○睦沢町情報セキュリティ対策基準要綱
平成27年12月25日
訓令第7号
目次
第1章 総則(第1条・第2条)
第2章 管理体制(第3条―第10条)
第3章 情報資産の分類及び管理(第11条―第21条)
第4章 物理的セキュリティ(第22条―第31条)
第5章 人的セキュリティ(第32条―第36条)
第6章 技術的セキュリティ(第37条―第65条)
第7章 運用におけるセキュリティ対策(第66条―第69条)
第8章 緊急時におけるセキュリティ対策(第70条―第80条)
第9章 監査及び自己点検(第81条・第82条)
第10章 情報セキュリティポリシーの評価及び見直し(第83条)
第11章 雑則(第84条―第86条)
附則
第1章 総則
(趣旨)
第1条 この要綱は、睦沢町情報セキュリティに関する規程(平成27年睦沢町訓令第6号。以下「訓令」という。)に基づき、睦沢町情報セキュリティ対策の実施に関し必要な事項を定めるものとする。
(適用範囲)
第2条 この要綱を適用する対象者及び情報資産の範囲は、次に定めるところによる。
(1) 対象者の範囲 職員等(任期付職員、非常勤職員及び臨時職員を含む。以下同じ。)及び業務を委託する法人又は個人(以下「外部委託者」という。)
(2) 情報資産の範囲 町が管理する全ての情報資産
第2章 管理体制
(情報セキュリティ委員会)
第3条 町は、情報セキュリティ及び情報資産の適正な運用管理を審議するために、情報セキュリティ委員会(以下「委員会」という。)を置く。
2 委員会は、次に掲げる事項を審議する。
(1) 情報セキュリティポリシーの見直しに関すること。
(2) 情報セキュリティ対策の実施に係る重要な事項に関すること。
(3) 緊急時対応計画に関すること。
(4) 前3号に掲げるもののほか、最高情報セキュリティ責任者が必要と認める事項に関すること。
(委員会の組織等)
第4条 委員会は、次に掲げる者をもって組織する。
(1) 最高情報セキュリティ責任者
(2) 統括情報セキュリティ責任者
(3) セキュリティ管理者
2 委員会に委員長を置き、最高情報セキュリティ責任者をもって充てる。
3 委員長は、会務を総理し、委員会を代表する。
4 委員長に事故があるときは、統括情報セキュリティ責任者がその職務を代理する。
(委員会の会議等)
第5条 委員会の会議(以下「会議」という。)は、委員長が招集する。
2 会議は、委員の3分の2以上の出席がなければ開くことができない。
3 会議の議長は、委員長をもって充てる。
(委員会の庶務)
第6条 委員会の庶務は、総務課行政管財班で処理するものとする。
(最高情報セキュリティ責任者)
第7条 ネットワーク、情報システム及び情報セキュリティに関する総合的な調整及び管理を行うため、最高情報セキュリティ責任者を置く。
2 最高情報セキュリティ責任者は、副町長をもって充てる。
(統括情報セキュリティ責任者)
第8条 最高情報セキュリティ責任者を補佐するものとして、統括情報セキュリティ責任者を置く。
2 統括情報セキュリティ責任者は、総務課長をもって充てる。
3 統括情報セキュリティ責任者は、次に掲げる事項について所掌するものとする。
(1) 町の全てのネットワーク及び情報システムに関する開発、設定の変更、運用及び見直しを行うこと。
(2) 町の全てのネットワーク及び情報システムに関する情報セキュリティ対策を行うこと。
(3) セキュリティ管理者及びセキュリティ担当者に対して、情報セキュリティに関する指導及び助言を行うこと。
(4) 町の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、最高情報セキュリティ責任者の指示に従い、又は最高情報セキュリティ責任者が不在の場合は自らの判断に基づき、必要かつ十分な措置を行うこと。
(5) 町の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順(以下「本実施手順」という。)の維持及び管理を行うこと。
(6) 緊急時等の円滑な情報共有を図るため、連絡体制を含めた緊急連絡網を整備すること。
(7) 緊急時に最高情報セキュリティ管理者に報告を行うとともに、回復のための対策を講ずること。
(セキュリティ管理者)
第9条 課等の所管するネットワーク、情報システム及び情報資産の管理並びに情報セキュリティの確保をするために、セキュリティ管理者を置く。
2 セキュリティ管理者は、課等の長をもって充てる。
3 セキュリティ管理者は、次に掲げる事項について所掌するものとする。
(1) 所管するネットワーク、情報システム及び情報資産に関する情報セキュリティ対策を行うこと。
(2) 所管するネットワーク、情報システム及び情報資産に関する開発、設定の変更、運用及び見直しを行うこと。
(3) 所管する職員等に情報セキュリティポリシーを理解させ、遵守させること。
(4) 所管するネットワーク、情報システム及び情報資産に関する本実施手順の維持及び管理を行うこと。
(5) 所管するネットワーク及び情報システムの構成機器及び記録媒体並びに情報資産を無権限者に使用させないこと。
(6) 所管するネットワーク、情報システム及び情報資産に係る無権限者からの情報閲覧要求を拒否すること。
(7) 所管する情報システムに係るセキュリティ侵害の発見、報告等がある場合は、情報セキュリティ委員会へ報告するとともに緊急時連絡網を整備すること。
4 セキュリティ管理者は、セキュリティ担当者を自らに代わって自身の所属する組織の情報セキュリティ管理の全部又は一部を行う管理者及びこれを補佐する者とすることができる。
