○龍ケ崎市情報セキュリティ対策に関する規程
平成27年10月1日
訓令第14号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第8条)
第3章 情報セキュリティ管理(第9条)
第4章 情報システム全体の強靭性の向上(第10条)
第5章 記録媒体セキュリティ管理(第11条・第12条)
第6章 情報システム機器セキュリティ管理(第13条―第15条)
第7章 施設管理対策基準(第16条―第18条)
第8章 人員セキュリティ管理(第19条・第20条)
第9章 外部委託セキュリティ管理(第21条―第23条)
第10章 情報セキュリティ教育(第24条)
第11章 情報システム機能セキュリティ管理基準(第25条―第28条)
第12章 情報システム開発環境セキュリティ管理(第29条―第32条)
第13章 情報システム開発品質保証セキュリティ管理(第33条―第38条)
第14章 情報システム運用セキュリティ管理基準(第39条―第49条)
第15章 情報システム利用者管理セキュリティ基準(第50条―第53条)
第16章 外部とのデータ交換セキュリティ管理(第54条―第56条)
第17章 サーバセキュリティ管理基準(第57条)
第18章 コンピュータウイルス対策(第58条)
第19章 ソフトウェアパッケージ管理(第59条)
第20章 ネットワークセキュリティ管理(第60条―第65条)
第21章 リモート保守管理(第66条・第67条)
第22章 情報セキュリティ事件及び事故の管理(第68条―第71条)
第23章 情報セキュリティ監査(第72条―第76条)
第24章 情報区分に基づいた管理(第77条・第78条)
第25章 ユーザID、パスワード及び利用者カードの取扱い(第79条・第80条)
第26章 情報システムの利用範囲(第81条)
第27章 電子メールの利用時の遵守事項(第82条)
第28章 Web会議サービスの利用時の遵守事項(第83条)
第29章 コンピュータウイルスに対する注意事項(第84条)
第30章 事故発生時の対処方法(第85条)
第31章 補則(第86条)
付則
第1章 総則
(趣旨)
第1条 この規程は、龍ケ崎市情報セキュリティ規則(平成15年龍ケ崎市規則第24号。以下「セキュリティ規則」という。)第8条の規定に基づき、市の情報システム及びそれに伴う職務において、情報セキュリティ対策を実現するため、情報セキュリティ対策を各業務に適用する際の基本となる情報資産の重要度に適合したセキュリティ機能の実現、市における関係諸規則及び情報セキュリティ実施手順等の作成並びに情報システム及び設備等のセキュリティ管理に関し、必要な事項を定めるものとする。
(1) 情報セキュリティ管理者 龍ケ崎市行政組織規則(平成15年龍ケ崎市規則第3号)第2条第1項に規定する課の長、龍ケ崎市会計管理者の補助組織設置規則(昭和63年龍ケ崎市規則第11号)第3条第1項に規定する課長、龍ケ崎市教育委員会事務局組織規則(昭和51年龍ケ崎市教育委員会規則第2号)第8条第1項に規定する課長、学校給食センター所長、教育センター所長、農業委員会事務局長、議会事務局課長、監査委員事務局の長及び龍ケ崎市立学校管理規則(昭和32年龍ケ崎市教育委員会規則第11号)第15条第1項に規定する校長をいう。
(2) 外部機関 市の機関以外の組織で委託先業者等をいう。
(3) 開発環境 プログラムの作成及び変更並びに開発したプログラム等の試験を行うために設置された開発者のみがアクセスできる仕組みをいう。
(4) 真正性 利用者の身元が主張どおりであることを保証したり、プロセス又はシステムの処理が仕様どおりであることを保証するなど、情報又は資源が本物であることをいう。
(5) 否認 申請完了後又は契約締結後に、その内容に関する事実を認めないことをいう。
(6) 情報システム機器 パソコン、サーバ等のコンピュータ及びハブ、ルータ等ネットワーク接続に必要な機器等をいう。
(7) 重要機能室 ネットワークの基幹機器及び重要なシステムを設置し、情報システム機器等の管理及び運用を行うための部屋等の総称をいう。
(8) システム開発責任者 システムの開発を行う課等の長をいう。
(9) 管理権限 情報システムを管理するために必要なアクセス権限をいう。
(10) 保守 情報システムの点検作業(不備及び不具合等があった場合の調整及び修復作業を含む。)をいう。
(11) ソフトウェアパッケージ 販売又は開発業者が著作権を保有しており、ライセンス販売しているソフトウェア製品のことをいう。
(12) ジョブローテーション 定期的に職務の移動を行うこと。
(13) システム管理者ソフト システム管理者の業務を効率化するための専用ソフトウェアのことをいう。
(14) 外部ネットワーク 市が管理していないネットワークをいう。
(15) 情報セキュリティ事件及び事故 次に掲げる事件及び事故をいう。
ア 情報がそれを利用する権限のない者に漏えいし、改ざんされ、又は破壊されること。
イ 情報システムの提供するサービスが妨害され、業務に支障をきたすこと。
ウ 決定された情報セキュリティ対策が適切に行われないことにより、情報が危険にさらされること。
(16) 管理エリア 重要な情報資産の管理を目的とした専用の区域をいう。
(17) 監査ログ 不正アクセス、情報セキュリティ事件及び事故の兆候の発見及び原因究明を目的として情報システムから収集される次に掲げる情報をいう。
ア 重要な資産に対するアクセス情報
イ システムコマンド及びユーティリティの実施情報並びにエラー情報
(18) システム運用管理者 情報セキュリティ管理者に指名された全庁システム又は個別システムの運用管理を担当する職員をいう。
(19) 記録媒体 持ち運びが可能な電子データの記憶媒体で磁気テープ、磁気ディスク、光ディスク等をいう。
(20) 情報セキュリティポリシー セキュリティ規則及びこの規程をいう。
第2章 管理体制
(最高情報セキュリティ責任者)
第3条 市に最高情報セキュリティ責任者(以下「CISO」という。)を置く。
2 CISOは、副市長とし、その役割は、次に掲げるとおりとする。
(1) 市における全ての情報資産に対する情報セキュリティ対策を総括すること。
(2) この規程の運用状況並びに情報セキュリティ委員会及び情報セキュリティ緊急対策会議の会議の内容について、必要に応じて市長に報告すること。
(3) 情報セキュリティ緊急対策会議の議長となること。
3 CISOに事故があるとき、又は欠けたときは、総合政策部長がその職務を代理する。
(情報セキュリティ委員会)
第4条 市の情報セキュリティ対策を推進する機関として、情報セキュリティ委員会を設置し、委員長には副市長をもって充て、副委員長には総合政策部長をもって充て、委員には部長(総合政策部長を除く。)、議会事務局長及び危機管理監をもって充てるものとし、その役割は、次に掲げるとおりとする。この場合において、会計課及び監査委員事務局に係る事項については総務部長が、農業委員会に係る事項については市民経済部長がその役割を担うものとする。
(1) この規程の内容の妥当性について必要に応じて見直しを行うこと。
(2) 情報セキュリティ事件及び事故に関して、情報セキュリティ委員会事務局の活動を統括すること。
(3) 情報セキュリティ事件及び事故への対応に関して、必要に応じて関係各所に報告、助言及び指示を行うこと。
(4) 所属職員に対し、情報セキュリティ委員会における検討事項を周知すること。
(5) 情報セキュリティ監査の結果の報告及び公表等に関すること。
2 副委員長は、前項に規定するもののほか、個人情報の保護に関する法律(平成15年法律第57号)第1条に規定する個人情報保護委員会が定めた特定個人情報の適正な取扱いに関するガイドライン(行政機関等編)(以下「ガイドライン」という。)に規定する総括責任者の役割を担うものとする。
(情報セキュリティ委員会事務局)
第5条 情報セキュリティ委員会の運営を円滑に行うために、情報セキュリティ委員会事務局をデジタル都市推進課に設置し、その役割については、次に掲げるとおりとする。
(1) 情報セキュリティ委員会委員長の指示に従い、情報セキュリティ委員会の招集事務を行うこと。
(2) 情報セキュリティ委員会委員長の指示に従い、情報セキュリティ委員会における検討事項を提起すること。
(3) 職員及び外部要員に対する情報セキュリティ教育を計画し、これを推進すること。
(4) 情報セキュリティ事件及び事故の発生を想定し、事故対応手順書を作成するとともに、事故対応手順書に沿ったテスト及び訓練を実施すること。
(5) 情報セキュリティ事件及び事故が発生した場合は、事故対応手順書に従って報告及び対処を行い、事故発生原因の究明に努め再発防止策の検討を行うこと。
(6) 情報セキュリティに関する情報収集及び庁内への情報発信を行うこと。
(7) 情報セキュリティ緊急対策会議が設置された場合は、情報セキュリティ緊急対策会議事務局となること。
(情報セキュリティ緊急対策会議)
第6条 市における情報資産に関する事件及び事故に適切かつ迅速に対応するため、CISOが必要と判断した場合に、情報セキュリティ緊急対策会議を設置し、議長にはCISOをもって充て、委員には情報セキュリティ委員会の副委員長及び委員を充てるものとし、その役割は、次に掲げるとおりとする。
(1) 情報資産に関する事件及び事故発生時の対応に関すること。
(2) 情報資産に関する事件及び事故の未然防止に関すること。
(情報セキュリティ事案対応チーム)
第6条の2 市における情報システムに対するサイバー攻撃等の情報セキュリティインシデントの正確な把握及び分析をし、被害拡大の防止、復旧、再発防止等を迅速かつ的確に行うために、情報セキュリティ事案対応チーム(以下「CSIRT」という。)を置く。
