○由仁町情報セキュリティに関する規程

平成16年4月1日

訓令第2号

由仁町情報セキュリティに関する規程

第1章 情報セキュリティ基本方針

(目的)

第1条 この方針は、由仁町が所掌する情報資産を故意、過失、事故及び災害の脅威から保護し、電子政府の基盤としてふさわしい情報セキュリティの水準を総合的、体系的かつ継続的に確保することを目的とする。

(定義)

第2条 この規程における用語の定義は、次の各号に定めるとおりとする。

(1) 機密性、完全性及び可用性とは、国際標準化機構(ISO)が定めるもの(ISO7498-2:1989)をいう。

 機密性(confidentiality)とは、情報にアクセスすることが認可されたものだけがアクセスできることを確実にすることをいう。

 完全性(integrity)とは、情報及び処理の方法の正確さ及び完全である状態を安全防護することをいう。

 可用性(availability)とは、許可された利用者が必要なときに情報にアクセスできることを確実にすることをいう。

(2) 情報資産とは、情報及び情報を管理する仕組み(情報システム並びにシステム開発、運用及び保守のための資料等)をいう。

(3) 情報セキュリティとは、情報資産の機密性、完全性及び可用性を維持することをいう。

(4) 情報セキュリティ基本方針とは、情報セキュリティに対する根本的な考え方を表すものをいう。

(5) 情報セキュリティ対策基準とは、情報セキュリティ基本方針に定められた情報セキュリティを確保するために遵守すべき行為及び判断等の基準を定めたものをいう。

(6) 標準情報セキュリティ実施手順とは、情報セキュリティ対策基準に定められた内容を、具体的に情報システム又は業務において、どのような手順に従って実行していくのか示すものをいう。

(7) セキュリティポリシーとは、情報セキュリティ基本方針及び情報セキュリティ対策基準からなる規定をいう。

(8) 課等とは、由仁町行政組織規則(昭和45年規則第3号)に規定する組織をいう。

(9) 課長等とは、管理職員等の範囲を定める規則(昭和41年公平委員会規則第1号)第2条別表第1及び別表第2に掲げる職を有する者をいう。

(10) 職員等とは、由仁町に勤務する職員、非常勤職員及び臨時的任用職員をいう。

(11) コンピュータとは、処理事務を自動的に行う電子的機器(ホスト、サーバ、端末及びパーソナルコンピュータに区分される)をいう。

(12) ホストとは、メインフレーム系のコンピュータであって、端末及びパーソナルコンピュータを除いたものをいう。

(13) サーバとは、ネットワークで接続された情報システムにおいて、周辺装置(プリンタ等)、ファイルサーバ、グループウェア等の共用利用を主機能としたコンピュータをいう。

(14) 端末とは、ホストの制御下にある専用端末をいう。

(15) パーソナルコンピュータとは、小型のコンピュータ(端末を兼ねる場合がある)をいう。

(16) サーバ等とは、ホスト及びサーバを総称したものをいう。

(17) 端末等とは、端末及びパーソナルコンピュータを総称したものをいう。

(18) 執務室とは、職員が業務を執行するための居室をいう。

(19) サーバ室とは、サーバ等を設置した専用の室をいう。

(20) 庁内ネットワークとは、庁舎の建物間及び室内に敷設され、町が管理するネットワークをいう。

(21) 外部ネットワークとは、庁内ネットワーク以外のネットワークをいう。

(22) 監査とは、情報システムを管理又は利用している立場とは独立して、客観的にセキュリティポリシーに基づく情報セキュリティ対策の実施状況を評価し、問題点を指摘し、改善勧告を行う活動をいう。

(23) 点検とは、情報システムを管理又は利用している立場の者が、自らの情報セキュリティ対策の実施状況を点検する活動をいう。

(適用範囲)

第3条 この方針の適用範囲は、次に掲げるものであって、町が管理するもの(事業者に委託しているものを含む)とする。

(1) ハードウェア、ソフトウェア及び記録媒体等の情報システム等(システム構成図等の文書を含む)

(2) すべての情報のうち、情報システムに電磁的に記録される情報

2 セキュリティポリシーの対象者は、前項に掲げる情報に接するすべての者(職員、非常勤職員及び臨時的任用職員、委託先事業者の従事者)とする。

(文書の体系)

第4条 情報セキュリティ対策は、次に掲げる文書をもって構成するものとする。

(1) 情報セキュリティ基本方針

(2) 情報セキュリティ対策基準

(3) 標準情報セキュリティ実施手順

2 情報セキュリティ対策基準は、次に掲げる文書に分類するものとする。

(1) 情報セキュリティ組織運営基準

(2) 電子化情報管理基準

(3) 情報セキュリティに係る情報システム運用基準

(4) 情報セキュリティに係る情報システム開発基準

(5) 物理的セキュリティ基準

(6) 外部委託基準

(7) 情報セキュリティ監査及び点検基準

(8) 情報セキュリティ緊急時対応基準

(9) 情報セキュリティ倫理基準

3 具体的な情報セキュリティ実施手順は、その情報資産によって警戒すべき脅威及び情報の重要度が異なることから、標準情報セキュリティ実施手順に基づき、その他必要となる部分は当該情報を主管する課等ごとに策定するものとする。

第2章 情報セキュリティ組織運営基準

第1節 目的

(目的)

第5条 この基準は、セキュリティの維持及び向上を図るため、情報セキュリティを推進するための体制及び教育等に関し、必要な事項を定めることを目的とする。

第2節 組織及び体制

(最高情報セキュリティ責任者)

第6条 庁内で取り扱われる情報資産を保護するため、最高情報セキュリティ責任者を置き、副町長がその任にあたる。

2 最高情報セキュリティ責任者は、庁内の情報資産保護の統括責任を負うとともに、その責任を果たすためのすべての権限を有するものとする。

(情報セキュリティ担当者)

第7条 課等内で取り扱われる情報資産を保護するため、各課等に情報セキュリティ担当者を置き、課長等がその任にあたる。

2 情報セキュリティ担当者は、課等内の情報資産を保護する責任を負うとともに、その責任を果たすための権限を有するものとする。

3 情報セキュリティ担当者は、課等内において、次に掲げる役割を担うものとする。

(1) 情報セキュリティ実施手順の策定、評価及び見直し

(2) 職員等への意識の啓発及び教育

(3) 情報セキュリティ対策実施の指示

(4) セキュリティポリシー及び情報セキュリティ実施手順の運用状況の確認

(5) 情報セキュリティに係る欠陥及び事故等の報告の集約

(6) 緊急事態発生時等における最高情報セキュリティ責任者への報告

(7) その他、情報セキュリティ委員会での決定事項の実施に必要な事項

(システム等の管理)

第8条 総務課にシステム責任者を置き、総務課長がその任にあたる。

2 総務課に管理運用の実務を担当する正副2名のシステム管理者を置く。

3 システム管理者は、システム責任者が指名する職員とする。

4 システム責任者は、次に掲げる権限を有するものとする。

(1) 情報システムの企画、開発、導入及び運用において、要求される情報セキュリティを維持及び管理するための責任と権限

(2) ネットワークの企画、構築及び運用において、要求されるセキュリティを維持及び管理するための責任と権限

(3) ソフトウェアの導入及び運用において、要求される法令又は契約事項の遵守及び管理するための責任と権限

5 システム管理者は、システム責任者の監督のもと、システム責任者に準じた責任と権限を有するものとする。

6 システム責任者及びシステム管理者は、システム及びネットワーク並びにソフトウェアの管理において、自らに付与された権限を不当に利用してはならない。

(情報セキュリティ委員会)

第9条 情報セキュリティ対策の継続的な維持及び向上を図るため、庁内に情報セキュリティ委員会を設置する。

2 情報セキュリティ委員会の委員は、最高情報セキュリティ責任者及び各課等の情報セキュリティ担当者、システム責任者、システム管理者とする。

3 情報セキュリティ委員会の委員長は、最高情報セキュリティ責任者とする。

4 情報セキュリティ委員会の会議は、最高情報セキュリティ責任者が招集する。

5 情報セキュリティ委員会は、次に掲げる役割を担うものとする。

(1) セキュリティポリシーの策定、評価及び見直し

(2) セキュリティポリシーの運用状況の確認

(3) 職員等への意識の啓発及び計画的な教育の支援及び推進

(4) 情報システムの企画、開発及び導入又は委託に係る情報セキュリティ対策の審議

(5) 緊急事態における対処の支援及び推進

(6) 他組織との情報セキュリティ対策に係る相互連携及び協力

(7) その他、情報セキュリティ対策に必要な事項

6 情報セキュリティ委員会における庶務は、総務課が担当するものとする。

(情報の主管課等)

第10条 情報を主管する課等は、当該情報を収集又は作成した課等とする。

(ソフトウェアの主管課等)

第11条 ソフトウェアを主管する課等は総務課とする。ただし、特定の業務に供されるソフトウェアについては、総務課と当該業務の所管課等が協議の上、当該業務の所管課等とすることができる。

