○鳥栖市情報セキュリティ規程
平成21年3月31日
訓令第6号
(目的)
第1条 この規程は、本市の情報セキュリティを確保するための組織体制、対策等に係る基本的な事項を定めることにより、保有個人情報等を始めとする情報資産を様々な脅威から守り、行政サービスを安全かつ効率的に提供し、もって市政に対する市民の信頼の増進を図ることを目的とする。
(令4訓令1・一部改正)
(1) データ データ処理に係る入出力帳票及び記録媒体に記録されている情報をいう。
(2) 電子計算機 ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体をいう。
(3) 記録媒体 情報を記録する磁気ディスク及び磁気テープその他これらに類するものをいう。
(4) 情報資産 情報システム及び行政情報をいう。
(5) 行政情報 行政事務の執行に関わる情報のうち、情報システムで取り扱うものをいう。
(6) 保有個人情報 個人情報の保護に関する法律(平成15年法律第57号)第60条第1項に規定する保有個人情報をいう。
(7) 脅威 情報資産に対する侵害、災害等の物理的脅威、改ざん、消去、漏えい等の技術的脅威及び誤操作、不正行為等の人的脅威をいう。
(8) ネットワーク 電子計算機を相互に接続するための通信網及びその構成機器で構成され、情報処理を行う仕組みをいう。
(9) 内部ネットワーク 統括情報管理者が管理するネットワークで市施設の内部又は市施設間においてデータの送受信を行うものをいう。
(10) 外部ネットワーク 内部ネットワーク以外のネットワークをいう。
(11) 情報システム 電子計算機及びネットワークにより業務処理を行う仕組みをいう。
(12) 情報セキュリティ 脅威から情報資産を保護し、その機密性(情報の漏えいが防止されている状態をいう。)、完全性(情報の改ざん、消去等による障害が防止されている状態をいう。)及び可用性(権限を有する者に対し必要なときに情報の利用が可能とされている状態をいう。)を維持することをいう。
(13) 情報セキュリティ対策 情報セキュリティを確保するための人的、物理的及び技術的対策並びに情報システムの運用における対策をいう。
(14) 情報セキュリティ関連規程等 この規程及びこれに基づき定められる情報セキュリティ実施手順等をいう。
(15) パスワード 情報システムを操作する者を識別するための符号をいう。
(16) アクセス 接続されたネットワークを経由して、情報システム内のデータを入力、検索、更新等をする行為をいう。
(17) バックアップ 不慮の事故に備え、記録媒体のデータを他の記録媒体に複写し、保管することをいう。
(18) コンピュータウイルス 第三者のプログラム又はデータベースに対し意図的に何らかの被害を及ぼすように作られたプログラムをいう。
(19) パターンファイル コンピュータウイルス対策用ソフトウェアで、コンピュータウイルスを検索し、駆除するために参照するファイルをいう。
(20) セキュリティホール アクセス制御機能のプログラムのかし等による情報システムにおける安全対策上の不備をいう。
(21) 職員 地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職の職員をいう。
(22) 課長等 鳥栖市事務分掌規則(昭和63年規則第12号)第2条及び第3条第1項に定める課及び室並びに教育委員会事務局の課、議会事務局、選挙管理委員会事務局、監査委員事務局、農業委員会事務局及び上下水道局の課の長をいう。
(令2訓令2・令4訓令1・令4訓令14・一部改正)
(職員の責務)
第3条 職員は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たっては、情報セキュリティ関連規程等を遵守し、かつ、業務目的以外に情報資産を使用してはならない。
2 職員は、その職務上知り得た行政情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。その職を退いた後も、また、同様とする。
