2　本市の情報セキュリティ対策は、保有する情報システム及び情報資産を重要度により分類し、その内容に応じそれぞれ定められた次に掲げる手順に基づいて行われるものとする。

2　職員等は、本市の保有する情報資産に対して侵害又は侵害の恐れがある場合においては、直ちに当該課等の情報セキュリティ責任者に報告し、必要な指示を仰がなければならない。

2　職員等は、情報セキュリティ関係規程への重大な違反を知ったときは、情報セキュリティ責任者にその旨を報告しなければならない。この場合、情報セキュリティ責任者は、違反者及び必要な者に情報セキュリティの維持に必要な措置を採らせると共に、統括情報セキュリティ責任者にその旨を報告しなければならない。

3　職員等は、情報セキュリティ関係規程の適用することが行政事務の適正な遂行を著しく妨げることになり、規程の規定とは異なる代替の方法によること、又は規定を実施しないこと(以下「例外措置」という。)を認めざるを得ない場合に、あらかじめ情報セキュリティ会議が定める例外措置適用の申請を審査する手続に従い、情報セキュリティ責任者に申請を行い、許可を得なければならない。

2　最高情報統括責任者は、副市長とし、情報セキュリティ対策に関する最終決定権限及び責任を有する。

3　最高情報統括責任者に事故があるとき、又は欠けたときは、第10条に規定するネットワーク管理者がその職務を代理する。

4　最高情報統括責任者は、情報セキュリティ会議を主催し、同会議の議長となる。

5　最高情報統括責任者は、情報取扱内部監査部会の代表の者を指名し、第15条に規定する内部監査を行わせる。

2　統括情報セキュリティ責任者は、情報を所管する部局(工事検査課及び会計課を含む。以下「所管部」という。)の長とし、所管部における情報セキュリティ対策の基準及び緊急時対応に関し権限及び責任を有する。

3　情報セキュリティ責任者は、情報を所管する課等(以下「所管課」という。)の長とし、所管課等における情報セキュリティ対策の実施に関し権限及び責任を有する。

4　統括情報セキュリティ責任者は、所管部の情報セキュリティ対策における職員の異動等、権限管理の規定を策定し、最高情報統括責任者の承認を得る。

5　統括情報セキュリティ責任者は、所管部の情報システムごとに、業務システム管理者を任命する。

6　情報セキュリティ責任者は、その所管課において第6条第2項に規定する報告を受けた場合には、直ちに所属する部局等の統括情報セキュリティ責任者に報告し、必要な対処を行わなければならない。

2　統括ネットワーク管理者は、情報政策を担当する部の長とし、共通のネットワークの開発、運用等を行う統括的な権限及び責任を有する。

3　統括ネットワーク管理者は、最高情報統括責任者を補助して、電子情報に係る情報セキュリティ対策に関する指示又は助言を行うことができる。

4　業務ネットワーク管理者は、業務を所管する部等の長とし、業務独自で使用するネットワークの開発、運用等を行う統括的な権限及び責任を有する。

5　統括ネットワーク管理者及び業務ネットワーク管理者は、本市のネットワークその他の情報資産に対して侵害又は侵害のおそれがある場合においては、直ちにネットワークの切断その他必要な措置を行う。

2　統括情報システム管理者は、情報政策を担当する課の長とし、共通のネットワーク及び情報システムに係る情報セキュリティ対策の権限と責任を有する。

3　統括情報システム管理者は、統括ネットワーク管理者を補助して、ネットワーク及び情報システムに係る情報セキュリティ対策に関する指示又は助言をすることができる。

4　業務システム管理者は、業務を所管する課等(以下「業務原課」という。)の長とし、業務で使用するネットワーク及び情報システムに係る情報セキュリティ対策の権限及び責任を有する。

5　業務システム管理者は、その所管する情報システムに対して侵害又は侵害のおそれがある場合においては、直ちに所定の報告を行うとともに、統括情報システム管理者と協議し、必要な対処を行わなければならない。

