○神流町情報セキュリティポリシー規程

平成27年12月22日

訓令第8号

目次

第1章 総則(第1条―第3条)

第2章 情報セキュリティ基本方針(第4条―第9条)

第3章 情報セキュリティ対策基準

第1節 通則(第10条―第12条)

第2節 物理的セキュリティ(第13条―第17条)

第3節 人的セキュリティ(第18条―第26条)

第4節 技術的セキュリティ(第27条―第41条)

第5節 運用におけるセキュリティ(第42条―第50条)

第4章 雑則(第51条―第53条)

附則

第1章 総則

(目的)

第1条 この訓令は、本町における情報セキュリティ対策について基本的な事項を定めることにより、情報資産の安全性を確保することを目的とする。

(定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 情報セキュリティポリシー 情報セキュリティ基本方針と情報セキュリティ対策基準をあわせて情報セキュリティポリシーという。

(2) 内部ネットワーク 神流町議会事務局設置条例(平成15年神流町条例第161号)第2条に規定する組織、神流町課設置条例(平成15年神流町条例第7号)第1条に規定する組織、神流町会計管理者の補助組織規則(平成16年神流町条例第7号)第3条に規定する組織、神流町役場支所設置条例施行規則(平成15年神流町規則第4号)第2条に規定する組織、神流町教育委員会事務局組織規則(平成15年神流町教委規則第4号)第2条に規定する組織を相互に接続するための通信網とその構成機器及び記録媒体で構成され、処理を行う仕組みをいう。

(3) 情報システム等 ネットワーク機器、サーバー、パソコン、基本ソフトウェア、応用ソフトウェア、システム設定情報、外部記録媒体、システム構成図などの総称をいう。

(4) 情報資産 内部ネットワーク及び情報システム等の運用と開発に係る全ての情報の総称で、電磁的に記録された情報全てをいう。なお、情報資産には、紙等の有体物に出力された情報を含むものとする。

(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。

 機密性 権限のない者への重要な情報の漏えいを防ぐことをいう。

 完全性 情報の改ざん、破壊による被害を防止することをいう。

 可用性 権限のある者に、いつでも情報の利用を可能にすることをいう。

(6) サーバー 機器情報を集中的に管理し、原則として2台以上のクライアント機器からアクセスを受けて、共同で利用される情報機器をいう。

(7) クライアント 機器直接の管理人が職員個人となるパソコンなどの情報機器で、他の情報機器へアクセスすることが可能な機器の総称をいう。なお、情報資産の管理については他の情報機器と接続しないパソコンやワープロ等もクライアント機器と同様とする。

(職員等の義務)

第3条 情報資産に関する全ての職員(非常勤職員及び臨時職員を含む。以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たって情報セキュリティポリシー(以下「ポリシー」という。)を遵守する義務を負うものとする。

第2章 情報セキュリティ基本方針

(管理体制)

第4条 情報資産について、情報セキュリティ対策を推進・管理するための体制を確立するものとする。

(情報資産の分類)

第5条 情報資産をその内容に応じて分類し、その重要性に応じた情報セキュリティ対策を行うものとする。

(情報資産への脅威)

第6条 情報資産に対する脅威の発生度合いや発生した場合の影響を考慮すると、特に認識するべきものは次の各号に掲げる事項である。

(1) 外部の者による故意の不正アクセス・不正操作によるデータやプログラムの持ち出し・盗聴・改ざん・消去、コンピューターウィルス感染、機器及び媒体の盗難等

(2) 職員等による過失や、故意の不正アクセス・不正操作及び不正なプログラムの書込みによるデータやプログラムの持ち出し・盗聴・改ざん・消去、コンピューターウィルス感染、機器及び媒体の盗難、規定外の端末接続によるデータ漏えい等

(3) 地震、落雷、火災等の災害又は事故、故障によるサービス・業務の停止

(情報セキュリティ対策)

第7条 前条で示した脅威から情報資産を保護するために、次の各号に掲げる情報セキュリティ対策を講ずるものとする。

(1) 物理的セキュリティ対策情報システム等を設置する施設への不正な立ち入り、情報資産への損傷・妨害等から保護するために、情報システム等に対する物理的な対策を講ずる。

(2) 人的セキュリティ対策情報セキュリティに関する権限や責任を定め、全ての職員等にポリシーの内容を周知徹底させ、十分な教育や啓発が行われるように、必要な対策を講ずる。

