○幸手市住民基本台帳ネットワークシステムセキュリティ対策要綱

平成14年9月19日

訓令第16号

(趣旨)

第1条 この訓令は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用にあたり、本人確認情報等のデータ保護並びにシステムの正確性の維持及び継続的な運用を確保するためのセキュリティ対策に関し必要な事項を定めるものとする。

(定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、指定情報処理機関サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長(特別区の区長を含む。)が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、委任都道府県知事(法第30条の10第3項に規定する委任都道府県知事をいう。)が本人確認情報を指定情報処理機関(法第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)に通知し、並びに都道府県知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステムをいう。

(2) セキュリティ 住基ネットの機密性、正確性及び継続性の維持を行うための安全性確保処置をいう。

(3) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための市長の使用に係る電子計算機をいう。

(4) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。

(5) ゲートウェイサーバ 住民基本台帳データの保護と住基ネットの的確な運用を図る目的で本人確認情報、転出入情報等の関連データの変換及び一時保存を行うための市長の使用に係る電子計算機をいう。

(6) 情報資産 住基ネットに係るすべての情報並びに住民基本台帳カード、ソフトウェア、ハードウェア、ネットワーク及び磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができるものを含む。以下同じ。)をいう。

(7) データ 住基ネットにおいて通知され、記録され、保存され、又は提供される情報をいう。

(8) プログラム 電子計算機を機能させて住基ネットを作動させるための命令を組み合せたものをいう。

(9) ファイル 磁気ディスクに記録されているデータ及びプログラムをいう。

(10) ドキュメント 住基ネットの設計、プログラム作成及び運用に関する記録及び文書をいう。

(11) 電算機室 電子計算機及び電気通信関係装置を設置する室をいう。

(12) 重要機能室 電算機室、受電設備、定電圧・定周波電源装置等の設備を設置する室並びに電算機室の空気調和をする空気調和機及びその附属設備を設置する室をいう。

(責任体制)

第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者(以下「統括責任者」という。)、システム管理者、セキュリティ責任者、入退室管理者、アクセス管理者及び情報資産管理者を置く。

(統括責任者)

第4条 統括責任者は、第1条に規定する目的を達成するため、住基ネットのセキュリティ対策を統括する。

2 統括責任者は、副市長をもって充てる。

(平18訓令44・一部改正)

(システム管理者)

第5条 システム管理者は、情報資産及びシステム並びにサーバへのアクセスに関して、管理及び保全の指揮監督を行うものとする。

2 システム管理者は、総務部長をもって充てる。

(セキュリティ責任者)

第6条 セキュリティ責任者は、住基ネットのセキュリティ対策について最善及び最新の技術をもって対処するとともに、システム操作者への徹底を図るものとする。

2 セキュリティ責任者は、総務部政策調整課長(以下「政策調整課長」という。)及び市民生活部市民課長(以下「市民課長」という。)をもって充てる。

(平15訓令12・平24訓令12・一部改正)

(セキュリティ会議)

第7条 統括責任者は、セキュリティ会議(以下「会議」という。)を設け、その議長を務める。

2 会議は、統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) 総務部財政課長(以下「財政課長」という。)

(4) 総務部庶務課長

3 会議は、次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び変更に関すること。

(2) 前号のセキュリティ対策の遵守状況の確認に関すること。

(3) 監査の実施に関すること。

(4) 住基ネットの環境及び設備に関すること。

(5) 教育及び研修に関すること。

4 議長は、前項に規定する事項のうち重要と認められる事項を審議するときは、幸手市情報公開・個人情報保護運営審議会の意見を聴くものとする。

5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

6 会議の庶務は、市民生活部市民課(以下「市民課」という。)において処理する。

(平24訓令12・一部改正)

(関係部署に対する指示等)

第8条 統括責任者は、会議の結果を踏まえ、関係部署の長に対し指示し、又は委員会若しくは委員(地方自治法(昭和22年法律第67号)第138条の4第1項に規定する委員会又は委員をいう。)に対し必要な措置を要請することができる。

(入退室管理)

第9条 住基ネットの管理及び運営が行われる重要機能室及び業務端末の設置場所(以下「重要機能室等」という。)の入退室は、部外者又は権限のない職員の侵入、危険物の持込み、機器及びデータの持出し等を防止するため、管理を行うものとする。

2 入退室の管理は、次の各号に掲げる室について、当該各号に定める方法により行うものとする。

(1) 重要機能室 鍵又は入退室カード及び入退室管理簿

(2) 業務端末の設置場所 市民課職員による入室規制

3 前項第1号の規定により記録された入退室管理簿の原本は、5年間保存するものとする。

(入退室管理者)

