(目的)

第1条　この規則は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項及び本市における情報資産に関する情報セキュリティ対策の基準を定めることを目的とする。

(定義)

第2条　この規則において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(対象とする脅威)

第3条　情報資産に対する脅威として、次に掲げる脅威を想定し、情報セキュリティ対策を実施するものとする。

(適用範囲)

第4条　この規則が適用される行政機関は、菊池市部設置条例(平成17年条例第7号)第1条に掲げる部、支所、会計課、教育委員会事務局、選挙管理委員会事務局、農業委員会事務局、監査委員事務局、公平委員会事務局、議会事務局及び各企業会計(以下「市等」という。)とする。

(職員等の遵守義務)

第5条　職員、非常勤職員及び会計年度任用職員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

(情報セキュリティ対策)

第6条　市等は、第3条に規定する脅威から情報資産を保護するために、次に掲げる情報セキュリティ対策を講じるものとする。

(情報セキュリティ監査及び自己点検の実施)

第7条　市等は、情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施するものとする。

(情報セキュリティポリシーの見直し)

第8条　市等は、情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合は、情報セキュリティポリシーを見直す。

(情報セキュリティ実施手順の策定)

第9条　市等は、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。ただし、情報セキュリティ実施手順は、公にすることにより市等の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

(最高情報セキュリティ責任者(CISO))

第10条　副市長を最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)とする。CISOは、本市における全てのネットワーク、情報システム等の情報資産の管理並びに情報セキュリティ対策に関する最終決定権限及び責任を有するものとする。

第11条　CISOは、情報セキュリティインシデントに対処するための体制(Computer Security Incident Response Team。以下「CSIRT」という。)を整備し、役割を明確化するものとする。

(統括情報セキュリティ責任者)

第12条　政策企画部長をCISO直属の統括情報セキュリティ責任者とし、統括情報セキュリティ責任者は、CISOを補佐しなければならない。

第13条　統括情報セキュリティ責任者は、市等の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有するものとする。

第14条　統括情報セキュリティ責任者は、市等の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有するものとする。

第15条　統括情報セキュリティ責任者は、情報セキュリティ責任者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有するものとする。

第16条　統括情報セキュリティ責任者は、市等の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合は、CISOの指示に従い、CISOが不在の場合は、自らの判断に基づき、必要かつ十分な措置を実施する権限及び責任を有するものとする。

第17条　統括情報セキュリティ責任者は、市等の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限並びに責任を有するものとする。

第18条　統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、CISO、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者及び情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

第19条　統括情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。

第20条　統括情報セキュリティ責任者は、情報政策課に自らの業務を補佐させることができる。情報政策課は、統括情報セキュリティ責任者の指示により第12条から本条までの権限及び責任に基づく作業を行うものとする。

(情報セキュリティ責任者)

第21条　部長、局長及び支所長を情報セキュリティ責任者とする。

第22条　情報セキュリティ責任者は、当該部局等の情報セキュリティ対策に関する統括的な権限及び責任を有するものとする。

第23条　情報セキュリティ責任者は、その所管する部局等において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有するものとする。

第24条　情報セキュリティ責任者は、その所管する部局等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約並びに職員等に対する教育、訓練、助言及び指示を行うものとする。

第25条　情報セキュリティ責任者は、その所管する部局等において、情報資産に対するセキュリティ侵害が発生した場合、又はセキュリティ侵害のおそれがある場合は、統括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。

第26条　情報セキュリティ責任者は、CISO又は第32条に規定する情報セキュリティ委員会による情報セキュリティ戦略の意思決定が行われた際には、その内容をその所管する部局等に提供するものとする。

(情報システム管理者)

第27条　各情報システムの担当課室長を情報システム管理者とする。

第28条　情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有するものとし、併せて、その所管する課室等の情報セキュリティ対策に関する権限及び責任を有するものとする。

第29条　情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行うものとする。

第30条　情報システム管理者は、その所管する課室等において、情報資産に対するセキュリティ侵害が発生した場合、又はセキュリティ侵害のおそれがある場合は、情報セキュリティ責任者へ速やかに報告を行い、指示を仰がなければならない。

