○八潮市電子情報セキュリティ規程
平成16年3月31日
訓令第6号
目次
第1章 総則(第1条・第2条)
第2章 組織及び体制(第3条―第19条)
第3章 情報の保護(第20条―第26条)
第4章 電子情報の管理(第27条―第38条)
第5章 情報システム対策(第39条―第51条)
第6章 補則(第52条・第53条)
附則
第1章 総則
(平18訓令5・章名追加)
(目的)
第1条 この規程は、本市の保有する電子情報処理組織の情報セキュリティを確保するための方針及び対策に関する基本的な事項を定めることにより、電子情報処理の安定的な運営に資するとともに、市民の個人情報を含む情報資産を適正に管理することを目的とする。
(平18訓令5・一部改正)
(1) 電子情報処理組織 電子計算機(ソフトウェア及びネットワークを含む。)及び記録媒体で構成され、処理を行う仕組みをいう。ただし、八潮市住民基本台帳ネットワークシステムセキュリティ規程(平成14年訓令第10号)第1条に定める住民基本台帳ネットワークシステム及びファクシミリ、コピー機その他の処理を行う仕組みを内蔵しないものであって、かつ、処理を行う仕組みと連携しない仕組みを除く。
(2) 資産たる情報 情報システムで取り扱うすべてのデータ及びデータ送付状等の当該データに付随する情報、ネットワーク構成図及び情報システム仕様書その他の情報システム自体に帰属する情報並びに情報システムの処理結果を出力した紙媒体に記録された情報及び処理結果納品書等の当該処理結果に付随する情報をいう。
(3) 電子情報処理 情報システムを利用して、記録、計算、検索等の処理を行うことをいう。
(4) 機密性 情報を取り扱うことを許可されたものだけが、当該情報を取り扱うことができることをいう。
(5) 完全性 情報の内容及び電子情報処理の方法が正確であること並びにそれらが完全である状態が保護されていることをいう。
(6) 可用性 情報を取り扱うことを許可されたものが、必要なときに確実に当該情報を取り扱うことができることをいう。
(7) 情報セキュリティ 情報の機密性、完全性及び定められた範囲での可用性を維持することをいう。
(8) 情報セキュリティ対策 情報セキュリティを確保するために実施する対策をいう。
(9) アクセス 端末装置から情報システムに接続し、情報を取り扱うことができる状態にすることをいう。
(10) 職員等 市の職員(非常勤及び臨時職員を含む。)及び市から委託を受けている者のうち市の管理対象である情報資産を取り扱うものをいう。
(11) 主体認証 情報システムであらかじめ付与された識別符号を示したとき、当該識別符号を示したものが正当なる主体であることを検証することをいう。
(12) アクセス制御 主体によるアクセスを許可する客体を制限することをいう。
(13) 権限管理 主体認証に係る情報の付与及びアクセス制御における許可情報の付与を管理することをいう。
(平18訓令5・一部改正)
第2章 組織及び体制
(平18訓令5・章名追加)
(情報資産への脅威)
第3条 本市の情報セキュリティ対策は、次に掲げる脅威を想定し実施されるものとする。
(1) 部外者の侵入による情報資産の破壊及び盗難並びに不正アクセス又は不正操作による情報資産の破壊、漏えい、改ざん又は消去
(2) 職員及びその委託を受けたものによる情報システムの誤操作又は情報資産の持ち出し、アクセスのための認証情報又はパスワードの不適正管理、不正アクセス又は不正行為による破壊、漏えい、改ざん及び消去、搬送中の事故等による情報資産の滅失、盗難及びき損並びに不正な端末接続による資産たる情報の漏えい
(3) 情報資産に対するコンピュータウィルス、地震、落雷、火災等の災害若しくは事故の発生又は情報システムの故障等によるサービス及び業務の停止
(平18訓令5・一部改正)
(情報セキュリティ対策)
第4条 前条各号の脅威から本市の保有する情報資産を保護するために、次に掲げる情報セキュリティ対策を講ずるものとする。
(1) 物理的情報セキュリティ対策 情報システムを設置する施設への不正な立ち入りを防止し、並びに情報資産への損傷及び妨害等から保護するために必要な対策
(2) 人的情報セキュリティ対策 情報セキュリティ対策に関する権限及び責任を定め、すべての職員及びその委託を受けたものに対する情報セキュリティ対策の周知、啓発及び教育に必要な対策並びに情報セキュリティ対策の遵守状況の確認及び情報システム開発等を市の機関以外のものに委託する場合における当該委託先の管理等の情報セキュリティの確保に係る的確な運用を行うために必要な対策
(3) 技術的情報セキュリティ対策 情報資産へのアクセス制御、ネットワーク管理等を行うために必要な対策
(4) 危機管理対策 前条各号の脅威が顕在化し、情報資産に対して緊急事態が発生した場合において、迅速な対応と事態の収拾を可能とするために必要な対策
(平18訓令5・一部改正)
(情報セキュリティ対策の実施)
第5条 本市の保有する情報システム及び情報資産について、前条各号に示した情報セキュリティ対策を講ずるために遵守すべき行為及び判断等の基準を具体的かつ統一的なレベルで示すため、情報セキュリティ対策ガイドラインを別に定める。
2 本市の情報セキュリティ対策は、保有する情報システム及び情報資産を重要度により分類し、その内容に応じそれぞれ定められた次に掲げる手順に基づいて行われるものとする。
(1) 情報セキュリティ実施手順 この規程及び情報セキュリティ対策ガイドラインに定める事項を個々の情報システム及び情報資産に対する管理策として適用する手順
