内閣サイバーセキュリティセンター(NISC)は4月28日、「中央省庁における情報システム運用継続計画ガイドライン」の改定を発表した。本ガイドラインは2011年3月に、内閣官房情報セキュリティセンターで初版を策定、2012年5月に優先的に取り組むべき対策例一覧等を追加し第2版に改定しており、今回改訂する第3版では、感染症の流行と技術動向の変化に係る内容を追加し、利便性向上を目的に構成を見直し、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」との整合性を図り、対象組織に独立行政法人及びサイバーセキュリティ戦略本部が指定する法人を加えた。本ガイドラインでは、特定された危機的事象の発生時に情報システムにおいて生じる被害を想定し、情報システムの抱えるリスクを明らかにすることを目的に、検討事項として以下の項目を挙げている。1.情報システムの運用を継続する最高責任者及び責任者は、危機的事象が発生した際の情報システムに係る下記の被害を想定に含める。(a) 大規模災害発生時の被害想定(b) 情報セキュリティインシデント発生時の被害想定(c) 感染症発生時の被害想定(d) その他危機的事象発生時の被害想定2.政府機関等として取組の整合性を確保するため、業務継続計画の被害想定を活用する。3.情報システムの抱えるリスクの算定が複雑となることから、細かすぎる被害想定を避ける。情報システムの運用を継続する最高責任者及び責任者が想定すべき例として、「大規模災害発生時の被害想定例」「 情報セキュリティインシデント発生時の被害想定例」「感染症の流行時の被害想定例」を取り上げ、それぞれ人的資源、建物・設備、情報システム、外部組織を被害想定対象として概要を紹介している。特に「感染症の流行時の被害想定例」では、情報システム運用業務に従事する要員が感染症へ罹患または濃厚接触者としての想定を具体的に挙げている。
