○北見市情報セキュリティ対策基準に関する規程
| (平成29年3月31日訓令第14号) |
|
目次
第1章 総則(第1条-第3条)
第2章 組織体制(第4条-第13条)
第3章 情報資産の分類と管理(第14条・第15条)
第4章 情報システム全体の強靱(じん)性の向上(第16条-第18条)
第5章 物理的セキュリティ
第1節 サーバ等の管理(第19条-第25条)
第2節 管理区域の管理(第26条-第28条)
第3節 通信回線及び通信回線装置の管理(第29条)
第4節 職員等のパソコン等の管理(第30条・第31条)
第6章 人的セキュリティ
第1節 職員等の遵守事項(第32条-第43条)
第2節 研修・訓練(第44条-第47条)
第3節 情報セキュリティインシデントの報告(第48条-第50条)
第4節 ID及びパスワード等の管理(第51条-第53条)
第7章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理(第54条-第75条)
第2節 アクセス制御(第76条-第83条)
第3節 システム開発、導入及び保守等(第84条-第98条)
第4節 不正プログラム対策(第99条-第102条)
第5節 不正アクセス対策(第103条-第109条)
第6節 セキュリティに関する情報の収集(第110条-第112条)
第8章 運用
第1節 情報システムの監視(第113条-第115条)
第2節 情報セキュリティポリシーの遵守状況確認(第116条-第118条)
第3節 侵害等の対応等(第119条-第122条)
第4節 例外措置(第123条・第124条)
第5節 法令等の遵守(第125条・第126条)
第6節 違反への対応(第127条・第128条)
第9章 業務委託と外部サービス(クラウドサービス)の利用
第1節 業務委託(第129条-第132条)
第2節 情報システムに関する業務委託(第133条-第136条)
第3節 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱う場合)(第137条-第144条)
第4節 クラウドサービスの利用(自治体機密性2以上の情報を取り扱わない場合)(第145条・第146条)
第10章 評価及び見直し
第1節 監査(第147条-第152条)
第2節 自己点検(第153条-第155条)
第3節 セキュリティポリシー及び関係規定等の見直し(第156条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、北見市情報セキュリティに関する基本方針(平成18年内規第1号。以下「基本方針」という。)に基づき、本市の情報資産のセキュリティ対策に必要な事項を定めるものとする。
(行政機関の範囲)
第2条 この訓令の規定(以下「対策基準」という。)が適用される行政機関は、市長、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会、公営企業管理者及び議会をいう。
(情報資産の範囲)
第3条 対策基準が対象とする情報資産は、次に掲げるものとする。
(1) ネットワーク、情報システム、これらに関する設備及び電磁的記録媒体
(2) ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
(3) 情報システムの仕様書及びネットワーク図等のシステム関連文書
第2章 組織体制
(最高情報セキュリティ責任者)
第4条 本市に、最高情報セキュリティ責任者(以下「CISO」という。)を置く。
2 CISOは、副市長をもって充てる。
3 CISOは、本市における全ての情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
4 CISOは、情報セキュリティインシデントに対処するための体制(Computer Security Incident Response Team。以下「CSIRT」という。)を整備し、役割を明確化する。
5 CISOは、CISOを補佐し、本市における情報セキュリティに関する事務を整理し、CISOの命を受けて本市の情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者(以下「副CISO」という。)1人を必要に応じて置く。
6 CISOは、本規程に定められた自らの担務を、副CISOその他の本規程に定める責任者に担わせることができる。
(統括情報セキュリティ責任者)
第5条 本市に、統括情報セキュリティ責任者を置く。
2 統括情報セキュリティ責任者は、企画財政部長をもって充てる。
3 統括情報セキュリティ責任者は、CISO及び副CISOを補佐しなければならない。
4 統括情報セキュリティ責任者は、本市の全てのネットワークにおける開発、設定変更、運用、見直し等を行う権限及び責任を有する。
5 統括情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
6 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報システム管理者及び情報システム担当者に対し情報セキュリティに関する指導及び助言を行う権限を有する。
7 統括情報セキュリティ責任者は、本市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を実施する権限及び責任を有する。
8 統括情報セキュリティ責任者は、本市の共通的なネットワーク及び情報システム並びに情報資産に関する情報セキュリティ実施手順の維持及び管理を行う権限及び責任を有する。
9 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、CISO、統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者及び情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。
10 統括情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。
11 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。
(副統括情報セキュリティ責任者)
第6条 本市に、副統括情報セキュリティ責任者を置く。
2 副統括情報セキュリティ責任者は、情報セキュリティを所管する企画財政部DX推進室長をもって充てる。
3 副統括情報セキュリティ責任者は、統括情報セキュリティ責任者を補佐するものとする。
(情報セキュリティ責任者)
第7条 本市に、情報セキュリティ責任者を置く。
2 情報セキュリティ責任者は、北見市職員の初任給、昇格、昇給等の基準に関する規則(平成18年規則第55号)別表第1に規定する課長相当の職(以下「課長相当の職」という。)をもって充てる。
3 情報セキュリティ責任者は、その所管する課室等の情報セキュリティ対策に関する権限及び責任を有する。
(情報システム管理者)
第8条 本市に、情報システム管理者を置く。
2 情報システム管理者は、情報システムを所管する担当課における課長相当の職とする。
3 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
4 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
5 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持及び管理を行う。
6 情報システム管理者は、その運用及び管理を行う情報システム担当者を指名し、情報システムを適切に管理させなければならない。
(情報システム担当者)
第9条 情報システム担当者は、情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う。
(情報セキュリティ委員会)
第10条 CISOの下で、本市における情報セキュリティに関する総括及び調整を実施するため、北見市情報セキュリティ委員会(以下「委員会」という。)を置く。
2 委員会は、次の事項を審議する。
(1) 情報セキュリティに関する組織横断的な調整に関する事項
(2) 基本方針及び対策基準の運用及び見直しに関する事項
(3) 情報セキュリティに関する事案の調査に関する事項
(4) 情報セキュリティ監査の実施に関する事項
(5) その他情報セキュリティに係る重要事項に関する事項
3 委員長は、統括情報セキュリティ責任者とする。
4 副委員長は、副統括情報セキュリティ責任者とし、委員長に事故があるとき、又は委員長が欠けたときは、その職務を代理する。
5 委員は、別表に掲げる者をもって充てる。
[別表]
6 委員会の事務は、企画財政部DX推進室情報システム課が行う。
7 委員会は、必要に応じて、情報セキュリティ対策の監査作業を行う情報セキュリティ監査チーム等の専門チームを編成することができる。
(兼務の禁止)
第11条 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 情報セキュリティ監査の実施において、やむを得ない場合を除き、監査を受ける者とその監査を実施する者は、同じ者が兼務してはならない。
(CSIRTの設置及び役割)
第12条 CISOは、CSIRTを整備し、その役割を明確化しなければならない。
2 CISOは、CSIRTに所属する職員等を選任し、その中からCSIRT責任者を置かなければならない。
3 CISOは、CSIRTに所属する職員等の中からCSIRT内の業務統括、外部との連携等を行う職員等を定めなければならない。
4 CISOは、情報セキュリティの統一的な窓口を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。
5 CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供しなければならない。
6 CSIRTは、情報セキュリティインシデントを認知した場合には、CISO、総務省、北海道等へ報告しなければならない。
7 CSIRTは、情報セキュリティインシデントを認知した場合には、その重要度、影響範囲等を勘案し、報道機関への通知及び公表の対応を行わなければならない。
8 CSIRTは、情報セキュリティに関して、関係機関、他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、事業者等との情報共有を行わなければならない。
(クラウドサービス利用における組織体制)
第13条 統括情報セキュリティ責任者は、クラウドサービスを利用する際には、複数の事業者の存在及び責任の所在を確認し、複数の事業者が存在する場合は、必要な連絡体制を構築しなければならない。
2 統括情報セキュリティ責任者は、クラウドサービス利用における情報セキュリティ対策に取り組む十分な組織体制を確立しなければならない。
第3章 情報資産の分類と管理
(情報資産の分類)
第14条 本市における情報資産は、機密性、完全性及び可用性により分類し、必要に応じて取扱い制限を行うものとする。
2 機密性による情報資産の分類は、次の表に掲げるところに従わなければならない。
| 分類 | 分類基準 | 取扱制限 |
| 自治体
機密性 3A | 行政事務で取り扱う情報資産のうち、「行政文書の管理に関するガイドライン」(平成23年4月1日内閣総理大臣決定)に定める秘密文書 | ・支給された端末以外での作業の原則禁止(自治体機密性3の情報資産に対して)
・必要以上の複製及び配布の禁止 ・保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持込みの禁止 ・情報の送信、情報資産の運搬•提供時における暗号化•パスワード設定や鍵付きケースへの格納 ・復元不可能な処理を施しての廃棄 ・信頼のできるネットワーク回線の選択 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記憶媒体の施錠可能な場所への保管 |
| 自治体
機密性 3B | 行政事務で取り扱う情報資産のうち、漏えい等が生じた際に、個人の権利利益の侵害の度合いが大きく、事務又は業務の規模や性質上、取扱いに非常に留意すべき情報資産 | |
| 自治体
機密性 3C | 行政事務で取り扱う情報資産のうち、自治体機密性3B以上に相当する機密性は要しないが、基本的に公表することを前提としていないもので、業務の規模や性質上、取扱いに留意すべき情報資産 | |
| 自治体
機密性2 | 行政事務で取り扱う情報資産のうち、自治体機密性3に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | |
| 自治体
機密性1 | 自治体機密性2又は自治体機密性3の情報資産以外の情報資産 | - |
3 完全性による情報資産の分類は、次の表に掲げるところに従わなければならない。
| 分類 | 分類基準 | 取扱制限 |
| 自治体
完全性2 | 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害され、又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産
| ・バックアップ、電子署名付与
・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記憶媒体の施錠可能な場所への保管 |
| 自治体
完全性1 | 自治体完全性2の情報資産以外の情報資産 | - |
4 可用性による情報資産の分類は、次の表に掲げるところに従わなければならない。
| 分類 | 分類基準 | 取扱制限 |
| 自治体
可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利が侵害され、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、指定する時間以内の復旧
・電磁的記録媒体の施錠可能な場所への保管 |
| 自治体
可用性1 | 自治体可用性2の情報資産以外の情報資産 | - |
(情報資産の管理)
第15条 情報セキュリティ責任者は、課室等が作成し、及び保有する情報資産について管理責任を有する。
