○尾張旭市情報セキュリティ対策基準
尾張旭市情報セキュリティ対策基準の全部を改正する。
目次
第1章 総則(第1条・第2条)
第2章 組織体制(第3条―第8条)
第3章 情報資産の分類及び管理方法(第9条―第17条)
第4章 情報システム全体の強靭性の向上
第1節 マイナンバー利用事務系(第18条・第19条)
第2節 LGWAN接続系(第20条・第21条)
第3節 インターネット接続系(第22条)
第4節 独立系(第23条)
第5章 物理的セキュリティ
第1節 サーバ等の管理(第24条―第29条)
第2節 管理区域の管理(第30条・第31条)
第3節 通信回線の管理(第32条)
第4節 執務室等の端末の管理(第33条)
第6章 人的セキュリティ
第1節 職員等の遵守事項(第34条―第36条)
第2節 研修(第37条)
第3節 情報セキュリティインシデントの報告(第38条)
第4節 認証情報の管理(第39条―第41条)
第7章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理(第42条―第63条)
第2節 アクセス制御(第64条―第66条)
第3節 システム開発、導入、保守等(第67条―第74条)
第4節 不正プログラム対策(第75条―第77条)
第5節 不正アクセス対策(第78条―第82条)
第6節 セキュリティ情報の収集(第83条)
第8章 運用
第1節 情報システムの監視(第84条・第85条)
第2節 情報セキュリティポリシーの遵守状況の確認(第86条・第87条)
第3節 侵害時の対応等(第88条―第90条)
第4節 例外措置(第91条・第92条)
第5節 法令遵守(第93条)
第6節 大規模又は広範囲にわたる疾病による人員不足への対処(第94条)
第7節 災害又はインフラ障害からの波及等の脅威への対処(第95条)
第9章 外部サービスの利用
第1節 業務委託(第96条―第103条)
第2節 情報資産を取り扱う外部サービスの利用(第104条)
第10章 評価及び見直し
第1節 監査(第105条―第108条)
第2節 自己点検(第109条・第110条)
第3節 本基準及び関係規程等の見直し(第111条)
第11章 委任(第112条)
附則
第1章 総則
(趣旨)
第1条 この基準は、尾張旭市情報セキュリティ基本規程(平成25年訓令第1号。以下「基本規程」という。)第2条第2号の規定に基づき、情報セキュリティ対策の実施に関し必要な事項を定めるものとする。
(1) コンピュータ 情報システムの構成要素のうち、サーバ、端末及びその周辺機器をいう。
(2) サーバ コンピュータのうち、端末から要求や指示を受け、情報や処理結果を返す役割を持つものをいう。
(3) 端末 コンピュータのうち、職員が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボード、マウス等の周辺機器を含む。)をいう。
(4) パソコン 端末のうち、その形態を問わず、机の上等に備えおいて業務に使用することを前提とし、移動して使用することを目的としないものをいう。
(5) モバイル端末 端末のうち、その形態を問わず、業務上の必要に応じて移動させて使用することを目的としたものをいう。
(6) ネットワーク 情報システムの構成要素のうち、コンピュータを相互に接続するための通信回線及びその構成機器(ソフトウェアを含む。)をいう。
(7) 電磁的記録媒体 情報システムの構成要素のうち、電磁的記録を保存するための媒体であり、内蔵電磁記録媒体(サーバ装置、端末、通信回線装置等に内蔵されるもの)と外部電磁記録媒体(USBメモリ、外付けハードディスクドライブ、DVD-R、磁気テープ等)の総称をいう。
(8) データ コンピュータで、プログラムを通して使われる記号化又は暗号化されたデジタル信号であって、人の知覚によって認識できないものをいう。
(9) 情報 人の知覚によって認識できるようデータを整形したものをいう。
(10) マイナンバー利用事務系 個人番号利用事務(社会保障、地方税又は防災に関する事務)、住民情報事務又は戸籍事務等に関わる情報システム及びその情報システムで取り扱うデータ及び情報をいう。
(11) LGWAN接続系 LGWANに接続された情報システム及びその情報システムで取り扱うデータ及び情報をいう(マイナンバー利用事務系を除く。)。
(12) インターネット接続系 インターネットメール、ホームページ管理システム等に関わる愛知県及び県内市区町村のインターネットとの通信を集約した自治体情報セキュリティクラウド経由でインターネットに接続された情報システム及びその情報システムで取り扱うデータ及び情報をいう。
(13) 独立系 あいち情報セキュリティクラウド経由以外のインターネットに接続された情報システム及びその情報システムで取り扱うデータ及び情報をいう。
(14) 通信経路の分割 LGWAN接続系、インターネット接続系及び独立系の各環境間の通信環境を分割した上で、LGWAN接続系及びインターネット接続系で安全が確保された通信のみを許可できるようにすることをいう。
(15) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着がない等、安全が確保された通信をいう。
(16) クラウドサービス アプリケーション、ソフトウェア等をネットワーク経由で利用する外部サービスをいう。
(17) 認証情報 情報システムの利用者が本人か否かを識別するための知識情報、所持情報、生体情報をいう。
(18) 多要素認証 認証情報である知識情報、所持情報及び生体情報のうち、2つ以上を組み合わせて認証することをいう。
(19) 管理区域 ネットワークの基幹機器又は重要な情報システムを設置し、当該機器等の管理及び運用を行う場所をいう。
(20) 内部管理系システム LGWAN接続系で運用する本市内部のデータ及び情報を全庁的に取り扱う情報システムをいう。
第2章 組織体制
(最高情報セキュリティ責任者)
第3条 市の保有する全ての情報資産及び情報セキュリティの管理並びに情報セキュリティ対策に関する最終決定権限及びこれらの責任を有する最高責任者として、最高情報セキュリティ責任者(Chief Intormation Security Officer。以下「CISO」という。)を置く。
2 CISOは、副市長をもって充てる。
(統括情報セキュリティ責任者)
第4条 CISOを補佐するものとして、統括情報セキュリティ責任者を置き、企画部長をもって充てる。
2 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
3 統括情報セキュリティ責任者は、市に情報セキュリティインシデントが発生した場合又は情報セキュリティインシデントが発生するおそれがある場合、CISOの指示又はCISOが不在の場合には自らの判断に基づき必要かつ十分な措置を行う権限及び責任を有する。
4 統括情報セキュリティ責任者は、情報セキュリティインシデントが発生した際は、CISOに直ちに報告を行うとともに、回復のための対策を講じなければならない。
(情報セキュリティ責任者)
第5条 市において所管する情報システムの統括的な権限及び責任を有する者として、情報セキュリティ責任者を置く。
2 情報セキュリティ責任者は、企画部情報政策課長をもって充てる。
3 情報セキュリティ責任者は、市の情報資産の管理及び情報セキュリティ対策に関する統括的な権限及び責任を有する。
