○若桜町情報セキュリティ対策基準

平成19年8月30日

告示第62号

I 総則

1 趣旨

若桜町(以下「町」という。)情報セキュリティ対策基準は、情報セキュリティ基本方針を推進するために職員、非常勤職員及び臨時職員(以下「職員等」という。)が遵守する基準について必要な事項を定める。

2 定義

この対策基準において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

1) パスワード 正当な利用者であることを認証するために使用される文字列情報をいう。

2) アクセス データの参照、変更等を行うために、コンピュータ、ネットワーク及び情報システムに接続することをいう。

3) バックアップ ソフトウェア又はデータの滅失又はき損に備え、これらの複製をとることをいう。

4) ウィルス コンピュータに侵入し、情報システムの正常な動作を意図的に妨げるプログラムをいう。

5) サーバ ネットワーク上で、データの共有、印字出力、通信制御等のサービスを端末機等に対して提供するコンピュータをいう。

II 管理体制

1 情報統括責任者

(1) 情報統括責任者は、町の情報システム及び情報資産を統括する最高責任者とする。

(2) 情報統括責任者は、町における情報セキュリティに関する総括的な権限及び責任を有する。

(3) 情報統括責任者は、副町長をもって充てる。

2 情報セキュリティ管理者

(1) 情報セキュリティ管理者は、情報統括責任者を補佐し、町の情報セキュリティポリシーの遵守に関する責任を有する。

(2) 情報セキュリティ管理者は、情報セキュリティポリシーの遵守違反、情報資産及び情報システムに対する侵害等があった場合は、情報統括責任者に報告しなければならない。

(3) 情報セキュリティ管理者は、職員等の情報セキュリティポリシーの遵守に関する指導、教育、研修を行う。

(4) 情報セキュリティ管理者は、総務課長をもって充てる。

3 情報セキュリティ委員会

(1) 情報セキュリティ委員会(以下「委員会」という。)は、情報統括責任者を長とし、情報セキュリティに関する事項を統括し、情報セキュリティポリシーの見直し等重要事項の決定及び関係課等との連絡調整を行う。

(2) 委員会は、情報統括責任者が指名する者をもって構成する。

4 情報システム管理者

(1) システム利用課において端末機及びサーバの適正な管理及び効率的な運用を行うため、情報システム管理者を置き、システム利用課の長の職にある者をもってこれに充てる。

(2) 情報システム管理者は、所管する情報システムの開発、運用管理及び情報セキュリティに関する権限及び責任を有する。

(3) 情報システム管理者は、その所管する情報資産について管理責任を有する。

(4) 情報システム管理者は、その所管に属する課等(これに準ずる組織等を含む。)の職員等に、職員等の責務を理解させ、遵守させるものとする。

(5) 情報システム管理者は、その所管に属する情報資産が侵害され又はそのおそれがあると認めるときは、速やかに情報統括責任者に報告を行うとともに、その指示を受けなければならない。

5 情報資産の分類

町における情報資産は、機密性、完全性及び可用性により、適正な運用を確保するために、重要性に応じて分類し、その重要度に応じた情報セキュリティ対策を講ずるものとする。

1) 情報セキュリティの侵害により、町民の生命、財産、プライバシー等へ重大な影響を及ぼす情報(業務上必要とする最小限の者のみが扱う情報資産)

2) 情報セキュリティの侵害により、事務の執行に重大な影響を及ぼす情報(公開することを予定していない情報)

3) 情報セキュリティの侵害により、事務の執行に影響を及ぼす情報(外部に公開する情報のうち業務上重要な情報)

4) 情報セキュリティの侵害が生じた場合においても、ほとんど影響を及ぼさない情報(上記以外の情報資産)

6 情報資産の利用

情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

III 物理的セキュリティ

1 記録媒体の管理

情報システムに係る記録媒体の管理については、次のとおり行うものとする。

1) 情報システムにおいて取り扱う情報については、第三者がその重要性を容易に識別することができないよう留意のうえ、記録媒体等に記録された情報の分類がわかるように表示をするなど、適切な管理を行うものとする。

2) 情報システムからの取出しが可能な記録媒体については、盗難又は錯誤による消去に備えるなど、適切な管理を行わなければならない。

3) IIの5の1)又は2)の規定に該当する情報(以下「重要な情報」という。)を記録した記録媒体については、その重要度に応じて、漏洩、滅失、損傷等の防止に備えるなど施錠可能な場所に保管しなければならない。