(コンピュータの主管課等)

第12条 コンピュータを主管する課等は総務課とする。ただし、特定の業務に供されるコンピュータについては、総務課と当該業務の所管課等が協議の上、当該業務の所管課等とすることができる。

(ネットワークの主管課等)

第13条 ネットワークを主管する課等は総務課とする。ただし、特定の業務に供されるネットワークについては、総務課と当該業務の所管課等が協議の上、当該業務の所管課等とすることができる。

(情報管理責任者)

第14条 情報の主管課等には、情報管理責任者を置き、課長等がその任にあたる。

2 情報管理責任者は、課等内の情報に対する管理責任を有する。

(コンピュータ管理者)

第15条 各課等におけるシステム及びネットワーク並びにソフトウェアの管理を円滑に行うため、それぞれの課等にコンピュータ管理者を置く。

2 コンピュータ管理者は、各課等の課長等が指名する職員とする。

3 コンピュータ管理者は、システム責任者及びシステム管理者と連携を取り、システム及びネットワーク並びにソフトウェアが適切に管理運用できるよう協力しなければならない。

4 コンピュータ管理者は、所属課等の情報セキュリティ担当者が担う役割に協力しなければならない。

(職員等)

第16条 職員等は、情報セキュリティ担当者の指示の下に、セキュリティポリシーを遵守する責務を有するものとする。

第3節 非常勤職員及び臨時的任用職員

(遵守の宣誓)

第17条 非常勤職員及び臨時的任用職員の任用を管理する課等は、非常勤職員及び臨時的任用職員に対し、その任用の際に、セキュリティポリシーを遵守する旨の宣誓書を提出させなければならない。

(教育)

第18条 非常勤職員及び臨時的任用職員の任用先となる課等は、非常勤職員及び臨時的任用職員に対し、セキュリティポリシーにおける非常勤職員及び臨時的任用職員が遵守しなければならない事項について、教育を行わなければならない。

(資格の制限)

第19条 非常勤職員及び臨時的任用職員の任用先となる課等は、当該職員の情報に関する業務範囲及び情報システムの使用資格を必要最小限にとどめなければならない。

第4節 教育及び訓練

(計画の立案)

第20条 情報セキュリティ委員会は、年度ごとに情報セキュリティに関する教育及び訓練の計画を立案し、最高情報セキュリティ責任者の承認を受けるものとする。

(教育の実施)

第21条 情報セキュリティ委員会は、計画に基づき、初任者研修及び庁内研修等を活用し、すべての職員等に対して情報セキュリティに関する教育を定期的かつ継続的に実施するものとする。

2 教育内容には次に掲げる事項を含めなければならない。

(1) 情報セキュリティ対策の重要性

(2) 職責ごとに応じた役割、責任、判断基準

(3) セキュリティポリシーに違反した場合の影響

(訓練の実施)

第22条 情報セキュリティ委員会は、計画に基づき、情報セキュリティ事故を模擬し、緊急時対策訓練を行うものとする。

2 訓練は、次に掲げる事項等の緊急事態の状況を想定して行うものとする。

(1) 外部ネットワーク経由の不正アクセス行為

(2) コンピュータウィルスによる被害

(3) 大規模災害

(意識の啓発)

第23条 情報セキュリティ委員会は、すべての職員等に対して、セキュリティポリシーが常時閲覧可能な環境を整えなければならない。

2 情報セキュリティ委員会は、収集したセキュリティに関する情報(組織外で発生した情報セキュリティ事故等)を発信し、職員等の意識啓発に努めなければならない。

(報告)

第24条 情報セキュリティ委員会は、教育及び訓練の実施状況について、最高情報セキュリティ責任者に報告しなければならない。

第5節 違反時の対応

(権限の無効化)

第25条 職員等及び委託先事業者の従事者によるセキュリティポリシーに係る違反的な行為があったときは、その所属課等の情報セキュリティ担当者は、当該要因である情報資産の取扱いに係る権限を、自己の判断で無効にすることができるものとする。

(無効化の報告)

第26条 情報セキュリティ担当者は、情報資産の取扱いに係る権限を無効化したときは、速やかに最高情報セキュリティ責任者にその旨報告しなければならない。

(罰則)

第27条 職員がセキュリティポリシーに違反したときは、やむを得ないと認める事情がある場合を除き、懲戒の対象とすることができるものとする。

2 非常勤職員及び臨時的任用職員がセキュリティポリシーに違反したときは、前項に準じるものとする。

3 委託先事業者又はそれに属する従事者がセキュリティポリシーに違反したときは、契約内容に基づき、損害賠償等の措置を講ずるものとする。

第6節 その他

(留意事項)

第28条 セキュリティポリシーの運用において、次に掲げる事由によるときは、必要に応じて必要な者がコンピュータ及びネットワーク上の情報を監視及び閲覧することができるものとする。

(1) 障害及び緊急事態等の発生時に係る作業を行う必要があるとき。

(2) 監査作業を行うとき。

(3) 情報資産の不正使用を監視及び調査する必要があるとき。

2 前項における監視及び閲覧作業は、最高情報セキュリティ責任者の承認がなければ実施してはならない。

3 監視及び閲覧作業の実施において、その対象情報が住民の個人情報等の非公開情報を含むことが想定されるときは、最高情報セキュリティ責任者は、指名する情報セキュリティ担当者を当該作業に立ち会わせなければならない。

4 監視及び閲覧用のソフトウェア又は必要な機器等については、システム管理者が厳重に管理するものとする。

(セキュリティポリシーの主管課等)

第29条 セキュリティポリシーの主管課等は、総務課とする。

2 総務課は、情報セキュリティ委員会の決定に基づき、セキュリティポリシーの保管及び配布等に係る作業を行うものとする。

(セキュリティポリシーの改廃等)

第30条 情報セキュリティ委員会は、次に掲げる事由が生じたときは、セキュリティポリシーの評価を適宜行わなければならない。

(1) 監査の結果においてセキュリティポリシーの内容に指摘を受けたとき。

(2) 情報技術の進展等により情報システム環境が変化したとき。

(3) 関連する法令等の制定又は改廃があったとき。

(4) その他、最高情報セキュリティ責任者が必要と認めたとき。

2 セキュリティポリシーの改廃は、情報セキュリティ委員会において審議し、最高情報セキュリティ責任者の承認を受けなければならない。

3 情報セキュリティ委員会は、セキュリティポリシーの改廃を行うときは、総務課に原案を作成させることができる。

(セキュリティポリシーの例外)

第31条 セキュリティポリシーに反することがやむを得ないと予想される事項又はセキュリティポリシーに照らして判断できない事項への対処(以下「例外措置」という。)については、情報セキュリティ委員会で審議し、最高情報セキュリティ責任者が承認するものとする。

2 前項により、セキュリティポリシーの例外措置を行うときは、罰則規定の適用対象外とすることができるものとする。

3 セキュリティポリシーの例外措置を行うときは、当該業務に関連する職員等は、当該措置を行うことによって負うこととなるリスクに対する方針及び対策をあらかじめ明確にしておかなければならない。

第3章 電子化情報管理基準

第1節 目的

(目的)

第32条 この基準は、情報セキュリティの維持及び向上を図るため、情報の管理に関し、必要な事項を定めることを目的とする。

第2節 情報管理の原則

(機密性の原則)

第33条 情報の機密性については、情報公開制度にかんがみ、情報を非公開情報と公開情報に分類することとし、その取扱いについては次のとおりとする。

(1) 非公開情報は、公開を予定されない情報であり、十分な配慮を必要とする。

(2) 公開情報は、非公開情報以外の情報であり、非公開情報ほどの機密性は求められないものの、一定の配慮を必要とする。

(完全性の原則)

第34条 情報の完全性については、すべての情報に対して十分な配慮を必要とする。

(可用性の原則)

第35条 情報の可用性については、すべての情報に対して十分な配慮を必要とする。

(分類の表示)

第36条 情報の主管課等は、すべての情報において、情報の機密性が判別できるよう、その分類を識別できるようにしておかなければならない。ただし、セキュリティポリシー運用以前に作成した情報については、その都度対応して差し支えないものとする。

(アクセス権限)

第37条 情報主管課等は、情報の機密性に応じて取扱い権限(作成・保管・閲覧・更新・複製・配布・消去)を明確にしたアクセスコントロール表を定め、それに準じたアクセス権限の設定を行わなければならない。

2 アクセスコントロール表の設定にあたっては、情報管理責任者の承認を受けなければならない。

第3節 管理方法

(情報の作成)

第38条 情報主管課等は、情報の作成時に利用範囲を明確にしておかなければならない。

2 情報主管課等は、情報の作成時に関係法令等に定められた保管期限を設定しなければならない。

3 情報を作成した職員等は、電子署名を情報そのものに埋め込む等して情報の作成者を明らかにし、その原本性を確保するよう努めなければならない。

(コンピュータへの保管)