(情報セキュリティ管理者)
第6条 各課等における情報セキュリティ対策に関する権限及び責任を有する者として、情報セキュリティ管理者を置く。
2 情報セキュリティ管理者は、各課等の長をもって充てる。
3 情報セキュリティ管理者は、その所掌する課等において、情報セキュリティインシデントが発生した場合又は情報セキュリティインシデントが発生するおそれがある場合、情報セキュリティ責任者へ直ちに報告を行い、指示を仰がなければならない。
(情報システム管理者)
第7条 各課等において所管する情報システムの権限及び責任を有する者として、情報システム管理者を置く。
2 情報システム管理者は、前項の情報システムを所管する課等の長をもって充てる。
3 情報システム管理者は、所管する情報システムに関する権限及び責任を有する。
4 情報システム管理者は、所管する情報システムの維持又は管理を行う。
(CSIRTの設置)
第8条 CISOは、情報セキュリティインシデントに対処するための体制(Computer Security Incident Response Team。以下「CSIRT」という。)を整備する。
2 CSIRTに関して必要な事項は、別に定める。
第3章 情報資産の分類及び管理方法
(情報資産の分類)
第9条 情報資産は、機密性、完全性及び可用性により分類し、当該分類に基づき情報セキュリティ対策を行うものとする。
2 情報資産の機密性による分類は、次の表のとおりとする。
分類 | 分類基準 | 取扱制限 |
機密性3 | 行政事務で取り扱う情報資産のうち、尾張旭市情報公開条例(平成12年条例第25号)第7条各号に規定される情報に相当する機密性を要する情報資産 | 1 機密性3の情報資産に対して支給された端末以外での作業の原則禁止 2 必要以上の複製及び配付禁止 3 機密性3の情報資産に対して適切な回線を用いた情報システムによる提供 4 データ及び情報の送信、情報資産の運搬・提供時における電子署名・暗号化・パスワード設定や鍵付きケースへの格納 5 復元不可能な処理を施しての廃棄 6 適切な回線の選択 7 電磁的記録媒体の耐火、耐熱、耐水及び耐湿を考慮した施錠可能な場所への保管 |
機密性2 | 行政事務で取り扱う情報資産のうち、機密性3に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | |
機密性1 | 機密性2又は機密性3の情報資産以外の情報資産 | ― |
3 情報資産の完全性による分類は、次の表のとおりとする。
分類 | 分類基準 | 取扱制限 |
完全性2 | 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、市民の権利が侵害される又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | 1 バックアップ、電子署名付与 2 電磁的記録媒体の耐火、耐熱、耐水及び耐湿を考慮した施錠可能な場所への保管 3 ログ及び必要な記録の取得 |
完全性1 | 完全性2の情報資産以外の情報資産 | ― |
4 情報資産の可用性による分類は、次の表のとおりとする。
分類 | 分類基準 | 取扱制限 |
可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、市民の権利が侵害される又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | 1 バックアップ 2 電磁的記録媒体の耐火、耐熱、耐水及び耐湿を考慮した施錠可能な場所への保管 |
可用性1 | 可用性2の情報資産以外の情報資産 | ― |
(情報資産の管理責任)
第10条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
(データ及び情報の作成)
第11条 データ及び情報を作成する者は、作成途上のデータ及び情報についても、紛失や流出等を防止しなければならない。また、データ及び情報の作成途上で不要になった場合は、当該データ及び情報を消去しなければならない。
(情報資産の利用)
第12条 情報資産を入手した者は、情報資産の分類に応じ、適正な取扱いをしなければならない。
(情報資産の利用)
第13条 情報資産を利用する者は、次に掲げる事項を遵守しなければならない。
(1) 業務以外の目的に情報資産を利用してはならない。
(2) 情報資産の分類に応じ、適正な取扱いをしなければならない。
(3) 電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。
(情報資産の保管)
第14条 情報セキュリティ管理者は、情報資産の分類に従って、情報資産を適正に保管しなければならない。
2 情報セキュリティ管理者は、情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。
3 情報セキュリティ管理者は、機密性2以上、完全性2又は可用性2の情報資産を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を考慮した施錠可能な場所に保管しなければならない。
(情報資産の運搬)
第15条 機密性2以上の情報資産を運搬する者は、情報セキュリティ管理者に許可を得なければならない。
2 車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。
(情報資産の提供、公表)
第16条 機密性2以上の情報資産を外部(市長その他の執行機関若しくは議会又はこれらに置かれる機関以外のものをいう。以下この条及び第58条において同じ。)に提供する者は、情報セキュリティ管理者に許可を得なければならない。
2 機密性3の情報資産を外部に提供する場合は、原則適切な回線を用いた情報システムを使用しなければならない。
3 機密性2の情報資産を外部に提供する場合は、必要に応じパスワード等による暗号化をしなければならない。
4 情報セキュリティ管理者は、市民に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄等)
第17条 情報資産の廃棄やリース返却等を行う者は、情報資産を記録している電磁的記録媒体について、機密性2以上の情報資産を復元できないように処置しなければならない。
第4章 情報システム全体の強靭性の向上
第1節 マイナンバー利用事務系
(マイナンバー利用事務系と他の領域との分離)
第18条 情報セキュリティ責任者は、マイナンバー利用事務系と他の領域を通信できないようにしなければならない。マイナンバー利用事務系と外部との通信をする必要がある場合は、通信経路の限定及びファイアウォールの設定を行わなければならない。また、その外部接続先についてもインターネット等と接続してはならない。ただし、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、この限りではなく、LGWANを経由して、インターネット等とマイナンバー利用事務系との双方向通信でのデータの移送を可能とする。
(データ及び情報の持ち出しにおける対策)
第19条 情報セキュリティ責任者及び情報システム管理者は、外部電磁的記録媒体による端末からのデータ及び情報の持ち出しができないように設定しなければならない。ただし、情報セキュリティ責任者の許可を得た場合はこの限りでない。