2 職員等は、前条の規定による情報資産の分類(以下「情報資産の分類」という。)に従い利用する責任を有する。
3 情報システム管理者は、所管する情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳を整備しなければならない。
4 情報セキュリティ責任者は、情報資産が複製され、又は伝送された場合には、当該複製等がなされた情報資産も情報資産の分類に基づき管理しなければならない。
5 情報セキュリティ責任者は、クラウドサービスの環境に保存される情報資産についても、情報資産の分類に基づき管理しなければならない。
6 情報セキュリティ責任者は、情報資産におけるライフサイクル(作成、入手、利用、保管、送信、運搬、提供、公表、廃棄等)の取扱いを定めるものとする。
7 情報セキュリティ責任者は、クラウドサービスを更改する際の情報資産の移行及びこれらの情報資産の全ての複製のクラウドサービス事業者からの削除の記述を含むサービス利用の終了に関する内容について、サービス利用前に文書での提示を求め、又は公開されている内容を確認しなければならない。
8 情報を作成する場合は、次に掲げるところに従った取扱いをしなければならない。
(1) 職員等は、業務上必要のない情報を作成しないこと。
(2) 情報を作成する者は、情報作成時に、情報資産の分類に基づき、当該情報の分類と取扱い制限を定めること。
(3) 情報を作成する者は、作成途上の情報についても、紛失、流出等を防止すること。
(4) 情報を作成する者は、前号の情報が作成途上で不要になった場合は、消去すること。
9 情報資産を入手した場合は、次に掲げるところに従った取扱いをしなければならない。
(1) 職員等が作成した情報資産を入手した場合は、入手元の情報資産の分類に基づいた取扱いをすること。
(2) 職員等以外が作成した情報資産を入手した場合は、情報資産の分類に基づき、当該情報の分類と取扱い制限を定めること。
(3) 入手した情報資産の分類が不明な場合、情報セキュリティ責任者に判断を仰ぐこと。
10 情報資産を利用する場合は、次に掲げるところに従った取扱いをしなければならない。
(1) 業務以外の目的に情報資産を利用しないこと。
(2) 情報資産の分類に応じ、適正な取扱いをすること。
(3) 電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合は、最高度の分類に従って、当該電磁的記録媒体を取り扱うこと。
11 情報セキュリティ責任者は、情報資産の保管をする場合には、次に掲げるところに従った取扱いをしなければならない。
(1) 情報資産の分類に従って、情報資産を適正に保管すること。
(2) 情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じること。
(3) 自治体機密性2以上、自治体完全性2又は自治体可用性2の情報を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管すること。
(4) 自治体機密性2以上に該当する情報は、原則として暗号化を施して管理すること。
(5) 情報の滅失防止のため、情報システムが運用する業務及び保有する情報の重要度に応じて、記録媒体を更に別の記録媒体に複製し、可能な限り当該記録媒体について自然災害を被る可能性が低い地域に別途保管すること。
12 情報を電子メール等の通信手段を利用し送信する場合は、自治体機密性2以上の情報について、必要に応じてパスワード等による暗号化を行うこと。
13 情報資産の運搬をする場合は、次に掲げるところに従った取扱いをしなければならない。
(1) 車両等の手段を利用して自治体機密性2以上の情報資産を運搬する場合は、必要に応じて鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じること。
(2) 自治体機密性2以上の情報資産を運搬する場合は、情報セキュリティ責任者に許可を得ること。
14 情報資産の提供又は公表をする場合は、次に掲げるところに従った取扱いをしなければならない。
(1) 自治体機密性2以上の情報資産を外部に提供する場合は、必要に応じてパスワード等による暗号化を行うこと。
(2) 自治体機密性2以上の情報資産を外部に提供する場合は、情報セキュリティ責任者に許可を得ること。
(3) 情報セキュリティ責任者は、住民に公開する情報資産について、完全性を確保すること。
15 情報資産の廃棄、リース返却等を行う場合には、次に掲げるところに従った取扱いをしなければならない。
(1) 情報を記録している電磁的記録媒体について、情報資産の廃棄、リース返却等を行う者は、その情報の機密性に応じ、情報を復元できないように処置した上で廃棄すること。
(2) 情報資産の廃棄、リース返却等を行う場合は、行った処理について、日時、作業実施者及び処理内容を記録すること。
(3) 情報資産の廃棄、リース返却等を行う場合は、情報セキュリティ責任者の許可を得ること。
(4) クラウドサービスで利用する全ての情報資産について、クラウドサービスの利用終了時期を確認し、クラウドサービスで扱う情報資産の適切な移行及び削除がなされるよう管理すること。
16 情報セキュリティ責任者は、課室等において取り扱う情報の内容及び情報資産の分類が、課室等の職員等に容易に判別できるよう、適切な管理を行わなければならない。
17 情報セキュリティ責任者は、所管の情報資産について、情報資産の分類に従ったアクセス権限を定めなければならない。
18 情報の保存年限については、北見市文書事務取扱規程(平成26年訓令第3号)に定めのあるものを除き、情報セキュリティ責任者が定める。
第4章 情報システム全体の強靱(じん)性の向上
(個人番号利用事務系)
第16条 統括情報セキュリティ責任者は、個人番号利用事務系の利用に際し、次に掲げる対策を実施しなければならない。
(1) 個人番号利用事務系と他の領域を通信できないようにすること。個人番号利用事務系と外部との通信をする必要がある場合は、通信経路の限定(MACアドレス及びIPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行うこと。
(2) 個人番号利用事務系と外部との通信をする必要がある場合は、その外部接続先についてもインターネット等と接続しないこと。
(3) 情報システムを利用の際は、正規の利用者かを判断する認証手段のうち、2以上を併用する認証(以下「多要素認証」という)を利用すること。
(4) 原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定すること。
(5) 個人番号利用事務系の端末、サーバ等と専用回線により接続されるガバメントクラウド上の情報システムの領域については、個人番号利用事務系として扱い、本市の他の領域とはネットワークを分離すること。
(6) 個人番号利用事務系の情報システムをガバメントクラウドにおいて利用する場合は、その情報資産の機密性を考慮し、暗号による対策を実施すること。
(7) 前号の暗号は、十分な強度を持たなければならない。
(8) クラウドサービス事業者が暗号に関する対策を行う場合又はクラウドサービス事業者が提供する情報資産を保護するための暗号機能を利用する場合は、クラウドサービス事業者が提供するそれらの機能や内容について情報を入手し、その機能について理解に努め、必要な措置を行うこと。
2 前項第1号及び第2号において、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、この限りでなく、LGWANを経由して、インターネット等と個人番号利用事務系との双方向通信でのデータの移送を可能とする。
(LGWAN接続系)
第17条 統括情報セキュリティ責任者は、LGWAN接続系とインターネット接続系について、両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。この場合において、メール及びデータをLGWAN接続系に取り込むときは、次に掲げる実現方法等により、無害化通信を図らなければならない。
(1) インターネット環境で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式
(2) インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式
(3) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式
2 LGWAN接続系の情報システムをクラウドサービス上へ配置する場合は、その領域をLGWAN接続系として扱い、個人番号利用事務系とネットワークを分離し、専用回線を用いて接続しなければならない。
(インターネット接続系)
第18条 統括情報セキュリティ責任者は、インターネット接続系の利用に際し、次に掲げる対策を実施しなければならない。
(1) 通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見及び対処、LGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じること。
(2) 北海道及び道内市町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁、北海道等と連携しながら、情報セキュリティ対策を推進すること。
第5章 物理的セキュリティ
第1節 サーバ等の管理
(装置の取付け等)
第19条 情報システム管理者は、サーバ等の機器の取付けを行う場合には、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適正に固定する等、必要な措置を講じなければならない。
(サーバの冗長化)
第20条 情報システム管理者は、サーバ等の障害発生時における情報等の滅失や情報システムの運用停止を回避するため、情報システムの業務内容及び保有する情報の重要度に応じてサーバ等を二重化しなければならない。
(機器の電源)
第21条 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源を適正に管理するため、次に掲げる事項を実施しなければならない。
(1) 停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備えること。
(2) 落雷等による過電流からサーバ等の機器を保護するための措置を講じること。
(3) 電源プラグが簡単に外れないよう、必要な措置を講じること。
(通信ケーブル等の配線)
第22条 情報システム管理者は、施設管理部門と連携し、通信ケーブル等の配線を適正に管理するため、次に掲げる事項を実施しなければならない。
(1) 通信ケーブル等の配線が損傷しないよう、配線収納管を使用する等必要な措置を講じること。
(2) 相互干渉による障害を防止するために、電源ケーブルを通信ケーブルから隔離して配線する等、可能な限り必要な措置を講じること。
(3) 配線の損傷を把握するため、必要に応じて点検を行うこと。
(4) ネットワークの接続口(ハブのポート等)を他者が容易に接続できないよう適切に管理を行うこと。
(5) 契約により操作を認められた委託事業者を除く他者が配線を変更し、又は追加することができないように必要な措置を講じること。
(機器の定期保守及び修理)
第23条 情報システム管理者は、自治体可用性2のサーバ等の機器の定期保守を実施しなければならない。
2 情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させる場合には、内容を消去した状態で行わせなければならない。
3 前項の規定による消去ができない場合には、情報システム管理者は、事業者に故障を修理させるに当たり、修理を委託する事業者との間で守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。
(外部への機器の設置)
第24条 統括情報セキュリティ責任者及び情報システム管理者は、外部にサーバ等の機器を設置する場合には、CISOの承認を受けなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(機器の廃棄)
第25条 情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
2 情報システム管理者は、クラウドサービス事業者が機器を廃棄するときは、セキュリティを確保した対応となっているか、クラウドサービス事業者の方針及び手順について確認しなければならない。
3 前項の規定による確認に当たっては、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用することができる。
第2節 管理区域の管理
(管理区域の構造等)
第26条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワークの基幹機器及び重要な情報システムを設置する場合には、原則として外部からの侵入が容易にできないよう外壁等に囲まれた管理区域(以下「コンピュータ室」という。)に設置しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携してコンピュータ室の情報セキュリティ対策を次に掲げるとおり実施しなければならない。
(1) コンピュータ室から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止するための機能を備えること。
(2) コンピュータ室については、地震、火災、水害の影響の排除等を行うこと。
(3) コンピュータ室の消火剤、消防用設備等は、機器及び電磁的記録媒体等に影響を与えないものを使用すること。
(管理区域の入退室管理等)
第27条 情報システム管理者は、管理区域及びコンピュータ室への入退室に関し、次に掲げるところに従って管理しなければならない。
(1) コンピュータ室への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行うこと。