第39条 情報主管課等において、情報を保管する必要があるときは、アクセスコントロールが可能なサーバ等に保管し、端末等には情報を保管しないものとする。

2 サーバ等に保管する情報は、必要に応じて暗号化しなければならない。

3 情報主管課等は、障害や緊急事態の発生に備えて、情報のバックアップを取得しておかなければならない。

4 情報主管課等は、台帳記録等により情報の保管場所を把握しておかなければならない。

5 情報主管課等の情報管理責任者は、情報の保管状況の点検を行わなければならない。

(外部記録媒体への保管)

第40条 情報主管課等は、外部記録媒体を作成したときは、施錠可能な場所(保管庫又は引出等)に保管しなければならない。また、そのかぎは、情報管理責任者又は情報管理責任者が指名する職員が厳格に管理しなければならない。

2 情報主管課等は、外部記録媒体を長期間保存する必要があると認めるときは、外部記録媒体を複数作成しなければならない。

3 前項の規定により作成したバックアップ用の外部記録媒体は、災害等に備え、遠隔地に保管するものとする。

4 情報主管課等は、外部記録媒体を作成したときは、保存される情報の機密性が識別できるようにしておかなければならない。

5 情報主管課等は、台帳記録等により、外部記録媒体の保管場所を把握しておかなければならない。

6 情報主管課等の情報管理責任者は、外部記録媒体の保管状況の点検を行わなければならない。

(情報の閲覧又は更新)

第41条 情報主管課等は、職員等に情報を閲覧又は更新(以下「閲覧等」という。)させる必要があると認めるときは、当該閲覧等を行う職員等に正当なアクセス権限があることを確認しなければならない。

2 情報主管課等は、閲覧等に供する情報について、必要に応じて容易に改ざんできない措置(PDF化等)を施さなければならない。

3 情報主管課等は、閲覧等に供する情報について、バージョン管理を行い、作成日時、更新日時及び更新者等を把握しておかなければならない。

4 情報主管課等は、情報システムの入出力情報の妥当性を検証しなければならない。また、入出力情報に係る帳票や印刷物等についても、取扱い及び管理を厳重に行わなければならない。

(情報の複製)

第42条 情報主管課等の職員等は、情報の複製を行おうとするときは、情報管理責任者の許可を受けなければならない。

2 情報主管課等は、複製した情報の正副を明確にし、副の情報の作成責任者及び保管場所等を明確にしなければならない。

3 情報主管課等は、複製された副の情報についても、正の情報と同様の取扱い及び保管を行わなければならない。

4 情報主管課等は、正の情報へのトレースができるよう、副の情報についてバージョン管理を行わなければならない。

(情報の配布及び持ち出し)

第43条 情報主管課等は、情報を自課等外に配布するときは、配布先等を記録しておかなければならない。また、配布を受けた課等は、情報を厳重に管理しなければならない。

2 ネットワーク上を流れる情報あるいは外部記録媒体等に保存して搬送する情報は、原則として暗号化するものとする。

3 職員等は、いかなる情報であっても庁外へ配布及び持ち出しをしてはならない。ただし、所定の手続きを経た公開情報はこの限りでない。

4 職員等は、出張や外部委託作業等により、職務上やむを得ず庁外へ情報を配布又は持ち出す必要があるときは、情報管理責任者の承認を受けなければならない。

(情報の持込み)

第44条 職員等は、職務上やむを得ず庁外から情報を持ち込もうとするときは、持込日時及び目的、責任者等を明確にし、情報管理責任者の承認を受けなければならない。

2 持ち込まれた情報を主管する課等は、持ち込まれた情報についても機密性を確認し、作成した情報に準じた分類をもって取扱い及び保管を行わなければならない。

3 職員等は、職務上必要とされない情報を持ち込んではならない。

(情報の消去)

第45条 情報主管課等は、情報を消去する際は、情報管理責任者の承認を受けなければならない。

2 情報主管課等は、情報を消去する際は、消去日時及び作業を行った職員等を明確にしておかなければならない。

(外部記録媒体の廃棄)

第46条 職員等は、外部記録媒体を廃棄するときは、必ず記憶領域を初期化し、可能な限り復元不可能となる措置を講じなければならない。

第4章 情報セキュリティに係る情報システム運用基準

第1節 目的

(目的)

第47条 この基準は、情報セキュリティの維持及び向上を図るため、情報システムの運用に関し、必要な事項を定めることを目的とする。

第2節 コンピュータ管理

(管理責任)

第48条 庁内のコンピュータ管理はシステム管理者が行い、各課等におけるコンピュータはコンピュータ管理者が管理するものとする。

2 各課等において、職務上、サーバ等を設置する必要があるときは、当該サーバ等を設置した課等のコンピュータ管理者がその管理にあたるものとする。

3 職員が使用するパーソナルコンピュータの管理は、当該機器を割り当てられた職員等本人が厳重に行うものとする。

(機器管理)

第49条 システム管理者は、コンピュータの管理番号、管理者名及び設置場所等を管理台帳(別記様式第1号)により把握しておかなければならない。

2 システム管理者は、コンピュータを導入しようとするときは、コンピュータが町の管理下にあることを示すため、管理番号シール等をはり付けなければならない。

3 管理台帳は、システム管理者が管理するものとする。

4 システム管理者は、管理台帳に基づき、定期的に設置状況等を確認しなければならない。

5 システム管理者は、管理対象となるコンピュータに変更があったときは、システム責任者に報告しなければならない。

6 職員等は、システム管理者の許可なく機器の増設又は改造等を行ってはならない。

(不正利用の防止)

第50条 サーバ等に使用するオペレーションシステムは、起動(ログインを含む)時に本人認証を必須とするものでなければならない。

2 システム管理者及びコンピュータ管理者(以下「システム管理者等」という。)は、サーバ等の入出力装置で運用上必要のないものがあるときは、機器を取り外して別に管理しなければならない。

3 職員等は、離席等によりコンピュータから離れるときは、ログインしている情報システムをすべてログアウトするなどして、不正に情報を取得されることがないよう、細心の注意を払わなければならない。

(保守)

第51条 総務課及びサーバ等を設置した課等は、業務委託等の適切な方法によりサーバ等を保守しなければならない。

2 コンピュータを修理等の目的で事業者に渡すときは、保存される情報の機密性を確保するための措置を講じなければならない。

(庁舎外への持ち出し)

第52条 職員等は、出張等の業務目的のため庁舎外に端末等を持ち出すときは、あらかじめ情報主管課等の情報管理責任者に許可を受けなければならない。

2 職員等は、端末等を持ち出すときは、業務上必要でない情報を端末等に保存してはならない。

3 情報管理責任者は、自課等の職員から端末等の持ち出しの申請を受けたときは、目的及び用途を確認した上でその可否を決定するものとする。

4 情報管理責任者は、庁舎外に端末の持ち出しを許可したときは、当該職員の氏名、持出日時及び返却日時等を記録しておかなければならない。

5 職員等は、サーバ等を庁舎外に持ち出してはならない。ただし、保守等のやむを得ない事情により、当該サーバ等を管理する主管課等の情報セキュリティ担当者に許可を受けた場合はこの限りでない。

6 サーバ等を管理する課等の情報セキュリティ担当者は、庁舎外にサーバ等の持ち出しを許可したときは、当該職員の氏名、持出日時及び返却日時等を記録しておかなければならない。

(廃棄)

第53条 職員等は、コンピュータを廃棄しようとするときは、システム管理者の許可を受けた上でハードディスクを初期化し、可能な限り復元不可能となる措置を講じなければならない。

(周辺機器の管理)

第54条 職員等は、周辺機器についても、コンピュータの管理に準じた管理を行わなければならない。

第3節 ネットワーク管理

(管理責任)

第55条 庁内ネットワークの管理はシステム管理者が行い、各課等において特定の業務に供するネットワークを設置したときは、当該業務を所管する課等のコンピュータ管理者がその管理にあたるものとする。

(ネットワーク構成管理)

第56条 システム管理者は、常に最新のネットワーク構成状況を把握しておかなければならない。

2 システム管理者は、ネットワーク構成機器の設置場所及びネットワーク配線の経路を記録しておかなければならない。

3 システム管理者は、ネットワーク構成機器の設定情報を非権限者に改ざんされないよう、アクセス制御による管理を行うものとする。

4 システム管理者は、ネットワーク構成状況、ネットワーク構成機器の設置状況及び設定情報を定期的に確認しなければならない。

5 システム管理者は、ネットワーク構成機器の設定情報のバックアップを取得しておかなければならない。

6 システム管理者は、ネットワーク構成機器及び状況に変更があったときは、システム責任者に報告しなければならない。

(ネットワーク構成の変更)