2　会議は、議長及び委員をもって組織し、委員は、統括情報セキュリティ責任者、業務ネットワーク管理者及び統括ネットワーク管理者をもって充てる。

3　議長は、会議を招集し、議事に必要があると認めるときは、関係者の出席を求め、その意見又は説明を聴くことができる。

4　会議は、次に掲げる事項を審議する。

5　会議は、情報セキュリティの内部監査の結果を受け、情報セキュリティの遵守状況を確認し、総合的な対策の推進及び管理を行う。

2　対策部会は、部会長及び部会員をもって組織し、部会員は、情報セキュリティ責任者、業務システム管理者及び統括情報システム管理者をもって充てる。

3　対策部会は、次に掲げる事項を審議する。

2　監査部会は、情報セキュリティ会議が定める情報セキュリティ基準に基づき、内部監査の方法及び手順を定める。

2　情報セキュリティ監査は、内部監査(職員が自ら実施する監査をいう。)及び外部監査(市の機関以外のものに委託して実施する監査をいう。)の2つの方法により実施するものとする。

2　前項の見直しについて、新たなセキュリティ脅威の出現、自己点検及び監査の評価結果等により、セキュリティ対策に支障が発生したと最高情報統括責任者が判断したときは、情報化推進組織に情報セキュリティの基本方針の変更を求めるものとする。

3　職員等は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められた場合には、当該事項の見直しを行い、実施手順等が整備されていない情報セキュリティ対策についても、その見直しを行わなければならない。

2　統括情報セキュリティ責任者は、緊急対応障害等について職員等から情報セキュリティ責任者への報告手順を整備し、当該報告手段を全ての職員等に周知しなければならない。

3　統括情報セキュリティ責任者は、重要な情報システムについて、その業務システム管理者の連絡手段を含む緊急連絡網を整備し、緊急対応障害等が発生した際の対応手順を整備しなくてはならない。

2　職員等は、緊急対応障害等が発生した際は、対応手順の有無を確認し、それを実施できる場合には、その手順に従って対応するものとする。対応手順がないとき、及びその有無を確認できないときは、その対応についての指示を受けるまで、障害等による被害の拡大防止に努めなければならない。

2　最高情報セキュリティ責任者は、情報セキュリティ責任者から障害等についての報告を受けた場合には、その内容を検討し、再発防止策を実施するために必要な措置を講ずるものとする。

2　職員等は、公開情報以外の情報を本市の機関以外のものに提供してはならない。ただし、次の各号のいずれかに該当する場合においては、この限りでない。この場合、情報セキュリティ責任者の許可を得なければならない。

2　職員等は、情報の格付けに応じ、情報が保存された外部記録媒体を適切に管理しなければならない。

3　職員等は、情報の格付けに応じ、設計書、入・出力する情報を記載した書面等の情報システムに係る書類を適切に管理しなければならない。

2　職員等は、情報の保存期間の経過後は、速やかに当該情報を消去しなければならない。

2　前項の場合、職員等は、安全確保に配慮し、資産たる情報を運搬又は送信のいずれかを選択し、情報セキュリティ責任者又は業務システム管理者に届け出なければならない。

3　職員等は、資産たる情報を移送するときは、情報の格付けに応じ、暗号化、パスワード保護等の措置を講じなければならない。

2　職員等は、電子計算機、通信回線装置及び外部記録媒体を廃棄するときは、データ消去のソフトウエア若しくは装置の利用又は物理的な若しくは磁気的な破壊等を行わなければならない。

3　職員等は、初期化されていない電子計算機、通信回線装置及び外部記録媒体を利用するときは、保存されていた情報の重要度により必要とする場合は、データ消去のソフトウエア若しくは装置を用いて、全ての情報の復元を困難な状態にしなければならない。

