OECD Guidelines for the Security of Information Systems and Networks
TOWARDS A CULTURE OF SECURITY

OECD情報システム及びネットワークのセキュリティのためのガイドライン
セキュリティ文化の普及に向けて
(仮訳)

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT

Pursuant to Article 1 of the Convention signed in Paris on 14th December 1960, and which came into force on 30th September 1961, the Organisation for Economic Co-operation and Development (OECD) shall promote policies designed:

  • To achieve the highest sustainable economic growth and employment and a rising standard of living in Member countries, while maintaining financial stability, and thus to contribute to the development of the world economy.
  • To contribute to sound economic expansion in Member as well as non-member countries in the process of economic development; and
  • To contribute to the expansion of world trade on a multilateral, non-discriminatory basis in accordance with international obligations.

The original Member countries of the OECD are Austria, Belgium, Canada, Denmark, France, Germany, Greece, Iceland, Ireland, Italy, Luxembourg, the Netherlands, Norway, Portugal, Spain, Sweden, Switzerland, Turkey, the United Kingdom and the United States. The following countries became Members subsequently through accession at the dates indicated hereafter: Japan (28th April 1964), Finland (28th January 1969), Australia (7th June 1971), New Zealand (29th May 1973), Mexico (18th May 1994), the Czech Republic (21st December 1995), Hungary (7th May 1996), Poland (22nd November 1996), Korea (12th December 1996) and the Slovak Republic (14th December 2000). The Commission of the European Communities takes part in the work of the OECD (Article 13 of the OECD Convention).

経済協力開発機構

1960年12月14日パリで署名され、1961年9月30日に発行した条約の条項1に従って、経済協力開発機構(OECD)は次に掲げることのために立案された方針を促進する。

  • 継続可能な最も高度な経済成長を達成し、加盟国における生活水準を向上させるとともに、金融の安定とそれによる世界経済の発展に貢献すること。
  • 経済発展のプロセスにおいて、非加盟国のみならず加盟国の健全な経済の拡大に貢献すること。
  • 国際的な責務に合致した、多国的主義、非差別主義に基づき、世界貿易の拡大に貢献すること。

OECDの設立当初の原加盟国は、オーストリア、ベルギー、カナダ、デンマーク、フランス、ドイツ、ギリシャ、アイスランド、アイルランド、イタリア、ルクセンブルグ、オランダ、ノルウェイ、ポルトガル、スペイン、スウェーデン、スイス、トルコ、英国、米国である。その後、次に掲げるの国が、後に示す日付による承認を経て、加盟国になった。日本(1964年4月28日)、フィンランド(1969年1月28日)、オーストラリア(1971年6月7日)、ニュージーランド(1973年5月29日)、メキシコ(1994年5月18日)、チェコ(1995年12月21日)、ハンガリー(1996年5月7日)、ポーランド(1996年11月22日)、韓国(1996年12月12日)、スロバキア(2000年12月14日)。欧州共同体の委員会は、OECDの活動に参加する(OECD条約 条項13)。

FOREWORD

The present OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security were adopted as a Recommendation of the OECD Council at its 1037th Session on 25 July 2002.

はしがき

現在の情報システム及びネットワークのセキュリティのためのガイドライン −セキュリティ文化の普及に向けて− は、2002年7月25日の第1037回会合でOECD理事会の勧告として採択された。

PREFACE

The use of information systems and networks and the entire information technology environment have changed dramatically since 1992 when the OECD first put forward the Guidelines for the Security of Information Systems. These continuing changes offer significant advantages but also require a much greater emphasis on security by governments, businesses, other organisations and individual users who develop, own, provide, manage, service, and use information systems and networks ("participants").

