○睦沢町住民基本台帳ネットワークシステムセキュリティ対策規程
平成14年8月2日
訓令第19号
目次
第1章 総則(第1条―第3条)
第2章 組織・管理体制(第4条―第7条)
第3章 町システムの運用管理(第8条―第23条)
第4章 補則(第24条)
附則
第1章 総則
(趣旨)
第1条 この規程は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)その他の関係法令に基づき、睦沢町における本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)の安全確保等に係るセキュリティ対策について必要な事項を定めるものとする。
(1) 住民基本台帳ネットワークシステム 電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号。以下「技術的基準」という。)第1の1に規定する住民基本台帳ネットワークシステムをいう。
(2) 町システム 住民基本台帳ネットワークシステムのうち、睦沢町(以下「町」という。)が整備し、運用管理を行うもので、コミュニケーションサーバ(以下「CSサーバ」という。)、端末機、電気通信関係装置(千葉県が町に設置した装置を含む。)、電気通信回線、プログラム等により構成されるシステムをいう。
(3) CSサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号。以下「令」という。)第13条第3項の規定による通知をいう。以下同じ。)を行うための町の使用に係る電子計算機をいう。
(4) 端末機 CSサーバに記録され、又は保存された本人確認情報を利用する事務を行うためのシステムを備えた電子計算機をいう。
(5) 電算室 CSサーバを設置し、本人確認情報の記録された磁気ディスクを保管する室をいう。
(6) 情報資産 町システムを構成する機器、CSサーバ及び磁気ディスクに記録し、又は保存された本人確認情報並びに本人確認情報が出力された帳票をいう。
(7) ICカード 発行処理を行う前のカードで、かつ、動作確認済みのものをいう。
(8) 住民基本台帳カード(以下「住基カード」という。) ICカードに発行処理を行ったカードをいう。
(9) 照合情報 静脈等の情報に不可逆演算を施して登録された個人を識別することができる情報をいう。
(10) 照合ID 操作者を識別するために使用される符号をいう。
(11) 操作者ID 操作権限ごとに操作者に対して割り当てた符号をいう。
(セキュリティの基本原則)
第3条 本人確認情報の安全確保等に係るセキュリティ対策(以下「セキュリティ対策」という。)は、本人確認情報を保護することを最優先事項として、本人確認情報の漏えいを防止するとともに、その滅失及びき損を防止し、本人確認情報を常に最新かつ正確な状態に保ち、並びに住民基本台帳ネットワークシステムの継続的な運用を行えるよう必要な措置を講じることにより、実施するものとする。
2 セキュリティ対策は、前項に定めるところにより、制度面、技術面及び運用面から必要な措置を講じ、継続的に実施しなければならない。
第2章 組織・管理体制
(セキュリティ統括責任者)
第4条 町システムにおけるセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長の職にある者をもって充てる。
3 セキュリティ統括責任者は、町におけるセキュリティ対策に関する事務を統括する。
(町システム管理者)
第5条 町システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、税務住民課長の職にある者をもって充てる。
3 システム管理者は、セキュリティ統括責任者を補助し、町システムにおけるアクセス管理及び情報資産の管理その他町システムの運用管理に関する事務を総括する。
4 システム管理者は、次条の規定により、システム担当者を置き、町システムの運用管理に関する事務を行わせるものとする。
(システム担当者)
第6条 システム担当者は、CSサーバ又は端末機を操作し、町システムの運用管理を行う。
2 システム担当者は、税務住民課の職員の中からシステム管理者があらかじめ指定するものとする。
(セキュリティ対策会議)
第7条 町システムにおけるセキュリティ対策を適正かつ円滑に実施するため、別に定めるところにより、セキュリティ対策会議を設置する。
第3章 町システムの運用管理
(電算室における入退室管理)
第8条 電算室における関係者の入退室の管理は、電算室入退室管理規程(平成14年睦沢町訓令第18号)による。
(本人確認情報の利用業務に係る端末機の管理)
第9条 その業務の実施のため本人確認情報を利用する所属において設置された端末機は、当該端末機が設置された所属の長(以下「所属長」という。)が管理するものとする。
2 所属長は、端末機の画面が操作者以外の者から容易に見えないように、端末機の設置場所に配慮しなければならない。