4) 職員等は、情報システム管理者の許可がある場合を除き、重要な情報を外部へ送付又は持ち出してはならない。

5) 不要となった記録媒体については、当該媒体に含まれる情報をいかなる方法によっても復元することができないように消去又は初期化等を行ったうえで、廃棄しなければならない。

6) 重要な情報を記録した記録媒体の廃棄については、日時、処理担当者及び処理内容を記録しなければならない。

2 サーバの設置等

サーバの設置(iDC方式及び自庁方式)等については、次に掲げる措置を講ずるものとする。

1) サーバは、火災、水害、ほこり、振動、温度、湿度等の影響を、可能な限り排除した場所に設置しなければならない。

2) サーバの設置は、これを容易に取り外せないよう、適切な固定を行うなど必要な措置を講じなければならない。

3) 重要な情報を格納しているサーバについては、二重化(サーバの停止、故障等に備えて、システムを継続して運用できるような構成をとることをいう。)するなど、障害発生時に情報システムの運用に支障がでないようにしなければならない。

4) 操作の権限を有しない者に容易に操作されることがないよう、サーバに記録された情報の重要度に応じて設置場所への入室制限を行うなど適切な措置を講じなければならない。

5) サーバその他の機器の電源については、サーバに記録された情報の重要度に応じて、予備電源の設置その他落雷、電圧・周波数変動等の障害に対する措置を講じなければならない。

6) サーバの配線については、損傷等が発生しないよう、可能な限り必要な措置を講じ、主要な配線については、定期的に点検を行わなければならない。

3 管理区域

(1) 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「情報室」という。)や電磁的記録媒体の保管場所をいう。

(2) 情報セキュリティ管理者は、情報室への許可されていない者の立入を防止するために、カギ、監視機能又は警報装置等の備えをしなければならない。

4 管理区域への入退室

(1) 情報セキュリティ管理者は、管理区域への入退室を許可された者のみに制限し、入退室管理簿の記載等による入退室管理を行わなければならない。

(2) 情報セキュリティ管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員等が同行する等、必要な措置を講じなければならない。

5 管理区域からの機器等の搬入出

情報セキュリティ管理者は、管理区域からの機器等の搬入出について、職員等を立ち会わせなければならない。

6 ネットワーク等

(1) 情報セキュリティ管理者は、庁舎内の通信回線及び通信回線装置を適切に管理しなければならない。

(2) 情報セキュリティ管理者は、外部へのネットワーク接続を必要最少限にしなければならない。

(3) 情報セキュリティ管理者は、ネットワークに使用する回線について、伝送途中に情報が破壊、盗聴、改ざん、消去等しないように十分なセキュリティ対策を行わなければならない。

(4) ネットワークに電気通信事業者の提供する通信回線を使用する場合は、専用線又はそれに準ずる回線を使用し、セキュリティを確保しなければならない。

IV 人的セキュリティ

1 職員等の責務

(1) 職員等は、情報セキュリティポリシー等を遵守しなければならない。

(2) 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

(3) パソコン等の端末の持ち出し及び外部における除去処理作業の制限については、次のとおりとする。

1) 職員等は、町のパソコン等の端末、記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報システム管理者の許可を得なければならない。

2) 職員等は、外部で情報処理作業を行う場合には、情報システム管理者の許可を得なければならない。

3) 職員等は、外部で情報処理作業を行う際、私物パソコンを用いる場合には、情報システム管理者の許可を得た上で、安全管理措置を遵守しなければならない。なお、重要な情報については、私物パソコンによる情報処理を行ってはならない。

(4) 職員等は、私物のパソコン及び記録媒体を庁舎内等に持ち込んではならない。

ただし、業務上どうしても必要な場合は、情報システム管理者の許可を得て、持ち込まなければならない。

(5) 情報システム管理者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

(6) 職員等は、情報システムの管理及び運用にあたり、次の事項を遵守しなければならない。

1) 使用する端末及び記録媒体について、第三者に使用されることがないよう管理すること。

2) 許可なく、第三者に情報を閲覧されることがないよう、必要な措置を講ずること。

3) 情報システム管理者の許可を得ず、情報資産を庁舎外等に持ち出さないこと。

4) 情報システム管理者の許可を得ず、ソフトウェアの導入及び機器構成の変更を行わないこと。

(7) 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

1) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。

2) パスワードを記載したメモ等を作成してはならない。

3) パスワードが流出したおそれがある場合には、情報システム管理者に速やかに報告し、パスワードを速やかに変更しなければならない。

4) 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない。

5) パソコン等の端末のパスワードの記憶機能を利用してはならない。

6) 職員等間でパスワードを共有してはならない。

(8) 職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(9) 町長は、情報セキュリティポリシーに違反した者について、その重大性、発生した事案の状況等に応じて懲戒処分等の対象とするものとする。

