○美浜町情報セキュリティ対策基準
平成25年10月1日
訓令第5号
目次
第1章 総則(第1条―第4条)
第2章 組織体制(第5条―第12条の3)
第3章 情報資産の分類と管理方法
第1節 情報資産の分類(第13条)
第2節 情報資産の管理(第14条―第23条)
第3章の2 情報システム全体の強靭性の向上
第1節 マイナンバー利用事務系(第23条の2―第23条の4)
第2節 LGWAN接続系(第23条の5)
第3節 インターネット接続系(第23条の6・第23条の7)
第4章 物理的セキュリティ
第1節 サーバ等の管理(第24条―第30条)
第2節 管理区域(電算室等)の管理(第31条―第33条)
第3節 通信回線及び通信回線装置の管理(第34条)
第4節 職員等の利用する端末や電磁的記録媒体等の管理(第35条・第35条の2)
第5章 人的セキュリティ
第1節 職員等の遵守事項(第36条―第48条)
第2節 研修及び訓練(第49条―第52条)
第3節 情報セキュリティインシデントの報告(第53条―第55条)
第4節 ID及びパスワード等の管理(第56条―第58条)
第6章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理(第59条―第76条の3)
第2節 アクセス制御(第77条―第84条)
第3節 システム開発、導入、保守等(第85条―第95条)
第4節 不正プログラム対策(第96条―第99条)
第5節 不正アクセス対策(第100条―第104条の3)
第6節 セキュリティ情報の収集(第105条―第107条)
第7章 運用
第1節 情報システムの監視(第108条)
第2節 情報セキュリティポリシーの遵守状況の確認(第109条―第111条)
第3節 侵害時の対応(第112条―第115条)
第4節 例外措置(第116条―第118条)
第5節 法令遵守(第119条)
第6節 懲戒処分等(第120条・第121条)
第8章 業務委託と外部サービスの利用
第1節 業務委託(第122条―第124条)
第2節 重要情報の外部サービス利用(第125条―第128条の4)
第3節 重要情報以外の外部サービス利用(第128条の5・第128条の6)
第9章 評価
第1節 監査(第129条―第136条)
第2節 自己点検(第137条―第139条)
第10章 雑則(第140条・第141条)
附則
○美浜町情報セキュリティ基本方針
今日、インターネットをはじめとする情報通信ネットワークや情報システムの利用は生活、経済、社会のあらゆる面で拡大している。一方で、個人情報の漏えい、不正アクセスや新たな攻撃手法による情報資産の破壊・改ざん、操作ミス等によるシステム障害等が後を絶たない。また、自然災害によるシステム障害や疾病を起因とするシステム運用の機能不全にも備える必要がある。
美浜町では、町民の個人情報や行政運営上重要な情報などの重要な情報を多数取り扱っている。また、電子自治体の構築が進み、多くの業務が情報システムやネットワークに依存している。したがって、これらの情報資産を様々な脅威から防御することは、町民の権利、利益を守るためにも、また、行政の安定的、継続的な運営のためにも必要不可欠である。
また、町には、地域全体の情報セキュリティ基盤を強化していく役割も期待されている。
これらの状況を鑑み、美浜町における情報資産に対する安全対策を推進し、町民からの信頼を確保し、さらに地域に貢献するため、以下に積極的に取り組むことを宣言する。
1 情報セキュリティ対策に取り組むための全庁的な体制を確立する。
2 情報セキュリティ対策の基準として情報セキュリティ対策基準を策定し、その実行のための手順等を盛り込んだ実施手順を策定する。
3 美浜町の保有する情報資産を適切に管理する。
4 情報セキュリティ対策の重要性を認識させ、当該対策を適切に実施するために、職員等に対して必要な教育を実施する。
5 情報セキュリティに関する事故が発生した場合又はその予兆があった場合に速やかに対応するため、緊急時対応計画を定める。
6 情報セキュリティ対策の実施状況の監査及び自己点検等を通して、定期的に対策の見直しを実施する。
7 すべての職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティ基本方針、情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守する。
8 地域全体の情報セキュリティの基盤を強化するため、地域における広報啓発や注意喚起、官民の連携・協力等に積極的に貢献する。
第1章 総則
(目的)
第1条 本町が保有する情報資産の機密性、完全性及び可用性を維持するため、本町が実施する情報セキュリティ対策について具体的な遵守事項及び判断基準を定める。
(1) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー 美浜町情報セキュリティ基本方針及び本情報セキュリティ対策基準をいう。
(5) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(6) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(7) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(8) マイナンバー利用事務系(個人番号利用事務系) 個人番号利用事務(社会保障、地方税若しくは防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。
(9) LGWAN接続系 LGWANに接続された情報システム及びその情報システムで取り扱うデータ(マイナンバー利用事務系を除く。)をいう。
(10) インターネット接続系 インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(11) 通信経路の分割 LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。
(12) 無害化通信 インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等の安全が確保された通信をいう。
(対象とする脅威)
第3条 情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん又は消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計又は開発の不備、プログラム上の欠陥、操作又は設定ミス、メンテナンス不備、内部又は外部監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい、破壊又は消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模又は広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(適用範囲)
第4条 この対策基準を適用する範囲は、次のとおりとする。
(1) 行政機関の範囲を、町長、教育委員会、選挙管理委員会、監査委員、農業委員会、固定資産評価審査委員会、水道事業の管理者の権限を行う町長及び議会とする。