(情報システム担当者)

第31条　情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を情報システム担当者とする。

(情報セキュリティ委員会)

第32条　CISO、統括情報セキュリティ責任者及び情報セキュリティ責任者は、情報セキュリティ委員会を構成する。

第33条　市等の情報セキュリティ対策を統一的に実施するため、情報セキュリティ委員会において、情報セキュリティポリシー等、情報セキュリティに関する重要な事項を決定するものとする。

(CSIRT)

第34条　CISO　は、CSIRTを整備し、その役割を明確化するとともに、CSIRTを情報政策課に所属する職員より選任し、その中からCSIRT責任者を置くものとする。

第35条　CISOは、CSIRTに所属する職員の中からCSIRT責任者を指名し、CSIRT責任者は、CSIRT内の業務統括、外部との連携等を行うものとする。

第36条　CSIRT責任者は、情報セキュリティの統一的な窓口として、情報セキュリティインシデントについて認知した場合、又は部局等より報告を受けた場合は、その状況を確認し、CISO及び統括情報セキュリティ責任者へ報告するものとする。その後、CISOからの指示に基づき、当該情報セキュリティインシデントについて総務省、都道府県等へ報告するとともに、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行うものとする。

第37条　CSIRT責任者は、情報セキュリティに関して、関係機関、他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、外部の事業者等との情報共有を行うものとする。

(兼務の禁止)

第38条　情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。

第39条　監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。

(情報資産の分類及び取扱制限)

第40条　情報資産は、機密性、完全性、可用性及びそれらを包括的に分類する重要性により、次の事項のとおり分類及び取扱制限を行うものとする。また、これらの分類の具体的例示及び取扱制限の方法は、対象となる組織及びシステムごとに策定する情報セキュリティ実施手順により定めるものとする。

(ネットワーク名称)

第41条　庁内ネットワークについては、次のとおり名称を定義し、併せてネットワーク内で管理する情報資産の重要性を定めるものとする。

(管理責任)

第42条　情報システム管理者は、その所管する情報資産について管理責任を有するものとする。

第43条　情報資産が複製又は伝送された場合は、複製又は伝送された情報資産も情報資産の分類に基づき管理しなければならない。

(情報資産の分類の表示)

第44条　情報資産は、取扱制限を明示する等適正な管理を行わなければならない。

(情報の作成)

第45条　情報の作成については、次に掲げるとおりとする。

(情報資産の入手)

第46条　入手した情報資産の取扱いは、次に掲げるとおりとする。

(情報資産の利用)

第47条　情報の利用については、次に掲げるとおりとする。

(情報資産の保管)

第48条　情報の保管については、次に掲げるとおりとする。

(情報資産の提供及び公表)

第49条　情報システム管理者は、市民に公開する情報資産について、正確性を確保しなければならない。

(情報資産の廃棄)

第50条　情報資産の廃棄を行う職員等は、廃棄を行った処理について、日時、担当者及び処理内容を記録しなければならない。

第51条　情報資産の廃棄を行う職員等は、情報システム管理者の許可を得なければならない。

(管理するネットワーク)

第52条　重要性3に分類された情報資産は、レベル3ネットワーク上で管理するものとする。レベル2ネットワーク及びレベル1ネットワーク上で管理する情報資産に重要性3に該当する情報が含まれる場合は、情報セキュリティ実施手順に定めた取扱制限の方法を用いて当該情報を保護しなければならない。

(情報資産の保管)

第53条　情報システム管理者は、重要性3の情報を記録した電磁的記録媒体を保管する場合は、施錠可能な場所に保管しなければならない。

(情報の送信)

第54条　電子メール等により重要性3の情報を送信する職員等は、必要に応じ、暗号化又はパスワード設定を行わなければならない。

(情報資産の運搬)

第55条　車両等により重要性3の情報資産を運搬する職員等は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

第56条　重要性3の情報資産を運搬する職員等は、情報システム管理者に許可を得なければならない。

(情報資産の提供)