(セキュリティ担当者)
第10条 セキュリティ管理者の指示等に従い、ネットワーク、情報システム及び情報資産に関する開発、設定の変更、運用及び見直しの作業を行うため、セキュリティ担当者を置く。
第3章 情報資産の分類及び管理
(情報資産の分類)
第11条 情報資産は、機密性、完全性及び可用性を踏まえ、次に掲げる重要性分類に従って区分する
(1) 重要性分類Ⅰ 次に掲げるもののほか、住民等の生命、財産、プライバシー等に重大な影響を及ぼす情報資産
ア 個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報
イ 法令又は条例(以下「法令等」という。)の定めにより守秘義務を課されている情報(アの個人情報を除く。)
ウ 法令等の規定により開示できない情報
エ 法人又はその他の団体に関する情報で、漏洩することにより町の利益を害するおそれのある情報
オ 漏洩した場合に、行政に対する信頼を著しく失墜させるおそれのある情報
カ 滅失し、又は毀損した場合に、その復元が著しく困難であり、行政の円滑な執行を妨げるおそれのある情報
キ ネットワーク及び情報システムに係るID、パスワードその他の設定情報
(2) 重要性分類Ⅱ 次に掲げるもののほか、情報セキュリティが侵害されることにより、事務の執行等に重大な影響を及ぼす情報資産
ア ネットワーク及び情報システムの構成機器及び構成図
イ 仕様書、設計書及び操作マニュアル
(3) 重要性分類Ⅲ 前2号に掲げるもの以外の情報資産
(情報資産の管理)
第12条 セキュリティ管理者は、所管する情報資産の管理責任を負うものとし、適切に管理しなければならない。
2 セキュリティ管理者は、所管する情報資産が複製され、又は伝送された場合には、複製された情報資産も原本と同様に管理しなければならない。
3 セキュリティ管理者は、情報資産の漏えい、滅失、毀損の防止等の適切な管理を行わなければならない。
(情報資産の分類)
第13条 職員等は、情報資産の重要性分類に関する表示を、第三者が容易に識別できないように留意しつつ、ファイル及び記録媒体等に表示しなければならない。
(情報資産の作成)
第14条 職員等は、業務上必要のない情報資産を作成してはならない。
2 職員等は、情報資産の作成時に当該情報の重要性分類を行わなければならない。
3 職員等は、作成途中の情報資産についても、紛失、流出等を防止しなければならない。
(情報資産の入手)
第15条 職員等は、他の職員等が作成した情報資産を入手した場合は、入手元の情報資産の重要性分類に基づいた取扱いをしなければならない。
2 職員等は、庁外の者が作成した情報資産を入手した場合は、第11条に規定する分類に従い、当該情報資産の重要性分類を行わなければならない。
3 職員等は、入手した情報資産の重要性分類が不明な場合には、セキュリティ管理者に判断を仰がなければならない。
(情報資産の利用)
第16条 職員等は、情報資産を利用する場合は、業務以外の目的に使用してはならない。
(情報資産の管理)
第17条 セキュリティ管理者は、情報資産の重要性分類に従って、情報資産を適切に管理しなければならない。
2 セキュリティ管理者は、情報資産を記録した記録媒体を長期間保管する場合は、書き込み禁止等の措置を講じなければならない。
3 セキュリティ管理者は、重要分類性Ⅱ以上の情報資産が記録された記録媒体を保管する場合は、耐火、耐熱、耐水、耐湿等の措置を講じた施錠可能な場所に保管しなければならない。
(情報資産の送信)
第18条 職員等は、重要性分類Ⅱ以上の情報資産の送信等を行う場合は、セキュリティ管理者の許可を得なければならない。
2 職員等は、重要性分類Ⅱ以上の情報資産を送付する場合は、必要に応じて暗号又はパスワードの設定を行わなければならない。
(情報資産の運搬)
第19条 職員等は、重要性分類Ⅱ以上の情報資産を外部に持ち出す場合は、セキュリティ管理者の許可を得なければならない。
2 職員等は、重要性分類Ⅱ以上の情報資産が記録された記録媒体を外部に持ち出す場合は、守秘義務契約を締結した業者に運搬を行わせるとともに、必要に応じて鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等の情報資産の不正利用を防止するための措置を講じなければならない。
3 職員等は、暗号化された情報資産を複合鍵とは別に管理しなければならない。
(情報資産の提供及び公表)
第20条 職員等は、重要性分類Ⅱ以上の情報資産を外部に提供する場合は、セキュリティ管理者の許可を得なければならない。
2 職員等は、重要性分類Ⅱ以上の情報資産を外部に提供する場合は、職員等に当該情報資産を必要に応じて暗号化し、又はパスワードの設定を行わなければならない。
3 職員等は、住民等に公表する情報資産について、完全性を確保しなければならない。
(記録媒体の廃棄)
第21条 職員等は、情報資産の廃棄をする場合は、セキュリティ管理者の許可を得なければならない。
2 職員等は、重要性分類Ⅱ以上の情報資産を記録した記録媒体が不要となった場合は、当該情報資産を復元できないよう消去し、及び破壊した上で廃棄しなければならない。
3 職員等は、重要性分類Ⅱ以上の情報資産を記録した記録媒体を廃棄する場合は、廃棄日、作業担当者、処理内容等を記録する等の適切な処理を行わなければならない。
第4章 物理的セキュリティ
(サーバ等の取付け)
第22条 セキュリティ管理者は、サーバ等の機器の取付けを行う場合は、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置しなければならない。