(最高情報セキュリティ責任者)
第4条 情報セキュリティ対策を総合的に実施するため、情報セキュリティに関する最終決定権限及び責任を有する最高情報セキュリティ責任者を置き、副市長をもって充てる。
(統括情報管理者)
第5条 情報セキュリティの適正な運用及び管理を監理するため、情報セキュリティに関する統括的な権限及び責任を有する統括情報管理者を置き、政策部長をもって充てる。
2 統括情報管理者の権限及び責任は、次に掲げるとおりとする。
(1) 情報セキュリティ関連規程等の遵守に関し職員に教育、訓練、助言及び指示を行うこと。
(2) 情報セキュリティ責任者が作成する情報セキュリティ実施手順を承認し、その維持及び管理に関し情報セキュリティ責任者に指導及び助言を行うこと。
(3) 情報セキュリティ責任者が実施する情報システムの開発、設定の変更、運用、更新等の承認を行うこと。
(4) 情報資産に障害又は障害のおそれがあるときは、最高情報セキュリティ責任者の指示に従い、必要かつ十分な措置を講ずること。
(5) 第24条に規定する緊急時対応計画を策定し、必要に応じて、その見直しを行うこと。
(平27訓令4・令4訓令1・令5訓令11・一部改正)
(情報セキュリティ責任者)
第6条 所管組織における情報セキュリティの適正な運用及び管理を行うため、情報セキュリティに関する権限及び責任を有する情報セキュリティ責任者を置き、情報資産を所管する課長等をもって充てる。
2 情報セキュリティ責任者の権限及び責任は、次に掲げるとおりとする。
(1) 統括情報管理者の承認を得て、情報セキュリティ実施手順を作成し、その維持及び管理を図るとともに、所管組織において、情報セキュリティ実施手順に定められている事項を職員に実施させ、及び遵守させること。
(2) 統括情報管理者の承認を得て、所管する情報システムの開発、設定の変更、運用、更新等を行うこと。
3 情報セキュリティ責任者は、情報セキュリティに関する事務を補佐させるため、情報セキュリティ担当者を置くものとする。
(1) 重要性分類Ⅰ
ア 保有個人情報等
イ 法令又は条例(以下「法令等」という。)の定めにより守秘義務を課せられているもの(アの保有個人情報等を除く。)
ウ 漏えいすることにより市民の生命に危機が及ぶおそれのあるもの又は市民のプライバシー若しくは財産を侵害するおそれのあるもの
エ 法人その他の団体に関する情報で漏えいすることにより当該団体の利益を侵害するおそれのあるもの
オ 漏えいすることにより行政に対する信頼を著しく害するおそれのあるもの
カ 滅失し、又は毀損することによりその復元が著しく困難となり、行政の円滑な執行を妨げるおそれのあるもの
(2) 重要性分類Ⅱ
ア 脅威にさらされることにより実害を受ける危険性は低いが、行政事務の執行において重要性が高いと評価されるもの
イ 職員のみが取扱い可能であり、一般に公開されないもの
(3) 重要性分類Ⅲ
前2号に掲げるもの以外の行政情報
(令2訓令2・令4訓令1・一部改正)
(行政情報の管理)
第8条 情報セキュリティ責任者は、重要性分類Ⅰの行政情報の複製、送付及び送信について職員に不用意に行わないようにさせ、業務遂行上の必要に応じて、当該複製等の許可をするものとする。
2 情報セキュリティ責任者は、重要性分類Ⅰ又はⅡの行政情報を記録した記録媒体で電子計算機から取り外し可能なものについて職員に外部からの脅威にさらされないよう特に安全な場所に保管させ、保管状況等を記録させるものとする。
3 情報セキュリティ責任者は、行政情報を記録した記録媒体を業務上の理由で外部に持ち出し、又は外部から持ち込むときは、職員に自ら行わせるものとする。
4 情報セキュリティ責任者は、行政情報を記録した記録媒体が不要となったときは、職員に当該記録媒体に記録されている行政情報が復元できないよう消去等をさせた上で、廃棄させるものとする。この場合において、情報セキュリティ責任者は、当該行政情報が重要性分類Ⅰ又はⅡであるときは、職員に廃棄を行った日時、作業担当者及び処理内容を記録させるものとする。