はじめに

OECDが初めて「情報システムのセキュリティのためのガイドライン」を発表した1992年以来、情報システム及びネットワークの利用と情報技術をとりまく全体的な環境は、劇的に変化してきた。これらの継続的な変化は、大きな利益をもたらす一方、情報システム及びネットワークを開発、所有、提供、管理、サービス提供及び使用する政府、企業、その他の組織及び個人利用者(「参加者」)がセキュリティを一層重視することを要求している。

Ever more powerful personal computers, converging technologies and the widespread use of the Internet have replaced what were modest, stand-alone systems in predominantly closed networks. Today, participants are increasingly interconnected and the connections cross national borders. In addition, the Internet supports critical infrastructures such as energy, transportation and finance and plays a major part in how companies do business, how governments provide services to citizens and enterprises and how individual citizens communicate and exchange information. The nature and type of technologies that constitute the communications and information infrastructure also have changed significantly. The number and nature of infrastructure access devices have multiplied to include fixed, wireless and mobile devices and a growing percentage of access is through "always on" connections. Consequently, the nature, volume and sensitivity of information that is exchanged has expanded substantially.

一層強力になるパーソナルコンピュータ、技術の収れん、及びインターネットの広範な利用が、主として閉鎖的だったネットワークにおける地味で外部との接続のないシステムに取って代わった。今日、参加者の相互接続は増加し、その接続は国境を越えている。加えて、インターネットは、エネルギー、交通及び金融のような重要インフラを支え、企業がビジネスを行い、政府が市民及び企業にサービスを提供し、また、個々の市民が通信し情報交換する方法において主要な役割を果たしている。通信及び情報インフラを構成する技術の性質及び方式も著しく変化してきた。通信及び情報インフラに対するアクセス機器の数が増加するとともに、その性質も多様化し、固定型、ワイヤレス型及びモバイル型の機器が含まれるようになり、また、「常時」接続によるアクセスの割合が増大している。その結果、交換される情報の性質、量及び取扱いの注意度が大きく拡大してきた。

As a result of increasing interconnectivity, information systems and networks are now exposed to a growing number and a wider variety of threats and vulnerabilities. This raises new issues for security. For these reasons, these Guidelines apply to all participants in the new information society and suggest the need for a greater awareness and understanding of security issues and the need to develop a "culture of security".

相互接続の増加の結果として、情報システム及びネットワークは、今や一層増加し、かつ多様化している脅威及び脆弱性にさらされている。これは、セキュリティに関する新しい課題を提起している。
これらの理由により、このガイドラインは、新しい情報社会のすべての参加者に適用され、セキュリティの課題に対する一層の認識及び理解の必要性、並びに「セキュリティ文化」を発展させることの必要性を提唱する。

I. TOWARDS A CULTURE OF SECURITY

These Guidelines respond to an ever changing security environment by promoting the development of a culture of security - that is, a focus on security in the development of information systems and networks and the adoption of new ways of thinking and behaving when using and interacting within information systems and networks. The Guidelines signal a clear break with a time when secure design and use of networks and systems were too often afterthoughts. Participants are becoming more dependent on information systems, networks and related services, all of which need to be reliable and secure. Only an approach that takes due account of the interests of all participants, and the nature of the systems, networks and related services, can provide effective security.

I. セキュリティ文化の普及に向けて

このガイドラインは、セキュリティ文化(すなわち、情報システム及びネットワークを開発する際にセキュリティに注目し、また、情報システム及びネットワークを利用し、情報をやりとりするに当たり、新しい思考及び行動の様式を取り入れること)の発展を促進することによって、絶えず変化を続けるセキュリティの環境に対応するものである。このガイドラインは、ネットワーク及びシステムの安全な設計及び利用が後知恵の結果であったことが余りにも多かった時代との明確な決別の合図である。参加者は情報システム、ネットワーク及び関連するサービスに一層依存するようになっており、これらすべてが信頼でき、かつ安全なものであることが必要となっている。すべての参加者の利益、並びにシステム、ネットワーク及び関連するサービスの性質を適切に考慮したアプローチのみが、効果的なセキュリティを提供し得る。

Each participant is an important actor for ensuring security. Participants, as appropriate to their roles, should be aware of the relevant security risks and preventive measures, assume responsibility and take steps to enhance the security of information systems and networks.