2 セキュリティ管理者は、サーバ等の機器の破棄等により行政事務に重大な影響を及ぼすおそれのある情報資産については、常に最新データのバックアップを行わなければならない。
(機器の電源)
第23条 セキュリティ管理者は、落雷、停電、電圧異常等によるデータ等の破壊を防止するとともに、ネットワーク及び情報システムの安全な運用を確保するため、当該ネットワーク及び情報システムが適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。
(配線の管理)
第24条 統括情報セキュリティ責任者及びセキュリティ管理者は、ネットワーク間及び情報システムにおける通信の傍受又は配線の損傷等を受けることがないよう、必要な措置を講じなければならない。
2 統括情報セキュリティ責任者及びセキュリティ管理者は、ネットワーク間及び情報システムにおける配線について損傷等を防止するために必要な措置を講じなければならない。
3 統括情報セキュリティ責任者及びセキュリティ管理者は、ハブのポート等ネットワーク接続口を他人が容易に接続できない場所に設置しなければならない。
4 統括情報セキュリティ責任者、セキュリティ管理者、セキュリティ担当者及び契約により操作を認められた外部委託者以外の者が配線を変更し、又は追加できないように必要な措置をとらなければならない。
(機器の定期保守及び修理)
第25条 セキュリティ管理者は、情報システムの定期保守を実施しなければならない。
2 セキュリティ管理者は、情報システムを外部の事業者に修理させる場合は、内容を消去した状況で行わせなければならない。また、内容を消去できない場合は、修理を委託する事業者との間で守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。
(外部への機器の設置)
第26条 統括情報セキュリティ責任者及びセキュリティ管理者は、外部に情報システム等の機器を設置する場合は、最高情報セキュリティ責任者の承認を得なければならない。
2 統括情報セキュリティ責任者及びセキュリティ管理者は、定期的に前項の機器の情報セキュリティポリシーの遵守状況を確認しなければならない。
(機器の廃棄等)
第27条 セキュリティ管理者は、情報システム等の機器の廃棄及びリース返却等を行う場合は、情報システム等の機器内部の記録媒体から全ての情報を消去の上、復元不可能な状況にする等の措置を講じなければならない。
(電算室入退室管理)
第28条 職員等は、電算室入退室管理規程(平成14年睦沢町訓令第18号)を遵守しなければならない。
(電算室への機器等の搬入又は搬出)
第29条 セキュリティ管理者は、電算室に機器等を搬入し、又は搬出する場合は、職員等又は外部委託者に当該機器等の既存ネットワーク及び情報システムに対する安全性の確認作業を行わせなければならない。
2 セキュリティ管理者は、電算室に機器等を搬入し、又は搬出する場合は、職員等が立ち会う等の措置を講じなければならない。
(ネットワークの管理)
第30条 統括情報セキュリティ管理者は、庁内ネットワークを適切に管理しなければならない。また、庁内ネットワークの設計書及び仕様書を適切に保管しなければならない。
2 統括情報セキュリティ管理者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
3 統括情報セキュリティ管理者は、行政系のネットワークをできる限り総合行政ネットワーク(LGWAN)に集約するように努めなければならない。
4 統括情報セキュリティ管理者は、重要性分類Ⅱ以上の情報資産を取り扱う情報システムをネットワークに接続する場合は、継続的な運用を可能とする回線を選択しなければならない。
5 統括情報セキュリティ管理者は、ネットワークに使用する回線には、伝送途上に情報資産の破壊、盗聴、改ざん、消去等が生じないようにセキュリティ対策を講じなければならない。
(職員等のパソコン等の管理)
第31条 セキュリティ管理者は、職員等が執務室等にいない場合は、施錠等による盗難防止のための措置を講じなければならない。
2 セキュリティ管理者は、職員等が情報システムにログインする場合は、パスワードの入力を必要とするように設定を行わなければならない。
3 セキュリティ管理者は、職員等のパソコンにログインする場合は、ID及びパスワードの入力を必要とするように設定を行わなければならない。
第5章 人的セキュリティ
(職員等の責務)
第32条 職員等は、情報セキュリティポリシー及び本実施手順に定められている事項を遵守しなければならない。
2 職員等は、情報セキュリティポリシー及び本実施手順について不明な点及び遵守することが困難な点等がある場合は、速やかにセキュリティ管理者に相談し、指示を仰がなければならない。
3 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報資産へのアクセス、電子メールの使用及びインターネットへのアクセスを行ってはならない。
4 職員等は、パソコン端末、記録媒体、情報資産、ソフトウェア等を外部に持ち出す場合には、セキュリティ管理者の許可を得なければならない。
5 職員等は、外部で情報処理業務を行う場合は、セキュリティ管理者の許可を得なければならない。
6 職員等は、異動等により業務を離れる場合は、当該業務により知り得た情報を他に漏らしてはならない。
7 職員等は、私物のパソコン又は記録媒体を持ち込んではならない。ただし、業務上必要な場合は、セキュリティ管理者の許可を得て、これらを持ち込むことができる。
