○東庄町情報セキュリティ対策基準に関する規程

平成18年10月30日

訓令第21号

(趣旨)

第1条 この訓令は、東庄町情報セキュリティ規則(平成18年東庄町規則第31号。以下「規則」という。)第15条の規定により、情報セキュリティ対策基準について必要な事項を定めるものとする。

(定義)

第2条 この訓令における用語の意義は、規則第2条各号に定めるもののほか、次項において定める。

2 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) サーバ室 サーバ(ネットワーク上でデータの共有、印字出力、通信制御等のサービスを行う側のコンピュータ)が設置されている室をいう。

(2) 庁内ネットワーク 町の内部のネットワークをいう。

(3) バックアップ コンピュータに保存されたデータ、プログラム等を別の記録用の媒体(以下「記録媒体」という。)に保存することをいう。

(4) ネットワーク配線 LANケーブル、パソコンの電源ケーブル、プリンタの電源ケーブル等の配線をいう。

(5) ファイアウォール 外部からの攻撃又は不正なアクセスから庁内ネットワークを守る機器をいう。

(6) コンピュータウィルス 第三者のプログラム、データ等に対し、意図的に何らかの被害を及ぼすように作られたプログラムをいう。

(7) セキュリティ事件及び事故 情報システムの障害、不正なアクセス、コンピュータウィルスの侵入、機密漏えい、人的誤り、不正行為等を含む情報セキュリティ上のすべての事件及び事故をいう。

(8) ソフトウェア コンピュータが理解できる方法で表現された処理手順をいう。

(9) インストール ソフトウェアをコンピュータに取り込み、コンピュータ上において使用できるよう設定することをいう。

(10) 定義ファイル コンピュータウィルスに対する対策(以下「コンピュータウィルス対策」という。)ソフトウェアがコンピュータウィルスを検索及び駆除するために参考とするファイルをいう。

(11) ID 利用者を識別するために割り振られる文字列をいう。

(12) パスワード 情報システムの認証を受けるときにlDと共に入力する文字列をいう。

(情報資産の重要性による分類)

第3条 情報資産は、次に掲げる重要性分類により適切に管理されなければならない。

(1) 重要性分類Ⅰ 情報セキュリティ侵害が、町民の生命、財産、プライバシー等に重大な影響を及ぼすもの

(2) 重要性分類Ⅱ 情報セキュリティ侵害が、事務の執行等に重大な影響を及ぼすもの

(3) 重要性分類Ⅲ 情報セキュリティ侵害が、事務の執行等に軽微な影響を及ぼすもの

(4) 重要性分類Ⅳ 前3号に掲げる情報資産以外のもの

(情報資産の管理)

第4条 情報管理者は、前条に規定する重要性分類に応じ、その所管する情報資産の漏えい、滅失、改ざん等の防止に備え適切な管理を行わなければならない。

2 情報資産の保管場所の移動、外部への持出し等をする場合は、事前に当該情報資産を管理する情報管理者の許可を得なければならない。

(情報資産の廃棄)

第5条 情報管理者は、情報資産を記録した記録媒体が不要となった場合は、当該情報資産を復元できないよう処理を行った上で廃棄しなければならない。

(電子計算機室の管理及び利用)

第6条 情報管理責任者は、サーバ室を適切に管理するため、次に掲げる事項を実施しなければならない。

(1) サーバ室の入室及び退室の管理を行うこと。また、サーバ室の出入口は、開放厳禁とし、職員が不在となる場合は、施錠すること。

(2) サーバ室の温度及び湿度を適切に管理し、設置する情報機器に転倒防止措置及び移動防止措置を講じること。

(3) サーバ室に設置する情報機器に無停電電源装置を備える等の措置を講じ、安定した電源の供給を図ること。

(4) 火災等の災害に対する保安対策を実施すること。

(情報機器の設置及び接続等)

第7条 情報機器の設置及び接続をするときは、情報管理責任者に申請し、許可を受けなければならない。

2 情報管理責任者は、重要な情報機器の設置を承認するときは、次に掲げる事項を考慮するものとする。

(1) 無停電電源装置を備え、安定した電源の供給ができること。

(2) 情報システムが停止することを防止するための措置が講じられていること。

(3) 施錠することができるラックに格納する等の盗難防止のための措置が講じられていること。

(情報機器の保守)