第57条 ネットワークへの参加、又は変更をしようとする職員等は、システム管理者にその旨申し出なければならない。

2 ネットワークの構成変更は、システム管理者又はシステム管理者の指示を受けた事業者が行うものとする。

3 職員等は、原則として個人が所有するコンピュータを庁内ネットワークに接続し、又はネットワークへのリモートアクセスに使用してはならない。ただし、当分の間、職員等に使用させる機器がない場合に限り、システム管理者と協議の上で接続することができるものとする。

(ぜい弱性の検査)

第58条 システム管理者は、擬似侵入攻撃等による検査を定期的に実施し、問題点等の認識及び改善を行うものとする。

2 前項に規定する擬似侵入攻撃等による検査は、事業者に委託して実施することができるものとする。

3 委託を受けて検査を実施した事業者は、その内容及び結果等を外部に漏らしてはならない。

4 システム管理者は、擬似侵入攻撃等による検査を実施しようとするときは、主管課等の情報セキュリティ担当者の許可を受けなければならない。

5 システム管理者は、検査の結果をシステム管理者に報告しなければならない。

第4節 ソフトウェア管理

(管理責任)

第59条 ソフトウェアの管理はシステム管理者が行い、特定の業務に供するソフトウェアの管理責任は、当該業務を所管する課等のコンピュータ管理者が負うものとする。

(ソフトウェアの運用管理)

第60条 システム管理者は、ソフトウェアのバックアップを取得しておかなければならない。

2 システム管理者は、ソフトウェアごとにオペレーション手順書を常備しておかなければならない。

3 システム管理者は、オペレーション手順書のバージョン管理を行わなければならない。

4 システム管理者は、ソフトウェアごとに、必要に応じてオペレーションの承認手続を定めるものとする。

5 職員等は、システム管理者の承認を得ずにソフトウェアを導入してはならない。

6 システム管理者は、ソフトウェア導入状況に変更があったときは、システム責任者に報告しなければならない。

(著作権への配慮)

第61条 システム管理者は、市販のソフトウェアを導入する際は、正規のライセンスを購入しなければならない。

2 システム管理者は、コンピュータへのソフトウェア導入状況を、管理台帳等により把握しておかなければならない。

3 システム管理者は、取得しているライセンス数を超えて、市販のソフトウェアを導入してはならない。

4 職員等は、市販又は流通しているソフトウェアを使用するときは、使用許諾条件等のあらかじめ定められた条件に違反してはならない。

第5節 外部とのシステム結合

(外部ネットワーク等との接続)

第62条 庁内ネットワーク又は町が管理するコンピュータと外部ネットワーク、又は外部のコンピュータを新規に接続するとき、及びその構成を変更するときは、情報セキュリティ委員会による審議及び最高情報セキュリティ責任者の承認を必要とするものとする。

2 庁内ネットワークと外部ネットワーク又は外部のコンピュータを接続するときは、次の事項に留意しなければならない。

(1) 接続先団体等との責任分界点の明確化

(2) 接続境界点へのファイアウォール機能の設置若しくは設定

(3) 庁内ネットワークへアクセス可能な者、若しくはコンピュータの限定

(4) 提供するネットワーク系サービスの精査及び限定

3 庁内に設置されたスタンドアローンのコンピュータと外部ネットワーク又は外部のコンピュータを接続するときは、次の事項に留意しなければならない。

(1) 外部ネットワークからの不正アクセス行為に対する防止措置

(2) 接続するコンピュータに保存する情報の限定

(3) 接続するコンピュータを取り扱うことができる職員等の限定

(他組織とのデータ交換)

第63条 業務系の情報システムと外部の情報システムとは、結合してはならない。

2 業務系以外の情報システムと外部の情報システムを結合しようとするときは、情報セキュリティ委員会による審議及び最高情報セキュリティ責任者の承認を得なければならない。

3 業務系以外の情報システムと外部の情報システムとを結合しようとするときは、事前に相手先とデータ交換の手順や情報の管理方法等について取り決めなければならない。

第6節 アクセス管理

(情報システムアクセス制御)

第64条 情報及び当該情報を扱う情報システムに対する職員等のアクセス権限の設定は、当該情報の主管課等の情報管理責任者が定めるものとする。

2 システム管理者は、情報管理責任者の指示に従い、ソフトウェア上での職員等のアクセス権を設定するものとする。

3 システム管理者は、業務系の情報システムの運用にあたり、次に掲げる機能を用いて使用の制限を行うとともに、例外的な使用を行う場合の申請及び承認の手続を定めるものとする。

(1) 日時によるシステムへのアクセス制御

(2) 端末等によるシステムへのアクセス制御

4 システム管理者は、ネットワークを経由した不正アクセスに対する措置として、サーバ等に少なくとも次に掲げる事項を実施しなければならない。

(1) 不要なソフトウェアの導入禁止

(2) 安全性を損なうおそれのあるネットワーク系サービスの立ち上げの限定

(3) インシデントレスポンスチーム等が提供するチェックリストの活用

(ネットワークアクセス制御)

第65条 システム管理者は、ネットワークの論理的なアクセス経路について、不正アクセスを防止するために、ネットワーク構成機器の設定を適切に維持管理しなければならない。

2 システム管理者は、外部ネットワークと庁内ネットワークとの間に必ずファイアウォールを設置しなければならない。

3 システム管理者は、庁内ネットワークと外部ネットワークとの接続点の数を必要最小限にとどめなければならない。

4 システム管理者は、庁内ネットワークへの職員等によるリモートアクセスを認めるときは、アクセス用のポイントを限定し、外部ネットワークから庁内ネットワークへアクセスするためのネットワーク上での認証機構を設けなければならない。

5 サーバ等の保守において、専用線以外のリモートアクセスによる保守は原則として行ってはならない。

(ユーザ認証)

第66条 システム管理者は、すべての情報システムにユーザを認証する機能を設けなければならない。

2 認証機能は個人単位でなければならない。

3 認証処理において、複数回の失敗に対してはアクセス要求を拒否する機能を設けなければならない。その際、拒否後に再アクセスするための手続を定めるものとする。

(管理者認証)

第67条 すべての管理者は、管理者権限でのログインは、ネットワーク経由で行ってはならない。

(ユーザ管理)

第68条 システム管理者は、ユーザ登録及び抹消等の手続を定めるものとする。

2 システム管理者は、ユーザIDを新規に発行及び変更するときは、ユーザが本人に相違ないことを確認しなければならない。

3 システム管理者は、人事異動の発令がある都度、ユーザ登録の状況を点検するものとする。

4 システム管理者は、点検の結果、退職者のユーザIDや不審なユーザID等を発見したときは、直ちに抹消するものとする。

5 システム管理者は、点検の結果、長期間使用のないユーザIDや、課等を異動した職員のユーザID等を発見したときは、抹消の可否を調査するものとする。

(管理者権限)

第69条 ソフトウェア及びネットワークの主管課等の情報セキュリティ担当者は、管理者権限を付与及び抹消する手続を定め、システム管理者に報告するものとする。

2 システム管理者は、十分な技術力を有するものとする。

3 情報セキュリティ担当者は、職員等の管理者権限の抹消があったときは、システム管理者に報告し、システム管理者は当該管理者権限へのアクセス用情報を直ちに変更して、職員等がアクセスできないようにしなければならない。

(パスワード管理)

第70条 システム管理者は、システム機能により、可能な限りユーザにパスワードの定期変更を強制的に行わせるものとする。

2 システム管理者は、システム機能として、ユーザがぜい弱なパスワードを利用できないようにするものとする。

3 パスワードによりユーザを認証するシステムにおいては、暗号化等、パスワードを保護する機能を設けるものとする。

第7節 障害対応

(障害対策)

第71条 システム管理者は、障害及び災害の対策として、情報システムを多重化するものとする。

2 システム管理者は、情報システムを多重化するときは、遠隔地にそのバックアップシステムを構築するものとする。

3 システム管理者は、障害対策として、情報システムの予防保守を定期的に行わなければならない。

4 システム管理者は、情報システムに障害発生を検知できる機能を設け、障害発生時には速やかに通報を受け取ることができる手段を保持するものとする。

(障害発生時の対応)

第72条 システム管理者は、管理対象ごとに障害発生時の対処手順を明確にしなければならない。なお、対処手順には、次に掲げる事項を含むものとする。

(1) 連絡手順

(2) システム中断及び停止時の代替手段

(3) 復旧手段

2 システム管理者は、障害発生時においては、システム責任者に報告するとともに、その発生原因及び対処等の記録を取り、整理保管するものとする。

3 システム管理者は、障害発生の事後に、再発防止対策を検討及び実施するものとする。

第8節 情報システムの監視

(情報システムの監視)

第73条 システム管理者は、外部ネットワークと常時接続している庁内ネットワークとの接続点に侵入検知システムを導入し、不正アクセス行為等の監視を行わなければならない。

第74条 システム管理者は、侵入検知システムにより不正アクセス行為が検知されたときは、速やかに通報を受けることのできる手段を保持するものとする。

(履歴の取得及び分析)