8 セキュリティ管理者は、パソコン端末等の持ち出し及び持ち込みについて記録を作成し、保管しなければならない。
(職員等の教育及び訓練)
第33条 最高情報セキュリティ責任者は、職員等の情報セキュリティポリシーの普及及び啓発に努めなければならない。
2 セキュリティ管理者は、十分な知識と技術を維持するため、情報通信技術及び情報セキュリティに関する研修を定期的に受講しなければならない。また、職員等を対象とした研修を定期的に開催し、その記録を保管しなければならない。
3 前項の場合において、セキュリティ管理者は、自らに代わって教育及び啓発を行う職員を指定できるものとする。
4 セキュリティ管理者は、職員等に所管する情報システムの運用に支障を来さない範囲において緊急時対応を想定した訓練等を行わせなければならない。
5 職員等は、情報セキュリティポリシーに関する研修を受講し、情報セキュリティポリシー及び本実施手順を理解し、情報セキュリティ上の問題が発生しないように努めなければならない。
6 情報システムの開発、保守及び運用管理に携わる職員は、担当者として必要な知識と技術を習得し、及び維持するための研修を定期的に受講しなければならない。
7 セキュリティ管理者は、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
(外部委託に関する管理)
第34条 セキュリティ管理者は、ネットワーク及び情報システムの開発、保守、運用管理等を外部事業者に委託する場合は、次に掲げる事項を明記した契約を締結しなければならない。
(1) 守秘義務に関する事項
(2) 再委託の禁止又は制限に関する事項
(3) 提供された情報の目的外利用の禁止及び受託者以外への提供の禁止に関する事項
(4) 提供された情報の複写及び複製の禁止に関する事項
(5) 提供された情報の返却及び廃棄に関する事項
(6) 事故等による報告義務に関する事項
(7) 町による検査の実施に関する事項
(8) 契約違反による契約の解除及び損害賠償に関する事項
(パスワード及びIDの管理)
第35条 職員等は、自己の保有するパスワードを他人に漏らしてはならない。
2 職員等は、自己が利用しているIDを他人に利用させてならない。
3 職員等は、パスワード又はIDが流失したおそれがある場合には、直ちにセキュリティ管理者に報告し、指示を受けなければならない。
4 前項の報告があった場合において、セキュリティ管理者は、直ちに当該パスワード又はIDを使用したアクセス等を停止しなければならない。
(接続時間の制限)
第36条 職員等は、情報システム等へアクセスする場合は、必要最小限の接続時間で行わなければならない。
第6章 技術的セキュリティ
(ネットワーク及び情報システム管理記録の作成及び管理)
第37条 セキュリティ管理者は、所管するネットワーク及び情報システムの開発、設定変更、運用、更新等の作業内容を記録し、適切に管理しなければならない。
(ネットワーク及び情報システム仕様書の管理)
第38条 セキュリティ管理者は、所管するネットワーク及び情報システムの仕様書を最新の状態に維持しなければならない。また、仕様書等の変更があった場合は、その記録を作成しなければならない。
2 セキュリティ管理者は、所管するネットワーク及び情報システムの仕様書を第三者に閲覧させてはならない。
(アクセス記録の取得)
第39条 セキュリティ管理者は、アクセス記録及びセキュリティ関連障害に関する記録を取得し、一定の期間保存しなければならない。
2 セキュリティ管理者は、アクセス記録が盗取し、改ざんし、又は消去されないように必要な措置を講じなければならない。
3 セキュリティ管理者は、可能な範囲でアクセス記録を分析しなければならない。
4 セキュリティ管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
(障害記録の作成)
第40条 セキュリティ管理者は、可能な範囲で障害記録を作成し、一定の期間保存しなければならない。
(バックアップの取得)
第41条 セキュリティ管理者は、ファイルサーバ等に記録された情報資産について必要に応じて定期的にバックアップを取らなければならない。
(ソフトウェアの交換)
第42条 職員等の間で、情報システムに関するソフトウェア等を交換する場合は、統括情報セキュリティ責任者及び所管セキュリティ管理者の許可を得るとともに、著作権及び著作隣接権に配慮しなければならない。
(ソフトウェアのインストール)
第43条 職員等が新たにソフトウェアをインストールする場合は、所管セキュリティ管理者の許可を得なければならない。
2 職員等は、業務上不必要なソフトウェア、出所不明なソフトウェア等の安全性が確認されていないソフトウェアをインストールしてはならない。
3 職員等は、インストールされているソフトウェアを適切に運用管理しなければならない。
(電子メールの送受信等)
第44条 職員等は、職場の電子メールを業務上不必要な者へ転送してはならない。
2 職員等は、チェーンメール等の不審な電子メールを他者に転送してはならない。
3 職員等は、重要性分類Ⅰの情報資産に該当する電子メールを送信する必要がある場合は、事前に所管セキュリティ管理者を介して最高情報セキュリティ責任者の承認を受けるとともに、暗号化通信等の盗聴対策を講じなければならない。
4 職員等は、重要性分類Ⅱの情報資産に該当する電子メールを送信する必要がある場合は、事前に所管セキュリティ管理者の承認を受けなければならない。
5 職員等は、外部からソフトウェアを取り入れる場合は、事前に所管セキュリティ管理者の承認を受けなければならない。
