(1)　課等　天草市組織規則(平成18年天草市規則第3号)別表第1及び別表第2に規定する課又は室並びに第10条に規定する会計課、天草市立診療所条例(平成18年天草市条例第150号)第2条に規定する診療所、天草市水道局庶務規程(平成18年天草市水道事業規程第1号)第2条第1項に規定する課、天草市病院事業組織規程(平成22年天草市病院事業管理規程第2号)第2条及び第4条第2項に規定する経営管理課及び病院の事務局、議会事務局、天草市教育委員会事務局組織規則(平成18年天草市教育委員会規則第4号)第3条に規定する課、選挙管理委員会事務局、監査委員会事務局並びに農業委員会事務局をいう。

(2)　コンピュータ　ハードウェア及びソフトウェアで構成する電子計算機並びに周辺装置をいう。

(3)　ネットワーク　コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア、ソフトウェア等をいう。)

(4)　記録媒体　電子的情報を記録し、及び保存することのできるハードディスク、USBメモリ、光ディスクその他の媒体をいう。

(5)　情報システム　コンピュータ及び記録媒体で構成される情報処理の仕組みで、独立又はネットワークとして市の事務処理を行うものをいう。

(6)　情報資産　ネットワーク及び情報システムの開発及び運用に係る情報並びにこれらで取り扱う情報(紙等に出力された情報を含む。)をいう。

(7)　情報資産脅威　次に掲げる情報資産に対する脅威をいう。

(8)　情報セキュリティ　情報資産にアクセスすることを認められた者だけが、アクセスできる状態を確保し、並びに情報及び処理方法が正確及び完全であることを確保し、並びに適正に利用できる状態を維持することをいう。

(9)　管理区域　コンピュータ又はネットワークに係る機器を設置し、及び管理するために必要な区域をいう。

(10)　特別管理区域　情報システムを稼働するために必要不可欠な中心となる機器(以下「サーバ等」という。)及び情報統括管理者が指定する重要度が高い情報資産に係る管理区域をいう。

(11)　情報セキュリティ実施手順書　個々の情報システムにおける情報セキュリティ対策及び緊急時の対応について、具体的な実施手順を明記した手順書をいう。

(1)　情報セキュリティ対策の総合調整に関すること。

(2)　職員に対する研修及び訓練の総括に関すること。

(1)　ネットワークの運用及び更新に係る承認を行うこと。

(2)　ネットワークを利用して構築する情報システムの開発、運用、更新等並びに情報セキュリティ実施手順書の作成及び運用の承認を行うこと。

(3)　ネットワーク管理者を指揮監督すること。

(4)　情報資産脅威の発生又はそのおそれに関する報告を受けた場合は、最高情報統括管理者の指示を受け必要な措置を講ずること。

(1)　情報システムの開発、運用、更新等並びに情報セキュリティ実施手順書の作成及び運用の承認を行うこと。この場合において、ネットワークを利用するものについては、情報統括管理者の承認を受けなければならない。

(2)　情報セキュリティ管理者を指揮監督すること。

(3)　情報資産脅威の発生又はそのおそれに関する報告を受けた場合は、情報統括管理者の指示を受け必要な措置を講ずること。

(1)　ネットワークを使用するコンピュータの管理及び運用を行うこと。

(2)　特別管理区域の管理を行うこと。

(1)　所管する情報システムの開発、運用、更新等を行うこと。この場合において、ネットワークを用いた情報システムについては、あらかじめ、ネットワーク管理者と協議するものとする。

(2)　所管する情報システムに係る情報セキュリティ実施手順書の作成及び運用を行うとともに、当該手順書に定められている事項について所属する職員が実施し、及び遵守するよう指導すること。

(3)　所属する職員以外の者が、許可なく所管する情報システム及び記録媒体を利用し、又は情報資産を閲覧することのないよう適切な措置を講ずること。

(4)　所管する管理区域の管理を行うこと。

(5)　所管する情報資産に情報資産脅威の発生又はそのおそれのある場合は、所属する部等の長及びネットワーク管理者を通じて情報統括管理者に速やかに報告し、その指示に従い必要な措置を講ずること。

(1)　重要性分類1　天草市情報公開条例(平成18年天草市条例第18号)第7条に掲げる非公開情報を含む情報資産

(2)　重要性分類2　情報資産に対する被害が、市の事務事業の執行等に影響を及ぼすと予測される情報資産(前号に該当するものを除く。)

(3)　前2号に掲げる情報資産以外の情報資産

(1)　ネットワーク等における記録媒体の管理は、常時適切に行うこと。

(2)　改変を認めない情報資産を記録した記録媒体は、改変することができないよう措置した上で保管すること。

(3)　情報システムから取り出し、又は取り外して持ち運びが可能な記録媒体(以下「取出可能記録媒体」という。)で重要性分類1に該当する情報資産が記録されたものは、施錠が可能で安全な場所に保管すること。