2 CSIRTの責任者、副責任者及びチーム員並びにCSIRT事務局は、情報セキュリティ委員会の委員長、副委員長及び委員並びに事務局をもって充てる。
(情報セキュリティ管理者)
第7条 情報資産の適切な管理及び利用の推進を行うために、各課等に情報セキュリティ管理者を置き、その役割については、次に掲げるとおりとする。
(1) 情報資産を取扱う際の手順を作成し、情報セキュリティ対策の現場への適用に対して責任を負うこと。
(2) 所属内に設置されている情報システムの適切な利用を推進すること。
(3) ガイドラインに規定する保護責任者の役割を担うこと。
(4) 龍ケ崎市コンピュータ等運用管理規程(平成20年龍ケ崎市訓令第5号)第7条第1項の端末管理者が担う同項各号に掲げる事項と、情報セキュリティ対策との連携を図ること。
(情報セキュリティアドバイザー)
第8条 情報セキュリティに関する専門的な知識及び経験を有する情報セキュリティアドバイザーを、必要に応じて置くことができる。
第3章 情報セキュリティ管理
(1) 情報区分Ⅰの情報 次に掲げる情報をいう。
ア 情報が脅威にさらされた場合に、個人又は法人に損失又は不利益を与える情報で次に掲げるものをいう。
(ア) 法令又は条例の規定により公開できない情報
(イ) 個人に関する情報(個人を識別可能なもの又は個人の権利利益を害するもの)
(ウ) 法人又は個人の権利、競争上の地位等、正当な利益を害するおそれがある情報
(エ) 公正かつ円滑な人事の確保に支障を及ぼすおそれのある人事情報(勤務成績、人事評定等)
(オ) 監査、検査、取締り又は試験に係る事務に関し、正確な事実の把握を困難にするおそれのある情報(事前の試験情報等)
イ その他情報セキュリティ管理者が必要と認めた情報(非公開とすることができる情報等)
(2) 情報区分Ⅱの情報 次に掲げる情報をいう。
ア 情報が脅威にさらされた場合に、事務又は事業の遂行に著しく支障を与える情報
イ 公正かつ能率的な事務又は事業を行うための要領、運用及び管理手順書又は調査研究情報(未発表の研究情報等)
(3) 情報区分Ⅲの情報 作業中の情報(公開前の情報)をいう。
(4) 情報区分Ⅳの情報 前3号に掲げるもの以外の情報をいう。
(1) 情報区分Ⅰの情報 次に掲げる項目
ア 保管責任者
イ 保管場所
ウ 保管媒体
エ 閲覧記録
オ 持ち出し及び貸与記録
(2) 情報区分Ⅱの情報 次に掲げる項目
ア 保管責任者
イ 保管場所
ウ 保管媒体
エ 庁外への持ち出し及び貸与記録
(3) 情報区分Ⅲ及び情報区分Ⅳの情報 次に掲げる項目
ア 保管責任者
イ 保管場所
ウ 保管媒体
3 情報セキュリティ管理者は、情報の公開承認手順及び利用範囲を明確にするものとする。
4 情報セキュリティ管理者は、情報の情報区分に変更があった場合は、変更後の情報区分に従い情報管理を行うものとする。
第4章 情報システム全体の強靭性の向上
(1) 個人番号利用事務系
ア 他の領域との分離
(イ) 外部との通信をする必要がある場合は、通信経路の限定及びアプリケーションプロトコルのレベルでの限定を行うこととし、外部接続先もインターネット等の外部との接続をさせないようにすること。ただし、国等の公的機関が構築したシステム等、十分に安全性が確保された外部連携先にあっては、LGWANを経由してインターネット等及びマイナンバー利用事務系の双方向通信においてデータ移送をすることができる。
イ 情報のアクセス及び持ち出しにおける対策
(ア) 情報のアクセス対策 情報システムにおける認証手段のうち、2つ以上を併用する多要素認証の利用及び業務毎の専用端末の設置
(イ) 情報の持ち出し制限 原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定すること。
ウ 個人番号利用事務系と接続されるクラウドサービス上での情報システムの扱い 個人番号利用事務系の端末及びサーバ等と専用回線により接続されるガバメントクラウド上の情報システムの領域は個人番号利用事務系として扱い、市の他の領域とはネットワークを分離すること。
エ 個人番号利用事務系と接続されるクラウドサービス上での情報資産の扱い
(ア) 個人番号利用事務系の情報システムをガバメントクラウドにおいて利用する場合は、その情報資産の機密性を考慮し、十分な強度を持った暗号による対策を行うこと。
(イ) クラウドサービス事業者が暗号に関する対策を行う場合又はクラウドサービス事業者が提供する情報資産を保護するための暗号機能を利用する場合は、クラウドサービス事業者が提供する機能、内容等が分かるものの提供を求めるとともに、その機能の理解に努め、必要な措置を行うこと。
(2) LGWAN接続系
ア インターネット接続系との分割 インターネット接続系との通信環境を分離した上で、必要な通信だけを許可できるようにすること。
イ 無害化通信の実施 メール又はデータを取り込む場合は、次の方式により、安全を確保すること。
(ア) インターネット環境で受信したメールの本文のみをLGWAN接続系に転送する方式
(イ) インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式
(ウ) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式
(3) インターネット接続系
ア 通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化による情報セキュリティインシデントの早期発見及び対処
イ LGWAN接続系への不適切なアクセス等の監視等
ウ 茨城県内の市町村のインターネット接続ポイントを集約する自治体情報セキュリティクラウドへの参加
エ 国及び茨城県等との連携による情報セキュリティ対策の推進
第5章 記録媒体セキュリティ管理
(記録媒体の管理)
第11条 重要な情報が格納された記録媒体を適切に管理し、利用権限のない者による不正利用から防止するため、情報セキュリティ管理者は、記録媒体管理の責任者を定め、記録媒体管理に関する実施体制及び管理責任を明確にするものとする。
2 記録媒体の利用許可制限については、次に掲げるとおりとする。
(1) 情報区分Ⅰ
ア 格納された情報の複写は、情報セキュリティ管理者の許可を必要とする。
イ 記録媒体の送付は、情報セキュリティ管理者の許可を必要とする。
ウ 記録媒体の庁舎外への持ち出し及び携行は、禁止とする。ただし、業務上必要とする場合には、情報セキュリティ管理者の許可を必要とする。
エ 記録媒体の廃棄は、情報セキュリティ管理者の許可を必要とする。
(2) 情報区分Ⅱ
ア 格納された情報の複写は、職務上知る必要のある者に限定する。
イ 記録媒体の送付は、情報セキュリティ管理者の許可を必要とする。
ウ 記録媒体の庁舎外への持ち出し及び携行は、禁止とする。ただし、業務上必要とする場合には、情報セキュリティ管理者の許可を必要とする。
エ 記録媒体の廃棄は、情報セキュリティ管理者の許可を必要とする。
(3) 情報区分Ⅲ
ア 格納された情報の複写は、職務上知る必要のある者に限定する。
イ 記録媒体の送付は、職務上知る必要のある者に限定する。
ウ 記録媒体の庁舎外への持ち出し及び携行は、情報セキュリティ管理者の許可を必要とする。
エ 記録媒体の廃棄は、情報セキュリティ管理者に委任する。
(4) 情報区分Ⅳについては、全ての利用許可制限を、記録媒体の情報セキュリティ管理者に委任する。
3 情報区分Ⅰ及び情報区分Ⅱに該当する情報が格納された記録媒体及び情報区分Ⅳに該当する情報が格納された記録媒体で原本となる場合は、施錠されたキャビネット等に保管するものとする。
4 市が管理する同一建物内において、情報区分Ⅰに該当する情報が格納された記録媒体を送付する場合には、情報漏えい対策(封筒に入れ親展の表示、手渡し、暗号化等)を講じるものとする。
5 情報区分Ⅰに該当する情報が格納された記録媒体を郵送機関を利用して送付する場合には、媒体を保護するための包装を施し、親展を表示し、書留相当で送付するものとする。
6 情報区分Ⅱ及び情報区分Ⅲに該当する情報が格納された記録媒体を、郵送機関を利用して送付する場合には、封筒に親展を表示し、宛名を記述して送付するものとする。
7 情報区分Ⅰに該当する情報が格納された記録媒体を配付する場合には、情報セキュリティ管理者に確認した後配付するものとする。
8 情報区分Ⅱ及び情報区分Ⅲに該当する情報が格納された記録媒体を配付する場合には、収受する者が情報を知る権利があることを確認した後配付するものとする。
9 外部機関に記録媒体を用いて情報を配付し、郵送する場合は、情報の利用権限を確認し、情報漏えいに留意するものとする。
10 情報区分Ⅰ、情報区分Ⅱ及び情報区分Ⅲに該当する情報が格納された記録媒体を廃棄する場合は、裁断する等物理的に破壊するものとする。
11 情報区分Ⅰ及び情報区分Ⅱに該当する情報が格納された記録媒体を今までの使用目的と違う用途で再利用する場合は、情報を物理的に消去(消去プログラムがある場合にはそれを利用し、無い場合には通常フォーマット)するものとする。
12 情報区分Ⅲに該当する情報が格納された記録媒体を再利用する場合は、情報を論理的に消去(ファイル削除等)するものとする。
13 職務時間内外を問わず、記録媒体を放置させないものとする。
(外部委託による記録媒体管理)
第12条 記録媒体の保管・保存、発送又は廃棄を外部に委託する場合は、次に掲げることにより、手順を明確にしなければならない。
(1) 委託先との秘密保持契約等による責任の明確化
(2) 保管、発送、廃棄等の保証
(3) 定期的な委託先の保管、発送及び廃棄プロセスの妥当性の確認
第6章 情報システム機器セキュリティ管理
(セキュリティ対策)