(2) 職員等の範囲を、地方公務員法(昭和25年法律第261号)第3条に規定する職員、同法第22条の2に規定する会計年度任用職員及び同法第22条の3に規定する臨時的任用職員で本町の保有する情報資産に関わる者とする。
(3) 情報資産の範囲を、次のとおりとする。ただし、美浜町立学校設置条例(昭和48年美浜町条例第12号)に規定する学校が保有する情報資産を除く。
ア ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
イ ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書
第2章 組織体制
(CISO)
第5条 副町長を、最高情報統括責任者(CIO:Chief Information Officer)兼最高情報セキュリティ責任者(CISO:Chief Information Security Officer、以下「CISO」という。)とする。
2 CISOは、本町における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
3 CISOは、情報セキュリティインシデントに対処するための体制(CSIRT:Computer Security Incident Response Team、以下「CSIRT」という。)を整備しなければならない。
4 CISOは、必要に応じてCISOを助けて本町における情報セキュリティに関する事務を整理し、CISOの命を受けて本町の情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者(以下「副CISO」という。)を一人置くことができる。
5 CISOは、対策基準に定められた自らの担務を、副CISOその他の対策基準に定める責任者に担わせることができる。
(統括情報セキュリティ責任者)
第6条 総務部長を、CISO直属の統括情報セキュリティ責任者とする。
2 統括情報セキュリティ責任者は、CISOを補佐しなければならない。
3 統括情報セキュリティ責任者は、本町の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
4 統括情報セキュリティ責任者は、本町の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
5 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
6 統括情報セキュリティ責任者は、本町の情報資産に対する侵害が発生したとき又は侵害のおそれがあるときにCISOの指示に従い、CISOが不在のときには、自らの判断に基づき必要かつ十分な措置を行う権限及び責任を有する。
7 統括情報セキュリティ責任者は、本町の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持及び管理を行う権限及び責任を有する。
8 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、CISO、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者を網羅する連絡体制を整備しなければならない。
9 統括情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。
10 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。
(情報セキュリティ責任者)
第7条 各部等の長を、情報セキュリティ責任者とする。
2 情報セキュリティ責任者は、当該部等の情報セキュリティ対策に関する統括的な権限及び責任を有する。
3 情報セキュリティ責任者は、その所管する部等において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。
4 情報セキュリティ責任者は、その所管する部等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
(情報セキュリティ管理者)
第8条 各課等の長を、情報セキュリティ管理者とする。
2 情報セキュリティ管理者は、その所管する課等の情報セキュリティ対策に関する権限及び責任を有する。
3 情報セキュリティ管理者は、その所掌する課等において情報資産に対するセキュリティ侵害が発生したとき又はセキュリティ侵害のおそれがあるときには、情報セキュリティ責任者、統括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(情報システム管理者)
第9条 各情報システムの担当課長等を、当該情報システムに関する情報システム管理者とする。
2 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
3 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
4 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持及び管理を行う。
(情報システム担当者)
第10条 情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う職員を、情報システム担当者とする。
(情報セキュリティ委員会)
第11条 本町の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会を設置する。
2 情報セキュリティ委員会は、情報セキュリティポリシー等の情報セキュリティに関する重要な事項を決定する。
3 情報セキュリティ委員会は、CISO、統括情報セキュリティ責任者及び情報セキュリティ責任者をもって組織する。
4 委員会の庶務は、秘書課において処理する。
(兼務の禁止)
第12条 情報セキュリティ対策の実施において、やむを得ないときを除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 監査を受ける者とその監査を実施する者は、やむを得ないときを除き、同じ者が兼務してはならない。
(CSIRTの設置)
第12条の2 CISOは、CSIRTを整備し、その役割を明確化しなければならない。
2 CISOは、CSIRTに所属する職員等を選任し、その中からCSIRT責任者を置かなければならない。
3 CISOは、CSIRT内の業務統括及び外部との連携等を行う職員等を定めなければならない。
4 CISOは、情報セキュリティの統一的な窓口を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。
(CSIRTの役割)
第12条の3 CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供しなければならない。
2 CSIRTは、情報セキュリティインシデントを認知した場合には、CISO、NISC、総務省、愛知県等へ報告しなければならない。
3 CSIRTは、情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知公表等の対応を行わなければならない。