第75条 システム管理者は、情報システムにアクセス履歴及び動作履歴等を取得する機能を設け、各種の履歴情報を記録するものとする。

2 システム管理者は、記録した履歴情報を一定期間保存するものとし、保存にあたってはシステム管理者以外の者による改ざん及び漏えい等を防止する措置を講じなければならない。

3 システム管理者は、不正アクセス行為等の状況を確認するため、各種履歴情報を必要に応じて分析するものとする。

4 システム管理者は、必要に応じて履歴情報とその分析結果をシステム責任者に報告するものとする。

第9節 コンピュータウィルス対策

(技術的対策の整備)

第76条 コンピュータ管理者は、所属課等におけるウィルス対策を担当するものとする。

2 システム管理者は、コンピュータウィルス対策ソフトウェア(以下「ワクチン」という。)を庁内のすべてのコンピュータに導入されるよう配布するものとする。ただし、ホストなど対応するワクチンがないコンピュータについては、この限りでない。

3 システム管理者は、外部ネットワークと常時接続している庁内ネットワークとの接続点にゲートウェイ型のワクチンを導入し、ウィルス検査を行うものとする。

4 システム管理者は、コンピュータウィルスに関する情報を収集するとともに、職員等への注意喚起に努めなければならない。

(職員等が実施すべき対策)

第77条 職員等は、コンピュータのウィルス感染を防止するため、ワクチンによる防御及び定期的なウィルス検査を行わなければならない。また、外部記憶媒体及び電子メールの添付機能等を使用してファイルを持ち出し又は持ち込むにあたっても、ウィルス検査を必ず行わなければならない。

2 職員等は、システム管理者の指示に従い、ワクチンのバージョンを常に最新の状態に保たなければならない。

3 職員等は、出所が不明なファイルを持ち込んではならない。また、電子メール等で送付元が不明なファイル等を受け取ったときは、当該ファイルを開かず、速やかにシステム管理者に報告し、指示を仰がなければならない。

4 職員等は、コンピュータウィルスに感染しない種類のファイルを使用するよう努めなければならない。

(コンピュータウィルス検知時の対応)

第78条 職員等は、ウィルス検査によりコンピュータウィルスを検知したときは、速やかにシステム管理者に報告し、指示を仰がなければならない。

2 システム管理者は、職員等と協力して、被害状況の把握、感染経路の特定、被害拡大の防止、修復措置等を行うものとする。なお、被害状況が甚大であると判断されるときは、別に定める「情報セキュリティ緊急時対応基準」により対応するものとする。

3 システム管理者は、感染経路が他の組織であることが確認できたときは、当該組織に対して注意勧告を行うことを検討するものとする。

4 システム管理者は、コンピュータウィルスの検知及び対応に関する記録を取るものとする。

5 システム管理者は、コンピュータウィルス感染の被害防止に資するため、コンピュータウィルスの検知及び対応に関して必要な情報を関係機関等に届け出るものとする。

6 システム管理者は、コンピュータウィルスの検知及び対応に関する記録を、必要に応じてシステム責任者に報告するものとする。

第10節 情報収集

(セキュリティ関連情報の収集)

第79条 システム管理者は、情報セキュリティに関する情報(セキュリティホールに関する情報等)の収集を行うものとする。

2 システム管理者は、国内外のインシデントレスポンスチームや事業者から、情報セキュリティに関する情報を収集するものとする。

(セキュリティホールへの対応)

第80条 システム管理者は、収集したセキュリティホールに関する情報をコンピュータ管理者に通知するものとする。

2 システム管理者及びコンピュータ管理者は、通知を受けたセキュリティホールに対して迅速な対応を行うとともに、情報システムを構成する個々のソフトウェアのバージョン等を常に最新の状態に保つものとする。

3 コンピュータ管理者は、セキュリティホールに対応した結果をシステム管理者に報告するものとする。

4 システム管理者は、セキュリティホールに対応することによって情報システムの稼働に不具合が生じる恐れがあるときは、「情報セキュリティ組織運営基準」に定める例外規定に基づき、その対応を適用しないことができる。

第5章 物理的セキュリティ基準

第1節 目的

(目的)

第81条 この基準は、情報セキュリティの維持及び向上を図るため、情報資産の物理的な保護に関し、必要な事項を定めることを目的とする。

第2節 建物及び室の物理的対策

(建物の物理的対策)

第82条 建物は、その立地環境及び建物構造や内装の状況に応じて、地震、火災、水害、落雷等に備えた対策を講じなければならない。

(室の物理的対策)

第83条 サーバ室は、その構造や内装の状況に応じて、火災及び水害等に備えた対策を講じなければならない。

2 サーバ室は、第三者にその所在が分かるような表示をしてはならない。

3 事務室の火災及び水害等への対策は、必要に応じてその構造や内装の状況に適した対策を講じなければならない。

第3節 情報資産の物理的対策

(サーバ等の物理的対策)

第84条 サーバ等は、非権限者が容易に侵入できないように、入退室管理が行われているサーバ室にすべて設置しなければならない。

2 サーバ等には、振動や漏水等による倒壊及び故障等の被害を防止するための対策を講じなければならない。

3 サーバ等には、盗難等の被害を防止するための防犯対策を講じなければならない。

(電源保護対策)

第85条 サーバ等には、停電時等においても稼働継続又は安全終了できるための予備電源を確保しなければならない。

(空気調和対策)

第86条 サーバ室には、適切な温湿度を維持できるよう、必要に応じて空気調和設備を設けなければならない。

(端末等の物理的対策)

第87条 端末等には、必要に応じて振動や漏水等による倒壊及び故障等の被害を防止するための対策を講じなければならない。

2 端末等には、必要に応じて盗難等の被害を防止するための防犯対策を講じなければならない。

(その他器具及び備品の物理的対策)

第88条 情報資産を格納する器具及び備品等には、必要に応じて振動、火災又は漏水等による倒壊及び損傷等の被害を防止するための対策を講じなければならない。

2 情報資産を格納する器具及び備品等には、必要に応じて盗難等の被害を防止するための防犯対策を講じなければならない。

(ネットワーク構成機器の物理的対策)

第89条 ネットワーク構成機器は、施錠可能な収納棚に設置して管理するものとする。ただし、ハブ等の末端のネットワーク構成機器についてはこの限りでない。

2 ネットワーク構成機器を設置した収納棚のかぎは、システム管理者が保管するものとする。

3 ネットワーク構成機器には、必要に応じて振動や漏水等による倒壊及び故障等の被害を防止するための対策を講じなければならない。

(ネットワーク配線の物理的対策)

第90条 コンピュータへのネットワーク配線は、近辺のネットワーク構成機器から引込み、それ以外のネットワーク配線は専用の配線管路に敷設するものとする。

2 ネットワーク配線は、火災や漏水等の被害を受けにくい場所に敷設するとともに、必要に応じて振動や漏水等による断線等の被害を防止するための対策を講じなければならない。

3 ネットワークは、盗聴されにくい通信環境及び設備としなければならない。

(庁舎外機器の物理的対策)

第91条 外部委託により庁舎外に機器を設置するときは、委託先の事業者に対し、庁内での管理と同等の管理を実施させるものとする。

第4節 入退室管理

(入退室者の管理)

第92条 サーバ室は常に施錠し、第三者及び職員等が安易に入退室できないようにしなければならない。

2 サーバ室のかぎはシステム管理者が保管し、システム管理者は入退室履歴を記録しなければならない。

3 サーバ室へ入退室の必要がある職員等は、システム管理者の承諾を得てからでなければ入退室してはならない。

(搬入出物の管理)

第93条 サーバ室への搬入出物については、作業に必要なものに限定するものとする。

2 サーバ室への搬入出物については、システム管理者がその内容を確認するとともに、搬入出を記録するものとする。

(作業の監視)

第94条 外来者がサーバ室内で作業を行うときは、システム管理者又はシステム管理者が指名する職員等が立会い、作業を見届けるものとする。

第6章 外部委託基準

第1節 目的

(目的)

第95条 この基準は、情報セキュリティの維持を図るため、外部委託に関し、必要な事項を定めることを目的とする。

第2節 外部委託

(外部委託の手続)

第96条 情報主管課等は、業務の外部委託を行おうとするときは、事前に情報セキュリティ委員会に申し出て審議を受けるものとする。ただし、すでに審議を経て承認を受けた事業者を選定する場合であって、事業者に選定要件の変更がないときはこの限りでない。

2 最高情報セキュリティ責任者は、情報セキュリティ委員会での審議結果に基づき、その可否を決定し、承認するものとする。

(選定条件)

第97条 外部委託を実施する情報主管課等は、次に掲げる事項を基準として委託先事業者を選定しなければならない。

(1) プライバシーマーク取得済み若しくは同水準の個人情報保護を実施可能な事業者

(2) 委託業務内容を実施可能な技術水準を保有する事業者

(3) 経営状況が安全である事業者

(4) 委託業務に伴う情報の管理に信用のおける事業者

(5) 情報セキュリティ及び個人情報保護に関する教育体制が整備されている事業者

(6) システムインテグレータ認定を受けている事業者

(7) 特定システムオペレーション企業等認定を受けている事業者

(外部委託契約)

