富士見市住民基本台帳ネットワークシステムセキュリティ規程

○富士見市住民基本台帳ネットワークシステムセキュリティ規程

平成29年12月28日

訓令第7号

富士見市住民基本台帳ネットワークシステム安全確保規程(平成14年訓令第14号)の全部を改正する。

第1章　総則(第1条・第2条)

第2章　組織(第3条―第7条)

第3章　情報資産管理(第8条―第13条)

第4章　アクセス管理(第14条―第19条)

第5章　委託管理(第20条―第22条)

第6章　入退室管理(第23条―第27条)

第7章　雑則(第28条)

附則

第1章　総則

(趣旨)

第1条　この規程は、富士見市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティの確保に関し必要な事項を定めるものとする。

(用語の定義)

第2条　この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　本人確認情報　住民基本台帳法(昭和42年法律第81号)第30条の6第1項に規定する本人確認情報をいう。

(2)　サーバ　本人確認情報を管理する専用の電子計算機をいう。

(3)　統合端末　サーバに接続する端末機をいう。

(4)　照合情報認証　指紋、手の静脈その他の個人を識別することができる生体情報を使用してアクセス権限を有する操作者であることを確認する認証方式をいう。

(5)　照合ID　照合情報認証を行う際に操作者を識別するために使用される符号をいう。

(6)　操作者ID　操作者に付与する操作権限ごとに当該操作者に対して割り当てられた符号をいう。

第2章　組織

(セキュリティ統括責任者)

第3条　住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、副市長をもって充てる。

(システム管理者)

第4条　住基ネットの適切な管理を実施するため、システム管理者を置く。

2　システム管理者は、市民部市民課長(以下「市民課長」という。)をもって充てる。

(令3訓令9・一部改正)

(セキュリティ責任者)

第5条　住基ネットを利用する所属に係るセキュリティ対策を実施するため、セキュリティ責任者を置く。

2　セキュリティ責任者は、市民課長をもって充てる。

(セキュリティ会議)

第6条　セキュリティ統括責任者は、セキュリティ会議を招集し、その議長となる。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1)　システム管理者

(2)　セキュリティ責任者

(3)　総務部長

(4)　政策財務部長

(5)　市民部長

(6)　総務部総務課長

(7)　総務部職員課長

(8)　政策財務部政策企画課長

(9)　政策財務部ICT推進課長(以下「ICT推進課長」という。)

3　セキュリティ会議は、住基ネットに係る次に掲げる事項を審議する。

(1)　セキュリティ対策の決定及び見直しに関すること。

(2)　セキュリティ対策の遵守状況の確認に関すること。

(3)　監査の実施に関すること。

(4)　教育及び研修の実施に関すること。

4　議長は、前項各号に掲げる事項のうち、特に重要と認める内容を審議したときは、富士見市情報公開・個人情報保護審議会条例(平成15年条例第5号)第2条に規定する富士見市情報公開・個人情報保護審議会の意見を聴くものとする。

5　議長は、必要があると認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

6　セキュリティ会議の庶務は、市民部市民課において処理する。

(令3訓令9・令5訓令1・一部改正)

(関係所属長に対する指示等)

第7条　セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係する所属の長に対して指示を行い、又は教育委員会等の他の執行機関に対して必要な措置を要請するものとする。

第3章　情報資産管理

(情報資産の管理責任者)

第8条　住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の適切な管理を実施するため、管理責任者を置く。

2　本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び当該本人確認情報が記載され、又は記録されたカードの管理責任者(以下「本人確認情報管理責任者」という。)並びにこれら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、市民課長をもって充てる。

(本人確認情報の管理方法等)

第9条　本人確認情報管理責任者は、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び当該本人確認情報が記載され、又は記録されたカードの管理方法を定めるものとする。

2　本人確認情報管理責任者は、統合端末の設置を行う所属の長と協議して住基ネットのオペレーション計画を定めるものとする。

3　本人確認情報管理責任者は、不正アクセス又はそのおそれがあり、本人確認情報の漏えい、毀損等の被害を受けるおそれがある場合には、当該本人確認情報の保護を優先し、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。

(本人確認情報の取扱方法)

第10条　本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報を適切に管理するための取扱方法を定めるものとする。