4　職員等は、個人情報が記録されている入出力帳票及びドキュメントは、裁断、焼却等復元できない方法により廃棄しなければならない。

2　業務システム管理者は、主体認証を行う必要がある情報システムについては、識別及び主体認証の機能を設けなければならない。

3　業務システム管理者は、主体認証を行う情報システムの主体認証情報を秘密にする必要がある場合は、当該主体認証情報が明らかにならないよう管理しなければならない。

4　業務システム管理者は、主体認証を行う情報システムで用いる主体認証方式について、次の各号に掲げるものを含む要件を定めなければならない。

2　職員等は、自己に付与された識別符号を他の者に付与又は貸与してはならない。

3　職員等は、主体認証情報が他者に使用され、又はその危険が発生した場合は、直ちに業務システム管理者にその旨を報告しなければならない。

2　業務システム管理者は、アクセス制御を行う必要がある情報システムについては、アクセス制御の機能を設けなければならない。

2　業務システム管理者は、権限管理を行う必要がある情報システムについては、権限管理の機能を設けなければならない。

2　権限管理は、業務システム管理者又は業務システム管理者が指定する者が行わなければならない。

3　権限管理を行う者は、情報システムを利用する許可を得た主体に対してのみ、識別符号及び主体認証情報を発行し、アクセス制御に係る設定は、業務上の責務及び必要性を勘案した必要最小限の範囲に限って行わなければならない。

2　業務システム管理者は、証跡管理を行う必要がある情報システムについては、証跡管理の機能を設けなければならない。

3　証跡管理は、情報システムに事象ごとに必要な項目を記録して行い、サーバ装置に取得した証跡についてはアクセス制御を行い、その他の装置、媒体等に記録した証跡については、これを適正に管理するものとする。

2　情報セキュリティ責任者又は業務システム管理者は、取得した証跡を定期的に又は適宜点検若しくは分析するものとする。

3　情報セキュリティ責任者又は業務システム管理者は、あらかじめ証跡を取得、保存、点検又は分析する可能性があることを利用者等に説明するものとする。

2　業務システム管理者は、情報システムのセキュリティ要件を満たすために機器等の購入、ソフトウエア開発において必要な対策、情報セキュリティについての機能の設定、情報セキュリティについての脅威への対策及び情報システムの構成要素についての対策について定める。

3　業務システム管理者は、情報システムの構築から運用への段階における、情報セキュリティの導入の手順及び環境を定めなければならない。

4　業務システム管理者は、情報システムの構築、運用及び監視に際して、セキュリティ要件に基づき定めた情報セキュリティ対策を行うものとする。

5　業務システム管理者は、情報システムの移行及び廃棄を行う場合は、情報の消去及び保存、並びに情報システムの廃棄及び再利用について必要性を検討し、それぞれについて適切な措置を採らなければならない。

6　業務システム管理者は、情報システムの情報セキュリティ対策について適時、見直しの必要性を検討し、必要があると認めた場合には、その見直しを行って必要な措置を講じなければならない。

2　統括情報セキュリティ責任者は、委託先を選定する手続及び基準並びに委託先が具備すべき要件について明確にしなくてはならない。

2　業務システム管理者は、委託先の情報セキュリティ対策の履行状況を確認する基準を定め、遵守すべき情報セキュリティ対策が履行されない又は不十分である場合の措置を、委託先に事前に通知しなくてはならない。

2　業務システム管理者は、業務を外部委託したときは、情報セキュリティ対策の遵守方法及び管理体制を書面その他により確認しなくてはならない。

3　業務システム管理者は、業務を外部委託するときは、委託先がその業務の全部又は一部を第三者に再請負させることを禁止しなくてはならない。ただし、再請負することに合理的な理由があり、委託先が書面でその旨を申請する場合は、この限りでない。