第98条 外部委託を実施する情報主管課等は、少なくとも次に掲げる事項を委託契約書に明記しなければならない。

(1) 守秘義務に関する事項

(2) 情報セキュリティの遵守に関する事項

(3) 情報セキュリティの運用状況の検査に応ずる義務に関する事項

(4) 損害賠償責任に関する事項

(5) 情報セキュリティ及び個人情報保護の意識の啓発及び教育に関する事項

(6) 再委託の禁止又は制限に関する事項

2 外部委託を実施する情報主管課等は、業務委託契約の締結にあたり、委託先事業者の事業責任者及び委託業務に従事する者すべてに対し、守秘義務及び情報セキュリティ遵守に関する同意書への署名を求めるものとする。

3 前項に掲げる同意書への署名を求められた受託事業者は、これを拒んではならない。

(再委託の禁止)

第99条 委託業務のすべての再委託は禁止する。

(体制)

第100条 外部委託を実施する情報主管課等は、障害時や緊急時等に備え、委託先事業者との連絡体制を構築しなければならない。

2 外部委託を実施する情報主管課等は、委託先事業者に従事者名簿等の当該委託業務に係る体制が確認できるものを提出させるものとする。

(委託業務の実施)

第101条 外部委託を実施する情報主管課等は、当該委託業務に係る情報セキュリティに関する要求事項を委託先事業者に提示し、遵守させるものとする。

2 外部委託を実施する情報主管課等は、当該委託業務に関する作業報告を提出させるものとする。

3 外部委託を実施する情報主管課等は、当該委託業務に関する情報セキュリティの実施状況を定期的に報告させるものとする。

4 外部委託を実施する情報主管課等は、委託先事業者を受け入れるときは、派遣要員等に付与する権限を必要最小限としなければならない。

5 外部委託を実施する情報主管課等は、委託先事業者に開示又は提供する情報資産は必要最小限とし、事前に当該情報資産の主管課等の情報セキュリティ担当者に許可を受けなければならない。この場合において、開示又は提供した情報資産、その日時、担当者名及び返却日時を記録しておかなければならない。

(監督及び検査)

第102条 外部委託を実施する情報主管課等は、委託先事業者の情報セキュリティの実施状況を定期的に監督及び検査しなければならない。

2 外部委託を実施する情報主管課等は、委託先事業者が庁舎外で委託業務に従事するときは、必要に応じて委託先事業者に管理体制を構築させるとともに、監督させるものとする。

3 外部委託を実施する情報主管課等の情報セキュリティ担当者は、定期的に委託に係る業務内容及び情報セキュリティの実施状況を、情報セキュリティ委員会に報告するものとする。

(違反時の措置)

第103条 外部委託を実施する情報主管課等は、委託先事業者に違反があったときは、速やかに契約を解除し、提供した情報資産を直ちに返還させなければならない。また、必要に応じて損害賠償等の措置を講じなければならない。

第7章 情報セキュリティ監査及び点検基準

第1節 目的

(目的)

第104条 この基準は、情報セキュリティの維持及び向上を図るため、監査及び点検に関し、必要な事項を定めることを目的とする。

第2節 監査

(監査担当者の指名)

第105条 セキュリティポリシーの運用状況を監査する者(以下「監査担当者」という。)は2名以上とし、最高情報セキュリティ責任者が指名する職員とする。

2 監査担当者は、次に掲げる条件を満たす職員でなければならない。

(1) 監査の対象となる情報主管課等及び職員等(以下「被監査課等」という。)と独立性を保つことのできる者

(2) 情報システムの基本的知識を有する者

(3) 情報セキュリティに係る監査の知識並びに実務能力を有する者

(監査担当者の職務倫理及び守秘義務)

第106条 監査担当者は、客観的な評価者としての立場を堅持しなければならない。

2 監査担当者は、自己に対する倫理的要請を自覚するとともに、的確かつ誠実な監査の実践を通じて内外の信頼にこたえなければならない。

3 監査担当者は、正当な理由なく職務上知り得た秘密を漏らし、又は不当な目的に利用してはならない。なお、監査担当者としての監査担当職務を退いた後も同様とする。

(監査担当者の責任及び権限)

第107条 監査担当者は、次に掲げる責任及び権限を有するものとする。

(1) 自らの判断に対する根拠を明確にする責任

(2) 被監査課等に対して資料の提出を求めることのできる権限

(3) 被監査課等に改善勧告した事項について、その実施報告を求めることのできる権限

(監査の対象)

第108条 情報主管課等の情報を他に利用する課等があるときは、情報を利用する課等も監査の対象に含み、被監査課等が業務を外部委託しているときは、委託を受けた事業者も監査の対象となるものとする。

2 監査の対象は、被監査課等においては情報システム及び関連設備に係るセキュリティポリシーの運用状況とし、委託先事業者においては情報システムの委託業務に係る情報セキュリティの実施状況とする。

(被監査課等の義務)

第109条 被監査課等は、監査担当者の協力要請に応じなければならない。

2 被監査課等は、監査作業の妨害、虚偽の報告及び事実の隠ぺいをしてはならない。

(計画の立案)

第110条 監査担当者は、年度ごとに情報セキュリティ監査の実施計画を立案するものとする。

2 監査担当者は、特定の課等又はテーマに限定した監査を適宜実施するよう計画内容を作成することができるものとする。

3 監査の実施計画は、最高情報セキュリティ責任者の承認を得なければならない。

(監査の実施基準)

第111条 情報セキュリティの監査は、セキュリティポリシーに準じた情報システムの運用及び情報資産の取扱いが実施されていることを監査するものとする。

2 監査においては前項のほか、次に掲げる基準等を参照することができるものとする。

(1) システムの監査基準

(2) 地方公共団体のためのコンピュータセキュリティ対策基準

(3) その他政省令や内部例規集等

(監査の実施)

第112条 監査担当者は、監査計画に基づき情報セキュリティ監査を実施するものとする。

2 監査担当者は、監査の実施にあたり監査項目及び監査方法を明確にした監査用書類を準備するものとする。

3 監査は、被監査課等に立入り、職員等へのヒアリング及び資料調査等により実施するものとする。

(報告)

第113条 監査担当者は、監査終了後に監査結果報告書を作成しなければならない。

2 監査結果報告書は、監査対象、監査内容、監査結果、指摘事項及び改善勧告等について記入しなければならない。

3 監査担当者が作成した監査結果報告書は、最高情報セキュリティ責任者の決裁を受けなければならない。

4 監査担当者は、最高セキュリティ責任者の決裁を受けた後に、監査結果報告書を情報セキュリティ委員会において報告しなければならない。

(改善)

第114条 監査担当者は、監査結果報告書に基づき、被監査課等に改善勧告を行うものとする。

2 被監査課等は、監査担当者から指摘を受けた事項について、できるだけ速やかに改善しなければならない。

3 監査担当者は、一定期間内の改善勧告について、被監査課等の実施状況を確認するものとする。

4 監査担当者は、情報共有により庁内全体の情報セキュリティ維持及び向上に有効であると判断したときは、監査結果の一部を組織内において公開することができるものとする。

(臨時監査)

第115条 監査担当者は、最高情報セキュリティ責任者から特に指示を受けたときは、臨時に監査を行うことができるものとする。

(外部監査)

第116条 監査担当者は、自らが行う監査のほか、最高情報セキュリティ責任者の承認を受けたときは、外部の事業者による外部監査を実施することができるものとする。

(監査結果報告書の保管)

第117条 監査担当者は、監査結果報告書を保管及び保存しなければならない。

(監査の実施頻度)

第118条 定期的な監査は、同一年度内において1回実施するものとする。

第3節 点検

(点検担当者)

第119条 情報セキュリティ対策に関する点検は、情報資産を取り扱う者が自ら行うものとする。

2 各課等において点検を担当する者はコンピュータ管理者とし、その統括はシステム管理者が行うものとする。

(計画の立案)

第120条 システム管理者は、年度ごとに点検の実施計画を立案し、各課等のコンピュータ管理者に配布するものとする。

2 点検の実施計画は、最高情報セキュリティ責任者及び所属課等の情報セキュリティ担当者の承認を得なければならない。

3 コンピュータ管理者は、自らが管理するシステム等において、実施計画以外に点検の必要があると認めるときは、これを実施することができるものとする。

4 前項に規定する点検を実施するときは、所属課等の情報セキュリティ担当者の承認を得なければならない。

(点検の実施基準)

第121条 コンピュータ担当者は、セキュリティポリシーの内容のうち、所属課等に関連する事項に十分配慮し、点検用資料を作成するものとする。

(点検の実施)

