○若桜町住民基本台帳ネットワークシステム情報セキュリティ規程

平成25年4月1日

告示第94号

第1章 総則

(趣旨)

第1条 この規程は、若桜町の住民基本台帳ネットワークシステム(以下「住基ネット」という。)における情報セキュリティを維持するため、必要な事項について定めるものとする。

第2章 セキュリティ組織

(セキュリティ統括責任者)

第2条 住基ネットの情報セキュリティ対策を総合的に実施するために、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副町長をもって充てる。

(システム管理者)

第3条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、町民福祉課長をもって充てる。

(セキュリティ責任者)

第4条 住基ネットを利用する部署において情報セキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、住民基本台帳担当係長をもって充てる。

(セキュリティ会議)

第5条 セキュリティ統括責任者は、必要と認めるときはセキュリティ会議を招集するとともに、議長を務める。

2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) 町民福祉課課長補佐

(4) 住民基本台帳担当者

(5) 総務課情報担当者

3 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネットの情報セキュリティ対策の決定及び見直し

(2) 前号の情報セキュリティ対策の遵守状況の確認

(3) 監査の実施

(4) 教育及び研修の実施

4 議長は、前項のうち重要と認められる事項を審議するときは、情報公開・個人情報保護審査会の意見を聴くものとする。

5 議長は、必要と認めるときは関係職員の出席を求め、その意見又は説明を聴くことができる。

6 セキュリティ会議の庶務は、町民福祉課において処理する。

(関係部署に対する指示等)

第6条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

(研修の実施)

第7条 セキュリティ責任者は、利用職員等に対して、住基ネットの操作及び情報セキュリティについて、研修を行うものとする。

第3章 入退室管理

(入退室管理を行う室及び場所)

第8条 次に掲げる住基ネットの運用が行われる場所において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。

セキュリティ区分

場所

入退室管理の方法

レベル1

業務端末機器の設置(町民福祉課窓口)

設置場所で職員が不在となる場合には、重要な書類等は施錠のできる書庫等への保管を行い、かつCS端末機器の操作ができないよう対応することを確認する。

レベル2

住基ネットのデータ、セキュリティ情報等の保管、サーバ、ネットワーク機器の設置

入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、鍵を用いて入退室を行う。また入退室に関する記録を行う。

第9条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置場所については総務課長をもって充てる。

2 入退室管理者は、前項に掲げる場所について、訪問者や物品の搬出入などの入退室の管理を行うほか、住基ネットの情報セキュリティを確保するため、入退室の管理に関し必要な措置をとらなければならない。

3 第8条に掲げるレベル2のセキュリティ区分に係る場所の鍵については、総務課長が管理を行うものとし、入退室管理簿を作成し保存するものとする。

4 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。

第4章 アクセス管理

(アクセス管理を行う機器)

第10条 システム管理者は、次に掲げる住基ネットの構成機器について、アクセス管理を行う。

(1) サーバ

(2) 業務端末機器

2 前項のアクセス管理は、操作者用ICカード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

(操作者用ICカードの管理)

第11条 システム管理者は、操作者用ICカード及びパスワードに関し、次に掲げる事項を実施する。

(1) 操作者用ICカード及びパスワードの管理方法を定めること。

(2) 利用職員等を指定したときは、その者に対し、操作者用ICカードを貸与し、ユーザIDを付与すること。

(3) 操作者を指定したとき又は指定を解除したときは、操作者用ICカードの貸与状況を、操作者用ICカード管理簿に記録するものとする。

2 操作者用ICカードを貸与された者は、次に掲げる事項を実施しなければならない。

(1) 操作者用ICカード及びユーザIDの他者への貸与又は目的外の利用を行ってはならない。

(2) 操作者用ICカードを紛失又はき損をおこさないよう、又は盗難若しくは搾取され0ないよう厳重に管理しなければならない。

(3) 操作者用ICカードを紛失し、又は盗難にあった場合は、直ちにシステム管理者に報告しなければならない。

3 システム管理者は、操作者ICカードの紛失等の報告を受けた場合は、速やかに当該ICカードの失効の手続きを行わなければならない。

4 システム管理者は、必要のあるときは操作者用ICカード及びユーザIDが適正に利用されているかどうかの検査を行うものとする。

5 住基ネットを操作する権限がなくなったときは、直ちに操作者用ICカードをシステム管理者に返却しなければならない。

(操作者用ICカード及びユーザIDのパスワード)