第8条 情報機器の保守の委託契約にあたっては、秘密保持契約を締結しなければならない。

2 情報機器を修理又は保守のため施設外に搬出する場合は、情報機器に保存されている情報を削除又は消去するものとする。

(情報機器の廃棄)

第9条 情報機器が不要となった場合は、当該情報機器に保存されているデータ等を消去、削除又は物理的に破壊する等の処理を行わなければならない。

2 情報機器の廃棄処理を業者に委託する場合は、事前に秘密保持契約を締結した委託業者によるものとする。

(ネットワーク配線)

第10条 ケーブルを敷設する場合は、ケーブルの損傷等を回避することを考慮するものとする。庁舎内にケーブルを敷設する場合は、原則として床下又は天井に敷設するものとする。

(知識の維持及び習得)

第11条 情報管理責任者は、情報セキュリティ及び情報通信等に関する知識の維持及び習得に努めなければならない。

(職員の責務)

第12条 職員は、情報セキュリティポリシーを遵守し、情報セキュリティ対策を有効に機能させるものとする。

2 職員は、部外者に情報機器又は記録媒体を使用されること又は情報資産を閲覧されることがないよう適切な措置を講じなければならない。

3 職員は、使用する情報システムの情報管理者の許可を得ずに、当該情報システム、情報資産等を執務室外に持ち出してはならない。

(外部事業者への委託等)

第13条 情報処理等を外部事業者に委託する場合は、次に掲げる事項を明記した契約を締結するものとする。

(1) 情報処理等の委託を受けた事業者(以下「受託事業者」という。)が個人情報の保護に関する法律(平成15年法律第57号)第66条第2項において準用する同条第1項の規定により定められた個人情報の保護に関し必要な措置を遵守すること。

(2) 受託事業者が情報セキュリティポリシーを遵守すること。

(3) 町が受託事業者からの報告以外に必要と判断した場合は、受託事業者の監査を実施することができること。

2 情報処理等のために受託事業者から要員の派遣を受ける場合は、次に掲げる事項を行うものとする。

(1) 受託事業者の責任者及び派遣された要員(以下「派遣要員」という。)から機密保持に関する誓約書を提出させること。

(2) 派遣要員の名簿の提出を義務付け、名札の着用をさせること。

(情報システムの運用)

第14条 情報管理責任者は、情報システムの適切な運用を行うため、共通の日次処理(情報機器の起動及び終了、データ等のバックアップ)について標準的運用手順を定めるものとする。

(外部ネットワークとの接続)

第15条 情報管理者は、所管する情報システムを外部ネットワークと接続する場合は、あらかじめ情報管理責任者と協議しなければならない。

2 情報管理責任者は、前項に規定する接続が通信回線による電子計算機その他の情報機器の結合(保有個人情報(個人情報の保護に関する法律第60条第1項に規定する保有個人情報及び東庄町議会の個人情報の保護に関する条例(令和5年東庄町条例第2号)第2条第4項に規定する保有個人情報をいう。)を実施機関(東庄町個人情報保護法施行条例(令和5年東庄町条例第3号)第2条第2項に規定する実施機関及び東庄町議会の個人情報の保護に関する条例第1条に規定する議会をいう。)以外のものが随時入手し得る状態にするものに限る。)に該当する場合は、あらかじめ最高情報統括責任者と協議しなければならない。

(データ等のバックアップ)

第16条 情報管理者は、情報システムの復旧に必要なデータ、ソフトウェア等のバックアップを定期的に行い、遠隔地において業務上必要な期間、適切に保管するものとする。

(記録媒体の取扱い)

第17条 情報管理責任者は、記録媒体について取扱手順を定めるものとする。

(ソフトウェアの使用)

第18条 職員は、ソフトウェアを使用する場合は、当該ソフトウェアの著作権及び使用許諾権を侵害してはならない。

(ソフトウェアのインストール)

第19条 情報管理者は、ソフトウェアを情報機器にインストールし、事務に利用する場合は、あらかじめ情報管理責任者の承認を得るものとする。

2 情報機器にソフトウェアをインストールするために使用した記録媒体は、情報管理者が管理するものとする。

3 職員は、使用許諾権のないソフトウェアのインストールを行ってはならない。

(ネットワークの監視)