(3) 技術及び運用におけるセキュリティ対策情報資産を外部及び内部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策を講ずる。

(4) 危機管理対策システム開発等の外部委託、ネットワークの監視、ポリシー遵守状況確認等の運用面での対策、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。

(情報セキュリティ対策基準の策定)

第8条 前条の情報セキュリティ対策を講ずるに当たって、遵守すべき行為及び判断等の基準を統一的なレベルで定め、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準(以下「対策基準」という。)第3章に定めるものとする。

(情報セキュリティ実施手順の策定)

第9条 対策基準を遵守して情報セキュリティ対策を実施するために、対策基準に基づき、情報セキュリティ管理者が管理する情報資産ごとに情報セキュリティ実施手順(以下「実施手順」という。)を策定し、情報セキュリティ委員会(以下「委員会」という。)の承認を得るものとする。

第3章 情報セキュリティ対策基準

第1節 通則

(対象者)

第10条 ポリシーを遵守しなければならない対象者は、職員等及び外部委託事業者とする。

(組織と体制)

第11条 情報セキュリティを管理・運営するための組織は、次の各号に掲げるものとする。

(1) 最高情報統括責任者

(2) 統括情報セキュリティ責任者

(3) 情報セキュリティ管理者

(4) システム管理者

(5) システム使用者

(6) 情報セキュリティ委員会

(情報資産の分類と管理)

第12条 情報資産の管理責任を次のように定めるものとする。

(1) 情報資産は、当該情報を作成した課等のシステム管理者が管理責任を有するものとする。

(2) 情報資産を利用するものは、情報の分類に従い利用する責任を有するものとする。

(3) 情報資産が複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならないものとする。

2 対象となる情報資産は、各々の情報の機密性、完全性及び可用性を踏まえ、次の重要性分類に従って分類する。

重要性分類

Ⅰ 個人情報及びセキュリティ侵害が住民の生命、財産等へ重大な影響を及ぼす情報

Ⅱ 公開することを予定していない情報及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼす情報

Ⅲ 外部に公開する情報のうち、セキュリティ侵害が行政事務の執行等に軽微な影響を及ぼす情報

Ⅳ 上記以外の情報

3 情報資産の詳細な管理方法については、次の各号に留意するものとする。

(1) 情報システム等で取り扱う情報資産について、第三者が重要性の識別を容易に行えないよう留意し、印刷物、ディスプレイ等への表示、ファイル名及び記録媒体等に分類を表示するなど適切な管理を行わなければならない。

(2) 重要な情報資産(重要性分類Ⅰ)は暗号化して管理するものとする。暗号化に用いた暗号鍵及び暗号化された当該情報は、実施手順に従って適切な管理を行わなければならない。

第2節 物理的セキュリティ

(サーバー機器)

第13条 サーバー機器内に管理される情報資産は、原則として情報を多重化して記録し、特に重要と思われるサーバー機器は、機器そのものの予備器を準備しておかなければならない。ただし、委員会がその必要を認めない機器については、多重化をしなくてもよいものとする。

2 サーバー機器は、容易に取外せないように固定するなど、必要な措置を施さなければならない。

3 サーバーの取付けを行う場合は、火災、水害、ほこり、振動、温度、湿度などの影響を可能な限り排除した場所に設置しなければならない。また、サーバー室には、消火設備を設けなければならない。ただし、消火剤は機器及び記録媒体に影響を与えるものであってはならない。

(サーバー室)

第14条 内部ネットワークの基幹機器及び重要な情報システム等を設置し、当該機器等又は重要性分類Ⅱ以上の情報資産の管理並びに運用を行うための部屋(以下「サーバー室」という。)を設置しなければならない。

2 サーバー室は、サーバー機器の動作補償範囲内の温度、湿度を24時間一定に保つなど、情報機器に対して適切な環境を維持しなければならない。

3 サーバー室は、当該サーバーの管理者以外の入退室ができないようにしなければならない。ただし、入退室を行う必要がある場合は、その記録を残し、また、職員の求めにより庁舎内作業許可証を提示しなければならない。

4 サーバー室の出入口は1箇所のみとし、制御機能、鍵、警報装置等によって、許可されていない立入りを防止しなければならない。

5 サーバー室内の機器類の配置は、緊急時にシステム使用者が円滑に避難できるように配慮しなければならない。

6 サーバー室を囲む外壁等の床下開口部は、全て塞がなければならない。

7 サーバー室への機器等の搬入には、職員が立ち会うなどの必要な措置を講じなければならない。

8 サーバー機器の電源については、当該機器を適切に停止できるまでの時間、必要な電力を供給できる予備電源を備え付けなければならない。また、落雷等による過電流に対して、サーバー機器を保護するための措置を可能な限り講じなければならない。