第57条　重要性3の情報資産を外部に提供する職員等は、必要に応じ暗号化又はパスワードの設定を行わなければならない。

第58条　重要性3の情報資産を外部に提供する職員等は、情報システム管理者に許可を得なければならない。

(情報資産の廃棄)

第59条　重要性3の情報資産を廃棄する職員等は、情報を記録している電磁的記録媒体が不要になった場合は、電磁的記録媒体の初期化等情報を復元できないように処置した上で廃棄しなければならない。

(管理するネットワーク)

第60条　重要性2に分類された情報資産は、レベル2ネットワーク上で管理するものとする。レベル1ネットワーク上で管理する情報資産に重要性2に該当する情報が含まれる場合は、情報セキュリティ実施手順に定めた取扱制限の方法を用いて当該情報を保護しなければならない。

(情報資産の保管)

第61条　情報システム管理者は、重要性2の情報を記録した電磁的記録媒体を保管する場合は、施錠可能な場所に保管しなければならない。

(情報の送信)

第62条　電子メール等により重要性2の情報を送信する職員等は、必要に応じ、暗号化又はパスワード設定を行わなければならない。

(情報資産の運搬)

第63条　車両等により重要性2の情報資産を運搬する職員等は、必要に応じ、鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

第64条　重要性2の情報資産を運搬する職員等は、情報システム管理者に許可を得なければならない。

(情報資産の提供)

第65条　重要性2の情報資産を外部に提供する職員等は、必要に応じ暗号化又はパスワードの設定を行わなければならない。

第66条　重要性2の情報資産を外部に提供する職員等は、情報システム管理者に許可を得なければならない。

(情報資産の廃棄)

第67条　重要性2の情報資産を廃棄する職員等は、情報を記録している電磁的記録媒体が不要になった場合は、電磁的記録媒体の初期化等情報を復元できないように処置した上で廃棄しなければならない。

(管理するネットワーク)

第68条　重要性1に分類された情報資産は、レベル1ネットワーク上で管理するものとする。レベル1ネットワーク上で管理する情報資産に重要性2又は重要性3に該当する情報が含まれる場合は、情報セキュリティ実施手順に定めた取扱制限の方法を用いて当該情報を保護しなければならない。

(サーバ等の管理)

第69条　情報システム管理者は、サーバ等の機器の取付けを行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適正に固定する等、必要な措置を講じなければならない。

第70条　情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合は、内容を消去した状態で行わせなければならない。内容を消去できない場合は、情報システム管理者は、外部の事業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。

第71条　情報システム管理者は、庁外にサーバ等の機器を設置する場合は、情報セキュリティ委員会の承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

第72条　情報システム管理者は、機器を廃棄又はリース返却等を実施する場合は、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(管理区域の管理)

第73条　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋(以下「サーバ室」という。)並びに電磁的記録媒体の保管庫をいう。

第74条　情報システム管理者は、サーバ室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

第75条　情報システム管理者は、サーバ室内に配置する消火薬剤や消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(サーバ室の入退室管理等)

第76条　情報システム管理者は、サーバ室への入室は、許可された者のみに制限し、入退室管理簿の記載による入退室管理を行わなければならない。また、サーバ室に入室する場合は、身分証明書等を携帯し、情報システム管理者の求めにより提示しなければならない。

第77条　職員等及び外部委託事業者は、サーバ室に入室する場合は、身分証明書等を携帯し、情報システム管理者の求めにより提示しなければならない。

(機器等の搬入出)

第78条　情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員等又は委託した業者に確認を行わせなければならない。

第79条　情報システム管理者は、サーバ室の機器等の搬入出について、職員等を立ち会わせなければならない。

(通信回線及び通信回線装置の管理)

第80条　情報システム管理者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適正に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適正に保管しなければならない。

第81条　情報システム管理者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

(職員等が利用する端末や電磁的記録媒体等の管理)

第82条　情報システム管理者は、盗難防止のため、パソコン、モバイル端末及び電磁的記録媒体は、施錠管理等の物理的措置を講じ保管しなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。

(職員等の遵守事項)