第20条 情報管理責任者は、不正な情報機器等の接続及び通信回線の障害を検知するため必要に応じてネットワークを監視するものとする。

(外部ネットワーク等との切断)

第21条 情報管理責任者は、庁内ネットワークと接続する外部ネットワーク等の情報セキュリティ対策に問題が認められる場合又は外部ネットワークからの不正なアクセスにより町の情報資産に脅威が生じることが想定される場合は、速やかに当該ネットワークを庁内ネットワークから物理的に切断し、最高情報統括責任者に報告するものとする。

(ファイアウォールの設置)

第22条 情報管理責任者は、庁内ネットワークと外部ネットワーク等を接続するときは、ネットワーク間にファイアウォールを設置し、外部ネットワーク等からの不正なアクセスを防止するものとする。

2 インターネット上に公開するサーバは、ファイアウォールのDMZ領域(ファイアウォールで防御されている外部に公開されている庁内ネットワーク)に設置しなければならない。

(庁内ネットワークの取扱い)

第23条 職員は、情報管理責任者の承認がない限り、情報システムを庁内ネットワークに接続してはならない。

2 職員は、庁内ネットワークに接続した情報機器等の設定を変更してはならない。

3 職員は、庁内ネットワークを構成する情報機器、各種設定情報等を部外者に公表してはならない。ただし、情報管理責任者が認める場合は、この限りでない。

(職員の遵守事項)

第24条 職員は、次に掲げる原則を遵守しなければならない。

(1) 席を長時間離れる場合は、機密情報が保存された記録媒体等を机上に放置しないものとすること。

(2) 職員は、席を長時間離れる場合は、情報機器の電源を切断し、又はロック(他の使用者によるデータの閲覧及び改ざんをできなくすること。)をするものとすること。

(インターネット及び電子メールの利用)

第25条 インターネット及び電子メールは、職務遂行に必要な範囲内に限り利用を認めるものとする。

2 所属係等の電子メールアドレスの管理は、情報管理者が行うものとする。

3 職員に付与された電子メールアドレスの管理は、電子メールアドレスを付与された職員が行うものとする。

4 前3項に掲げるもののほか、情報管理責任者は、職員がインターネット及び電子メールを利用するときに遵守すべき事項を定めるものとする。

(電子メールの利用記録)

第26条 情報管理責任者は、職員の電子メールの利用記録を採取し、当該利用記録を分析した結果を必要に応じて最高情報統括責任者に提出するものとする。

(コンピュータウィルス対策)

第27条 情報管理責任者は、情報機器にコンピュータウィルス対策を施すものとする。

2 職員は、コンピュータウィルス対策として次に掲げる事項を行うものとする。

(1) 利用している情報機器のコンピュータウィルス対策のソフトウェアの定義ファイルを定期的に又は情報管理責任者の指示により更新すること。

(2) コンピュータウィルス対策を施した情報機器がコンピュータウィルスの検索及び駆除を週1回程度自動的に実施するようにすること。

(3) 記録媒体から情報機器にデータ等を取り込む場合は、取り込むデータ等に対し、コンピュータウィルスの検索及び駆除を施すこと。

(4) 情報機器においてコンピュータウィルスが発見された場合は、直ちに庁内ネットワークから情報機器を切断し、情報管理責任者に報告するとともに、情報管理責任者の指示に従ってコンピュータウィルスの駆除を実施すること。

(情報セキュリティに関する情報の収集等)

第28条 情報管理責任者は、適時、情報セキュリティに関する情報の収集をするとともに、職員に当該情報についての啓発及び注意喚起を行うものとする。

(OS等の更新)

第29条 情報管理者は、所管する情報システムにセキュリティ上の問題が発見された場合は、サーバのOS(コンピュータを動かすための基本的なソフトウェア)等の更新処理を実施し、情報管理責任者に報告するものとする。

(情報システムへのアクセスの制御)

第30条 情報システムへのアクセスは、ID、パスワード等により制御をするものとする。

2 情報管理責任者は、ID、パスワード等を適正に管理するため、管理手順を定めるものとする。

3 情報管理責任者又は情報管理者は、情報システムのID、パスワード等を必要な職員に付与するものとする。

4 情報システムを通常使用するために付与されるID、パスワード等は、管理者等の特権が付与されたID、パスワード等と異なるものでなければならない。

(共用しない情報システムへのアクセスの排除)