各参加者は、セキュリティを確実にするための重要な担い手である。参加者は、自らの役割に応じて、関連するセキュリティリスクと予防の手段を認識し、責任を持って、情報システム及びネットワークのセキュリティを強化するための措置をとるべきである。

Promotion of a culture of security will require both leadership and extensive participation and should result in a heightened priority for security planning and management, as well as an understanding of the need for security among all participants. Security issues should be topics of concern and responsibility at all levels of government and business and for all participants. These Guidelines constitute a foundation for work towards a culture of security throughout society. This will enable participants to factor security into the design and use of all information systems and networks. They propose that all participants adopt and promote a culture of security as a way of thinking about, assessing, and acting on, the operations of information systems and networks.

セキュリティ文化を普及させるためには、リーダーシップと広範な参画の双方が必要となる。また、セキュリティ文化の普及により、すべての参加者の間でセキュリティの必要性が理解されるとともに、セキュリティの計画及びマネジメントに高い優先順位が与えられるべきである。セキュリティの課題は、政府及び企業のすべてのレベルにとって、またすべての参加者にとって関心を持ち、責任を持つべき事項である。このガイドラインは、社会全体でセキュリティ文化の普及に向けた取り組みが行われるための基礎をなすものである。これにより、参加者がすべての情報システム及びネットワークの設計及び利用にセキュリティを組み込むことが可能になる。このガイドラインは、すべての参加者が、情報システム及びネットワークの運用について考え、評価し、影響を与える方法として、セキュリティ文化を取り入れ、普及することを提案する。

II. AIMS

These Guidelines aim to:

  • Promote a culture of security among all participants as a means of protecting information systems and networks.

II. 目的

このガイドラインは次に掲げることを目的とする。

  • 情報システム及びネットワークを保護する手段として、すべての参加者の間にセキュリティ文化を普及させること。
  • Raise awareness about the risk to information systems and networks; the policies, practices, measures and procedures available to address those risks; and the need for their adoption and implementation.
  • 情報システム及びネットワークに対するリスク、それらのリスクに対処するために有効な方針、実践、手段及び手続並びにそれらの導入及び実施の必要性について、認識を高めること。
  • Foster greater confidence among all participants in information systems and networks and the way in which they are provided and used.
  • すべての参加者の間に、情報システム及びネットワーク並びにそれらの提供及び利用の形態における一層大きな信頼を醸成すること。
  • Create a general frame of reference that will help participants understand security issues and respect ethical values in the development and implementation of coherent policies, practices, measures and procedures for the security of information systems and networks.
  • 情報システム及びネットワークのセキュリティのための首尾一貫した方針、実践、手段及び手続の開発並びに実施において、参加者のセキュリティの課題に関する理解及び倫理的価値の尊重を助ける全般的な考え方の枠組みを創造すること。
  • Promote co-operation and information sharing, as appropriate, among all participants in the development and implementation of security policies, practices, measures and procedures.
  • セキュリティの方針、実践、手段及び手続の開発並びに実施においてすべての参加者の間の協力及び情報共有を適切に促進すること。
  • Promote the consideration of security as an important objective among all participants involved in the development or implementation of standards.
  • 標準類の策定及び施行に関与するすべての参加者の間で重要な目的としてセキュリティが考慮されることを促進すること。

III. PRINCIPLES

The following nine principles are complementary and should be read as a whole. They concern participants at all levels, including policy and operational levels. Under these Guidelines, the responsibilities of participants vary according to their roles. All participants will be aided by awareness, education, information sharing and training that can lead to adoption of better security understanding and practices. Efforts to enhance the security of information systems and networks should be consistent with the values of a democratic society, particularly the need for an open and free flow of information and basic concerns for personal privacy1.

1 In addition to these Security Guidelines, the OECD has developed complementary recommendations concerning guidelines on other issues important to the world's information society. They relate to privacy (the 1980 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) and cryptography (the 1997 OECD Guidelines for Cryptography Policy). These Security Guidelines should be read in conjunction with them.

