能代市住民基本台帳ネットワークシステムセキュリティ対策に関する規程
(令2訓令18・題名改正)
目次
第1章 総則(第1条―第3条)
第2章 セキュリティ組織(第4条―第10条)
第3章 入退室管理(第11条―第13条)
第4章 アクセス管理(第14条―第20条)
第5章 情報資産管理(第21条―第28条)
第6章 委託管理(第29条―32条)
第7章 雑則(第33条)
附則
第1章 総則
第1条(趣旨)
この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)その他の法令に定めるもののほか、能代市住民基本台帳ネットワークシステム(以下「住基ネット」という。)の適切な管理運用及び法第30条の6第1項の本人確認情報の保護に関し必要な事項を定めるものとする。
第2条(定義)
この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
| (1) | コミュニケーションサーバ 市長が秋田県知事又は他の市区町村長に本人確認情報等の通知を行うための電子計算機をいう。 |
| (2) | セキュリティ 正確性、機密性及び継続性の維持をいう。 |
| (3) | データ 住基ネットにおいて通知し、記録し、保存し、または提供された情報を言う。 |
| (4) | 情報資産 住基ネットに係る全ての情報並びにソフトウエア、ハードウエア、ネットワーク及び磁気ディスクをいう。 |
| (5) | 照合情報 静脈等の情報に不可逆演算を施して登録された情報をいう。 |
| (6) | 照合情報認証 照合情報と認証時に読み取られる情報とを照合することにより認証する方法をいう。 |
| (7) | 個人番号カード等 個人番号カード及び住民基本台帳カードのことをいう。 |
(令2訓令18・一部改正)
第3条(職員等の義務)
本市が所掌する住基ネットに関する業務に携わる全ての職員(非常勤職員を含む。)及びその業務の委託を受けた者は、住民基本台帳関係諸法令に定める事項及びこの訓令に定める事項を遵守して、当該業務を遂行しなければならない。
(令2訓令18・一部改正)
第2章 セキュリティ組織
第4条(セキュリティ統括責任者)
住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者(以下「統括責任者」という。)を置く。
2 統括責任者は、副市長の職にある者をもって充てる。
3 統括責任者は、セキュリティ対策を統括し、住基ネットの継続的な運用に努めなければならない。
(平19訓令10・一部改正)
第5条(ネットワーク管理者)
住基ネットの適切な管理を行うため、ネットワーク管理者を置く。
2 ネットワーク管理者は、電算主管部長の職にある者をもって充てる。
第6条(情報システム管理者)
住基ネットと既存住民基本台帳システムとの円滑な接続を図るため、情報システム管理者を置く。
2 情報システム管理者は、電算主管課長の職にある者をもって充てる。
第7条(セキュリティ管理者)
住基ネットを利用する部署(以下「住基ネット利用課」という。)においてセキュリティ対策を実施するため、セキュリティ管理者を置く。
2 セキュリティ管理者は、次に掲げる住基ネット利用課の長をもって充てる。
| (1) | 市民福祉部市民保険課 |
| (2) | 二ツ井地域局市民福祉課 |
3 セキュリティ管理者は、計画に従い住基ネットに携わる職員の教育・研修を実施しなければならない。
(平20訓令10・平26訓令3・一部改正)
第8条(セキュリティ会議)
住基ネットのセキュリティ対策に関する事項を審議するため、セキュリティ会議を設置する。
2 セキュリティ会議は、次に掲げる事項を審議する。
| (1) | 住基ネットのセキュリティ対策の決定及び見直し |
| (2) | 前号のセキュリティ対策の遵守状況の確認 |
| (3) | 教育・研修計画の決定 |
| (4) | 前3号に掲げるもののほか、住基ネットのセキュリティ対策に関し必要と認められること。 |
3 セキュリティ会議は、次に掲げる者をもって組織する。
| (1) | 統括責任者 |
| (2) | ネットワーク管理者 |
| (3) | 情報システム管理者 |