第2節 LGWAN接続系
(LGWAN接続系とインターネット接続系の分割)
第20条 LGWAN接続系とインターネット接続系において、情報セキュリティ責任者は、両環境間の通信経路の分割をした上で、必要な通信だけを許可できるようにしなければならない。なお、メールやデータをインターネット接続系及び独立系からLGWAN接続系に取り込む場合は、次に掲げる方式により、無害化通信を図らなければならない。
(1) インターネット接続系で受信したインターネットメール本文のみをLGWAN接続系に転送するメールテキスト化方式
(2) インターネット接続系端末から、LGWAN接続系端末へ画面を転送する方式
(3) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系又は独立系から取り込む方式
(4) その他情報セキュリティ責任者が認める方式
(LGWAN接続系と接続するクラウドサービス上での情報システムの扱い)
第21条 情報セキュリティ責任者及び情報システム管理者は、LGWAN接続系の情報システムをクラウドサービス上へ配置する場合は、その領域をLGWAN接続系として扱い、LGWAN回線を用いて接続しなければならない。
第3節 インターネット接続系
(インターネット接続系の強靭性の向上)
第22条 インターネット接続系において、情報セキュリティ責任者は、通信パケットの監視、ふるまい検査等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセスの監視の情報セキュリティ対策を講じなければならない。
2 情報セキュリティ責任者は、愛知県及び県内市区町村の自治体情報セキュリティクラウドに参加するとともに、関係省庁や愛知県等と連携しながら、情報セキュリティ対策を推進しなければならない。
第4節 独立系
(独立系の安全性の向上)
第23条 独立系において、情報セキュリティ責任者又は情報システム管理者は、情報セキュリティ対策を講じなければならない。
第5章 物理的セキュリティ
第1節 サーバ等の管理
(機器の設置)
第24条 情報システム管理者は、サーバ等の機器の設置を行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、震災時の転倒又は盗難防止のため、適正に固定する等、必要な措置を講じなければならない。
(機器の電源)
第25条 情報システム管理者は、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適正に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
2 情報システム管理者は、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(通信ケーブル等の配線)
第26条 情報システム管理者は、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
2 情報システム管理者は、許可した以外の者が配線を変更、追加できないように必要な措置を講じなければならない。
(機器の定期保守及び修理)
第27条 情報システム管理者は、機密性2以上、完全性2又は可用性2のサーバ等の機器の定期保守を実施しなければならない。
2 情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させる場合、内容を消去した状態で行わせなければならない。ただし、修理を委託する事業者との間で、守秘義務契約を締結し、秘密保持体制の確認等を行った場合はこの限りではない。
(庁外への機器の設置)
第28条 情報システム管理者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(機器の廃棄等)
第29条 情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全てのデータ及び情報を消去の上、復元不可能な状態にする措置を講じなければならない。
第2節 管理区域の管理
(管理区域の構造等)
第30条 情報セキュリティ責任者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。
2 情報セキュリティ責任者は、管理区域内の機器等に耐震対策、防火措置、防水措置等を講じなければならない。
3 情報セキュリティ責任者は、管理区域に配置する消火薬剤や消防用設備等を設置しなければならない。
(管理区域の入退室管理等)
第31条 情報セキュリティ責任者は、管理区域への入退室を制限し、認証情報や入退室管理簿の記載による入退室管理を行わなければならない。
2 職員及び委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、情報政策課職員の求めにより提示しなければならない。
3 情報システム管理者は、委託事業者による管理区域の機器の搬入出には、職員を立ち会わせなければならない。
第3節 通信回線の管理
第32条 情報セキュリティ責任者は、機密性2以上の情報資産を取り扱うネットワークについて、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化をしなければならない。
2 情報セキュリティ責任者は、前項を除くネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように、不正な通信の有無を監視する等の十分な情報セキュリティ対策を実施しなければならない。
第4節 執務室等の端末の管理
第33条 情報セキュリティ管理者及び情報システム管理者は、盗難防止のため、執務室等の端末のワイヤーによる固定又は使用時以外の施錠管理等の物理的措置を講じなければならない。電磁的記録媒体については、データ及び情報が保存される必要がなくなった時点で速やかに記録したデータ及び情報を消去しなければならない。
2 情報セキュリティ責任者及び情報システム管理者は、執務室等の端末は、ログインに際し、認証情報の入力を必要とするように設定しなければならない。
3 情報セキュリティ責任者は、マイナンバー利用事務系では、多要素認証を行うよう設定しなければならない。
4 情報システム管理者は、パソコン及びモバイル端末におけるデータの暗号化等の機能を有効に活用しなければならない。電磁的記録媒体についても、データ暗号化機能を備える媒体を使用しなければならない。
5 情報システム管理者は、モバイル端末の庁外での業務利用の際は、前項の対策に加え、遠隔消去機能を設定する等の措置を講じなければならない。
第6章 人的セキュリティ
第1節 職員等の遵守事項
(職員の遵守事項)
第34条 職員の遵守事項は次のとおりとする。
(1) 職員は、業務上必要のないデータ及び情報の作成、業務以外の目的での情報資産の庁外への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(2) 職員は、執務室等の端末、電磁的記録媒体、情報資産及びソフトウェアを庁外に持ち出す場合及び庁外で情報処理業務を行う場合には、情報セキュリティ管理者の許可を得なければならない。
(3) 職員は、支給以外の端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、情報セキュリティ管理者の許可を得て利用することができる。