第83条　職員等は、情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報システム管理者に相談し、指示を仰がなければならない。

第84条　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

第85条　職員等は、所有者又は使用者が市等のパソコン、モバイル端末、電磁的記録媒体、情報資産及びソフトウエアを外部に持ち出す場合は、情報システム管理者の許可を得なければならない。

第86条　職員等は、外部で情報処理業務を行う場合は、情報システム管理者の許可を得なければならない。

第87条　職員等は、所有者又は使用者が市等以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、情報システム管理者の許可を得て利用することができる。外部で情報処理作業を行う際には、安全管理措置に関する規程を遵守しなければならない。

第88条　職員等は、所有者又は使用者が市等以外のパソコン、モバイル端末、電磁的記録媒体等を使用する場合は、情報システム管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置に関する情報セキュリティ実施手順を遵守しなければならない。

第89条　情報システム管理者は、所有者又は使用者が市等のパソコン、モバイル端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

第90条　職員等は、所有者又は使用者が市等のパソコン及びモバイル端末のソフトウエアに関するセキュリティ機能の設定を情報システム管理者の許可なく変更してはならない。

第91条　職員等は、所有者又は使用者が市等のパソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること、又は情報システム管理者の許可なく情報を閲覧されることがないように、離席時のパソコン及びモバイル端末のロック並びに電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適正な措置を講じなければならない。

第92条　職員等は、異動、退職等により業務を離れる場合は、利用していた情報資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

(会計年度任用職員への対応)

第93条　情報システム管理者は、会計年度任用職員に対し、採用時に情報セキュリティポリシー等のうち、会計年度任用職員が守るべき内容を理解させ実施及び遵守させなければならない。

第94条　情報システム管理者は、会計年度任用職員を新規採用する場合は、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

(情報セキュリティポリシー等の掲示)

第95条　情報システム管理者は、職員等が常に情報セキュリティポリシー及び情報セキュリティ実施手順を閲覧できるように掲示しなければならない。

(外部委託事業者に対する説明)

第96条　情報システム管理者は、ネットワーク及び情報システムの開発・保守等を外部委託事業者に発注する場合は、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

(情報セキュリティに関する研修及び訓練)

第97条　統括情報セキュリティ責任者は、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

(研修計画の策定及び実施)

第98条　統括情報セキュリティ責任者は、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画の策定及びその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。

第99条　統括情報セキュリティ責任者は、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。

第100条　研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者、情報システム担当者その他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

第101条　統括情報セキュリティ責任者は、毎年度1回、情報セキュリティ委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。

(研修及び訓練への参加)

第102条　全ての職員等は、定められた研修及び訓練に参加しなければならない。

(庁内での情報セキュリティインシデントの報告)

第103条　職員等は、情報セキュリティインシデントを認知した場合は、速やかに情報システム管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。

第104条　前条の規定による報告を受けた情報システム管理者は、速やかに情報セキュリティ責任者に報告しなければならない。

第105条　情報セキュリティ責任者は、前条の規定により報告のあった情報セキュリティインシデントについて、CISO及び統括情報セキュリティ責任者に報告しなければならない。

(市民等外部からの情報セキュリティインシデントの報告)

第106条　職員等は、市等が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて、市民等外部から報告を受けた場合は、情報システム管理者に報告しなければならない。

第107条　前条の規定による報告を受けた情報システム管理者は、速やかに情報セキュリティ責任者に報告しなければならない。

第108条　情報セキュリティ責任者は、前条の規定により報告のあった情報セキュリティインシデントについて、CISO及び統括情報セキュリティ責任者に報告しなければならない。

(情報セキュリティインシデント原因の究明・記録、再発防止等)

第109条　CSIRTは、第103条から前条までの規定により報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。

第110条　CSIRTは、情報セキュリティインシデントであると評価した場合は、CISOに速やかに報告しなければならない。

第111条　CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

第112条　CSIRTは、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。

第113条　CISOは、CSIRTから、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

(ID及びパスワード等の管理)

第114条　職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

第115条　情報システム管理者は、ICカード等の紛失等の報告があった場合は、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

