情報セキュリティ関連の法令・ガイドライン・規格を集めてみました【2025年版】

この記事では、情報セキュリティに関連する法令、ガイドライン、規格について、いろいろ集めてみました。
調べ物やお仕事のお役に立てば幸いです。

国内法令

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効果的に推進するための基本理念を定めた法律。国や地方公共団体、重要インフラ事業者等の責務を明確化し、サイバーセキュリティ戦略の策定や、サイバーセキュリティ戦略本部の設置等について規定している。

→ e-Gov 法令検索

個人情報保護法

個人情報の適切な取り扱いに関する基本理念を定めた法律。個人情報取扱事業者の義務、個人情報保護委員会の設置、個人情報の取り扱いについての苦情の処理等について規定している。2022年の改正では、デジタル社会の形成に対応した個人情報保護とデータ流通の両立を図るための規定が追加された。

→ e-Gov 法令検索

不正アクセス禁止法

コンピュータやネットワークへの不正アクセスを禁止し、処罰する法律。他人のIDやパスワードの不正使用、セキュリティホールを悪用した侵入、フィッシング行為等を禁止している。

→ e-Gov 法令検索

政府ガイドライン

サイバーセキュリティ経営ガイドライン（経済産業省・IPA）

企業経営者が認識すべきサイバーセキュリティ対策の基本的な考え方と、実施すべき重要事項をまとめたガイドライン。経営者の責任と役割、サイバーセキュリティ対策の枠組み、具体的な対策事項等を提示している。

→ https://www.meti.go.jp/policy/netsecurity/mng_guide.html

政府機関等のサイバーセキュリティ対策のための統一基準群

政府機関や独立行政法人等が従うべきサイバーセキュリティ対策の統一的な基準。組織体制、情報の取り扱い、情報セキュリティ対策、インシデント対応等について詳細な要件を規定している。

→ 政府機関総合対策グループ - NISC

クラウドサービス提供における情報セキュリティ対策ガイドライン（総務省）

クラウドサービス事業者が実施すべき情報セキュリティ対策をまとめたガイドライン。マルチテナント環境での情報管理、データの所在把握、インシデント対応等について具体的な対策を示している。

→ https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r04/html/nd245620.html

政府情報システムのためのセキュリティ評価制度（ISMAP）

政府機関が利用するクラウドサービスの安全性を評価・登録する制度。統一的なセキュリティ要求基準に基づき、クラウドサービスの監査を実施し、基準に適合したサービスをISMAPクラウドサービスリストに登録する。

→ ホーム - ISMAPポータル

→ 情報マネジメントシステム認定センター（ISMS-AC）

ISO/IEC 27002（情報セキュリティ管理策の実践のための規範）

ISO/IEC 27001を実践するための具体的な管理策と実施の手引きを提供する国際規格。情報セキュリティのベストプラクティスを集めた実用的なガイドラインとして広く活用されている。

→ 日本規格協会 JSA GROUP Webdesk

ISO/IEC 27017（クラウドサービスのための情報セキュリティ管理策）

クラウドサービスに特化した情報セキュリティ管理策の国際規格。ISO/IEC 27002を補完し、クラウドサービス特有のセキュリティリスクに対する追加の管理策を提供している。

→ 日本規格協会 JSA GROUP Webdesk

ISO/IEC 27018（クラウドサービスにおける個人情報保護）

パブリッククラウドにおける個人情報保護に関する国際規格。クラウド事業者が個人情報を適切に保護するための要求事項を規定している。

→ 日本規格協会 JSA GROUP Webdesk

NIST Cybersecurity Framework

米国国立標準技術研究所（NIST）が開発したサイバーセキュリティフレームワーク。特定、防御、検知、対応、復旧の5つの機能で構成され、組織のサイバーセキュリティリスク管理の基準として国際的に採用されている。

→ Cybersecurity Framework

CSA STAR（Security, Trust & Assurance Registry）

Cloud Security Alliance（CSA）が提供するクラウドサービスのセキュリティ保証プログラム。クラウドサービス事業者のセキュリティ管理策を評価・認証し、利用者が安全なクラウドサービスを選択できるようにする制度。

→ STAR Registry | CSA

金融分野の規格・ガイドライン

PCI DSS（Payment Card Industry Data Security Standard）

クレジットカード業界のセキュリティ基準。カード会員データを取り扱う全ての事業者に適用され、ネットワークの保護、カード会員データの保護、脆弱性管理プログラムの維持等、具体的な要件を規定している。

→ https://www.jcdsc.org

FISC安全対策基準

金融機関等コンピュータシステムの安全対策基準。金融情報システムの安全性・信頼性を確保するための基準を規定し、システムの企画から運用までの各段階で考慮すべき安全対策を示している。クラウドサービス利用に関する安全対策編も策定されている。

→ FISC 金融情報システムセンター

医療分野のガイドライン

医療情報システムの安全管理に関するガイドライン

→ 医療情報システムの安全管理に関するガイドライン　第6.0版（令和5年5月）

→ JAHIS「製造業者/サービス事業者による医療情報セキュリティ開示書」ガイドVer.5.0

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

総務省・経済産業省が策定した、医療情報を取り扱う情報システム・サービス事業者向けのガイドライン。特にクラウドサービス事業者が医療情報を取り扱う際の安全管理措置について詳細に規定している。

→ https://www.meti.go.jp/policy/mono_info_service/healthcare/teikyoujigyousyagl...

とりあえず以上のようなものを集めてみましたが、他にも気が付いたら随時追加していこうと思います。

これらの法令やガイドラインを実際の業務にどう活かすかについては、セキュリティ診断レポートの読み方で実践的なポイントを解説しています。また、まず身近な対策から始めたい方にはパスワード管理のおすすめの方法も参考になります。

セキュリティについてのコンサルティングを弊社インターステラ株式会社では行っております。一般的な企業インフラのセキュリティから、医療情報ガイドライン対応などさまざまな要望にお応えしています。