○宇土市住民基本台帳ネットワークシステムセキュリティ規程

平成14年8月4日

訓令第14号

目次

第1章 総則(第1条・第2条)

第2章 組織(第3条―第7条)

第3章 入退者及び機器の管理(第8条―第12条)

第4章 アクセス管理(第13条―第18条)

第5章 情報資産管理(第19条―第23条)

第6章 本人確認情報管理(第24条―第30条)

第7章 委託管理(第31条―第34条)

附則

第1章 総則

(趣旨)

第1条 この規程は,宇土市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ確保に関し必要な事項を定めるものとする。

(用語の定義)

第2条 この規程において,次に掲げる用語の意義は,それぞれ当該各号に定めるところによる。

(1) 指定職員 宇土市電子計算機処理事務に係る個人情報保護規程(平成15年訓令第7号)第4条の規定により,指定された職員をいう。

(2) 本人確認情報 住民基本台帳法(昭和42年法律第81号)第30条の6第1項に規定する本人確認情報をいう。

(3) コミュニケーションサーバ 本人確認情報を記録し,既存の住民基本台帳システム,都道府県サーバ及び他市町村サーバとデータの交換を行うための電子計算機をいう。

(4) 統合端末 住基ネットの運用管理に係るデータを入出力する端末装置をいう。

(5) 照合情報認証 手の静脈等の情報に不可逆演算を施して登録された情報(以下「照合情報」という。)と認証時に読み取られる情報を照合することにより認証する方法をいう。

(6) 照合ID コミュニケーションサーバ及び統合端末の操作者を識別するためのIDをいう。

(7) 操作者ID 端末操作者の操作権限を識別するためのIDをいう。

(8) オペレーティングシステム プログラムの実行を制御するためのソフトウェアをいう。

第2章 組織

(セキュリティ統括責任者及びセキュリティ総括副責任者)

第3条 住基ネットのセキュリティ対策を総合的に実施するため,セキュリティ統括責任者及びセキュリティ総括副責任者を置く。

2 セキュリティ統括責任者には副市長を,セキュリティ総括副責任者には企画部長及び市民環境部長をもって充てる。

3 セキュリティ総括副責任者は,セキュリティ統括責任者を補佐し,セキュリティ統括責任者に事故があるとき,又はセキュリティ統括責任者が欠けたときは,その職務を代理するものとする。

4 前項の職務代理者として,セキュリティ総括副責任者のうち,市民環境部長を第1位とし,企画部長を第2位とする。

(システム管理者)

第4条 住基ネットの適切な管理を行うため,システム管理者を置く。

2 システム管理者は,市民保険課長及び電算担当課長をもって充てる。

(セキュリティ責任者)

第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため,セキュリティ責任者を置く。

2 セキュリティ責任者は,住基ネットを利用する課の長(課に相当する組織の長を含む。以下同じ。)とする。

(セキュリティ会議)

第6条 セキュリティ統括責任者は,セキュリティ会議を招集するとともに,議長を務める。

2 セキュリティ会議は,セキュリティ統括責任者及びセキュリティ総括副責任者のほか,次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) 総務課長

(4) 財政課長

3 セキュリティ会議は,次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直しに関すること。

(2) 前号のセキュリティ対策の遵守状況の確認に関すること。

(3) 監査の実施に関すること。

(4) 教育・研修の実施に関すること。

(5) 緊急時の対応及び対策に関すること。

4 議長は,前項のうち重要と認められる事項を審議するときは,情報公開・個人情報保護等審査会(宇土市情報公開・個人情報保護等審査会条例(平成15年条例第2号)に規定する情報公開・個人情報保護等審査会をいう。)の意見を聴くものとする。

5 議長は,必要と認めるときは,関係職員の出席を求め,その意見又は説明を聴くことができる。

6 セキュリティ会議の庶務は,市民環境部市民保険課において処理する。

(関係部署に対する指示等)