III. 原則

次の9つの原則は互いに補い合うものであり、一体のものとして読まれるべきである。それらは、方針及び運用のレベルを含む、すべてのレベルで参加者に関係する。このガイドラインの下で、参加者の責任は、彼らの役割に応じて変化する。すべての参加者は、セキュリティのより良い理解及び実践の採用を導き得る認識、教育、情報共有及び訓練によって助けられる。情報システム及びネットワークのセキュリティを強化させる努力は、民主主義社会の価値、特に公開された自由な情報の流通の必要性及び個人のプライバシーに対する基本的な関心と合致すべきである1

1 このセキュリティガイドラインに加えて、OECDは、世界の情報社会にとって重要な他の課題についてのガイドラインに関する互いに補い合う勧告を策定してきた。それらはプライバシーに関するもの(1980年OECDプライバシー保護と個人データの国際流通についてのガイドライン)及び暗号に関するもの(1997年OECD暗号政策ガイドライン)である。このセキュリティガイドラインは、これらと併せて読まれるべきである。

1) Awareness

Participants should be aware of the need for security of information systems and networks and what they can do to enhance security.

Awareness of the risks and available safeguards is the first line of defence for the security of information systems and networks. Information systems and networks can be affected by both internal and external risks. Participants should understand that security failures may significantly harm systems and networks under their control. They should also be aware of the potential harm to others arising from interconnectivity and interdependency. Participants should be aware of the configuration of, and available updates for, their system, its place within networks, good practices that they can implement to enhance security, and the needs of other participants.

1) 認識(Awareness)

参加者は、情報システム及びネットワークのセキュリティの必要性並びにセキュリティを強化するために自分達にできることについて認識すべきである。

リスクと利用可能な安全防護措置に関する認識が、情報システム及びネットワークのセキュリティにとっての最初の防衛線である。情報システム及びネットワークは、内部及び外部双方のリスクによって影響を受けるおそれがある。参加者は、セキュリティ面での障害が自らの管理下にあるシステム及びネットワークに著しい損害を与えるおそれがあることを理解すべきである。参加者は、また、相互接続及び相互依存の結果として他者に損害を与えるおそれがあることを認識すべきである。参加者は、自らのシステムの構成及びそのシステムのために利用可能な更新情報、ネットワークの中での位置付け、セキュリティを強化するために自らが実施し得る良い慣行、並びに他の参加者のニーズを認識すべきである。

2) Responsibility

All participants are responsible for the security of information systems and networks.

Participants depend upon interconnected local and global information systems and networks and should understand their responsibility for the security of those information systems and networks. They should be accountable in a manner appropriate to their individual roles. Participants should review their own policies, practices, measures, and procedures regularly and assess whether these are appropriate to their environment. Those who develop, design and supply products and services should address system and network security and distribute appropriate information including updates in a timely manner so that users are better able to understand the security functionality of products and services and their responsibilities related to security.

2) 責任(Responsibility)

すべての参加者は、情報システム及びネットワークのセキュリティに責任を負う。

参加者は、相互接続されたローカルな、及びグローバルな情報システム及びネットワークに依存しており、情報システム及びネットワークのセキュリティに対する自らの責任を理解すべきである。参加者は、個々の役割にふさわしい方法で、責任を負うべきである。参加者は、自らの方針、実践、手段及び手続を定期的に見直し、それらが自らの環境に適したものであるか否かを評価すべきである。製品若しくはサービスを開発、設計又は供給する者は、システム及びネットワークのセキュリティに取り組み、利用者が製品又はサービスのセキュリティ機能及びセキュリティに関する自らの責任をよりよく理解できるように、適切な時期に、更新情報を含む適切な情報を頒布すべきである。

3) Response

Participants should act in a timely and co-operative manner to prevent, detect and respond to security incidents.

Recognising the interconnectivity of information systems and networks and the potential for rapid and widespread damage, participants should act in a timely and co-operative manner to address security incidents. They should share information about threats and vulnerabilities, as appropriate, and implement procedures for rapid and effective co-operation to prevent, detect and respond to security incidents. Where permissible, this may involve cross-border information sharing and co-operation.