(4) 職員は、支給以外の端末及び電磁的記録媒体等を利用する場合には、前号の規定による許可を得た上で、庁外で情報処理作業を行う際に安全管理措置に関する規定を遵守しなければならない。
(5) 職員は、端末における基本設定及びセキュリティ機能の設定を情報セキュリティ責任者又は情報システム管理者の許可なく変更してはならない。
(6) 職員は、端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は許可なく情報を閲覧されることがないように、離席時の端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適正な措置を講じなければならない。
(7) 職員は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
(会計年度任用職員等への対応)
第35条 情報セキュリティ管理者は、職員のうち、地方公務員法(昭和25年法律第261号)第22条の2第1項第1号の規定により採用された職員その他職員以外の者であって、市の業務に従事する者に対し、任用時に情報セキュリティポリシー等の内容を説明し、遵守させなければならない。
(委託事業者に対する説明)
第36条 情報システム管理者は、ネットワーク及び情報システムの開発、保守等を事業者に発注する場合、再委託事業者も含めて、情報セキュリティポリシー等の内容を説明し、遵守させなければならない。
第2節 研修
第37条 情報セキュリティ責任者は、定期的に情報セキュリティに関する研修を実施し、職員はそれに参加しなければならない。
2 情報セキュリティ責任者は、新規採用の職員に情報セキュリティに関する研修を実施しなければならない。
第3節 情報セキュリティインシデントの報告
第38条 情報セキュリティインシデントに関して必要な事項は、別に定める。
第4節 認証情報の管理
(ICカードの管理)
第39条 職員及びICカードを貸与された者は、自己の管理するICカードに関し、次の事項を遵守しなければならない。
(1) ICカードを、職員間で共有してはならない。
(2) 業務上必要のないときは、ICカードをカードリーダ又はパソコン等の端末のスロット等から抜いておかなければならない。
(3) ICカードを紛失した場合には、職員は情報セキュリティ責任者に、ICカードを貸与された者は情報セキュリティ管理者に速やかに報告し、指示に従わなければならない。
(認証情報の取扱い)
第40条 職員は、自己の管理する認証情報に関し、次の事項を遵守しなければならない。
(1) 自己が利用している認証情報は、他人に利用させてはならない。
(2) 共用認証情報を利用する場合は、許可された共用認証情報の利用者以外に利用させてはならない。
(パスワードの取扱い)
第41条 職員は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードは、他者に知られないように管理しなければならない。
(2) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
(3) パスワードの文字列は想像し難いものにしなければならない。
(4) パスワードが流出した疑いがある場合には情報セキュリティ管理者に速やかに報告し、パスワードを変更しなければならない。
第7章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理
(ファイルサーバの設定等)
第42条 情報セキュリティ責任者は、職員が使用できるファイルサーバの容量を設定し、職員に周知しなければならない。
2 情報セキュリティ責任者は、ファイルサーバを業務又は課等及び個人の単位で構成し、職員が他の業務又は課等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。
(バックアップの実施)
第43条 情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された機密性2以上、完全性2又は可用性2の情報資産について、サーバの冗長化対策にかかわらず、定期的にバックアップを実施しなければならない。
(内部管理系システムの利用)
第44条 内部管理系システムの利用に関して必要な事項は、別に定める。
(他団体との情報システムに関する情報等の交換)
第45条 情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、情報セキュリティ責任者の許可を得なければならない。
(システム管理記録及び作業の確認)
第46条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容についての記録、プログラム及び機器仕様書等の変更履歴を作成しなければならない。
3 情報システム管理者は、所管するシステムにおいて、運用又は保守によって機器の構成、設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直さなければならない。
4 情報システム管理者又は情報システム担当者及び契約により操作を認められた委託事業者がシステム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第47条 情報システム管理者は、ネットワーク構成図、情報システム仕様書について記録媒体にかかわらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適正に管理しなければならない。
(ログの取得等)
第48条 情報システム管理者は、機密性2以上、完全性2又は可用性2の情報を取り扱う情報システムについて、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
2 情報システム管理者は、ログとして取得する項目、保存期間、取得方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。
3 情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある職員又は第三者等による不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。
(障害記録)
第49条 情報システム管理者は、職員からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。
(ネットワークの接続制御、アクセス制御)
第50条 情報セキュリティ責任者及び情報システム管理者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の機器を設定しなければならない。
2 情報セキュリティ責任者及び情報システム管理者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。
3 情報セキュリティ責任者及び情報システム管理者は、保守又は診断のために外部の通信回線から内部の通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保し、情報セキュリティ対策について、定期的な確認により見直さなければならない。
(外部の者が利用できるシステムの分離等)