2　統合端末の画面において本人確認情報を取り扱う場合は、次に掲げる事項に留意しなければならない。

(1)　本人確認情報を長時間表示させないこと。

(2)　他の者に見られることがないよう、斜視防止フィルタを適用する等ののぞき見防止措置を行うこと。

3　本人確認情報の入力、削除及び訂正を行う場合は、次に掲げる事項に留意しなければならない。

(1)　本人確認情報の入力、削除及び訂正を行った者以外の者が当該作業の内容を確認すること。

(2)　本人確認情報管理責任者の承認を得てから訂正を行うこと。

(3)　実施年月日、実施者及び処理内容の記録を残すこと。

4　本人確認情報の検索及び抽出を行う場合は、次に掲げる事項に留意しなければならない。

(1)　業務上必要のない検索及び抽出を行わないこと。

(2)　事前に検索及び抽出の条件を明確にすること。

(3)　本人確認情報が表示された統合端末の画面の記録又は複写をしないこと(事前に本人確認情報管理責任者の承認を得て、その記録を残して行う場合を除く。)。

5　統合端末から離れる場合は、他の者に操作を行わせないため、業務アプリケーション(本人確認情報を検索し、修正し、及び管理するためのソフトウェアをいう。)を必ず終了するよう留意しなければならない。

6　大量(20人以上の者の情報量に限る。)の本人確認情報を出力する場合は、事前に本人確認情報管理責任者の承認を得るとともに、その記録を残すよう留意しなければならない。

(帳票の管理方法)

第11条　本人確認情報の管理対象とする帳票は、次の表に掲げる帳票とする。


広域交付住民票　転出証明確認書　転入通知確認書　住民票コード通知票　住民票コード変更通知票　住民票の写しの広域交付・転入・出処理件数一覧表　住民票コード要求・付番処理件数一覧表　本人確認情報更新処理件数一覧表　本人確認情報整合結果リスト　本人確認情報リスト　住民票の写し広域交付・転入・出処理件数年合計一覧表　住民票コード要求・付番処理件数年合計一覧表　本人確認情報更新処理件数年合計一覧表　戸籍附票記載事項通知処理件数一覧表

広域交付住民票　転出証明確認書　転入通知確認書　住民票コード通知票　住民票コード変更通知票　住民票の写しの広域交付・転入・出処理件数一覧表　住民票コード要求・付番処理件数一覧表　本人確認情報更新処理件数一覧表　本人確認情報整合結果リスト　本人確認情報リスト　住民票の写し広域交付・転入・出処理件数年合計一覧表　住民票コード要求・付番処理件数年合計一覧表　本人確認情報更新処理件数年合計一覧表　戸籍附票記載事項通知処理件数一覧表

2　本人確認情報管理責任者は、帳票管理簿を作成し、帳票の出力、保管、廃棄等を行う場合には、帳票管理簿に必要項目を記録させなければならない。

3　帳票及び帳票管理簿は、書庫等の施錠が可能である場所に保管しなければならない。

4　帳票を廃棄する場合は、事前に本人確認情報管理責任者の承認を得るとともに、帳票管理簿に廃棄状況を記録し、本人確認情報管理責任者に報告しなければならない。この場合において、廃棄の方法は、焼却、裁断、溶解等の帳票の内容を読み出せない処理方法によらなければならない。

(帳票の受渡管理方法)

第12条　本人確認情報管理責任者は、帳票受渡管理簿を作成し、帳票を利用する場合には、帳票受渡管理簿に必要項目を記録させなければならない。

2　帳票を持ち出す場合は、本人確認情報管理責任者の承認を得るとともに、当該帳票を使用していないときは、その安全を確保するため、書庫等の施錠が可能である場所に保管しなければならない。

3　持ち出した帳票を返却する場合は、帳票受渡管理簿に必要項目を記録し、本人確認情報管理責任者に報告しなければならない。

4　持ち出した帳票を盗難され、又は紛失した場合は、直ちに本人確認情報管理責任者に報告しなければならない。

(第8条第2項のこれら以外の情報資産の管理方法)

第13条　情報資産管理責任者は、第8条第2項のこれら以外の情報資産の管理方法(操作者の指定を含む。)を定めるものとする。

第4章　アクセス管理

(アクセス管理責任者)

第14条　住基ネットの構成機器に係るアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、市民課長をもって充てる。

(アクセス管理を行う機器)

第15条　アクセス管理を行う住基ネットの構成機器は、次に掲げる機器とする。

(1)　サーバ

(2)　統合端末

2　アクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより実施するものとする。

(照合ID及び操作者ID)

第16条　アクセス管理責任者は、次に掲げる事項を実施するものとする。

(1)　照合ID及び操作者IDの管理方法を定めること。

(2)　照合情報の登録及び削除の管理方法を定めること。

(3)　セキュリティ責任者と協議して操作者IDの種類ごとに操作者を定めること。

(4)　照合ID及び操作者IDの管理簿を作成すること。

(操作者の責務)

第17条　操作者は、前条第2号に掲げる事項を遵守しなければならない。

(操作履歴の保管)

第18条　アクセス管理責任者は、操作履歴を作成した年度から起算して7年度まで遡って当該履歴を解析することができるよう保管するものとする。

(オペレーティングシステムの管理)