第13条 デジタル都市推進課は、情報システム機器の盗難、破壊及び利用権限のない者による格納情報の不正利用を未然に防止するための対策を講じるものとする。ただし、各課等で購入した情報システム機器の管理については、各課等の責任において実施するものとする。
(情報システム機器の管理)
第14条 情報システム機器の管理については、次に掲げるとおりとする。
(1) 情報システム機器の管理責任者を定め、情報システム機器に関して実施体制及び管理責任を明確にするものとする。
(2) 情報システム機器を導入、移設、廃棄、リース返却及び再利用する場合の申請手順を明確に定めるものとする。
(3) 情報システム機器を導入、移設、廃棄、リース返却及び再利用する場合、情報セキュリティ管理者が行う実施項目として以下のものを含めるものとする。
ア 格納されたデータの消去(消去プログラムの使用等)
イ ライセンス供与されたソフトウェアパッケージのアンインストール及び確認
(4) 情報システム機器の保有状況を定期的に確認し、台帳管理を行い、情報システム機器に変更があった場合は、随時台帳の更新を行うものとする。
(5) 情報システム機器の移設又は再利用時は、導入前に動作確認を行うものとする。
(6) 搬送する情報システム機器に格納されたデータのセキュリティ対策を施すものとする。
(7) 情報システム機器を庁外に搬送する場合には、次に掲げる項目を実施するものとする。
ア 外部業者と守秘義務契約を締結すること。
イ 物理的な破損又は衝撃から保護する梱包を行うこと。
(8) 紛失・盗難された場合の申請手順を明らかにするものとする。
(9) サーバ及びネットワーク機器などの情報システム機器は、重要機能室等の入室が制限された場所に設置し、又はラックで施錠管理するものとする。
(10) 情報システム機器の盗難に対する対策を検討するものとする。
(11) 廃棄予定の情報システム機器を保管する場合も施錠管理された場所で管理するものとする。
(12) 電力の連続性を必要とする情報システム機器では、情報システム機器の適性にあわせて無停電電源装置又は電源の多重供給等の対策を行うものとし、導入した対策装置は、定期的動作を試験するものとする。
(13) 操作手順には、情報システム機器に起因するトラブルが発生した場合の申請手順を明確にするものとする。
(14) 情報システム機器のコンピュータウイルス対策については、第18章の規定に準じて行うものとする。
(15) 情報システム機器のソフトウェアパッケージ管理については、第19章の規定に準じて行うものとする。
(外部業者の持ち込み機器)
第15条 外部業者は、原則、所有する機器を庁舎内に持ち込んではならない。ただし、情報セキュリティ管理者の許可を得た場合においては、この限りでない。
2 前項ただし書に規定する許可の実施に当たっては、情報セキュリティ管理者は、外部業者に許可を与える前に、情報セキュリティ委員会事務局と事前に協議を行い、他の情報システムへの影響について確認するものとする。
第7章 施設管理対策基準
(施設の管理)
第16条 施設の管理については、管財課の責任において実施するものとし、各室の管理については、各課等の責任において実施し、重要な情報が格納された情報システム機器及び記録媒体を適切に管理するものとする。
(執務室の管理)
第17条 執務室の管理については、管理体制を明確にするものとし、複写機及びFAX機器は、情報漏えいの危険性を考慮して職員の目の届く場所に設置するものとする。
(電算室の管理)
第18条 電算室の管理については、デジタル都市推進課長が責任者となり、管理に関する実施体制及び管理責任を明確にするものとする。
2 電算室のサーバ管理室では、自然災害、火災等の被害を最小限に抑えるため、次に掲げる対策を検討するものとする。
(1) 停電に備えるための補助電源設備の導入
(2) 火災に備えるための火災検知、消火及び保護装置の導入
(3) 地震に備えるための固定等の転倒防止策の導入
3 システムの安定稼動条件を満たすため、次に掲げる対策を検討するものとする。
(1) 温度による動作異常を防止するための空調設備の整備
(2) 湿度による結露を防止するための整備
4 電算室は、施錠可能とし、入室に関する申請手順を明確にするものとする。
5 電算室の入退室については、次に掲げる方法で行うものとする。
(1) 個人単位で識別が可能な入退管理装置の設置
(2) 入退室履歴の取得
(3) 履歴の確認(入退室に矛盾がないことを確認)
6 電算室内では、許可されない限り、電子機器、スマートフォン、カメラ、ビデオ、ICレコーダー等による撮影及び録音をしてはならない。
7 電算室内において、許可されたスマートフォン及び記録媒体に当市のデータを記録してはならない。ただし、情報セキュリティ管理者の許可を得た場合においては、指示に従い、記録することができるものとする。
8 電算室内においては、次に掲げることをしてはならない。
(1) 危険物と認められる物の持ち込み
(2) 複写機及びFAX機器の設置
(3) 喫煙及び飲食
第8章 人員セキュリティ管理
(人員セキュリティの管理)
第19条 人員セキュリティの管理については、職員及び外部要員等の職務範囲及び職務権限を明確にし、内部不正及び人的過失による情報セキュリティ上の事故発生を未然に防止することを目的にデジタル都市推進課の責任において実施する。
2 デジタル都市推進課長は、職員に対して、次に掲げる事項を遵守させるものとする。
(1) 情報セキュリティポリシー及び実施手順に定められている事項を遵守すること。
(2) 情報セキュリティ対策について不明な点及び遵守することが困難な点については、速やかに情報セキュリティ管理者に報告させること。
(3) 異動、退職等により業務を離れる場合には、知り得た情報を秘匿にさせること。
(外部要員のセキュリティの管理)
第20条 業務委託契約等については、外部要員が作業する場合は、契約内容に次に掲げる事項を含めるものとする。
(1) 守秘義務及び責任範囲
(2) 情報セキュリティポリシー及び実施手順に定められている事項を遵守すること。
(3) 情報セキュリティ対策について不明な点及び遵守することが困難な点については、速やかに各課等の情報セキュリティ管理者に報告すること。
(4) 名札及び身分証明書を着用し、又は携帯すること。
第9章 外部委託セキュリティ管理
(外部委託のセキュリティ管理)
第21条 外部委託のセキュリティ管理については、委託業務に関する情報セキュリティ事件及び事故を未然に防止することを目的にデジタル都市推進課の責任において実施するものとし、委託契約自体の管理については各課等の責任において実施するものとする。
(外部委託契約管理)
第22条 情報処理業務及び情報資産の作成、保管及び廃棄を外部業者に委託する場合は、外部業者の選定基準を明確にしなければならない。
2 外部業者から再委託する場合、再委託先に対しても、同等の情報セキュリティ対策の実施を要求するものとする。
3 業務の特性上必要がある場合には、外部業者の不正を防止するため、作業中の立会いを義務付けるものとする。
(契約時の留意事項)
第23条 委託契約時において、契約時の委託内容に応じ、次に掲げる事項を含めるものとする。
(1) 委託先の従業員の守秘義務
(2) 委託先での情報資産の保護対策
(3) 知的財産権の保護
(4) 個人情報の取扱い
(5) 契約終了時点における成果物の著作権の帰属
(6) 契約終了時点における情報資産の返却又は廃棄に関する取決め
(7) 情報セキュリティ事件及び事故の発生時の報告及び調査に関する取決め
(8) 市と外部業者の責任範囲の明確化
(9) 作業報告書による定期報告の実施
(10) 情報セキュリティ監査の実施及び是正を要求する権利
(11) その他この規程に定められた事項
第10章 情報セキュリティ教育
第24条 デジタル都市推進課は、情報セキュリティ教育を実施することにより、職員に情報セキュリティポリシーの内容を認識させ、情報資産の不正利用並びに過失による情報セキュリティ事件及び事故を未然に防止させるものとする。
2 デジタル都市推進課は、情報セキュリティ教育実施計画(対象者、内容、実施期間等を盛り込んだもの)を作成し、CISOの承認を得るものとする。
3 デジタル都市推進課は、職員及び長期間にわたって勤務する外部要員に対しては、定期的に情報セキュリティ教育を実施するものとする。
4 情報セキュリティ教育の実施に際し、その実施日、受講者及び内容について記録を作成するものとする。
5 情報セキュリティ教育実施後は、内容や受講者の理解度等を評価し、情報セキュリティ教育を見直すものとする。
第11章 情報システム機能セキュリティ管理基準
(情報システム機能セキュリティの管理)
第25条 デジタル都市推進課は、情報セキュリティ事件及び事故の発生の防止及び発見を可能とする情報システムのセキュリティ機能を設置させるものとする。ただし、各課等で個別に開発する情報システムの管理については、各課等の責任において実施するものとする。
2 前項のセキュリティ機能については、次に掲げるものとする。
(1) ユーザIDを個別に付与できること。
(2) パスワード等(磁気カード、指紋認証等)の認証手段を提供すること(端末にパスワード情報を入力する際に、非表示又は伏せ字及び利用者自身でパスワードを変更できるものに限る。)。
(情報システムアクセス制御)
第26条 セキュリティ管理に関わる機能(利用者登録機能等)及びセキュリティ情報を格納したファイル(パスワードファイル等)は、その利用が管理権限を持つ者のみに制限できることとする。
2 情報区分Ⅰ及び情報区分Ⅱに該当する情報を含む情報システム利用時において、利用者が設定された一定期間に操作しない場合には、処理をロック(中断)し、又は終了する機能を提供するものとする。