第12条 システム管理者は、操作者用ICカード及びユーザIDのパスワードについて次の事項を遵守するとともに、操作者に周知しなければならない。

(1) 操作者は不正行為防止のため、操作者用ICカード及びユーザIDのパスワードを定期的又は必要に応じ随時変更を行うこと。

(2) パスワードは、他者への漏えいを防止する手段を講じるとともに、他者が知り得る状態に置いてはならないこと。

(3) パスワードを設定するときは、最低8桁以上とし、規則性のある番号又は容易に推測可能な番号を用いないこと。

(操作者の責務)

第13条 操作者は、操作者用ICカード及びパスワードの管理方法を遵守しなければならない。

(操作履歴の記録)

第14条 システム管理者は、操作履歴について5年前までさかのぼって解析できるよう、保管するものとする。

(操作履歴の分析)

第15条 システム管理者は、操作者用ICカード及びユーザIDの利用について不正アクセスを発見した場合は、当該ICカード及びユーザIDの廃止処理を行う。

(オペレーティングシステムの管理)

第16条 システム管理者は、第10条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。

(オペレーティングシステムのユーザID及びパスワード)

第17条 システム管理者は、ユーザIDと操作者との対応づけを行うものとする。

2 システム管理者は、ユーザIDに付与する権限を業務上必要最低限のものとする。

3 システム管理者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。

4 システム管理者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定する。

5 操作者は、パスワードについて権限を与えられたもの以外への漏えいを防止する手段を講ずるとともに、第三者が知り得る状態においてはならない。

6 操作者は、パスワードを設定するときは、最低8桁以上とし、規則性のある番号又は容易に推測可能なものを用いない。

7 操作者は、パスワードを定期的又は必要に応じて更新する。

8 システム管理者は、定期的又は必要に応じてイベントログ等の履歴を確認し、適切に運用されているか検査するものとする。

9 システム管理者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査するものとする。

10 システム管理者は、ロックアウトの設定が適切にされているか又はフォルダの共有が禁止されているか適時確認するものとする。

11 操作者は、業務及び運用管理で必要なプログラム(サービス)以外は起動しないこと。

第5章 情報資産管理

(情報資産管理)

第18条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。

2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録された帳票および住民基本台帳カードの管理責任者は、住民基本台帳担当係長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、町民福祉課長をもって充てる。

3 情報資産管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

4 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定め、情報資産等管理簿を作成するものとする。

5 情報資産管理責任者は、情報資産等の導入、移設及び廃棄、その他の情報資産等を移管する処理を行うときは、情報資産等管理簿に情報資産等の変更履歴を記録し、不要な機器等の持込みがされないよう措置を講じる。

6 情報資産管理責任者は、住基ネットのオペレーション計画を定めることとする。

7 情報資産管理責任者は、情報資産等を廃棄するときは、内部の重要な情報等を復元できないよう消去したのち廃棄するものとする。

(本人確認情報の取扱い)

第19条 システム管理者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び棄損の防止その他当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