6 職員等は、差出人不明又は不自然な内容の電子メールを受信した場合は、直ちに受信端末からLANケーブルを外し、所管セキュリティ管理者に状況を報告し、指示を仰がなければならない。
(暗号化)
第45条 職員等は、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高情報セキュリティ責任者が定める方法を用いて暗号化又はパスワード設定等を行わなければならない。
2 職員等は、暗号化及び復元化のための鍵を、最高情報セキュリティ責任者が定めた方法を用いて厳重に管理しなければならない。
(職員以外の者が利用できる情報システム)
第46条 セキュリティ管理者は、職員等以外の者が利用できる情報システムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じ、特に強固な情報セキュリティ対策を講じなければならない。
(情報システムの入出力データ)
第47条 セキュリティ管理者は、情報システムに入力されたデータを確認し、それが正確であることを確実にするための対策を講じなければならない。
2 セキュリティ管理者は、情報システムから出力されるデータの処理が正しく行われていることを確認しなければならない。
(業務目的以外の使用の禁止)
第48条 職員等は、業務目的以外でのネットワーク及び情報システムへのアクセス及び電子メールの送受信を行ってはならない。
(情報システムへのアクセス制御)
第49条 セキュリティ管理者は、情報システムの利用者の登録、変更、抹消等については、本実施手順に従わなければならない。
2 職員等は、情報システムの利用者の登録、変更、抹消等を行う場合は、所管セキュリティ管理者に報告しなければならない。
(ネットワークへのアクセス制御)
第50条 統括情報セキュリティ責任者は、不必要なネットワークにアクセスできないように、セキュリティ管理者に必要な措置を講じさせなければならない。
(外部ネットワークからのアクセス制御)
第51条 セキュリティ管理者は、外部ネットワークからのアクセス許可を必要最低限にしなければならない。
(外部ネットワークとの接続)
第52条 セキュリティ管理者は、外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、システム構成、情報セキュリティレベル等を詳細に検討し、本町の情報資産に影響が生じないことを確認した上で、統括情報セキュリティ責任者の許可に基づき接続しなければならない。
2 セキュリティ管理者は、外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることのないよう、セキュリティ対策に努めなければならない。
3 セキュリティ管理者は、接続した外部ネットワークに情報セキュリティ上の問題が認められた場合は、当該外部ネットワークを内部ネットワークから速やかに遮断しなければならない。
4 セキュリティ管理者は、内部ネットワークに情報セキュリティ上の問題が認められた場合は、当該内部ネットワークを外部ネットワークから速やかに遮断しなければならない。
(パスワード等の管理)
第53条 セキュリティ管理者は、情報システムのID、パスワード等を厳重に管理しなければならない。
2 統括情報セキュリティ責任者は、ネットワーク及びネットワーク上で利用する各種サービスのID、パスワード等を適切に管理させなければならない。
(特権を付与されたID等の管理等)
第54条 統括情報セキュリティ責任者及びセキュリティ管理者は、管理者特権等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 統括情報セキュリティ責任者及びセキュリティ管理者の特権を代行する者(以下「代行者」という。)は、統括情報セキュリティ責任者及びセキュリティ管理者が指名し、最高情報セキュリティ責任者が認めたものでなければならない。
3 最高情報セキュリティ責任者は、代行者を認めた場合は、速やかに統括情報セキュリティ責任者及びセキュリティ管理者に通知しなければならない。
4 統括情報セキュリティ責任者及びセキュリティ管理者は、特権を付与されたID及びパスワードの変更について、外部事業者に行わせてはならない。
5 統括情報セキュリティ責任者及びセキュリティ管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。
(特権による接続時間の制限)
第55条 セキュリティ管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限にしなければならない。
(無線LANの盗聴対策)
第56条 統括情報セキュリティ責任者は、無線LANの利用を認める場合は、解読が困難な暗号化及び認証技術を使用しなければならない。
2 統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐために、暗号化等の措置を講じなければならない。
(情報システムの開発、導入及び保守)
第57条 セキュリティ管理者は、所管する情報システムのソフトウェアを開発及び導入する場合は、情報セキュリティ上問題にならないか十分確認を行わなければならない。
2 セキュリティ管理者は、所管する情報システムのソフトウェアを開発し、及び導入する場合は、当該ソフトウェアの仕様書、ネットワーク構成図等を整備しなければならない。
3 セキュリティ管理者は、開発したソフトウェアを情報システムに取り入れる場合は、既存の稼働している情報システムに接続する前に十分な試験を実施しなければならない。
