国家戦略特別区域法第二十八条の二第一項に規定する内閣府令・総務省令・経済産業省令で定めるデータの安全管理に係る基準は、認定区域計画に定められている国家戦略特別区域データ連携基盤整備事業の実施主体が、次の各号のいずれにも該当することとする。
一 サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。以下同じ。)に関するリスクを経営リスクの一つとして位置付けており、その実施する国家戦略特別区域データ連携基盤整備事業(以下「対象事業」という。)に関わる、平時及び非常時の責任体制及び関係者の役割分担を明確にしていること。
二 対象事業を円滑かつ確実に実施するために必要な事項を定めた運用規程等において、サイバーセキュリティに関する事項を定めていること。
三 サイバーセキュリティの確保に関する運用を的確に行うに足りる知識及び技能を有する者として、情報処理安全確保支援士(情報処理の促進に関する法律(昭和四十五年法律第九十号)第十五条の登録を受けた情報処理安全確保支援士をいう。)又はこれと同等以上の知識及び技能を有すると認められる者を配置していること。
四 サイバーセキュリティに関する計画の策定、実施、評価及びその改善を継続して行うことにより、継続的なサイバーセキュリティの水準の向上につながる仕組みを構築し、その有効化を図るため、次のいずれかを実施していること。 イ サイバーセキュリティの確保のための管理体制について、合理的かつ客観的な基準による公正な第三者認証を取得し、維持していること。
ロ 定期的に、サイバーセキュリティに関する外部監査等(当該監査を受けられないやむを得ない事情がある場合であって、独立性及び公平性を担保し、外部監査に準じた措置として組織内において講じているものを含む。)を実施するとともに、当該外部監査等の結果に基づき、サイバーセキュリティ対策の改善を行っていること。
五 サイバーセキュリティに関するインシデント(対象事業において収集及び整理をしている区域データの漏えい、滅失又は毀損の発生をいう。)に対し、サイバーセキュリティを維持するための責任、権限及び能力を備えた当該インシデントに対応する要員を配置し、対応方針を含む運用規程等を定めていること。
六 不正アクセス等のサイバー攻撃による障害等から迅速に復旧するための方法を含む適切な事業継続計画を策定していること。
七 サイバー攻撃に対するリスク分析を実施し、対象事業におけるリスクを認識した上で、対象事業の実施主体に加え、運営業務の外部委託先も含め、当該リスクに応じた技術的及び組織的なサイバーセキュリティ対策を実施すること。
八 対象事業に用いるソフトウェア及びハードウェアの脆弱性が顕在化しないよう、当該脆弱性に関する情報収集、当該脆弱性を克服するためのプログラム(いわゆるセキュリティパッチ)の適用等の必要な対策を継続的に講ずること。
九 日々進化するサイバー攻撃等の脅威に対して、これらの検知及び監視を行うサイバーセキュリティ対策を講ずること。