(2) コンピュータ室に入室しようとする職員等及び委託事業者に、身分証明書等を提示させること。
(3) 外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じること。
(4) 自治体機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないか、又は個人所有であるコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにすること。
(機器等の搬入出)
第28条 情報システム管理者は、コンピュータ室への機器等の搬入出に関し、次に掲げるとおり実施しなければならない。
(1) 搬入する機器等が既存の情報システムに与える影響について、あらかじめ職員又は委託事業者に確認を行わせること。
(2) コンピュータ室への機器の搬入出について、職員を立ち会わせること。
第3節 通信回線及び通信回線装置の管理
(通信回線及び通信回線装置の管理)
第29条 統括情報セキュリティ責任者は、通信回線及び通信回線装置の管理に関して、次に掲げる事項を実施しなければならない。
(1) 庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適正に管理するとともに、通信回線及び通信回線装置に関連する文書を適正に保管すること。
(2) 情報システムのセキュリティ要件として策定した情報システムのネットワーク構成に関する要件内容に従い、通信回線装置に対して適切なセキュリティ対策を実施すること。
(3) 外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らすこと。
(4) 行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めること。
(5) 自治体機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適正な回線を選択するとともに、必要に応じ、送受信される情報の暗号化を行うこと。
(6) ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように、不正な通信の有無を確認する等の十分なセキュリティ対策を実施すること。
(7) 通信回線装置が動作するために必要なソフトウェアに関する事項を含む実施手順を定めるとともに、必要なソフトウェアの状態等を調査し、認識した脆弱性等について対策を講じること。
(8) 自治体可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択するとともに、必要に応じ、回線を冗長構成にする等の措置を講じること。
第4節 職員等のパソコン等の管理
(パソコン等の管理)
第30条 情報セキュリティ責任者は、執務室等で利用するパソコン及び電磁的記録媒体について、盗難防止のための物理的な措置として、次に掲げる事項を実施しなければならない。
(1) セキュリティワイヤーによる固定又は使用時以外は、施錠可能な場所へ収納すること。
(2) 電磁的記録媒体は、情報が保存される必要がなくなった時点で、記録した情報を消去すること。
(情報システムへのログイン)
第31条 情報システム管理者は、情報システムへのログインに関し、次に掲げる事項を実施しなければならない。
(1) ログインに際し、パスワード、スマートカード、生体認証等複数の認証情報の入力を必要とするように設定すること。
(2) 個人番号利用事務系では「知識」、「所持」又は「存在」を利用する多要素認証を行うよう設定すること。
第6章 人的セキュリティ
第1節 職員等の遵守事項
(情報セキュリティポリシー等の遵守)
第32条 職員等は、情報セキュリティ対策の実施に当たり、次に掲げる事項を実施しなければならない。
(1) 基本方針、対策基準及び実施手順に定められている事項を遵守すること。
(2) 情報セキュリティ対策について、不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ責任者に相談し、指示を仰ぐこと。
(業務以外の目的での使用の禁止)
第33条 職員等は、業務以外の目的で、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(外部における情報処理作業の制限)
第34条 CISOは、自治体機密性2以上、自治体完全性2又は自治体可用性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。
2 職員等は、次の事項を実施する場合は、情報セキュリティ責任者に許可を得なければならない。
(1) 本市のパソコン、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合
(2) 外部で情報処理業務を行う場合
(個人所有機器の利用禁止)
第35条 職員等は、個人が所有するパソコン、ネットワーク機器、電磁的記録媒体等を庁内に持ち込み、業務へ利用してはならない。ただし、業務利用の可否判断をCISOが行った後に、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ責任者が特別の理由があると認める場合は、この限りではない。
2 職員等は、個人が所有するパソコン、ネットワーク機器、電磁的記録媒体等を用いる場合には、情報セキュリティ責任者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置に関する規定を遵守しなければならない。
(外部への端末等持ち出しの記録)
第36条 情報セキュリティ責任者は、外部に持ち出すパソコン及び電磁的記録媒体について、次に掲げるところに従って管理しなければならない。
(1) 施錠可能な場所に収納すること。
(2) 外部における放置を禁止すること。
(3) パソコンにおける起動の制御を実施すること。
(4) 管理簿等により持出しを管理すること。
(パソコン等におけるセキュリティ設定変更の禁止)
第37条 職員等は、情報セキュリティ責任者の許可なく、パソコン等の改造、機器の増設及びソフトウェアに関するセキュリティ機能を変更してはならない。ただし、例外の機器及び情報セキュリティ責任者が業務上特別の理由があると認めるときは、この限りでない。
(離席時のパソコン等の管理)
第38条 職員等は、パソコン、電磁的記録媒体及び情報が印刷された文書について、第三者に使用されること又は情報セキュリティ責任者の許可なく情報を閲覧されることがないよう、次に掲げる措置を講じなければならない。
(1) 離席時のパソコンのロック
(2) 電磁的記録媒体及び文書等の容易に閲覧されない場所への保管等
(退職時等の遵守事項)
第39条 職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。
2 職員等は、職務上知り得た情報を漏らしてはならない。その職を退いた後も同様とする。ただし、情報が公となった場合は、この限りでない。
(クラウドサービス利用時等の遵守事項)
第40条 職員等は、クラウドサービスの利用にあたっても情報セキュリティポリシーを遵守し、クラウドサービスの利用に関する自らの役割及び責任を意識しなければならない。
(会計年度任用職員及び臨時的任用職員への対応)
第41条 情報セキュリティ責任者は、地方公務員法(昭和25年法律第261号)第22条の2第1項の規定により採用された会計年度任用職員(以下「会計年度任用職員」という。)及び同法第22条の3第4項若しくは第26条の6第7項第2号又は地方公務員の育児休業等に関する法律(平成3年法律第110号)第6条第1項第2号の規定により任用された臨時的任用職員(以下「臨時的任用職員」という。)に対し、次に掲げる事項を実施し、及び遵守させなければならない。
(1) 採用時に情報セキュリティポリシー等のうち、会計年度任用職員及び臨時的任用職員が守るべき内容を理解させるよう適切な指導を行うこと。
(2) 情報セキュリティポリシー等を遵守する旨の同意書への署名を、必要に応じて行うこと。
(3) パソコン等による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要であるときは、これを利用できないようにすること。
(情報セキュリティポリシー等の掲示)
第42条 情報セキュリティ責任者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。
(委託事業者に対する説明)
第43条 情報セキュリティ責任者は、ネットワーク及び情報システムの開発、保守等を事業者に発注する場合、再委託事業者を含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
第2節 研修・訓練
(研修・訓練)
第44条 CISOは、定期的に情報セキュリティに関する研修及び訓練を実施しなければならない。
2 CISOは、定期的にクラウドサービスを利用する職員等の情報セキュリティに関する研修を実施するとともに、委託先を含む関係者については委託先等で教育及び訓練が行われていることを確認しなければならない。
(研修計画の策定及び実施)
第45条 CISOは、職員等に対する情報セキュリティに関する研修計画の策定及びその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。
2 CISOは、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
3 研修は、統括情報セキュリティ責任者、副統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者、情報システム担当者及びその他職員等に対しそれぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
4 情報セキュリティ責任者は、所管する課室等の研修の実施状況を記録し、統括情報セキュリティ責任者に対し報告しなければならない。
5 統括情報セキュリティ責任者は、研修の実施状況を分析し、及び評価し、CISOに情報セキュリティ対策に関する研修の実施状況について報告しなければならない。
6 CISOは、情報セキュリティ委員会に対し職員等の情報セキュリティ研修の実施状況について報告しなければならない。
(緊急時対応訓練)
第46条 CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。
2 訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるようにしなければならない。
(研修・訓練への参加)
第47条 職員等は、定められた研修及び訓練に参加しなければならない。
第3節 情報セキュリティインシデントの報告
(庁内での情報セキュリティインシデントの報告)
第48条 職員等は、情報セキュリティインシデントを認知した場合には、速やかに情報セキュリティ責任者及び情報セキュリティに関する統一的な窓口に報告しなければならない。
2 報告を受けた情報セキュリティ責任者は、速やかに統括情報セキュリティ責任者に報告しなければならない。
3 統括情報セキュリティ責任者は、報告のあった情報セキュリティインシデントについて、CISOに報告しなければならない。
4 情報セキュリティインシデントにより、個人情報又は特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告しなければならない。
5 情報セキュリティ責任者は、クラウドサービス利用における情報セキュリティインシデントの報告について統括情報セキュリティ責任者に報告しなければならない。
(住民等外部からの情報セキュリティインシデントの報告)
第49条 職員等は、本市が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合には、情報セキュリティ責任者に報告しなければならない。
2 報告を受けた情報セキュリティ責任者は、速やかに統括情報セキュリティ責任者に報告しなければならない。
3 統括情報セキュリティ責任者は、当該情報セキュリティインシデントについて、必要に応じてCISOに報告しなければならない。
4 統括情報セキュリティ責任者は、クラウドサービス事業者が検知した情報セキュリティインシデントの報告や情報セキュリティインシデントの状況を追跡する仕組の構築を契約等で取り決めなければならない。
(情報セキュリティインシデント原因の究明・記録、再発防止等)
第50条 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。
2 前項の場合において、CSIRTは、情報セキュリティインシデントであると評価したときは、CISOに速やかに報告しなければならない。
3 CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。
4 CSIRTは、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システム管理者へ確認を指示しなければならない。
5 CSIRTは、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。
6 CSIRTは、情報セキュリティインシデントの原因の究明の結果から、再発防止策を検討し、CISOに報告しなければならない。
7 CISOは、CSIRTから情報セキュリティインシデントについて報告を受けた場合には、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
第4節 ID及びパスワード等の管理
(ICカード等の取扱い)
第51条 職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。
(1) 認証に用いるICカード等を、職員等間で共有しないこと。
(2) 業務上必要のないときは、ICカード等をカードリーダ又はパソコン等の端末のスロット等から抜いておくこと。
(3) ICカード等を紛失した場合には、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告し、指示に従うこと。