(IDの取扱い)

第116条　職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(パスワードの取扱い)

第117条　職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

(文書サーバの設定等)

第118条　情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。

第119条　情報システム管理者は、文書サーバを部課室等の単位で構成し、職員等が他部課室等のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。

(バックアップの実施)

第120条　情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策にかかわらず、定期的にバックアップを実施しなければならない。

(システム管理記録及び作業の確認)

第121条　情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

第122条　情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適正に管理しなければならない。

(情報システム仕様書等の管理)

第123条　情報システム管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体にかかわらず、業務上必要とする職員等以外の職員等が閲覧したり、紛失等がないよう、適正に管理しなければならない。

(ログの取得等)

第124条　情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

第125条　情報システム管理者は、ログとして取得する項目、保存期間、取扱方法、ログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。

(障害記録)

第126条　情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を障害記録として記録し、適正に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第127条　情報システム管理者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウエア等を設定しなければならない。

第128条　情報システム管理者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。

第129条　情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合は、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(複合機のセキュリティ管理)

第130条　情報セキュリティ委員会は、複合機を調達する場合は、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定しなければならない。

第131条　情報システム管理者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

第132条　情報システム管理者は、複合機の運用を終了する場合は、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(特定用途機器のセキュリティ管理)

第133条　情報システム管理者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。

(無線LAN及びネットワークの盗聴対策)

第134条　統括情報セキュリティ責任者は、無線LANの利用を認める場合は、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

第135条　情報システム管理者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

(電子メールのセキュリティ管理)

第136条　情報システム管理者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

第137条　統括情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。

第138条　統括情報セキュリティ責任者は、システム開発、運用、保守等のため庁舎内に常駐している外部委託事業者の作業員による電子メールアドレス利用について、外部委託事業者との間で利用方法を取り決めなければならない。

(電子メールの利用制限)

第139条　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

第140条　職員等は、複数人に電子メールを送信する場合は、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

第141条　職員等は、重要な電子メールを誤送信した場合は、情報システム管理者に報告しなければならない。

(電子署名・暗号化)

第142条　職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合は、統括情報セキュリティ責任者が定めた電子署名、暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

(無許可ソフトウエアの導入等の禁止)

第143条　職員等は、業務で使用する所有者又は使用者が市等のパソコン及びモバイル端末に無断でソフトウエアを導入してはならない。

第144条　職員等は、業務に必要がある場合は、統括情報セキュリティ責任者の許可を得て、ソフトウエアを導入することができる。なお、導入する場合は、情報システム管理者は、ソフトウエアのライセンスを管理しなければならない。

第145条　職員等は、不正にコピーしたソフトウエアを利用してはならない。

(機器構成の変更の制限)

第146条　職員等は、業務で使用する所有者又は使用者が市等のパソコン及びモバイル端末に対し機器の改造、増設及び交換を行ってはならない。

第147条　職員等は、業務で使用する所有者又は使用者が市等のパソコン及びモバイル端末に対し機器の改造、増設及び交換を行う必要がある場合は、統括情報セキュリティ責任者の許可を得なければならない。

(無許可でのネットワーク接続の禁止)

第148条　職員等は、統括情報セキュリティ責任者の許可なく、所有者又は使用者が市等以外のパソコン及びモバイル端末をネットワークに接続してはならない。

(業務以外の目的でのウェブ閲覧の禁止)

第149条　職員等は、業務以外の目的でウェブを閲覧してはならない。

第150条　統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報システム管理者に通知し適正な措置を求めなければならない。

(アクセス制御等)

第151条　情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。

(利用者IDの取扱い)

第152条　情報システム管理者は、利用者の登録、変更、抹消等の情報管理並びに職員等の異動、出向及び退職に伴う利用者IDの取扱い等の方法を定めなければならない。

第153条　情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

(特権を付与されたIDの管理等)

第154条　情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(職員等による外部からのアクセスの制限等)

第155条　職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、情報セキュリティ委員会の承認を得なければならない。

