- ホーム
- 法令等
- 国税庁告示
- 国税関係法令に係る情報通信技術を活用した行政の推進等に関する省令第五条の二第一項に規定する国税庁長官の定める基準を定める件
国税庁告示第二十三号
国税関係法令に係る情報通信技術を活用した行政の推進等に関する省令(平成十五年財務省令第七十一号)第五条の二第一項の規定に基づき、同項に規定する国税庁長官の定める基準を次のように定め、令和三年七月一日から適用する。
令和三年六月三十日
国税庁長官 可部 哲生
1 この告示において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
-
一 認定 国税関係法令に係る情報通信技術を活用した行政の推進等に関する省令(以下「省令」という。)第五条の二第一項に規定する認定をいう。
- 二 認定対象クラウドサービス等 申請等履行者が認定事業者と利用契約をし、又は申請等履行者が自己構築する省令第五条の二第四項の認定に係る電子計算機であって、同条第一項の規定により申請等(同項に規定する申請等をいう。以下同じ。)を行う際に利用することが見込まれるものをいう。
- 三 申請等履行者 省令第五条の二第一項の規定により申請等を行う者をいう。
- 四 安全管理措置 申請等情報の漏えい、滅失又は毀損の防止その他の申請等情報の適切な管理のために必要な措置をいう。
- 五 特定ファイル 省令第五条の二第一項に規定する特定ファイルをいう。
- 六 申請等情報 省令第五条の二第一項に規定する申請等情報をいう。
- 七 個人情報 行政機関の保有する個人情報の保護に関する法律(平成十五年法律第五十八号。以下「行政機関個人情報保護法」という。)第二条第二項に規定する個人情報であって同条第一項に規定する行政機関が保有するもの、独立行政法人等の保有する個人情報の保護に関する法律(平成十五年法律第五十九号。以下「独立行政法人等個人情報保護法」という。)第二条第二項に規定する個人情報であって同条第一項に規定する独立行政法人等が保有するもの、個人情報の保護に関する法律(平成十五年法律第五十七号。以下「個人情報保護法」という。)第二条第一項に規定する個人情報であって同条第五項に規定する個人情報取扱事業者が保有するもの又は個人情報保護条例に規定する個人情報であって地方公共団体及び地方独立行政法人が保有するものをいう。
- 八 個人番号 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号)第二条第五項に規定する個人番号をいう。
- 九 アクセス権限 省令第五条の二第一項に規定する権限をいう。
- 十 認定クラウドサービス等 省令第五条の二第六項に規定する認定電子計算機であって、申請等履行者により同条第一項の規定に基づく申請等に利用されるものをいう。
- 十一 認定事業者 省令第五条の二第六項に規定する認定事業者をいう。
- 十二 国税庁等 国税庁、国税局又は税務署をいう。
2 省令第五条の二第一項に規定する国税庁長官の定める基準は、次に掲げる基準とする。
- 一 内閣府及び国税庁がそれぞれ公表する仕様書で省令第五条の二第一項の規定により申請等を行うために必要なものを取得し、これらの仕様書で示す仕様に認定対象クラウドサービス等が適合すること。
- 二 認定対象クラウドサービス等を提供する者又は当該認定対象クラウドサービス等を利用する申請等履行者各々の立場から、当該認定対象クラウドサービス等について安全管理措置(次号から第七号までに規定する措置を含む。)を講ずること。
- 三 特定ファイルに記録される申請等情報に個人情報又は個人番号を含む場合には、認定対象クラウドサービス等を提供する者又は当該認定対象クラウドサービス等を利用する申請等履行者に適用される行政機関個人情報保護法第六条第一項の規定、独立行政法人等個人情報保護法第七条第一項の規定、個人情報保護法第二十条の規定若しくは個人情報保護条例における個人情報の安全管理措置を求める規定又は行政手続における特定の個人を識別するための番号の利用等に関する法律第十二条の規定に基づき、当該認定対象クラウドサービス等を提供する者又は当該認定対象クラウドサービス等を利用する申請等履行者各々の立場から、当該認定対象クラウドサービス等について安全管理措置を講ずること。
- 四 特定ファイルについて、次に掲げる措置を講ずること。
- イ 特定ファイルは、申請等履行者の別に設けること。
- ロ 当該特定ファイルを利用する申請等履行者及び当該特定ファイルに記録されている申請等情報に対するアクセス権限が付与されている税務署長に限り、特定ファイルにアクセスすることができること。
- ハ 特定ファイルを利用する申請等履行者は、次に掲げる行為を行うことができること。
- (1) 当該特定ファイルへの申請等情報の記録
- (2) 当該申請等情報への税務署長に対するアクセス権限の付与
- (3) 当該申請等情報の閲覧
- (4) 当該申請等情報の複製及びその複製された申請等情報の移管
- (5) 当該申請等情報(税務署長に対するアクセス権限が付与されているものを除く。)の変更及び削除
- ニ 特定ファイルを利用する申請等履行者は、省令第五条の二第三項の規定により申請等情報を保存すべき期間内において、当該申請等情報について変更又は削除を行うことができないこと。
- ホ 特定ファイルに記録されている申請等情報に対するアクセス権限が付与されている税務署長は、次に掲げる行為を行うことができること。
- (1) 当該申請等情報の閲覧
- (2) 当該申請等情報の複製及び国税庁の使用に係る電子計算機に備えられた所定の領域への複製された申請等情報の移管