2 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等の紛失等の報告があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等を切り替える場合には、切替前のカードを回収し、破砕等の復元不可能な処理を行った上で廃棄しなければならない。
(IDの取扱い)
第52条 職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。
(1) 自己が利用しているIDは、他人に利用させないこと。
(2) 共用IDを利用する場合は、共用IDの利用者以外に利用させないこと。
(パスワードの取扱い)
第53条 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードは、他者に知られないように管理すること。
(2) パスワードを秘密にし、パスワードの照会等には一切応じないこと。
(3) パスワードは十分な長さとし、文字列は想像しにくいものにすること。
(4) パスワードが流出したおそれがある場合には、情報セキュリティ責任者に速やかに報告し、パスワードを速やかに変更すること。
(5) 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いないこと。
(6) 仮のパスワード(初期パスワードを含む。)は、最初のログイン時点で変更すること。
(7) サーバ、ネットワーク機器及びパソコン等の端末に、パスワードを記憶させることで、パスワード入力なしに認証を可能とする設定は行わないこと。
(8) 職員等間でパスワードを共有しないこと。ただし、共有IDに対するパスワードを除く。
第7章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理
(ファイルサーバの設定等)
第54条 情報システム管理者は、職員等が使用できるファイルサーバに関し、次に掲げる事項を実施しなければならない。
(1) 職員等が使用できるファイルサーバ容量を設定し、職員等に周知すること。
(2) ファイルサーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように設定すること。
(3) 住民の個人情報、人事記録等、特定の職員等しか取り扱えないデータについて、別途接続制限をしたフォルダを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにすること。
(バックアップの実施)
第55条 統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、重要な情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、重要な情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス事業者のバックアップ機能を利用する場合、クラウドサービス事業者にバックアップ機能の仕様を要求し、要求事項を満たすことを確認しなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス事業者からバックアップ機能を提供されない場合やバックアップ機能を利用しない場合は、自らバックアップ機能の導入に関する責任を負い、バックアップに関する機能を設け、情報資産のバックアップを行わなければならない。
(他団体との情報システムに関する情報等の交換)
第56条 情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合には、その取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者の許可を得なければならない。
(システム管理記録及び作業の確認)
第57条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、所管するシステムにおいてシステム変更等の作業を行った場合には、作業内容について記録を作成し、詐取、改ざん等をされないように適正に管理し、運用及び保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直さなければならない。
3 統括情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた委託事業者がシステム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第58条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図及び情報システム仕様書(以下「仕様書等」という。)を記録媒体にかかわらず、次に掲げるところに沿って管理しなければならない。
(1) 仕様書等を常に最新の状態に整備すること。
(2) 仕様書等を業務上必要とする者のみが閲覧できるように管理すること。
(3) 仕様書等の紛失等がないよう適正に管理すること。
(ログの取得等)
第59条 統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、次の事項に沿って管理しなければならない。
(1) 一定の期間保存すること。
(2) ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理すること。
(3) 取得したログの定期的な点検又は分析をする機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析をすること。
(4) クラウドサービス事業者が収集し、保存するログ等に関する保護(改ざんの防止等)について、ログ管理等に関する対策や機能に関する情報を確認し、ログ等に関する保護が実施されているか確認すること。
(5) 監査及びデジタルフォレンジックに必要となるクラウドサービス事業者の環境内で生成されるログ等の情報(デジタル証拠)について、クラウドサービス事業者から提供されるログ等の監視機能を利用して取得することで十分ではない場合は、クラウドサービス事業者に提出を要求するための手続を明確にしなければならない。
(障害記録)
第60条 統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を障害記録として記録し、適正に保存しなければならない。
(ネットワークのアクセス制御)
第61条 統括情報セキュリティ責任者は、ネットワークにおけるアクセス制御を次に掲げるところに従って実施しなければならない。
(1) フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定すること。
(2) 不正アクセスを防止するため、ネットワークに適正なアクセス制御を施すこと。
(3) 保守又は診断のために、外部の通信回線から内部の通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保すること。
(4) 情報セキュリティ対策について、定期的な確認により見直すこと。
(外部の者が利用できるシステムの分離等)
第62条 情報システム管理者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じ、他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。
(外部ネットワークとの接続制限等)
第63条 情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISO及び統括情報セキュリティ責任者の許可を得なければならない。
2 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
3 情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、次のセキュリティ対策を実施しなければならない。
(1) 庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続すること。
(2) 脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用すること。
(3) ウェブサーバからの不用意な情報漏えいを防止するための措置を講じること。
(4) 情報システム管理者は、ウェブコンテンツの編集作業を行う主体を限定すること。
(5) インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じること。
5 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(複合機のセキュリティ管理)
第64条 統括情報セキュリティ責任者は、複合機の調達及び運用に際し、次に掲げる事項に従って、実施しなければならない。
(1) 複合機を調達する場合は、当該複合機が備える機能及び設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定すること。
(2) 複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じること。
(3) 複合機の運用を終了する場合は、複合機の持つ電磁的記録媒体の全ての情報を抹消し、又は再利用できないようにする対策を講じること。
(IoT機器を含む特定用途機器のセキュリティ管理)
第65条 統括情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合には、当該機器の特性に応じた対策を講じなければならない。
(無線LAN及びネットワークの盗聴対策)
第66条 統括情報セキュリティ責任者は、無線LANの利用に際し、次に掲げる事項について、職員等に遵守させなければならない。
(1) 無線LANの利用を認める場合は、解読が困難な暗号化及び認証技術の使用を義務付けること。
(2) 機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じること。
(電子メールのセキュリティ管理)
第67条 統括情報セキュリティ責任者は、電子メールを扱うサーバ等を運用する場合には、次に掲げる対策を実施しなければならない。
(1) 権限のない利用者により、外部から外部へ電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行うこと。
(2) スパムメール等が内部から送信されていることを検知した場合は、メールサーバの運用を停止すること。
(3) 電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にすること。
(4) 職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知すること。
(5) システム開発、運用、保守等のため庁舎内に常駐している委託事業者の作業員による電子メールアドレス利用について、委託事業者との間で利用方法を取り決めること。
(電子メールの利用制限)
第68条 職員等は、電子メールの利用に際し、次に掲げる事項を遵守しなければならない。
(1) 自動転送機能を用いて、電子メールを転送しないこと。
(2) 業務上必要のない送信先に電子メールを送信しないこと。
(3) 複数人に電子メールを送信する場合は、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにすること。
(4) 重要な電子メールを誤送信した場合は、情報セキュリティ責任者に報告すること。
(電子署名及び暗号化)
第69条 職員等は、情報資産の分類により定めた取扱い制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定めた電子署名、パスワード等による暗号化等、セキュリティを考慮して、送信しなければならない。
2 職員等は、暗号化を行う場合にCISOが定める以外の方法を用いてはならない。
3 職員等は、CISOが定めた方法で暗号のための鍵を管理しなければならない。
4 CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。
(無許可ソフトウェアの導入等の禁止)
第70条 職員等は、ソフトウェアに関し、次に掲げる事項を遵守しなければならない。
(1) パソコン及びモバイル端末に無断でソフトウェアを導入しないこと。ただし、業務上の必要がある場合は、統括情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。
(2) 前号ただし書の規定によりソフトウェアを導入する場合においては、情報セキュリティ責任者又は情報システム管理者は、当該ソフトウェアのライセンスを管理すること。
(3) 不正にコピーしたソフトウェアを利用しないこと。
(機器構成の変更の制限)
第71条 職員等は、パソコン及びモバイル端末に対し機器の改造、増設及び交換を行ってはならない。ただし、業務上、パソコンやモバイル端末に対し機器の改造、増設及び交換を行う必要がある場合であって、統括情報セキュリティ責任者及び情報システム管理者の許可を得たときは、この限りでない。
(業務外ネットワークへの接続の禁止)
第72条 職員等は、支給された端末を、有線であるか無線であるかを問わず、その端末を接続して利用するよう統括情報セキュリティ責任者によって定められたネットワークと異なるネットワークに接続してはならない。
2 統括情報セキュリティ責任者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限することが望ましい。
(業務以外の目的でのウェブ閲覧の禁止)
第73条 職員等は、業務以外の目的でウェブを閲覧してはならない。
2 統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関わりのないサイトを閲覧していることを発見した場合は、情報セキュリティ責任者に通知し、適正な措置を求めなければならない。
(Web会議サービスの利用時の対策)
