○菊池市住民基本台帳ネットワークシステム及び附票連携システムセキュリティ規程
平成17年3月22日
告示第4号
目次
第1章 総則(第1条)
第2章 セキュリティの組織(第2条―第5条)
第3章 入退室の管理(第6条―第9条)
第4章 アクセスの管理(第10条―第14条)
第5章 情報資産の管理(第15条―第17条)
第6章 委託の管理(第18条―第21条)
附則
第1章 総則
(趣旨)
第1条 この規程は、菊池市における住民基本台帳ネットワークシステム及び附票連携システム(以下「システム」という。)におけるセキュリティの確保に関する事項を定めるものとする。
第2章 セキュリティの組織
(セキュリティ統括責任者)
第2条 システムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、市民環境部長をもって充てる。
(システム管理者)
第3条 システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、政策企画部情報政策課長(以下「情報政策課長」という。)をもって充てる。
(セキュリティ責任者)
第4条 システムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、市民環境部市民課長(以下「市民課長」という。)をもって充てる。
(セキュリティ会議)
第5条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 総務部施設マネジメント課長
(4) 総務部総務課長
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) システムのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育及び研修の実施
第3章 入退室の管理
(入退室管理を行う場所)
第6条 次に掲げるシステムの運用が行われる場所において、入退室管理を行うものとする。
(1) 政策企画部情報政策課
(2) 市民環境部市民課
(3) 各支所市民生活課
2 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行うものとし、また入退室者には名札の着用を義務付け、識別を行うものとする。
(入退室管理者)
第7条 入退室管理者は、政策企画部情報政策課にあっては情報政策課長、市民環境部市民課にあっては市民課長、各支所においては市民生活課長をもって充てる。
(管理簿の作成)
第8条 入退室管理者は、入退室管理簿を作成し、これを保存するものとする。
(指示)
第9条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセスの管理
(アクセス管理を行う機器)
第10条 次に掲げるシステムの構成機器について、アクセス管理を行う。
(1) サーバ
(2) 業務端末
2 前項のアクセス管理は、照合情報認証(静脈等の生体情報に不可逆演算を施して登録された情報と認証時に読み取られる情報を照合することにより、認証することをいう。以下同じ。)により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第11条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、情報政策課長及び市民課長をもって充てる。
(照合情報等の管理)
第12条 アクセス管理責任者は、照合ID(操作者を識別するためのIDをいう。以下同じ。)、照合情報(静脈等の生体情報に不可逆演算を施して登録された情報をいう。以下同じ。)、照合暗証番号(操作者の身体状況等が照合情報認証に適さない場合において、業務に必要な認証を受けるために利用する暗証番号をいう。以下同じ。)及び操作者ID(操作権限を識別するためのIDをいう。以下同じ。)に関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報及び照合暗証番号の登録、削除等の管理方法を定めること。
(3) 操作者IDごとの操作者を定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第13条 操作者は、照合ID、照合情報及び照合暗証番号並びに操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第14条 アクセス管理責任者は、操作履歴について、7年前まで遡って解析できるよう、保管するものとする。
第5章 情報資産の管理
(情報資産管理)
第15条 システムの情報資産(システムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報及び附票本人確認情報(以下「本人確認情報等」という。)並びに当該本人確認情報等が記録されたサーバに係る帳票並びにマイナンバーカード及び住民基本台帳カード(以下「マイナンバーカード等」という。)の管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長をもって充て、これ以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報政策課長をもって充てる。
(本人確認情報管理責任者)
第16条 本人確認情報管理責任者は、本人確認情報等を取り扱うことができる者を指定するものとするとともに、当該本人確認情報等の漏えい、滅失及び損傷の防止その他の当該本人確認情報等の適切な管理のため必要な措置をとらなければならない。
2 本人確認情報責任者は、本人確認情報等の記録されたサーバに係る帳票及びマイナンバーカード等の管理方法を定めるものとする。
(情報資産管理責任者)
第17条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、市民課長と協議して、システムのオペレーション計画を定めるものとする。
第6章 委託の管理
(委託を受けようとする者の管理体制等の調査)
第18条 市民課長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第19条 市民課長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第20条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第21条 市民課長は、必要に応じた受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
附則
この規程は、平成17年3月22日から施行する。
附則(平成23年告示第1号)
この規程は、告示の日から施行する。
附則(平成23年告示第64号)
この規程は、平成23年4月1日から施行する。
附則(平成24年告示第50号)
この規程は、平成24年4月1日から施行する。
附則(平成25年告示第70号)
この要綱は、平成25年4月1日から施行する。
附則(平成26年告示第115号)
この規程は、平成26年4月1日から施行する。ただし、第10条第2項、第12条及び第13条の規定は同年6月1日から施行する。
附則(平成29年告示第88号)
この規程は、平成29年4月1日から施行する。
附則(平成30年告示第163号)
この規程は、平成30年4月1日から施行する。
附則(令和6年告示第267号)
この規程は、告示の日から施行し、改正後の菊池市住民基本台帳ネットワークシステムセキュリティ規程の規定は、令和6年5月27日から適用する。