(2) 緊急時対応手順 情報システム及び情報資産について、あらかじめ想定した脅威が顕在化し、緊急事態が発生した場合に対応するため、事態の収拾を図る手順
(職員等の責務)
第6条 職員等は、情報セキュリティ対策を確保するため、この規程、情報セキュリティ対策ガイドライン、情報セキュリティ実施手順及び緊急時対応手順(以下これらを総称して「遵守事項等」という。)を遵守しなければならない。
2 職員等は、本市の保有する情報資産に対して侵害又は侵害の恐れがある場合においては、直ちに当該課等の情報セキュリティ責任者に報告し、必要な指示を仰がなければならない。
(平18訓令5・一部改正)
(教育及び訓練)
第6条の2 情報セキュリティ責任者は、職員等にセキュリティ対策のための教育及び訓練を受けさせなければならない。
(平18訓令5・追加)
(実施体制)
第7条 本市の情報セキュリティ対策は、次に掲げる機関により実施するものとする。
(1) 最高情報統括責任者
(2) 統括情報セキュリティ責任者
(3) 情報セキュリティ責任者
(4) 統括ネットワーク管理者
(5) 業務ネットワーク管理者
(6) 統括情報システム管理者
(7) 業務システム管理者
(8) 情報セキュリティ会議
(9) 情報セキュリティ対策部会
(10) 情報取扱内部監査部会
(平18訓令5・全改、平21訓令8・一部改正)
(役割の分離等)
第7条の2 情報セキュリティ対策の運用においては、次に掲げる役割を同じ者が兼務してはならない。
(1) 承認又は許可事案の申請者とその承認者又は許可者
(2) 監査を受ける者とその監査を実施する者
2 職員等は、情報セキュリティ関係規程への重大な違反を知ったときは、情報セキュリティ責任者にその旨を報告しなければならない。この場合、情報セキュリティ責任者は、違反者及び必要な者に情報セキュリティの維持に必要な措置を採らせると共に、統括情報セキュリティ責任者にその旨を報告しなければならない。
3 職員等は、情報セキュリティ関係規程の適用することが行政事務の適正な遂行を著しく妨げることになり、規程の規定とは異なる代替の方法によること、又は規定を実施しないこと(以下「例外措置」という。)を認めざるを得ない場合に、あらかじめ情報セキュリティ会議が定める例外措置適用の申請を審査する手続に従い、情報セキュリティ責任者に申請を行い、許可を得なければならない。
(平18訓令5・追加)
(最高情報統括責任者)
第8条 本市の情報の保護及び管理に関する事務を統括する最高情報統括責任者を置く。
2 最高情報統括責任者は、副市長とし、情報セキュリティ対策に関する最終決定権限及び責任を有する。
3 最高情報統括責任者に事故があるとき、又は欠けたときは、第10条に規定するネットワーク管理者がその職務を代理する。
4 最高情報統括責任者は、情報セキュリティ会議を主催し、同会議の議長となる。
5 最高情報統括責任者は、情報取扱内部監査部会の代表の者を指名し、第15条に規定する内部監査を行わせる。
(平18訓令5・全改、平19訓令1・一部改正)
(統括情報セキュリティ責任者及び情報セキュリティ責任者)
第9条 本市の部局等における情報の保護及び管理に関する事務を処理させるため、統括情報セキュリティ責任者及び情報セキュリティ責任者を置く。
2 統括情報セキュリティ責任者は、情報を所管する部局(工事検査課及び会計課を含む。以下「所管部」という。)の長とし、所管部における情報セキュリティ対策の基準及び緊急時対応に関し権限及び責任を有する。
3 情報セキュリティ責任者は、情報を所管する課等(以下「所管課」という。)の長とし、所管課等における情報セキュリティ対策の実施に関し権限及び責任を有する。
4 統括情報セキュリティ責任者は、所管部の情報セキュリティ対策における職員の異動等、権限管理の規定を策定し、最高情報統括責任者の承認を得る。
5 統括情報セキュリティ責任者は、所管部の情報システムごとに、業務システム管理者を任命する。
6 情報セキュリティ責任者は、その所管課において第6条第2項に規定する報告を受けた場合には、直ちに所属する部局等の統括情報セキュリティ責任者に報告し、必要な対処を行わなければならない。
(平18訓令5・全改)
(統括ネットワーク管理者及び業務ネットワーク管理者)
第10条 本市の部局等における電子情報の保護及びネットワークの管理に関する事務を処理させるため、統括ネットワーク管理者及び業務ネットワーク管理者を置く。
2 統括ネットワーク管理者は、情報政策を担当する部の長とし、共通のネットワークの開発、運用等を行う統括的な権限及び責任を有する。
3 統括ネットワーク管理者は、最高情報統括責任者を補助して、電子情報に係る情報セキュリティ対策に関する指示又は助言を行うことができる。
4 業務ネットワーク管理者は、業務を所管する部等の長とし、業務独自で使用するネットワークの開発、運用等を行う統括的な権限及び責任を有する。
5 統括ネットワーク管理者及び業務ネットワーク管理者は、本市のネットワークその他の情報資産に対して侵害又は侵害のおそれがある場合においては、直ちにネットワークの切断その他必要な措置を行う。
(平21訓令8・全改)
(統括情報システム管理者及び業務システム管理者)
第11条 本市の部局等における電子情報の保護及び情報システムの管理に関する事務を処理させるため、統括情報システム管理者及び業務システム管理者を置く。
2 統括情報システム管理者は、情報政策を担当する課の長とし、共通のネットワーク及び情報システムに係る情報セキュリティ対策の権限と責任を有する。