第19条　アクセス管理責任者は、第15条第2項のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステム(アプリケーションソフトを実行するために機器の動作を直接制御する機能を有するシステムソフトウェアをいう。)について必要なセキュリティ対策を実施するものとする。

第5章　委託管理

(外部委託に係る調査及び承認)

第20条　システム管理者又はセキュリティ責任者は、住基ネットに係る業務について外部委託をしようとするときは、あらかじめ、当該委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。

2　システム管理者又はセキュリティ責任者は、外部委託をする事務の内容、理由及び情報の保護に関する事項について、あらかじめ、セキュリティ会議の審査を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第21条　外部委託をする場合には、当該委託に係る契約書に次に掲げる情報の保護に関する事項を明記しなければならない。

(1)　個人情報の取扱いに関すること。

(2)　個人情報保護管理者に関すること。

(3)　個人情報の使用に関すること。

(4)　厳重な保管、搬送、返還及び廃棄に関すること。

(5)　秘密保持に関すること。

(6)　再委託の禁止及び制限に関すること。

(7)　目的以外の利用及び第三者への提供の禁止に関すること。

(8)　複写及び複製の禁止に関すること。

(9)　事故発生時の報告義務に関すること。

(10)　措置事項に違反した場合の契約解除及び損害賠償に関すること。

(11)　その他個人情報の保護に関し必要な事項

(受託者に対する調査)

第22条　システム管理者又はセキュリティ責任者は、必要に応じて受託者における外部委託に係るセキュリティ対策の実施状況について調査するものとする。

第6章　入退室管理

(入退室管理者)

第23条　住基ネットの管理及び運用を行う室及び場所に係る入退室管理を実施するため、入退室管理者を置く。

2　入退室管理者は、統合端末の設置場所にあっては市民課長をもって充て、サーバ及びネットワーク機器の設置室並びに住基ネットのデータ、セキュリティ情報等の保管室にあってはICT推進課長をもって充てる。

(令3訓令9・一部改正)

(人退室管理を行う室及び場所)

第24条　次に掲げる住基ネットの管理及び運用を行う室及び場所において、それぞれのセキュリティ区分に応じた入退室管理を実施するものとする。


セキュリティ区分	住基ネットの管理及び運用を行う室及び場所
レベル1	統合端末の設置場所
レベル2	サーバ及びネットワーク機器の設置室
レベル3	住基ネットのデータ、セキュリティ情報等の保管室

2　それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりとする。


セキュリティ区分	入退室管理の方法
レベル1	(1)　入退を行う場合には、入退室管理者から事前に許可を得なければならない。 (2)　入退の許可を得た者が入退を行う際には、識別を行うために名札を着用しなければならない。
レベル2	(1)　入退を行う場合には、入退室管理者から事前に許可を得なければならない。 (2)　入退の許可を得た者が入退を行う際には、識別を行うために名札を着用し、及び照合情報認証又はパスワードを使用し、並びに入退に関する記録を受けなければならない。
レベル3	(1)　入退を行う場合には、入退室管理者から事前に許可を得なければならない。 (2)　入退の許可を得た者が入退を行う際には、識別を行うために名札を着用し、及びその都度、照合情報認証又はパスワードを使用し、並びに入退に関する記録を受けなければならない。

3　入退室管理者は、住基ネットの管理及び運用を行う室及び場所に係る入退室管理を行うほか、住基ネットのセキュリティを確保するため、入退室及び場所の管理に関し必要な措置を講じなければならない。

(照合情報認証又はパスワードの管理)

第25条　照合情報認証又はパスワードの管理は、ICT推進課長が行う。

2　ICT推進課長は、レベル2及びレベル3のセキュリティ区分に係る室への入退において、入退室管理者から許可を得ている者に限り、照合情報認証又はパスワードを貸与するものとする。

(令3訓令9・一部改正)

(入退に関する記録)

第26条　ICT推進課長は、レベル2及びレベル3のセキュリティ区分に係る入退室管理簿を作成し、入退を行う場合には、入退室管理簿に必要項目を記録させなければならない。

(令3訓令9・一部改正)

(報告の聴取等)

第27条　セキュリティ統括責任者は、適切な入退室管理が行われているかどうかについて、入退室管理者等から報告を聴取し、又は調査し、若しくは必要な指示を行うものとする。

第7章　雑則

(その他)

第28条　この規程に定めるもののほか、住基ネットのセキュリティの確保に関し必要な事項は、市長が別に定める。

附則

この訓令は、平成30年1月1日から施行する。

附則(令和3年3月31日訓令第9号)

この訓令は、令和3年4月1日から施行する。

附則(令和5年3月7日訓令第1号)

この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。

◆	平成29年12月28日	訓令第7号
◇	令和3年3月31日	訓令第9号
◇	令和5年3月7日	訓令第1号