第7条 セキュリティ統括責任者は,セキュリティ会議の結果を踏まえ,関係部署の長に対し指示し,又は教育委員会等に対し必要な措置を要請することができる。

第3章 入退者及び機器の管理

(入退者及び機器の管理を行う場所及び管理の方法)

第8条 次の表に掲げる住基ネットの運用が行われる場所において,それぞれのセキュリティ区分に応じた,入退者及び機器の管理を行うものとする。

セキュリティ区分

場所

入退者管理の方法

レベル3

住基ネットのデータ,セキュリティ情報等の保管場所

(1) 入退室を行う場合には,入退室管理者から事前に許可された者のみが入退室を行う。

(2) 入退者には,名札の着用を義務付ける。

(3) 入退室に関する記録を行う。

レベル2

コミュニケーションサーバ,ネットワーク機器の設置場所

(1) 入退室を行う場合には,入退室管理者から事前に許可された者のみが入退室を行う。

(2) 入退者には,名札の着用を義務付ける。

(3) 入退室に関する記録を行う。

レベル1

統合端末の設置場所

(1) 入退室を行う場合には,入退室管理者から事前に許可された者のみが入退室を行う。

(2) 機器操作者には,名札の着用を義務付ける。

(入退者管理者)

第9条 入退者管理者は,指定職員について,レベル3及びレベル2の場所にあっては電算担当課長を,レベル1の場所にあっては住基ネットを利用する課の長をもって充てる。

2 入退者管理者は,前条に掲げる場所について入退者及び機器の管理を行うほか,住基ネットのセキュリティを確保するため,入退者の管理に関し,必要な措置を採らなければならない。

(鍵等の管理)

第10条 鍵等の管理は,財政課長が行う。ただし,電算室については,電算担当課長に委任する。

(管理簿の作成)

第11条 電算担当課長は,レベル3及びレベル2のセキュリティ区分に係る場所について,入退者管理簿及び鍵等の管理簿を作成し,これを保存するものとする。

(指示)

第12条 セキュリティ統括責任者は,適切な入退者管理が行われているかどうか,入退者管理者等から報告を聴取し,調査を行い,必要な指示を行うものとする。

第4章 アクセス管理

(アクセス管理を行う機器)

第13条 次に掲げる住基ネットの構成機器について,アクセス管理を行う。

(1) コミュニケーションサーバ

(2) 統合端末

2 前項のアクセス管理は,照合情報認証により住基ネットの操作者(以下「操作者」)の正当な権限を確認すること,及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第14条 前条のアクセス管理を実施するため,アクセス管理責任者を置く。

2 アクセス管理責任者は,市民保険課長とする。

(照合ID,照合情報及び操作者ID)

第15条 アクセス管理責任者は,照合ID,照合情報及び操作者IDに関し,次に掲げる事項を実施する。

(1) 照合ID及び操作者IDの管理方法を定めること。

(2) 照合情報の登録及び削除の管理方法を定めること。

(3) 操作者IDの種類ごとの操作者について,セキュリティ責任者と協議して定めること。

(4) 照合ID及び操作者IDの管理簿を作成すること。

(操作者の責務)

第16条 操作者は,照合ID,照合情報及び操作者IDでの管理方法を遵守しなければならない。

(操作履歴の記録)

第17条 アクセス管理責任者は,操作履歴について,7年前まで遡って解析できるよう,保管するものとする。

(オペレーティングシステムの管理)

第18条 アクセス管理責任者は,第13条のアクセス管理を実施するほか,住基ネットに係る構成機器のオペレーティングシステムについて,必要なセキュリティ対策を実施する。

第5章 情報資産管理

(情報資産管理)

第19条 住基ネットの情報資産(住基ネットに係る全ての情報のうち,本人確認情報(記録データ,出力帳票及びマイナンバーカード等)を除いたデータ並びにソフトウェア,ハードウェア,ネットワーク及び磁気ディスクをいう。以下この章において同じ。)について,管理責任者を置く。

(情報資産管理責任者)