(ネットワーク機器)

第15条 ネットワーク機器は、その設置位置が一見して分からないように、その所在を隠すような配慮をしなければならない。

2 配線は、傍受又は損傷等を受けることがないように、必要な措置を講じ、主要な箇所の配線については、定期的な点検を行わなければならない。

3 無線LANの導入に当たっては、実施手順の定めに従わなければならない。

4 ネットワーク断線が業務に重大な影響を及ぼすようなネットワークについては、2系統にするなどの多重化を原則とする。

(クライアント機器)

第16条 クライアント機器は、職務遂行の目的でシステム使用者に貸与されるものであり、システム使用者は目的以外の使用を行ってはならない。

2 庁舎外持ち出しが許可されているクライアント機器以外は、原則として庁舎外に持ち出してはならない。職員等が業務上やむを得ず、持ち出し型クライアント機器を庁舎外へ持ち出す場合には、その所管となる情報セキュリティ管理者の許可が必要であり、持ち出しの事実についての記録を行わなければならない。

3 貸出し型クライアント機器を貸し出す場合は、統括情報セキュリティ責任者の許可が必要であり、貸出しの事実についての記録を行わなければならない。

4 全庁で統一的に使用するソフトウェアについては、委員会が定めたもの以外を使用してはならない。職務上やむを得ず、個別に使用する必要のあるソフトウェアについては、その導入について統括情報セキュリティ責任者の承認を必要とする。

5 原則としてクライアント機器には、重要な情報資産(重要性分類Ⅰ及びⅡ)を保存してはならない。

6 持ち出し型クライアント機器及び貸出し型クライアント機器での情報資産管理については、機器に記録して持ち出せる情報の制限や、持ち出し先からのアクセス制御・機器の取扱い関する基準を実施手順として定めなければならない。

7 クライアント機器が存在している場所から職員等が不在となる場合は、当該場所に施錠をするなど盗難防止のための措置を講じなければならない。

8 ネットワークに接続が許可されていないクライアント機器は、ネットワーク接続ができないよう、可能な範囲で物理的措置を講じなければならない。

(情報システム等の取扱い)

第17条 統括情報セキュリティ責任者は、全庁的に使用されるサーバー機器やクライアント機器及びネットワーク機器を管理し、その運用に関する権限及び責任を有するものとする。

2 情報セキュリティ管理者は、各課等において、所管される内部ネットワーク、情報システム等及び情報資産を管理し、その運用に関する権限及び責任を有するものとする。

3 統括情報セキュリティ責任者及び情報セキュリティ管理者は、所管する内部ネットワーク及び情報システム等に関する構成図や仕様書等を、記録媒体の形態に合った適切な保管をしなければならない。

4 取出しが可能な記録媒体は、実施手順に従って適切な管理を行わなければならない。

5 最終的に確定した情報を記録した記録媒体は、書込禁止措置を行った上で保管しなければならない。

6 重要な情報資産(重要性分類Ⅱ以上)を記録した記録媒体は、情報資産への脅威に対して充分に配慮された場所に保管しなければならない。

7 記録されている情報の種類を問わず、情報を記録できる情報システム等を破棄する場合は、その処分方法を適切に行わなければならない。

8 ハードディスク及びフロッピディスク等の記録媒体は、記録されている情報の重要度に関わらず、読み出しができないように物理的に破壊して廃棄しなければならない。

9 記録媒体を廃棄した場合は、その廃棄に関する記録を残しておかなければならない。

10 情報システム等の記録媒体を保守契約により交換する場合やレンタル機器の撤去を行う場合における記録媒体の処置については、実施手順に従った情報消去を行うか、記録媒体の処理法について情報消去に関する委託契約を行わなければならない。

11 情報セキュリティ委員会は、機器が接続できない、データの互換性が取れない等の不都合が生じないようにシステム全体が統合的に稼動できるように配慮し、導入される情報システム等の選択基準を実施手順として定めることができる。

第3節 人的セキュリティ

(最高情報統括責任者)