第74条 統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。
2 職員等は、前項の利用手順に従い、Web会議の参加者及び取り扱う情報に応じた情報セキュリティ対策を実施しなければならない。
3 職員等は、Web会議を主催する場合には、会議に無関係の者が参加できないよう対策を講じなければならない。
4 職員等は、外部からWeb会議に招待される場合には、第1項の利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。
(ソーシャルメディアサービスの利用)
第75条 情報セキュリティ責任者は、本市が管理するアカウントでソーシャルメディアサービスを利用する場合には、情報セキュリティ対策に関する次に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(1) 本市のアカウントによる情報発信が実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。
(2) パスワード、認証のためのコード等の認証情報及びこれを記録した媒体(ハードディスク、USBメモリ、紙等)等を適正に管理する等の方法で、不正アクセス対策を実施すること。
2 自治体機密性2以上の情報は、ソーシャルメディアサービスで発信してはならない。
3 情報セキュリティ責任者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。
4 情報セキュリティ責任者は、アカウントの乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。
5 自治体可用性2の情報の提供にソーシャルメディアサービスを用いる場合は、本市の自己管理ウェブサイトに当該情報を掲載して参照可能としなければならない。
第2節 アクセス制御
(アクセス制御)
第76条 統括情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように必要最小限の範囲で適切に設定する等、システム上制限しなければならない。
(利用者IDの取扱い)
第77条 統括情報セキュリティ責任者及び情報システム管理者は、利用者IDの取扱いについて、次に掲げる事項を遵守させなければならない。
(1) 利用者の登録、変更、抹消等の情報管理、職員等の異動、出向又は退職に伴う利用者IDの取扱い等の方法を定めること。
(2) 利用されていないIDが放置されないよう、人事管理部門と連携し、点検すること。
(3) 主体から対象に対する不要なアクセス権が付与されていないか定期的に確認すること。
2 職員等は、業務上必要がなくなった場合には、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に報告しなければならない。
(特権を付与されたIDの管理等)
第78条 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者によって窃取された際の被害を最小化するための措置及び内部からの不正操作や誤操作を防止するための措置を講じなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。
4 CISOは、代行者を認めた場合には、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム管理者に通知しなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID等を次に掲げる事項に沿って、管理しなければならない。
(1) ID及びパスワードの変更について、委託事業者に行わせないこと。
(2) ID及びパスワードについて、人事異動の際のパスワードの変更、入力回数制限等のセキュリティ機能を強化すること。
(3) IDを初期設定以外のものに変更すること。
(職員等による外部からのアクセス等の制限)
第79条 情報セキュリティ責任者は、外部から内部のネットワーク又は情報システムにアクセスする仕組みを構築する場合には、委員会に届け出なければならない。
2 委員会は、前項の届出を承認する場合には、次に掲げる措置を講じるよう指示しなければならない。
(1) 合理的理由を有する必要最小限の者に限定したアクセス制御
(2) 認証機能等による端末利用者の特定
(3) 管理簿等による利用者管理
(4) 盗聴防御のための暗号化等の措置
(5) IPアドレス等によるアクセスの制限
(6) アクセス時間の限定
(7) その他委員会が必要と認める事項
(自動識別の設定)
第80条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。
(ログイン時の表示等)
第81条 情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定及びログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。
(認証情報の管理)
第82条 統括情報セキュリティ責任者又は情報システム管理者は、職員等の認証情報を厳重に管理するため、次に掲げる事項を遵守させなければならない。
(1) 認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用すること。
(2) 職員等に対してパスワードを発行する場合は、仮のパスワードを発行する機能があるシステムに関しては、仮のパスワードを発行し、初回ログイン後直ちに仮のパスワードを変更させること。
(3) 認証情報の不正利用を防止するための措置を講じること。
(特権による接続時間の制限)
第83条 情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。
第3節 システム開発、導入及び保守等
(機器等及び情報システムの調達)
第84条 情報システム管理者は、情報システムの調達に当たり、次に掲げる事項を実施しなければならない。
(1) 情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記すること。
(2) 業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に記載すること。
(3) 機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認すること。
(システム開発における責任者及び作業者の特定)
第85条 情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。
2 情報システム管理者は、システム開発のための規則を確立しなければならない。
(システム開発における責任者及び作業者のIDの管理)
第86条 情報システム管理者は、システム開発における責任者及び作業者のIDを次に掲げるとおり適切に管理しなければならない。
(1) 使用するIDを管理し、開発完了後、開発用IDを削除すること。
(2) 使用するIDにより、アクセス権限を設定すること。
(システム開発に用いるハードウェア及びソフトウェアの管理)
第87条 情報システム管理者は、開発に用いるハードウェア及びソフトウェアの管理を次に掲げるところにより、適切に管理しなければならない。
(1) システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定し、それ以外のものを利用させないこと。
(2) 利用を認めたソフトウェア以外のソフトウェアが導入されている場合は、当該ソフトウェアをシステムから削除すること。
(アプリケーション・コンテンツの開発時の対策)
第88条 情報システム管理者は、ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。
(開発環境と運用環境の分離及び移行手順の明確化)
第89条 情報システム管理者は、開発環境及び運用環境の構築に関し、次に掲げるところにより適切に管理しなければならない。
(1) システム開発、保守及びテスト環境とシステム運用環境を分離すること。
(2) システム開発、保守及びテスト環境からシステム運用環境への移行について、システム開発保守計画の策定時に手順を明確にすること。
(3) 移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮すること。
(4) 導入するシステムやサービスの可用性が確保されていることを確認した上で導入すること。
(テスト)
第90条 情報システム管理者は、検証等のテスト実施に当たり、次に掲げる事項を遵守しなければならない。
(1) 新たに情報システムを導入する場合は、既に稼働している情報システムに接続する前に十分な試験を行うこと。
(2) 運用テストを行う場合は、あらかじめ疑似環境による操作確認を行うこと。
(3) 個人情報及び機密性の高い生データをテストデータに使用しないこと。
(4) 開発したシステムについて受入れテストを行う場合は、開発した組織と導入する組織が、それぞれ独立したテストを行うこと。
(5) 業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮したテスト計画を策定し、確実に検証が実施されるよう、必要かつ適切に委託事業者の監督を行うこと。
(機器等の納入時又は情報システムの受入れ時)
第91条 情報システム管理者は、機器等の納入時又は情報システムの受入れに当たり、次に掲げる事項を遵守しなければならない。
(1) 機器等の納入時又は情報システムの受入れ時の確認及び検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認すること。
(2) 情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引き継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認すること。
(情報システムの基盤を管理し、又は制御するソフトウェア導入時の対策)
第92条 情報システム管理者は、情報セキュリティの観点から情報システムの基盤を管理し、又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講じなければならない。
2 情報システム管理者は、利用するソフトウェアの特性を踏まえ、次に掲げる全ての実施手順を整備しなければならない。
(1) 情報システムの基盤を管理し、又は制御するソフトウェアのセキュリティを維持するための対策
(2) 脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策
(情報システムの基盤を管理し、又は制御するソフトウェア運用時の対策)
第93条 情報システム管理者は、情報システムの基盤を管理し、又は制御するソフトウェアの運用及び保守を行う場合は、以下の全てのセキュリティ対策を実施しなければならない。
(1) 情報システムの基盤を管理し、又は制御するソフトウェアのセキュリティを維持するための対策
(2) 脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策
2 情報システム管理者は、利用を認めるソフトウェアについて、定期的な確認による見直しを行わなければならない。
(システム開発・保守に関連する資料等の整備・保管)
第94条 情報システム管理者は、次に掲げるところにより、システム開発及び保守に関連する資料並びにシステム関連文書を適正に整備し、及び保管しなければならない。
(1) 情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載を行い、当該内容について統括情報セキュリティ責任者に報告すること。
(2) 所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、次に掲げる情報を全て含む情報システム関連文書を整備すること。
ア 情報システムを構成するサーバ装置及び端末関連情報
イ 情報システムを構成する通信回線及び通信回線装置関連情報
(3) 情報システム管理者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、次に掲げる手順を全て含む実施手順を整備すること。
ア 情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順
イ 情報セキュリティインシデントを認知した際の対処手順
ウ 情報システムが停止した際の復旧手順
2 情報システム管理者は、テスト結果を一定期間保管しなければならない。
3 情報システム管理者は、情報システムに係るソースコードを適正な方法で保管しなければならない。
(情報システムにおける入出力データの正確性の確保)
第95条 情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 情報システム管理者は、ウェブアプリケーションやウェブコンテンツにおいて、次のセキュリティ対策を実施しなければならない。
(1) 利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直すこと。
(2) 運用中のアプリケーション・コンテンツにおいて、定期的に脆弱性対策の状況を確認し、脆弱性が発覚した際は必要な措置を講じること。
(3) ウェブアプリケーションやウェブコンテンツにおいて、故意又は過失により情報が改ざんされ、又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むこと。
3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(情報システムの変更管理)
第96条 情報システム管理者は、情報システムを変更した場合には、プログラム仕様書等の変更履歴を作成しなければならない。
(開発・保守用のソフトウェアの更新等)
第97条 情報システム管理者は、開発又は保守用のソフトウェア等の更新又はパッチの適用をする場合には、他の情報システムとの整合性を確認しなければならない。