3 所属長は、端末機が室外に持ち出されることがないよう必要な措置を講じなければならない。
(操作者の指定)
第10条 本人確認情報の利用業務を行う所属においては、所属長は、端末機を操作し、本人確認情報を取り扱う者(以下「操作者」という。)をあらかじめ指定しなければならない。
2 前項の規定により操作者の指定をする場合は、その人数は、必要最小限の数としなければならない。
3 所属長は、第1項の規定により操作者を指定したときは、システム管理者に通知するものとする。
4 所属長は、第1項の規定により操作者に指定した者にその業務を行わせる必要がなくなったときは、その指定を解除し、直ちにシステム管理者に通知しなければならない。
(アクセス管理及びオペレーティングシステムの管理)
第11条 次の各号に掲げる町システムの構成機器について、アクセス管理及びオペレーティングシステムの管理を行うものとする。
(1) CSサーバ
(2) 端末機
3 システム管理者は、システム担当者及び前条第1項の規定により操作者に指定された者にCSサーバ又は端末機を操作する権限を付与するものとする。この場合において、付与する権限の範囲は、当該者がその業務を行うために必要な範囲に限るものとする。
(照合ID、照合情報及び操作者ID)
第12条 システム管理者は、照合ID、照合情報及び操作者IDに関し、次の各号に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者を定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者等の責務)
第13条 操作者等は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の保管)
第14条 システム管理者は、第11条第2項の規定により記録した操作履歴について、7年間保管するものとする。
2 所属長は、その所属の業務のため取り扱う情報資産を適切に管理しなければならない。
3 システム管理者は、必要に応じ、町システムに係る情報資産の管理方法を定め、本人確認情報の漏えい、滅失及びき損の防止その他本人確認情報の適切な管理のための措置を講ずるものとする。
(住基カードの管理)
第16条 第2条第1項第8号に規定する住基カードの保管及び廃棄等に関しては、別に定める。
(措置命令)
第17条 セキュリティ統括責任者は、セキュリティ対策の実施状況を常に把握し、システム管理者その他の関係者の行うセキュリティ対策が十分でないと認めるときは、関係者に対し、セキュリティの確保のため必要な措置をとるべきことを命ずるものとする。
(障害等発生時の対応)
第18条 セキュリティ統括責任者は、緊急時対応計画書を作成し、町システムに係るソフトウェア、ハードウェア及び電気通信回線等のネットワークの障害によりシステムが停止し、又は不正アクセス等の不正行為による本人確認情報の漏えい、滅失又はき損のおそれがある場合に、システム管理者その他の関係者がとるべき必要な措置を定めておかなければならない。
2 前項に規定する事態が発生した場合においては、システム管理者その他の関係者は、緊急時対応計画書に基づき必要な措置を講じ、適切に対応しなければならない。
(委託の場合の措置)
第19条 町システムの運用その他の管理を町以外の者に委託する場合は、町システムのセキュリティを確保するため必要な措置を講じるものとする。
(外部委託先の管理体制等の調査)
第20条 町システムを管理し、又は利用する部署の長は、住基ネットに関係する業務を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(外部委託の承認)
第21条 町システムを管理し、又は利用する部署の長が、住基ネットに関係する業務を外部委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、睦沢町セキュリティ対策会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第22条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資科の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製又は複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第23条 町システムを管理し、又に利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第4章 補則
附則
この訓令は、平成14年8月5日から施行する。
附則(平成15年8月21日訓令第2号)
この訓令は、平成15年8月25日から施行する。
附則(平成19年3月30日訓令第7号)
この訓令は、平成19年4月1日から施行する。
附則(平成20年3月22日訓令第18号)
この訓令は、平成20年4月1日から施行する。
附則(平成26年9月5日訓令第10号)
この訓令は、公示の日から施行する。