○小谷村住民基本台帳ネットワークシステムセキュリティ対策規程
平成26年6月26日
訓令第3号
小谷村住民基本台帳ネットワークシステムセキュリティ対策規程
(趣旨)
第1条 この要綱は、本村における住民基本台帳ネットワークシステム(以下「住基ネットシステム」という。)に係る本人確認情報等のデータの保護並びに住基ネットシステムの適正な管理及び運用に関し必要な事項を定めるものとする。
(定義)
第2条 この要綱における用語の意義は、電気通信回路を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)に定めるところによる。
(1) 住民基本台帳カード 行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律(平成25年法律第28号)第20条第1項に規定する従前の例によることとされた住民基本台帳カードをいう。
(2) 個人番号カード 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第7項に規定する個人番号カードをいう。
(3) 通知カード 番号法第7条第1項に規定する通知カードをいう。
(4) 本人確認情報 住民基本台帳法(昭和42年法律第81号)第30条の6第1項に規定する本人確認情報をいう。
(5) 情報資産 住基ネットシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう(北アルプス広域連合が管理するものを除く。)。
(6) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の入出力装置をいう。
(7) カード発行機 個人番号カードを発行するための機器をいう。
(8) 照合情報認証 静脈等の情報に不可逆演算を施して登録された情報と認証時に読み取られる情報を照合することにより認証する方法をいう。
(9) 照合ID 住基ネットシステムの業務アプリケーションを起動するときに操作者が本人であるかどうかを照合情報認証するためのIDをいう。
(10) 操作者ID 照合IDに付与される操作者の操作権限を識別するためのIDをいう。
(体制)
第3条 住基ネットシステムの利用に当たっては、北アルプス広域連合と連携してセキュリティ(正確性、機密性及び継続性の維持をいう。以下同じ。)保護を図るものとする。
(セキュリティ統括責任者)
第4条 住基ネットシステムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置き、副村長をもって充てる。
2 セキュリティ統括責任者は、住基ネットシステムの管理運用上、データの保護が確保できないと認められる場合は、住民サービスの継続に優先して、データの保護のための必要な措置を講じなければならない。
3 セキュリティ統括責任者は、住基ネットシステムの管理状況及びこれに関連する設備の状態について常に把握し、データの漏えいの防止及び正確性の維持を図り、住基ネットシステムが適正に管理及び運用されるよう努めなければならない。
4 セキュリティ統括責任者は、住基ネットシステムについて、火災、盗難、不正行為その他の障害(以下「障害等」という。)に備えて必要な保安措置を講じなければならない。
5 セキュリティ統括責任者は、障害等が発生したときは、速やかに当該障害等の経緯及び被害状況を調査し、村長に報告しなければならない。
(システム管理者)
第5条 住基ネットシステムの適正な管理及び運用を行うため、システム管理者を置き、総務課長をもって充てる。
2 システム管理者は、住基ネットシステム及び既存住基システム(住民基本台帳に関する事務を処理する大型電子計算組織をいう。)への不正侵入を防止するため、電気通信回線は、専用回線を使用するものとする。
3 システム管理者は、ネットワーク機器の設置室及び端末機設置室への入退室の管理に関し、必要な措置を講じなければならない。
4 システム管理者は、データの漏えい、滅失及び毀損の防止その他データの適正な管理のための必要な措置を講じなければならない。
(セキュリティ責任者)
第6条 住基ネットシステムのセキュリティ対策を推進するため、セキュリティ責任者を置き、住民福祉課長をもって充てる。
2 セキュリティ責任者は、次に掲げる職務を行わなければならない。
(1) 本人確認情報等の個人情報、当該個人情報が記載されたサーバに係る帳票、住民基本台帳カード、個人番号カード等の管理に関すること。
(2) 住基ネットシステムのセキュリティ対策の職員への徹底に関すること。
(3) セキュリティに対する脅威が発生した場合の情報収集及びセキュリティ統括責任者に対する報告に関すること。
(セキュリティ会議)
第7条 住基ネットシステムのセキュリティ対策及び適正な管理を推進するため、セキュリティ会議(以下「会議」という。)を置く。
2 会議はセキュリティ統括責任者が必要に応じて、住基ネットシステムのセキュリティ対策及び適正管理に係る事務について協議するため開催するものとする。
3 会議は、セキュリティ統括責任者、システム管理者、セキュリティ責任者及びセキュリティ統括責任者が必要と認める者をもって組織する。
4 会議の庶務は、住民福祉課において行う。
(関係部署に対する指示等)
第8条 セキュリティ統括責任者は、会議の結果を踏まえ、関係部署の長に対し指示し、又は必要な措置を講じるよう要請することができる。
(教育及び研修)
第9条 セキュリティ責任者は、プライバシー保護に関する意識の高揚と住基ネットシステムのセキュリティ対策の推進を図るため、職員に対して計画的に教育及び研修を行うものとする。
(情報資産管理)
第10条 情報資産を適切に管理するため、管理責任者を置く。
2 情報資産のうち本人確認情報、住民基本台帳カード、個人番号カード等の管理責任者(以下「本人確認情報管理責任者」という。)はセキュリティ責任者を充て、それら以外の情報資産(以下「その他の情報資産」という。)の管理責任者(以下「情報資産管理責任者」という。)はシステム管理者を充てる。