| (4) | セキュリティ管理者 |
| (5) | 人事担当課長 |
4 会議は、統括責任者が招集し、その議長となる。
5 ネットワーク管理者は、副議長となり、議長が事故又は欠けたときはその職務を代理する。
6 議長は、必要と認めるときは、会議に関係職員又は住基ネットのセキュリティ対策について知識を有する者の出席を求め、その意見又は説明を聴くことができる。
7 セキュリティ会議の庶務は、市民福祉部市民保険課において処理する。
(平20訓令10・一部改正)
第9条(関係部署に対する指示等)
統括責任者は、セキュリティ会議の結果を踏まえ、関係部課の長に必要な措置を指示し、教育委員会等に対し必要な措置を要請することができる。
第10条(監査の実施)
統括責任者は、必要に応じ住基ネットの管理及び運用の状況について、監査を行うものとする。
2 統括責任者は、前項の監査を他の者に委任して行うことができる。
第3章 入退室管理
第11条(入退室管理を行う室等)
情報システム管理者及びセキュリティ管理者は、次表に掲げる住基ネット運用が行われる室又は場所において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
| 室及び場所 | セキュリティ区分 | 入退室の管理方法 |
| 住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室(以下これらを「サーバ室」という。) | レベル2 | (1) 入室しようとする者は、あらかじめ情報システム管理者の許可を受けなければならない。 (2) 入室の許可を受けた者であって、住基ネットを取り扱う権限のある職員以外のものは、当該権限のある職員の立会いのもと、入室するものとする。この場合において、当該許可を受けた者は身分証明書を提示し、名札を着用しなければならない。 (3) 情報システム管理者は、照合情報認証を用いて入退室の管理を行うとともに、入退室に関する記録を行う。 |
| 統合端末の設置場所 | レベル1 | (1) 住基ネットを取り扱う権限のある職員以外の者が立ち入ろうとするときは、あらかじめセキュリティ管理者の許可を受けなければならない。 (2) 立入りの許可を受けた者は、住基ネットを取り扱う権限のある職員の立会いのもと、立ち入るものとする。この場合において、当該許可を受けた者は名札を着用しなければならない。 |
2 情報システム管理者及びセキュリティ管理者は、住基ネットのセキュリティを確保するため、入退室の管理に関し必要な措置を採らなければならない。
(平26訓令3・令2訓令18・一部改正)
第12条(入退室に係る照合情報認証の機器の管理)
サーバ室への入退に係る照合情報認証の機器の管理は、庁舎管理主管課長が行う。
(平26訓令3・一部改正、令2訓令18・全部改正)
第13条(管理簿の作成)
情報システム管理者及びセキュリティ管理者は、入退室管理簿を作成し、これを保存するものとする。
(平26訓令3・一部改正)
第4章 アクセス管理
第14条(アクセス管理を行う方法等)
アクセス管理は、照合情報認証により住基ネットを操作する者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
2 次に掲げる住基ネットの構成機器について、アクセス管理を行う。
| (1) | コミュニケーションサーバ |
| (2) | 統合端末 |
(平26訓令3・一部改正、令2訓令18・全部改正)
第15条(アクセス管理責任者)
前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、電算主管課長をもって充てる。
3 アクセス管理責任者は、次に掲げる事項を行うものとする。
| (1) | 操作者を識別するためのID(以下「照合ID」という。)及び操作権限を識別するためのID(以下「操作者ID」という。)の管理に関すること。 |
| (2) | アクセス管理に係る照合情報の登録及び削除に関すること。 |
| (3) | 操作者IDの種類ごとの操作者について、セキュリティ管理者との協議及び決定に関すること。 |
| (4) | 操作記録の取得及び保存に関すること。 |