第18条 副町長又は教育長を最高情報統括責任者とする。

2 最高情報統括責任者の役割と責任については、次の各号に定めるものとする。

(1) 委員会で制定されたポリシーに基づき、庁舎内全ての情報セキュリティに関する総括的な権限と責任を有するものとする。

(2) 統括情報セキュリティ責任者及び情報セキュリティ管理者を通じて、全ての部署にポリシーの遵守を励行させることができる。

(3) 情報システム等の円滑な運用に必要な措置を統括情報セキュリティ責任者に指示し、システム統括管理責任者が行った緊急避難措置に対処するものとする。

(4) 統括情報セキュリティ責任者による日常的な情報セキュリティ対策の措置及び情報セキュリティ管理の状況に関する報告に対処するものとする。

(5) 神流町の最高意思決定組織への情報セキュリティに関する重要事項の報告又は勧告を行うことができる。

(6) 情報セキュリティに関わる町に対する苦情への対応(損害賠償請求など法的対応部署との連携を含む。)、及び町が外部から受けた被害への対応(被害回復請求など。)に当たるものとする。

(統括情報セキュリティ責任者)

第19条 情報政策を所管する課の課長を統括情報セキュリティ責任者とし、実務としての情報システム管理や緊急時の対応など、最高情報統括責任者を補佐するものとする。

2 統括情報セキュリティ責任者の役割と責任については次の各号に定めるものとする。

(1) 情報システム等が円滑に運用されるように、情報セキュリティの保持と強化のための技術的な調査検討を行うとともに、緊急時の総括的な連絡窓口として機能するものとする。

(2) 情報セキュリティに対する侵害のおそれがある場合には、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には、自らの判断に基づき、必要、かつ、十分な全ての措置を行う権限及び責任を有するものとする。この場合、全てのシステム使用者は、統括情報セキュリティ責任者の指示に従わなければならない。

(3) 情報セキュリティの管理及び監査の実施に関し、最高情報統括責任者を補佐し、情報セキュリティの保持と強化のために必要な技術的措置を提案することができる。

(4) 情報セキュリティの保持と強化を目的として、情報セキュリティ管理者に対して必要な情報を提供するとともに、技術的措置を指示し、その実施に関して協議を行うことができる。

(5) 情報セキュリティを維持するために、内部ネットワーク及び情報システム等における開発、設定の変更、運用、更新等に関して、その業務を所管する情報セキュリティ管理者に対して指導及び助言を行う権限を有するものとする。

(6) 情報セキュリティ管理者、システム管理者、システム使用者及びシステム使用者以外の利用者に対して、情報セキュリティ遵守に関する指導及び助言を行う権限を有するものとする。

(7) 所管する内部ネットワーク及び情報システム等に関する実施手順を策定し、委員会の承認を得なければならない。

(8) ポリシー及び実施手順の維持、管理を行い、緊急時対応計画の策定及び見直しを行うものとする。

(9) 多重化した機器の動作チェックを定期的に行わなければならない。

(情報セキュリティ管理者)

第20条 各課の課長又は課長補佐と同等以上の職の者を情報セキュリティ管理者とし、各課の情報システム等が円滑に運用されるように、情報セキュリティの保持と強化のための技術的な調査検討と対策の実施に当たるものとする。なお、別に管理者を必要とする場合は、システム管理者を置くことができる。

2 情報セキュリティ管理者の役割と責任については次の各号に定めるものとする。

(1) 所管する課等において、情報セキュリティに関する統括的な権限及び責任を有するものとする。

(2) 所管する内部ネットワーク及び情報システム等に関する実施手順を策定し、委員会の承認を得なければならない。

(3) 所管する課等における情報セキュリティに関する連絡体制の構築並びにポリシーと実施手順の遵守に関する意見の集約及びシステム使用者に対する教育、訓練、助言及び指示を行うものとする。

(4) 統括情報セキュリティ責任者との連絡などの対応に当たり、システム管理者と所管する課等のシステム使用者を統括するものとする。

(5) 統括情報セキュリティ責任者に対し、情報システム等の円滑な運用のために必要な技術的措置を提案することができる。

(6) 所管する課等において、情報セキュリティを守るために必要と判断したときは、統括情報セキュリティ責任者に連絡を行った上で、緊急避難措置をとることができる。

(システム管理者)

第21条 各課の課長補佐又は係長と同等以上の職の者を各課のシステム管理者とし、情報セキュリティ管理者の指示に従い、情報セキュリティを維持するための実質的な作業を担当する。

(システム使用者)