第156条　情報システム管理者は、内部のネットワーク又は情報システムに対する職員等の外部からのアクセスについては、アクセスが必要な合理的理由を有する必要最小限の職員等に限定しなければならない。

第157条　情報システム管理者は、職員等の外部からのアクセスを認める場合は、システム上利用者の本人確認を行う機能を確保しなければならない。

第158条　情報システム管理者は、職員等の外部からのアクセスを認める場合は、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

第159条　情報システム管理者は、外部からのアクセスに利用するパソコン及びモバイル端末を職員等に貸与する場合は、セキュリティ確保のために必要な措置を講じなければならない。

(認証情報の管理)

第160条　情報システム管理者は、職員等の認証情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

(情報システムの調達)

第161条　情報システム管理者は、情報システムの開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(情報システムの開発)

第162条　情報システム管理者は、情報システムの開発責任者及び作業者を特定しなければならない。

(情報システムの導入)

第163条　情報システム管理者は、情報システム開発・保守及びテスト環境からシステム運用環境への移行について、作業手順を明確にしなければならない。

第164条　情報システム管理者は、情報システムを移行する際は、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

第165条　情報システム管理者は、導入する情報システムの可用性が確保されていることを確認して、導入しなければならない。

第166条　情報システム管理者は、個人情報及び機密性の高い実データを、テストデータに使用してはならない。

第167条　情報システム管理者は、新たに情報システムを導入する場合は、既に稼働している情報システムに接続する前に十分なテストを行わなければならない。

(情報システム開発・保守に関連する資料等の整備・保管)

第168条　情報システム管理者は、情報システム開発・保守に関連する資料及び情報システム関連文書を適正に整備・保管しなければならない。

第169条　情報システム管理者は、テスト結果を一定期間保管しなければならない。

第170条　情報システム管理者は、情報システムに係るソースコードを適正な方法で保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第171条　情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

第172条　情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合は、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

第173条　情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(情報システムの変更管理)

第174条　情報システム管理者は、情報システムを変更した場合は、プログラム仕様書等の変更履歴を作成しなければならない。

(開発・保守用のソフトウエアの更新等)

第175条　情報システム管理者は、開発・保守用のソフトウエア等を更新又はパッチの適用をする場合は、他の情報システムとの整合性を確認しなければならない。

(不正プログラム対策)

第176条　情報システム管理者は、不正プログラム対策として、次に掲げる対策を講じなければならない。

(職員等の遵守事項)

第177条　職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(専門家の支援体制)

第178条　統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(不正アクセス対策)

第179条　統括情報セキュリティ責任者は、情報政策課と連携し、監視、通知、外部連絡窓口、適正な対応等を実施できる体制及び連絡網を構築しなければならない。

第180条　情報システム管理者は、不正アクセス対策として、次に掲げる措置をしなければならない。

第181条　統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合、又は攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講じなければならない。また、総務省及び他自治体と連絡を密にして情報の収集に努めなければならない。

第182条　統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128条)に違反する等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

第183条　統括情報セキュリティ責任者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課室等の情報システム管理者に通知し、適正な処置を求めなければならない。

第184条　情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

第185条　情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、職員等研修や自動再生無効化等の人的対策及び入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。

(セキュリティ情報の収集)

第186条　統括情報セキュリティ責任者は、セキュリティホールに関する情報を収集し、関係者間で共有しなければならない。また、情報システム管理者は、当該セキュリティホールの緊急度に応じて、ソフトウエア更新等の対策を実施しなければならない。

第187条　統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、対応方法について、職員等に周知しなければならない。

第188条　統括情報セキュリティ責任者は、情報セキュリティに関する情報を収集し、関係者間で共有しなければならない。また、情報システム管理者は、情報セキュリティに関する社会環境又は技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

(情報システムの監視)

第189条　情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

(情報セキュリティポリシーの遵守状況の確認)

第190条　情報セキュリティ責任者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合は、速やかに統括情報セキュリティ責任者に報告しなければならない。

第191条　統括情報セキュリティ責任者は、発生した問題について、適正かつ速やかに対処しなければならない。

第192条　情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合は、適正かつ速やかに対処しなければならない。