(情報システムの変更管理)
第58条 セキュリティ管理者は、重要な情報システムを追加し、変更し、又は廃棄した場合は、その際の設定、構成等の履歴情報を記録し、及び保存し、必要な場合には、復旧できるようにしなければならない。
(ソフトウェアの保守及び更新)
第59条 セキュリティ管理者は、情報セキュリティに重大な影響を及ぼすソフトウェアに対して適切な保守が行われるようにし、その不具合について速やかに修正等の対応を行わなければならない。
2 最高情報セキュリティ責任者は、情報システムのソフトウェア更新を計画的に実施させなければならない。
(機器の修理及び廃棄)
第60条 セキュリティ管理者は、記憶装置を含む機器を外部委託者に修理させる場合又は賃借期限終了等により廃棄する場合は、可能な範囲でバックアップを取り、記録媒体内の全ての情報資産を復元不可能なまでに消去しなければならない。
2 セキュリティ管理者は、故障を外部委託者に修理させる際、情報資産を消去することが困難な場合は、当該委託者と別途守秘義務契約を締結しなければならない。
(機器構成の変更)
第61条 職員等は、情報システムの機器等について改造又は機器の増設若しくは交換を行ってはならない。
2 職員等は、情報システム機器について業務遂行上、機器の増設又は交換を行う必要がある場合は、事前に所管セキュリティ管理者の許可を得なければならない。
3 職員等は、モデム等の通信機器を増設して他のネットワークへ接続を行う場合又は他のネットワークからのアクセスを可能とする仕組みを構成する場合は、事前に所管セキュリティ管理者の許可を得なければならない。
4 セキュリティ管理者は、許可に当って情報システム及び外の情報システムにセキュリティ上の問題を生じさせてはならない。
(セキュリティ管理者のコンピュータウイルス対策)
第62条 セキュリティ管理者は、コンピュータウイルス対策を次により行わなければならない。
(1) 所管する情報システムのサーバ及び必要な機器にウイルス対策ソフトを導入すること。
(2) ウイルスチェック用のパターンファイルを常に最新のものに保つこと。
(3) 新種のウイルスに関する情報や所管情報システム内部の感染状況について随時情報収集を行うこと。
(4) ウイルスに感染した場合、その感染状況を委員会に報告すること。
(5) コンピュータウイルス情報について、職員等に対し注意喚起を行うこと。
(6) コンピュータウイルスに関して、職員等に対し必要な教育及び啓発活動を行うこと。
(職員等のコンピュータウイルス対策)
第63条 職員等は、コンピュータウイルス対策を次により行わなければならない。
(1) ウイルスに感染した事実が判明した場合、直ちに使用中の端末からLANケーブルを外し、セキュリティ管理者に状況を報告して指示を仰ぐこと。
(2) データ又はソフトウェアを外部から持ち込む場合又は外部へ持ち出す場合は、必ずウイルスチェックを行うこと。
(3) ウイルスチェック用のパターンファイルを常に最新のものに保つこと。
(4) ウイルス対策ソフトのメモリ常駐を停止させないこと。
(5) ウイルスチェックの実行を途中で止めないこと。
(6) メールを送受信する場合、ウイルスチェックを行うこと。
(7) セキュリティ管理者が提供するコンピュータウイルス情報を常に確認すること。
(不正アクセス対策)
第64条 セキュリティ管理者は、セキュリティホール等の情報収集に努め、メーカー、ベンダー等から修正プログラムの提供があり次第、速やかに対応するとともに、その修正履歴を記録し、及び保存しなければならない。
2 セキュリティ管理者は、所管する情報システムへの不正な侵入やアクセスがあった場合は、その事実を検知できる不正侵入検知システムを導入する等、適切な措置を講じなければならない。
3 セキュリティ管理者は、所管する情報システムが攻撃を受けていることが明らかになった場合は、システムの停止を含め必要な措置を講じなければならない。
4 セキュリティ管理者は、職員等により町ネットワーク及び外部ネットワークに対して不正なアクセスがあった場合は、当該職員等が所属する部署のセキュリティ管理者に通知し、適切な処置を求めなければならない。
5 職員等は、外部ネットワークより不正なアクセスがあった場合は、所管セキュリティ管理者にその状況を報告し、適切な措置を講じなければならない。
6 セキュリティ管理者は、所管する情報システムへの不正な侵入やアクセスがあった場合は、その詳細を委員会に報告しなければならない。
7 最高情報セキュリティ責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合は、システムの停止を含む必要な措置を講じなければならない。
8 最高情報セキュリティ責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号。以下「不正アクセス禁止法」という。)違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
9 統括情報セキュリティ責任者及びセキュリティ管理者は、外部からアクセスできる情報システムに対して第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
10 統括情報セキュリティ責任者及びセキュリティ管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育、自動再生無効化等の人的対策及び入口対策を講じなければならない。