第22条 情報セキュリティ委員及びシステム管理者を含む情報資産を取り扱う職員等及び外部委託事業者をシステム使用者とする。

2 システム使用者の役割と責任については次の各号に定めるものとする。

(1) ポリシー及び実施手順に定められている事項を遵守しなければならない。情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ管理者又はシステム管理者に相談し、指示を仰がなければならない。

(2) システム使用者である職員、非常勤職員及び臨時職員は、使用する端末や記録媒体について、第三者に使用されること、又は許可なく情報を閲覧されることがないように、適切な措置を施さなければならない。

(3) システム使用者である職員、非常勤職員及び臨時職員は、情報セキュリティ管理者の許可を得ず、情報システム等及び情報資産を執務室外に持ち出してはならない。

(4) 異動、退職等により業務を離れた後も、職務上知り得た情報を漏らしてはならない。

(5) システム使用者である職員は、委員会に対してポリシー及び実施手順の改善を求めることができる。

(委員会)

第23条 委員会は、最高情報統括責任者が委員長となり、統括情報セキュリティ責任者と情報セキュリティ管理者により構成する。

2 委員の任期は、当該職にある期間とする。

3 委員会は、次の各号に掲げる事務を行う。

(1) ポリシー及び実施手順の策定と改定など、情報セキュリティに関する重要な事項の審議を行う。

(2) ポリシー及び実施手順の遵守及び違反に対する措置を行う。

(3) 情報セキュリティ管理者とシステム管理者に対し、ポリシーを遵守するために必要な基礎教育を行うとともに、職員等に幅広く、実施手順の手順どおりの操作が行える程度の初心者教育を行う。

(4) 緊急時対応について実施手順を定め、その内容を定期的に見直さなければならない。

(5) 統括情報セキュリティ責任者に緊急時の対処に対する訓練を実施させ、実際に情報資産に対する脅威が発生した場合に即応できるような体制を整えなければならない。

(6) 情報セキュリティに関する外部との対応に当たるものとする。

(7) 情報セキュリティ対策が実施されているかどうかについて、システム使用者が、相互の点検を行えるような仕組みを確立し、その手順について実施手順に定めなければならない。

4 最高情報統括責任者は、システム使用者の意見収集や情報セキュリティ診断を通じて、ポリシーに添った対応がどの程度実施されているかを評価し、今後のセキュリティレベルの向上にどのような措置を講じるべきかを討議するため、委員会を必要に応じて招集しなければならない。

(雇用及び契約)

第24条 雇用及び契約時に、ポリシー及び実施手順のうち、非常勤職員及び臨時職員が守るべき内容を必ず理解させ、実施及び遵守されなければならない。また、雇用及び契約の際、ポリシーを遵守する旨の同意書への署名を求めることができる。

2 ネットワーク及び情報システムの開発・保守を外部事業者に委託する場合は、外部委託事業者が守るべき内容及び守秘義務を明記した契約を締結しなければならない。契約書には、損害賠償等ポリシーが遵守されなかった場合の規定を定めなければならない。

(教育・研修)

第25条 委員会は、説明会の実施等により、システム使用者に対しポリシーについて啓発しなければならない。また、新規採用の職員等を対象とするポリシーに関する研修を実施しなければならない。

2 システム使用者は、定められた研修に参加し、ポリシー及び実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。

3 委員会は、緊急時対応を想定した訓練を職員等に定期的に行わなければならない。

(事故・障害の対応)

第26条 システム使用者は、情報セキュリティに関する事故、情報システムなどの不審な動作、公開情報の改ざん、システム上の障害及び誤作動を発見した場合は、情報セキュリティ管理者又はシステム管理者に直ちに報告しなければならない。

2 情報セキュリティ管理者及びシステム管理者は、報告のあった事故等について統括情報セキュリティ責任者に報告するとともに、実施手順などのあらかじめ定められた措置を講じなければならない。

3 統括情報セキュリティ責任者及び情報セキュリティ管理者は、システム使用者から報告やシステムの障害に関する問題及び処理を体系的に記録し、活用できるよう一定期間保存しなければならない。

第4節 技術的セキュリティ

(重要性分類Ⅰ及びⅡの管理)

第27条 統括情報セキュリティ責任者及び情報セキュリティ管理者は、所管する情報資産を実施手順に定められた基準と方法に従い、暗号化等を行わなければならない。

2 情報資産を外部へ送信又は搬出する際には、実施手順に定められた電子署名方式及び暗号を使用しなければならない。

3 緊急時に直ちに対処できるようにするため、多重化されたサーバー機器及びネットワーク機器で管理することを原則とする。

4 統括情報セキュリティ責任者及び情報セキュリティ管理者は、情報システム等の多重化に関わりなく、所管する情報資産の重要度に応じて、定期的に情報資産のバックアップを取らなければならない。