第31条 情報管理責任者は、他の課等の職員と共用する必要のない情報システムについては、不要なアクセスを排除するための対策を講じるものとする。

(サーバにおける不要な機能の取扱い)

第32条 情報管理者は、サーバにおいて不要な機能を起動させないものとする。

(アクセスの記録の収集)

第33条 情報管理責任者は、セキュリティ事件及び事故が発生した場合の状況を把握するため、アクセスの記録の収集に努めるものとする。

(端末装置のアクセスの制御)

第34条 新たに設置する端末装置(庁内ネットワークに接続されたサーバ及びパソコン)は、原則として利用者の認証ができる機能を有し、不正なアクセスの制御が可能なものとする。

(職員が遵守すべきID、パスワード等の管理)

第35条 ID、パスワード等を付与された職員は、他の者に知られることのないようパスワード等を管理するものとする。

2 職員は、情報機器にID、パスワード等を入力したときに、ID、パスワード等を他の者に見られることのないよう注意するものとする。

3 職員は、定期的にパスワード等を変更するものとする。

(システム担当者)

第36条 情報管理者は、情報システムの開発等、管理及び運用を行うため、当該情報システムに係るシステム担当者を指名し、情報管理責任者に報告するものとする。

2 システム担当者は、情報システムの開発等、管理及び運用を適切に行い、関係者に情報セキュリティポリシーを遵守させるとともに、必要に応じて情報セキュリティ対策を施すものとする。

3 システム担当者は、情報システムの開発等、管理及び運用に当たっては、既知のセキュリティ上の問題点が解決されている情報機器及びソフトウェアを利用するものとする。

(情報システムの開発等)

第37条 システム担当者は、情報システムの開発等を行うときは、次条に定めるシステム担当者会議において協議し、情報管理者、情報管理責任者及び情報統括責任者の承認を受けなければならない。

(システム担当者会議)

第38条 前条に規定する情報システムの開発等について協議するため、システム担当者会議(以下「担当者会議」という。)を置く。

2 担当者会議は、第36条に規定するシステム担当者をもって組織する。

3 担当者会議の会務を総理するため、総括担当者を置く。

4 総括担当者は、情報管理責任者が別に定める。

5 総括担当者は、担当者会議の内容を情報管理者、情報管理責任者及び最高情報統括責任者に報告しなければならない。

6 担当者会議の庶務は、総務課において処理する。

(情報システムの開発等、管理及び運用の手順)

第39条 情報管理責任者は、情報システムの開発等、管理及び運用についての手順を定めるものとする。

(緊急時対応計画の策定)

第40条 最高情報統括責任者は、セキュリティ事件及び事故に対し、損害の範囲と業務への影響を最小限とし、早期に情報システムの復旧を図るために緊急時対応計画を定めるものとする。

2 最高情報統括責任者は、セキュリティ事件及び事故により情報システムを利用した複数の業務の遂行が困難となった場合を想定し、業務再開順位を定めるものとする。

(緊急時対応手順の策定)

第41条 情報管理者は、セキュリティ事件及び事故により、所管する情報システムを利用した業務の遂行が困難となった場合を想定し、あらかじめ対応手順を定めるものとする。

(計画の周知徹底)

第42条 前2条に規定する緊急時対応計画及び緊急時対応手順は、文書化し、関係者全員に周知徹底するものとし、必要に応じてセキュリティ事件及び事故の発生を想定した訓練を行うものとする。

(監査)

第43条 最高情報統括責任者は、監査の結果を町長及び規則第8条に規定する情報セキュリティ委員会へ報告しなければならない。

2 最高情報統括責任者は、監査の結果、発見された問題点についての是正措置を検討し、実施が決定された是正措置について、担当の情報管理者に直ちに実施させるものとする。

この訓令は、公示の日から施行する。

(令和5年訓令第4号)

この訓令は、令和5年4月1日から施行する。

東庄町情報セキュリティ対策基準に関する規程

平成18年10月30日 訓令第21号

(令和5年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成18年10月30日 訓令第21号
令和5年3月31日 訓令第4号