出雲市例規集

○出雲市住民基本台帳ネットワークシステムのセキュリティ対策基本規程

(平成17年出雲市訓令第138号)

改正

平成29年2月24日訓令第4号

平成31年3月29日訓令第9号

第1章　総則(第1条・第2条)

第2章　セキュリティ組織(第3条－第7条)

第3章　緊急時対応(第8条)

第4章　入退室管理(第9条－第11条)

第5章　アクセス管理(第12条－第17条)

第6章　情報資産管理(第18条－第20条)

第7章　委託管理(第21条－第24条)

第8章　教育・研修(第25条－第27条)

第9章　補則(第28条・第29条)

附則

第1章　総則

(目的)

第1条　この規程は、出雲市の住民基本台帳ネットワークシステム（以下「住基ネット」という。）の利用に関し、総合的なセキュリティ対策を確保するため、必要な事項を定めることを目的とする。

(定義)

第2条　この規程において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　本人確認情報　都道府県知事に送信する7情報(氏名、住所、性別、生年月日、個人番号、住民票コード並びにこれらの変更が行われた異動事由及び年月日)をいう。

(2)　データ　住基ネットにおいて通知され、記録され、保存され、又は提供される情報をいう。

(3)　サーバ　本人確認情報の記録、保存及び提供を行うための電子計算機をいう。

(4)　照合ＩＤ　操作者を識別するためのＩＤをいう。

(5)　操作者ＩＤ　操作権限を識別するためのＩＤをいう。

(6)　照合情報　手の静脈等の生体情報に不可逆演算処理を施して得られる情報をいう。

(7)　情報資産　住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。

第2章　セキュリティ組織

(セキュリティ統括責任者及びセキュリティ統括副責任者)

第3条　住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者及びセキュリティ統括副責任者を置く。

2　セキュリティ統括責任者は、副市長をもって充てる。

3　セキュリティ統括副責任者は、総務部長をもって充て、セキュリティ統括責任者を補佐する。

(システム管理者)

第4条　住基ネットの適切な管理を行うため、システム管理者を置く。

2　システム管理者は、情報政策課長をもって充てる。

(セキュリティ責任者)

第5条　住基ネットのセキュリティ対策を実施するため、セキュリティ責任者を置く。

2　セキュリティ責任者は、住基ネットを利用する各部署の所属長をもって充てる。

(セキュリティ会議)

第6条　住基ネットの総合的な安全措置を講ずるため、セキュリティ会議を設置する。

2　セキュリティ統括責任者は、セキュリティ会議を招集するとともに、その議長を務めるものとする。

3　セキュリティ会議は、セキュリティ統括責任者及びセキュリティ統括副責任者のほか、次に掲げる者をもって組織する。

(1)　システム管理者

(2)　セキュリティ責任者

(3)　管財契約課長

(4)　人事課長

4　セキュリティ会議は、次に掲げる事項を審議する。

(1)　住基ネットのセキュリティ対策の決定及び見直し

(2)　前号セキュリティ対策の遵守状況の確認

(3)　監査の実施

(4)　教育・研修の実施

(5)　その他セキュリティに係る重要事項に関すること

5　議長は、前項のうち重要と認められる事項を審議するときは、出雲市個人情報保護対策審議会の意見を聴くものとする。

6　議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

7　セキュリティ会議の庶務は、情報政策課において処理する。

(報告及び指示)

第7条　セキュリティ統括責任者は、セキュリティ会議の結果を市長に報告するとともに、関係部署の長に対し必要な措置を講ずるよう指示することができる。

第3章　緊急時対応

(システムの緊急時一時停止及び緊急時対応方針)

第8条　システム管理者は、住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により、本人確認情報に脅威を及ぼすおそれがある場合は、直ちに住基ネットの運用を一時停止し、その旨をセキュリティ統括責任者に緊急報告するものとする。

2　本人確認情報に係るサーバの障害及び不正、犯罪等の発生による緊急時については、別に定める「緊急時対応方針」に基づき、迅速的確に対応するものとする。

第4章　入退室管理

(入退室管理を行う室)

第9条　次表に掲げる住基ネットの運用が行われる室又は場所においては、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。

