○長与町住民基本台帳ネットワークシステム及び附票連携システムのセキュリティ対策に関する規程
令和3年6月14日
規程第12号
長与町住民基本台帳ネットワークシステムに係る管理及び運用に関する規程(平成14年規程第11号)の全部を改正する。
目次
第1章 総則(第1条―第3条)
第2章 責任体制の確立(第4条―第8条)
第3章 監査体制の確立(第9条―第10条)
第4章 教育・研修(第11条―第13条)
第5章 住基ネット等取扱区画の入退室管理(第14条―第19条)
第6章 住基ネット等のアクセス管理(第20条―第26条)
第7章 本人確認情報等、個人番号カード等の管理(第27条―第31条)
第8章 情報資産管理(第32条―第38条)
第9章 委託管理(第39条―第43条)
第10章 緊急時対応計画(第44条―第47条)
附則
第1章 総則
(趣旨)
第1条 この規程は、住民基本台帳ネットワークシステムセキュリティ基本方針書(平成12年9月25日住民基本台帳ネットワークシステム推進協議会決定)に基づき、住民基本台帳ネットワークシステム及び附票連携システム(以下「住基ネット等」という。)の適切な管理及び運用に関し必要な事項を定めるものとする。
(定義)
第2条 この規程において使用する用語の意義は、住民基本台帳法(昭和42年法律第81号)、住民基本台帳法施行令(昭和42年政令第292号)、住民基本台帳法施行規則(平成11年自治省令第35号)及び電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年6月10日総務省告示第334号)において使用する用語の例によるほか、次に掲げる用語にあっては、それぞれ当該各号に定める意義によるものとする。
(1) 照合情報認証 静脈等の情報に不可逆演算を施して登録された情報(照合情報)と認証時に読み取られる情報を照合することにより認証する方法
(2) 照合ID 操作者を識別するためのID
(3) 操作者ID 操作権限を識別するためのID
(4) サーバ コミュニケーションサーバ(CS)、都道府県サーバ又は機構サーバのうち、長与町のサーバ
(5) 統合端末 窓口で住基ネット等の業務を実施するための端末
(6) 情報資産 住基ネット等に係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク
(7) 磁気ディスク 可搬性のある記録媒体(DVD-RW、USBメモリ、MO等)及び電子計算機に搭載される磁気ディスク
(適用範囲)
第3条 この規程は、住基ネット等をその適用範囲とする。
第2章 責任体制の確立
(セキュリティ統括責任者)
第4条 本町における住基ネット等のセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第5条 本町における住基ネット等のシステムを適切に管理するため、システム管理者を置く。
2 システム管理者は、情報政策課長をもって充てる。
(セキュリティ責任者)
第6条 本町における住基ネット等のシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住民環境課長をもって充てる。
(住基ネット等セキュリティ会議)
第7条 本町における住基ネット等のセキュリティに関する審議等を行う機関として、住基ネット等セキュリティ会議を置く。
2 住基ネット等セキュリティ会議は、セキュリティ総括責任者が招集し、議長を務める。
3 住基ネット等セキュリティ会議の構成員は、次に掲げる者とする。
(1) セキュリティ統括責任者
(2) システム管理者
(3) セキュリティ責任者
(4) 総務課長
(5) その他必要と認める者
4 住基ネット等セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネット等システムのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 住基ネット等セキュリティ会議の庶務は、情報政策課において処理する。
(責任体制に関する委任)
第8条 この章に定めるもののほか、責任体制の確立に関し必要な事項は、作業手順に定める。
第3章 監査体制の確立
(監査の実施)
第9条 住基ネット等のセキュリティを確保するため、定期又は必要に応じて随時、監査を実施するものとする。
2 前項の監査を実施するに当たり、外部監査の実施が困難と認められるときは、内部監査によることができる。
3 内部監査を実施するときは、監査の独立性及び公平性を担保するため、必要な措置を講じなければならない。
(監査に関する委任)
第10条 この章に定めるもののほか、監査の実施に関し必要な事項は、作業手順に定める。
第4章 教育・研修
(教育・研修の企画)
第11条 教育・研修の実施に関する責任者は情報政策課長をもって充て、住基ネット等の操作及びセキュリティ対策について計画的に教育・研修を実施するものとする。
2 教育・研修の実施に関する責任者は、対象者、内容、実施時期等を盛り込んだ計画書を作成するものとする。
3 教育・研修の実施に関する責任者は、教育・研修を実施した後に、受講した者が目標としたレベルに達したかどうかの評価を行うものとし、当該評価の結果等により、随時、教育・研修の内容について見直し又は変更を行うものとする。
(教育・研修のカリキュラム)
第12条 教育・研修の実施に関する責任者は、住基ネット等を操作する職員に対し初任時及び一定期間ごとに、次に掲げる必要な知識の習得に資するための研修を行うものとする。
(1) 住基ネット等に関する内容
(2) 端末等の操作に関する内容