第122条 システム管理者は、点検用資料の作成にあたり、情報システム所管課等に協力を要請することができる。

2 システム管理者及びコンピュータ管理者は、点検資料に基づき、所属課等の職員等にアンケート等を用いた調査を行うものとする。

3 点検にあたり、点検対象に情報システムが含まれるときは、前項のほか当該システムのぜい弱性を検査するものとする。

(報告)

第123条 システム管理者及びコンピュータ管理者は、点検終了後、点検結果報告書を作成し、最高情報セキュリティ責任者及び所属課等の情報セキュリティ担当者に報告しなければならない。

2 点検を実施した課等の情報セキュリティ担当者は、情報セキュリティ委員会に自課等の点検結果を報告するものとする。

(改善)

第124条 情報セキュリティ担当者は、点検結果に基づき、問題点を明確にし、それを改善するものとする。

(点検の実施頻度)

第125条 定期的な点検は、同一年度内において1回実施するものとする。

第8章 情報セキュリティ緊急時対応基準

第1節 目的

(目的)

第126条 この基準は、情報セキュリティの維持を図るため、情報資産への不正アクセス、情報漏えい及び大規模災害等の緊急事態発生時における対処に関し、必要な事項を定めることを目的とする。

第2節 連絡体制

(情報集約担当者)

第127条 各課等における情報集約担当者はコンピュータ管理者とし、報告はシステム管理者に行うものとする。

2 システム管理者及びコンピュータ管理者は、次に掲げる事項を担当するものとする。

(1) 情報セキュリティの侵害の発生又はその可能性(以下「緊急事態」という。)に係る情報(以下「危機情報」という。)の一元的な収集及び把握

(2) 緊急事態発生時における内外の関係組織への連絡

(庁内の連絡経路)

第128条 緊急事態を検知した職員等は、当該事案に係る各情報資産の管理者(情報管理責任者、システム管理者又はコンピュータ管理者)に、危機情報を報告しなければならない。

2 職員等より連絡を受け、又は自ら緊急事態を検知した各情報資産の管理者は、所属課等の情報セキュリティ担当者に危機情報を報告しなければならない。

3 情報セキュリティ担当者は、コンピュータ管理者に危機情報を報告し、コンピュータ管理者はシステム管理者に報告しなければならない。

4 システム管理者は、コンピュータ管理者から受けた報告を検証の上、システム責任者に報告しなければならない。

5 前3項に規定する各連絡経路において、危機情報を報告する者は、報告を受ける者が不在等の理由により連絡を取ることができない場合に限り、コンピュータ管理者又はシステム管理者に直接報告することができるものとする。

6 システム責任者は、最高情報セキュリティ責任者に危機情報を報告するものとする。ただし、システム管理者が、当該事案による被害が明らかに発生しないと確認又は判断できるときは、この限りでない。

7 最高情報セキュリティ責任者は、町長に危機情報を緊密に報告するものとする。

(連絡手段の確保)

第129条 システム管理者は、最高情報セキュリティ責任者及びコンピュータ管理者への危機情報の伝達が常時可能な連絡手段を確保し、職員等に周知しなければならない。

第3節 緊急事態への対処

(応急措置)

第130条 情報資産の管理者は、被害拡大を防止するための応急措置を自らの判断により迅速に行うものとする。

(調査及び把握)

第131条 各情報資産の管理者は、次に掲げる事項を把握可能な範囲で直ちに報告しなければならない。

(1) 発生日時及び検知日時

(2) 発見者

(3) 侵害を受けた対象

(4) 緊急事態の概要

(5) 実施済みの応急措置

(6) 被害の有無及び影響範囲

(7) 発生原因

2 コンピュータ管理者は、報告内容に基づき、当該事案に関係する情報資産を取り扱う職員等(以下「関係者」という。)に連絡を取り、その詳細についての調査及び把握に努め、システム管理者に状況を逐次報告しなければならない。

3 システム責任者及びシステム管理者並びにコンピュータ管理者は、関係者に指示し、緊急事態の調査及び把握に必要な情報を確保しなければならない。

(緊急事態への対処)

第132条 最高情報セキュリティ責任者は、システム責任者の報告に基づき、随時対処及び復旧に必要な措置を指示するものとする。

2 緊急事態への対処として次に掲げる事項を行うときは、原則として最高情報セキュリティ責任者の承認を必要とするものとする。ただし、関係者は、当該事案の状況にかんがみ、緊急を要すると判断したときは、事後報告とすることができる。

(1) 庁内ネットワークと外部ネットワークとの切離し

(2) 情報システムの停止

3 システム管理者は、緊急事態による被害拡大の防止措置を講じた後に、関係者に復旧作業を指示するものとする。

4 関係者は、対処及び復旧作業の記録を取り、作業終了後にシステム管理者に報告するものとする。

5 システム管理者は、システム責任者に、対処及び復旧作業の記録について報告するものとする。

6 最高情報セキュリティ責任者への報告は、システム責任者が行うものとする。

(外部組織への連絡)

第133条 システム責任者は、状況に応じて次に掲げる他の組織に連絡し、緊急事態の対処への協力を要請するものとする。

(1) 委託先事業者(保守事業者も含む)

(2) 関係省庁及び警察等の公的機関

2 システム責任者は、緊急事態の状況に応じて、最高情報セキュリティ責任者の指示に基づき、広報担当課と協力の上で、報道機関への対応を行うものとする。

3 システム責任者は、緊急事態の状況に応じて、最高情報セキュリティ責任者の指示に基づき、その対処後に広報担当課と協力の上で、住民に対して状況報告を公表するものとする。

第4節 再発防止の措置

(調査及び分析)

第134条 システム管理者は、復旧作業後に、関係者と協力して緊急事態が発生した原因の究明を行うものとする。

(再発の防止)

第135条 システム責任者は、関係者と協力し、再発防止策を検討するものとする。

2 システム責任者は、最高情報セキュリティ責任者の承認を受けた後、再発防止策を実施しなければならない。

3 システム責任者は、再発防止策について、他の情報システム等での実施状況を確認させるものとする。

(援助の申請)

第136条 最高情報セキュリティ責任者は、再発防止措置を検討するため、関係機関に援助の申請を行うことができるものとする。

第9章 情報セキュリティ倫理基準

第1節 目的

(目的)

第137条 この基準は、情報セキュリティの維持を図るため、職員等が情報システムを取り扱う際に遵守すべき事項を定めることを目的とする。

第2節 行動指針

(公私混同の禁止)

第138条 職員等は、情報資産を職務遂行以外の目的に使用してはならない。

(守秘義務)

第139条 職員等は、職務上知り得た秘密を第三者に開示又は漏えいしてはならない。その職を退いた後も、また、同様とする。

2 職員等は、情報システムの使用及び運用等に関する情報を、第三者に開示又は漏えいしてはならない。

(管理者への協力)

第140条 職員等は、システム管理者及びコンピュータ管理者の指示に従い、情報システムの運用に協力するものとする。

(情報資産の適切な取扱い)

第141条 職員等は、情報の取扱いについて細心の注意を払わなければならない。

2 職員等は、コンピュータを無断で増設又は改造してはならない。

3 職員等は、自らが管理するパーソナルコンピュータに無断でソフトウェアを導入してはならない。

4 職員等は、不正アクセス又はそれに類する行為を行ってはならない。

5 職員等は、自らが管理するコンピュータを盗難や不正使用等の被害から保護しなければならない。

(パスワードの管理)

第142条 職員等は、パスワードの管理において、次に掲げる事項を遵守しなければならない。

(1) 他者に自身のパスワードを使用させないこと。

(2) 自身のパスワードを公表しないこと。

(3) 他者のパスワードを使用しないこと。

(4) 他者が容易に推測できないパスワードを使用すること。

(5) 自身のパスワードを定期的に変更すること。

(6) 自身のパスワードを再利用しないこと。

(7) パスワード入力を省略できる機能を使用しないこと。

(8) パスワード入力時、他者にのぞき見られないよう配慮すること。

(9) 他者が入力しているパスワードをのぞき見ないこと。

(10) 人事異動又は退職等、何らかの理由によりコンピュータの使用が不要となったときは、直ちにシステム管理者に届け出ること。

(11) パスワードを失念したとき及び他者に知られた恐れのあるときは、直ちにシステム管理者に届け出ること。

(資格識別カード等の管理)

第143条 職員等は、資格識別用カード等の使用において、次に掲げる事項を遵守しなければならない。

(1) 他者に資格識別カード等を貸与しないこと。

(2) 他者が保有する資格識別カード等を使用しないこと。

(3) 資格識別カードを自身が保管するときは、他者が持ち出せないよう保管に細心の注意を払うこと。

(4) 資格識別カード等を管理者より借り受けたときは、使用後直ちに返却すること。

(5) 資格識別カード等を破壊しないこと。

(6) 資格識別カード等を机上等に放置しないこと。

(7) 資格識別カード等を紛失又は破損等したときは、直ちに管理者に届け出ること。

(欠陥及び事故の報告)