4 CSIRTは、情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、委託事業者等との情報共有を行わなければならない。
第3章 情報資産の分類と管理方法
第1節 情報資産の分類
(情報資産の分類)
第13条 本町における情報資産は、機密性、完全性及び可用性により、別表のとおり分類し、必要に応じ取扱制限を行うものとする。
第2節 情報資産の管理
(管理責任)
第14条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
2 情報セキュリティ管理者は、情報資産が複製又は伝送されたときには、複製等された情報資産も前条の分類に基づき管理しなければならない。
(情報資産の分類の表示)
第15条 職員等は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダー、フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、必要に応じて情報資産の分類を表示し、取扱制限についても明示する等適切な管理を行わなければならない。
(情報の作成)
第16条 職員等は、業務上必要のない情報を作成してはならない。
2 情報を作成する者は、情報の作成時に第13条の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
3 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止し、情報の作成途上で不要になったときは、当該情報を消去しなければならない。
(情報資産の入手)
第17条 庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。
2 庁外の者が作成した情報資産を入手した者は、第13条の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
3 情報資産を入手した者は、入手した情報資産の分類が不明なときは情報セキュリティ管理者に判断を仰がなければならない。
(情報資産の利用)
第18条 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
2 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。
3 情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されているときは最高度の分類にしたがって、当該電磁的記録媒体を取り扱わなければならない。
(情報資産の保管)
第19条 情報セキュリティ管理者又は情報システム管理者は、第13条の分類にしたがって、情報資産を適切に保管しなければならない。
2 情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した外部記録媒体を長期保管するときは書込禁止の措置を講じなければならない。
3 情報セキュリティ管理者又は情報システム管理者は、機密性2若しくは3、完全性2又は可用性2の情報を記録した電磁的記録媒体を保管するときは、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。
(情報の送信)
第20条 電子メール等により機密性2又は3の情報を送信する者は、必要に応じパスワード等による暗号化を行わなければならない。
(情報資産の運搬)
第21条 車両等により機密性2又は3の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等の情報資産の不正利用を防止するための措置を講じなければならない。
2 機密性2又は3の情報資産を運搬する者は、情報セキュリティ管理者の許可を得なければならない。
(情報資産の提供)
第22条 機密性2又は3の情報資産を外部に提供する者は、必要に応じパスワード等による暗号化を行わなければならない。
2 機密性2又は3の情報資産を外部に提供する者は、情報セキュリティ管理者の許可を得なければならない。
(情報資産の公表)
第22条の2 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄等)
第23条 情報資産の廃棄、リース返却等を行う者は、情報を記録している電磁的記録媒体について、その情報の機密性に応じ、情報を復元できないように処置しなければならない。
2 情報資産の廃棄、リース返却等を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。
3 情報資産の廃棄、リース返却等を行う者は、情報セキュリティ管理者の許可を得なければならない。
第3章の2 情報システム全体の強靭性の向上
第1節 マイナンバー利用事務系
(マイナンバー利用事務系と他の領域との分離)
第23条の2 統括情報セキュリティ責任者は、マイナンバー利用事務系と他の領域を通信できないようにしなければならない。
2 統括情報セキュリティ責任者は、マイナンバー利用事務系と外部との通信をする必要がある場合は、通信経路の限定(MACアドレス、IPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。
3 前項の場合において、統括情報セキュリティ責任者は、その外部接続先についてもインターネット等と接続してはならない。
4 前項の規定にかかわらず、国等の公的機関が構築したシステム等の十分に安全性が確保された外部接続先については、LGWANを経由して、インターネット等とマイナンバー利用事務系との双方向通信でのデータの移送を可能とする。
(情報のアクセスにおける対策)
第23条の3 統括情報セキュリティ責任者は、マイナンバー利用事務系の情報システムについて、専用端末を設置し認証手段を二つ以上併用する多要素認証によりシステムの正規の利用者かどうかを判断しなければならない。
(情報の持出しにおける対策)
第23条の4 統括情報セキュリティ責任者は、マイナンバー利用事務系の情報システムについて、原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。
第2節 LGWAN接続系
(LGWAN接続系とインターネット接続系の分割)
第23条の5 統括情報セキュリティ責任者は、LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。この場合において、メールやデータをLGWAN接続系に取り込む場合は、次の実現方法等により、無害化通信を図らなければならない。
(1) インターネット環境で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式
(2) インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式
(3) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式
第3節 インターネット接続系
(インターネット接続系におけるセキュリティ対策)