(システム更新又は統合時の検証等)
第98条 情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。
第4節 不正プログラム対策
(統括情報セキュリティ責任者の措置事項)
第99条 統括情報セキュリティ責任者は、不正プログラム対策として、次に掲げる事項を措置しなければならない。
(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止すること。
(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止すること。
(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起すること。
(4) 所管するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させること。
(5) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保つこと。
(6) 不正プログラム対策のソフトウェアは、常に最新の状態に保つこと。
(7) 業務で利用するソフトウェアは、パッチやバージョンアップ等の開発元のサポートが終了したソフトウェアを利用しないこと。
(8) 前号のソフトウェアの利用を予定している期間中にパッチ、バージョンアップ等の開発元のサポートが終了する予定がないことを確認すること。
(9) 仮想マシンを設定する際に不正プログラムへの対策(必要なポート、プロトコル及びサービスだけを有効とすることやマルウェア対策及びログ取得等の実施)を確実に実施すること。
(10) SaaS型を利用する場合は、これらの対応が、クラウドサービス事業者側でされているのか、サービスを利用する前に確認すること。
(11) サービスを利用している状況下では、前2項に規定するセキュリティ対策が適切にされているのか定期的にクラウドサービス事業者に報告を求めること。
(情報システム管理者の措置事項)
第100条 情報システム管理者は、不正プログラム対策に関し、次に掲げる事項を措置しなければならない。
(1) 所管するサーバ及びパソコン等の端末にコンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させること。
(2) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保つこと。
(3) 不正プログラム対策のソフトウェアは、常に最新の状態に保つこと。
(4) インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合は、コンピュータウイルス等の感染を防止するために、本市が管理している媒体以外を職員等に利用させないこと。
(5) 電磁的記録媒体は、不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施すること。
(6) 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与しないこと。
(職員等の遵守事項)
第101条 職員等は、不正プログラム対策に関し、次に掲げる事項を遵守しなければならない。
(1) パソコン及びモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更しないこと。
(2) 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行うこと。
(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除すること。
(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施すること。
(5) 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行うこと。
(6) インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取り込む場合は、無害化を行うこと。
(7) 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認すること。
2 職員等は、コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合には、事前に決められたコンピュータウイルス感染時の初動対応の手順に従って対応を行わなければならない。
3 前項の初動対応時の手順が定められていない場合は、被害の拡大を防ぐ処置を慎重に検討し、該当の端末においてLANケーブルの取り外し、通信を行わない設定への変更などを実施しなければならない。
(専門家の支援体制)
第102条 統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。
第5節 不正アクセス対策
(統括情報セキュリティ責任者の措置事項)
第103条 統括情報セキュリティ責任者は、不正アクセス対策として、次に掲げる事項を措置しなければならない。
(1) 使用されていないポートを閉鎖すること。
(2) 不要なサービスについて、機能を削除又は停止すること。
(3) 情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応等を実施できる体制並びに連絡網を構築すること。
(4) 本市が定めたクラウドサービスの利用に関する情報セキュリティポリシーにおけるアクセス制御に関する事項が、クラウドサービスにおいて実現できるのか又はクラウドサービス事業者の提供機能等により実現できるのか、利用前にクラウドサービス事業者に確認すること。
(5) クラウドサービスを利用する際に、委託事業者等に管理権限を与える場合、多要素認証を用いて認証させ、クラウドサービスにアクセスさせること。
(6) パスワードなどの認証情報の割当てがクラウドサービス側で実施される場合、その管理手順等が、本市が定めたクラウドサービスの利用に関する情報セキュリティポリシーを満たすことを確認すること。
(攻撃への対処)
第104条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合には、システムの停止を含む必要な措置を講じなければならない。この場合において、総務省、北海道等と連絡を密にして情報の収集に努めなければならない。
(記録の保存)
第105条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、関係機関との緊密な連携に努めなければならない。
(内部からの攻撃)
第106条 統括情報セキュリティ責任者及び情報システム管理者は、職員等及び委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(職員等による不正アクセス)
第107条 統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合には、当該職員等が所属する課室等の情報セキュリティ責任者に通知し、適正な処置を求めなければならない。
(サービス不能攻撃)
第108条 統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第109条 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による組織内部への侵入を低減する対策(入口対策)並びに内部に侵入した攻撃を早期検知して対処する対策、侵入範囲の拡大の困難度を上げる対策及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。
第6節 セキュリティに関する情報の収集
(セキュリティホールに関する情報の収集及び共有並びにソフトウェアの更新等)
第110条 統括情報セキュリティ責任者及び情報システム管理者は、サーバ装置、端末及び通信回線装置等におけるセキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、当該セキュリティホールの緊急度に応じ、ソフトウェア更新等の対策を実施しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービス事業者に対して、利用するクラウドサービスに影響し得る技術的脆弱性の管理内容について情報を求め、本市の業務に対する影響や保有するデータへの影響について特定しなければならない
4 統括情報セキュリティ責任者及び情報システム管理者は、技術的脆弱性に対する脆弱性管理の手順について、クラウドサービス事業者に確認しなければならない。
(不正プログラム等のセキュリティ情報の収集・周知)
第111条 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ、対応方法について職員等に周知しなければならない。
(情報セキュリティに関する情報の収集及び共有)
第112条 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合には、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
第8章 運用
第1節 情報システムの監視
(情報システムの運用・保守時の対策)
第113条 統括情報セキュリティ責任者及び情報システム管理者は、次に掲げる事項を実施しなければならない。
(1) 情報システムの運用及び保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用すること。
(2) 情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じること。
(3) 重要な情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用すること。
(情報システムの監視機能)
第114条 統括情報セキュリティ責任者及び情報システム管理者は、次に掲げる事項を実施しなければならない。
(1) 情報システムの運用時の監視に係る運用管理機能要件を策定し、監視機能を実施すること。
(2) 情報システムの運用において、情報システムに実装された監視機能を適切に運用すること。
(3) 新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に見直すこと。
(4) サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講じること。
(情報システムの監視)
第115条 統括情報セキュリティ責任者及び情報システム管理者は、次に掲げる事項を実施しなければならない。
(1) セキュリティに関する事案を検知するため、情報システムを常時監視すること。
(2) 重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じること。
(3) 利用するクラウドサービスで使用する時刻の同期について、適切になされているのか確認すること。
(4) 外部と常時接続するシステムを常時監視すること。
(5) 必要となるリソースの容量及び能力が確保できるクラウドサービス事業者を選定すること。
(6) 利用するクラウドサービスの使用において必要な監視機能を確認するとともに監視により、業務継続の上で必要となる容量・能力を予測し、業務が維持できるように努めること。
(7) イベントログ取得に関するポリシーを定め、利用するクラウドサービスがその内容を満たすことを確認し、クラウドサービス事業者からログ取得機能が提供される場合は、そのログ取得機能が適切かどうか、ログ取得機能を追加して実装すべきかどうかを検討すること。
(8) クラウドサービス利用における重大なインシデントに繋がるおそれのある次に掲げる重要な操作に関して、確認すること。
ア サーバ、ネットワーク、ストレージ等の仮想化されたデバイスのインストール、変更及び削除
イ クラウドサービス利用の終了手順
ウ バックアップ及び復旧
第2節 情報セキュリティポリシーの遵守状況確認
(遵守状況の確認及び対処)
第116条 情報セキュリティ責任者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。
2 CISOは、発生した問題について、適正かつ速やかに対処しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適正かつ速やかに対処しなければならない。
(パソコン等及び電磁的記録媒体等の利用状況調査)
第117条 CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。
(職員等の報告義務)
第118条 職員等は、情報セキュリティポリシーに対する違反行為を発見した場合には、直ちに統括情報セキュリティ責任者及び情報セキュリティ責任者に報告を行わなければならない。
2 当該違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合には、職員等は緊急時対応計画に従って適正に対処しなければならない。
第3節 侵害等の対応等
(緊急時対応計画の策定)
第119条 CISO又は委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。
(緊急時対応計画に盛り込むべき内容)
第120条 緊急時対応計画には、次に掲げる事項を定めなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
(業務継続計画との整合性確保)
第121条 自然災害又は大規模若しくは広範囲にわたる疾病等に備えて別途業務継続計画を策定し、委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(緊急時対応計画の見直し)
第122条 委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、緊急時対応計画の規定を見直さなければならない。
第4節 例外措置
(例外措置の許可)