第193条　統括情報セキュリティ責任者は、不正アクセス、不正プログラム等の調査のために、職員等が業務に使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

第194条　職員等は、情報セキュリティポリシーに対する違反行為を発見した場合は、直ちに情報システム管理者に報告を行わなければならない。

第195条　前条の規定による違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合において、職員等は、次条に規定する緊急時対応計画に従って適正に対処しなければならない。

(侵害時の対応等)

第196条　情報システム管理者は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するために、情報セキュリティ実施手順の中で緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。

第197条　前条に規定する緊急時対応計画には、次の事項を定めなければならない。

第198条　情報システム管理者は、自然災害、大規模・広範囲にわたる疾病等に備えて別途策定された業務継続計画と緊急時対応計画との整合性を確保しなければならない。

第199条　情報システム管理者は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、緊急時対応計画の規定を見直さなければならない。

(例外措置)

第200条　情報システム管理者は、情報セキュリティ関係規程を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し又は遵守事項を実施しないことについて合理的な理由がある場合は、CISOの許可を得て、例外措置を講じることができる。

第201条　情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避の場合は、例外措置の実施後速やかに統括情報セキュリティ責任者に報告しなければならない。

第202条　統括情報セキュリティ責任者は、例外措置の申請書及び審査結果を適正に保管し、定期的に申請状況を確認しなければならない。

(法令遵守)

第203条　職員は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(懲戒処分等)

第204条　情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とするものとする。

第205条　職員等の情報セキュリティポリシーに違反する行動を確認した場合は、速やかに、CISO、統括情報セキュリティ責任者及び当該職員等が所属する部局支所の情報セキュリティ責任者に報告し、次の措置を講じなければならない。

(外部委託)

第206条　情報システム管理者は、外部委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

第207条　情報システム管理者は、クラウドサービスを利用する場合は、情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

第208条　情報システムの運用、保守等を外部委託する場合は、外部委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。

第209条　情報システム管理者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、前条の契約に基づき措置を実施しなければならない。また、その内容を情報セキュリティ責任者に報告するとともに、その重要度に応じて情報セキュリティ委員会に報告しなければならない。

(約款による外部サービスの利用における対策の実施)

第210条　情報システム管理者は、利用するサービスの約款その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適正な措置を講じた上で利用しなければならない。

(ソーシャルメディアサービスの利用)

第211条　情報システム管理者は、市等が管理するアカウントでソーシャルメディアサービスを利用する場合は、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービスに関する情報セキュリティ実施手順を定めなければならない。

第212条　情報システム管理者は、利用するソーシャルメディアサービスごとの責任者を職員等の中から定めなければならない。

(サーバ等の管理)

第213条　情報システム管理者は、サーバ等の機器の定期保守を実施しなければならない。

(サーバ室等の管理)

第214条　情報システム管理者は、重要性3の情報資産を扱うシステムを設置しているサーバ室について、当該情報システムに関連しない、又は個人所有であるパソコン、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

(通信回線及び通信回線装置の管理)

第215条　情報システム管理者は、重要性3の情報資産を取り扱う情報システムに通信回線を接続する場合は、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。

第216条　情報システム管理者は、重要性3の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。

(職員の利用する端末や電磁的記録媒体等の管理)

第217条　情報システム管理者は、職員等の情報システムへのログインに際し、パスワードの知識、ICカードの所持及び生体認証等の存在を利用する認証手段のうち複数の認証手段を併用するように設定しなければならない。

(情報システム全体の強靭性の向上)

第218条　情報システム管理者は、レベル3ネットワークと他の領域を通信できないようにしなければならない。ただし、レベル3ネットワークと外部との通信をする必要がある場合は、通信経路の限定(MACアドレス及びIPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。なお、外部接続先のネットワーク、パソコン等は、インターネット等と接続してはならない。

(情報のアクセス及び持ち出しにおける対策)

第219条　情報システム管理者は、情報システムが正規の利用者かどうかを判断する認証手段のうち、2つ以上を併用する認証(多要素認証)を利用しなければならない。また、業務ごとに専用端末を設置するよう努めるものとする。