第20条 本人確認情報を取り扱う利用職員等は、次の事項を守らなければならない。

(1) 業務上必要のない本人確認情報をディスプレイに表示しないこと。

(2) スクリーンセーバの起動までの時間は5分以内とし、長時間にわたり本人確認情報をディスプレイに表示したままの状態にしないこと。

(3) ディスプレイは、直接他人から見える位置に置かないことを適時確認すること。

(4) 業務上必要のない検索は行わないこと。

(5) 定められた方法以外の方法で本人確認情報を表示又は出力しないこと。

(6) 本人確認情報について、基本的にはハードコピーをとらないこと。ただし、やむを得ずハードコピーをとる場合は、その記録を残すこと。

(7) 本人確認情報にメモを書き込んだりCS端末上のテキスト文書に保存したりしないことを適時確認すること。

(8) 業務上の検索又は抽出を行う場合には、事前に検索又は抽出要件を明確にすること。

(9) 本人確認情報の入力、削除及び訂正を行う際には誤りがないよう、十分な注意を払い、適時確認すること。

(10) 本人確認情報が記載されている帳票を出力した場合には、適正に管理すること。

(11) 本人確認情報が記載された帳票を廃棄するときは、裁断、焼却等により廃棄すること。

(住民基本台帳カードの保管及び管理)

第21条 セキュリティ責任者は、住民基本台帳カードを保管するときは、施錠のできる書庫等に保管し、紛失及び盗難を防止する措置を講じるものとする。

2 セキュリティ責任者は、住民基本台帳カード交付取消又は住民基本台帳カード廃止(回収済)により、住民基本台帳カードを廃棄する場合は、住民基本台帳カードを焼却、裁断等の方法により券面印刷の内容が判読できないようにし、かつ、ICチップ内の情報の読み出しや、ICチップのハードウェア構造分析などの脅威を防ぐために、ICチップを物理的に破壊しなければならない。

3 セキュリティ責任者は、前項により住民基本台帳カードを廃棄するときは、廃棄するまでの間の廃棄する住民基本台帳カードの紛失又は盗難を防止するため厳重に保管し、速やかに廃棄処分を行う。

4 セキュリティ責任者は、住民から受領した顔写真について、適切に廃棄・管理しなければならない。

(帳票の管理)

第22条 大量にデータを出力する場合は、セキュリティ責任者の承認を得ることとし、その記録を残すものとする。

2 来庁者から、出力装置から出力された帳票を見ることができないことを適時確認するものとする。

3 出力した帳票が出力装置に長時間残っていないことを確認するものとする。

4 セキュリティ責任者は、本人確認情報が記載された帳票を保管するときは、施錠のできる書庫等において行い、紛失及び盗難を防止するための措置を講じるものとする。

5 セキュリティ責任者は、保管期間等の終了に伴い本人確認情報が記載された帳票を廃棄する場合や、印刷ミス等で使用できなくなった用紙を廃棄する場合は、帳票を焼却、裁断等の方法により記載内容が判読できないようにしなければならない。

6 セキュリティ責任者は、前項により帳票を廃棄するときは、廃棄する数量及び内容等の確認を行うものとし、廃棄を決定した帳票は、速やかに廃棄処分を行う。

(データのバックアップ)

第23条 システム管理者は、更新されたデータのバックアップを随時行い、磁気ディスク等に記録するものとする。

2 システム管理者は、データのバックアップが記録された磁気ディスク等を施錠のできる書庫等に保管するものとする。

(磁気ディスク等の管理)

第24条 システム管理者は、データが記録された磁気ディスク等について、磁気ディスク管理簿を作成するものとする。

2 システム管理者は、データが記録された磁気ディスク等については、容易に持ち出すことができない施錠のできる書庫等に保管するものとする。

3 データが記録された磁気ディスク等は、受渡し毎に磁気ディスク管理簿と現況が一致しているか適時保管状況を確認するものとする。

4 データが記録された磁気ディスク等は、他の磁気ディスク等と判別できるようにラベル等により識別するものとする。

5 データが記録された磁気ディスク等は、システム管理者の許可がなければ、使用、複写、消去及び廃棄することができない。

6 システム管理者は、本人確認情報が記録された磁気ディスク等を廃棄するときは、記録されている本人確認情報を復元できないよう消去するとともに、当該磁気ディスク等を物理的に破壊するものとする。

(障害管理共通)

第25条 システム管理者は、住基ネットの障害に備え、ハードウェアメーカ、ソフトウェアメーカ等への連絡網を整備し、利用職員等に周知するものとする。

2 システム管理者は、障害が発生した場合には、障害状況の把握及び障害対応を行うとともに、重大な障害については、緊急時対応計画書に基づき対応するものとする。

3 システム管理者は、障害が発生した原因について調査を行い、障害の再発を防止するため必要な措置を講じるものとする。

(ハードウェアの管理)

