審査項目

審査点に「必須」がついている項目は、その要件を満たす必要があります。点数は、その要件を満たしている場合に与えられる推奨点数です。
必須29項目、推奨119点中92点以上(更新審査の場合、 必須30項目、推奨114点中88点以上)を獲得することでマークの使用許諾申請に合格することができます。(※2022年11月開催の二次審査より適用)

重要

通番 項目 審査点・
更新審査点
確認方法
1 セキュリティポリシーの確立及び監査制度の導入
1-1 セキュリティポリシー(又はそれに相当する内部規程)、及び監査体制が確立されていること
1-1-1 以下の内容が盛り込まれたセキュリティポリシー(又はそれに相当する内部規程)の有無を確認
・セキュリティーポリシーの基本方針並びに適用範囲
・組織と体制
・重要情報と保護対策(情報機器廃棄時の対策を含む)
・評価と見直し
・法令遵守、違反に対する対応
・運用と教育
必須 書面による当該文書の提出
1-1-2 過去1年以内に、セキュリティポリシー(又はそれに相当する内部規程)による監査が行われたことの確認(監査すべき項目については、別途定める監査項目について網羅していなくてはならない) 5点・
必須
直近の監査報告書の提出
1-1-3 セキュリティポリシー(又はそれに相当する内部規程)の見直し・変更規程があり、規程に沿って見直されていることの確認 3点 担当責任者による署名押印
1-1-4 セキュリティポリシー(又はそれに相当する内部規程)は、しかるべき責任者の承諾を得ていることの確認 3点 担当責任者による署名押印
1-2 従業員に対して、セキュリティに対する適切な啓発活動を行っていること
1-2-1 従業員に対し、セキュリティに関する啓発活動を行う体制ができていることの確認 3点 活動状況を記載の上、担当責任者による署名押印
2 システムのセキュリティレベル
2-1 必要なセキュリティ対策がほどこされているか
2-1-1 インターネット接続サービスを提供するために使用されている、主な、DNSサーバ、メールサーバ、Webサーバ、認証サーバ、ルータについて、別途定めるセキュリティ診断項目に記載の対策を施してあることの確認 必須 申請書提出日の3ヶ月以内に行われた診断結果書類の提出
2-1-2 施設への立ち入りは、適切な権限を持つものに限定されていることの確認 必須 担当責任者による署名押印
2-1-3 管理者権限を持ったアクセスは限定されていることの確認 必須 担当責任者による署名押印
2-1-4 webサイト又はサービスを利用した契約者のwebサイトが改ざんされることを想定して、何らかの対策を施してあることの確認 必須 対策方法を記載の上、担当責任者による署名押印
2-1-5 webサイト全体において、SSL等の暗号化を行っていることの確認 必須 Webの提示
2-2 セキュリティ対策の見直しが定期的に行われているか
2-2-1 セキュリティ対策の見直し、及び定期的な診断を行っていることの確認 5点 担当責任者による署名押印
2-3 システムのメンテナンスについて、管理基準が確立されており、かつ、それに基づき作業が行われているか
2-3-1 施設設置環境の変更・保全、ハード・ソフトウェアの導入・変更、及びバックアップ作業等についての管理基準が確立されていることの確認 5点 書面による当該文書の提出
2-3-2 その管理基準に従った作業が行われていることの確認 5点 担当責任者による署名押印
3 トラブル発生時の対応体制の確立
3-1 障害発生時の体制が適切であるか
3-1-1 障害発生時における連絡体制がきちんと決められていることを確認 必須 書面による当該文書の提出
3-1-2 障害発生時の対応責任者が適切に定められていることを確認 3点 担当責任者による署名押印
3-1-3 基幹システム機器の設置場所に、消火、防火設備が整っていることの確認 5点 担当責任者による署名押印
3-1-4 基幹システム機器の設置場所が、水害等に起因する水の侵入による被害を受けないようになっていることの確認 5点 担当責任者による署名押印
3-1-5 以下に挙げるシステム・データのバックアップが適切に取られていることの確認
*顧客のアカウント管理情報、及び課金情報
*顧客が登録したデータ類
5点 担当責任者による署名押印