3 統括情報システム管理者は、統括ネットワーク管理者を補助して、ネットワーク及び情報システムに係る情報セキュリティ対策に関する指示又は助言をすることができる。
4 業務システム管理者は、業務を所管する課等(以下「業務原課」という。)の長とし、業務で使用するネットワーク及び情報システムに係る情報セキュリティ対策の権限及び責任を有する。
5 業務システム管理者は、その所管する情報システムに対して侵害又は侵害のおそれがある場合においては、直ちに所定の報告を行うとともに、統括情報システム管理者と協議し、必要な対処を行わなければならない。
(平18訓令5・全改、平21訓令8・一部改正)
(情報セキュリティ会議)
第12条 情報セキュリティ対策を統一的に行うため、情報セキュリティ会議(以下この条において「会議」という。)を設置する。
2 会議は、議長及び委員をもって組織し、委員は、統括情報セキュリティ責任者、業務ネットワーク管理者及び統括ネットワーク管理者をもって充てる。
3 議長は、会議を招集し、議事に必要があると認めるときは、関係者の出席を求め、その意見又は説明を聴くことができる。
4 会議は、次に掲げる事項を審議する。
(1) 情報セキュリティの対策基準
(2) 情報セキュリティの緊急時対応手順
(3) 情報セキュリティ共通の実施手順
5 会議は、情報セキュリティの内部監査の結果を受け、情報セキュリティの遵守状況を確認し、総合的な対策の推進及び管理を行う。
(平18訓令5・全改、平21訓令8・一部改正)
(情報セキュリティ対策部会)
第13条 最高情報統括責任者は、情報セキュリティ対策を推進するため、情報セキュリティ対策部会(以下この条において「対策部会」という。)を置き、部会の長を指名する。
2 対策部会は、部会長及び部会員をもって組織し、部会員は、情報セキュリティ責任者、業務システム管理者及び統括情報システム管理者をもって充てる。
3 対策部会は、次に掲げる事項を審議する。
(1) 情報セキュリティ対策遵守事項の訓練
(2) 情報セキュリティ対策実施手順の研修
(3) 情報セキュリティの教育
(平18訓令5・全改)
(情報取扱内部監査部会)
第14条 情報セキュリティ対策の実施を確認するため、本市の情報化を推進する機関(以下「情報化推進組織」という。)で選任された者で構成する部会(以下この条において「監査部会」という。)を置く。
2 監査部会は、情報セキュリティ会議が定める情報セキュリティ基準に基づき、内部監査の方法及び手順を定める。
(平18訓令5・全改)
(情報セキュリティ監査の実施)
第15条 遵守事項等が職員に遵守されていること及び緊急時対応手順が実効性を有することを検証するため、定期的に情報セキュリティ監査を実施する。
2 情報セキュリティ監査は、内部監査(職員が自ら実施する監査をいう。)及び外部監査(市の機関以外のものに委託して実施する監査をいう。)の2つの方法により実施するものとする。
(平18訓令5・一部改正)
(評価及び情報セキュリティ対策ガイドライン等の見直しの実施)
第16条 前条に定める情報セキュリティ監査の結果等により、情報セキュリティ対策ガイドライン、情報セキュリティ実施手順及び緊急時対応手順の有効性を評価するとともに、当該評価を踏まえ、本市における情報セキュリティ対策の必要性の変化に柔軟に対応するため、情報セキュリティ対策ガイドライン、情報セキュリティ実施手順及び緊急時対応手順の見直しを随時実施する。
2 前項の見直しについて、新たなセキュリティ脅威の出現、自己点検及び監査の評価結果等により、セキュリティ対策に支障が発生したと最高情報統括責任者が判断したときは、情報化推進組織に情報セキュリティの基本方針の変更を求めるものとする。
3 職員等は、自らが実施した情報セキュリティ対策に関連する事項に課題及び問題点が認められた場合には、当該事項の見直しを行い、実施手順等が整備されていない情報セキュリティ対策についても、その見直しを行わなければならない。
(平18訓令5・一部改正)
(緊急時対応手順)
第17条 最高情報統括責任者は、情報セキュリティに関する障害等(インシデント(潜在的な重大事故となる可能性がある事象をいう。)及び故障を含む機密性、完全性、可用性が侵害されるものをいう。以下「緊急対応障害等」という。)が発生した場合、被害の拡大を防ぐとともに、緊急対応障害等から復旧するための体制を整備しなければならない。
2 統括情報セキュリティ責任者は、緊急対応障害等について職員等から情報セキュリティ責任者への報告手順を整備し、当該報告手段を全ての職員等に周知しなければならない。
3 統括情報セキュリティ責任者は、重要な情報システムについて、その業務システム管理者の連絡手段を含む緊急連絡網を整備し、緊急対応障害等が発生した際の対応手順を整備しなくてはならない。
(平18訓令5・全改)
第18条 職員等は、次の各号に掲げる緊急対応障害等が発生したとき、又は発生するおそれがあると認められるときは、直ちにその旨を、統括情報セキュリティ責任者が定めた報告手順により、情報セキュリティ責任者にその旨を報告すると共に当該関係者に連絡しなければならない。
(1) 資産たる情報の盗用、滅失、き損及び情報の漏えいその他の事故が発生したとき、又は発生するおそれがあるとき。
(2) 市民等から資産たる情報に係る侵害等の通報を受けたとき。
(3) 情報システム及びネットワークがコンピュータウイルスの感染又は感染の疑いにより、その機能を停止したとき、又は異常動作を起こしたとき。
(4) システム機器、ネットワーク装置等に火災、盗難その他の事故が発生したとき。
(5) 前各号に掲げるもののほか、情報システム処理に重大な支障を及ぼすと認められるとき。
