○天草市住民基本台帳ネットワークシステムセキュリティ確保に関する規程
平成21年11月2日
訓令第34号
目次
第1章 総則(第1条・第2条)
第2章 セキュリティ組織(第3条―第10条)
第3章 入退室管理(第11条―第14条)
第4章 アクセス管理(第15条―第21条)
第5章 本人確認情報、個人番号カード等の管理(第22条―第24条)
第6章 緊急時対応(第25条・第26条)
第7章 委託の管理(第27条―第30条)
第8章 雑則(第31条)
附則
第1章 総則
(趣旨)
第1条 この規程は、天草市住民基本台帳ネットワークシステム(以下「住基ネット」という。)におけるセキュリティの確保に関し、必要な事項を定めるものとする。
(用語)
第2条 この規程において使用する用語は、「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)」において使用する用語の例による。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者(以下「統括責任者」という。)を置き、副市長をもって充てる。
2 統括責任者は、住基ネットのセキュリティ対策に関し、統括管理する。
3 統括責任者は、住基ネットのセキュリティ対策について、常に細心の注意を払い、本人確認情報データの漏えい防止及び正確性の維持並びに住基ネットの継続的な運用に努めなければならない。
(セキュリティ副統括責任者)
第4条 統括責任者を補佐するため、セキュリティ副統括責任者(以下「副統括責任者」という。)を置き、市民生活部長をもって充てる。
2 統括責任者に事故があるとき又は統括責任者が欠けたときは、副統括責任者がその職務を代理する。
(平25訓令5・一部改正)
(システム管理者)
第5条 住基ネットのシステム管理を行うため、システム管理者を置き、総合政策部情報政策課長(以下「情報政策課長」という。)をもって充てる。
2 システム管理者は、住基ネットの本人確認情報の管理状況及びこれらに関連する設備の状態について把握し、本人確認情報が適切に管理されるよう努めなければならない。
3 システム管理者は、住基ネット端末等の火災、盗難その他の災害に備えて、保安措置を講じなければならない。
4 システム管理者は、住基ネット端末等に事故等が発生したときは、速やかに事故の状況を調査し、統括責任者に報告しなければならない。
(平25訓令5・一部改正)
(セキュリティ責任者)
第6条 住基ネットのセキュリティ対策を実施するため、セキュリティ責任者を置き、市民生活部市民課長(以下「市民課長」という。)をもって充てる。
2 セキュリティ責任者は、住基ネットの本人確認情報に係る管理を行うほか、事務に従事する職員に対し、セキュリティ対策の徹底を行わなければならない。
3 セキュリティ責任者は、セキュリティに対する脅威が発生した場合は、情報収集を行い、統括責任者に報告しなければならない。
4 第2項に規定する住基ネットの本人確認情報に係る管理については、当分の間、住民基本台帳ネットワークシステムのセキュリティ対策に関する指針(以下「住基ネットセキュリティ指針」という。)に基づき行うものとする。
(平25訓令5・一部改正)
(端末機取扱責任者)
第7条 セキュリティ責任者は、住基ネット端末機の適正な管理を行うため、端末機取扱責任者(以下「取扱責任者」という。)を置き、市民生活部市民課職員のうちから市民課長が選任する。
2 取扱責任者は、住基ネットに障害が発生し、又は不正行為が行われた場合は、遅滞なくシステム管理者及びセキュリティ責任者に連絡しなければならない。
(平25訓令5・一部改正)
(セキュリティ会議)
第8条 住基ネットのセキュリティに関する審議を行うためセキュリティ会議を置く。
2 セキュリティ会議は、次に掲げる者をもって組織する。
(1) 統括責任者
(2) 副統括責任者
(3) システム管理者
(4) セキュリティ責任者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) セキュリティ対策の遵守状況
(3) 監査の実施
(4) 教育及び研修の実施
4 統括責任者は、必要と認めるときは、セキュリティ会議を招集するとともに、議長を務める。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、市民生活部市民課において処理する。
(平25訓令5・一部改正)
(関係部署に対する指示)
第9条 統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示することができる。
(住基ネットの研修等の実施)
第10条 システム管理者及びセキュリティ責任者は、住基ネットの重要性及び機密保持並びにプライバシー保護に関する意識の高揚並びにシステムの安全対策の推進を図るため、関係職員に対し年1回以上の教育及び訓練計画を策定し、これを実施しなければならない。