3 情報区分Ⅰ及び情報区分Ⅱに該当する情報を利用する情報システムでは、ログインに一定回数失敗した場合、該当するユーザIDのログインセッションを切断することができることとする。
4 情報区分Ⅰ及び情報区分Ⅱに該当する情報を利用する情報システムでは、利用者及びアプリケーションが実行した任意の接続又はプロセスを、任意の時点で強制終了できること。
(情報アクセス制御)
第27条 情報アクセス制御については、次に掲げるとおりとする。
(1) 利用者の職務権限に応じて情報へのアクセスを制限できること。
(2) 新規に作成された情報のアクセス権限の初期設定値を、情報の不正利用から防ぐ設定ができること。
(3) 特定の利用者について、全ての情報への特定のアクセス権限を取り消すことのできる機能を提供すること。
(監査制御)
第28条 ファイル及びプログラムへのアクセスに対して利用状況を記録し、分析可能な監査ログが収集できることとし、次に掲げる項目が含まれるようにするものとする。
(1) イベントの発生日時
(2) イベントの種類
(3) 該当するユーザID
(4) 処理結果(失敗及び成功)
(5) 対象情報及び機能
2 監査ログ情報を格納しているファイル、監査ログ情報を利用する監査ツールその他監査機能の設定値は、管理権限を持つ者のみにその利用を制限できることとする。
3 情報セキュリティ事件及び事故の可能性があるイベントが発生した場合に、警告メッセージが管理権限を持つ者に自動通知できることとする。
4 情報区分Ⅰ及び情報区分Ⅱに該当する情報が、インターネット等の外部ネットワークを通過する際は暗号化ができることとする。
5 情報区分Ⅰ及び情報区分Ⅱに該当する情報を共有領域に格納する場合は、アクセス制御又は暗号化できることとする。
6 電子データが原本の場合、完全性を確認(データの改ざん及び破壊を検出)するための手段を提供すること。
7 電子データが原本の場合、伝送される電子データの真正性を確保すること。
8 重要な業務システムで障害発生時に代替措置がとれないものについては、情報システム機器及び回線を多重化し、障害による業務停止及びデータの消失を回避するものとする。
9 情報システム機器に十分な処理能力及び記憶容量が得られるように、将来の要求容量の予測も含めて構築するものとする。
第12章 情報システム開発環境セキュリティ管理
(情報システム開発環境セキュリティの管理)
第29条 デジタル都市推進課は、開発環境を適切に維持し、及び管理し、その環境で開発し、又は使用されるアプリケーションソフトウェア及びデータのセキュリティを維持するものとする。ただし、各課等で個別に開発する情報システムの管理については各課等の責任において実施するものとする。
(データの保護)
第30条 開発環境において本番データを使用する場合は、管理手順を作成し、次に掲げる保護対策を講じることとする。
(1) データ管理は、システム開発責任者が行うこと。
(2) 開発環境の保護対策として次のとおり検討するものとすること。
ア 情報区分Ⅰ及び情報区分Ⅱの情報が含まれる場合、使用する前に個人名等の重要情報が特定できるデータの消去(マスク処理)
イ 本番環境と同等のアクセス制御
(3) 複写等のテストデータに関する作業記録を収集すること。
(4) テスト完了後、テストで使用した本番データを削除すること。
(開発環境と本番環境の隔離)
第31条 本番システムと開発システムを分離し、システムプログラム、アプリケーション及びデータに対して権限のないアクセスを防止するものとする。
(開発するアプリケーションの保全)
第32条 開発するアプリケーションの保全については、次に掲げるとおりとする。
(1) プログラムソースに対して、適切なアクセス制御を行うこと。
(2) プログラムリスト及びダンプリストの放置を禁止すること。
(3) プログラムソースなどへのアクセス権限を必要な部分に限定すること。
第13章 情報システム開発品質保証セキュリティ管理
(情報システム開発品質保証)
第33条 デジタル都市推進課は、開発プロセスの実施基準を明確にし、開発品質を保証することにより、情報セキュリティ事件及び事故の発生を未然に防止するものとする。ただし、各課等で個別に開発する情報システムの管理については各課等の責任において実施するものとする。
(構成管理)
第34条 構成管理の管理対象物(プログラムソース、オブジェクトコード、設計ドキュメント、障害レポート等)を定義するものとする。
2 管理対象物の版数管理等の更新手順を明確にするものとする。
(情報システムの導入)
第35条 情報システムの導入については、次に掲げるとおりとする。
(1) 情報システムを安全に導入及び稼動を確認するための導入手順書を作成すること。
(2) 情報システムに関わる文書及び記録媒体等を庁外に配布した場合、配布先が受領したことを確認できる対策を検討すること。
(ガイダンスドキュメント)
第36条 ガイダンスドキュメントの導入については、次に掲げるとおりとする。
(1) システム管理者向けに機能、手順等を示したシステム運用マニュアルを作成すること。
(2) 利用者向けに機能、操作手順及び利用規約を示した利用マニュアルを作成すること。
(テスト)
第37条 テスト実施時には、次に掲げるものを記載したテスト仕様書を作成するものとする。
(1) 各システム機能のテスト内容
(2) 予想結果
(3) 実際のテスト結果
(4) テスト結果の合否
2 テスト実施時は、既存システムに影響を及ぼさず、セキュリティ機能が仕様どおり動作したことを確認し、承認を得ること。
(外部委託によるソフトウェアの開発)
第38条 ソフトウェア開発を外部委託する場合には、著作権及び開発品質の維持について契約書又は要求仕様書等に明記すること。
第14章 情報システム運用セキュリティ管理基準
(情報システム運用の管理等)
第39条 デジタル都市推進課は、情報システム運用の管理及び操作の手順を明確にし、適切で安全な運用を確保するものとする。ただし、各課等で個別に運用する情報システムについては、各課等の責任において実施するものとする。
(情報システム運用管理責任者等)
第40条 情報システム運用管理の責任者を定め、情報システム運用管理に関する実施体制と管理責任を明確にするものとする。
2 システム管理者は、情報システム運用手順を明確にし、文書化するものとする。
3 情報システム運用手順には、適切に運用を実行するため、次に掲げるものを含めるものとする。
(1) 情報漏えい又は改ざんの防止等の機密性又は完全性を維持するために必要な取扱い手順を明確化すること。
(2) 可用性が維持できないようなエラーが発生した場合、迅速な復旧が行なえるように対応手順を明確化すること。
4 情報システム運用手順は、情報セキュリティ管理者の承認を得ること。
(情報システム変更管理)
第41条 情報システムの変更に備えて変更手順書を作成し、次に掲げる事項を記載するものとする。
(1) 情報システムの変更によるトラブルに備えた復旧及び対応方法
(2) 情報システムの変更に関し、当該システムのシステム管理者及び担当者以外の者が作業に当たる場合、事前調整の上、その作業者の情報システムへのアクセス権限を必要な部分に限定すること。
(3) 情報システム変更前のドキュメント及び情報システム設定値は、少なくとも、変更後の安定稼動が確認できるまでの期間、旧バージョンである旨を記載して保管するものとする。
2 変更手順書の対応内容の適正について、事前にテストを行い確認するものとする。
(ソフトウェアパッケージ変更に対する制限)
第42条 ソフトウェアパッケージは、原則として改変せず、開発元の指定した推奨環境で使用するものとする。
2 提供されるソフトウェアパッケージの変更が必要となった場合は、変更する前に次に掲げる事項を実施するものとする。
(1) 品質の低下が生じないように十分な検討をすること。
(2) 提供元の同意を得ること。
(3) ソフトウェアパッケージのメンテナンスに対する体制及び責任を明確にすること。
(4) 変更箇所を記録し、変更前のオリジナルソフトウェアパッケージを保管しておくこと。
(システム及びデータのバックアップ)
第43条 システム及びデータのバックアップについては手順書を作成し、管理ミスを最小化するものとする。
2 重要なデータのバックアップは、定期的に実施するものとする。
3 バックアップの世代管理を行うものとする。
4 バックアップ方法について、その妥当性を定期的に見直すものとする。
(情報システム機器の保守)
第44条 保守作業は、情報セキュリティ管理者の許可を得た作業範囲及び作業者に限定するものとする。
2 保守を定期的に実施するものとする。
3 定期保守についての手順書を作成することとし、手順には定期保守後のセキュリティ機能正常動作を確認するための手順も含めるものとする。
4 作成した手順書は、情報セキュリティ管理者の承認を受けるものとする。
5 保守作業終了後には、必ず情報セキュリティ管理者に作業終了報告を行い、承認を得て、保守作業記録は、一定期間保管するものとする。
6 定期保守について、その妥当性を必要に応じて見直すものとする。
7 情報区分Ⅰ及び情報区分Ⅱの情報を取り扱う情報システム機器の保守時には、システム管理者又は担当者が立ち会うものとする。
8 情報システム機器の保守のために装置を外部業者に提出するときには、外部組織に対して、契約書等により、適切なセキュリティ管理を保証させることとする。
(管理権限の管理)
第45条 必要に応じて管理権限を有する者のジョブローテーションを行い、職権の分散及び相互監視の実現に努めるものとする。
2 システム管理者及び担当者の人数は必要最低限とし、必要な権限のみに限定することとし、管理権限利用者の範囲の妥当性も定期的に確認するものとする。