(4)　重要性分類1又は2に該当する情報資産を記録した取出可能記録媒体を職員以外の者との間で授受する必要がある場合は、守秘義務、損害賠償等を明記した契約(協定等を含む。以下同じ。)を締結し、安全かつ確実な受渡しの方法をとること。

(1)　パスワードの漏えいを防止する手段を講ずるとともに、他の者が知り得る状態にしないこと。

(2)　パスワードは、十分な長さとし、文字列が想像し難いものとすること。

(3)　パスワードの変更は、その漏えい又は漏えいのおそれがあった場合のほか、定期的に行うこと。

(1)　この規程及び情報セキュリティ実施手順書に規定する事項の遵守義務

(2)　市が提供した情報資産の目的外利用及び当該委託業者以外への提供の禁止

(3)　市が提供した情報資産の返還義務

(4)　委託した業務に関する報告義務並びに監督及び検査の実施

(5)　委託業者の従業者に対する情報セキュリティ対策についての教育の実施

(6)　契約に違反したときの損害賠償

(1)　ネットワーク管理者等は、その所管するネットワーク等のネットワーク構成図、仕様書等について最新の状態を維持するとともに、それらの変更を行った場合は、記録を作成し、適切に管理しなければならない。

(2)　情報セキュリティ管理者は、ネットワーク管理者と協議の上、その所管する情報システムに係る使用及び障害に関する事項を記録し、当該記録の盗難、改ざん、消去等を防止する措置をとった上で一定期間保存しなければならない。

(3)　ネットワーク管理者等は、重要性分類1及び2の情報資産を、定期的に複製し、施錠が可能で安全な場所に保管しなければならない。

(1)　ネットワーク管理者等が提供するウィルス情報を常に確認すること。

(2)　業務に関係のない取出可能記録媒体をコンピュータで使用しないこと。

(3)　取出可能記録媒体を使用する際に、ウィルス対策ソフトウェアでコンピュータウィルスの有無を確認すること。

(4)　コンピュータウィルスを発見した場合は、ネットワーク管理者等に直ちに報告すること。

(5)　コンピュータウィルスの感染が疑われる電子メールを受信した場合は、直ちに当該メールを削除すること。

(1)　セキュリティホール(ソフトウェアの誤設計等により生じたセキュリティ上の弱点をいう。)等について情報の収集に努め、メーカー等から修正プログラムの提供があった場合は、速やかに対応すること。

(2)　ネットワーク管理者が指定する情報システムには、不正アクセス行為又は不正な利用があった場合にそれらを防御し、又はその事実を検知するための専用の機器を整備する等適切な対策を行うこと。

(3)　市のホームページその他ネットワーク管理者が指定する重要な情報システムにおいて、定期的に改ざんの有無を検査すること。

(4)　不正なアクセスを受けることが明白な場合は、情報システムの停止その他必要な措置をとること。

(1)　ネットワーク管理者等は、情報資産及び不正アクセス行為に関する記録の保存に努めるとともに、必要に応じて警察その他関係機関に通報すること。

(2)　ネットワーク管理者は、職員による不正アクセス行為があった場合は、当該職員が所属する情報セキュリティ管理者に通知すること。

(3)　ネットワーク管理者は、職員の不作為が原因で情報資産の漏えい、破壊、改ざん又はネットワーク等の運用ができない事態が発生し、市の業務に重大な影響を及ぼした場合は、最高情報統括管理者、情報統括管理者、部等の長、当該職員を管轄する情報セキュリティ管理者及び当該職員に、速やかに報告すること。

(1)　情報セキュリティのために必要な限度において、ネットワーク等に伝送又は記録される情報資産を監視すること。

(2)　前号の監視により得られる記録は、正確な時刻を付すとともに、ネットワーク管理者等が必要と認める期間保存すること。

(1)　情報資産に重大な被害が発生した場合又はそのおそれがある場合は、当該情報資産を保護するためネットワークを遮断し、又は情報システムを停止すること。

(2)　情報資産脅威に関する証拠の保全を必要に応じ実施するとともに、再発防止の暫定的な措置を検討し、当該措置の実施を情報セキュリティ管理者に指示すること。

(3)　前号の措置を講じた後、復旧のための措置を検討し、当該措置の実施を情報セキュリティ管理者に指示すること。

(4)　情報資産脅威が発生した情報システムの復旧後、当該情報資産脅威の再発を防止するため、一定期間当該システムの運用状況の監視を情報セキュリティ管理者に指示すること。

(1)　ネットワーク管理者は、当該職員が所属する情報セキュリティ管理者に対し、直ちに違反する行為の是正その他適切な措置を行うよう指示すること。

(2)　情報セキュリティ管理者は、前号の措置を講じた後、その結果をネットワーク管理者に報告すること。

(3)　前2号の措置にかかわらず、当該違反する行為が改善されない場合は、ネットワーク管理者は、当該職員のネットワーク等に係る権限を停止し、又は取り消すことができる。この場合において、最高情報統括管理者、情報統括管理者、部等の長及び当該職員を管轄する情報セキュリティ管理者に対し、速やかに、その旨を報告しなければならない。