第123条 情報セキュリティ責任者及び情報システム管理者は、基本方針及び対策基準を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を講じることができる。
(緊急時の例外措置)
第124条 情報セキュリティ責任者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、前条の許可を得る前に例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。
第5節 法令等の遵守
(例外措置の申請書の管理)
第125条 CISOは、例外措置の申請書及び審査結果を適正に保管し、定期的に申請状況を確認しなければならない。
(法令遵守)
第126条 職員等は、職務の遂行において使用する情報資産を保護するために、次に掲げる法令その他の関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法(昭和25年法律第261号)
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(6) サイバーセキュリティ基本法(平成26年法律第104号)
(7) 北見市行政手続における特定の個人を識別するための番号の利用等に関する法律に基づく個人番号の利用及び特定個人情報の提供に関する条例(平成27年条例第32号)
2 統括情報セキュリティ責任者及び情報システム管理者は、クラウドサービスに商用ライセンスのあるソフトウェアをインストールする(IaaS等でアプリケーションを構築)場合は、そのソフトウェアのライセンス条項への違反を引き起こす可能性があるため、利用するソフトウェアにおけるライセンス規定に従わなければならない。
第6節 違反への対応
(懲戒処分)
第127条 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(違反時の対応)
第128条 統括情報セキュリティ責任者は、職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに当該職員等が所属する課室等の情報セキュリティ責任者に通知し、適正な措置を講ずるよう求めなければならない。
2 情報セキュリティ責任者等がその所管する課室等における違反を確認した場合には、違反を確認した者は、速やかに統括情報セキュリティ責任者に通知し、適正な措置を求めなければならない。
3 前項の違反について、情報セキュリティ責任者の指導によっても改善されない場合には、統括情報セキュリティ責任者は、当該職員等のネットワーク又は情報システムを使用する権利を停止し、又は剥奪することができる。
4 統括情報セキュリティ責任者は、職員等の権利を停止し、又は剥奪した場合には、速やかにその旨をCISO及び当該職員等が所属する課室等の情報セキュリティ責任者に通知しなければならない。
第9章 業務委託と外部サービス(クラウドサービス)の利用
第1節 業務委託
(委託事業者の選定基準)
第129条 情報セキュリティ責任者は、委託事業者の選定に当たっては、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
(業務委託実施前の対策)
第130条 情報システム管理者は業務委託の実施までに、次に掲げる事項を全て実施しなければならない。
(1) 委託する業務内容の特定
(2) 委託事業者の選定条件を含む仕様の策定
(3) 仕様に基づく委託事業者の選定
(4) 情報セキュリティ要件を明記した契約の締結(契約項目)
重要な情報資産を取り扱う業務を委託する場合には、委託事業者との間で必要に応じて次の情報セキュリティ等に係る要件を明記した契約を締結しなければならない。
ア 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
イ 個人情報漏えい防止のための技術的安全管理措置に関する取り決め
ウ 委託事業者の責任者、委託内容、作業者の所属及び作業場所の特定
エ 提供されるサービスレベルの保証
オ 委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法
カ 委託事業者の従業員に対する教育の実施
キ 提供された情報の目的外利用及び委託事業者以外の者への提供の禁止
ク 業務上知り得た情報の守秘義務
ケ 再委託に関する制限事項の遵守
コ 委託業務終了時の情報資産の返還、廃棄等
サ 委託業務の定期報告及び緊急時報告義務
シ 本市による監査及び検査
ス 本市による情報セキュリティインシデント発生時の公表
セ 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(5) 委託事業者に重要情報を提供する場合は、秘密保持契約(NDA)の締結
2 情報システム管理者は、業務委託の実施までに、委託の前提条件として、次に掲げる事項を全て実施することを委託事業者に求めなければならない。
(1) 仕様に準拠した提案
(2) 契約の締結
(3) 委託事業者において重要情報を取り扱う場合は、秘密保持契約(NDA)の締結
(業務委託実施期間中の対策)
第131条 情報システム管理者は、業務委託の実施期間において、次に掲げる対策を全て実施しなければならない。
(1) 委託判断基準に従った重要情報の提供
(2) 契約に基づき委託事業者に実施させる情報セキュリティ対策の履行状況の定期的な確認及び措置の実施
(3) 統括情報セキュリティ責任者に対する措置内容の報告(重要度に応じてCISOに報告)
(4) 委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を職員等より受けた場合における、委託事業の一時中断等の必要な措置を含む、契約に基づく対処の要求
2 情報システム管理者は、業務委託の実施期間において、次に掲げる対策を全て実施することを委託事業者に求めなければならない。
(1) 情報の適正な取扱いのための情報セキュリティ対策
(2) 契約に基づき委託事業者が実施する情報セキュリティ対策の履行状況の定期的な報告
(3) 委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における委託事業の一時中断等の必要な措置を含む対処
(業務委託終了時の対策)
第132条 情報システム管理者は、業務委託の終了に際して、次に掲げる対策を全て実施しなければならない。
(1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収
(2) 委託事業者に提供した情報を含め、委託事業者において取り扱われた情報の返却、廃棄又は抹消が確実になされたことの確認
2 情報システム管理者は、業務委託の終了に際して、次に掲げる対策を全て実施することを委託事業者に求めなければならない。
(1) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検
(2) 提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消
第2節 情報システムに関する業務委託
(情報システムに関する業務委託における共通対策)
第133条 情報システム管理者は、情報システムに関する業務委託の実施までに、情報システムに本市の意図せざる変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。
(情報システムの構築を業務委託する場合の対策)
第134条 情報システム管理者は、情報システムの構築を業務委託する場合は、契約に基づき、次に掲げる対策を全て実施することを委託事業者に求めなければならない。
(1) 情報システムのセキュリティ要件の適切な実装
(2) 情報セキュリティの観点に基づく試験の実施
(3) 情報システムの開発環境及び開発工程における情報セキュリティ対策
(情報システムの運用・保守を業務委託する場合の対策)
第135条 情報システム管理者は、次に掲げる事項を実施しなければならない。
(1) 情報システムの運用及び保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めること。
(2) 情報システムの運用・保守を業務委託する場合は、委託事業者が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託事業者に速やかな報告を求めること。
(本市向けに情報システムの一部の機能を提供するサービスを利用する場合の対策)
第136条 情報システム管理者は、外部の一般の者が本市向けに重要情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託事業者の選定条件に業務委託サービスに特有の選定条件を加えなければならない。
2 情報システム管理者は、業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定しなければならない。
3 情報システム管理者は、委託事業者の信頼性が十分であることを総合的かつ客観的に評価し判断しなければならない。
4 情報システム管理者は、業務委託サービスを利用する場合には、統括情報セキュリティ責任者又は情報セキュリティ責任者に対し当該サービスの利用申請を行わなければならない。
5 統括情報セキュリティ責任者又は情報セキュリティ責任者は、業務委託サービスの利用申請があった場合は、当該利用申請を審査し、利用の可否を決定しなければならない。
6 統括情報セキュリティ責任者又は情報セキュリティ責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名しなければならない。
第3節 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱う場合)
(クラウドサービスの選定に係る運用規程の整備)
第137条 統括情報セキュリティ責任者は、自治体機密性2以上の情報取り扱う場合には、次に掲げる事項を含む外部サービス(以下「クラウドサービス」という。)の選定に関する規程を整備しなくてはならない。
(1) クラウドサービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下「クラウドサービス利用判断基準」という。)
(2) クラウドサービス提供者の選定基準
(3) クラウドサービスの利用申請の許可権限者及び利用手続
(4) クラウドサービス管理者の指名及びクラウドサービスの利用状況の管理
(クラウドサービスの利用に係る運用規程の整備)
第138条 統括情報セキュリティ責任者は、自治体機密性2以上の情報を取り扱う場合には、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、次に掲げる内容を含むクラウドサービスの利用に関する規程を整備しなければならない。
(1) クラウドサービスを利用して情報システムの導入及び構築並びに運用及び保守を行う際のセキュリティ対策の基本方針
(2) 次に掲げる事項を全て含むクラウドサービスの利用を終了する際のセキュリティ対策の基本方針
ア クラウドサービスの利用終了時における対策
イ クラウドサービスで取り扱った情報の廃棄
ウ クラウドサービスの利用のために作成したアカウントの廃棄
(クラウドサービスの選定)
第139条 情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス利用判断基準に従って、業務に係る影響度等を検討した上でクラウドサービスの利用を検討しなければならない。
2 情報セキュリティ責任者は、クラウドサービスで取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス提供者の選定基準に従ってクラウドサービス提供者を選定するものとする。この場合において、以下の内容を含む情報セキュリティ対策をクラウドサービス提供者の選定条件に含めなければならない。
(1) クラウドサービスの利用を通じて本市が取り扱う情報のクラウドサービス提供者における目的外利用の禁止
(2) クラウドサービス提供者における情報セキュリティ対策の実施内容及び管理体制
(3) クラウドサービスの提供に当たり、クラウドサービス提供者又はその従業員、再委託先その他の者によって、本市の意図しない変更が加えられないための管理体制
(4) クラウドサービス提供者の資本関係、役員等の情報、クラウドサービス提供に従事する者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報提供並びに調達仕様書による施設の場所及びリージョンの指定
(5) 情報セキュリティインシデントへの対処方法
(6) 情報セキュリティ対策その他の契約の履行状況の確認方法
(7) 情報セキュリティ対策の履行が不十分な場合の対処方法
3 情報セキュリティ責任者は、クラウドサービスの中断又は終了時に円滑に業務を移行するための対策を検討し、クラウドサービス提供者の選定条件に含めなければならない。
4 情報セキュリティ責任者は、クラウドサービス事業者と情報セキュリティに関する役割及び責任の分担について確認しなければならない。
5 情報セキュリティ責任者は、クラウドサービスの利用を通じて本市が取り扱う情報の格付等を勘案し、必要に応じて以下の内容をクラウドサービス提供者の選定条件に含めるものとする。この場合において、クラウドサービスの利用前に合意した事項があるときは、その内容についてサービス合意書(SLA)に定めるとともに、クラウドサービス事業者のサービス利用規約等が変更できない場合は、機密性、完全性、可用性、安全性、個人情報等の取扱いに関するクラウドサービス事業者の定める条件を鑑み、その規約内容が本市によって受容可能か判断しなければならない。
(1) 情報セキュリティ監査の受入れ
(2) サービスレベルの保証
6 情報セキュリティ責任者は、クラウドサービスの利用を通じて本市が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価してクラウドサービス提供者を選定し、必要に応じて本市の情報が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定条件に含めなければならない。