第51条 情報システム管理者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと分離する等の措置を講じなければならない。
(外部ネットワークとの接続制限等)
第52条 情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISOの許可を得なければならない。
2 情報システム管理者は、接続しようとする外部ネットワークに関するネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
3 情報システム管理者は、接続した外部ネットワークの瑕疵によりデータ又は情報の漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
4 情報システム管理者は、情報システムを外部に公開する場合、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。
5 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(複合機のセキュリティ管理)
第53条 情報セキュリティ責任者及び情報セキュリティ管理者は、複合機(プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能のうち複数のものが1つにまとめられている機器をいう。以下同じ。)を調達する場合、当該複合機が備える機能及び設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定しなければならない。
2 情報セキュリティ責任者及び情報セキュリティ管理者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 情報セキュリティ責任者及び情報セキュリティ管理者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全てのデータ及び情報を抹消する又は再利用できないようにする対策を講じなければならない。
(特定用途機器のセキュリティ管理)
第54条 情報セキュリティ責任者は、特定用途機器(テレビ会議システム、IP電話システム、ネットワークカメラシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている又は電磁的記録媒体を内蔵しているものをいう。)について、取り扱うデータ及び情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。
(無線LAN及びネットワークの盗聴対策)
第55条 情報セキュリティ責任者は、LGWAN接続系、インターネット接続系又は独立系の無線LAN(コンピュータを相互に接続する通信手段のうち、無線により接続する通信手段をいう。)機器を設置する場合、解読が困難な暗号化及び認証技術を使用しなければならない。
(電子メールのセキュリティ対策)
第56条 情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理をいう。)が行われることを不可能とするよう、電子メールサーバを設定しなければならない。
2 情報セキュリティ責任者は、電子メールの送受信容量の上限及び電子メールボックスの容量を設定しなければならない。
(電子メールの利用制限)
第57条 職員は、電子メールの使用に際し、次の事項を遵守しなければならない。
(1) 自動転送機能を用いて、電子メールを転送してはならない。
(2) 業務上必要のない送信先に電子メールを送信してはならない。
(3) 職員は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
(4) 重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。
(電子署名・暗号化)
第58条 職員は、機密性2、完全性2又は可用性2の情報資産について、外部に送るデータの機密性又は完全性を確保することが必要な場合には、指定された電子署名、パスワード等による暗号化等、セキュリティを考慮して、送信しなければならない。
2 職員は、暗号化を行う場合に情報セキュリティ責任者が指定した方法以外を用いてはならない。また、情報セキュリティ責任者が指定した方法で暗号のための鍵を管理しなければならない。
3 情報セキュリティ責任者は、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。
(無許可ソフトウェアの導入等の禁止)
第59条 職員は、情報セキュリティ責任者の許可なくパソコン及びモバイル端末にソフトウェアを導入してはならない。なお、許可を受け導入する際は、情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。
2 職員は、不正にコピーしたソフトウェア及びライセンス違反したソフトウェアを利用してはならない。
(機器構成の変更の制限)
第60条 職員は、情報セキュリティ責任者及び情報システム管理者の許可なくパソコン及びモバイル端末に対し機器の改造、増設及び交換を行ってはならない。
(業務外ネットワークへの接続の禁止)
第61条 職員は、支給された端末を、有線・無線を問わず、情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。
2 情報セキュリティ責任者及び情報システム管理者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限する。
(業務以外の目的でのウェブ閲覧の禁止)
第62条 職員は、業務以外の目的でウェブを閲覧してはならない。
2 情報セキュリティ責任者は、職員のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、当該職員が所属する情報セキュリティ管理者に通知し適正な措置を求めなければならない。
(Web会議サービスの利用時の対策)
第63条 情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。
2 職員は、情報セキュリティ責任者の定める利用手順に従い、Web会議の参加者や取り扱うデータ及び情報に応じた情報セキュリティ対策を実施しなければならない。
3 職員は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講じなければならない。
第2節 アクセス制御
(アクセス制御等)
第64条 情報システム管理者は、所管する情報システムにアクセスできる職員を適切に管理しなければならない。
2 情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員の異動、出向、退職者に伴う利用者認証情報の取扱い等の方法を定めなければならない。
3 情報システム管理者は、利用されていない認証情報が放置されないよう、点検しなければならない。
4 情報システム管理者は、不要なアクセス権限が付与されていないか定期的に確認しなければならない。
5 情報システム管理者は、管理者権限等の特権を付与された認証情報を利用する者を必要最小限にし、当該認証情報の漏えい等が発生しないよう、当該認証情報を厳重に管理しなければならない。