3 システム管理者及び担当者に管理権限を与える場合の承認手順を明確にし、承認記録を保管するものとする。
4 システム管理者及び担当者であっても、通常の用途で情報システムを使用する場合は、一般のユーザIDを使用するものとする。
(作業管理)
第46条 作業管理は、次に掲げる事項を行うものとする。
(1) 運用に関する監査ログを取得すること。
(2) 運用に関する作業記録を作成すること。
(3) 定期的に監査ログをチェックすること。
(4) 問題が発生した場合には、作業記録及び監査ログ情報を比較して、作業の正当性をチェックすること。
(システム管理者ソフトの使用)
第47条 セキュリティ機能に関わるシステム管理者ソフトは、使用権限を持つ者だけに限定するものとする。
2 システム管理者ソフトの使用に関する監査ログ情報を収集すること。
(日常的なセキュリティ監視管理)
第48条 情報セキュリティ管理者は、システム管理者を指名し、日常的な監視管理に関する実施体制及び管理責任を明確にするものとする。
2 日常的な監視作業を実施するために必要なイベント事象をログに記録し、対応を行うための手順を作成するものとする。
3 手順には、異常が発見された場合の対処手順を規定するものとする。
4 日常的な監視作業について、その手順及び手法の妥当性を定期的に見直すものとする。
(システム時間)
第49条 情報システム処理結果の証拠性及び信頼性を確保するために、情報システム機器の時間を正しく設定するものとする。
第15章 情報システム利用者管理セキュリティ基準
(情報の改ざん等の防止)
第50条 デジタル都市推進課は、情報システムの利用者権限を明確にすることにより、権限外の資源アクセスによる情報の改ざん、破壊、漏えい及び業務の妨害を防止するものとする。
2 利用者登録管理について、登録、変更及び削除の手順を含んだ管理手順を作成し、管理ミスを最小化するものとする。
3 ユーザIDは、利用者毎に個別に割り当てることとし、1ユーザIDに対して、複数の利用者を割り当てないものとする。
4 ユーザIDを割り当てる際は、利用者を判別可能なユーザID体系とするものとする。
5 利用者登録は、各課等の長が利用者に対して、情報システム又はサービス利用の認可が完了していることを確認した上で行い、登録後は利用者に対して、アクセス権の登録完了通知を行うものとする。
6 情報システム又はサービスへのアクセス権は、業務目的に沿ったものであるか確認するものとする。
7 利用者の登録、変更及び削除の申請情報は全て保管し、調査可能な状態を維持するものとする。
8 利用者の登録状況を定期的に確認し、人事異動又は退職によって不要となったユーザIDは、直ちに削除するものとする。
(管理権限の割り当て等)
第51条 管理権限を割り当てる際は、各種権限を分散させ、一個人に集中しないようにするものとする。
2 システム管理者及び担当者のアクセスログは、定期的に監査を行うものとする。
3 管理権限の割り当ては、その必要時に限定して行い、必要最低限の機能を割り当てるものとする。
4 管理権限の割り当てについて、認可に関する記録を保管し、調査可能な状態を維持するものとする。
5 管理権限の割り当ては、申請に対する認可が完了するまで行わないものとする。
6 管理権限の割り当ての必要性を低減させるために、システム管理者ソフトの開発及び使用を促進するものとする。
7 管理権限利用者のユーザIDは、業務において一般に使用されるユーザIDとは別に設けることとする。
(パスワードの管理)
第52条 発行されたユーザIDに対して、必ず初期パスワードを設定し、パスワードが設定されていない状態にしないものとする。
2 新規発行のユーザIDに対する初期パスワードは、類推が困難なものにするものとする。
3 新規発行のユーザIDに対する初期パスワードは、利用者に対して、安全かつ確実に伝えるものとし、利用者に初期パスワードの受領確認を要求するものとする。
4 利用者に対して、初回ログイン時に初期パスワードの変更を実施させるものとする。
5 パスワードは、ユーザIDと同一文字列及び同一文字の繰返しを禁止し、文字種及び最低文字数制限を満たしたパスワードを利用者に設定させるものとし、定期的に変更させるものとする。
(アクセス権の再精査)
第53条 一般的な利用者のユーザIDに割り当てられているアクセス権は、定期的に再精査し、その正当性を確認するものとする。
2 管理権限利用者のユーザIDに割り当てられているアクセス権は、定期的にレビューし、その正当性を確認するものとする。
第16章 外部とのデータ交換セキュリティ管理
(外部とのデータ交換セキュリティ管理)
第54条 デジタル都市推進課は、電算処理を目的とした外部とのデータ交換の手順を明確にし、交換されたデータの盗難、改ざん又は誤用を防止するものとする。ただし、各課等で個別に実施している外部とのデータ交換の管理については、各課等の責任において実施するものとする。
(ネットワークを経由した外部機関とのデータ交換)
第55条 ネットワークを介して、外部とのデータ交換を行う場合のセキュリティ管理に関して実施体制及び管理責任を明確にするものとする。
2 外部組織の情報システムとデータ交換を行う場合、外部組織に対して契約書等により適切な管理を保証させるものとする。
3 インターネットなどの外部ネットワークで、情報区分Ⅰ及び情報区分Ⅱに該当する情報を交換する場合、データ交換時に暗号化を行い不正に改ざん又は情報漏えいを防ぐ仕組みを講じるものとする。
4 インターネットなどの外部ネットワークで、情報区分Ⅰ及び情報区分Ⅱに該当する情報を交換する場合、接続する情報システムとの間で相互認証を実施するものとする。
5 データ交換の際に、監査ログを取得するものとする。
(記録媒体を用いた外部とのデータ交換)
第56条 記録媒体を介して、外部とのデータ交換を行う場合のセキュリティ管理に関して実施体制及び管理責任を明確にするものとする。
2 外部組織と記録媒体を用いてデータ交換を行う場合、外部組織に対して契約書等により適切な管理を保証させるものとする。
3 記録媒体を用いてデータ交換を行う場合、データ交換の手順を作成し情報セキュリティ管理者の承認を得て実施するものとする。
4 データ交換に使用した記録媒体の再利用及び廃棄を行う際には、第5章の規定に準じるものとする。
5 記録媒体によるデータ交換を外部業者に委託する場合、外部業者に対して、契約書等により適切な管理をさせるものとする。
6 運送に当たっての用具は、記録媒体を損傷から保護できる強度を保つものとする。
7 不正に包装を取ることから保護するため必要に応じて包装を取ったことが分かるような特別な包装を使用するものとする。
8 不正に包装を取ることから保護するため必要に応じて施錠可能な入れ物を使用するものとする。
第17章 サーバセキュリティ管理基準
(サーバセキュリティ管理)
第57条 デジタル都市推進課は、サーバ装置を適切に保護し、不正アクセスを未然に防止し、不正アクセス発生時に適切な対処を行い、被害の拡大を防止するものとする。ただし、各課等において個別に導入したサーバの管理については、各課等の責任において実施するものとする。
2 サーバセキュリティ管理の責任者を定め、サーバセキュリティの管理に関して実施体制と管理責任を明確にするものとする。
3 サーバ管理の実施に当たって、その管理手順を明確にし、管理ミスを最小にするものとする。
4 各サーバは、不必要な機能を提供しないよう管理し、次に掲げる事項を行うものとする。
(1) 不必要なユーザアカウントは、削除すること。
(2) 不必要な機能は、立ち上げないこと。
(3) 不必要なプログラムは、削除すること。
(4) 必要な機能を必要な時間のみ立ち上げること。
5 各サーバの監査ログを取得し、不正アクセスの兆候を発見するため、監査ログは、定期的にチェックするものとする。
6 適切な性能管理を実施してサーバの可用性を維持するものとする。
7 インターネット等の外部ネットワークと接続するサーバ上では、次に掲げる事項の管理を行うものとする。
(1) 最新の修正プログラムを適用し、セキュリティホールを利用した不正を防止すること。
(2) 構築時にぜい弱性をチェックするセキュリティ診断を実施すること。
(3) リアルタイムのアタック監視及びコンピュータウイルス侵入監視を実施すること。
(4) 電源又はサーバの多重化を考慮すること。
(5) 構築後も定期的にぜい弱性をチェックするセキュリティ診断を実施してセキュリティの強度を確保すること。
第18章 コンピュータウイルス対策
第58条 デジタル都市推進課は、コンピュータウイルスの感染を未然に防止すること及びコンピュータウイルスが感染した場合に被害の拡散を防止するものとする。ただし、各課等で個別に実施しているコンピュータウイルス対策の管理については、各課等の責任において実施するものとする。
2 コンピュータウイルス対策の責任者を定め、コンピュータウイルス対策の管理に関して実施体制及び管理責任を明確にするものとする。
3 コンピュータウイルスに感染した場合の報告手順を明確にするものとする。
4 コンピュータウイルス発見時の対応手順を次に掲げる事項を考慮した上、作成し、及び改版し、実施すること。
(1) コンピュータウイルス発見時の連絡ルート
(2) 情報システムに異常が生じた場合の速やかな原因究明
(3) 感染したシステムの使用の禁止
(4) 必要な情報の速やかな申告
(5) 安全な復旧方法
(6) 再発防止策
(7) 所定機関の届出に必要な情報
5 情報システムには、コンピュータウイルス対策ソフトウェアを導入し、予防、検出及び駆除を行うものとする。
6 コンピュータウイルス対策ソフトウェアのパターンファイルを最新の状態に保つものとする。