7 情報セキュリティ責任者は、クラウドサービス提供者がその役務内容を一部再委託する場合には、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、クラウドサービス提供者の選定条件で求める内容をクラウドサービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本市に提供し、本市の承認を受けるよう、クラウドサービス提供者の選定条件に含めなければならない。
8 情報セキュリティ責任者は、クラウドサービス利用判断基準及びクラウドサービス提供者の選定基準に従って再委託の承認の可否を判断しなければならない。
9 情報セキュリティ責任者は、クラウドサービスの特性を考慮した上で、クラウドサービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、次に掲げる事項を全て含むセキュリティ要件を定めなければならない。
(1) クラウドサービスに求める情報セキュリティ対策
(2) クラウドサービスで取り扱う情報が保存される国及び地域並びに廃棄の方法
(3) クラウドサービスに求めるサービスレベル
10 統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス提供者の信頼性が十分であることを総合的かつ客観的に評価し、判断しなければならない。
(クラウドサービスの利用に係る調達及び契約)
第140条 情報セキュリティ責任者は、クラウドサービスを調達する場合には、クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。
2 情報セキュリティ責任者は、クラウドサービスを調達する場合には、クラウドサービス提供者及びクラウドサービスが調達仕様を満たすことを契約までに確認し、利用承認を得なければならない。この場合においては、調達仕様の内容を契約に含めなればならない。
(クラウドサービスの利用承認)
第141条 情報セキュリティ責任者は、クラウドサービスを利用する場合には、利用申請の許可権限者へクラウドサービスの利用申請を行わなければならない。
2 利用申請の許可権限者は、職員等によるクラウドサービスの利用申請を審査し、利用の可否を決定しなければならない。
3 利用申請の許可権限者は、クラウドサービスの利用申請を承認した場合には、承認済みクラウドサービスとして記録し、クラウドサービス管理者を指名しなければならない。
(クラウドサービスを利用した情報システムの導入及び構築時の対策)
第142条 統括情報セキュリティ責任者は、クラウドサービスの特性及び責任分界点に係る考え方等を踏まえ、次に掲げる事項を含むクラウドサービスを利用して情報システムを構築する際のセキュリティ対策を規定しなければならない。
(1) 不正なアクセスを防止するためのアクセス制御
(2) 取り扱う情報の機密性保護のための暗号化
(3) 開発時におけるセキュリティ対策
(4) 設計及び設定時の誤りの防止
(5) クラウドサービスにおけるユーティリティプログラムに対するセキュリティ対策
2 クラウドサービス管理者は、情報システムにおいてクラウドサービスを利用する際には、情報システム台帳及び関連文書に記録し、又は記載しなければならない。この場合においては、情報システム台帳に記録又は記載した場合は、統括情報セキュリティ責任者へ報告しなければならない。
3 クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの運用開始前までに次に掲げる全ての実施手順を整備しなければならない。
(1) クラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順
(2) クラウドサービスを利用した情報システムの運用及び監視中における情報セキュリティインシデントを認知した際の対処手順
(3) 利用するクラウドサービスが停止又は利用できなくなった際の復旧手順
4 クラウドサービス管理者は、前項の規定に対し構築時に実施状況を確認し、及び記録しなければならない。
5 クラウドサービス管理者は、前各項の規定に対し、情報セキュリティに配慮した構築の手順及び実践がされているか、クラウドサービス事業者に情報を求め、実施状況を確認し、及び記録するものとする。
(クラウドサービスを利用した情報システムの運用及び保守時の対策)
第143条 統括情報セキュリティ責任者は、クラウドサービスの特性及び責任分界点に係る考え方を踏まえ、次に掲げる事項を含むクラウドサービスを利用して情報システムを運用する際のセキュリティ対策を規定しなければならない。
(1) クラウドサービス利用方針の規定
(2) クラウドサービス利用に必要な教育
(3) 取り扱う資産の管理
(4) 不正アクセスを防止するためのアクセス制御
(5) 取り扱う情報の機密性保護のための暗号化
(6) クラウドサービス内の通信の制御
(7) 設計及び設定時の誤りの防止
(8) クラウドサービスを利用した情報システムの事業継続
(9) 設計及び設定変更時の情報並びに変更履歴の管理
2 クラウドサービス管理者は、クラウドサービスの運用及び保守時に情報セキュリティ対策を実施するために必要となる項目等で修正又は変更等が発生した場合、情報システム台帳及び関連文書を更新し、又は修正しなければならない。この場合においては、情報システム台帳を更新又は修正した場合は、統括情報セキュリティ責任者へ報告しなければならない。
3 クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。
4 情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、クラウドサービスで発生したインシデントを認知した際の対処手順を整備しなければならない。
5 クラウドサービス管理者は、前各項の規定に対し運用及び保守時に実施状況を定期的に確認し、及び記録しなければならない。
6 クラウドサービス管理者は、情報セキュリティに配慮した運用及び保守の手順及び実施がされているか、クラウドサービス事業者に情報を求め、実施状況を定期的に確認し、及び記録しなければならない。
(クラウドサービスを利用した情報システムの更改及び廃棄時の対策)
第144条 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、次に掲げる事項を含むクラウドサービスの利用を終了する際のセキュリティ対策を規定しなければならない。
(1) クラウドサービスの利用終了時における対策
(2) クラウドサービスで取り扱った情報の廃棄
(3) クラウドサービスの利用のために作成したアカウントの廃棄
2 クラウドサービス管理者は、前項の規定に対しクラウドサービスの利用終了時に実施状況を確認し、及び記録しなければならない。
3 クラウドサービス管理者は、クラウドサービス上で機密性の高い情報(住民情報等)を保存する場合は、機密性を維持するために暗号化するとともに、その情報資産を破棄する際は、データ消去の方法の一つとして暗号化した鍵(暗号鍵)を削除する等により、その情報資産を復元困難な状態としなければならない。
第4節 クラウドサービスの利用(自治体機密性2以上の情報を取り扱わない場合)
(クラウドサービスの利用に係る規定の整備)
第145条 統括情報セキュリティ責任者は、自治体機密性2以上の情報を取り扱わない場合、次に掲げる事項を含むクラウドサービスの利用に関する規定を整備しなければならない。
(1) 外部サービスを利用可能な業務の範囲
(2) 外部サービスの利用申請の許可権限者と利用手続
(3) 外部サービス管理者の指名と外部サービスの利用状況の管理
(4) 外部サービスの利用の運用手順
(クラウドサービスの利用における対策の実施)
第146条 職員等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で自治体機密性2以上の情報を取り扱わない場合の外部サービスの利用を申請しなければならない。この場合においては、承認時に指名されたクラウドサービス管理者は、当該クラウドサービスの利用において適切な措置を講じなければならない。
2 情報セキュリティ責任者は、職員等によるクラウドサービスの利用申請を審査し、利用の可否を決定しなければならない。この場合においては、承認したクラウドサービスを記録しなければならない。
第10章 評価及び見直し
第1節 監査
(実施方法)
第147条 CISOは、情報セキュリティ監査統括責任者を指名しなければならない。
2 委員会は、前項により指名された者による監査を定期的に実施しなければならない。
3 委員会は、次に掲げる事項の取決めを行わなければならない。
(1) 監査の実施方法
(2) 監査を委託事業者に委託する場合の委託事業者の選定条件及び選定手順
(3) その他監査の実施に関する必要な事項
4 監査を実施する者は、前項に掲げる事項に従って監査を実施し、監査結果を委員会に報告しなければならない。
5 委員会は、監査の結果を受けて、是正の必要がある情報システムを所管する情報セキュリティ責任者に対して、改善点を指摘しなければならない。
(委託事業者に対する監査)
第148条 事業者に業務委託を行っている場合には、情報セキュリティ監査統括責任者は、委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守についての監査を定期的又は必要に応じて行わなければならない。
2 クラウドサービスを利用している場合は、情報セキュリティ監査統括責任者は、クラウドサービス事業者が自ら定める情報セキュリティポリシーの遵守について、定期的に監査を行わなければならない。
3 前項の場合において、クラウドサービス事業者にその証拠(文書等)の提示を求めるときは、第三者の監査人が発行する証明書や監査報告書等をこの証拠とすることができる。
(報告)
第149条 情報セキュリティ監査統括責任者は、監査結果を取りまとめ、委員会に報告する。
(保管)
第150条 情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適正に保管しなければならない。
(監査結果への対応)
第151条 CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ責任者に対し当該事項への対処(改善計画の策定等)を指示しなければならない。
2 CISOは、前項の指示に基づき策定された改善計画のうち、措置が完了していないものについては、定期的に進捗状況の報告を指示しなければならない。
3 CISOは、指摘事項を所管していない情報セキュリティ責任者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
4 CISOは、庁内で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し当該事項への対処を指示しなければならない。
5 CISOは、前項の指示に基づき策定された改善計画のうち、措置が完了していないものについては、定期的に進捗状況の報告を指示しなければならない。
(情報セキュリティポリシー及び関係規程等の見直し等への活用)
第152条 委員会は、監査結果を情報セキュリティポリシー及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第2節 自己点検
(実施方法)
第153条 統括情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。
2 情報セキュリティ責任者は、所管する課室等における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。
(報告)
第154条 統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、委員会に報告しなければならない。
(自己点検結果の活用)
第155条 職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 委員会は、この点検結果を情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。
第3節 セキュリティポリシー及び関係規定等の見直し
(情報セキュリティポリシー及び関係規程等の見直し)
第156条 委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合には、改善を行うものとする。
2 委員会は、横断的に改善が必要となる情報セキュリティ対策の運用見直しについて、内部の職制及び職務に応じた措置の実施又は指示を行い、その結果についてCISOに報告しなければならない。
附 則
この訓令は、平成29年4月1日から施行する。
附 則(令和2年4月1日訓令第20号)
|
|
この訓令は、令和2年4月1日から施行する。
附 則(令和4年3月28日訓令第4号)
|
|
この訓令は、令和4年4月1日から施行する。
附 則(令和4年11月10日訓令第21号)
|
|
この訓令は、令和4年11月10日から施行する。
附 則(令和6年4月1日訓令第15号)
|
|
この訓令は、令和6年4月1日から施行する。
附 則(令和7年3月31日訓令第8号)
|
|
この訓令は、令和7年4月1日から施行する。
別表(第10条関係)
| 企画財政部企画課長 |
| 企画財政部DX推進室情報システム担当課長 |
| 総務部職員課長 |
| 総務部市民税課長 |
| 市民環境部戸籍住民課長 |
| 保健福祉部総務課長 |
| 保健福祉部国保医療課長 |
| 子ども未来部子ども支援課長 |
| 農林水産部農政課長 |
| 商工観光部観光振興室観光振興担当課長 |
| 都市建設部総務課長 |
| 会計課長 |
| 端野総合支所総務課長 |
| 常呂総合支所総務課長 |
| 留辺蘂総合支所総務課長 |
| 学校教育部総務課長 |
| 社会教育部生涯学習課長 |
| 議会事務局議事課長 |
| 選挙管理委員会選挙課長 |
| 監査事務局監査課長 |
| 第一農業委員会事務局農地課長 |
| 上下水道局総務課長 |