(3) その他の必要と認められる内容
2 教育・研修の実施に関する責任者は、住基ネット等の各責任者に対し、その管理に関する必要な知識及び技術を習得させる研修を行うものとする。
3 教育・研修の実施に関する責任者は、住基ネット等に携わる部署の全員(部署責任者、住基ネット等操作者、住基ネット等関係者)に対し、一般的なセキュリティ及び住基ネット等に特化したセキュリティの研修を行うものとする。この場合において、一般的なセキュリティの研修については、全庁向けの研修を受けること等に代えることができる。
(教育・研修に関する委任)
第13条 この章に定めるもののほか、教育・研修の実施に関し必要な事項は、作業手順に定める。
第5章 住基ネット等取扱区画の入退室管理
(入退室管理を行う区画)
第14条 住基ネット等の運用が行われる区画は、別に定める作業手順書に従い、セキュリティ区分を設定し、当該セキュリティ区分に応じた入退室管理を行うものとする。
(入退室管理者)
第15条 住基ネット等を取り扱う区画への入退室管理をする者として、入退室管理者を置き、住基ネット等のデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては情報政策課長、統合端末の設置室にあっては住民環境課長をもって充てる。
2 入退室管理者は、前条の規定により定める作業手順書に基づき入退室の管理を行うほか、住基ネット等のセキュリティを確保するため、入退室の管理に関し必要な措置を採らなければならない。
(鍵又は照合情報認証の管理)
第16条 鍵又は照合情報認証の管理は、情報政策課長が行う。
2 情報政策課長は、第21条の規定により定める作業手順により必要と認められたセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、鍵を貸与し、又は照合情報を登録するものとする。
(入退室管理簿の作成)
第17条 入退室管理者は、第14条の規定に基づく作業手順に定めるセキュリティ区分の区画については、入退室管理簿を作成し、これを保存するものとする。
2 情報政策課長は、第14条の規定に基づく作業手順に定めるセキュリティ区分に係る区画については鍵又は照合情報認証の管理簿を作成し、これを保存するものとする。
(入退室管理に関する指示)
第18条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。
(入退室管理に関する委任)
第19条 この章に定めるもののほか、入退室管理に関し必要な事項は、作業手順に定める。
第6章 住基ネット等のアクセス管理
(アクセス管理を行う機器)
第20条 次に掲げる住基ネット等の構成機器について、業務アプリケーションに対するアクセス管理を行う。
(1) コミュニケーションサーバ(CS)
(2) 統合端末
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第21条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、情報政策課長をもって充てる。
(照合ID、照合情報及び操作者ID)
第22条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、住基ネット等を利用する部署のセキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第23条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第24条 アクセス管理責任者は、住基ネット等の操作履歴について、7年前まで遡って改正できるよう、保管するものとする。
(オペレーティングシステムの管理)
第25条 アクセス管理責任者は、第20条のアクセス管理を実施するほか、住基ネット等に係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
(アクセス管理に関する委任)
第26条 この章に定めるもののほか、アクセス管理に関し必要な事項は、作業手順に定める。
第7章 本人確認情報等、個人番号カード等の管理
(本人確認情報管理を行う機器)
第27条 住基ネット等の情報資産のうち、本人確認情報及び附票本人確認情報(以下「本人確認情報等」という。)並びに当該本人確認情報等が記録されたサーバに係る帳票及び個人番号カード等について、本人確認管理を行う。
(本人確認情報管理責任者)
第28条 前条の本人確認管理を実施するため、本人確認情報管理責任者を置き、住民環境課長をもって充てる。
2 本人確認情報管理責任者は、本人確認情報等を取り扱うことができる者を指定するとともに、当該本人確認情報等の漏えい、滅失及び毀損の防止その他の当該本人確認情報等の適切な管理のための必要な措置を講じなければならない。
3 本人確認情報管理責任者は、本人確認情報等の記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。
(本人確認情報等の取扱方法等)
第29条 本人確認情報管理責任者は、本人確認情報等の取扱方法、実施状況の確認、帳票の管理方法、帳票受渡管理方法その他本人確認情報等の管理に関し必要な事項を作業手順に定めるものとする。
(本人確認情報等の管理方法)
第30条 本人確認情報管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 本人確認情報管理責任者は、住基ネット等のオペレーション計画を定めるものとする。