(情報セキュリティの教育等)
第9条 統括情報管理者は、職員に対する情報セキュリティの啓発に努めるとともに、職員を対象とした情報セキュリティに関する研修を行うものとする。
2 情報セキュリティ責任者は、情報セキュリティに関する必要な知識を維持するための研修を受け、緊急時における対応等を想定した訓練を職員に行わせるものとする。
3 職員は、情報セキュリティに関する研修に参加するとともに、情報セキュリティ上の障害が発生しないように努めるものとする。
(職員の遵守事項)
第10条 職員は、情報セキュリティ関連規程等に定める事項が不明であるとき、又はこれを遵守することが困難なことがあるときは、情報セキュリティ責任者に報告し、及び指示を受けなければならない。
2 職員は、情報セキュリティ責任者の許可なく、情報システムの機器、記録媒体等を事務室外に持ち出し、又は行政情報を記録した記録媒体を机上に放置して離席してはならない。
3 職員は、自己の保有するパスワードは秘密にし、かつ、そのメモをとらないこととする。ただし、当該メモが安全に保管されるときは、この限りでない。
(入退室の管理)
第11条 情報セキュリティ責任者は、情報システムの設置並びに当該機器等の運用及び管理を行う室(以下「情報システム設置室」という。)への入退室の管理に関し必要な措置を講ずるものとする。
2 情報システム設置室に入退室ができる者は、情報セキュリティ責任者から事前に許可を得た者のみとする。
(情報システム機器等の管理)
第12条 情報セキュリティ責任者は、情報システム設置室に職員が不在となるときは、可能な限り施錠その他部外者の侵入を防ぐ措置を行うとともに、情報システム機器等に対し可能な限り物理的盗難防止措置を施すものとする。
2 情報セキュリティ責任者は、情報システム機器等の画面に表示された行政情報に対し他人に見られないよう措置を講ずるものとする。
3 情報セキュリティ責任者は、情報システム機器等の搬入又は搬出には、職員の立会いその他必要な措置を講ずるものとする。
4 情報セキュリティ責任者は、停電時に対応するため、主要な情報システム機器等の電源に対し当該機器等が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けるものとする。
5 情報セキュリティ責任者は、ネットワーク回線が傍受、損傷等を受けることがないよう可能な限り必要な措置を講じ、当該主要回線に対し定期的な点検を行うものとする。
(セキュリティ情報の収集等)
第13条 統括情報管理者は、情報セキュリティに関する情報を収集するとともに、これらの情報を速やかに当該情報に関係する情報セキュリティ責任者に通知するものとする。
(情報システムの開発等)
第14条 情報セキュリティ責任者は、新たに情報システムの開発、導入等を行うときは、当該情報システムに要するハードウェア及びソフトウェアの仕様書、ネットワーク構成図等を整備し、及び既に稼動している他の情報システムに接続するときは、事前に十分な試験を行うものとする。
2 情報セキュリティ責任者は、情報システム機器等の追加、変更、廃棄等を行うときは、当該情報システム機器等の設定内容、構成等の履歴を記録し、一定期間保存するものとする。
3 情報セキュリティ責任者は、情報セキュリティに重大な影響を及ぼすソフトウェアの保守の不具合が生じたときは、速やかに当該ソフトウェアの修正等を行うものとする。
4 情報セキュリティ責任者は、情報セキュリティに重大な影響を及ぼすソフトウェアの更新を計画的に実施するものとする。
5 情報セキュリティ責任者は、職員が行う情報システム機器等の改造、増設、交換等について、当該情報システム及び他の情報システムに障害が発生しないことを確認した上で当該改造等の許可をするものとする。
6 情報セキュリティ責任者は、記録媒体が含まれる情報システム機器等について、事業者に依頼する修理若しくは廃棄又は賃貸期限終了等による事業者への返却を行うときは、当該記録媒体に記録された行政情報を消去した上で行うものとする。