(セキュリティ情報の収集)
第65条 統括情報セキュリティ責任者及びセキュリティ管理者は、セキュリティホールに関する情報を収集し、必要に応じて当該情報を関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
2 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
3 統括情報セキュリティ責任者は、国、関係団体、民間事業者等から適宜セキュリティ関連情報を収集するとともに、情報セキュリティ侵害時には、関係団体に対し、その事実を報告しなければならない。
第7章 運用におけるセキュリティ対策
(ネットワーク及び情報システムの監視)
第66条 セキュリティ管理者は、所管するネットワーク及び情報システムの運用に当たって、常時所管する情報システムを監視しなければならない。
2 セキュリティ管理者は、外部と常時接続するシステムを監視しなければならない。
(情報セキュリティポリシーの遵守状況の確認)
第67条 セキュリティ管理者は、情報セキュリティポリシー及び本実施手順の遵守状況について確認を行い、問題を認めた場合には、速やかに最高情報セキュリティ責任者及び統括情報セキュリティ責任者に報告しなければならない。
2 最高情報セキュリティ責任者は、発生した問題について適切かつ速やかに処理しなければならない。
3 統括情報セキュリティ責任者及びセキュリティ管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシー及び本実施手順の遵守状況について、定期的に確認を行い、問題が発生していた場合には、適切かつ速やかに対処しなければならない。
(電磁的記録媒体の利用状況調査)
第68条 最高情報セキュリティ責任者及び最高情報セキュリティ責任者が指名した者は、不正アクセス、不正プログラム等の調査のため、職員等が使用している電磁的記録媒体等のログ等の利用状況を調査することができる。
(職員等の報告義務)
第69条 職員等は、情報セキュリティポリシー及び本実施手順に対する違反行為を発見した場合は、直ちに統括情報セキュリティ責任者及びセキュリティ管理者に報告を行わなければならない。
2 統括情報セキュリティ責任者は、違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性がある場合は、緊急時対応計画に従って適切に処理しなければならない。
第8章 緊急時におけるセキュリティ対策
(セキュリティ侵害特別対策本部)
第70条 最高情報セキュリティ責任者は、情報セキュリティ侵害が発生した場合は、セキュリティ侵害特別対策本部(以下「対策本部」という。)を組織し、迅速にその対応及び処理に当たらなければならない。
2 対策本部のメンバーは、情報セキュリティ委員を兼務することができる。
3 情報セキュリティ侵害時における町の全情報システムの統制権は、全て対策本部に帰属し、その判断及び対応処理は、町の全組織に対して優先されなければならない。
(対策本部の組織等)
第71条 対策本部は、次に掲げる者をもって組織する。
(1) 最高情報セキュリティ責任者
(2) 統括情報セキュリティ責任者
(3) セキュリティ管理者
(4) 最高情報セキュリティ責任者が任命した情報セキュリティ技術に秀でた職員等
2 対策本部に総責任者を置き、最高情報セキュリティ責任者をもって充てる。
3 総責任者は、対策本部を代表する。
4 総責任者に事故があるときは、統括情報セキュリティ責任者がその職務を代理する。
(対策本部の会議等)
第72条 対策本部の会議は、委員長が招集する。
2 対策本部の会議の議長は、総責任者をもって充てる。
(対策本部の庶務)
第73条 対策本部の庶務は、総務課行政管財班で処理するものとする。
(緊急時対応計画の策定)
第74条 対策本部は、次に掲げる事項を盛り込み、情報セキュリティ侵害時における連絡体制、証拠保全、被害拡大の防止並びにネットワーク及び情報システムの復旧等の必要な措置を迅速かつ的確に実施し、再発防止の措置を講じるための一連の業務を緊急時対応計画としてあらかじめ策定しなければならない。
(1) 連絡先、連絡担当者及び連絡手段
(2) 情報セキュリティ侵害事案を把握するために必要な調査方法及び項目
(3) 対処措置の判断基準、責任者、実施者及び実施手順
(4) 再発防止のための措置
(緊急時対応計画の見直し)
第75条 最高情報セキュリティ責任者又は委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
(セキュリティ侵害拡大の防止措置)
第76条 対策本部は、故意の不正アクセス又は不正操作によりネットワーク及び情報システムに障害を及ぼすことが明らかな場合は、ネットワークの遮断及び情報システムの停止を含む必要な措置を講じなければならない。
2 対策本部は、ネットワーク及び情報システムに侵害を受け、その侵害の原因となる行為が不正アクセス禁止法違反等の可能性がある場合には、当該行為の記録保全に努め、警察等に対し記録資料を提出しなければならない。
(セキュリティ侵害の調査)
第77条 対策本部は、セキュリティ侵害が発生した場合は、緊急時対応計画に基づき次に掲げる事項について調査を実施しなければならない。
(1) セキュリティ侵害内容
(2) セキュリティ侵害原因
(3) セキュリティ侵害被害状況
2 対策本部は、前項の規定による調査結果を、最高情報セキュリティ責任者へ速やかに報告しなければならない。
(セキュリティ侵害への対応)