第3章 入退室管理
(入退室管理を行う室)
第11条 次に掲げる住基ネットの運用が行われる室において、入退室管理を行うものとする。
(1) サーバ及びネットワーク機器の設置室(以下「サーバ等設置室」という。)
(2) 住基ネットのデータ、セキュリティ情報等の保管室(以下「データ等保管室」という。)
(3) 業務端末の設置室(以下「端末設置室」という。)
(入退室管理者)
第12条 入退室管理者は、サーバ等設置室にあっては情報政策課長を、データ等保管室及び端末設置室にあっては市民課長及び支所の市民生活課長又はまちづくり推進課長をもって充てる。
2 入退室管理者は、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。
(平23訓令4・平25訓令5・平28訓令10・一部改正)
(入退室管理の方法)
第13条 前条第2項に規定する入退室管理の方法は、次のとおりとする。
(1) サーバ等設置室及びデータ等保管室の入退室は、入退室管理者から事前に許可を得ている者に限り入退室管理カードの貸出しを行い、当該入退室に関する記録を行う。
(2) 端末設置室の入退室は、入退室管理者から事前に許可を得ている者に限り入退室を許可する。
第14条 統括責任者は、入退室管理を適正に管理運用するため、定期的に入退室管理者から意見を聴取し、調査又は必要な指示を行うものとする。
第4章 アクセス管理
(アクセス責任者)
第15条 次に掲げる住基ネットの構成機器(以下「構成機器」という。)について、アクセス責任者を置き、市民課長及び支所の市民生活課長又はまちづくり推進課長をもって充てる。
(1) コミュニケーションサーバ
(2) 業務端末
(平23訓令4・平25訓令5・平28訓令10・一部改正)
(アクセス管理)
第16条 アクセス管理は、照合ID、照合情報及び操作者IDにより、住基ネット端末取扱職員(以下「操作者」という。)の正当な権限の確認及び操作履歴の記録により行うものとする。
(平28訓令10・一部改正)
(照合ID、照合情報及び操作者ID)
第17条 アクセス責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を定めるものとする。
(1) 照合ID、照合情報及び操作者IDの管理方法に関すること。
(2) 照合情報の管理方法に関すること。
(3) 操作者IDの種類別の操作者指定に関すること。
(4) 照合ID及び操作者IDの管理簿の作成に関すること。
(平28訓令10・一部改正)
2 操作者は、住基ネットを目的外に使用してはならない。
(平28訓令10・一部改正)
(操作履歴の記録)
第19条 アクセス責任者は、住基ネットの構成機器の操作履歴について7年間保管するものとする。
(平28訓令10・一部改正)
(照合ID、照合情報及び操作者IDの管理)
第20条 アクセス責任者は、操作者に対し照合IDを付与し、その操作者に適正な照合情報を登録させなければならない。
2 アクセス責任者は、前項の規定により付与した照合IDに対し業務に必要な操作者IDを付与するものとし、その操作者IDに係る操作者に退職、人事異動等の事由が生じた場合は、当該照合IDに係る照合情報を削除し、当該照合IDを無効化しなければならない。
3 操作者は、照合ID及び操作者IDを他者に利用させてはならない。
4 アクセス責任者は、適正に照合ID及び操作者IDが利用されているか定期的に検査を行わなければならない。
5 操作者は、アクセス責任者が前項の検査を実施する場合には、当該検査に協力しなければならない。
(平28訓令10・全改)
第21条 削除
(平28訓令10)
第5章 本人確認情報、個人番号カード等の管理
(平28訓令10・改称)
(情報資産管理)
第22条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、本人確認情報が記録されたサーバに係る帳票及び個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長及び支所の市民生活課長又はまちづくり推進課長をもって充て、これら以外の住基ネットの情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報政策課長をもって充てる。
(平28訓令10・一部改正)
(本人確認情報管理責任者)
第23条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び棄損の防止その他当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報が記録されたサーバに係る帳票及び個人番号カードの管理方法を定めるものとする。