第23条の6 統括情報セキュリティ責任者は、インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。
2 統括情報セキュリティ責任者は、都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁や都道府県等と連携しながら、情報セキュリティ対策を推進しなければならない。
(インターネット接続系の特例)
第23条の7 統括情報セキュリティ責任者は、業務の効率性及び利便性の向上を目的として、インターネット接続系に主たる業務端末を配置することができる。この場合において、入札情報、情報職員の情報等重要な情報資産もインターネット接続系に配置することができる。
2 前項の場合において、統括情報セキュリティ責任者は、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。
第4章 物理的セキュリティ
第1節 サーバ等の管理
(機器の取付け)
第24条 情報システム管理者は、サーバ等の機器の取付けを行うときは、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等の必要な措置を講じなければならない。
(サーバの冗長化)
第25条 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを冗長化するよう努めなければならない。
2 情報システム管理者は、冗長化したメインサーバに障害が発生したときは速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。
(機器の電源)
第26条 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
2 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(通信ケーブル等の配線)
第27条 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門から主要な箇所の通信ケーブル及び電源ケーブルの損傷等の報告があったときは連携して対応しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、自ら又は情報システム担当者及び契約により操作を認められた委託事業者以外の者が配線を変更及び追加できないように必要な措置を施さなければならない。
(機器の定期保守及び修理)
第28条 情報システム管理者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。
2 情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させるときは内容を消去した状態で行わせなければならない。
3 前項の規定にかかわらず、内容を消去できないときは、情報システム管理者は業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するほか秘密保持体制の確認などを行わなければならない。
(敷地外への機器の設置)
第29条 統括情報セキュリティ責任者及び情報システム管理者は、庁舎の敷地外にサーバ等の機器を設置するときはCISOの承認を得なければならない。
2 情報システム管理者は、前項の承認を得て庁舎の敷地外に設置した機器の情報セキュリティ対策状況について定期的に確認しなければならない。
(機器の廃棄等)
第30条 情報システム管理者は、機器を廃棄、リース返却等をするときは機器内部の記憶装置から全ての情報を消去のうえ、復元不可能な状態にする措置を講じなければならない。
第2節 管理区域(電算室等)の管理
(管理区域の構造等)
第31条 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「電算室」という。)及び情報資産の電磁的記録媒体の保管庫をいう。
2 統括情報セキュリティ責任者及び情報システム管理者は、管理区域を外部からの侵入が容易にできないようにしなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、電算室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、管理区域に配置する消火薬剤や消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。
(管理区域の入退室管理等)
第32条 情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載などによる入退室管理を行わなければならない。
2 情報システム管理者は、職員等及び委託事業者が管理区域に入室するときは、身分証明書等を携帯させ、必要に応じて提示させなければならない。
3 情報システム管理者は、外部からの訪問者が管理区域に入るときには、必要に応じて立入り区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。
4 情報システム管理者は、機密性2又は3の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、通信回線装置、記録媒体等を許可なく持ち込ませないようにしなければならない。
(機器等の搬入出)
第33条 情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託事業者に確認を行わせなければならない。
2 情報システム管理者は、電算室の機器等の搬入出について、職員を立ち会わせなければならない。
第3節 通信回線及び通信回線装置の管理
(通信回線及び通信回線装置の管理)
第34条 統括情報セキュリティ責任者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理しなければならない。
2 統括情報セキュリティ責任者は、前項の通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。
3 統括情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
4 統括情報セキュリティ責任者は、行政系のネットワークをLGWANに集約するように努めなければならない。
5 統括情報セキュリティ責任者は、機密性2又は3の情報資産を取り扱う情報システムに通信回線を接続するときに必要なセキュリティ水準を検討のうえ、適切な回線を選択し、必要に応じ送受信される情報の暗号化を行わなければならない。
6 統括情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。
7 統括情報セキュリティ責任者は、可用性2の情報資産を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択し、必要に応じて回線を冗長構成にする等の措置を講じなければならない。
第4節 職員等の利用する端末や電磁的記録媒体等の管理
(物理的管理)
第35条 情報システム管理者は、盗難防止のため、執務室等で利用するパソコンのワイヤーによる固定、モバイル端末及び電磁的記録媒体の使用時以外の施錠管理等の物理的措置を講じなければならない。