5 汎用受付システム等、外部の者が利用できるシステムにおいては、ネットワーク及び情報システム等を論理的に分けるなど、必要に応じて特に強固な情報セキュリティ対策をとらなければならない。

(重要性分類Ⅲ及びⅣの管理)

第28条 原則として、重要性分類Ⅱ以上に分類される情報資産の管理に準拠するが、重要性分類Ⅲ以下の情報資産は公開を前提としているため、この範囲において基準を緩和することができる。ただし、インターネットにより情報を公開・提供する場合には、当該情報システム等において盗難、改ざん、消去、踏み台(あるサーバーを足がかりに他のサーバーを攻撃する行為)等を防止しなければならない。また、メールシステム等においても、他のシステムに対する攻撃の踏み台とならないように適切な管理を実施しなければならない。

(禁止事項)

第29条 システム使用者による内部ネットワークや情報システム等及び情報資産の使用は、業務目的に沿ったもののみが許可され、業務目的以外での内部ネットワークへのアクセス、メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

2 システム使用者が業務目的以外で使用していることを発見した場合には、所属するシステム管理者に対して通知し、適切な措置を求めなければならない。業務目的以外の使用が改善されない場合、統括情報セキュリティ責任者は、当該システム使用者のアカウントの停止、あるいは剥奪をすることができる。

3 統括情報セキュリティ責任者が利用停止の措置を行った場合は、その事実を委員会に報告しなければならない。

4 システム使用者は、重要性分類Ⅱ以上に該当する情報資産を取り扱う場合、次の各号に定める行為を行ってはならない。特に、インターネットへの自動転送(リンク)は厳禁する。ただし、情報セキュリティ管理者の事前の了解を得た場合に限り、庁外への持ち出し又は庁外との送受信ができるものとする。

(1) 庁外への持ち出し

(2) インターネット等による庁外との送受信

(3) 個人の所有する記録媒体の持込み

5 システム使用者は、各自に貸与された情報システム等に対して、実施手順で許可されていないソフトウェアの導入を行ってはならない。

6 システム使用者は、各自に貸与された情報システム等に対して、機器の増設又は改造を行ってはならない。特に、モデム等の機器を増設して他の環境(インターネット等)へのネットワークの接続を行うことや、庁外からのアクセスが可能となる仕組みを行ってはならない。

(情報及びソフトウェアの交換)

第30条 組織間において、情報資産及びソフトウェアを交換する場合は、その取扱いに関する事項を実施手順で定め、統括情報セキュリティ責任者及び情報セキュリティ管理者の許可を得なければならない。

(電子メール及び文書サーバーの利用)

第31条 電子メールの利用及び文書サーバーの使用に関しては、実施手順に従わなければならない。

(アクセス制限)

第32条 システム使用者に応じてアクセスが可能な情報資産を制限しなければならない。また、システム使用者は、アクセス権のない情報システム等に接続してはならない。意図的でなく接続したときは、速やかに接続を切るようにしなければならない。

(システム使用者登録)

第33条 登録・変更は、統括情報セキュリティ責任者に対する申請により行う。システム統括管理責任者は、申請に基づきシステム使用者に対しアカウントを発効することで、システム使用者としての登録・変更を行う。

2 統括情報セキュリティ責任者がアカウントの登録、変更、抹消、登録情報の管理を行う場合の基準や手順等は、実施手順の定めに従わなければならない。

3 特に、異動や町外へ出向する職員及び退職者のアカウントの取扱いについては留意しなければならない。

(管理者権限)

第34条 ネットワークの管理者権限は、統括情報セキュリティ責任者のみが持つこととし、厳重に管理しなければならない。統括情報セキュリティ責任者の権限を代行する者は、システム統括管理責任者があらかじめ指名し、最高情報統括責任者が認めた者でなければならない。

2 情報システム等の管理者権限は、必要最小限の者に与え、厳重に管理しなければならない。情報セキュリティ管理者の権限を代行する者は、統括情報セキュリティ責任者があらかじめ指名し、最高情報統括責任者が認めた者でなければならない。

(外部からのアクセス)