2 職員等は、緊急対応障害等が発生した際は、対応手順の有無を確認し、それを実施できる場合には、その手順に従って対応するものとする。対応手順がないとき、及びその有無を確認できないときは、その対応についての指示を受けるまで、障害等による被害の拡大防止に努めなければならない。
(平18訓令5・追加)
第19条 情報セキュリティ責任者は、緊急対応障害等が発生した場合には、緊急対応障害等の原因を調査し、再発防止策を策定して最高情報セキュリティ責任者に報告しなければならない。
2 最高情報セキュリティ責任者は、情報セキュリティ責任者から障害等についての報告を受けた場合には、その内容を検討し、再発防止策を実施するために必要な措置を講ずるものとする。
(平18訓令5・追加)
第3章 情報の保護
(平18訓令5・追加)
(取得情報の格付け)
第20条 情報セキュリティ会議は、資産たる情報について、機密性(電磁的記録については、完全性及び可用性を加える。)の観点から当該情報の格付け及び取扱制限の基準並びに格付け及び取扱制限を明示する手順を整備するものとする。
(平18訓令5・追加)
第21条 職員等は、情報の作成時に当該情報の格付けを行い、当該情報の参照が許されている者が認識できる方法を用いて明示しなければならない。合わせて、必要に応じ取扱制限を明示するものとする。
(平18訓令5・追加)
(情報の利用及び提供)
第22条 職員等は、情報を取り扱うときは、情報に明示された格付け及び制限に従って情報を取り扱うものとし、事務の目的の範囲を超えて、当該情報を利用してはならない。
2 職員等は、公開情報以外の情報を本市の機関以外のものに提供してはならない。ただし、次の各号のいずれかに該当する場合においては、この限りでない。この場合、情報セキュリティ責任者の許可を得なければならない。
(1) 法令等に定めがあるとき。
(2) 市長が法令上従う義務のある国、県等の機関の指示があるとき。
(3) 事務の目的を達成するために必要があると認められ、かつ、情報資産の保護上支障がないとき。
(平18訓令5・追加)
(情報の保存及び移送)
第23条 情報セキュリティ責任者又は業務システム管理者は、情報システムに保存された資産たる情報について、情報の格付けに応じ、適切なアクセス制御を行わなければならない。
2 職員等は、情報の格付けに応じ、情報が保存された外部記録媒体を適切に管理しなければならない。
3 職員等は、情報の格付けに応じ、設計書、入・出力する情報を記載した書面等の情報システムに係る書類を適切に管理しなければならない。
(平18訓令5・追加)
(情報の保存期間)
第24条 業務システム管理者は、情報システムに記録されている情報の保存期間について定めるものとする。ただし、法令等に定めがあるときは、当該法令等に従うものとする。
2 職員等は、情報の保存期間の経過後は、速やかに当該情報を消去しなければならない。
(平18訓令5・追加)
(情報資産の持出し)
第25条 職員等は、資産たる情報を通常管理している本市の機関の施設外へ移送するときは、情報セキュリティ責任者又は業務システム管理者の許可を得なければならない。
2 前項の場合、職員等は、安全確保に配慮し、資産たる情報を運搬又は送信のいずれかを選択し、情報セキュリティ責任者又は業務システム管理者に届け出なければならない。
3 職員等は、資産たる情報を移送するときは、情報の格付けに応じ、暗号化、パスワード保護等の措置を講じなければならない。
(平18訓令5・追加)
(情報資産の廃棄)
第26条 業務システム管理者は、資産たる情報の重要性区分に応じて適正に廃棄しなければならない。
2 職員等は、電子計算機、通信回線装置及び外部記録媒体を廃棄するときは、データ消去のソフトウエア若しくは装置の利用又は物理的な若しくは磁気的な破壊等を行わなければならない。
3 職員等は、初期化されていない電子計算機、通信回線装置及び外部記録媒体を利用するときは、保存されていた情報の重要度により必要とする場合は、データ消去のソフトウエア若しくは装置を用いて、全ての情報の復元を困難な状態にしなければならない。
4 職員等は、個人情報が記録されている入出力帳票及びドキュメントは、裁断、焼却等復元できない方法により廃棄しなければならない。
(平18訓令5・追加)
第4章 電子情報の管理
(平18訓令5・追加)
(主体認証機能)
第27条 業務システム管理者は、情報システムについて主体認証の必要性の有無を決定しなければならない。この場合において、保護すべきものと格付ける情報(公開できない又は公開することに不適な理由があり秘密とする情報、毀損、改竄若しくは誤謬により市民の権利が侵害され、又は行政事務の適確な遂行に支障を及ぼすおそれのある保全すべき情報及び滅失、紛失若しくは利用不可能になることにより市民の権利が侵害され、又は行政事務の安定的な遂行に支障を及ぼすおそれのある安定確保すべき情報をいう。以下「保護格付け情報」という。)を取り扱う情報システムについては、主体認証を必要と判断しなければならない。
2 業務システム管理者は、主体認証を行う必要がある情報システムについては、識別及び主体認証の機能を設けなければならない。
3 業務システム管理者は、主体認証を行う情報システムの主体認証情報を秘密にする必要がある場合は、当該主体認証情報が明らかにならないよう管理しなければならない。
4 業務システム管理者は、主体認証を行う情報システムで用いる主体認証方式について、次の各号に掲げるものを含む要件を定めなければならない。
(1) 正当な主体が容易に他の者に主体認証情報を付与及び貸与ができないこと。