(平26訓令3・令2訓令18・一部改正)
第16条(照合ID等の管理)
アクセス管理責任者は、操作者に対し照合IDを付与する。
2 アクセス管理責任者は、照合IDに対して業務に必要な操作者IDを付与する。
3 アクセス管理責任者は、操作者の退職、人事異動等に際しては、アクセス管理に係る照合情報を削除する。
(平26訓令3・令2訓令18・一部改正)
第17条(操作者の義務)
操作者は、次に定める事項を遵守しなければならない。
| (1) | 操作者は、照合ID及び操作者IDを他者に利用させない。また、目的外の利用等を行わない。 |
| (2) | その他アクセス管理責任者の指示に従わなければならない。 |
(平26訓令3・一部改正)
第18条(職員による不正アクセス)
アクセス管理責任者は、職員による不正アクセスがあった場合は、その事案等を調査し、人事担当課長等へ報告を行うものとする。
(平26訓令3・条繰上げ)
第19条(操作履歴の記録)
アクセス管理責任者は、操作履歴について、7年間これを保存するものとする。
(平26訓令3・条繰上げ)
第20条(操作方法)
住基ネットの構成機器の操作については、別に定める操作計画書に従い運用を行う。
(平26訓令3・条繰上げ及び一部改正)
第5章 情報資産管理
第21条(情報資産管理)
ネットワーク管理者は、住基ネットの情報資産の管理を統括する。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等の管理責任者(以下「本人確認情報管理責任者」という。)は、住基ネット利用課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は電算主管課長をもって充てる。
(平26訓令3・条繰上げ、令2訓令18・一部改正)
第22条(本人確認情報の管理)
本人確認情報管理責任者は、次に定めるところにより本人確認情報を管理しなければならない。
| (1) | 業務上必要のない本人確認情報を、統合端末の表示装置(以下「表示装置」という。)に表示させないこと。 |
| (2) | 長時間にわたり本人確認情報を表示装置に表示した状態を継続させないこと。 |
| (3) | 本人確認情報が表示された表示装置を操作者以外の者(本人確認情報の開示請求者を除く。)から見えないようにさせること。 |
| (4) | 表示装置に表示された画面を必要以上に出力し、又は画像データとして保管させないこと。 |
| (5) | 業務上必要のない本人確認情報の検索を行わせないこと。 |
| (6) | 本人確認情報が記載されている帳票を出力した場合は、当該帳票を適正に管理させること。 |
| (7) | 操作者が行う事務以外の帳票を出力した場合は、当該帳票を適正に管理させること。 |
(平26訓令3・条繰上げ、令2訓令18・一部改正)
第23条(構成機器等の管理)
情報資産管理責任者は、住基ネットを構成する機器について、次に定めるところより適正に管理しなければならない。
| (1) | 利用するハードウエア、ソフトウエア及び磁気ディスクの種類、数量並びに配置等を記録管理すること。 |
| (2) | 構成機器及び関連施設の保守を定期に又は随時に実施すること。 |
| (3) | コンピュータウィルス等の不正プログラムが混入され稼働していないかを監視し、混入していた場合には駆除すること。 |
| (4) | 不正侵入防御機の操作履歴を記録し、解析すること。 |
| (5) | 保守作業の実施や賃貸借契約の期間満了等に伴い機器を交換するときは、専用ソフトによるデータの消去又は機器の破壊等の措置を講じ、当該機器に記録されたセキュリティ情報及び個人情報を読み出すことができないようにすること。 |
(平26訓令3・条繰上げ)
第24条(システム設計書等の管理)
情報資産管理責任者は、システム設計書、操作手引書その他住基ネットに係る仕様書を所定の場所に保管し、適正に管理しなければならない。
(平26訓令3・条繰上げ)
第25条(データの管理)
情報資産管理責任者は、住基ネットのデータについて、定期的にバックアップを行うとともに、火災その他の災害及び盗難を防止するよう努めなければならない。
(平26訓令3・条繰上げ)