2 情報システム管理者は、電磁的記録媒体について情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
(認証管理)
第35条の2 情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、或いは生体認証等複数の認証情報の入力を必要とするように設定しなければならない。
2 情報システム管理者は、マイナンバー利用事務系では「知識」、「所持」又は「存在」を利用する認証手段のうち二つ以上を併用する認証(多要素認証)を行うよう設定しなければならない。
第5章 人的セキュリティ
第1節 職員等の遵守事項
(情報セキュリティポリシー等の遵守)
第36条 職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。
2 職員等は、情報セキュリティ対策について不明な点、遵守することが困難な点等があるときは、速やかに情報セキュリティ管理者に相談し、指示を仰がなければならない。
(業務以外の目的での使用の禁止)
第37条 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限)
第38条 CISOは、機密性2若しくは3、完全性2又は可用性2の情報資産を外部で処理するときにおける安全管理措置を定めなければならない。
2 職員等は、本町の端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出すとき(執務室等から異なる敷地の会議室への移動等を除く。第40条において同じ。)には、情報セキュリティ管理者の許可を得なければならない。
3 職員等は、外部で情報処理業務を行うときには、情報セキュリティ管理者の許可を得なければならない。
(支給以外の端末及び電磁的記録媒体等の業務利用)
第39条 職員等は、支給以外の端末及び電磁的記録媒体を原則業務に利用してはならない。ただし、支給以外の端末の業務利用の可否判断をCISOが行った後に、業務上必要な場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ管理者の許可を得て利用することができる。
2 前項の場合において、職員等は、支給以外の端末及び電磁的記録媒体等を用いる場合には、情報セキュリティ管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置に関する規定を遵守しなければならない。
(持ち出し及び持込みの記録)
第40条 情報セキュリティ管理者は、町の端末、電磁的記録媒体及び情報資産の持ち出し並びに業務利用を許可された支給以外の端末及び電磁記録媒体の持込みについて、記録を作成し、保管しなければならない。
(端末におけるセキュリティ設定変更の禁止)
第41条 職員等は、パソコン等の端末のソフトウェアに関するセキュリティ機能の設定を情報セキュリティ管理者の許可なく変更してはならない。
(机上の端末等の管理)
第42条 職員等は、端末や電磁的記録媒体、情報が印刷された文書等について、第三者に使用されること、又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時の端末のロックや電磁的記録媒体及び文書等の容易に閲覧されない場所への保管等の適切な措置を講じなければならない。
(退職時等の遵守事項)
第43条 職員等は、異動、退職等により業務を離れるときは、利用していた情報資産を返却しなければならない。
2 職員等は、業務上知り得た秘密を漏らしてはならない。異動、退職等により業務を離れた後も、また、同様とする。
(会計年度任用職員等の情報セキュリティポリシー等の遵守)
第44条 情報セキュリティ管理者は、会計年度任用職員及び臨時的任用職員(以下「会計年度任用職員等」という。)に対し、採用時に情報セキュリティポリシー等のうち、会計年度任用職員等が守るべき内容を理解させ、また実施及び遵守させなければならない。
(会計年度任用職員等の情報セキュリティポリシー等の遵守に対する同意)
第45条 情報セキュリティ管理者は、会計年度任用職員等の採用の際には、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。
(会計年度任用職員等のインターネット接続及び電子メール使用等の制限)
第46条 情報セキュリティ管理者は、会計年度任用職員等に端末による作業を行わせるときにインターネットへの接続及び電子メールの使用等が不要なときは、これを利用できないようにしなければならない。
(情報セキュリティポリシー等の掲示)
第47条 情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。
(委託事業者に対する説明)
第48条 情報セキュリティ管理者は、ネットワーク及び情報システムの開発、保守等を事業者に発注するときは、再委託事業者も含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
第2節 研修及び訓練
(情報セキュリティに関する研修及び訓練)
第49条 CISOは、定期的に情報セキュリティに関する研修及び訓練を実施しなければならない。
(研修計画の立案及び実施)
第50条 CISOは、全ての職員等に対する情報セキュリティに関する研修計画を定期的に立案し、情報セキュリティ委員会の承認を得なければならない。
2 CISOは、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
3 研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
4 情報セキュリティ管理者は、所管する課室等の研修の実施状況を記録し、統括情報セキュリティ責任者及び情報セキュリティ責任者に対して、報告しなければならない。
5 統括情報セキュリティ責任者は、研修の実施状況の分析及び評価を行い、CISOに情報セキュリティ対策に関する研修の実施状況について報告しなければならない。
6 CISOは、毎年度1回、情報セキュリティ委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。
(緊急時対応訓練)
第51条 CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の範囲等を定め、また、効果的に実施できるようにしなければならない。
(研修及び訓練への参加)
第52条 全ての職員等は、定められた研修及び訓練に参加しなければならない。
第3節 情報セキュリティインシデントの報告
(庁内での情報セキュリティインシデントの報告)
第53条 職員等は、情報セキュリティインシデントを認知したときは速やかに情報セキュリティ管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。
2 報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。