3) 対応(Response)

参加者は、セキュリティの事件に対する予防、検出及び対応のために、時宜を得たかつ協力的な方法で行動すべきである。

情報システム及びネットワークが相互接続されていること並びに急速でかつ広範な被害の可能性があることを認識し、参加者はセキュリティの事件に対処するために、適切な時期に協力的な方法で行動すべきである。参加者は脅威及び脆弱性についての情報を適切に共有するとともに、セキュリティの事件に対する予防、検出及び対応を目的とした迅速で効果的な協力を行う手続を整備すべきである。なお、許容される場合には、これらの行動に国境を越えた情報の共有と協力を含めることができる。

4) Ethics

Participants should respect the legitimate interests of others.

Given the pervasiveness of information systems and networks in our societies, participants need to recognise that their action or inaction may harm others. Ethical conduct is therefore crucial and participants should strive to develop and adopt best practices and to promote conduct that recognises security needs and respects the legitimate interests of others.

4) 倫理(Ethics)

参加者は、他者の正当な利益を尊重するべきである。

情報システム及びネットワークが我々の社会に普及していることから、参加者は自らの作為又は不作為が、他者に損害を与えるおそれがあることを認識する必要がある。それゆえ、倫理的な行動が極めて重要であり、参加者は、ベストプラクティスの形成及び採用に努め、かつセキュリティの必要性を認識し他者の正当な利益を尊重する行動を促進することに努めるべきである。

5) Democracy

The security of information systems and networks should be compatible with essential values of a democratic society.

Security should be implemented in a manner consistent with the values recognised by democratic societies including the freedom to exchange thoughts and ideas, the free flow of information, the confidentiality of information and communication, the appropriate protection of personal information, openness and transparency.

5) 民主主義(Democracy)

情報システム及びネットワークのセキュリティは、民主主義社会の本質的な価値に適合すべきである。

セキュリティは、思想及び理念を交換する自由、情報の自由な流通、情報及び通信の秘密、個人情報の適切な保護、公開性並びに透明性を含む、民主主義社会によって認識される価値と合致する方法で実施されるべきである。

6) Risk assessment

Participants should conduct risk assessments.

Risk assessment identifies threats and vulnerabilities and should be sufficiently broad-based to encompass key internal and external factors, such as technology, physical and human factors, policies and third-party services with security implications. Risk assessment will allow determination of the acceptable level of risk and assist the selection of appropriate controls to manage the risk of potential harm to information systems and networks in light of the nature and importance of the information to be protected. Because of the growing interconnectivity of information systems, risk assessment should include consideration of the potential harm that may originate from others or be caused to others.

6) リスクアセスメント(Risk assessment)

参加者は、リスクアセスメントを行うべきである。

リスクアセスメントは、脅威と脆弱性を識別するものであり、技術、物理的及び人的要因、方針並びにセキュリティと関わりを持つ第三者のサービスのような、重要な内的及び外的要因を包含できるよう十分に広範であるべきである。リスクアセスメントは、保護すべき情報の性質と重要性に照らして、リスクの許容できるレベルの決定を可能にし、情報システム及びネットワークに対する潜在的な損害のリスクを管理するために、適切な制御を選択することを支援する。情報システムの相互接続が増加しているため、リスクアセスメントは、他者に起因する、また、他者に対してもたらされる潜在的な損害についての考慮を含むべきである。

7) Security design and implementation

Participants should incorporate security as an essential element of information systems and networks.

Systems, networks and policies need to be properly designed, implemented and co-ordinated to optimise security. A major, but not exclusive, focus of this effort is the design and adoption of appropriate safeguards and solutions to avoid or limit potential harm from identified threats and vulnerabilities. Both technical and non-technical safeguards and solutions are required and should be proportionate to the value of the information on the organisation's systems and networks. Security should be a fundamental element of all products, services, systems and networks, and an integral part of system design and architecture. For end users, security design and implementation consists largely of selecting and configuring products and services for their system.