第35条 外部からのアクセスの許可は統括情報セキュリティ責任者が行うものとし、必要最低限としなければならない。また、モバイル端末等の使用は、禁止とする。

(他行政機関とのネットワーク接続)

第36条 総合行政ネットワーク及び住民基本台帳ネットワークシステムについては、当該接続において取り扱う情報資産の重要性を考慮し、適切なアクセス制御を実施するものとする。

(外部委託事業者とのネットワーク接続)

第37条 サーバー機器を外部委託し、その事業者が所有するネットワークと内部ネットワークを接続する必要が生じた場合には、当該ネットワークのネットワーク構成、機器構成、セキュリティレベル等を委員会が検討し、内部ネットワーク、情報システム等及び情報資産に影響が生じないと明確に確認した上で接続しなければならない。

2 接続した当該ネットワークのセキュリティに問題が認められ、情報資産に脅威の危険性が生じた場合には、統括情報セキュリティ責任者は、速やかに当該ネットワークとの接続を物理的に遮断しなければならない。

(保守)

第38条 障害が起きないように備えるための予防保守を原則とし、障害に備えて簡易な保守部品は予備しておくものとする。

2 保守点検を行う場合は、作業及び作業終了後に業者から作業内容の説明を受け、その記録を残しておかなければならない。

(コンピューターウィルス対策)

第39条 持込み及び外部のネットワークから情報やソフトウェアを取入れる際には、実施手順に従ったウィルスチェックを行うとともに、サーバー機器側及びクライアント機器側の両方においてウィルスチェックを行わなければならない。

2 外部のネットワークへ情報やソフトウェアを送信する際にも、実施手順に従ったウィルスチェックを行い、外部へのウィルスが拡散することを未然に防止しなければならない。

3 統括情報セキュリティ責任者は、次の各号に掲げる事項を実施しなければならない。

(1) ウィスル情報について、システム使用者に対する注意喚起を行うこと。

(2) 常時、ウィルスに関する情報収集に努めること。

(3) ウィルスチェック用のパターンファイルは、常に最新のものの入手に努めること。

4 統括情報セキュリティ責任者及び情報セキュリティ管理者は、実施手順に従って、所管する情報システム等のウィルスチェックを行わなければならない。

5 システム使用者は、次の各号に掲げる事項を遵守しなければならない。

(1) 差出人が不明又は不自然に添付されたファイルは速やかに削除すること。

(2) ウィルスチェックの実行を途中で止めないこと。

(3) 統括情報セキュリティ責任者が提供するウィルス情報を常に確認すること。

(4) 添付ファイルのあるメールを送受信する場合は、ウィスルチェックを行うこと。

(不正アクセス対策)

第40条 不正アクセスの予防措置として、統括情報セキュリティ責任者は、次の各号に掲げる事項を実施しなければならない。

(1) 使用終了又は使用される予定のないポートを長時間空けた状態のままにしてはならない。

(2) セキュリティホールの発見に努め、メーカー等からパッチの提供があり次第、速やかにパッチをあてなければならない。

2 攻撃を受けることが明確な場合、不正アクセスへの対抗措置として統括情報セキュリティ責任者は、システムの停止を含む必要な措置を講じ、かつ、関係機関との連絡を密にして情報の収集に努めなければならない。

3 攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違法等犯罪の可能性がある場合には、記録の保存に努めるとともに、警察等関係機関との緊密な連携に努めなければならない。

(セキュリティ情報の収集)

第41条 統括情報セキュリティ責任者は、常に情報セキュリティに関する最新の情報収集に努め、情報セキュリティ上必要な措置を講じなければならない。

2 最高情報統括責任者は、これらの情報を定期的に取りまとめ、システム使用者に通知するとともに、ポリシーの改定につながる情報については、委員会に報告しなければならない。

第5節 運用におけるセキュリティ

(ICカード及びパスワードの管理)

第42条 ICカード等は、システム使用者間で共有してはならない。また、運用については、実施手順に従うものとする。

2 システム使用者は、パスワードの管理について、次の各号に掲げる事項を遵守しなければならない。

(1) パスワードを第三者に見られないように配慮しなければならない。

(2) パスワードを秘密にし、パスワードの照会には一切応じてはならない。

(3) いかなる場合も他のシステム使用者のパスワードを聞き出してはならない。

(4) パスワードの長さは十分な長さとし、文字列は想像しにくいものとしなければならない。

(5) 情報システム等又は情報資産に対する脅威がある場合には、パスワードを速やかに変更しなければならない。

(6) パスワードは定期的に、又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。

(7) 複数の情報システム等を扱うシステム使用者は、同じパスワードを異なるシステム間で使用してはならない。

(8) 仮のパスワードは、最初のログイン時点で変更しなければならない。

(9) 端末にパスワードを記憶させてはならない。

(情報システム等の監視)