第10条 次の各号に掲げる重要機能室等の入退室を管理する入退室管理者は、当該各号に掲げる者をもって充てる。

(1) 電算機室 政策調整課長

(2) その他重要機能室 財政課長

(3) 業務端末の設置場所 市民課長

2 入退室管理者は、次に掲げる事項を行うものとする。

(1) 重要機能室等の入退室の許可に関すること。

(2) 重要機能室の鍵又は入退室カードの貸出し等の管理を行うこと。

(3) 重要機能室の入退室者の入退室日、時間、氏名、所属(職員にあっては課・所・室名及び担当名、委託業者及び訪問者にあっては社名及び部署名)及び目的を記載する入退室管理簿を作成し、管理を行うこと。

(4) 重要機能室等に委託業者及び訪問者が入室するときは、名札の着用を義務付けること。

(5) 重要機能室等への入室者を必要最小限の人数とすること。

(平15訓令12・一部改正)

(アクセス管理)

第11条 住基ネットを構成する機器で次に掲げるものは、アクセス管理を行うものとする。

(1) サーバ

(2) 業務端末

(3) 住民基本台帳カード発行端末

2 前項のアクセス管理は、操作者識別カード及びパスワードにより操作者の正当な権限を確認し、及び操作履歴を記録することにより行うものとする。

3 操作履歴は、毎年度末にバックアップを行い、5年間保存するものとする。

(アクセス管理者)

第12条 アクセス管理者は、市民課長をもって充てる。

2 アクセス管理者は、操作者識別カード及びパスワードに関し、次に掲げる事項を行うものとする。

(1) 職員に貸与した操作者識別カードを管理すること。

(2) 別表に定める使用区分により、操作者識別カードの適切な運用を図ること。

(3) 操作者識別カード管理簿を作成すること。

(4) 操作者識別カードの紛失等の届出があった場合は、必要な措置を講じること。

(5) 操作者識別カードの使用について定期的に検査すること。

(6) 操作者のパスワードの設定及び変更について指導及び管理をすること。

(システム操作者)

第13条 システム操作者は、次に掲げる事項を遵守しなければならない。

(1) 操作者識別カードの他者への貸与及び目的外使用をしないこと。

(2) 操作者識別カードの紛失等に注意し、利用に関して責任を持つこと。

(3) 操作者識別カードを紛失した場合は、速やかにアクセス管理者に報告すること。

(4) パスワードは、規則性のある番号又は推測可能な番号を設定しないこと。

(5) パスワードの設定又は変更を行った場合は、アクセス管理者に届け出ること。

(6) パスワードは、3箇月に1回必ず更新を行うこと。ただし、操作回数の多い操作者は、その利用頻度に応じ、1回以上更新を行うこと。

(情報資産管理)

第14条 情報資産は、情報資産管理者が管理を行うものとする。

2 情報資産は、指定された者以外は取り扱えないものとする。

(情報資産管理者)

第15条 情報資産管理者は、政策調整課長をもって充てる。ただし、本人確認情報等の個人情報、当該個人情報が記載されたサーバに係る帳票及び住民基本台帳カード管理については、市民課長をもって充てる。

2 情報資産管理者は、システム管理者の下で次に掲げる事項を行うものとする。

(1) 情報資産の取扱者を指定すること。

(2) 情報資産のうち、ハードウェア、ソフトウェア、ネットワーク及び磁気ディスクについて情報資産管理簿を作成すること。

(3) 情報資産の導入、移設、廃棄等の異動履歴の構成管理を行い、不要な機器等の持込みを防止すること。

(4) 情報資産に係る障害対策、保守及び管理に関し適切な対策を講じること。

(5) 情報資産管理者に異動が生じたときは、引継書を作成し現況に誤りのないことを確認の上、引き継ぐこと。

(平15訓令12・一部改正)

(情報資産の障害対策)

第16条 情報資産管理者は、情報資産の障害に対しその予防に当たるとともに、次に掲げる事項を行うものとする。

(1) ハードウェアの障害に対し、組織内及び組織外(関係機関、委託者、メーカー等)への連絡網を作成するとともに、障害対応手順書を整備すること。

(2) 障害に関する防止策及び障害対応手順書の周知徹底を図ること。

(3) ソフ卜ウェアの安全を確保するため、コンピュータウイルスに対する監視を常に行うとともに、最新のウイルスパターンファイルの取込みを速やかに行うこと。

(4) 新たなコンピュータウイルス対策を講じた場合には、速やかに周知を図ること。

(5) システムがウイルスに感染したときは、速やかにネットワークへの拡散防止策を講じるとともに、被害状況等を関連機関(県、指定情報処理機関、情報処理振興事業協会等)に報告すること。

