まちITは、スモールビジネスのIT活用・業務効率化を支援するメディアです。

まちIT

情報セキュリティ関連の法令・ガイドライン・規格を集めてみました【2025年版】

完全版を表示する

この記事では、情報セキュリティに関連する法令、ガイドライン、規格について、いろいろ集めてみました。
調べ物やお仕事のお役に立てば幸いです。

国内法令

サイバーセキュリティ基本法

サイバーセキュリティに関する施策を総合的かつ効果的に推進するための基本理念を定めた法律。国や地方公共団体、重要インフラ事業者等の責務を明確化し、サイバーセキュリティ戦略の策定や、サイバーセキュリティ戦略本部の設置等について規定している。

法令条文(e-Gov法令検索)

個人情報保護法

個人情報の適切な取り扱いに関する基本理念を定めた法律。個人情報取扱事業者の義務、個人情報保護委員会の設置、個人情報の取り扱いについての苦情の処理等について規定している。2022年の改正では、デジタル社会の形成に対応した個人情報保護とデータ流通の両立を図るための規定が追加された。

個人情報保護委員会 法令・ガイドライン等
法令条文(e-Gov法令検索)

不正アクセス禁止法

コンピュータやネットワークへの不正アクセスを禁止し、処罰する法律。他人のIDやパスワードの不正使用、セキュリティホールを悪用した侵入、フィッシング行為等を禁止している。

警察庁による法令解説
法令条文(e-Gov法令検索)

政府ガイドライン

サイバーセキュリティ経営ガイドライン(経済産業省・IPA)

企業経営者が認識すべきサイバーセキュリティ対策の基本的な考え方と、実施すべき重要事項をまとめたガイドライン。経営者の責任と役割、サイバーセキュリティ対策の枠組み、具体的な対策事項等を提示している。

サイバーセキュリティ経営ガイドライン(IPA)

政府機関等のサイバーセキュリティ対策のための統一基準群

政府機関や独立行政法人等が従うべきサイバーセキュリティ対策の統一的な基準。組織体制、情報の取り扱い、情報セキュリティ対策、インシデント対応等について詳細な要件を規定している。

統一基準群(NISC)

クラウドサービス提供における情報セキュリティ対策ガイドライン(総務省)

クラウドサービス事業者が実施すべき情報セキュリティ対策をまとめたガイドライン。マルチテナント環境での情報管理、データの所在把握、インシデント対応等について具体的な対策を示している。

総務省ガイドライン

政府情報システムのためのセキュリティ評価制度(ISMAP)

政府機関が利用するクラウドサービスの安全性を評価・登録する制度。統一的なセキュリティ要求基準に基づき、クラウドサービスの監査を実施し、基準に適合したサービスをISMAPクラウドサービスリストに登録する。

ISMAP ポータル

国際規格

ISO/IEC 27001(情報セキュリティマネジメントシステム)

組織の情報セキュリティマネジメントシステム(ISMS)に関する国際規格。組織が自身の情報資産を適切に管理し、機密性、完全性、可用性を確保するための要求事項を規定している。

JISC規格票概要
ISMS適合性評価制度(ISMS-AC)

ISO/IEC 27002(情報セキュリティ管理策の実践のための規範)

ISO/IEC 27001を実践するための具体的な管理策と実施の手引きを提供する国際規格。情報セキュリティのベストプラクティスを集めた実用的なガイドラインとして広く活用されている。

JISC規格票概要

ISO/IEC 27017(クラウドサービスのための情報セキュリティ管理策)

クラウドサービスに特化した情報セキュリティ管理策の国際規格。ISO/IEC 27002を補完し、クラウドサービス特有のセキュリティリスクに対する追加の管理策を提供している。

JISC規格票概要

ISO/IEC 27018(クラウドサービスにおける個人情報保護)

パブリッククラウドにおける個人情報保護に関する国際規格。クラウド事業者が個人情報を適切に保護するための要求事項を規定している。

JISC規格票概要

NIST Cybersecurity Framework

米国国立標準技術研究所(NIST)が開発したサイバーセキュリティフレームワーク。特定、防御、検知、対応、復旧の5つの機能で構成され、組織のサイバーセキュリティリスク管理の基準として国際的に採用されている。

NIST Cybersecurity Framework

CSA STAR(Security, Trust & Assurance Registry)

Cloud Security Alliance(CSA)が提供するクラウドサービスのセキュリティ保証プログラム。クラウドサービス事業者のセキュリティ管理策を評価・認証し、利用者が安全なクラウドサービスを選択できるようにする制度。

CSA STAR 公式サイト
CSA STAR レジストリ

金融分野の規格・ガイドライン

PCI DSS(Payment Card Industry Data Security Standard)

クレジットカード業界のセキュリティ基準。カード会員データを取り扱う全ての事業者に適用され、ネットワークの保護、カード会員データの保護、脆弱性管理プログラムの維持等、具体的な要件を規定している。

PCI Security Standards Council
日本カード情報セキュリティ協議会(JCDSC)

FISC安全対策基準

金融機関等コンピュータシステムの安全対策基準。金融情報システムの安全性・信頼性を確保するための基準を規定し、システムの企画から運用までの各段階で考慮すべき安全対策を示している。クラウドサービス利用に関する安全対策編も策定されている。

公益財団法人 金融情報システムセンター(FISC)

医療分野のガイドライン

医療情報システムの安全管理に関するガイドライン

厚生労働省が定める医療情報システムの安全管理のためのガイドライン。医療機関等における個人情報を含む医療情報の取り扱い、医療情報システムの安全管理、外部保存の基準等について規定している。電子カルテシステムやオンライン診療システムの運用にも適用される。
医療情報システムの安全管理に関するガイドライン(第6.0版)

製造販売業者による医療情報セキュリティ開示書ガイドライン

一般社団法人保健医療福祉情報システム工業会(JAHIS)が策定した、医療機器製造販売業者がセキュリティ対策を開示するためのガイドライン。医療機器のセキュリティ機能や要件を標準化された書式で提供することを目的としている。

JAHISによるガイドライン公開ページ

医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン

総務省・経済産業省が策定した、医療情報を取り扱う情報システム・サービス事業者向けのガイドライン。特にクラウドサービス事業者が医療情報を取り扱う際の安全管理措置について詳細に規定している。

ガイドライン(経済産業省)

とりあえず以上のようなものを集めてみましたが、他にも気が付いたら随時追加していこうと思います。

セキュリティについてのコンサルティングを弊社インターステラ株式会社では行っております。一般的な企業インフラのセキュリティから、医療情報ガイドライン対応などさまざまな要望にお応えしています。