第144条 職員等は、情報システム運営上の欠陥や事故、あるいはセキュリティポリシーに対する違反行為等を発見したときは、直ちにシステム管理者に報告する義務を負うものとする。

(著作権への配慮)

第145条 職員等は、他者の著作物を使用する場合において、著作権に十分に配慮するとともに、次に掲げる事項を行ってはならない。

(1) 他者が作成した画像データなどの著作物を、職員等が作成したかのように使用する行為

(2) 他者が作成したソフトウェアなどの著作物を、当該著作者の許諾なしに使用したり頒布したりする行為、又はこれらに対し改ざん等を行う行為

(3) 海賊版ソフトウェア等の不法な流通を媒介する行為

(4) 公開されているソフトウェア等を著作者が定めた条件に違反して使用する行為

(5) 著作権者、商標権者、意匠権者、その他の権利者の許諾なく、新聞、雑誌、図書等の内容、図や写真などの画像データ、キャラクター、ロゴマーク、トレードマーク等を使用又は流通させる行為

(6) 情報公開者の指定条件に背き、私的使用以外の使用をする行為

(7) 著作権者等の許諾なく、表示、複製、転載、改変、貸与、販売、送信、出版等を行う行為

(8) 著作者名を変更して表示する行為、著作者名を明示すべき時に明示しない行為

(9) 他者の電子メールの本文を、発信人に無断で掲示板に転載する行為

2 職員等は、他者の著作物を引用するときは、次に掲げる事項に留意しなければならない。

(1) 引用は必要最小限に止めること。

(2) 引用は公正な慣行に合致するものであること。

(3) 報道、批判、研究その他引用の目的上、正当な範囲内で行われるものであること。

(4) あくまで職員等が作成するものが主体であり、引用するものが従属物であること。

(5) 合理的と認められる方法及び程度(引用箇所ごとに表示する)により、引用元及び著作者名を明示すること。

(6) 引用部分が容易に判別できるように『』等で明示すること。

3 職員等は、著作権などの知的財産権に関して判断しかねるときは、システム管理者に必ず協議するものとし、自らの独断で解決してはならない。

(電子メールの適切な利用)

第146条 職員等は、電子メールの利用において、次に掲げる事項を遵守しなければならない。

(1) 庁内外を問わず、情報を発信する際は、必ず情報管理責任者の承認を得ること。また、情報管理責任者にCC(カーボンコピー)を送信すること。

(2) 職務上受信した電子メールを、私的に所有するメールアドレスに転送しないこと。

(3) 情報管理責任者の許可なく電子メールの自動転送を行わないこと。

(4) 情報の発信時には、送信相手が正規の送信相手か否かを必ず確認すること。

(5) 電子メールに添付するファイルは、送信前に必ずウィルス検査を行うこと。

(6) 返信の際、全文を引用するのではなく、必要部分のみ引用すること。

(7) 電子メールの内容は簡潔にすること。

(8) 他者から受け取った電子メールの内容を第三者へ転送するときは、プライバシーや著作権を尊重し、必要により相手に確認を得ること。また、転送は必要最小限に留めること。

(9) チェーンメール(不幸又は幸福の手紙の電子メール版)やジャンクメール(全く意味のない電子メール)は転送しないこと。

(10) 同報発信を乱用しないこと。また、不特定多数に無作為に送信しないこと。

(11) 容量の大きいファイルは添付しないこと。やむを得ない場合は、当該ファイルを圧縮又は分割した後に添付すること。

(12) 他者のプライバシーに関する内容を扱わないこと。

(13) 他者を誹謗、中傷、揶揄するような内容を扱わないこと。

(14) 公序良俗に反する内容を扱わないこと。

(15) 知らない者からの電子メールは、内容をうのみにせず、その発信元及び正当性等について検証し、対処すること。

(16) 受信した電子メールのうち、不必要となったものは速やかに削除すること。

2 職員等は、メーリングリストの利用において、次に掲げる事項を遵守しなければならない。

(1) 外部のメーリングリストに参加するときは、所属課等の情報セキュリティ担当者の許可を受けること。

(2) 外部のメーリングリスト上では、組織を代表しているかのように誤解される言動は行わないこと。

(3) 庁内でメーリングリストを立ち上げる際は、所属課等の情報セキュリティ担当者の許可を受けた上で、総務課と協議すること。

(法令等の遵守)

第147条 職員等は、情報資産を取り扱う場合において、次に掲げる法令を遵守しなければならない。

(1) 著作権法

(2) 不正アクセス行為の禁止等に関する法律

(3) 行政機関が保有する電子計算機処理に係る個人情報の保護に関する法律

2 職員等は、情報資産を取り扱う場合において、庁内の規程等を遵守しなければならない。

第10章 標準情報セキュリティ実施手順

第1節 目的

(目的)

第148条 この手順は、各情報主管課等において、情報セキュリティポリシーに基づく情報セキュリティ対策を実施するために必要となる標準的な手順を定めることを目的とする。

第2節 システム及び情報資産の分析

(分析票の作成)

第149条 情報セキュリティ担当者は、所管する業務ごとにその情報資産とリスクを明確にするため、情報システム分析票(別記様式第2号)を作成するものとする。

2 情報システム分析票に記載する正確性及び機密性、継続性の各レベルは、当該業務の目的や法的及び社会的な要請を踏まえ、次の各号に定める基準により分類するものとする。

(1) データが正確に処理されなかった場合の影響度に応じ、正確性に対する要求レベルを次の3つのランクに分類するものとする。

ランク

判断要素

A

住民の生命、身体、財産及びプライバシー等に直接重大な影響を及ぼすもの

B

行政事務の執行等に直接重大な影響を及ぼすもの

C

上記2つのランクに該当しないもの

(2) データが漏えい又は不当に開示されたときに、住民や地方公共団体の安全及び利益に与える影響度に応じ、機密性に対する要求レベルを次の3つのランクに分類するものとする。

ランク

判断要素

A

住民の生命、身体、財産及びプライバシー等に直接重大な影響を及ぼすもの

B

行政事務の執行等に直接重大な影響を及ぼすもの

C

上記2つのランクに該当しないもの

(3) 業務処理が停止又は停滞したときに、住民の生命、身体、財産及びプライバシーや、行政事務の執行等に及ぼす影響度に応じ、継続性に対する要求レベルを次の4つのランクに分類するものとする。

ランク

判断要素

A

30分程度業務処理が停止すると重大な影響を及ぼすもの

B

半日から1日程度業務処理が停止すると重大な影響を及ぼすもの

C

1日以上業務処理が停止すると重大な影響を及ぼすもの

D

上記3つのランクに該当しないもの

3 情報システム分析票に記載する情報資産は、当該業務上保有するすべての情報資産とする。

4 情報セキュリティ担当者は、作成した情報システム分析票をシステム管理者に提出するものとする。

5 システム管理者は、各課等から提出のあった情報システム分析票を確認し、システム責任者の決裁を受けた後、厳重に保管するものとする。

(対策リストの作成)

第150条 情報セキュリティ担当者は、システムごとに作成した情報システム分析票をもとに情報セキュリティ対策リスト(別記様式第3号)を作成しなければならない。

2 情報セキュリティ対策リストには、情報システム分析票により想定されるすべての脅威を記載し、その対策と実施状況及び実施頻度を明確に記載しなければならない。

3 情報セキュリティ担当者は、作成した情報セキュリティ対策リストをシステム管理者に提出するものとする。

4 システム管理者は、各課等から提出のあった情報セキュリティ対策リストを確認し、システム責任者の決裁を受けた後、厳重に保管するものとする。

(セキュリティ対策の実施)

第151条 情報セキュリティ担当者は、システムごとに作成した情報セキュリティ対策リストに基づき、システムのセキュリティ対策を実施するものとする。

(対策リストの非公開)

第152条 職員等は、情報システム分析票及び情報セキュリティ対策リストについて知り得た情報を、システムに直接関係する者以外に公開してはならない。

この訓令は、公布の日から施行する。

(平成19年3月29日訓令第1号)

この訓令は、平成19年4月1日から施行する。

(平成19年7月1日訓令第8号)

この訓令は、平成19年7月1日から施行する。

(平成23年6月30日訓令第7号)

この訓令は、平成23年7月1日から施行する。

(平成27年7月1日訓令第1号)

この訓令は、平成27年7月1日から施行する。

(令和2年3月31日訓令第4号)

この訓令は、令和2年4月1日から施行する。

画像

画像

画像

由仁町情報セキュリティに関する規程

平成16年4月1日 訓令第2号

(令和2年4月1日施行)

体系情報
第3類 行政通則/第4章 広報・行政手続
沿革情報
平成16年4月1日 訓令第2号
平成19年3月29日 訓令第1号
平成19年7月1日 訓令第8号
平成21年9月1日 種別なし
平成23年6月30日 訓令第7号
平成27年7月1日 訓令第1号
令和2年3月31日 訓令第4号