第78条 対策本部は、緊急時対応計画に基づいた対策本部全体の判断及びメンバー個々の専門的判断により、速やかにセキュリティ侵害を復旧し、その対応措置を最高情報セキュリティ責任者へ報告しなければならない。
2 対策本部は、セキュリティ侵害が町外部に重大な影響を及ぼすおそれがある場合には、速やかに最高情報セキュリティ責任者に報告の上、必要な指示を仰がなければならない。
(再発防止の措置)
第79条 対策本部は、必要な再発防止の措置を講じるとともに、その結果を委員会に報告しなければならない。
(対策本部の訓練)
第80条 対策本部は、セキュリティ侵害時における原因究明とその対策、原因者特定、法的措置に備えるための十分な証拠保全及び迅速な被害回復が行えるように、最高情報セキュリティ責任者によって定期的に招集され、訓練されなければならない。
第9章 監査及び自己点検
(監査)
第81条 最高情報セキュリティ責任者は、情報セキュリティ監査統括責任者を指名し、情報セキュリティポリシーの遵守状況を検証するため、必要に応じて監査を行わせなければならない。
2 情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
3 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
4 被監査部門は、監査の実施に協力しなければならない。
5 情報セキュリティ監査統括責任者は、監査を外部事業者に委託する場合は、外部事業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守状況について、必要に応じて監査を行わなければならない。
6 情報セキュリティ監査統括責任者は、監査結果を取りまとめ、委員会に報告しなければならない。
7 最高情報セキュリティ責任者は、監査結果を踏まえ、指摘事項を所管するセキュリティ管理者に対し、当該事項への処理を指示しなければならない。また、指摘事項を所管していないセキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
8 委員会は、監査結果を情報セキュリティポリシー、関係規定等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。
(自己点検)
第82条 統括情報セキュリティ責任者及びセキュリティ管理者は、所管するネットワーク及び情報システムについて、必要に応じて自己点検を実施しなければならない。
2 セキュリティ管理者は、所管する課等における情報セキュリティポリシー及び本実施手順に沿った情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。
3 統括情報セキュリティ責任者及びセキュリティ管理者は、必要に応じて自己点検結果及び自己点検結果に基づく改善策を取りまとめ、委員会に報告しなければならない。
4 職員等は、自己点検の結果に基づき、自己の権限の範囲内で情報セキュリティ対策状況の改善を図らなければならない。
5 委員会は、この点検結果を情報セキュリティポリシー、関係例規等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。
第10章 情報セキュリティポリシーの評価及び見直し
(情報セキュリティポリシーの評価及び見直し)
第83条 セキュリティ管理者は、所管する情報システムのセキュリティが確保されていることを確認するため、情報セキュリティポリシー及び本実施手順に沿った実施状況について、定期的に所管する職員等に対するアンケートや自己点検を行い、委員会にその結果を報告するとともに必要に応じて改善措置を講じなければならない。
2 最高情報セキュリティ責任者は、情報セキュリティポリシー及び本実施手順の評価及び見直しが必要となる事象が発生した場合は、委員会に諮り、必要な見直しを行わなければならない。
3 委員会は、情報セキュリティポリシー及び本実施手順の実施状況、将来の技術及び脅威の状況等を踏まえ、継続的に情報セキュリティポリシー及び本実施手順の評価及び見直しを実施し、少なくとも策定後1年を目途に更新の必要性の有無を検討しなければならない。
第11章 雑則
(法令等の遵守)
第84条 職員等は、使用する情報資産について、次に掲げる事項を遵守しなければならない。
(1) 地方公務員法(昭和25年法律第261号)
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス禁止法
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(例外規定)
第85条 職員等は、緊急事態により、情報セキュリティポリシー及び本実施手順を遵守できない場合は、当該緊急事態により行った例外処理(以下「例外処理」という。)をその理由とともに委員会に報告し、承認を得なければならない。ただし、対策本部の活動は、この限りでない。
2 セキュリティ管理者は、行政事務の遂行に緊急を要する等の場合であって、例外処理を実施することが不可避のときは、事後速やかに最高情報セキュリティ責任者に報告しなければならない。
(雑則)
第86条 この要綱に定めるもののほか、必要な事項は、町長が別に定める。
附則
この要綱は、平成28年1月1日から施行する。
附則(令和3年3月11日訓令第5号)
この訓令は、令和3年4月1日から施行する。
附則(令和5年3月10日訓令第3号)
この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。