4　職員等は、委託先に情報を受け渡すとき、暗号化や不要部分のマスキングを行い、その記録を保存する等、安全、確実な方法によらなければならない。

2　業務ネットワーク管理者又はその委任を受けた業務システム管理者(以下「所管業務ネットワーク管理者等」という。)は、通信回線を運用するときには、次の各号に掲げる事項その他必要な事項を行わなければならない。

2　所管業務ネットワーク管理者等は、庁舎内回線網を運用するとき、通信要件の変更に際し、又は定期的に、アクセス制御の設定の見直しを行わなければならない。

3　所管業務ネットワーク管理者等は、VPNを利用する場合には、利用開始及び停止時の申請手続を定め、次の各号に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは当該措置を講じなくてはならない。

4　所管業務ネットワーク管理者等は、無線LANを利用する場合には、そのセキュリティ対策の適否を検討し、利用開始及び停止時の申請手続を定め、主体認証記録の取得及び管理、アクセス可能な通信回線の範囲の制限、他の通信回線との接続禁止、無線LAN接続方法の機密性の確保、無線LAN接続する情報システム機器の管理その他必要な措置を講じなくてはならない。

5　所管業務ネットワーク管理者等は、公衆電話網経由でのリモートアクセスを利用する場合には、そのセキュリティ対策の適否を検討し、利用開始及び停止時の申請手続を定め、主体認証記録の取得及び管理、アクセス可能な通信回線の範囲の制限、他の通信回線との接続禁止、リモートアクセス方法の機密性の確保、リモートアクセスする情報システム機器の管理その他必要な措置を講じなくてはならない。

2　所管業務ネットワーク管理者等は、外部の通信回線網と接続して庁舎内回線網を運用するときは、情報システムのセキュリティを確保できない事由が発生したときは、他の情報システムと共有している庁舎内回線網又は外部の通信回線網から独立した通信回線に当該庁舎内回線網の構成を変更しなくてはならない。

3　所管業務ネットワーク管理者等は、外部の通信回線網と接続して庁舎内回線網を運用するときは、通信回線の変更に際し、又は定期的に、アクセス制御の設定の見直しを行わなければならない。

4　所管業務ネットワーク管理者等は、外部の通信回線網と庁舎内回線網の間で送受信される通信内容の監視、通信回線の利用状況の確認、通信回線及び通信回線装置のセキュリティホールの検査等情報セキュリティ事象発生の検知に努めなければならない。

2　業務システム管理者は、安全区域への訪問者がある場合には、訪問者の氏名、訪問目的、訪問相手等の確認及び記録を行い、監視のための措置を講ずるものとする。

3　業務システム管理者は、重要な情報システムについては、サーバー及び通信回線装置を所定の場所から移動できないよう設置すると共に、他の情報システムから物理的に隔離し、安全区域を共用してはならない。

4　業務システム管理者は、重要な情報システムについては、利用する電源ケーブル及び通信ケーブルを含む配線を損傷及び盗聴を含む脅威から保護するための措置及び電磁波による情報漏洩対策に係る措置を講じなければならない。

5　職員等は、安全区域内においては、身分証明書を他の職員等から常時視認できる状態でいなければならない。

6　職員等は、業務システム管理者の承認を得なければ、物品の安全区域への持込み及び安全区域からの持出しを行ってはならない。

7　業務システム管理者は、情報システムに関連しないサーバー、クライアント、通信回線装置、外部記録媒体及び記録装置の安全区域への持込みについて必要以外を制限すると共に、安全区域での作業を監視する措置を講じなければならない。

2　業務システム管理者は、すべてのシステム機器に対して、システム機器を管理する職員等及び利用者を特定するための文書を整備するものとする。

3　業務システム管理者は、システム機器を設置する場合には、当該システム機器及び当該システム機器が取り扱う情報の情報セキュリティが損なわれるおそれを勘案し、次の各号に掲げる事項その他の必要な措置を講じなければならない。