6 情報システム管理者は、特権による情報システムへの接続時間を必要最小限に制限しなければならない。
(職員による外部からのアクセス等の制限)
第65条 情報セキュリティ責任者は、LGWAN接続系に対する外部からのアクセスが必要な場合は、必要な者に限定しなければならない。
2 情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保するとともに、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
3 情報セキュリティ責任者は、LGWAN接続系に対する公衆通信回線(公衆無線LAN等をいう。)を介した外部からのアクセスを原則として禁止しなければならない。ただし、止むを得ず接続を許可する場合は必要な措置を講じなければならない。
(認証情報の管理)
第66条 情報セキュリティ責任者又は情報システム管理者は、職員の認証情報を厳重に管理しなければならない。
2 情報セキュリティ責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。
第3節 システム開発、導入、保守等
(情報システムの調達)
第67条 情報セキュリティ責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。また、情報システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に明記しなければならない。
(情報システムの導入)
第68条 情報セキュリティ責任者及び情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行い、開発の不備、プログラム上の欠陥並びに操作及び設定のミス等がないようにしなければならない。
2 情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認をしなければならない。
3 情報システム管理者は、個人情報及び機密性の高いデータを、テストデータに使用してはならない。
4 情報システム管理者は、開発したシステムについて受入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテスト又は共同テストを行わなければならない。
5 情報システム管理者は、委託事業者に対し、情報システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮したテスト計画を策定し、確実に検証が実施されるよう、必要に応じ適切に監督を行わなければならない。
(情報システムの納入時又は受入れ時)
第69条 情報システム管理者は、情報システムの納入時又は受入れ時の確認及び検査において、情報システムの情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。
2 情報システム管理者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認しなければならない。
(システム導入、保守に関連する資料等の整備・保管)
第70条 情報システム管理者は、システム導入及び保守に関連する資料及びシステム関連文書を適正に整備・保管しなければならない。
2 情報システム管理者は、テスト結果を一定期間保管しなければならない。
(情報システムにおける入出力データ及び情報の正確性の確保)
第71条 情報システム管理者は、情報システムに入力されるデータ及び情報について、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 情報システム管理者は、故意又は過失によりデータ及び情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
3 情報システム管理者は、情報システムから出力されるデータ及び情報について、情報処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(ソフトウェアの更新等)
第72条 情報システム管理者は、ソフトウェア等を更新、又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。
(システム更新又は統合時の検証等)
第73条 情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証をしなければならない。
(情報システムの対策の見直し)
第74条 情報システム管理者は、所管する情報システムの情報セキュリティ対策を適切に見直さなければならない。
2 情報システム管理者は、情報セキュリティ責任者による情報セキュリティ対策の見直しによる改善指示に基づき、所管する情報システムの情報セキュリティ対策を適切に見直さなければならない。
第4節 不正プログラム対策
(不正プログラム措置事項)
第75条 情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。
(1) 外部ネットワークにより送受信するファイルは、コンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入及び拡散を防止しなければならない。
(2) 所掌するサーバ及び端末は、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させ、ソフトウェア及びパターンファイルは、常に最新の状態に保たなければならない。また、インターネットに接続していないサーバ及び端末についても、感染、侵入が生じるおそれが著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。
(3) サーバ及び端末に対する不正プログラム対策ソフトウェアによるフルチェックは、定期的に実施しなければならない。
(4) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員に対して注意喚起しなければならない。
(5) 業務で利用するソフトウェアは、当該製品の利用を予定している期間中にパッチやバージョンアップ等の開発元のサポートが終了する予定がないことを確認しなければならない。
(6) 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報セキュリティ責任者が許可した職員を除く職員等に当該権限を付与してはならない。
(職員の遵守事項)
第76条 職員の不正プログラム対策としての遵守事項は、次のとおりとする。
(1) 職員は、外部からデータ、情報又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックをしなければならない。
(2) 職員は、差出人が不明な電子メールを受信した場合並びに添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックしなければならない。
(3) 職員は、インターネット接続系で受信したインターネットメールで入手したファイル及び独立系で入手したファイルをLGWAN接続系に取り込む場合は無害化しなければならない。
(4) 職員は、コンピュータウイルス等の不正プログラムに感染した、又は感染が疑われる場合は、事前に決められたコンピュータウイルス感染時の初動対応の手順に従って対応を行わなければならない。