2 非常勤及び臨時職員への対応

(1) 情報セキュリティ管理者は、非常勤職員及び臨時職員に対し、採用時に情報セキュリティポリシーのうち、非常勤職員及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。

(2) 情報セキュリティ管理者は、非常勤職員及び臨時職員にパソコン等の端末による作業を行わせる場合、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。

3 外部委託事業者

情報システム管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

4 教育及び訓練

(1) 情報統括責任者は、職員等に対し、その役割に応じた情報セキュリティポリシーに関する研修を受講させなければならない。

(2) 職員等は、定められた研修に参加し、情報セキュリティポリシー及び実施手順を理解し、情報セキュリティ上の問題を生じさせないようにしなければならない。

5 事故等の報告

(1) 職員等は、情報セキュリティに関する事故、情報システム上の欠陥及び誤動作を発見した場合、速やかに情報システム管理者に報告しなければならない。

(2) 報告を受けた情報システム管理者は、速やかに情報セキュリティ管理者に報告しなければならない。

(3) 情報セキュリティ管理者は、報告のあった事故等について、必要に応じて情報統括責任者に報告しなければならない。

V 技術的セキュリティ

1 情報システム、ネットワーク及び情報資産の管理

情報システム管理者は、情報システム、ネットワーク及び情報資産の管理について、次の措置を講じなければならない。

1) アクセス記録の取得

IIの5の1)に規定する資産を扱う情報システムについて、各種アクセス記録及び情報セキュリティの確保に必要な記録を取得・保管し、不正なアクセス等に対処できるようにしなければならない。

2) システム関連情報の保管

情報システムの仕様書、システム構成図、ネットワーク構成図などを適切に保管し、業務上必要とする者のみが閲覧できるようにしなければならない。

3) バックアップ

情報システムで扱う情報資産について、定期的にバックアップデータを取得し、重要度、必要性に応じて保存期間を設定しなければならない。

4) 業務以外の目的での使用の禁止

業務以外の目的での情報システム等の使用、電子メールの使用及びインターネットへのアクセスを禁止する。

5) 電子メール

重要な情報については、電子メールでの送付を禁止する。

6) 無許可ソフトウェアの導入の禁止

職員等は、端末に情報システム管理者に許可されていないソフトウェアを導入してはならない。

7) 機器構成の変更

職員等は、貸与された端末を情報システム管理者の許可なく改造等を行ってはならない。

8) 接続できる端末

職員等が町のネットワークに接続することができる端末は、町から貸与された端末のみで、私的な端末の接続は禁止する。

9) 外部記憶装置

外部記憶装置などで、データを外部に持ち出す場合には、情報システム管理者の許可を得るとともに、紛失などに十分配慮しなければならない。

2 アクセス制御

情報システム管理者は、外部ネットワークとの接続に際し、次の措置を講じなければならない。

1) 職員等は、情報システムごとに定められた方法に従い、その登録、変更、抹消等の申請を行い、情報システム管理者が承認すること。

2) 情報システムの管理に係る権限の付与は、必要最小限の者に限ることとし、厳重に管理すること。

3) リモートアクセスは必要最小限とし、リモートアクセスのログを取得し、定期的に調査しなければならない。

4) インターネット以外のネットワークについて、アクセスが可能なネットワーク及びネットワークサービスにアクセスできる者を定めること。

5) 不必要なネットワークサービスにアクセスできないようにすること。

6) 不正なアクセスを防止するため、適切なネットワーク経路制御を施すこと。

7) 本町の外部の組織から本町のネットワーク及び情報システムにアクセスする場合は、直接本町の内部ネットワークに接続させないこと。

8) 外部のネットワークとの接続に際し、当該外部のネットワークの構成、機器、セキュリティレベル等を詳細に検討し、本町のすべてのネットワーク、情報システム及び情報資産に影響が生じないことを確認したうえで、情報セキュリティに留意したネットワークの構成を採ること。