7) セキュリティの設計及び実装(Security design and implementation)

参加者は、情報システム及びネットワークの本質的な要素としてセキュリティを組み込むべきである。

システム、ネットワーク及び方針は、セキュリティを最適なものとするために、適切に設計され、実装され、かつ調和が図られる必要がある。この努力の主要な、しかし唯一ではない焦点は、識別された脅威及び脆弱性から生じる潜在的な損害を、回避又は限定するための、適切な安全防護措置及び解決策を設計し、採用することにある。技術的及び非技術的安全防護措置及び解決策が必要であり、かつ、これらは組織のシステム及びネットワーク上の情報の価値と比例するべきである。セキュリティは、すべての製品、サービス、システム及びネットワークの基本的要素であるべきであり、システムの設計及び構造に不可欠な部分であるべきである。エンドユーザにとって、セキュリティの設計及び実装とは、主として自らのシステムのために製品及びサービスを選択し、構成することである。

8) Security management

Participants should adopt a comprehensive approach to security management.

Security management should be based on risk assessment and should be dynamic, encompassing all levels of participants' activities and all aspects of their operations. It should include forward-looking responses to emerging threats and address prevention, detection and response to incidents, systems recovery, ongoing maintenance, review and audit. Information system and network security policies, practices, measures and procedures should be co-ordinated and integrated to create a coherent system of security. The requirements of security management depend upon the level of involvement, the role of the participant, the risk involved and system requirements.

8) セキュリティマネジメント(Security management)

参加者は、セキュリティマネジメントへの包括的アプローチを採用するべきである。

セキュリティマネジメントは、参加者の活動のすべてのレベル及び運用のすべての局面を包含しつつ、リスクアセスメントに基づき、かつ、動的であるべきである。セキュリティマネジメントは、出現する脅威に対する将来を見越した対応を含み、事件・事故の予防、検出、対応、システムの復旧、継続的な保守、レビュー及び監査を扱うべきである。情報システム及びネットワークのセキュリティの方針、実践、手段及び手続は、首尾一貫したセキュリティシステムの創造のために調和が図られ、統合されるべきである。セキュリティマネジメントの要件は、関与のレベル、参加者の役割、含まれるリスク及びシステムの要件に依存する。

9) Reassessment

Participants should review and reassess the security of information systems and networks, and make appropriate modifications to security policies, practices, measures and procedures.

New and changing threats and vulnerabilities are continuously discovered. Participants should continually review, reassess and modify all aspects of security to deal with these evolving risks.

9) 再評価(Reassessment)

参加者は、情報システム及びネットワークのセキュリティのレビュー及び再評価を行い、セキュリティの方針、実践、手段及び手続に適切な修正をすべきである。

新しく、かつ変化する脅威及び脆弱性が絶えず発見されている。参加者は、これらの展開するリスクに対処するために、セキュリティのすべての局面のレビュー、再評価及び修正を継続的に行うべきである。

RECOMMENDATION OF COUNCIL OF THE OECD

THE COUNCIL,

OECD理事会の勧告

理事会は、

Having regard to the Convention on the Organisation for Economic Co-operation and Development of 14 December 1960, in particular, Articles 1 b), 1 c), 3 a) and 5 b) thereof;

1960年12月14日のOECD条約、特に、条項1 b)、1 c)、3 a)、及び5 b)を考慮し、

Having regard to the Recommendation of the Council concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data of 23 September 1980 [C(80)58(FINAL)];

1980年9月23日のプライバシー保護と個人データの国際流通に関するガイドラインに関する理事会勧告[C(80)58/FINAL] を考慮し、

Having regard to the Declaration on Transborder Data Flows adopted by the Governments of OECD Member countries on 11 April 1985 [Annex to C(85)139];

1985年4月11日のOECD加盟国政府によって採択されたデータの国際流通に関する宣言[Annex to C(85)139] を考慮し、

Having regard to the Recommendation of the Council concerning Guidelines for Cryptography Policy of 27 March 1997 [C(97)62/FINAL];

1997年3月27日の暗号政策ガイドラインに関する理事会勧告[C(97)62/FINAL] を考慮し、

Having regard to the Ministerial Declaration on the Protection of Privacy on Global Networks of 7-9 December 1998 [Annex to C(98)177/FINAL];

1998年12月7-9日のグローバルなネットワークにおけるプライバシーの保護に関する閣僚宣言[Annex to C(98)177/FINAL] を考慮し、

Having regard to the Ministerial Declaration on Authentication for Electronic Commerce of 7-9 December 1998 [Annex to C(98)177/FINAL];