(専門家の支援体制)
第77条 情報システム管理者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。
第5節 不正アクセス対策
(不正アクセス措置事項)
第78条 情報セキュリティ責任者は、サーバ等に不正アクセスを受けた場合又は不正アクセスを受けるおそれがある場合は、システムの停止を含む必要な措置を講じなければならない。また、総務省、愛知県等と連絡を密にして不正アクセス情報の収集に努めなければならない。
(記録の保存)
第79条 情報セキュリティ責任者は、サーバ等に不正アクセスを受け、当該不正アクセスが不正アクセス禁止法違反等の犯罪の疑いがある場合には、不正アクセスの記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(職員による不正アクセス)
第80条 情報セキュリティ責任者及び情報システム管理者は、職員による不正アクセスを発見した場合は、当該職員が所属する課等の情報セキュリティ管理者に通知し、適正な処置を求めなければならない。
(サービス妨害攻撃、サービス不能攻撃、サービス拒否の攻撃)
第81条 情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス妨害攻撃、サービス不能攻撃又はサービス拒否の攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第82条 情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、入口対策(標的型攻撃による組織内部への侵入を低減する対策をいう。)、内部対策(内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる対策をいう。)及び出口対策(外部との不正通信を検知して対処する対策をいう。)を講じなければならない。
第6節 セキュリティ情報の収集
第83条 情報セキュリティ責任者及び情報システム管理者は、サーバ装置、端末及び通信回線装置等におけるセキュリティホール等に関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
2 情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
第8章 運用
第1節 情報システムの監視
(情報システムの運用・保守時の対策)
第84条 情報セキュリティ責任者及び情報システム管理者は、情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用しなければならない。
2 情報セキュリティ責任者及び情報システム管理者は、情報システムの情報セキュリティ対策について、新たな脅威の出現、運用、監視等の状況により、見直しを適時検討し、必要な措置を講じなければならない。
3 情報セキュリティ責任者及び情報システム管理者は、機密性2以上、完全性2又は可用性2の情報資産を取り扱う情報システムについて、情報セキュリティインシデント発生時に適切な対処が行えるよう運用をしなければならない。
(情報システムの監視)
第85条 情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する侵害を検知するため、情報システムを監視しなければならない。
第2節 情報セキュリティポリシーの遵守状況の確認
第86条 情報セキュリティ責任者及び情報システム管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題が発生した場合には、適正かつ速やかに対処しなければならない。
(端末及び電磁的記録媒体等の利用状況調査)
第87条 情報セキュリティ責任者は、統括情報セキュリティ責任者が必要があると認める場合は、職員が使用している端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。
第3節 侵害時の対応等
(実施手順の作成)
第88条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティインシデントが発生した場合又は発生するおそれがある場合の連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するために必要な実施手順をあらかじめ定めるとともに、セキュリティ侵害時には当該手順に従って適正に対処しなければならない。
(実施手順の事項)
第89条 前条に規定する実施手順には、次の事項を定めなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
(実施手順の見直し)
第90条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて実施手順を見直さなければならない。
第4節 例外措置
(許可を得た例外措置)
第91条 情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用する又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を講じることができる。
(緊急時の例外措置)
第92条 情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することができないときは、事後速やかにCISOに報告しなければならない。
第5節 法令遵守
第93条 職員は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和25年法律第261号)
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) サイバーセキュリティ基本法(平成26年法律第104号)
(6) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
第6節 大規模又は広範囲にわたる疾病による人員不足への対処
第94条 情報システム管理者は、大規模又は広範囲にわたる疾病により、職員が不足することで、所管する情報システムが正常に運用できないことがないようにするための対策を講じなければならない。
2 情報システム管理者は、所管する情報システムの運用、保守等を業務委託している場合、大規模又は広範囲にわたる疾病による委託事業者の人員不足に伴い、責任者又は担当者が交代する場合の取決めを委託事業者との間で必要に応じて協議しなければならない。
第7節 災害又はインフラ障害からの波及等の脅威への対処
第95条 地震、落雷、火災等の災害又は電力供給の途絶、通信の途絶、水道供給の途絶等のインフラ障害からの波及等の脅威によって、サービス及び業務の停止等の情報セキュリティインシデントが発生することを考慮し、業務継続に関して必要な事項は、別に定める。
第9章 外部サービスの利用
第1節 業務委託
2 委託する業務の範囲は、前項の規定により判断した情報の範囲内での情報提供により、委託事業者が業務を遂行することができる範囲とする。
(業務委託の選定基準)
第97条 情報セキュリティ管理者は、委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
(業務委託実施前の対策)