(2) 主体認証が容易に複製できないこと。
(3) 業務システム管理者の判断により、個々にログオンを無効化できること。
(4) 主体認証について業務遂行に充分な可用性があること。
(平18訓令5・追加)
第28条 職員等は、自己に付与された識別符号以外の識別符号を用いて、情報システムを利用してはならない。
2 職員等は、自己に付与された識別符号を他の者に付与又は貸与してはならない。
3 職員等は、主体認証情報が他者に使用され、又はその危険が発生した場合は、直ちに業務システム管理者にその旨を報告しなければならない。
(平18訓令5・追加)
(アクセス制御機能)
第29条 業務システム管理者は、情報システムについてアクセス制御の必要性の有無を決定しなければならない。この場合において、保護格付け情報を取り扱う情報システムについては、アクセス制御を必要と判断しなければならない。
2 業務システム管理者は、アクセス制御を行う必要がある情報システムについては、アクセス制御の機能を設けなければならない。
(平18訓令5・追加)
第30条 職員等は、情報システムに装備されたアクセス制御の機能を用いて、当該情報システムの保存する情報の格付け及び取扱制限の指示に従い、必要なアクセス制御の設定を行わなければならない。
(平18訓令5・追加)
(権限管理機能)
第31条 業務システム管理者は、情報システムについて権限管理の必要性の有無を決定しなければならない。この場合、保護格付け情報を取り扱う情報システムについては、権限管理を必要と判断しなければならない。
2 業務システム管理者は、権限管理を行う必要がある情報システムについては、権限管理の機能を設けなければならない。
(平18訓令5・追加)
第32条 業務システム管理者は、権限管理について、次の各号に掲げるものを含む手続を定めなければならない。
(1) 主体の申請に基づく権限管理を行うとき、申請者が正当な主体であることを確認する手続を行うこと。
(2) 主体認証情報の初期配布方法及び変更管理手続を行うこと。
(3) アクセス制御情報の設定方法及び変更管理手続を行うこと。
2 権限管理は、業務システム管理者又は業務システム管理者が指定する者が行わなければならない。
3 権限管理を行う者は、情報システムを利用する許可を得た主体に対してのみ、識別符号及び主体認証情報を発行し、アクセス制御に係る設定は、業務上の責務及び必要性を勘案した必要最小限の範囲に限って行わなければならない。
(平18訓令5・追加)
(証跡管理機能)
第33条 業務システム管理者は、情報システムについて証跡管理の必要性の有無を決定しなければならない。この場合において、保護格付け情報を取り扱う情報システムについては、証跡管理を必要と判断しなければならない。
2 業務システム管理者は、証跡管理を行う必要がある情報システムについては、証跡管理の機能を設けなければならない。
3 証跡管理は、情報システムに事象ごとに必要な項目を記録して行い、サーバ装置に取得した証跡についてはアクセス制御を行い、その他の装置、媒体等に記録した証跡については、これを適正に管理するものとする。
(平18訓令5・追加)
第34条 業務システム管理者は、取得した証跡の保存期間を定め、当該保存期間が満了する日まで保存しなくてはならない。
2 情報セキュリティ責任者又は業務システム管理者は、取得した証跡を定期的に又は適宜点検若しくは分析するものとする。
3 情報セキュリティ責任者又は業務システム管理者は、あらかじめ証跡を取得、保存、点検又は分析する可能性があることを利用者等に説明するものとする。
(平18訓令5・追加)
(情報システム要件)
第35条 業務システム管理者は、情報システムの計画、設計、構築、運用、監視、移行、廃棄及び見直しのライフサイクル全般にわたってセキュリティ維持が可能な体制の確保を情報システムに関係する者に求め、情報システムのセキュリティ要件を決定するものとする。
2 業務システム管理者は、情報システムのセキュリティ要件を満たすために機器等の購入、ソフトウエア開発において必要な対策、情報セキュリティについての機能の設定、情報セキュリティについての脅威への対策及び情報システムの構成要素についての対策について定める。
3 業務システム管理者は、情報システムの構築から運用への段階における、情報セキュリティの導入の手順及び環境を定めなければならない。
4 業務システム管理者は、情報システムの構築、運用及び監視に際して、セキュリティ要件に基づき定めた情報セキュリティ対策を行うものとする。
5 業務システム管理者は、情報システムの移行及び廃棄を行う場合は、情報の消去及び保存、並びに情報システムの廃棄及び再利用について必要性を検討し、それぞれについて適切な措置を採らなければならない。
6 業務システム管理者は、情報システムの情報セキュリティ対策について適時、見直しの必要性を検討し、必要があると認めた場合には、その見直しを行って必要な措置を講じなければならない。
(平18訓令5・追加)
(外部委託)
第36条 統括情報セキュリティ責任者は、外部委託の対象とする情報システム及び委託先による部門内の情報へのアクセス可能な範囲について明確にしなくてはならない。
2 統括情報セキュリティ責任者は、委託先を選定する手続及び基準並びに委託先が具備すべき要件について明確にしなくてはならない。
(平18訓令5・追加)
第37条 業務システム管理者は、外部委託する業務において情報セキュリティが侵害された場合の処理手順を明確にしなくてはならない。