1998年12月7-9日の電子商取引のための認証に関する閣僚宣言 [Annex to C(98)177/FINAL] を考慮し、

Recognising that information systems and networks are of increasing use and value to governments, businesses, other organisations and individual users;

情報システム及びネットワークは、政府、企業、その他の組織及び個人利用者にとってその利用と価値がますます増大していることを認識し、

Recognising that the increasingly significant role of information systems and networks, and the growing dependence on them for stable and efficient national economies and international trade and in social, cultural and political life call for special efforts to protect and foster confidence in them;

情報システム及びネットワークの役割が重要性を増し、また、安定的で効率的な国内経済及び国際貿易のために情報システム及びネットワークへ依存すること、また社会的、文化的及び政治的生活において情報システム及びネットワークへ依存することが一層増大していることが、情報システム及びネットワークにおける信頼を保護し促進する特別な努力を要求していることを認識し、

Recognising that information systems and networks and their worldwide proliferation have been accompanied by new and increasing risks;

情報システム及びネットワーク、並びにそれらの世界的な急増が、新しく、かつ増加し続けるリスクを伴ってきていることを認識し、

Recognising that data and information stored on and transmitted over information systems and networks are subject to threats from various means of unauthorised access, use, misappropriation, alteration, malicious code transmissions, denial of service or destruction and require appropriate safeguards;

情報システム及びネットワークを経由して保存され、伝送されるデータや情報は、様々な手段による権限のないアクセス、利用、横領、変更、悪意のあるコード伝送、サービスの妨害、又は破壊の脅威にさらされており、適切な安全防護措置が求められていることを認識し、

Recognising that there is a need to raise awareness of risks to information systems and networks and of the policies, practices, measures and procedures available to respond to those risks, and to encourage appropriate behaviour as a crucial step towards the development of a culture of security;

情報システム及びネットワークのリスク並びにそのリスクに対応するために利用可能な方針、実践、手段及び手続についての認識を高める必要があること、並びにセキュリティ文化の発展に向けた決定的な措置としての適切な行動を奨励する必要があることを認識し、

Recognising that there is a need to review current policies, practices, measures, and procedures to help assure that they meet the evolving challenges posed by threats to information systems and networks;

現在の方針、実践、手段及び手続を、それらが情報システム及びネットワークに対する脅威によってもたらされる難題の展開に確実に対応するように、見直す必要があることを認識し、

Recognising that there is a common interest in promoting the security of information systems and networks by means of a culture of security that fosters international co-ordination and co-operation to meet the challenges posed by the potential harm from security failures to national economies, international trade and participation in social, cultural and political life;

セキュリティ文化は、セキュリティ面での障害から生じる潜在的な損害によってもたらされる、国内経済及び国際貿易、並びに社会的、文化的及び政治的な生活への参画に対する難題に対応するための国際的な調整及び協力を促進するものであり、このセキュリティ文化によって情報システム及びネットワークのセキュリティを促進することに共通の利益が存在することを認識し、

And further recognising that the Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security set out in the Annex to this Recommendation are voluntary and do not affect the sovereign rights of nations;

また、更に、この勧告の付属文書に規定される「情報システム及びネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて」は強制的なものではなく、国家の主権に影響を及ぼさないことを認識し、

And recognising that these Guidelines are not meant to suggest that any one solution exists for security or what policies, practices, measures and procedures are appropriate to any particular situation, but rather to provide a framework of principles to promote better understanding of how participants may both benefit from, and contribute to, the development of a culture of security;

このガイドラインは、セキュリティのためにある一つの解決策が存在すること、又はある特別な状況に適した方針、実践、手段及び手続が何であるかを提案することを意図するものではなく、参加者が、どのようしてセキュリティ文化の発展から利益を得、また、その発展にどのように貢献するかについてより良い理解を促すために、原則の枠組みを提供するものであることを認識し、

COMMENDS these Guidelines for the Security of the Information Systems and Networks: Towards a Culture of Security to governments, businesses, other organisations and individual users who develop, own, provide, manage, service, and use information systems and networks;