3 本人確認情報管理責任者は、本人確認情報の漏えい、滅失及び毀損の防止その他本人確認情報の適切な管理のために必要な措置を講じなければならない。
4 情報資産管理責任者は、その他の情報資産の管理方法を定めるものとする。
(緊急時の体制)
第11条 セキュリティ統括責任者は、住基ネットシステムの運用において、障害等によりシステムの全部又は一部が停止した場合、又は本人確認情報への脅威が発生した場合における緊急時対応計画書を関係機関と連携を図り作成するものとする。
(アクセス管理)
第12条 住基ネットシステムの構成機器について、次に掲げる機器のアクセス管理を行うため、アクセス管理者を置き、セキュリティ管理者を充てる。
(1) コミュニケーションサーバ
(2) 端末機
(3) カード発行機
2 前項のアクセス管理は、照合情報認証により取扱職員の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
(照合ID、照合情報及び操作者IDの管理)
第13条 セキュリティ責任者は、取扱職員の業務範囲を定め、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること
(2) 照合情報の登録及び削除の管理方法を定めること
(3) 照合ID及び操作者IDの管理簿を作成すること
2 取扱職員は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(端末機操作の管理)
第14条 住基ネットワークシステム取扱職員(以下「取扱職員」という。)は、住基ネットシステム関連業務に必要な場合以外は、システムへのアクセス及びデータを検索してはならない。
2 取扱職員は、端末機のディスプレイからの情報漏えいを防止するため操作中は離席をしてはならない。
3 取扱職員は、システム管理者及びセキュリティ責任者の許可なく住基ネットシステムの機器の改造、増設及び交換を行ってはならない。
4 セキュリティ責任者は、端末機の使用状況を定期的に把握しなければならない。
5 セキュリティ責任者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、セキュリティ統括責任者に報告しなければならない。
6 セキュリティ責任者は、端末機には、複数回のアクセスの失敗に対して強制的に終了する機能を設けなければならない。
(通信制御)
第15条 セキュリティ責任者は、住基ネットシステムでの通信について、通信相手相互の認証を行うとともに、送受信するデータの暗号化を行い、外部に漏えいすることを防止するための措置を講じなければならない。
(構成機器の管理)
第16条 情報資産管理責任者は、住基ネットシステムに関わるその他の情報資産について、次により適正に管理しなければならない。
(1) 利用するソフトウェア、ハードウェア及び磁気ディスクの種類、数量、配置等を記録管理すること。またシステムに関係ないソフトウェア、ハードウェア及び磁気ディスクを使用させないこと。
(2) 構成機器及び関連施設の保守を定期に又は随時に実施すること。
(3) コンピュータウィルス等の不正プログラムが混入され稼働していないかを監視し、混入されていた場合に駆除すること及び被害の再発を防止するため、原因を分析し、再発防止対策を取ること。
2 情報資産管理責任者は、機器の故障等により廃棄又は修理をする場合、その機器に存在する情報が第三者に入手されることを防ぐ措置を取ること。
(住基データ、プログラム、ドキュメント等の管理)
第17条 情報資産管理責任者は、住基データ及びプログラムの出力帳票並びにドキュメントを次により適正に管理しなければならない。
(1) 保管施設を設ける等これらの安全を確保するとともに、その使用に関して厳重な管理をすること。
(2) 受渡し及び保管に関し必要な事項を記録すること。
2 住基データ及びプログラムの出力帳票並びにドキュメントを廃棄する場合は、溶解又は焼却等の復元できない方法により処分しなければならない。
(運用計画)
第18条 セキュリティ責任者は、住基ネットシステムの運用時間、処理の種類及び内容等について、関係機関と連携を図り定めるものとする。
(委託を受けようとする者の管理体制等の調査)
第19条 システム管理者及びセキュリティ責任者は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第20条 システム管理者及びセキュリティ責任者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、必要に応じ、セキュリティ統括責任者の承認を得なければならない。
(受託者への周知)
第21条 システム管理者及びセキュリティ責任者は、受託者に対して、本人確認情報の保護に関し関係規程を周知しなければならない。
(委託契約書への記載事項)
第22条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料等の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料等の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項及び情報の秘密保持が遵守されなかった場合の損害賠償等に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第23条 セキュリティ統括責任者及びセキュリティ責任者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(補則)
第24条 住基ネットシステムを使用した住民基本台帳に関する事務の処理については、法律又はこれに基づく政令、省令、住民基本台帳事務処理要領(昭和42年自治振第150号)及びこの訓令に定めるもののほか、必要な事項は、村長が別に定める。
附則
この規程は、公布の日から施行し、平成26年3月28日から適用する。
附則(令和元年9月9日訓令第6号)
この訓令は、公布の日から施行し、令和元年8月1日から適用する。