第20条 前条の情報資産の管理責任者(以下「情報資産管理責任者」という。)は電算担当課長とする。

2 情報資産管理責任者は,当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。

3 情報資産管理責任者は,住基ネットを利用する課の長と協議して,住基ネットのオペレーション計画を定めるものとする。

(ソフトウェア等の適正な管理)

第21条 情報資産管理責任者は,住基ネットに係る処理における機密性,正確性及び継続性を確保するため,次の各号に掲げる区分の管理に応じ,当該各号に定める措置を講ずる。

(1) ソフトウェアの適正な管理 不正アクセスの防止,システム障害対策その他必要と認める措置

(2) ハードウェア及びネットワークの適正な管理 不正アクセスの防止,システム障害対策,電源対策,空気調和対策,防災対策,防犯対策その他必要と認める措置

(情報資産管理簿等の適正な管理)

第22条 情報資産管理責任者は,情報資産管理簿等の適正な管理については要領,手順書等に定めるものとする。

(施設の適正な管理)

第23条 操作者の認証等により,本人確認情報の処理に係る電子計算機及び端末装置を設置する場所の入出場の管理その他これらの施設への不正なアクセスを予防するために入退室管理責任者と協議を行い,その措置を講ずる。

第6章 本人確認情報管理

(本人確認情報管理)

第24条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア,ハードウェア,ネットワーク及び磁気ディスクをいう。)のうち,本人確認情報,当該本人確認情報が記録された帳票及びマイナンバーカード等について本人確認情報管理を行う。

(本人確認情報管理責任者)

第25条 本人確認情報管理責任者(以下「本人確認情報管理責任者」という。)は市民保険課長をもって充てる。

2 本人確認情報管理責任者は,本人確認情報を取り扱うことができる者を指定するとともに,当該本人確認情報の漏えい,滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

3 本人確認情報管理責任者は,本人確認情報の記録されたコミュニケーションサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。

(本人確認情報管理方法)

第26条 本人確認情報管理責任者は,不正アクセス又は不正アクセスのおそれがあり,本人確認情報の漏えいや毀損等の被害を受けるおそれがある場合には,本人確認情報の保護を第一優先とし,ネットワークの遮断等の対応の判断を行うとともに,できるだけ速やかに改善措置を講ずるものとする。

(本人確認情報の取扱方法)

第27条 本人確認情報を取扱うことができる職員(以下「取扱者」という。)は,本人確認情報の取扱いに関し,次に掲げる事項に留意しなければならない。

(1) 統合端末の画面情報に関すること。

 ディスプレイの画面を来庁者等に見られることがないよう設置すること。

 ディスプレイに,覗き見防止措置を講ずること。

 タッチパネルを利用した入力に関しては,タッチパネルの画面を利用者以外の第三者から確認できないように配慮を施すこと。

 スクリーンセーバーを利用し,画面を長時間表示させないようにすること。

(2) 本人確認情報の入力,削除及び訂正(以下「入力等」という。)時に関すること。

 入力等を行った取扱者以外の取扱者が,入力等の内容を確認すること。

 入力等から確認に至るまでを2人の取扱者により行うこと。

 入力等に用いた帳票等は,切断破砕を行い廃棄すること。ただし,保管が必要な帳票等は,本人確認情報変更管理簿に記載し施錠可能な書庫等に施錠の上,保管すること。

 訂正は,本人確認情報管理責任者の許可を得てから行い,訂正した内容の記録を1年間,施錠可能な書庫等に施錠の上,保管すること。

 本人確認情報は,メモに書き込み,及び端末にテキスト文書として保存する等してはならない。

 入力等を行った際は,その実施年月日,取扱者の氏名,処理内容を記録すること。

(3) 本人確認情報の検索・抽出時に関すること。

 業務上必要のない検索は行わないこと。

 あらかじめ,検索・抽出条件を明確にすること。

 検索・抽出によってディスプレイ上に表示された本人確認情報について,画面のハードコピーを取らないこと。ただし,必要があると認められる場合には,事前に本人確認情報管理責任者の承認を得て,その記録を残すこと。