室、場所	セキュリティ区分
住基ネットのデータ、セキュリティ情報等の保管室	レベル3
サーバ、ネットワーク機器の設置室	レベル2
統合端末の設置室	レベル1

2　前項のセキュリティ区分に応じた入退室管理の方法は、次のとおりとする。

セキュリティ区分	入退室管理の方法
レベル3	入退室を行う場合には、入退室管理者から事前に許可された者のみが、その都度、登録された指紋認証を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。
レベル2	入退室を行う場合には、入退室管理者から事前に許可された者のみが、登録された指紋認証を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。
レベル1	入退室を行う場合には、入退室管理者から事前に許可された者のみが、入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。

(入退室管理者)

第10条　入退室管理者は、統合端末の設置室については統合端末を設置する部署の所属長とし、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室については情報政策課長とする。

2　入退室管理者は、前条第1項に掲げる室又は場所について、同条第2項に定める入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。

(指示)

第11条　セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。

第5章　アクセス管理

(アクセス管理を行う機器)

第12条　次の各号に掲げる住基ネットの構成機器について、アクセス管理を行う。

(1)　コミュニケーションサーバ

(2)　統合端末

2　前項のアクセス管理は、照合情報認証を用いて、操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第13条　前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、統合端末を設置する部署の所属長とする。

(照合ＩＤ及び操作者ＩＤ)

第14条　アクセス管理責任者は、照合ＩＤ、照合情報及び操作者ＩＤに関し、次に掲げる事項を実施しなければならない。

(1)　照合ＩＤ及び操作者ＩＤの管理方法を定めること。

(2)　照合情報の登録及び削除の管理方法を定めること。

(3)　操作者ＩＤの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること。

(4)　照合ＩＤ及び操作者ＩＤの管理簿を作成すること。

(操作者の責務)

第15条　操作者は、照合ＩＤ、照合情報及び操作者ＩＤでの管理方法を遵守しなければならない。

(操作履歴の記録)

第16条　アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。

(オペレーティングシステムの管理)

第17条　アクセス管理責任者は、第１２条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。

[第１２条]

第6章　情報資産管理

(情報資産管理)

第18条　住基ネットの情報資産について、管理責任者を置く。

2　前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等の管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長とし、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報政策課長とする。

(本人確認情報管理責任者)

第19条　本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指名するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

2　本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び住民基本台帳カードの管理方法を定めるものとする。

(情報資産管理責任者)

第20条　情報資産管理責任者は、当該情報資産の管理方法(操作者の指名を含む。)を定めるものとする。

2　情報資産管理責任者は、統合端末を設置する部署の所属長と協議して、住基ネットのオペレーション計画を定めるものとする。

第7章　委託管理

(委託を受けようとする者の管理体制等の調査)

第21条　システム管理者又はセキュリティ責任者は、保守管理等を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第22条　システム管理者又はセキュリティ責任者は、保守管理等を外部委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第23条　外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1)　再委託の禁止又は制限に関する事項

(2)　情報が記録された資料の保管、返還又は廃棄に関する事項

(3)　情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項

(4)　情報の秘密保持に関する事項

(5)　事故等の報告に関する事項

(受託者の管理状況の調査)

第24条　システム管理者又はセキュリティ責任者は、必要に応じて、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

第8章　教育・研修

(職員の責務)

第25条　住基ネットに携わる職員は、その責務の重大さに鑑み、モラル及び技術の向上に務めなければならない。

(職員研修)

第26条　セキュリティ統括責任者は、住基ネットに携わる各職員に対して、初任時及び一定期間ごとに、必要な知識の習得に資するための研修を行うものとする。

(管理者研修)

第27条　セキュリティ統括責任者は、住基ネットの各責任者に対して、その管理に関する必要な知識や技術を習得させる研修を行うものとする。

第9章　補則

(秘密保持義務)

第28条　住基ネット関係者及び住基ネット関係者であった者は、知り得た情報を第三者に漏えいすることなく秘密保持しなければならない。

(その他)

第29条　この規程の定めるもののほか、住基ネットのセキュリティ対策に関し必要な事項は、市長が別に定める。

附　則

この規程は、平成17年3月22日から施行する。

附　則(平成29年2月24日訓令第4号)

この規程は、公布の日から施行する。

附　則(平成31年3月29日訓令第9号)

この規程は、平成31年4月1日から施行する。