(1) 管理記録の作成及び管理 情報システムに係る設定、変更その他の作業内容を記録した管理記録を作成し、及び管理すること。
(2) 仕様書の管理 情報システムの仕様書を業務上必要とする職員が閲覧できる場所に保管し、情報システムの仕様変更等の処理を行ったときは、その記録を作成すること。
(3) アクセス記録等の管理 情報システムの障害、不正操作等に迅速に対処するため、情報資産に対する各種アクセス記録及び情報セキュリティの確保に必要な記録を可能な範囲で取得し、若しくは作成し、これを一定期間保存し、又は、窃取、改ざん又は消去されないよう必要な措置を講ずること。
(4) 障害記録の作成 職員から報告のあった情報システムの障害に対する処理等を障害記録として作成し、常時活用できるよう一定期間保存すること。
(5) バックアップの取得 行政情報をその重要性分類及び必要性に応じて、外部記録媒体へのバックアップを取得し、施錠可能な場所へ保管すること。
(利用者登録等)
第16条 情報セキュリティ責任者は、情報システムの利用者の登録、変更等をするときは、職員の申請に基づき情報システムごとに定められた方法によるものとし、職員が人事異動、退職等の理由により情報システムを利用しなくなったときは、速やかに当該登録を抹消するものとする。
2 情報セキュリティ責任者は、所管組織の職員の情報システムに対するアクセス権限を前項に規定する申請に基づき承認するものとする。ただし、所管組織外の職員からの申請に係る当該許可は、必要最小限の者に限るものとする。
(内部ネットワークへの接続)
第17条 情報セキュリティ責任者は、その管理する情報システムを内部ネットワークに接続するときは、統括情報管理者の許可を得るものとする。
(外部ネットワークへの接続)
第18条 情報セキュリティ責任者は、内部ネットワークを外部ネットワークに接続するときは、接続する外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を検討し、情報資産に影響が及ばないことを確認した上で、統括情報管理者の許可を得て、接続するものとする。この場合において、情報セキュリティ責任者は、当該情報資産の安全性が脅かされないよう情報セキュリティ対策の実施に努めるものとする。
2 情報セキュリティ責任者は、接続した内部ネットワーク又は外部ネットワークの情報セキュリティに障害が認められるときは、速やかに統括情報管理者及び最高情報セキュリティ責任者に報告し、最高情報セキュリティ責任者の許可を得て、当該外部ネットワークとの接続を物理的に遮断するものとする。
(コンピュータウイルス対策)
第19条 情報セキュリティ責任者は、常時コンピュータウイルスに関する情報収集に努め、当該情報について職員の注意を喚起するものとする。
2 情報セキュリティ責任者は、コンピュータウイルス対策が必要な情報システムに対しコンピュータウイルス対策用ソフトウェアを導入し、コンピュータウイルスチェックを行うとともに、パターンファイルを常に最新のものに保つものとする。
3 情報セキュリティ責任者は、職員が記録媒体を利用して情報システムに外部からデータを取り入れ、又はデータを外部に持ち出すときは、必ずコンピュータウイルスチェックを行わせるものとする。
(不正アクセス対策)
第20条 情報セキュリティ責任者は、情報システムに対する不正アクセスを防ぐため、情報システムのソフトウェアに関するセキュリティホール等の情報収集に努め、当該情報システムメーカーから修正プログラムの提供があるときは、速やかにその対応をするものとする。
2 情報セキュリティ責任者は、情報システムに不正な侵入又は利用があったときは、直ちにその探知等ができるような適切な対策に努めるものとする。
3 情報セキュリティ責任者は、外部ネットワークから不正アクセスがあったときは、直ちに統括情報管理者に報告するとともに、適切な措置を講ずるものとする。
(ソフトウェアの導入等)