2 業務システム管理者は、委託先の情報セキュリティ対策の履行状況を確認する基準を定め、遵守すべき情報セキュリティ対策が履行されない又は不十分である場合の措置を、委託先に事前に通知しなくてはならない。
(平18訓令5・追加)
第38条 業務システム管理者は、業務を外部委託する場合には、本市情報セキュリティ関係規程に基づく情報セキュリティ対策の遵守、情報の目的外利用の禁止を含む機密の保持及び情報セキュリティ侵害発生時の対処手順の遵守を含む契約を締結しなくてはならない。この場合、必要なときは次に掲げる事項を契約に含めるものとする。
(1) 情報セキュリティ監査を受け入れること。
(2) 提供されるサービスレベルに関し委託先に保証させること。
2 業務システム管理者は、業務を外部委託したときは、情報セキュリティ対策の遵守方法及び管理体制を書面その他により確認しなくてはならない。
3 業務システム管理者は、業務を外部委託するときは、委託先がその業務の全部又は一部を第三者に再請負させることを禁止しなくてはならない。ただし、再請負することに合理的な理由があり、委託先が書面でその旨を申請する場合は、この限りでない。
4 職員等は、委託先に情報を受け渡すとき、暗号化や不要部分のマスキングを行い、その記録を保存する等、安全、確実な方法によらなければならない。
(平18訓令5・追加)
第5章 情報システム対策
(平18訓令5・追加)
(通信回線)
第39条 業務ネットワーク管理者は、通信回線を構築する場合には、そのリスクを検討し、次の各号に掲げる事項その他の必要な措置を講じなければならない。
(1) 重要な通信回線については、将来の必要とされる能力を確保するよう、設計すること。
(2) 通信回線の物理及び論理構成図を含む通信回線並びに通信回線装置関連文書を整備すること。
(3) 通信回線に接続する業務システムの機器をグループ化し、それぞれ通信回線上で分離すること。
(4) 前号でグループ化された業務システムの機器間での通信要件を定め、通信回線装置により当該通信要件に従ったアクセス制御及び経路制御を行うこと。
(5) 業務システムで取扱う情報の格付けにより必要とされるときは、通信回線を用いて送受信する情報を暗号化すること。
(6) 業務システムで取扱う情報の格付けにより必要とされるときは、利用する通信回線の物理的なセキュリティを選択すること。
(7) 通信回線は、損傷及び盗聴から保護すること。
(8) 通信回線装置は、安全区域に設置すること。
2 業務ネットワーク管理者又はその委任を受けた業務システム管理者(以下「所管業務ネットワーク管理者等」という。)は、通信回線を運用するときには、次の各号に掲げる事項その他必要な事項を行わなければならない。
(1) 通信回線を利用する情報システム機器の識別符号、情報システム機器の利用者及び当該利用者の識別符号の対応並びに通信回線の利用部局を含む事項の管理を行うこと。
(2) 通信回線の構成、通信回線装置の設定、アクセス制御の設定又は識別符号を含む事項を変更した場合には、当該変更の記録を保存すると共に、当該変更の内容を関連する文書へ反映すること。
(3) 許可されていない者が、通信回線の構成、通信回線装置の設定、アクセス制御の設定又は識別符号を含む事項を変更することが無いよう監視すること。
(4) 所管業務ネットワーク管理者等は、情報システムのセキュリティの確保が困難な事由が発生した場合には、他の情報システムと共有している通信回線から独立した閉鎖的な通信回線に構成を変更すると共に、当該事由による通信回線のセキュリティへの影響に対処すること。
(5) 職員等が情報システム機器及び通信回線装置を通信回線に接続しようとする場合は、セキュリティへの影響を判断し、許可を与えること。
(平18訓令5・追加、平21訓令8・一部改正)
第40条 所管業務ネットワーク管理者等は、庁舎内回線網を構築する場合は、情報システム機器を、通信回線に論理的に接続する前に、当該機器が通信回線に接続することを許可されたものであることを確認するものとする。
2 所管業務ネットワーク管理者等は、庁舎内回線網を運用するとき、通信要件の変更に際し、又は定期的に、アクセス制御の設定の見直しを行わなければならない。
3 所管業務ネットワーク管理者等は、VPNを利用する場合には、利用開始及び停止時の申請手続を定め、次の各号に掲げる事項を含む措置の必要性の有無を検討し、必要と認めたときは当該措置を講じなくてはならない。
(1) 通信内容の暗号化
(2) 通信を行う情報システム機器の識別又は利用者の主体認証記録の取得及び管理
(3) VPN経由でアクセスすることが可能な通信回線の範囲の制限
(4) VPN接続方法の機密性の確保
(5) VPNを利用する情報システム機器の管理
4 所管業務ネットワーク管理者等は、無線LANを利用する場合には、そのセキュリティ対策の適否を検討し、利用開始及び停止時の申請手続を定め、主体認証記録の取得及び管理、アクセス可能な通信回線の範囲の制限、他の通信回線との接続禁止、無線LAN接続方法の機密性の確保、無線LAN接続する情報システム機器の管理その他必要な措置を講じなくてはならない。
5 所管業務ネットワーク管理者等は、公衆電話網経由でのリモートアクセスを利用する場合には、そのセキュリティ対策の適否を検討し、利用開始及び停止時の申請手続を定め、主体認証記録の取得及び管理、アクセス可能な通信回線の範囲の制限、他の通信回線との接続禁止、リモートアクセス方法の機密性の確保、リモートアクセスする情報システム機器の管理その他必要な措置を講じなくてはならない。
(平18訓令5・追加、平21訓令8・一部改正)