7 定期的にコンピュータウイルスの検査を行うものとする。
8 定期的な検査のほか、次に掲げる場合は、コンピュータウイルスの検査を行うものとする。
(1) 新規にソフトウェアパッケージを導入するとき。
(2) ネットワークを利用して、プログラム等を配布するとき。
(3) 新しい情報システム機器又は記憶媒体を持ち込むとき。
(4) 庁外へ情報システム機器又は記憶媒体を提供するとき。
(5) 電子メールで受信した添付ファイルを実行するとき。
(6) ダウンロードしたファイルを利用するとき。
9 情報システムの利用者に、コンピュータウイルス対策の教育を実施するものとする。
10 コンピュータウイルス関連情報を収集して利用者に周知するものとする。
第19章 ソフトウェアパッケージ管理
第59条 デジタル都市推進課は、不正なソフトウェアパッケージを導入することによる情報セキュリティ事件及び事故の発生を未然に防止すること及びソフトウェアパッケージのライセンス契約違反を防止するものとする。ただし、各課等にて個別に購入したソフトウェアパッケージの管理については、各課等の責任において実施するものとする。
2 ソフトウェアパッケージの管理については、次に掲げる事項を行うものとする。
(1) ソフトウェアパッケージの管理の責任者を定め、ソフトウェアパッケージの管理に関する実施体制及び管理責任を明確にすること。
(2) ソフトウェアパッケージの管理台帳を作成すること。
(3) 情報セキュリティ管理者の許可なく、ソフトウェアパッケージをインストールすることを禁止すること。
(4) ライセンス契約に従い、ソフトウェアパッケージを利用させること。
(5) ライセンスチェックを行うこと。
(6) ソフトウェアパッケージを購入する場合は、正規のルートから購入し、海賊版又は偽造品は購入しないこと。
(7) パソコンをリース返却又は廃棄する場合には、ライセンス購入されたソフトウェアパッケージをアンインストールすること。
第20章 ネットワークセキュリティ管理
(ネットワークセキュリティ管理)
第60条 デジタル都市推進課は、ネットワークの可用性を確保するとともに、ネットワークを利用した不正アクセスを未然に防止するものとする。ただし、各課等で運用しているネットワークに対しては、各課等の責任において実施するものとする。
(ネットワーク管理)
第61条 ネットワーク管理の責任者を定め、ネットワークの管理に関する実施体制及び管理責任を明確にするものとする。
2 ネットワーク管理に関する手順書には、次に掲げるものを含めるものとする。
(1) ネットワーク全体の構成図
(2) ネットワークの運用管理方法
(3) ネットワーク運用管理体制図
(4) ネットワーク接続基準
3 ネットワーク管理に関する手順書について、定期的に見直すものとし、変更が生じた場合は、随時更新するものとする。
4 情報システム機器を庁内ネットワークに接続する際の申請手順を明確にするものとする。
5 許可なく、外部ネットワーク、インターネット等に接続することを禁止するものとする。
6 ネットワークの帯域を制御し、ネットワークの性能を維持するものとする。
7 ネットワークトラブルが生じた場合、可用性を確保できる世代のバックアップを使用するものとする。
8 外部ネットワーク、インターネット等に接続する場合、ネットワーク接続を提供している通信事業者に対して、契約書等により適切な管理を保証させるものとする。
9 公開系ウェブサーバでは、定期的にサーバ内のファイルの改ざんが行われていないかを確認するものとする。
10 インターネット又は保護が十分でないネットワークにデータ伝送する場合、暗号化するものとする。
11 機密性の高いシステムは、完全に切り放した独立ネットワーク又はそれに準じた構成とし、接続する場合は、ファイアウォール等によるアクセス制限を行うものとする。
12 ネットワーク回線及びネットワーク機器の障害発生を想定し、多重化等を行ってネットワーク障害に備えるものとする。
13 デジタル都市推進課は、外部とのネットワーク接続については、接続ポイントを必要最低限としなければならない。
14 デジタル都市推進課は、行政系のネットワークについては、LGWAN接続系に集約するように努めなければならない。
(無線LANの管理)
第62条 無線LAN管理の責任者を定め、無線LANの管理に関する実施体制及び管理責任を明確にするものとする。
2 無線LAN管理に関する手順書を作成し、及び改版し、承認を得て実施し、無線LANを使用する場合は、アクセスポイントで識別子を設定し、アクセス制御を行うものとする。
3 無線LANを使用する場合は、アクセスポイントと無線LANクライアント間の通信を暗号化するものとする。
4 無線LANを使用して通信を暗号化通信を行う場合は、暗号キーを定期的に変更するものとする。
5 無線LANを使用する場合は、アクセスポイントに次に掲げるもののフィルタリング機能を有するものを使用するものとする。
(1) MACアドレスによるフィルタリング
(2) IPアドレスによるフィルタリング
(外部ネットワークとの接続管理)
第63条 外部組織との接続を管理する際には、実施体制及び管理責任を明確に定めるものとする。
2 外部組織の情報システムとネットワーク接続する際には、その正当性、接続方法及びセキュリティ対策について外部組織と協議の上、手順書を作成し、及び改版し、承認を得て実施するものとする。
3 接続口は、管理された場所に限定するものとする。
4 接続口には、ファイアウォールを構築し、庁内のネットワークを保護するものとする。
5 外部組織から庁内ネットワークへの接続について、利用できる内部の業務システムを制限するものとする。
6 外部組織とのネットワーク接続については、必要に応じて、利用者認証機能の強化等の対策を行うものとする。
(インターネットとの接続管理)
第64条 インターネット接続を管理する際には、実施体制及び管理責任を明確に定めるものとする。
2 インターネット接続管理に関する手順書を作成し、及び改版し、承認を得て実施するものとする。
3 インターネット接続管理に関する手順書には、次に掲げるものを含めるものとする。
(1) ファイアウォール、公開系サーバ等の構成図
(2) 運用管理方法
(3) 管理体制図
(4) インターネット接続基準
4 インターネット接続管理に関する手順書について、定期的に見直し、必要に応じて変更を行うものとする。
5 庁内ネットワークとインターネットを接続する場合、接続口にファイアウォールを設けるものとする。
6 ファイアウォール及びルータにおいて業務上及び運用上の条件を考慮して、次に掲げる通信制御内容を明確に定めるものとする。
(1) サービス(ポート番号)
(2) サービスの方向
(3) 通信元と通信先
(4) その他リスクを伴う場合の対応策等
7 公開サーバ、プロシキサーバ、メールサーバ、ファイアウォール等から必要な監査ログを時間別及びプロトコル別に取得し、システム管理者が監査するものとする。
8 必要に応じて、アクセスが好ましくないサイトへのフィルタリングを実施するものとする。
9 インターネット経由のコンピュータウイルスへの感染を防止するため、ファイアウォールを利用して、インターネットを介してやり取りされるコンテンツのチェックを実施するものとする。
(ファイアウォール管理)
第65条 ファイアウォールを管理する際には、実施体制及び管理責任を明確に定めるものとする。
2 ファイアウォール製品をインストールしたサーバは、ファイアウォール専用機とするものとする。
3 ファイアウォールに故障等の問題が発生した場合を考慮した対策を講じるものとする。
4 次に掲げる項目を遵守し、ファイアウォールを適切に保守及び管理するものとする。
(1) ファイアウォールを保守・管理するための手順書を作成すること。
(2) 手順書が現状に即した内容であるか、定期的に確認を行うこと。
(3) ファイアウォールを構成するハードウェアは、施錠された事務所で管理して、権限のない者が、触れないようにすること。
(4) セキュリティアドバイザリー(セキュリティ勧告)を随時チェックして、新たなアタックの情報を収集するとともに、新たなアタックに対応するパッチを当て、ファイアウォールを常に最新の状態に保つこと。
(5) ファイアウォールをリモートで保守する場合、リモート保守のセキュリティ対策を検討した上で実施すること。
5 ファイアウォールを通過させるサービスは、デフォルト禁止の原則にしたがい、必要最小限のサービスのみ提供するものとする。
6 ファイアウォールで不正アクセスをロギング可能なように設定を行い、監査ログを取得し、不正アクセスの兆候を発見するものとし、その手法に関しては、次に掲げるものとする。
(1) 監査ログは、定期的にチェックすること。
(2) 情報セキュリティ監査の結果は、たとえ不正がない場合も関係者に周知し、セキュリティ意識の向上を計ること。
(3) 監査ログは、情報システムの特性を考慮して、半年から3年までの間は保存すること。
(4) ファイアウォールのログは、インターネットから直接アクセスできない場所に退避すること。
(5) ログデータの正確性及び連続性の確保のため、ファイアウォール・サーバのシステムクロックを他の情報システムと合わせて同期化し、正確に保つこと。
7 ファイアウォールに関する情報を外部に提供しないものとする。
8 ファイアウォール等は、定期的にセキュリティ診断を実施してセキュリティホールが無いことを確認し、セキュリティホールが発見された場合は、修正プログラムの適用等の必要な対策を実施するものとする。
第21章 リモート保守管理
(リモート保守)
第66条 デジタル都市推進課は、リモート保守に起因する情報セキュリティ事件及び事故の発生を未然に防止するものとする。ただし、各課等で委託した保守業者に対しては、各課等の責任において実施するものとする。