3 情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISO及び情報セキュリティ責任者に報告しなければならない。
(住民等外部からの情報セキュリティインシデントの報告)
第54条 職員等は、本町が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて住民等外部から報告を受けたときは、情報セキュリティ管理者に報告しなければならない。
2 報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。
3 情報セキュリティ管理者は、当該情報セキュリティインシデントについて、必要に応じてCISO及び情報セキュリティ責任者に報告しなければならない。
4 CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。
(情報セキュリティインシデント原因の究明、記録、再発防止等)
第55条 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。
2 CSIRTは、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告しなければならない。
3 CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。
4 CSIRTは、情報セキュリティインシデント原因を究明し、記録を保存し、再発防止策を検討し、CISOに報告しなければならない。
5 CISOは、CSIRTから、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
第4節 ID及びパスワード等の管理
(ICカード等の取扱)
第56条 職員等は、自己の管理するICカード等(情報システムを利用する際の認証情報を記録した媒体をいう。以下同じ。)に関し、次の事項を遵守しなければならない。
(1) 認証に用いるICカード等を、職員等間で共有してはならない。
(2) 業務上必要のないときは、ICカード等をカードリーダ又はパソコン等の端末のスロット等から抜いておかなければならない。
(3) ICカード等を紛失したときには、速やかに統括情報セキュリティ責任者及び情報システム管理者に通報し、指示に従わなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等を切り替えるときは切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。
(IDの取扱)
第57条 職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。
(1) 自己が利用しているIDは、他人に利用させてはならない。
(2) 共用IDを利用するときは、共用IDの利用者以外に利用させてはならない。
(パスワードの取扱)
第58条 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードは、他者に知られないように管理しなければならない。
(2) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
(3) パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。
(4) パスワードが流出したおそれがあるときには、情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。
(5) 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない。
(6) 仮のパスワードは、最初のログイン時点で変更しなければならない。
(7) パソコン等の端末にパスワードを記憶させてはならない。
(8) 共用IDに関するパスワードを除き、職員等間でパスワードを共有してはならない。
第6章 技術的セキュリティ
第1節 コンピュータ及びネットワークの管理
(文書サーバの設定等)
第59条 情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。
2 情報システム管理者は、文書サーバを課等の単位で構成し、職員等が他課等のフォルダ及びファイルを閲覧及び使用できないように設定しなければならない。
3 情報システム管理者は、住民の個人情報、人事記録等、特定の職員等しか取扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。
(バックアップの実施)
第60条 統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。
(他団体との情報システムに関する情報等の交換)
第61条 情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換するときはその取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。
(システム管理記録及び作業の確認)
第62条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行ったときは、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。
3 統括情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた委託事業者がシステム変更等の作業を行うときは、2名以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第63条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図及び情報システム仕様書について、記録媒体に関わらず業務上必要とする者以外の者の閲覧や紛失等がないよう適切に管理しなければならない。
(ログの取得等)
第64条 統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。
(障害記録)
第65条 統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を障害記録として記録し、適切に保存しなければならない。
(ネットワークの接続制御、経路制御等)
第66条 統括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。
2 統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。
(外部の者が利用できるシステムの分離等)
第67条 情報システム管理者は、電子申請の汎用受付システム等の外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。
(外部ネットワークとの接続制限等)
第68条 情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとするときには、CISO及び統括情報セキュリティ責任者の許可を得なければならない。