2　業務システム管理者は、適宜、システム機器のセキュリティ維持に関する規定の見直しを行わなければならない。当該規定を変更した場合には、当該変更の記録を保存する。

3　職員等は、行政事務の遂行以外の目的でシステム機器を利用してはならない。

4　業務システム管理者は、システム機器を管理する職員等及び利用者を変更した場合には、特定文書を変更すると共に、当該変更の記録を保存しなければならない。

5　業務システム管理者は、システム機器の運用を行う場合には、次の各号に掲げる事項その他の必要な措置を行わなければならない。

2　業務システム管理者は、サーバ装置を設置するとき、サービスの提供及びサーバ装置の運用管理に利用するソフトウエアを定めなければならない。

3　業務システム管理者は、利用が定められたソフトウエアに該当しないサーバアプリケーションが稼動している場合には、当該サーバアプリケーションを停止しなければならない。利用が定められたソフトウエアに該当するサーバアプリケーションであっても、利用しない機能を無効化して稼動しなくてはならない。

2　業務システム管理者は、重要なシステムのサーバ装置に保存されている情報について、定期的にバックアップを取得するものとし、取得した情報を記録した媒体は安全に管理しなくてはならない。

3　業務システム管理者は、サーバ装置の運用管理について、作業日、作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録しなくてはならない。

4　業務システム管理者は、サーバ装置上で証跡管理を行う必要性を検討し、必要な場合には実施するものとする。

2　業務システム管理者は、移動可能な端末機器については、盗難防止の措置を行うと共に、内部記録媒体の暗号化等の保護対策を行わなくてはならない。職員等は、端末機器を所定の場所から移動するときは、業務システム管理者の承認を得なければならない。

2　職員等は、重要な情報を取扱うときは、移動可能な端末機器については盗難防止の措置を行うと共に、内部記録媒体の暗号化等の保護対策を行わなくてはならない。

3　職員等は、業務システム管理者が許可を与えた通信回線以外に端末機器を接続してはならない。

2　業務システム管理者は、ウェブサーバを用いて提供するサービスを導入する場合には、ウェブサーバからウェブクライアントに攻撃の糸口になり得る情報を送信しないように情報システムを構築しなくてはならない。この場合において、業務システム管理者は、サービスが利用者からの文字列等の入力を受ける場合には、特殊文字の無害化を実施すると共に、重要情報を取り扱う情報システムについては、通信の盗聴から保護すべき情報を特定して暗号化を行う必要性を検討し、必要があると認めたときは、情報を暗号化しなくてはならない。

3　業務システム管理者は、通信回線を介して提供されるサービスのセキュリティ維持に関して整備した規定に基づいて、日常的及び定期的に運用管理を実施するものとする。

4　職員等は、ウェブクライアントにソフトウエアをダウンロードする場合には、電子署名により当該ソフトウエアの配布元を確認しなくてはならない。

5　職員等は、通信回線を介して提供されるサービスを私的な目的のために利用してはならない。

2　職員等は、業務遂行にかかわる情報を含む電子メールを送受信する場合には、本市が運営又は外部委託した電子メールサーバにより提供される電子メールサービスを利用しなくてはならない。ただし、本市以外の情報システムによる情報処理を必要とする等情報セキュリティ責任者の許可を得ている者についてはこの限りでない。

3　職員等は、受信した電子メールを電子メールクライアントにおいてテキストとして表示しなくてはならない。

この訓令は、平成16年4月1日から施行する。

(施行期日)

1　この訓令は、平成18年4月1日(以下「施行日」という。)から施行する。

(経過措置)

2　この訓令の施行の際、現に構築された情報システムを改修しなければ運用できない改正後の八潮市電子情報セキュリティ規程(以下「改正規程」という。)の規定については、当該情報システムを改修したときから適用する。

3　改正規程第20条から第51条までの規定は、施行日以後にした行為について適用し、施行日前にした行為については、なお従前の例による。

(施行期日)

1　この訓令は、平成19年4月1日から施行する。

この訓令は、平成21年4月1日から施行する。