第41条 所管業務ネットワーク管理者等が、庁舎内回線網を外部の通信回線網と接続しようとするときは、情報セキュリティ責任者の承認を得て、接続しなくてはならない。この場合において、情報セキュリティ責任者が庁舎内回線網を外部の通信回線網に接続することが情報システムのセキュリティを確保できなくすると判断したときは、他の情報システムと共有している庁舎内回線網又は外部の通信回線網から独立した通信回線として、当該庁舎内回線網を構築しなくてはならない。
2 所管業務ネットワーク管理者等は、外部の通信回線網と接続して庁舎内回線網を運用するときは、情報システムのセキュリティを確保できない事由が発生したときは、他の情報システムと共有している庁舎内回線網又は外部の通信回線網から独立した通信回線に当該庁舎内回線網の構成を変更しなくてはならない。
3 所管業務ネットワーク管理者等は、外部の通信回線網と接続して庁舎内回線網を運用するときは、通信回線の変更に際し、又は定期的に、アクセス制御の設定の見直しを行わなければならない。
4 所管業務ネットワーク管理者等は、外部の通信回線網と庁舎内回線網の間で送受信される通信内容の監視、通信回線の利用状況の確認、通信回線及び通信回線装置のセキュリティホールの検査等情報セキュリティ事象発生の検知に努めなければならない。
(平18訓令5・追加、平21訓令8・一部改正)
(施設と環境)
第42条 業務システム管理者は、重要なシステムサーバー及び通信回線装置をセキュリティレベルが異なる区域から物理的に隔離した安全区域に設置し、不審者を立ち入らせない措置を講じなくてはならない。
2 業務システム管理者は、安全区域への訪問者がある場合には、訪問者の氏名、訪問目的、訪問相手等の確認及び記録を行い、監視のための措置を講ずるものとする。
3 業務システム管理者は、重要な情報システムについては、サーバー及び通信回線装置を所定の場所から移動できないよう設置すると共に、他の情報システムから物理的に隔離し、安全区域を共用してはならない。
4 業務システム管理者は、重要な情報システムについては、利用する電源ケーブル及び通信ケーブルを含む配線を損傷及び盗聴を含む脅威から保護するための措置及び電磁波による情報漏洩対策に係る措置を講じなければならない。
5 職員等は、安全区域内においては、身分証明書を他の職員等から常時視認できる状態でいなければならない。
6 職員等は、業務システム管理者の承認を得なければ、物品の安全区域への持込み及び安全区域からの持出しを行ってはならない。
7 業務システム管理者は、情報システムに関連しないサーバー、クライアント、通信回線装置、外部記録媒体及び記録装置の安全区域への持込みについて必要以外を制限すると共に、安全区域での作業を監視する措置を講じなければならない。
(平18訓令5・追加)
(システム機器)
第43条 業務システム管理者は、システム機器のセキュリティ維持に関する規定を整備するものとする。
2 業務システム管理者は、すべてのシステム機器に対して、システム機器を管理する職員等及び利用者を特定するための文書を整備するものとする。
3 業務システム管理者は、システム機器を設置する場合には、当該システム機器及び当該システム機器が取り扱う情報の情報セキュリティが損なわれるおそれを勘案し、次の各号に掲げる事項その他の必要な措置を講じなければならない。
(1) 重要なシステム機器については、将来の必要とされるシステムの能力を確保するよう、整備すること。
(2) 利用者がログオンする場合には、主体認証を行うようにシステム機器を構成すること。
(3) ログオンした利用者の識別符号に対して、権限管理を行うこと。
(4) システム機器の関連文書を整備すること。
(5) システム機器上で動作するオペレーティングシステム及びアプリケーションに存在する公開されたセキュリティホールからシステム機器を保護するための対策を講ずること。
(6) 不正プログラムからシステム機器を保護するための対策を講ずること。
(7) 重要情報を取り扱う情報システムについては、システム機器を安全区域に設置すること。ただし、移動可能な端末機器について情報セキュリティ責任者の承認を得た場合は、この限りでない。
(平18訓令5・追加)
第44条 業務システム管理者は、システム機器のセキュリティ維持に関する規定に基づいて、システム機器の運用管理を行うものとする。
2 業務システム管理者は、適宜、システム機器のセキュリティ維持に関する規定の見直しを行わなければならない。当該規定を変更した場合には、当該変更の記録を保存する。
3 職員等は、行政事務の遂行以外の目的でシステム機器を利用してはならない。
4 業務システム管理者は、システム機器を管理する職員等及び利用者を変更した場合には、特定文書を変更すると共に、当該変更の記録を保存しなければならない。
5 業務システム管理者は、システム機器の運用を行う場合には、次の各号に掲げる事項その他の必要な措置を行わなければならない。
(1) システム機器のセキュリティレベルを維持するため、公開されたセキュリティホールからシステム機器を保護するための対策を講ずること。
(2) システム機器のセキュリティレベルを維持するため、不正プログラムからシステム機器を保護するための対策を講ずること。
(3) システムの構成を変更した場合には、システム機器関連文書の内容を変更し、当該変更の記録を保存すること。
(平18訓令5・追加)
第45条 業務システム管理者は、システム機器の運用を終了する場合には、データ消去ソフトウエア若しくはデータ消去装置の利用又は物理的な破壊若しくは磁気的な破壊等の方法を用いて、すべての情報を復元が困難な状態にしなくてはならない。