 本人確認情報の出入力を行う際に可搬性のある記録媒体を一時的に使用するときは,必ず住基ネット専用の記録媒体を用いるとともに,接続前にウィルスチェックを行った後に接続すること。

 一時的に使用した記録媒体に存在する本人確認情報は必ず削除等を行うこと。

(4) 離席時に関すること。

 業務アプリケーションを必ずログオフ又は終了させること。

(5) 大量に本人確認情報を出力する場合に関すること。

 この号において大量を定義する印刷物(整合性確認処理時のファイルへの出力数)等の量は30人以上とする。

 一度に大量に本人確認情報を出力しないこと。ただし,必要があると認められる場合には,事前に本人確認情報管理責任者の決裁,承認を得て,その記録を残すこと。

(帳票の管理方法)

第28条 管理対象とする帳票は,次に掲げるとおりとする。ただし,住民からの申請書に基づき出力した帳票については管理対象とせず,当該申請書を管理対象とする。

(1) 広域交付住民票

(2) 転出証明確認書

(3) 転入通知確認書

(4) 住民票コード通知票

(5) 住民票コード変更通知票

(6) 住民票の写しの広域交付・転入出(住基カード)処理件数一覧表

(7) 住民票コード要求・付番処理件数一覧表

(8) 本人確認情報更新処理件数一覧表

(9) 本人確認情報整合結果リスト

(10) 本人確認情報リスト

(11) 住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表

(12) 住民票コード要求・付番処理件数年合計一覧表

(13) 本人確認情報更新処理件数年合計一覧表

(14) 戸籍附票記載事項通知処理件数一覧表

2 本人確認情報管理責任者は,次に掲げる事項を記録するための帳票管理簿を作成し,帳票の出力,保管,廃棄等を行う際,取扱者に必要事項を記録させるものとする。ただし,住民からの申請書に基づき,住民に交付する部数のみを出力する場合は,住民からの申請書が管理対象であり,出力は管理対象外とする。

(1) 帳票の内容(数量及び内訳)

(2) 出力又は廃棄年月日

(3) 出力又は廃棄する取扱者の氏名及び所属部署名

(4) 使用理由又は廃棄理由及び廃棄方法

(5) 本人確認情報管理責任者の承認

(6) 使用の際の注意事項

(7) 保管場所及び保管期間

3 取扱者は,第1項に規定する帳票を出力する場合は,次に掲げる事項に留意しなければならない。

(1) 出力装置は,来庁者等が出力帳票を見ることができないように設置すること。

(2) 帳票を出力した場合は,出力装置上に放置せず,速やかに回収すること。

(3) 出力装置を適宜確認し,帳票が放置されている場合は出力した取扱者を特定して注意し,当該帳票を廃棄すること。

4 取扱者は,第1項に規定する帳票及び第2項に規定する帳票管理簿を保管する場合は,施錠可能な書庫等に施錠の上,保管し,権限のない者がアクセスできないようにするとともに,その鍵は本人確認情報管理責任者が管理すること。

5 取扱者は,第1項に規定する帳票を廃棄する場合は,次に掲げる事項に留意しなければならない。

(1) 事前に,本人確認情報管理責任者の承認を得て廃棄すること。

(2) 帳票の内容を読み出せないよう,焼却,裁断,溶解等により廃棄すること。

(3) 廃棄状況を帳票管理簿に記録して本人確認情報管理責任者へ報告すること。

(帳票受渡管理方法)