第26条 システム管理者は、ハードウェアの障害を予防するための対策を実施するものとする。

2 システム管理者は、ハードウェアの保守管理を実施するものとする。

3 システム管理者は、保守対象機器を明確にし、継続して機器が使用できるよう必要な措置を講じるものとする。

4 システム管理者は、システム及び機器の保守点検作業の実施時において、データの抹消、漏えい等を防止するため、保守点検作業中は作業員の作業内容を監視するものとし、保守作業等の結果について保守委託事業者に報告させることを義務づける。

(ソフトウェアの管理)

第27条 システム管理者は、ソフトウェアの障害を予防するための対策を実施するものとする。

2 システム管理者は、コンピュータウィルス(以下「ウィルス」という。)の侵入及び拡張を防止するため、ウィルスの点検を行うなどの措置を講じるものとする。

3 システム管理者は、常時ウィルスに関する情報の収集に努めるとともに、ウィルスに関する情報について利用職員等に対して注意させるものとする。

4 システム管理者は、ソフトウェアの保守管理を実施するものとする。

5 システム管理者は、町サーバに住基ネットの運用に直接関係ないソフトウェアを導入してはならない。

6 システム管理者は、許可なくソフトウェアがインストールされていないか適時確認するものとする。

7 システム管理者は、不要なソフトウェアがある場合には削除し、その記録を残すものとする。

(ネットワークの管理)

第28条 システム管理者は、ネットワークの障害を予防するための対策を実施するものとする。

2 システム管理者は、ネットワークの障害発生の検知を行うとともに、障害が発生した場合には、障害原因の切り分けを行い、障害範囲の拡大防止及び障害の復旧を行うものとする。

3 システム管理者は、ネットワークの保守管理を実施するものとする。

4 システム管理者は、ネットワークの性能管理を行うものとする。

5 システム管理者は、ネットワークの拡張又は縮小を行う際には、関係部署への影響が少なくなるよう努めるものとする。

(他のネットワークシステムとの接続)

第29条 住基ネットには、既存の住民システム以外のシステムを接続してはならない。

2 住基ネットと他の端末とを接続する場合には、事前にシステム管理者の承認を得なければならない。

3 住基ネットと既存の住民システムの接続にあたっては、住基ネットへの侵入等の脅威を及ぼさないよう、ファイアウォール等の設置をしなければならない。

4 ファイアウォールにおいて、アクセスログを適切に採取及び保存するものとする。

(ドキュメントの管理)

第30条 セキュリティ責任者は、基本設計書、各種手引書、マニュアル等のドキュメントについて、容易に持ち出すことができない施錠のできる書庫等に保管し、適切に管理するものとする。

2 職員は、ドキュメントの使用、複写、消去及び廃棄を適切に行わなければならない。

3 職員は、不要となった基本設計書、各種手引書、マニュアル等を廃棄するときは、焼却、裁断等の方法により記載内容が判読できないようにしなければならない。

第6章 委託管理

(管理体制等の事前調査)

第31条 住基ネットの業務を外部に委託しようとするときは、相手方の経営の健全性、安定度、営業規模、営業地域等について事前に調査するものとする。

(外部委託の承認)

第32条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ統括責任者の承認を得なくてはならない。

(委託契約書への記載事項)

第33条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(1) 個人情報の保護に関する事項

(2) データの秘密保持に関する事項

(3) 再委託の禁止又は制限に関する事項

(4) 事故発生時における報告の義務に関する事項

(受託者の管理状況の調査)

第34条 システム管理者は、必要に応じ受託者における当該外部委託に係る情報セキュリティ対策の実施状況について調査するものとする。

附 則

この規程は、告示の日から施行する。

若桜町住民基本台帳ネットワークシステム情報セキュリティ規程

平成25年4月1日 告示第94号

(平成25年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成25年4月1日 告示第94号