3 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報等の漏えい、滅失、毀損等の被害を受けるおそれがある場合は、本人確認情報等の保護を第一優先とし、ネットワークの遮断その他の対応の判断を行うとともに、速やかに改善措置を講ずるものとする。
(本人確認情報等、個人番号カード等の管理に関する委任)
第31条 この章に定めるもののほか、本人確認情報等、個人番号カード等の管理に関し必要な事項は、作業手順に定める。
第8章 情報資産管理
(情報資産管理責任者)
第32条 住基ネット等の情報資産の管理を実施するため、情報資産管理責任者を置き、情報政策課長をもって充てる。
2 情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。
(ソフトウェアの適正な管理)
第33条 住基ネット等に係る処理における機密性、正確性及び継続性を確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずる。
(ハードウェアの適正な管理)
第34条 住基ネット等に係る処理における機密性、正確性及び継続性を確保するため、ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。
(ネットワークの適正な管理)
第35条 住基ネット等に係る処理における機密性、正確性及び継続性を確保するため、ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。
(情報資産管理簿の適正な管理)
第36条 情報資産管理責任者は、情報管理簿を作成し、及び保存するものとし、その方法については、作業手順に定めるところによる。
(施設の適正な管理)
第37条 情報資産管理責任者は、操作者の認証等により、本人確認情報等の処理に係る電子計算機及び端末装置を設置する場所の入出場の管理その他これらの施設への不正なアクセスを予防するために、入退室管理者と協議を行い、その措置を講ずる。
(情報資産管理に関する委任)
第38条 この章に定めるもののほか、情報資産管理に関し必要な事項は、作業手順に定める。
第9章 委託管理
(委託を受けようとする者の管理体制の調査)
第39条 住基ネット等を管理し、又は利用する部署の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第40条 住基ネット等を管理し、又は利用する部署の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ住基ネット等セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第41条 外部委託に係る契約書等(契約書及び附則のほか、委託業務仕様書、覚書等を含む。)には、情報の保護に関し、必要に応じて、次に掲げる事項を明記しなければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守に関する事項
(2) 外部委託事業者の責任、委託内容、作業者の所属、作業場所の特定に関する事項
(3) 提供されるサービスレベルの保証に関する事項
(4) 外部委託事業者にアクセスを許可する情報の種類及び範囲並びにアクセス方法に関する事項
(5) 外部委託事業者の従業員に対する教育の実施に関する事項
(6) 提供された情報の目的外利用及び受託者以外の者への提供の禁止に関する事項
(7) 業務上知り得た情報の守秘義務に関する事項
(8) 再委託に関する制限事項の遵守に関する事項
(9) 委託業務終了時の情報資産の返還、廃棄等に関する事項
(10) 委託業務の定期報告及び緊急時報告義務に関する事項
(11) 監査及び検査に関する事項
(12) 情報セキュリティインシデント発生時の対応に関する事項
(13) 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)に関する事項
(委託先の管理状況の調査)
第42条 住基ネット等を管理し、又は利用する部署の長は、委託業務の範囲及び委託先のセキュリティ対策の実施状況の確認に当たっては、委託先からの報告内容を検証することのほか、必要に応じて委託先への監査等を実施するなど、必要かつ適切な監督体制の下で実施するものとする。
(委託管理に関する委任)
第43条 この章に定めるもののほか、委託管理の実施に関し必要な事項は、作業手順に定める。
第10章 緊急時対応計画
(緊急時対応計画書)
第44条 住基ネット等を構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正アクセスにより本人確認情報等に脅威を及ぼすおそれがある場合(以下「緊急時」という。)において、被害を未然に防ぎ、又は被害の拡大を防止して早急な復旧を図るため、緊急時対応計画書を作成するものとする。
(1) 障害 住基ネット等で使用するハードウェア、ソフトウェア及びネットワークの機能が正常に動作しない状態
(2) 不正アクセス 住基ネット等の目的外使用、住基ネット等の運用を阻害する行為等、本人確認情報等に脅威を及ぼすおそれがある状態
(緊急時対応計画書の構成)
第46条 緊急時対応計画書は、次に掲げる構成とする。
(1) ウイルス編
(2) 障害対応編
(3) 不正アクセス対応編
(緊急時対応計画書に関する委任)
第47条 緊急時対応計画書の作成に関しては、作業手順に定める。
附則
この規程は、公布の日から施行する。
附則(令和4年4月1日規程第3号)
この規程は、令和4年4月1日から施行する。
附則(令和6年8月1日規程第6号)
この規程は、公布の日から施行する。