第29条 本人確認情報管理責任者は,次に掲げる事項を記録するための帳票受渡管理簿を作成し,帳票を利用する際,取扱者に必須項目を記録させるものとする。

(1) 帳票名

(2) 利用者の氏名,利用目的,利用年月日,返却予定日及び利用場所

(3) 返却年月日

(4) 本人確認情報管理責任者の承認

2 取扱者は,帳票を持ち出す場合は,次に掲げる事項に留意しなければならない。

(1) 帳票受渡管理簿に前項に規定する必要事項を記録して本人確認情報管理責任者の承認を得ること。

(2) 利用中は,保管場所と同等の安全を確保し,権限のない者がアクセス可能な場所に放置しないこと。

(3) 原則として複写を行わないこと。

(4) 帳票の盗難又は紛失時には,直ちに本人確認情報管理責任者へ報告すること。

(5) 返却の際,帳票受渡管理簿に必要事項を記録して,本人確認情報管理責任へ報告すること。

(実施状況の確認)

第30条 本人確認情報管理責任者は,次に掲げる事項について月に1回以上その実施状況等を確認し,その結果を記録するものとする。

(1) 第27条各号に定める留意事項が実際の業務の中で遵守されていること。

(2) 業務上必要のない操作履歴が残っていないこと。

(3) 業務上必要のない検索又は抽出が行われていないことについて,取扱者へのヒアリングにより確認していること。

(4) 帳票管理簿に第28条第2項に定める必要事項が記録されていること。

(5) 帳票管理簿と現状が一致し,紛失等がないこと。

(6) 出力装置が,来庁者等に出力された帳票を見られないように設置されていること。

(7) 帳票及び帳票保管庫等の鍵が施錠保管されており,権限のない者がアクセス可能な場所に放置されていないこと。

(8) 廃棄状況の記録が残っていること。

第7章 委託管理

(委託を受けようとする者の管理体制等の調査)

第31条 セキュリティ責任者又は情報資産管理責任者は,外部委託をしようとするときは,あらかじめ,委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第32条 セキュリティ責任者又は情報資産管理責任者は,外部委託をしようとするときは,委託する事務の内容,理由及び情報の保護に関する事項等について,あらかじめ,セキュリティ会議の審議を経て,セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第33条 外部委託に係る契約書には,情報の保護に関し,次に掲げる事項を明記しなければならない。

(1) 再委託の禁止又は制限に関する事項

(2) 情報が記録された資料等の保管,返還,廃棄又は消去及び安全管理に関する事項

(3) 情報が記録された資料の目的外使用,複製・複写及び第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項及び事故発生時の責任と対応に関する事項

(6) 教育の実施に関する事項

(7) 作業場所の特定に関する事項

(8) 情報収集の制限に関する事項

(9) 立入調査等に関する事項

(10) 契約の解除及び損害賠償に関する事項

(受託者の管理状況の調査)

第34条 セキュリティ責任者又は情報資産管理責任者は,必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

附 則

この訓令は,平成14年8月5日から施行する。

附 則(平成15年訓令第1号)

この訓令は,平成15年4月1日から施行する。

附 則(平成15年訓令第10号)

この訓令は,公布の日から施行する。

附 則(平成17年訓令第22号)

この訓令は,公布の日から施行する。

附 則(平成19年訓令第6号)

1 この訓令は,平成19年4月1日から施行する。

附 則(平成25年訓令第2号)

(施行期日)

1 この訓令は,平成25年4月1日から施行する。

附 則(平成29年訓令第2号)

(施行期日)

1 この訓令は,平成29年4月1日から施行する。

附 則(平成31年訓令第1号)

この訓令は,平成31年1月24日から施行する。

附 則(令和2年訓令第1号)

この訓令は,令和2年1月8日から施行する。

宇土市住民基本台帳ネットワークシステムセキュリティ規程

平成14年8月4日 訓令第14号

(令和2年1月8日施行)

体系情報
第6類 情報管理/第2章 情報公開
沿革情報
平成14年8月4日 訓令第14号
平成15年3月31日 訓令第1号
平成15年7月16日 訓令第10号
平成17年9月1日 訓令第22号
平成19年3月30日 訓令第6号
平成25年3月29日 訓令第2号
平成29年3月30日 訓令第2号
平成31年1月24日 訓令第1号
令和2年1月8日 訓令第1号