3-1-6 バックアップからの復旧手順が定められていることの確認 5点 書面による当該文書の提出
3-1-7 バックアップされたデータが基幹システム設置場所とは物理的に離れた場所に保管されていることの確認 5点 保管場所を記載と選択の上、担当責任者による署名押印
3-1-8 停電が発生した場合、必要な電源の確保がされていることの確認 3点 設備方法を記載の上、担当責任者による署名押印
3-2 障害発生対策マニュアル等の書類が適切に策定されているか
3-2-1 障害発生時における対策マニュアルの有無の確認 必須 書面による当該文書の提出
3-3 障害の発生をアナウンスする体制が適切であるか、またアナウンスを適切に行っているか
3-3-1 障害発生について、その内容や障害時間を顧客にアナウンスしていることの確認 必須 Webの提示、または書面による当該文書の提示
3-3-2 障害発生アナウンスの責任者が適切に定められていることの確認 3点 担当責任者による署名押印
4 利用者向け契約約款等の整備と公表
4-1 契約時における契約約款の提示が適切であるか
4-1-1 約款等(契約約款や会員規約等をいう。以下同じ)を提供していることの確認 必須 Webの提示、または書面による当該文書の提示
4-1-2 会員になろうとする者に対して提供している重要事項説明書を提示していることの確認 必須 Webの提示、または書面による当該文書の提示
4-1-3 約款等を閲覧し、その内容を同意(承認・承諾)の上、契約申込みができるようになっていることの確認 必須 Webの提示、または書面による当該文書の提示
4-1-4 契約を締結した者に対して契約書面を交付していることの確認 必須 書面による当該文書の提出
4-2 サービスの種類、運用基準、退会等についての記載が適切であるか
4-2-1 サービスの内容についての広告や紹介は、その提供条件が明確に理解できるものであり、かつ、利用を受け付けるためのWebページ及び書類は、サービスの種類を明確に選択できる書式となっていることの確認 5点 Webの提示、または書面による当該文書の提示
4-2-2 会員が退会を希望した場合、退会の方法について適切に記載されていることの確認 必須 Webの提示、または書面による当該文書の提示
4-2-3 会員に対して禁止行為が規程されており、違反者に対する措置が明記されていることの確認 5点 Webの提示、または書面による当該文書の提示
4-3 サービスの変更に係る手続は適切であるか
4-3-1 サービスの変更に係る処理について、会員が容易に行えるようになっていることの確認 5点 Webの提示、または書面による当該文書の提示
4-3-2 サービスの変更に係る手続において、変更適用期日が明示されていることの確認 3点 Webの提示、または書面による当該文書の提示
4-4 契約約款の変更に係る手続は適切であるか
4-4-1 会員に対し、重要な影響を及ぼす約款等、及び料金の変更をする際には、会員に対する十分な周知の期間が設けられていることの確認 必須 担当責任者による署名押印
5 ユーザー対応体制の整備
5-1 ヘルプデスクの設置は適切に行われているか
5-1-1 ユーザー対応の窓口は用意されているか、また、電話、Fax、メール等複数のチャネルからアクセスできるようになっていることの確認 必須 Webの提示、または書面による当該文書の提示
5-1-2 適切な電話回線数を用意してあり、通常時にユーザーサポートが円滑に行われる状態にあることの確認 5点 担当責任者による署名押印
5-1-3 ユーザー対応業務のフローとマニュアルが整備されていることの確認 5点 担当責任者による署名押印
5-1-4 ユーザー対応の履歴がきちんと残っていることの確認 3点 担当責任者による署名押印
5-2 サービス停止予告等のアナウンスは適切に行われているか
5-2-1 サービス停止の予告等がきちんとアナウンスされていることの確認 5点 Webの提示、または書面による当該文書の提示
6 利用者に対する周知・啓発等の取組み
6-1 会員に対して基礎的なセキュリティの啓発を行っているか
6-1-1 会員に対して、ネット利用時において、以下に例示するような基礎的なセキュリティ情報を提供していることの確認
・クレジットカード番号や個人情報等を送信する場合の注意事項
・認証パスワードの保護 ・詐欺、取引上のトラブル例