- (3) 当該申請等情報の税務署長に対するアクセス権限の解除
- ヘ 特定ファイルを利用する申請等履行者が行うハ(1)から(5)までに掲げる行為及び特定ファイルに記録されている申請等情報に対するアクセス権限が付与されている税務署長が行うホ(1)から(3)までに掲げる行為に関して、これらの行為を行う者、これらの行為の内容並びにこれらの行為を行った日付及び時間に関する情報(ログ)を記録し、及び管理すること。
- 五 税務署長に対するアクセス権限は、特定ファイルに申請等情報が記録される都度、当該申請等情報を一の単位として付与すること。
- 六 認定対象クラウドサービス等に関して、情報セキュリティインシデントを監視し、検知し、又は分析し、アクセス権限が付与されている申請等情報について情報セキュリティインシデントを検知した場合には、国税庁の当該職員に速やかに連絡する体制を構築すること。
- 七 認定対象クラウドサービス等を構成するサーバ等の物理的な機器(バックアップ用の機器を設置する場合には、当該バックアップ用の機器を含む。)は日本国内に所在し、特定ファイルは当該機器内に設けること。
- 八 認定対象クラウドサービス等は、次のいずれかに該当すること。
- イ 政府情報システムのためのセキュリティ評価制度のクラウドサービスリストに登録されていること。
- ロ 次に掲げる認証又は保証報告書のいずれかを取得していること。
- (1) ISO/IEC二七〇一七に基づく認証
- (2) JASAクラウドセキュリティ推進協議会CSゴールドマーク
- (3) AICPA SOC2 保証報告書
- (4) AICPA SOC3(SysTrust/WebTrusts)保証報告書
- (5) 日本公認会計士協会保証業務実務指針三八五〇 保証報告書
- 九 認定後においては、次に掲げる事項を遵守すること。
- イ 申請等履行者が省令第四条第五項の規定による届出を行う前に、当該認定クラウドサービス等と国税庁の使用に係る電子計算機との連動テストを実施し、かつ、正常に動作し、及び通信できることを確認すること。
- ロ 第二号から前号までに掲げる基準に基づく申請内容に変更(前号イの登録に係る更新、前号ロ(1)から(5)までに掲げる認証若しくは保証報告書でその対象期間を異にするものの取得又は前号イ若しくはロのいずれに該当するかの別の変更を含む。)が生じたときは、遅滞なく、省令第五条の二第七項の規定による届出を行うこと。
- ハ 特定ファイルについて、当該特定ファイルを利用する申請等履行者が行う第四号ハ(1)から(5)までに掲げる行為及び特定ファイルに記録されている申請等情報に対するアクセス権限が付与されている税務署長が行う同号ホ(1)から(3)までに掲げる行為以外の行為(システムメンテナンス又はデータバックアップを含む。)を行う場合には、あらかじめ国税庁の当該職員に申し出て、承諾を得ること。
- ニ 税務署長に対してアクセス権限が付与されている期間内に、認定事業者の事情により当該アクセス権限が一時的に利用できなくなる場合には、あらかじめ国税庁の当該職員に申し出て、承諾を得ること。
- ホ 情報セキュリティ管理体制を構築した上で、認定クラウドサービス等が第一号から前号までに掲げる基準に適合しているかどうかについて定期的に監査を実施し、当該認定クラウドサービス等がこれらの基準に適合しないおそれがあることその他の問題点を把握した場合には速やかに改善を図ること。
- ヘ 国税庁の当該職員が、認定クラウドサービス等が第一号から前号までに掲げる基準に適合しているかどうかについての確認を求める場合には、これに協力すること。
- ト 税務署長に対してアクセス権限が付与されている期間内に、当該アクセス権限が付与されている申請等情報について情報セキュリティインシデントが発生した場合には、その旨、その原因及び対処方針等を、速やかに又は対応の経過に応じて、国税庁の当該職員に報告するとともに、国税庁の当該職員の指示がある場合には、その指示に従うこと。
- チ 認定事業者と申請等履行者が異なる場合には、当該認定事業者と当該申請等履行者との間で次に掲げる事項を実施すること。
- (1) 当該認定事業者から当該申請等履行者に省令第四条第五項第二号及び第三号に掲げる事項を提供すること。
- (2) 税務署長にアクセス権限が付与されている期間内に情報セキュリティインシデントが発生する場合に備え、当該認定事業者と当該申請等履行者との間の連絡体制及び責任の分界点を明確にして約すること。
- (3) 申請等情報の保存につき暗号技術を利用する場合には、その暗号鍵は申請等履行者が設定及び管理をすること。
- (4) 当該認定事業者の事情により認定クラウドサービス等が一時的に利用できなくなる場合には、当該申請等履行者が法定期限までに申請等を行うことが可能な相当な期間を置いて、申請等履行者にその旨通知することを約すること。
- (5) 当該認定事業者が認定クラウドサービス等の運用を終了することその他の当該認定事業者の事情により認定クラウドサービス等が利用できなくなる場合には、申請等履行者が申請等情報を保全すること又は申請等履行者が他の方法により当該申請等情報に係る申請等を行うための準備を行うことが可能な相当な期間を置いて、申請等履行者にその旨通知することを約すること。
- リ 国税庁等の当該職員が、国税に関する法令の規定に基づき、申請等履行者の申請等の内容の確認等を目的として調査を実施する場合において、認定クラウドサービス等を調査する必要があると認めるときは、これに協力すること。
- ヌ その他税務行政の適正な遂行に支障を及ぼすおそれがあると認めるとき又は公益上必要があると認めるときは、国税庁の当該職員の指示に従うこと。