(リモート保守の管理)
第67条 リモート保守の責任者を定め、リモート保守の管理に関する実施体制及び管理責任を明確にするものとする。
2 リモート保守を許可するための申請手順を明確に定めるものとする。
3 リモート保守の手段とセキュリティ対策について検討を行うものとする。
4 リモート保守を行う業者との委託契約については、第9章の規定に準じるものとする。
5 許可するサービスを限定するものとする。
6 リモート保守を実施する前にシステム管理者の許可を得るものとする。
7 リモート保守の監査ログを取得するものとする。
8 インターネットプロバイダ経由でリモート保守を行う場合は、暗号化通信を行うものとする。
9 リモート保守のための電話番号は、口外しないように作業者に指導するものとする。
10 一定期間、利用していない作業者のユーザIDを削除するものとする。
11 作業者が、契約の終了等の理由によりリモート保守の必要が無くなった場合には、速やかにユーザIDを削除するものとする。
第22章 情報セキュリティ事件及び事故の管理
(情報セキュリティ事件及び事故の管理)
第68条 情報セキュリティ委員会は、情報セキュリティ事件及び事故の発生時に迅速に対応し、被害の拡大を防止するとともに再発を未然に防止するものとする。
(情報セキュリティ事件及び事故への事前準備)
第69条 情報セキュリティ事件及び事故の対応に関する責任者を定め、情報セキュリティ事件及び事故の対応に関する実施体制及び管理責任を明確にするものとする。
2 情報セキュリティ事件及び事故の発生を想定し、次に掲げる事故対応手順書を作成するものとする。
(1) 不正アクセスが発生した場合の対応手順書
(2) 内部からの情報漏えいが発生した場合の対応手順書
(3) コンピュータウイルスに感染した場合の対応手順書
3 情報セキュリティ事件及び事故に関する手順書に沿って定期的にテスト及び訓練をすることとし、訓練の結果を受けて改善点がある場合には、手順書を改訂するものとする。
(情報セキュリティ事件及び事故発生時の対応)
第70条 情報セキュリティ事件及び事故が生じた場合、事故対応手順書に従い報告し、対応するものとする。
2 必要に応じて関連する委託先に通知するものとする。
3 必要に応じて届け出機関に報告するものとする。
4 速やかに発生原因を調査し、次に掲げる事項の対処を実施するものとする。
(1) 原因の切り分け
(2) 情報セキュリティ事件及び事故への対策手段の検討
(3) 監査ログ及びそれに該当する証拠物件の収集及び保管
5 情報セキュリティ事件及び事故の発生、調査結果及び復旧手段について記録し、保存するものとする。
(情報セキュリティ事件及び事故からの復旧)
第71条 情報セキュリティ事件及び事故からの復旧後に、情報システムのセキュリティ機能の正常動作を確認するものとする。
2 再発防止策を検討し、同様の情報セキュリティ事件及び事故を防止するものとする。
第23章 情報セキュリティ監査
(情報セキュリティ監査)
第72条 情報セキュリティ委員会は、情報セキュリティ監査を定期的に行うことで、情報セキュリティポリシーの実施状況を確認し、情報セキュリティ対策の形骸化を防止するものとする。
(情報セキュリティ監査の準備)
第73条 情報セキュリティ監査に関する実施体制と責任を明確にし、情報セキュリティ監査を定期的に実施するものとする。
2 情報セキュリティ監査実施に当たって、次に掲げる監査計画を作成するものとする。
(1) 監査の方針、目的、監査スケジュール及び重点テーマ等を記述した全体の監査計画
(2) 監査対象、監査目的、監査日程、監査実施責任者、被監査部門、監査項目及び監査手続等を記述した個別の計画
3 作成した監査計画は、CISOの承認を得るものとする。
4 情報セキュリティ監査の実施に当たっては、必要に応じてシステムに精通した要員を確保するものとする。
5 監査の過程で知り得た情報を、監査以外の目的で利用させないものとする。
(情報セキュリティ監査の実施)
第74条 必要に応じて、情報セキュリティ監査を実施する前に予備調査を実施することとし、予備調査の結果を受けて監査計画を見直すものとする。
2 情報セキュリティ監査は、計画に従って行い、監査の証拠となり報告の根拠となる次に掲げるものを収集するものとする。
(1) 現地環境の調査
(2) 被監査部門に対するヒアリング
(3) 被監査部門の行動の観察
(4) 入退記録や監査ログ、ログ情報等の証拠の閲覧
(5) 監査人によるシステム運用作業手順等の実施
(6) 法制度及び手順に関する準拠状況の確認
3 監査結果を裏付けるために証拠を収集し、記録するものとする。
4 監査報告の作成に当たっては、被監査部門と意見交換を行い監査結果の確認を行うものとする。
(監査結果の報告及び改善)
第75条 情報セキュリティ監査の結果について監査報告書を作成し、情報セキュリティ委員会へ報告するものとする。
2 監査報告書には、監査計画と対応させ、監査対象、監査目的、監査日程、監査実施者、被監査部門、監査項目、監査手続、報告書作成日程等、実施した監査の概要を記述するものとする。
3 被監査部門は、監査報告を受けて、監査結果に対する今後の改善要求等を明確にするため、改善計画を作成するものとする。
4 被監査部門は、改善計画を作成し、情報セキュリティ委員会の承認を得て実施するものとする。
(被監査部署の留意事項)
第76条 被監査部門は、事前に監査要求事項を確認するものとする。
2 事前調整の上、情報セキュリティ監査による業務の停止を、最小限に止めるものとする。
第24章 情報区分に基づいた管理
情報区分 情報取扱方法 | Ⅰ | Ⅱ | Ⅲ | Ⅳ |
利用者が記録媒体を用いて複写する場合 | 情報セキュリティ管理者の許可を得て複写すること。 | 職務上、その情報を知る必要がある者のみに限定して複写すること。 | 職務上、その情報を知る必要がある者のみに限定して複写すること。 | 利用制限は、情報セキュリティ管理者に委任 |
利用者が記録媒体を用いて庁内間において送付する場合 | 情報セキュリティ管理者の許可を得て送付すること(親展表示等を行うこと。)。 | 情報セキュリティ管理者の許可を得て送付すること(親展表示等を行うこと。)。 | 職務上、その情報を知る必要がある者のみに限定して送付すること。 | 利用制限は、情報セキュリティ管理者に委任 |
利用者が記録媒体を用いて庁外へ送付する場合 | 情報セキュリティ管理者の許可を得て送付すること(郵送の場合は、親展表示等を行い、必要に応じ書留を使用すること。)。 | 情報セキュリティ管理者の許可を得て送付すること(郵送の場合は、親展表示等を行うこと。)。 | 職務上、その情報を知る必要がある者のみに限定して送付すること(郵送の場合は、親展表示等を行うこと。)。 | 利用制限は、情報セキュリティ管理者に委任(ただし、原本については、情報セキュリティ管理者の許可を得て送付すること。) |
利用者が記録媒体を用いて庁外に携行する場合 | 原則として禁止 (職務上必要な場合は、情報セキュリティ管理者の許可を得て携行すること。) | 原則として禁止 (職務上必要な場合は、情報セキュリティ管理者の許可を得て携行すること。) | 情報セキュリティ管理者の許可を得て携行すること。 | 利用制限は、情報セキュリティ管理者に委任 (ただし、原本については、情報セキュリティ管理者の許可を得て携行すること。) |
利用者が記録媒体を廃棄又は再利用する場合 | ・情報セキュリティ管理者の許可を得て廃棄又は再利用すること。 ・廃棄又は再利用前に物理フォーマットを行い、廃棄時には裁断等物理的破壊を行うこと。 | ・情報セキュリティ管理者の許可を得て廃棄又は再利用すること。 ・廃棄又は再利用前に物理フォーマットを行い、廃棄時には裁断等物理的破壊を行うこと。 | 情報セキュリティ管理者に委任 ・廃棄又は再利用前に論理フォーマットを行い、廃棄時には裁断等物理的破壊を行うこと。 | 利用制限は、情報セキュリティ管理者に委任 |
利用者が記録媒体を利用又は保管する場合 | 施錠管理及び台帳管理を行うこと。 | 施錠管理及び台帳管理を行うこと。 | 作成者が個別に管理すること。 | 原本について、施錠管理及び原本管理を行うこと。 |
データ伝送する場合(電子メール又はファイルの伝送) | ・情報セキュリティ管理者の許可を得ること。 ・インターネット、住基ネットワーク又はLGWANを経由してデータを伝送する場合は、暗号化を行うこと。 ※インターネット、住基ネットワーク又はLGWANを経由せずにデータを伝送する場合(庁内間同士でのデータ伝送)は、暗号化は不要 | ・情報セキュリティ管理者の許可を得ること。 ・インターネット、住基ネットワーク又はLGWANを経由してデータを伝送する場合は暗号化を行うこと。 ※インターネット、住基ネットワーク又はLGWANを経由せずにデータを伝送する場合(庁内間同士でのデータ伝送)は、暗号化は不要 | ・情報セキュリティ管理者の許可を得ること。 ・暗号化は不要 | 利用制限は、情報セキュリティ管理者に委任 |
(記録媒体の管理)
第78条 記録媒体については、次に掲げるとおり適切に管理するものとする。
(1) 職務時間内外を問わず放置しないこと。
(2) 前条の表の情報区分Ⅰ及び情報区分Ⅱに該当する情報が格納された記録媒体及び情報区分Ⅳに該当する情報が格納された記録媒体で原本となる場合は、施錠されたキャビネット等へ保管すること。
(3) 前条の表の情報区分Ⅰ及び情報区分Ⅱに該当する情報が格納された記録媒体を、それまでの使用目的と異なる用途で再利用する場合は、初期化して既存の情報を消去してから使用するものとする。