(平18訓令5・追加)
第46条 業務システム管理者は、サーバ装置を設置してその保守作業を通信回線を経由して行う場合には、暗号化を行う必要性の有無を検討し、必要があると認めたときは、送受信される情報を暗号化するものとする。
2 業務システム管理者は、サーバ装置を設置するとき、サービスの提供及びサーバ装置の運用管理に利用するソフトウエアを定めなければならない。
3 業務システム管理者は、利用が定められたソフトウエアに該当しないサーバアプリケーションが稼動している場合には、当該サーバアプリケーションを停止しなければならない。利用が定められたソフトウエアに該当するサーバアプリケーションであっても、利用しない機能を無効化して稼動しなくてはならない。
(平18訓令5・追加)
第47条 業務システム管理者は、サーバ装置を運用するときは、定期的に装置構成の変更を確認し、当該変更によって生ずるセキュリティへの影響に対応しなくてはならない。
2 業務システム管理者は、重要なシステムのサーバ装置に保存されている情報について、定期的にバックアップを取得するものとし、取得した情報を記録した媒体は安全に管理しなくてはならない。
3 業務システム管理者は、サーバ装置の運用管理について、作業日、作業を行ったサーバ装置、作業内容及び作業者を含む事項を記録しなくてはならない。
4 業務システム管理者は、サーバ装置上で証跡管理を行う必要性を検討し、必要な場合には実施するものとする。
(平18訓令5・追加)
第48条 業務システム管理者は、端末機器で利用可能なソフトウエアを定めなければならない。
2 業務システム管理者は、移動可能な端末機器については、盗難防止の措置を行うと共に、内部記録媒体の暗号化等の保護対策を行わなくてはならない。職員等は、端末機器を所定の場所から移動するときは、業務システム管理者の承認を得なければならない。
(平18訓令5・追加)
第49条 職員等は、端末機器で利用可能なソフトウエアを除いて、ソフトウエアを利用してはならない。
2 職員等は、重要な情報を取扱うときは、移動可能な端末機器については盗難防止の措置を行うと共に、内部記録媒体の暗号化等の保護対策を行わなくてはならない。
3 職員等は、業務システム管理者が許可を与えた通信回線以外に端末機器を接続してはならない。
(平18訓令5・追加)
(アプリケーションソフトウエア)
第50条 業務システム管理者は、通信回線を介して提供されるサービスを導入するときは、セキュリティ維持に関する規定を整備しなくてはならない。
2 業務システム管理者は、ウェブサーバを用いて提供するサービスを導入する場合には、ウェブサーバからウェブクライアントに攻撃の糸口になり得る情報を送信しないように情報システムを構築しなくてはならない。この場合において、業務システム管理者は、サービスが利用者からの文字列等の入力を受ける場合には、特殊文字の無害化を実施すると共に、重要情報を取り扱う情報システムについては、通信の盗聴から保護すべき情報を特定して暗号化を行う必要性を検討し、必要があると認めたときは、情報を暗号化しなくてはならない。
3 業務システム管理者は、通信回線を介して提供されるサービスのセキュリティ維持に関して整備した規定に基づいて、日常的及び定期的に運用管理を実施するものとする。
4 職員等は、ウェブクライアントにソフトウエアをダウンロードする場合には、電子署名により当該ソフトウエアの配布元を確認しなくてはならない。
5 職員等は、通信回線を介して提供されるサービスを私的な目的のために利用してはならない。
(平18訓令5・追加)
第51条 業務システム管理者は、電子メールを導入するときは、電子メールサーバが電子メールの不正な中継を行わないように設定しなくてはならない。
2 職員等は、業務遂行にかかわる情報を含む電子メールを送受信する場合には、本市が運営又は外部委託した電子メールサーバにより提供される電子メールサービスを利用しなくてはならない。ただし、本市以外の情報システムによる情報処理を必要とする等情報セキュリティ責任者の許可を得ている者についてはこの限りでない。
3 職員等は、受信した電子メールを電子メールクライアントにおいてテキストとして表示しなくてはならない。
(平18訓令5・追加)
第6章 補則
(平18訓令5・追加)
(実施手順の非公開)
第52条 第5条第2項第1号に規定する実施手順は、公開することにより情報セキュリティ対策に重大な支障を及ぼすおそれのあることから、八潮市情報公開条例第6条第6号の規定により非公開とする。
(平18訓令5・追加)
(委任)
第53条 この規程に定めるもののほか、本市における情報セキュリティ対策のために必要な事項は、最高情報統括責任者が別に定める。
(平18訓令5・旧第18条繰下)
附則
この訓令は、平成16年4月1日から施行する。
附則(平成18年訓令第5号)
(施行期日)
1 この訓令は、平成18年4月1日(以下「施行日」という。)から施行する。
(経過措置)
2 この訓令の施行の際、現に構築された情報システムを改修しなければ運用できない改正後の八潮市電子情報セキュリティ規程(以下「改正規程」という。)の規定については、当該情報システムを改修したときから適用する。
3 改正規程第20条から第51条までの規定は、施行日以後にした行為について適用し、施行日前にした行為については、なお従前の例による。
附則(平成19年訓令第1号)抄
(施行期日)
1 この訓令は、平成19年4月1日から施行する。
附則(平成21年訓令第8号)
この訓令は、平成21年4月1日から施行する。