第43条 統括情報セキュリティ責任者は、不正なクライアント機器が内部ネットワークに接続されていないか定期的に検査を行わなければならない。

2 情報セキュリティを維持する目的として、統括情報セキュリティ責任者は、所管する情報資産に対する利用履歴(アクセスログ等)を取得し、盗難、改ざん、消去等を防止する措置を施した上で一定期間保存しなければならない。

3 取得した利用履歴を定期的に検査、分析し情報資産の不正な利用がないかを監視しなければならない。また、これらの記録の正確性を確保するため、情報システム等には正確な時刻の設定を行わなければならない。

(ポリシーの遵守)

第44条 統括情報セキュリティ責任者及び情報セキュリティ管理者は、ポリシーが遵守されているかどうか、また、問題が発生していないかどうかについて常に確認を行い、問題が発生していた場合には、速やかに最高情報統括責任者に報告しなければならない。

2 最高情報統括責任者は、ポリシー及び実施手順の定めに従って、速やかに発生した問題に適切に対処しなければならない。

3 システム使用者は、ポリシーの違反を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告しなければならない。発生した違反が情報セキュリティに重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合は、直ちに実施手順の定めに従って関係者に連絡を行わなければならない。

(運用における留意点)

第45条 統括情報セキュリティ責任者は、システム使用者のアクセス記録、メール等の個人情報を閲覧できる権限を有する。情報の閲覧に関する手順は、実施手順に定めなければならない。ただし、法令で定められた個人情報の保護に関する情報の閲覧に関しては、当該法令に定められた手続に従わなければならない。

2 統括情報セキュリティ責任者及び情報セキュリティ管理者は、システム使用者が常にポリシー及び実施手順を参照できるよう配慮しなければならない。

(緊急時対応)

第46条 情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速、かつ、円滑に実施し、再発防止の措置を講じるために、緊急時対応の手順と方法を実施手順に定めておかなければならない。

(報告)

第47条 統括情報セキュリティ責任者は、侵害再発防止の措置を検討し、委員会へ報告しなければならない。

2 委員会は、報告に基づき必要に応じたポリシー及び実施手順の更新を行わなければならない。

3 委員会は侵害の事案概要と再発防止に関する措置を、システム使用者に周知しなければならない。

(遵守する法令等)

第48条 システム使用者は、職務の遂行において使用する情報資産について、次の各号に掲げる法令等を遵守し、これに従わなければならない。

(1) 行政手続等における情報通信の技術の利用に関する法律(平成14年法律第151号)

(2) 行政手続等における情報通信の技術の利用に関する法律の施行に伴う関係法律の整備等に関する法律(平成14年法律第152号)

(3) 電子署名に係る地方公共団体の認証業務に関する法律(平成14年法律第153号)

(4) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(5) 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)

(6) 行政機関の保有する情報の公開に関する法律(平成11年法律第42号)

(7) 電子署名及び認証業務に関する法律(平成12年法律第102号)

(8) 著作権法(昭和45年法律第48号)

(情報セキュリティの評価)

第49条 必要に応じて最高情報統括責任者は、委員会を通じて、システム使用者からポリシー遵守に関する意見を収集しなければならない。

(情報セキュリティ対策費)

第50条 統括情報セキュリティ責任者は、情報セキュリティ対策に要した経費を把握しなければならない。

第4章 雑則

(監査の実施)

第51条 ポリシーが遵守されていることを検証するため、最高情報統括責任者は、定期的に監査を行わなければならない。

2 最高情報統括責任者は、監査を外部事業者に委託することができる。

(罰則)

第52条 ポリシー及び別に定める実施手順に違反したものについては、その重大性、発生した事案の状況等に応じて懲戒処分の対象とする。

(委任)

第53条 この訓令に定めるもののほか、施行に関し必要な事項は、町長が定める。

附 則

この訓令は、平成27年12月22日から施行する。

神流町情報セキュリティポリシー規程

平成27年12月22日 訓令第8号

(平成27年12月22日施行)

体系情報
第3編 執行機関/第1章 長/第6節
沿革情報
平成27年12月22日 訓令第8号