9) 外部のネットワークの瑕疵により本町のデータの漏洩、破壊、改ざん、システムダウンその他本町の業務に影響を及ぼす障害が発生した場合に対処するため、外部のネットワークについて管理責任を有する者との間で障害発生時の責任を明らかにしておくこと。

3 システム開発

(1) 情報システム管理者は、システム開発又は保守の事故、不正行為防止対策のために次の事項を定めなければならない。

1) 責任者及び監督者

2) 作業者及び作業範囲

3) システム開発又は保守などの事故、不正行為に係るリスク分析

4) 開発又は保守における情報システムと運用システムとの分離

5) 開発又は保守に関するソースコードの提出

6) 開発又は保守の際のセキュリティ上問題となりうる恐れのあるOS、ミドルウェア及びアプリケーションの使用禁止

7) 開発又は保守の際のアクセス制限

8) 機器の搬出入の際の情報システム管理者の許可及び確認

9) 開発又は保守記録の提出義務

10) マニュアルなどの定められた場所への保管

11) 守秘義務

12) 再委託管理

(2) 情報システム管理者は、情報システムの変更等の作業を行う場合には、設定変更、機器変更の履歴、構成図などの更新等の記録を残すとともに、事前に情報統括責任者の承認を得なければならない。

(3) 情報システム管理者は、既に稼動している情報システムとの接続を行う場合は、十分な試験を行わなければならない。

(4) 情報システム管理者は、ソフトウェアの更新、修正プログラムの導入をする場合は、不具合の修正の確認、他のシステムとの相性の確認を十分に行わなければならない。

(5) 情報システム管理者は、機器を廃棄、リース返却等する場合、機器内部の記憶装置から、すべての情報を消去の上、復元不可能な状態であることを確認しなければならない。

4 ネットワーク監視

(1) 情報セキュリティ管理者は、セキュリティに関する事案を検知するため、情報システムについて次の監視等を行わなければならない。

1) 外部と常時接続するシステムの恒常的な監視

2) IIの5の1)に規定する情報を扱うシステムについて、異常な運用等がされないための監視

(2) 情報セキュリティ管理者は、前項の規定による監視により得られた情報については、消去し、又は改ざんされることがないよう、必要な措置を講ずるとともに、安全な場所に保管しなければならない。

5 情報セキュリティ管理者の不正プログラム対策

(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウィルス等の不正プログラムのチェックを行い、不正プログラムの情報システムへの侵入を防止しなければならない。

(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウィルス等の不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。

(3) コンピュータウィルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意を喚起しなければならない。

(4) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。

6 職員等の不正プログラム対策

(1) 職員等は、貸与された端末のウィルスチェックを、定期的に行わなければならない。

(2) 外部からのデータ又はソフトウェアの取り入れの場合は、必ずウィルスチェックを行わなければならない。

(3) 差出人が不明又は不自然な添付ファイルは開封することなく削除すること。

7 情報統括責任者の不正アクセス対策

(1) サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連携を密にして情報の収集に努めなければならない。

(2) サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

8 情報セキュリティ管理者の不正アクセス対策

(1) ファイアウォールの設定で、使用終了若しくは使用される予定のないポートを長時間空けたままにしてはならない。

(2) セキュリティホールの発見に努め、メーカーなどからパッチの提供があり次第速やかにパッチをあてなければならない。

(3) セキュリティに関する情報収集を行い、セキュリティホール及び不正プログラムの情報を分析、必要な対策をとるように職員等に指導しなければならない。

9 職員等による不正アクセス対策

(1) 職員等による不正アクセスを発見した場合、速やかに情報システム管理者に報告しなければならない。

(2) 報告を受けた情報システム管理者は、適切な処理を行うとともに、情報セキュリティ管理者に報告しなければならない。

(3) 情報セキュリティ管理者は、報告のあった事故等について、必要に応じて情報統括責任者に報告しなければならない。

VI 運用

1 情報セキュリティポリシーの遵守状況の確認

(1) 情報セキュリティ管理者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題を認めた場合には、速やかに情報統括責任者に報告しなければならない。