第220条　情報システム管理者は、職員等が使用する所有者又は使用者が市等のパソコン及びモバイル端末は、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。

(職員等の遵守事項)

第221条　CISOは、重要性3の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(約款による外部サービスの利用に係る規程の整備)

第222条　情報システム管理者は、次の事項を含む約款による外部サービスの利用に関する規程を整備しなければならない。

(ソーシャルメディアサービスの利用)

第223条　重要性3の情報は、ソーシャルメディアサービスで発信してはならない。

(サーバ等の管理)

第224条　情報システム管理者は、サーバ等の機器の定期保守を実施しなければならない。

(サーバ室等の管理)

第225条　情報システム管理者は、重要性2の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しない、又は個人所有であるパソコン、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

(通信回線及び通信回線装置の管理)

第226条　情報システム管理者は、重要性2の情報資産を取り扱う情報システムに通信回線を接続する場合は、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。

第227条　情報システム管理者は、重要性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。

(情報システム全体の強靭性の向上)

第228条　情報システム管理者は、レベル2ネットワーク及びレベル1ネットワークの両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。なお、メール及びデータをレベル2ネットワークに取り込む場合は、次の実現方法等により、無害化通信を図らなければならない。

(職員の遵守事項)

第229条　CISOは、重要性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(不正プログラム対策)

第230条　職員等は、レベル1ネットワークで受信したインターネットメール又はインターネット経由で入手したファイルをレベル2ネットワークに取込む場合は、無害化しなければならない。

(約款による外部サービスの利用に係る規程の整備)

第231条　情報システム管理者は、次の事項を含む約款による外部サービスの利用に関する規程を整備しなければならない。

(ソーシャルメディアサービスの利用)

第232条　重要性2の情報は、ソーシャルメディアサービスで発信してはならない。

(情報システム全体の強靭性の向上)

第233条　情報システム管理者は、レベル1ネットワークにおいて、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

第234条　情報システム管理者は、市区町村のインターネット接続口を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁、都道府県等と連携しながら、情報セキュリティ対策を推進しなければならない。

(約款による外部サービスの利用に係る規程の整備)

第235条　情報システム管理者は、次の事項を含む約款による外部サービスの利用に関する規程を整備しなければならない。また、当該サービスの利用において、重要性3及び重要性2の情報が取り扱われないように規定しなければならない。

(実施方法)

第236条　CISOは、CSIRT責任者を情報セキュリティ監査統括責任者として指名し、ネットワーク、情報システム等の情報資産における情報セキュリティ対策状況について、必要に応じて監査を行わせなければならない。

(監査実施計画の立案及び実施への協力)

第237条　情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

第238条　被監査部門は、監査の実施に協力しなければならない。

(外部委託事業者に対する監査)

第239条　外部委託事業者に委託している場合は、情報セキュリティ監査統括責任者は、外部委託事業者から下請として受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を必要に応じて行わなければならない。

(報告)

第240条　情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。

(保管)

第241条　情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適正に保管しなければならない。

(監査結果への対応)

第242条　CISOは、監査結果を踏まえ、指摘事項を所管する情報システム管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報システム管理者に対しても、同種の課題及び問題点がある可能性が高い場合は、当該課題及び問題点の有無を確認させなければならない。

(情報セキュリティポリシー等の見直しへの活用)

第243条　情報セキュリティ委員会は、監査結果を情報セキュリティポリシー等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(実施方法)

第244条　情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度自己点検を実施しなければならない。

第245条　情報セキュリティ責任者は、情報システム管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度自己点検を行わなければならない。

(報告)

第246条　情報システム管理者は、自己点検結果及び自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

(自己点検結果の活用)

第247条　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

第248条　情報セキュリティ委員会は、この点検結果を情報セキュリティポリシー等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。

(情報セキュリティポリシー等の見直し)

第249条　情報セキュリティ委員会は、情報セキュリティ監査、自己点検の結果、情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー等について毎年度及び重大な変化が発生した場合は、評価を行い、必要があると認めた場合は、改善を行うものとする。