付与された防衛省・自衛隊との契約をご検討されている企業様向けに、防衛省向けの情報セキュリティ体制の構築の支援を実施しております。弊社のコンサルタントが、御社の現状や予定される契約の内容を踏まえて、必要な体制構築をお手伝いします。お気軽にお問い合わせください。