2 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
3 情報システム管理者は、接続した外部ネットワークの欠陥によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じたときに対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開するときは庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置したうえで接続しなければならない。
5 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定されるときには、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(複合機のセキュリティ管理)
第68条の2 統括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能及び設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。
2 統括情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 統括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消する又は再利用できないようにする対策を講じなければならない。
(IoT機器を含む特定用途機器のセキュリティ管理)
第68条の3 統括情報セキュリティ責任者は、特定用途機器(テレビ会議システム、IP電話システム、ネットワークカメラシステム、入退管理システム、施設管理システム、環境モニタリングシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている又は電磁的記録媒体を内蔵しているものをいう。)について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。
(無線LAN及びネットワークの盗聴対策)
第69条 統括情報セキュリティ責任者は、無線LANの利用を認めるときは解読が困難な暗号化及び認証技術の使用を義務づけなければならない。
2 統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
(電子メールのセキュリティ管理)
第70条 統括情報セキュリティ責任者は、権限のない利用者により外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするように、電子メールサーバの設定を行わなければならない。
2 統括情報セキュリティ責任者は、スパムメール等が内部から送信されていることを検知したときは、メールサーバの運用を停止しなければならない。
3 統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
4 統括情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えたときの対応を職員等に周知しなければならない。
5 統括情報セキュリティ責任者は、システム開発や運用、保守等のため庁舎内に常駐している委託事業者の作業員による電子メールアドレスの利用について、委託事業者との間で利用方法を取り決めなければならない。
6 統括情報セキュリティ責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように、添付ファイルの監視等によりシステム上措置しなければならない。
(電子メールの利用制限)
第71条 職員等は、自動転送機能を用いて、電子メールを転送してはならない。
2 職員等は、業務上必要のない送信先に電子メールを送信してはならない。
3 職員等は、複数人に電子メールを送信する場合において、必要があるときを除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
4 職員等は、重要な電子メールを誤送信したときは情報セキュリティ管理者に報告しなければならない。
(電子署名及び暗号化)
第72条 職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要なときには、CISOが定めた電子署名、パスワードによる暗号化等の方法を使用して、送信しなければならない。
2 職員等は、暗号化を行うときにCISOが定める以外の方法を用いてはならない。
3 職員等は、CISOが定めた方法で暗号のための鍵を管理しなければならない。
4 CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。
(無許可ソフトウェアの導入等の禁止)
第73条 職員等は、パソコン等の端末に無断でソフトウェアを導入してはならない。
2 職員等は、業務上の必要があるときは、統括情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。
3 前項の場合において、情報セキュリティ管理者又は情報システム管理者は、導入したソフトウェアのライセンスを管理しなければならない。
4 職員等は、不正にコピーしたソフトウェアを利用してはならない。
(機器構成の変更の禁止)
第74条 職員等は、パソコン等の端末に対し機器の構成の変更を伴う改造、増設及び交換を行ってはならない。
2 職員等は、支給された端末が業務の用に足さない場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ管理者の許可を得て端末を交換することができる。
(業務外ネットワークへの接続の禁止)
第75条 職員等は、支給された端末を、有線無線を問わず、その端末を接続して利用するよう情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。
2 情報セキュリティ管理者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限するよう努めなければならない。
(業務以外の目的でのウェブ閲覧の禁止)
第76条 職員等は、業務以外の目的でウェブを閲覧してはならない。
2 統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見したときは、情報セキュリティ管理者に通知し適切な措置を求めなければならない。
(ウェブ会議サービスの利用時の対策)
第76条の2 統括情報セキュリティ責任者は、ウェブ会議を適切に利用するための利用手順を定めなければならない。
2 職員等は、町の定める利用手順に従い、ウェブ会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施しなければならない。
3 職員等は、ウェブ会議を主催する場合、会議に無関係の者が参加できないよう対策を講じなければならない。
4 職員等は、外部からウェブ会議に招待される場合は、町の定める利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。
(ソーシャルメディアサービスの利用)
