○南アルプス市情報セキュリティー規則

平成16年4月15日

規則第28号

(目的)

第1条 この規則は、南アルプス市が取り扱う住民の個人情報及び行政運営上重要な情報資産を破壊、改ざん、消去、持ち出し等の脅威から保護し、住民の財産、プライバシー等を守り、安全かつ安定的な行政サービスを実施することを目的とする。

(定義)

第2条 この規則において次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1) 職員 本市の情報資産に接する全ての職員をいう。(臨時職員及び非常勤職員等を含む。)

(2) 受託事業者 本市から情報資産の取り扱いを委託されたものをいう。

(3) ネットワーク 電子計算機を相互に接続し通信する通信網をいう。

(4) 情報システム 電子計算機を用いて業務を情報処理する仕組みをいう。

(5) 情報資産 ネットワーク、情報システム及び情報システムで取り扱う全ての情報をいう。

(6) 機密性 情報資産を利用することを許可された者だけが情報を利用できることを確実にすることをいう。

(7) 完全性 情報及び処理方法が、正確であること及び完全であることを保護することをいう。

(8) 可用性 情報資産を利用することを認可された者が、必要なときに情報及び関連する情報資産を利用できることを確実にすることをいう。

(9) 情報セキュリティー対策 情報の機密性、完全性及び可用性を維持することをいう。

(11) 対策基準 本規則に基づき情報セキュリティー対策を実施するに当り、職員が統一的に遵守すべき行為、判断等の基準を定めたものをいう。

(職員の責務)

第3条 職員は、情報セキュリティーの重要性を認識し、業務の遂行に当って情報セキュリティーポリシー、実施手順及び関係法令に定められた事項を遵守し、情報資産並びに情報システムを適切に取り扱わなければならない。

(受託事業者の責務)

第4条 受託事業者は、情報セキュリティーの重要性を認識し、受託した業務の遂行に当っては情報セキュリティーポリシーを遵守しなければならない。

(情報資産への脅威)

第5条 情報セキュリティー対策を実施するに当り、特に認識すべき情報資産への脅威は、次に掲げる行為とする。

(1) 外部の者による故意の不正アクセス又は不正操作による情報資産の破壊、改ざん、消去、持ち出しその他の行為

(2) 職員又は受託事業者による誤操作、不正アクセス若しくは不正操作による情報資産の破壊、改ざん、消去、持ち出しその他の行為

(3) 地震、落雷、火災その他の災害による事故又は故障等による業務の停止

(情報セキュリティー対策)

第6条 市長は前条各号に規定する脅威から情報資産を保護するため、次に掲げる対策を講じるものとする。

(1) 人的セキュリティー対策 情報セキュリティーに対する責任、権限、役割を定め、職員に対する効果的な教育、訓練の実施その他の必要な対策を行う。

(2) 物理的セキュリティー対策 情報資産を有する区画への不正な立ち入り及び盗難、損傷、破壊並びに自然災害等から情報資産を保護するため、入退室管理その他の必要な対策を行う。

(3) 技術的及び運用におけるセキュリティー対策 外部からの不正アクセスやコンピュータウイルス等から情報資産を保護するため、ネットワーク管理、アクセス制御、コンピュータウイルス対策その他の必要な技術的対策を行う。また、情報セキュリティーポリシー遵守状況の確認、情報セキュリティー対策実施状況の監査その他の運用面における必要な対策を行う。

(実施手順の作成)

第7条 市が保有する情報資産を適切に保護するための具体的な情報セキュリティー対策を定めた情報セキュリティー実施手順(以下「実施手順」という。)は、別に定める。

(情報セキュリティー委員会)

第8条 情報セキュリティー対策を効果的に推進するため、南アルプス市情報セキュリティー委員会(以下「情報セキュリティー委員会」という。)を設置する。

2 情報セキュリティー委員会は、情報セキュリティーポリシー及び実施手順の遵守状況について確認するための監査組織を構成し、定期的に情報セキュリティー監査を実施しなければならない。

3 情報セキュリティー委員会は、監査の結果等から情報セキュリティーポリシー及び対策手順の見直しが必要と認められる場合には、その見直しを行わなければならない。

4 その他、情報セキュリティー委員会に関し必要な事項は、別に定める。

(その他)

第9条 この規則に定めるもののほか、必要な事項は、別に定める。

附 則

この規則は、公布の日から施行する。

南アルプス市情報セキュリティー規則

平成16年4月15日 規則第28号

(平成16年4月15日施行)