情報システム及びネットワークを開発、所有、提供、管理、サービス提供及び使用する政府、企業、その他の組織及び個人利用者に、この「情報システム及びネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて」を推奨する。

RECOMMENDS that Member countries:

Establish new, or amend existing, policies, practices, measures and procedures to reflect and take into account the Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security by adopting and promoting a culture of security as set out in the Guidelines;

OECD加盟国に次に掲げることを勧告する。

「情報システム及びネットワークのセキュリティのためのガイドライン:セキュリティ文化の普及に向けて」に規定されたセキュリティ文化を取り入れ、普及させることによって、このガイドラインを反映し、かつ考慮した政策、実践、手段及び手続を新たに確立し、又は、既存のものを改正すること。

Consult, co-ordinate and co-operate at national and international levels to implement the Guidelines;

このガイドラインを実施するために国内及び国際レベルで協議し、調整し、かつ協力すること。

Disseminate the Guidelines throughout the public and private sectors, including to governments, business, other organisations, and individual users to promote a culture of security, and to encourage all concerned parties to be responsible and to take necessary steps to implement the Guidelines in a manner appropriate to their individual roles;

セキュリティ文化を普及させ、またすべての関係者が責任を負い、個々の役割に応じた適切な方法で、このガイドラインを実施するための必要な措置を講じることを奨励するために、政府、企業、その他の組織及び個人利用者を含む公共及び民間セクターを通じて、このガイドラインを普及させること。

Make the Guidelines available to non-member countries in a timely and appropriate manner;

時宜を得た、適切な方法でこのガイドラインを非加盟国において利用可能にすること。

Review the Guidelines every five years so as to foster international co-operation on issues relating to the security of information systems and networks;

情報システム及びネットワークのセキュリティに関する課題についての国際的な協力を促進するため、5年毎にこのガイドラインを見直すこと。

INSTRUCTS the OECD Committee for Information, Computer and Communication Policy to promote the implementation of the Guidelines.

OECD情報・コンピュータ・通信政策委員会にこのガイドラインの実施を促進するよう指示する。

This Recommendation replaces the Recommendation of the Council concerning Guidelines for the Security of Information Systems of 26 November 1992 [C(92)188/FINAL].

この勧告は、1992年11月26日の情報システムのセキュリティのためのガイドラインに関する理事会勧告(C(92)188/FINAL)に代替する。

PROCEDURAL HISTORY

The Security Guidelines were first completed in 1992 and were reviewed in 1997. This current review was undertaken in 2001, by the Working Party on Information Security and Privacy (WPISP) pursuant to a mandate from the Committee for Information, Computer and Communication Policy (ICCP) and accelerated in the aftermath of the September 11 tragedies.

手続の歴史

セキュリティガイドラインは、1992年に初めて策定され、1997年に見直された。今回の見直しは、情報・コンピュータ・通信政策委員会(ICCP)から与えられた権限に従って情報セキュリティ・プライバシー作業部会(WPISP)によって、2001年に着手され、9月11日の悲劇の余波を受けて作業が早められた。

Drafting was undertaken by an Expert Group of the WPISP which met in Washington DC on 10 and 11 December 2001, Sydney on 12 and 13 February, 2002 and Paris on 4 and 6 March 2002. The WPISP met in Paris on 5-6 March 2002, 22 and 23 April, 2002 and 25 and 26 June, 2002.

草案は2001年12月10日及び11日のワシントンDC、2002年2月12日及び13日のシドニー、並びに2002年3月4日及び6日のパリで会合が開催されたWPISPの専門家グループによって起草された。WPISPは2002年3月5日及び6日、2002年4月22日及び23日、並びに2002年6月25日及び26日にパリで開催された。

The present OECD Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security were adopted as a Recommendation of the OECD Council at its 1037th Session on 25 July 2002.

現在の情報システム及びネットワークのセキュリティのためのガイドライン − セキュリティ文化の普及に向けては、2002年7月25日の第1037回会合でOECD理事会の勧告として採用された。