第98条 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施までに、次の事項を実施しなければならない。
(1) 委託する業務内容の特定
(2) 委託事業者の選定条件を含む仕様の策定
(3) 仕様に基づく委託事業者の選定
2 情報セキュリティ管理者又は情報システム管理者は、情報システムの運用、保守等を業務委託する場合には、委託事業者との間で必要に応じて次の事項を明記した契約を締結しなければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
(2) 個人情報漏えい防止のための技術的安全管理措置に関する取り決め
(3) 委託事業者の責任者、委託内容、作業者の所属、作業場所の特定
(4) 提供されるサービスレベルの保証
(5) 委託事業者にアクセスを許可するデータ及び情報の種類と範囲、アクセス方法の明確化等のデータ及び情報のライフサイクル全般の管理の実施
(6) 委託事業者の従業員に対する教育の実施
(7) 提供された情報の目的外利用及び委託事業受託者以外の者への提供の禁止
(8) 業務上知り得た情報の守秘義務
(9) 再委託に関する制限事項の遵守
(10) 委託業務終了時の情報資産の返還、廃棄等
(11) 委託業務の定期報告及び緊急時報告義務
(12) 市による監査、検査
(13) 市による情報セキュリティインシデント発生時の公表
(14) 情報セキュリティポリシーが遵守されなかった場合の損害賠償等の規定
3 情報セキュリティ管理者又は情報システム管理者は、業務委託にあたり、委託事業者に重要情報を提供する場合は、必要に応じて秘密保持契約を締結しなければならない。
(業務委託実施期間中の対策)
第99条 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施期間において、次の事項を実施しなければならない。
(1) 第96条に規定する基準に従った重要情報の提供
(2) 契約に基づき委託事業者に実施させる情報セキュリティ対策の履行状況の定期的な確認及び措置の実施
(3) 委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を職員等より受けた場合における、委託事業の一時中断などの必要な措置を含む、契約に基づく対処の要求
2 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施期間において、次の事項の実施を委託事業者に求めなければならない。
(1) 情報の適正な取扱いのための情報セキュリティ対策
(2) 契約に基づき委託事業者が実施する情報セキュリティ対策の履行状況の定期的な報告
(3) 委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処
(業務委託終了時の対策)
第100条 情報セキュリティ管理者又は情報システム管理者は、業務委託の終了に際して、次の事項を実施しなければならない。
(1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収
(2) 委託事業者に提供した情報を含め、委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認
2 情報セキュリティ管理者又は情報システム管理者は、業務委託の終了に際して、次の事項の実施を委託事業者に求めなければならない。
(1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収
(2) 委託事業者に提供した情報を含め、委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認
(情報システムに関する業務委託における共通的対策)
第101条 情報システム管理者は、情報システムに関する業務委託の実施までに、情報システムに本市の意図しない変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。
(情報システムの構築を業務委託する場合の対策)
第102条 情報システム管理者は、情報システムの構築を業務委託する場合は、契約に基づき、次の事項の実施を委託事業者に求めなければならない。
(1) 情報システムのセキュリティ要件の適切な実装
(2) 情報セキュリティの観点に基づく試験の実施
(3) 情報システムの開発環境及び開発工程における情報セキュリティ対策
(情報システムの運用・保守を業務委託する場合の対策)
第103条 情報システム管理者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めなければならない。
2 情報システム管理者は、情報システムの運用・保守を業務委託する場合は、委託事業者が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託事業者に速やかな報告を求めなければならない。
第2節 情報資産を取り扱う外部サービスの利用
(外部サービスの規定の整備)
第104条 外部サービス(クラウドサービス)の利用に関して必要な事項は、別に定める。
第10章 評価及び見直し
第1節 監査
(監査の実施)
第105条 CISOは、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、必要に応じて監査を行わせなければならない。
2 情報セキュリティ責任者は、監査機能に不備がないように必要に応じて監査方法を見直さなければならない。
(監査を行う者の要件)
第106条 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者とする。
(保管)
第107条 情報セキュリティ責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書は、紛失等が発生しないように適正に保管しなければならない。
(監査結果の活用)
第108条 情報セキュリティ責任者は、監査結果を本基準及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第2節 自己点検
(自己点検の実施方法)
第109条 情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて情報セキュリティポリシーに沿った情報セキュリティ対策状況について、必要に応じて自己点検を実施しなければならない。
(自己点検結果の活用)
第110条 職員は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 情報セキュリティ責任者は、点検結果を本基準及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第3節 本基準及び関係規程等の見直し
第111条 情報セキュリティ責任者は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、本基準及び関係規程等について必要があると認めた場合、改善を行うものとする。
第11章 委任
第112条 この基準に定めるもののほか、必要な事項は、別に定める。
附則
この基準は、令和4年10月1日から施行する。
附則
この基準は、令和5年4月1日から施行する。
附則
この基準は、令和7年4月1日から施行する。