(6) ソフトウェアのバージョン管理は、指定情報処理機関の指導に従い確実に実施すること。

(7) ネットワークの障害に対し想定される障害及びその原因について調査及び解析を行いシステムの継続性の向上に努めること。

(情報資産の保守)

第17条 情報資産管理者は、情報資産の保守に関し、次に掲げる事項を行うものとする。

(1) システムのハードウェア及びソフトウェアに対し継続的な使用を確保するため、必要な措置を講じること。

(2) システムのハードウェア及びソフトウェアの保守を外部に委託する場合は、データの抹消、漏えい等の防止に十分に配慮すること。

(3) システムの障害等に備えるため、ソフトウェアのバックアップを作成し安全な場所に保管すること。

(4) ネットワークの円滑な利用を確保するため、必要に応じ情報資源の配分を見直すこと。

(5) 保守を行うためネットワークを停止するときは、あらかじめシステム管理者の許可を得るとともに、関係部署等に周知すること。

(情報資産の管理)

第18条 情報資産管理者は、情報資産の管理に関し、次に掲げる事項を行うものとする。

(1) システムの性能を確保するため、機器等の利用状況を定期的に分析し、その結果に基づきハードウェアの適正な配置を図るとともに、ハードウェアの管理を計画的に行うこと。

(2) 住基ネットで使用するソフトウェアについて性能管理を行うこと。

(3) ネットワークの性能に関する情報及び統計資料を収集分析し、必要に応じてネットワークの改修を行うこと。

(4) その他情報資産(セットアップディスク、パスワード、住民票コード、ドキュメント等)を保全し、及び運用すること。

(5) 住基ネットで使用する指定情報処理機関が指定するソフトウェア以外のソフトウェアについては、システム管理上悪影響がないか十分検証した上で、導入すること。

(帳票等の管理)

第19条 情報資産管理者は、コミュニケーションサーバ、ファイアウォール、ゲートウェイサーバ、業務端末及び住民基本台帳カード発行端末において出力される帳票及び二次的に作成される帳票について、一覧表及び管理簿を作成し管理をするとともに、その保管及び廃棄について、次に掲げる事項を行うものとする。

(1) 管理簿には、一覧表に記載した出力帳票の種類、申請者、出力年月日、廃棄年月日、使用目的、数量(枚数)を記載すること。

(2) 帳票の保管にあたっては、施錠のできる書庫等に保管し、紛失、盗難等を防止する措置を講じること。

(3) 廃棄を決定した帳票は、その内容及び数量を確認の上、速やかに廃棄すること。

(4) 帳票を廃棄するときは、焼却、溶解、用紙を細かく裁断する方法等により、記述内容が判読できないようにすること。

(5) 廃棄作業は、複数の人員で行うこと。

(個人情報の管理)

第20条 情報資産の取扱者は、情報資産のうち本人確認情報等の個人情報、当該個人情報が記載されたサーバに係る帳票及び住民基本台帳カードについて、個人情報の漏えい、亡失及びき損防止その他の当該個人情報の適切な管理をするため、次に掲げる事項を遵守しなければならない。

(1) 本人確認情報等を検索し、抽出し、及び画面表示するときは、業務上必要のない者の表示をしないこと。

(2) 本人確認情報等を画面表示するときは、スクリーンセーバー等を利用し長時間の画面表示を防止するとともに、画面から離れるときは、画面表示を消すこと。

(3) 窓口等に来庁している市民等からディスプレイが視認できる位置に業務端末を設置しないこと。

(4) 画面のハードコピー及び画像データを必要以上に採ってはならない。ただし、必要な場合は、情報資産管理者の許可を得た後に採り、業務終了後は、当該ハードコピー又は画像データを確認不可能な状態にして、廃棄しなければならない。

(5) 本人確認情報等の整合性を確保するため、データの登録、削除及び訂正を行ったときは、入力者以外が内容の整合性を確認しなければならない。

(6) 本人確認情報等に誤りがあることが明らかになった場合は、情報資産管理者の許可を得た後に、速やかに削除又は訂正をしなければならない。

(7) 本人確認情報等のデータの登録、削除又は訂正作業時に出力した帳票は、その記録を残し、10年間保存しなければならない。

(8) 本人確認情報等のデータの検索及び抽出を行い、そのデータを印字する場合又は磁気ディスクへ記録する場合は、その理由、要件等を明確にし、情報資産管理者の許可を得なければならない。また、その記録を残し、10年間保存しなければならない。