(2) 情報統括責任者は、発生した問題について、適切かつ速やかに対処しなければならない。

2 端末及び記録媒体等の利用状況調査

情報統括責任者及び情報統括責任者が指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン等の端末、記録媒体のアクセス記録、電子メールの送受信記録等の利用状況を調査することができる。

3 侵害時の対応

(1) 委員会は、情報セキュリティに関する事故、情報セキュリティポリシーの違反等による情報資産への侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、侵害時には当該計画に従って適切に対処しなければならない。

(2) 緊急時対応計画には、以下の内容を定めなければならない。

1) 関係者の連絡先

2) 発生した事案に係る報告すべき事項

3) 発生した事案への対応措置

4) 発生防止措置の策定

(3) 委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画を見直さなければならない。

4 外部委託

(1) 情報システム管理者は、重要な情報を取扱う情報システムの開発又は運用を外部委託する場合、次の事項を明記した当該委託に係る契約書を締結しなければならない。また、その受託者に対して、情報セキュリティポリシー及びこれに関連する法令を遵守させるために必要な措置を講じなければならない。

1) 再委託の管理

2) 受託者の守秘義務及び守秘義務違反の場合の措置、罰則

3) データの保管、管理、廃棄方法

4) システムの運用管理状況、障害状況の報告

5) 事故報告などの緊急時の連絡体制、措置

6) 委託内容の検査・監査に応じる義務

7) 前各号に違反した場合における契約解除等の措置及び損害賠償に関する事項

(2) 情報システム管理者は、重要な情報を取扱う情報システムの開発又は運用を委託する場合であって、その受託者(次項において単に「受託者」という。)が再委託契約を行うときは、申請書を提出させ、再委託先について契約の履行能力を有するか否かについて確認しなければならない。

(3) 情報システム管理者は、前項の規定による確認の結果、再委託先が契約の履行能力を有すると認めるときは、再委託について承諾するものとするが、その際、情報統括責任者の許可を取らなければならない。また、情報システム管理者は、受託者に対して、当該再委託先の管理及び監督に必要な措置を講じさせなければならない。

VII 例外措置

1 例外措置の許可

情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、業務の適正な遂行を継続するため遵守事項とは異なる方法を採用したり、又は遵守事項を実施しないことについて合理的な理由がある場合には、情報統括責任者の許可を得て、例外措置を取ることができる。

2 緊急時の例外措置

情報セキュリティ管理者及び情報システム管理者は、業務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかに情報統括責任者に報告しなければならない。

VIII 法令遵守

1 法令遵守

職員等は、職務の遂行において使用する情報資産を保護するために、以下の法令のほか関係法令を遵守しなければならない。

1) 個人情報の保護に関する法律(平成15年法律第57号)

2) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

3) 著作権法(昭和45年法律第48号)

2 情報セキュリティポリシーに違反した場合の対応

(1) 情報システム管理者は、情報セキュリティポリシーに従わない職員等について、情報セキュリティ管理者にその事実を報告しなければならない。

(2) 情報セキュリティ管理者は、情報セキュリティポリシーに従わない職員等について是正を求めるものとする。

(3) 是正されない場合は、その重大性、発生した事案の状況等に応じ、懲戒処分等の対象にすることができる。

IX 評価、見直し等

1 監査

情報セキュリティ管理者は、情報セキュリティについての監査を定期的に行い、情報統括責任者に報告しなければならない。

2 自己点検

情報システム管理者は、定期的に又は必要に応じて情報システムの自己点検を実施し、その結果を情報統括責任者に報告しなければならない。

3 情報セキュリティポリシーの見直し

(1) 情報統括責任者は、情報セキュリティ責任者の行った監査結果及び情報システム管理者が行った自己点検の結果を取りまとめて委員会に報告しなければならない。委員会は、この報告結果を評価し、これを根拠として情報セキュリティポリシーの見直しを行わなければならない。

(2) 新たな対策を講じる必要が発生した場合又は技術の向上により更に安全な対策を講じることが可能となった場合は、委員会は状況に応じて情報セキュリティポリシーの見直しを行わなければならない。

附 則

この基準は、平成19年9月1日から施行する。

附 則(平成23年3月31日告示第38号)

この基準は、平成23年4月1日から施行する。

若桜町情報セキュリティ対策基準

平成19年8月30日 告示第62号

(平成23年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成19年8月30日 告示第62号
平成23年3月31日 告示第38号