・基礎的なウィルス対策方法 ・常時接続時の注意事項
必須 Webの提示、または書面による当該文書の提示
6-2 会員に対して最新のセキュリティ関連情報を提供しているか
6-2-1 会員に対して、最新のインターネット上のウィルス情報を含むセキュリティ情報を発信していることの確認 必須 Webの提示、または書面による当該文書の提示
6-3 会員に対して帯域制御に係る周知を行っているか
6-3-1 会員に対して、帯域制御に係る周知が適切に行われていることの確認 必須 Webの提示、または書面による当該文書の提示
7 個人情報保護に関する取組み
7-0 個人情報保護委員会又は事業所管大臣により命令を受けていないことの確認
7-0-1 個人情報保護委員会又は事業所管大臣により、過去1年以内に命令・緊急命令を受けていないことの確認 必須 個人情報保護管理者本人の署名押印
7-0-2 個人情報保護委員会又は事業所管大臣により、過去1年以内に行政指導等(報告徴収、立入検査、指導・助言又は勧告)を受けたことの確認 必須 該当項目を選択の上、個人情報保護管理者本人の署名押印
7-1 安全管理に係る取組みを適切に行っているか(0点の場合は不合格)
7-1-1 個人情報へのアクセスの管理について、以下の具体的な取組みを行っていることの確認
・アクセス権限者の限定(異動・退職した社員のアカウント管理処理を含める)
・アクセス状況の監視体制の整備(アクセスログの長期保存等)
・アクセス権限を有するID・パスワードの定期的変更
・個人情報へのアクセスが可能な部屋への入退室管理
0-5点
※0点は不合格
書面による当該文書の提出
7-1-2 個人情報の持ち出し手段の制限について、コンピュータなど、機器から外部記憶媒体への記録の禁止等、具体的な取組みを行っていることの確認 0-5点
※0点は不合格
書面による当該文書の提出
7-1-3 個人情報が保存されているコンピュータなど、機器に対して外部からのアクセス防止のための措置について具体的な取組みを行っていることの確認 0-5点
※0点は不合格
書面による当該文書の提出
7-2 個人情報保護管理者を設置し、必要な内部規程を策定しているか
7-2-1 個人情報保護管理者を適切に定めていることの確認 必須 個人情報保護管理者本人の署名押印
7-2-2 個人情報を保護するために以下について記載のある内部規程を策定していることの確認
・不適正な利用の禁止・適正な取得
・利用目的の特定、利用目的による制限
・安全管理措置、従業者および委託先の監督、漏えい時の対応
・個人データ・個人関連情報の第三者提供の制限、第三者提供に関する確認・記録
・開示請求等への対応
必須 書面による当該文書の提出
7-3 従業者に対する必要な教育研修を適切に行っているか
7-3-1 派遣労働者を含む従業者(正社員、契約社員、嘱託社員、パートタイマー、アルバイト等)及び役員に対して適切な教育研修を「年1回以上」行っていることの確認 必須 個人情報保護管理者による署名押印
7-4 プライバシーポリシーを策定し、公表しているか
7-4-1 プライバシーポリシーを策定し、公表していることの確認 必須 Webの提示
7-5 個人情報の取扱いに関する苦情などを適切かつ迅速に処理しているか
7-5-1 個人情報の取扱い関する苦情(不平不満)に対して処理手続きが策定され、苦情対応の窓口を設けて適切かつ迅速な処理をしていることの確認 必須 書面による当該文書の提出
7-5-2 本人から、当該本人が識別される保有データの開示・訂正・利用停止を求められた場合、遅滞なく応じる手続きが策定され、手続きの仕方が公表されていることの確認 必須 Webの提示、または書面による当該文書の提示
7-6 情報漏えい等が発生した場合の措置を策定しているか
7-6-1 個人情報の漏えいが発生した場合、事実確認を本人に速やかに通知する措置を策定していることの確認 必須 書面による当該文書の提出
7-6-2 個人情報の漏えい等が発生した場合、二次被害の防止、類似事案の発生回避等の観点から可能な限り、事実関係、その他有用な情報を公表する措置を策定していることの確認 必須 書面による当該文書の提出
7-6-3 個人情報漏えい等が発生した場合に、漏えい等に係る事実関係を総務省に報告する措置を策定していることの確認 必須 書面による当該文書の提出