(ドキュメントの管理)

第21条 情報資産管理者は、ドキュメントの一覧表及び管理簿を作成し、管理するとともに、その保管及び廃棄について次に掲げる事項を行うものとする。

(1) 管理簿には、一覧表に記録したドキュメントの種類、保管場所、貸出し及び閲覧年月日並びに廃棄年月日を記載すること。

(2) ドキュメントは、施錠のできる書庫等に保管し、紛失、盗難等を防止する措置を講じること。

(磁気ディスクの情報削除等)

第22条 情報資産管理者は、機器の故障、賃貸借期間の満了等により機器の廃棄又は返却を行うときは、その機器に存在する情報が、第三者に入手されることを防ぐため、必要な措置を講じなければならない。

2 機器の廃棄をするときは、磁気ディスクの破壊、専用ソフトを用いたデータの消去等を行い情報を復元不可能な状態で破棄を行わなければならない。

3 機器の廃棄を委託するときは、契約に本人確認情報の保護に係る責務を課す条項を加えなければならない。

4 リース期間の満了等により機器の返却を行うときは、契約終了時に情報を復元不可能な状態にした上、機器の廃棄を行う旨の条項を加えて契約を行わなければならない。

5 職員及び委託業者には、情報の削除処理が確実に行われたかを確認するため、報告書の提出を義務付けなければならない。

(オペレーション計画の策定)

第23条 情報資産管埋者は、住基ネットを利用する部署と協議の上、次に掲げる住基ネットのオペレーション計画を策定しなければならない。

(1) 要員配置計画

(2) 運用計画

(3) バックアップ計画

(4) 緊急時対応計画

2 情報資産管理者は、障害発生率を低下させるため、オペレーションに起因するミスの解析を行い、必要に応じて計画の見直しを行うものとする。

(業務の委託)

第24条 セキュリティ責任者は、住基ネットに係る業務を外部委託する場合は、あらかじめ、委託を受けようとするものの情報保護に関する管理体制について調査しなければならない。

2 外部委託をしようとするときは、委託する業務の内容及び理由並びに情報の保護に関する事項等について、セキュリティ会議の審議を得なければならない。

3 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(1) 再委託の禁止に関する事項

(2) 情報が記録された資料の保管、返還又は破棄に関する事項

(3) 情報が記録された資料の目的外使用、複写及び複製並びに第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

4 セキュリティ責任者は、必要に応じて外部委託に係るセキュリティ対策の実施状況について、調査しなければならない。

(緊急時の対策)

第25条 統括責任者は、災害、事故又は人為的な障害が発生し、システムの作動が停止し、若しくは停止させなければならない緊急時において対応策を決定し、実施するとともに、住民基本台帳データ保全のための必要な措置を講じるものとする。

2 統括責任者は、前項の措置を行ったときは、その結果を速やかに市長に報告しなければならない。

(補則)

第26条 この告示に定めるもののほか、必要な事項は、市長が別に定める。

附 則

この訓令は、公布の日から施行する。

附 則(平成15年3月31日訓令第12号)

この訓令は、平成15年4月1日から施行する。

附 則(平成18年12月22日訓令第44号)

この訓令は、平成19年4月1日から施行する。

附 則(平成24年3月30日訓令第12号)

この訓令は、公布の日から施行する。

別表(第12条関係)

業務

操作者種別

(操作者識別カード種別)

本人確認

本人確認情報検索

本人確認情報更新

転入転出

広域交付

統計処理

住民票コード管理

本人確認情報初期登録

本人確認情報整合

文字コード管理

住民基本台帳カード発行管理(窓口)

住民基本台帳カード発行管理(データ書込・印刷)

通常業務

業務管理

×

×

窓口業務

×

×

×

×

×

×

×

×

住民基本台帳カード発行業務

住民基本台帳カード発行管理全般

×

×

×

×

×

×

×

×

凡例○:可 ×:不可

備考 本人確認情報更新は、履歴更新を含む。

幸手市住民基本台帳ネットワークシステムセキュリティ対策要綱

平成14年9月19日 訓令第16号

(平成24年3月30日施行)

体系情報
第4編 行政組織/第8章
沿革情報
平成14年9月19日 訓令第16号
平成15年3月31日 訓令第12号
平成18年12月22日 訓令第44号
平成24年3月30日 訓令第12号