3 前項の本人確認情報が記録されたサーバにかかる帳票及び個人番号カードの管理方法については、当分の間、住基ネットセキュリティ指針により行うものとする。
(平28訓令10・一部改正)
(情報資産管理責任者)
第24条 情報資産管理責任者は、住基ネットの情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
第6章 緊急時対応
(障害時の対応)
第25条 住基ネットの障害発生時は、次のように対応する。
(1) 取扱責任者は、障害が発生した場合は、遅滞なくシステム管理者及びセキュリティ責任者に連絡しなければならない。
(2) 統括責任者は、障害の原因が不明の場合は、住基ネットの委託事業者に協力を要請し、原因の究明を行うようシステム管理者に指示しなければならない。
(3) システム管理者は、市民サービスへの影響等を把握した上で、障害によりサーバ停止が長時間に及ぶと判断した場合は、統括責任者に対し、セキュリティ会議の招集を具申することができる。
(4) 統括責任者は、セキュリティ会議の開催が必要と認めるときは、当該会議を招集し、次に掲げる項目について協議するものとする。
協議する項目 | 対応(連絡先等) |
関係機関への連絡 | 地方公共団体情報システム機構 熊本県 関係市町村 |
技術的支援依頼 | 地方公共団体情報システム機構 委託事業者 |
緊急時における体制の確立 | 役割分担の確認 指揮命令系統の確認 |
市民対応 | 来庁者への対応 ホームページ等での告知 問い合わせ対応 苦情処理 |
(5) システム管理者は、必要に応じて委託事業者に対し、障害にかかる修理、修復及び交換を依頼するものとする。
(6) システム管理者は、住基ネットの障害がなくなったときは、熊本県が保有する本人確認情報との整合性を確認し、必要に応じて修復した後、運用を再開しなければならない。
(平25訓令5・平27訓令1・一部改正)
(不正行為時の対応)
第26条 住基ネットへの不正行為時は、次のように対応する。
(1) 取扱責任者は、住基ネットへの不正行為が行われた場合は、遅滞なくセキュリティ責任者及びシステム管理者に連絡しなければならない。
(2) 統括責任者は、セキュリティ責任者に指示し、住民票の発行の停止等必要な措置を講じなければならない。
(3) システム管理者は、不正行為により本人確認情報に重大な脅威を及ぼすおそれがあると判断した場合には、統括責任者にセキュリティ会議の招集を具申することができる。
(4) 統括責任者は、セキュリティ会議の開催が必要と認めるときは、当該会議を招集し、前条第4号に規定する項目について協議するものとする。
(5) システム管理者は、被害情報、ログ情報(利用状況、データ通信の記録等の情報をいう。)、記録簿、管理簿等を分析し、不正行為が行われた時期、場所及び方法を究明するとともに、必要に応じて、熊本県又は地方公共団体情報システム機構からの支援を得るものとする。
(6) システム管理者は、不正行為による脅威がなくなったときは、既に実施した緊急措置を見直し、アクセス権限の設定変更、市民サービスの停止解除等を実施するとともに、必要に応じて、熊本県又は地方公共団体情報システム機構からの支援を得るものとする。
(平27訓令1・平28訓令10・一部改正)
第7章 委託の管理
(委託を受けようとする者の管理体制等の調査)
第27条 セキュリティ責任者は、システムの情報を処理する事務を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(外部委託の承認)
第28条 セキュリティ責任者は、システムの情報を処理する事務を外部委託しようとするときは、委託する事務の内容、理由、情報の保護に関する事項等について、あらかじめ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第29条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は破棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第30条 セキュリティ責任者は、必要に応じて受託者における当該外部委託に係るセキュリティ対策の実施状況について調査しなければならない。
第8章 雑則
第31条 この規程に定めるもののほか、必要な事項は、市長が別に定める。
附則
この訓令は、平成21年11月2日から施行する。
附則(平成23年訓令第4号)
この訓令は、平成23年4月1日から施行する。
附則(平成25年訓令第5号)
この訓令は、平成25年4月1日から施行する。
附則(平成27年訓令第1号)
この訓令は、平成27年2月10日から施行する。
附則(平成28年訓令第10号)
この訓令は、平成28年8月17日から施行する。