※注:3-1-7,7-1-1~7-1-3については、内容により0~5点(ただし、、7-1-1~7-1-3は0点の場合、不合格)(基準は公表せず)

監査項目規程

監査について

審査項目中の「1-1-2 過去1年以内に、セキュリティポリシー、またはそれに相当する内部規程による監査が行われたことの確認(監査すべき項目については、別途定める監査項目について網羅していなくてはならない)」に係る監査項目及び監査方法について具体的に規程する。

監査項目

セキュリティポリシーあるいはそれに相当する内部規程(以下「ポリシー」という。)の基本方針並びに適用範囲

  • ポリシーに策定された基本方針に沿ってオペレーションが行われていたかの確認
  • 障害内容がポリシーに則って記録されていたかの確認
  • パスワード管理が適切にされていたかの確認
  • ポリシーの適用範囲によって、オペレーションがなされていたかの確認

組織と体制

  • 管理者をはじめ、経営者がポリシーを理解し、その遵守に努めるよう指示していたかの確認
  • ポリシーを遵守するための体制ができていることの確認

重要情報と保護対策(情報機器廃棄時の対策を含む)

  • 管理されるデータのリストアップと重要度の区分が遵守されていたかの確認
  • データへのアクセスコントロールが適切になされていたかの確認
  • バックアップ対策が遵守されていたかの確認
  • データ保護の方法が遵守されていたかの確認
  • データ保管機器廃棄時の処分方法が遵守されていたかの確認
  • ハードウェアの設置状況、保守が遵守されていたかの確認

評価と見直し

  • ポリシーの評価と見直しが、規程に沿って行われたかの確認

法令遵守、違反に対する対応

  • 法令に違反した事例があった場合に、適切に対応されていたかの確認

運用と教育

  • ポリシーに沿った運用を遵守するための教育が、従業員に対して行われたかの確認

外部委託管理が適切になされているか

  • セキュリティ対策や、ユーザー対応などについて、外部委託されている場合には、適切な委託契約を結んでいることの確認

監査方法

監査計画に基づき1年以内に、別途掲げる監査項目が監査されていること。
それぞれの項目について、セキュリティポリシー、またはそれに相当する内部規程などに従い、適切に運用されているかどうかを確認する。
1回の監査で全ての項目を網羅する必要はないが、1年以内に全ての監査項目について網羅していること。
監査の主体が外部機関である必要はない。

セキュリティ診断項目

審査項目中の「2-1-1 インターネット接続サービスを提供するために使用されている、主な、DNSサーバ、メールサーバ、Webサーバ、認証サーバ、ルータについて、別途定めるセキュリティ診断項目に記載の対策を施してあることの確認」に係るセキュリティ診断項目及び診断方法について具体的規程する。

診断項目

システムのセキュリティ診断を行うにあたり、日々、新しいセキュリティ上の問題が発生するため、固定的な診断項目を設定することは困難である。
そこで、セキュリティ上の問題について日々更新されており信頼のおけるものとして、CVEおよびCERTの脆弱性データベースに記載されているものを基準にすることとする。その中でも、以下について重点的に診断することとする。

  • DNSシステムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • Webサーバソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • メール送信システムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • メール受信システムソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • 接続認証ソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • 接続機器について、そのOSのバージョンが適切であるか、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • 遠隔ログインソフトについて、そのバージョンが適切である、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • その他利用しているアプリケーションソフトにおいて、そのバージョンが適切であるか、あるいは適切なセキュリティ対策、及び設定を施して運用されているか。
  • その他適切なアクセス制御を施して、不要なサービスを提供していないか。

診断方法

セキュリティレベルの状態を見るためにはいろいろな方策がありますが、簡易的にするために、日々更新される診断項目についてベンダーなどから提供される診断ツールを利用して、診断結果書類の提出をすることとする。

診断結果についての信頼ができる診断ツールとして、以下を推奨する。

BBSec「Cracker Probing-Eyes」による診断

https://www.bbsec.co.jp/service/vulnerability-diagnosis/daily.html
株式会社ブロードバンドセキュリティが提供する脆弱性診断サービスです。

富士通「アタックテストサービスエクスプレス」による診断

http://segroup.fujitsu.com/secure/service/attacktest-express/index.html
富士通がご提供するチェックは、ハード・ソフトの導入を一切必要としない ASP 型のサービスです。

日本ベリサイン「ネットワークセキュリティ診断サービス」による診断

http://www.verisign.co.jp/consulting/infosec/netdiag/index.html
日本ベリサイン株式会社が提供する、サーバ/ネットワーク機器に対する脆弱性診断サービスです

「SAINT」による診断

http://www.saintcorporation.com/
このツールを利用して正式なサービスを提供している会社もございます。独自で診断された結果を提出いただいても結構です。不明点は、協議会までお問い合わせ下さい。

「NESSUS」による診断

http://www.nessus.org/
このツールを利用して正式なサービスを提供している会社もございます。独自で診断された結果を提出いただいても結構です。不明点は、協議会までお問い合わせ下さい。