(目的)

第1条　この訓令は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するための基本となる事項を定めることにより、住基ネットの安定的な運営に資するとともに、市民の個人情報を含む情報資産を適正に管理することを目的とする。

(八潮市電子情報セキュリティ規程の特例)

第2条　この訓令は、住基ネットのセキュリティの確保に関して、八潮市電子情報セキュリティ規程(平成16年訓令第6号。以下「電子情報規程」という。)に対する特例を定めるものとする。

(定義)

第3条　この訓令において使用する用語は、特別の定めのある場合を除くほか、電子情報規程及び電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)において使用する用語の例による。

(職員等の責務)

第4条　職員等は、住基ネットでみだりに個人情報を収集してはならない。

(秘密保持義務)

第5条　この訓令において「秘密」とは、本人確認情報に関する秘密及び本人確認情報の電子計算機処理等に関する秘密をいう。

(実施体制)

第6条　本市の住基ネットのセキュリティ対策(以下「セキュリティ対策」という。)は、次の各号に掲げる機関により実施する。

(住基ネットセキュリティ委員会)

第7条　最高情報統括責任者は、前条第1項第2号及び第3号に掲げる者のほか、次に掲げる者をもって住基ネットセキュリティ委員会(以下「セキュリティ委員会」という。)を設ける。

(内部監査)

第8条　最高情報統括責任者は、電子情報規程第14条第1項の監査部会にセキュリティ対策の状況について内部監査を行わせるものとする。

(関係部署等に対する指示等)

第9条　最高情報統括責任者は、セキュリティ委員会の審議及び監査部会の内部監査の結果を踏まえ、関係各課及び外部委託事業者に対し必要な措置をとるよう指示し、又は要請することができる。

(情報資産の分類及び取扱い)

第10条　住基ネットの情報資産(住基ネットに係る全ての情報(これらを印刷した文書を含む。)、通信ネットワーク、情報システム(ソフトウェア及びハードウェア)、これらに関する設備、電磁的記録媒体及びシステム関連文書をいう。以下「情報資産」という。)は、機密性、完全性及び可用性により分類し、取り扱うものとする。

(情報資産の管理)

第11条　市民課長は、本人確認情報等の個人の情報及びそれを記録する媒体並びにシステム関連文書について管理するものとする。

(本人確認情報管理責任者)

第12条　市民課長は、本人確認情報管理責任者として、本人確認情報を取り扱うことができる者を指定するとともに、本人確認情報の漏えい、滅失及び毀損の防止その他の本人確認情報の適切な管理のための必要な措置を講じなければならない。

(コミュニケーションサーバに係る帳票の管理)

第13条　市民課長は、コミュニケーションサーバにおいて出力される次に掲げる帳票を管理し、これらの帳票を基に作成した帳票等がある場合には、その帳票についても管理するものとする。

(情報資産の管理方法の定め等)

第14条　統括情報システム管理者は、その管理する情報資産の管理方法を定めるものとする。

(操作者の責務)

第15条　住基ネットの機器を操作する職員等(以下「操作者」いう。)は、次に掲げる事項を遵守しなければならない。

(本人確認情報を画面表示する場合の留意事項)

第16条　操作者は、本人確認情報を画面表示する場合は、次に掲げる事項を遵守しなければならない。

(本人確認情報の整合性を確保する場合の留意事項)

第17条　操作者は、本人確認情報の整合性を確保するため、次に掲げる事項を遵守しなければならない。

(本人確認情報を検索・抽出する場合の留意事項)

第18条　操作者は、本人確認情報を検索・抽出する場合は、次に掲げる事項を遵守しなければならない。

(本人確認情報を磁気ディスクに保存する場合の留意事項)

第19条　操作者は、住民記録システムとの整合性の確保のために、磁気ディスクに本人確認情報を保存する場合には、市民課長の許可を得て行わなければならず、保存をしたことの記録を残し、適正な期間保管しなければならない。

(本人確認情報を出力する場合の留意事項)

第20条　操作者は、本人確認情報を出力する場合は、次に掲げる事項を遵守しなければならない。

(本人確認情報の処理の委託)

第21条　本人確認情報の処理の委託をする場合は、委託の都度、受託した事業者に本人確認情報を取り扱うことができる者を指定させなければならず、当該指定は、必要最小限度のものでなければならない。

第22条　住基ネットの管理及び運用に係る場所、管理者及び入退室管理の方法については、次の表のとおりとする。

(外部委託の承認)

第23条　市民課長は、外部委託をしようとするときは、委託する業務の内容、委託の理由及び情報の保護に関する事項等について、あらかじめ、最高情報統括責任者の承認を得なければならない。

(委託しようとする者の管理体制等の調査)

第24条　市民課長は、住基ネットに関するシステムの構築及び運用等の業務を外部委託しようとするときは、あらかじめ、委託させようとする者における情報の保護に関する管理体制等について調査するものとする。

(委託契約書の記載事項)

第25条　外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(受託者の管理状況の調査)

第26条　市民課長は、必要に応じ、受託者に対して、外部委託に係るセキュリティ対策の実施状況について調査するものとする。

(アクセス管理を行う機器及び方法)

第27条　次に掲げる住基ネットの構成機器について、アクセスの管理(以下「アクセス管理」という。)を行うものとする。

(アクセス管理責任者)

第28条　市民課長は、アクセス管理責任者として、CSの認証装置を管理し、前条のアクセス管理対象機器を操作するのに必要な認証装置及びパスワードを貸与するものとする。

(認証装置等)

第29条　市民課長は、認証装置、個人番号カード(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第7項に規定する個人番号カードをいう。次項及び第3項において同じ。)及びパスワードの管理方法を定め、アクセスできる機器及びそのアクセス権限に係る認証装置並びにパスワードを貸与する者を、統括情報システム管理者と協議して定めるものとする。

(操作履歴の記録)

第30条　市民課長は、蓄積された操作履歴をCSから記録媒体に定期的にバックアップし、7年間保管するものとする。

(事件・事故発生時の対応計画)

第31条　セキュリティ委員会は、住基ネットの情報セキュリティに関する事故又は情報資産への侵害が発生した場合若しくは発生するおそれがある場合において連絡、被害拡大の防止、復旧等の措置を迅速かつ適切に実施するため、次に掲げる内容を含む緊急時対応計画を定めなければならない。

(事件・事故の記録及び報告)

第32条　職員等は、軽微なものを除き、事件・事故が起きた場合、又は事件・事故が発生するおそれがある場合は、直ちに最高情報統括責任者及びセキュリティ委員会に連絡及び報告を行い、指示に従うとともに、発生した事件・事故の内容及びその対応を記録しなければならない。

(緊急時対応計画の見直し等)

第33条　セキュリティ委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じて、第31条の緊急時対応計画を見直さなければならない。