第26条(帳票の管理)
情報資産管理責任者は、住基ネットに係る帳票について、次に掲げるところにより管理しなければならない。
| (1) | 帳票の保管に際しては、所定の保管用具に保管し、紛失及び盗難を防止するための措置を講じること。 |
| (2) | 帳票の廃棄に関しては、焼却その他の復元できない方法によること。 |
(平26訓令3・条繰上げ)
第27条(個人番号カード等の管理)
本人確認情報管理責任者は、交付前の個人番号カードについて、次に掲げるところにより管理しなければならない。
| (1) | 所定の保管用具に保管し、紛失及び盗難を防止するための措置を講じること。 |
| (2) | 受払簿を作成すること。 |
2 本人確認情報管理責任者は、廃棄が必要となった個人番号カード等について、次に掲げるところにより管理しなければならない。
| (1) | 速やかに廃棄すること。 |
| (2) | 廃棄するまでの間、紛失及び盗難を防止するための措置を講じること。 |
| (3) | 廃棄に際しては、裁断等により物理的に破壊すること。 |
| (4) | 廃棄についての記録簿を作成すること。 |
(平26訓令3・条繰上げ、令2訓令18・一部改正)
第28条(緊急時対策)
住基ネットにおける障害、不正行為等による緊急時の対応計画は、別に定めることとする。
(平26訓令3・条繰上げ)
第6章 委託管理
第29条(委託を受けようとする者の管理体制等の調査)
住基ネットを管理し、又は利用する課の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(平26訓令3・条繰上げ)
第30条(外部委託の承認)
住基ネットを管理し、又は利用する課の長は、外部委託をしようとするときは、あらかじめ、セキュリティ会議の審議を経て、統括責任者の承認を得なければならない。
(平26訓令3・条繰上げ)
第31条(委託契約書への記載事項)
外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
| (1) | 再委託の禁止又は制限に関する事項 |
| (2) | 情報が記録された資料の保管、返還又は廃棄に関する事項 |
| (3) | 情報が記録された資料の目的外使用、複製及び複写並びに第三者への提供の禁止に関する事項 |
| (4) | 情報の秘密保持に関する事項 |
| (5) | 事故等の報告に関する事項 |
| (6) | 次条の規定による調査に関する事項 |
(平26訓令3・条繰上げ)
第32条(受託者の管理状況の調査)
住基ネットを管理し、又は利用する課の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(平26訓令3・条繰上げ)
第7章 雑則
第33条(その他)
この訓令に定めるもののほか、住基ネットのセキュリティに関し必要な事項は、別に定める。
(平26訓令3・条繰上げ)
附 則
この訓令は、平成18年3月21日から施行する。
附 則(平成19年3月30日訓令第10号)
(施行期日)
1 この訓令は、平成19年4月1日から施行する。
(経過措置)
2 この訓令の施行の日の前日までに、この訓令による改正前の能代市政策調整会議設置要綱、能代市不当要求行為等の防止に関する要綱、能代市行政事務改善委員会規程、能代市住民基本台帳ネットワークシステムセキュリティ対策要綱、能代市情報セキュリティ対策要綱、能代市地域総合整備資金調整会議設置要綱、能代市当直規程、能代市職員研修規程、能代市資金管理会議設置要綱、能代市雇用支援対策委員会設置要綱、能代市道路審査委員会設置要綱、能代市土地利用調整会議設置要綱又は二ツ井町福祉バス運行管理規程(以下「地方自治法改正関係訓令」という。)の規定によりなされた処分、手続その他の行為は、この訓令による改正後の地方自治法改正関係訓令の規定によりなされたものとみなす。
附 則(平成20年3月31日訓令第10号)
この訓令は、平成20年4月1日から施行する。
附 則(平成26年12月1日訓令第3号)
この訓令は、平成26年12月1日から施行する。
附 則(令和2年12月28日訓令第18号)
この訓令は、令和3年1月1日から施行する。