第21条 職員は、情報システムに新たにソフトウェアを導入し、又は導入したソフトウェアを交換しようとするときは、情報セキュリティ責任者に申請し、その許可を得なければならない。
2 職員は、ソフトウェアの著作権(著作隣接権を含む。)を遵守するとともに、正規のライセンスのないソフトウェアを導入してはならない。
3 職員は、業務上不必要なソフトウェア及び安全性が確認できないソフトウェアを導入してはならない。
(情報セキュリティ関連規程等の遵守等)
第22条 統括情報管理者は、情報セキュリティ関連規程等が遵守され、及び適切に運用されているかを確認するとともに、当該運用に障害が発生したときは、速やかに最高情報セキュリティ責任者に報告しなければならない。
2 最高情報セキュリティ責任者は、前項の規定による報告を受けたときは、速やかに当該障害に対応する適切な指示をしなければならない。
(情報システムの監視)
第23条 情報セキュリティ責任者は、情報セキュリティを確保するため、常時情報システムの運用状況を監視するとともに、情報資産への障害(システム上の欠陥及び誤作動を含む。以下「情報セキュリティ障害」という。)に注意を払い、適切に対応しなければならない。
(緊急時対応計画の策定)
第24条 統括情報管理者は、情報セキュリティ障害が発生した場合に備え、連絡体制を整備し、証拠保全、被害拡大の防止、復旧及び再発の防止等に必要な措置を迅速かつ円滑に行うための緊急時対応計画(以下「緊急時対応計画」という。)を策定しなければならない。
2 統括情報管理者は、環境の変化及び情報セキュリティ技術の変革に応じて、緊急時対応計画の見直しを行わなければならない。
(障害時の対応措置等)
第25条 統括情報管理者は、情報セキュリティ障害が外部ネットワークに重大な影響を及ぼすおそれがあるときは、緊急時対応計画に従い、速やかに対応を検討し、当該影響を最小限にとどめるよう努めなければならない。
2 情報セキュリティ責任者は、情報セキュリティ障害が発生したときは、緊急時対応計画に従い、速やかに当該障害を復旧し、当該障害、対応措置等を分析した結果を統括情報管理者に報告するとともに、再発防止のために記録し、及び保存しなければならない。
3 職員は、情報セキュリティ障害を発見したときは、緊急時対応計画に従い、速やかに情報セキュリティ責任者に報告し、その指示を受けなければならない。
(法令遵守)
第26条 職員は、業務上使用する情報資産について、特に次に掲げる法令等を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2) 著作権法(昭和45年法律第48号)
(3) 個人情報の保護に関する法律
(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(令4訓令1・令4訓令14・一部改正)
(自己点検等)
第27条 情報セキュリティ責任者は、情報セキュリティ対策の実施状況について、自己点検を定期的に行い、その結果を統括情報管理者に報告しなければならない。
2 統括情報管理者は、当該報告に基づき、必要な情報セキュリティ対策の改善措置を講じ、その結果を最高情報セキュリティ責任者に報告しなければならない。
(監査)
第28条 最高情報セキュリティ責任者は、情報セキュリティ対策の実効性を検証するため、前条に規定する自己点検等の報告に基づき、情報セキュリティ対策の監査を定期的に行うものとする。
(補則)
第29条 この規程に定めるもののほか、必要な事項は、市長が別に定める。
附則
この訓令は、平成21年4月1日から施行する。
附則(平成27年訓令第4号)
この訓令は、平成27年7月6日から施行する。
附則(令和2年訓令第2号)抄
(施行期日)
1 この訓令は、令和2年4月1日から施行する。
附則(令和4年訓令第1号)
この訓令は、令和4年4月1日から施行する。
附則(令和4年訓令第14号)
この訓令は、令和5年4月1日から施行する。
附則(令和5年訓令第11号)
この訓令は、令和5年7月1日から施行する。