(4) 前条の表の情報区分Ⅲに該当する情報が格納された記録媒体を再利用する場合は、情報ファイルを削除するものとする。
(5) 前条の表の情報区分Ⅰ及び情報区分Ⅱに該当する記録媒体を廃棄する場合は、情報セキュリティ管理者に確認して、所定の場所に集積し、焼却、溶解、裁断等を行うものとする。
(6) 前条の表の情報区分Ⅲに該当する記録媒体を廃棄する場合は、必要に応じて、焼却、溶解、裁断等を行うものとする。
第25章 ユーザID、パスワード及び利用者カードの取扱い
(ユーザID、パスワード及び利用者カードの管理)
第79条 ユーザID及び利用者カードの共用は、これを行わないものとする。
2 パスワード管理においては、次に掲げる事項を遵守するものとする。
(1) パスワードは、類推が困難なものに設定すること。
(2) パスワードは、記憶して、紙に記述しないこと。
(3) パスワードを他人に漏らさないこと。
(4) 初期パスワード受領時には、速やかにパスワードの変更を行うこと。
(5) パスワードの強度を確保するため、パスワードを定期的に変更すること。
(6) パスワードが漏えいした可能性がある場合は、即座に変更し、システム運用管理者に報告すること。
(7) パスワードの自動保存又はアプリケーションへの記憶又はファンクションキーへの割り当てを行わないこと。
3 利用者カード等が必要な情報システムにおいては、次に掲げる事項を遵守するものとする。
(1) カードは、着用し、又は携帯すること。
(2) カードは、施錠された場所に保管すること。
(3) カードを紛失した場合は、早急にシステム運用管理者に報告すること。
(離席時の対策)
第80条 情報システムの利用時に離席する場合は、次に掲げる対策を実施する。
(1) ログオフして、情報システムの利用を中断すること。
(2) パスワード付きのスクリーンセーバーを利用する等、画面を非表示にする機能を有効にすること。
(3) 重要な情報をディスプレイ画面に表示しないこと。
(4) 作業終了後、特に理由がない場合は、速やかにアプリケーションを終了し、電源を切断すること。
第26章 情報システムの利用範囲
(情報システム利用時の禁止事項)
第81条 情報システムを利用して、次に掲げる行為を行わないものとする。
(1) 職務で与えられた情報資産の私的利用
(2) 職務上知り得た情報の私的利用
(3) 公序良俗に反する行為
(4) 法令又は倫理に反する行為
(5) プライバシーを侵害する行為
2 情報システム機器利用時の遵守事項は、次に掲げるとおりとする。
(1) 情報システム機器は、無許可で庁外に持ち出さないこと。
(2) 利用する必要のない情報システム機器は、撤去し、放置しないこと。
(3) 個人所有のパソコンは、庁内に持ち込まないこと。
(4) 許可無く情報システム機器にデバイスを増設しないこと。
(5) 情報システム機器をリース返却又は廃棄する場合は、個人情報、受信したメール、業務情報等のデータ消去を依頼するものとし、データ消去証明書の提出を求めること。
3 インターネット利用の遵守事項は、次に掲げるとおりとする。
(1) 職務に関係のないサイトへアクセスしないこと。
(2) 情報の発信源が不明なサイト又は信頼できないサイトへアクセスしないこと。
(3) 職務上必要のないメールマガジンの購読をしないこと。
(4) 外部の情報システムへの不正アクセスをしないこと。
(5) インターネットで情報発信する際には、他者の中傷若しくはひぼう又は公序良俗に違反した発言をしないこと。
(6) 個人の見解を発信する際、市の公式発言として誤解される表現をしないこと。
(7) 不用意なダウンロードにより、著作権侵害を起こさないように留意すること。
(8) 次に掲げる事項を念頭に置いて、使用方法に留意すること。
ア インターネット利用におけるアクセス先やアクセスの回数及び時間帯は、全て蓄積されており、検査の対象となる場合があること。
イ インターネットを介してやり取りしたコンテンツは、必要に応じて、閲覧及びチェックを行う場合があること。
ウ 不適切なサイトへのアクセス制限を実施する場合があること。
4 ソフトウェアパッケージに関する遵守事項は、次に掲げるとおりとする。
(1) 無断でソフトウェアパッケージをインストールしないこと。
(2) ソフトウェアパッケージの違法コピーは行わないこと。
(3) 職務上必要なソフトウェアパッケージを購入する際には、所定の手続に従い購入すること。
(4) 海賊版又は偽造品のソフトウェアパッケージを購入しないこと。
(5) 市がライセンスを保有するソフトウェアパッケージは、自宅等で使用しないこと。
(6) ライセンスを購入する場合は、別途デジタル都市推進課と協議すること。
(7) 情報システム機器をリース返却又は廃棄する場合は、ライセンス購入されたソフトウェアパッケージをアンインストールすること。
第27章 電子メールの利用時の遵守事項
第82条 電子メール利用時は、次に掲げる事項を遵守するものとする。
(1) 職務遂行の目的以外ではメールの利用を行わないこと。
(2) メールソフトウェアは、推奨されたもの以外は使用しないこと。
(3) デジタル都市推進課が付与したメールアドレスを使用し、それ以外のメールアドレス(個人所有のメール及びフリーメール)は使用しないこと。
(4) チェーンメールの発信、転送等は、行わないこと。
(5) 情報区分Ⅰ、情報区分Ⅱ及び情報区分Ⅲに該当する情報をメールで送信する場合は、所属する課等の長に確認した後、送信すること。
(6) 外部機関に対してメールを発信する場合は、情報区分に応じて、送信先との間で守秘義務を確認した上で発信すること。
(7) メールを発信する際、市の公式発言として誤解される表現をしないこと。
(8) 大容量ファイルを添付したメールの送信を行わないこと。
(9) 送受信を行ったメールの内容は、必要に応じて市側で閲覧又は検査を実施する場合があることを認識し、使用方法に留意すること。
第28章 Web会議サービスの利用時の遵守事項
第83条 Web会議サービス利用時は、次に掲げる事項を遵守するものとする。
(1) デジタル都市推進課の定める利用手順に従い、Web会議の参加者又は取り扱う情報に応じた情報セキュリティ対策を実施すること。
(2) Web会議を主催する場合は、会議に無関係の者が参加できないよう対策を講ずること。
(3) 外部からWeb会議に招待される場合においても、デジタル都市推進課の定める利用手順に従い、必要に応じた情報セキュリティ対策を実施すること。
第29章 コンピュータウイルスに対する注意事項
(コンピュータウイルス対策)
第84条 コンピュータウイルス対策は、次に掲げる事項を行うものとする。
(1) パソコンでは指定したコンピュータウイルス対策ソフトウェアを常時稼動させること。
(2) コンピュータウイルス対策ソフトウェアのパターンファイル等を最新の状態に保つこと。
(3) 最新のパターンファイル等を利用して、定期的にコンピュータウイルスの検査を行うこと。
(4) 次に掲げる場合は、コンピュータウイルスの検査を実施すること。
ア 新規にソフトウェアパッケージを導入するとき。
イ プログラムファイル等をネットワーク又は記録媒体を介して配布するとき。
ウ 新しい情報システム機器又は記録媒体を持ち込むとき。
エ 庁外へ情報システム機器又は記録媒体を提供するとき。
オ メールで受信した添付ファイルを実行するとき。
カ ダウンロードしたファイルを利用するとき。
(5) コンピュータウイルスを発見した場合は、定められた手順に従い、報告又は対処を実施すること。
第30章 事故発生時の対処方法
第85条 職員は、次に掲げる事故が発生した可能性がある場合は、所定の手順に従い、情報セキュリティ管理者へ速やかに報告するものとする。
(1) パソコンの盗難又は紛失
(2) 情報区分Ⅰ、情報区分Ⅱ又は情報区分Ⅲの情報のメールでの誤送信
(3) 重要な帳票の盗難又は紛失
(4) パソコンが勝手にインターネットに接続しようとしたとき。
(5) パソコンの動作速度が急に遅くなったり、メモリが不足しているとき。
(6) 画面上に奇妙なメッセージ又は画像(図形、アニメーション等)が表示されたとき。
(7) 保存されていたファイル内容が改ざん又は破壊されていたとき。
(8) 作成した覚えのないファイルが作成されているとき。
(9) メールソフトウェアの送信済みトレイに自分が送信していないメールがあるとき。
2 職員は、前項に規定する事故が発生した可能性がある場合は、調査及び復旧活動に協力するものとする。
第31章 補則
(日常時における注意事項)
第86条 日頃から次に掲げる事項に注意を実行するものとする。
(1) パソコンに格納している情報については、各自がバックアップを実施すること。
(2) 日々の職務において、セキュリティ対策に関して不明な点がある場合には、独自の判断を行わず、情報セキュリティ管理者に指示を求めるなど、正しい情報セキュリティ対策に努めること。
付則
この訓令は、平成27年10月5日から施行する。
付則(平成29年2月14日訓令第1号)
この訓令は、平成29年4月1日から施行する。
付則(平成30年1月11日訓令第2号)
この訓令は、平成30年4月1日から施行する。
付則(平成30年2月28日訓令第7号)
この訓令は、平成30年4月1日から施行する。
付則(平成31年3月26日訓令第3号)
この訓令は、平成31年4月1日から施行する。
付則(令和2年2月27日訓令第1号)
この訓令は、令和2年4月1日から施行する。
付則(令和3年4月21日訓令第10号)
この訓令は、令和3年5月1日から施行する。
付則(令和5年3月31日訓令第6号)
この訓令は、令和5年4月1日から施行する。
付則(令和6年2月15日訓令第2号)
この訓令は、令和6年3月1日から施行する。