第76条の3 情報セキュリティ管理者は、町が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の各号の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(1) 町のアカウントによる情報発信が、実際の町のものであることを明らかにするために、美浜町公式ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法によるなりすまし対策
(2) パスワードや認証のためのコード等の認証情報及びこれを記録したハードディスク、USBメモリ、紙等の媒体を適切に管理するなどの方法による不正アクセス対策
(3) 第三者が何らかの方法で不正にログインを行い、偽の情報を発信するなどの不正行為が確認された時の対処手順
2 情報セキュリティ管理者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。
3 職員等は、機密性2又は3の情報は、ソーシャルメディアサービスで発信してはならない。
4 職員等は、可用性2の情報の提供にソーシャルメディアサービスを用いる場合は、美浜町公式ウェブサイトに当該情報を掲載して参照可能としなければならない。
第2節 アクセス制御
(アクセス制御)
第77条 統括情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。
(利用者IDの取扱)
第78条 統括情報セキュリティ責任者及び情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。
2 職員等は、業務上必要がなくなったときは利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。
(特権を付与されたIDの管理等)
第79条 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。
3 CISOは、代行者を認めたときは速やかに、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に通知しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更について、委託事業者に行わせてはならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、職員等の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。
(職員等による外部からのアクセス等の制限)
第80条 職員等が外部から内部のネットワーク又は情報システムにアクセスするときは、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。
2 統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
3 統括情報セキュリティ責任者は、外部からのアクセスを認めるときはシステム上利用者の本人確認を行う機能を確保しなければならない。
4 統括情報セキュリティ責任者は、外部からのアクセスを認めるときは通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するパソコン等の端末を職員等に貸与するときは、セキュリティ確保のために必要な措置を講じなければならない。
6 職員等は、持込み又は外部から持ち帰ったパソコン等の端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと及びパッチの適用状況等を確認しなければならない。
7 統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生体認証に係る情報等の認証情報並びにこれを記録したICカード等の媒体による認証に加えて通信内容の暗号化等の情報セキュリティ確保のために必要な措置を講じなければならない。
(自動識別の設定)
第81条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。
(ログイン時の表示等)
第82条 情報システム管理者は、ログイン時におけるメッセージ並びにログイン試行回数の制限、アクセスタイムアウトの設定、ログイン及びログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。
(認証情報の管理)
第83条 統括情報セキュリティ責任者又は情報システム管理者は、職員等の認証情報を厳重に管理しなければならない。
2 統括情報セキュリティ責任者又は情報システム管理者は、認証情報ファイルを不正利用から保護するため、OS等で認証情報設定のセキュリティ強化機能があるときは、これを有効に活用しなければならない。
3 統括情報セキュリティ責任者又は情報システム管理者は、職員等に対してパスワードを発行するときは、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。
4 統括情報セキュリティ責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。
(特権による接続時間の制限)
第84条 情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。
第3節 システム開発、導入、保守等
(情報システムの調達)
第85条 統括情報セキュリティ責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(システム開発における責任者及び作業者の特定)
第86条 情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。
(システム開発における責任者及び作業者のIDの管理)
第87条 情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後は開発用IDを削除しなければならない。
2 情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。
(システム開発に用いるハードウェア及びソフトウェアの管理)
第88条 情報システム管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。
2 情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されているときは、当該ソフトウェアをシステムから削除しなければならない。
(開発環境と運用環境の分離及び移行手順の明確化)
第89条 情報システム管理者は、システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。
2 情報システム管理者は、システム開発、保守及びテスト環境からシステム運用環境への移行について、システム開発及び保守計画の策定時に手順を明確にしなければならない。
3 情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。
4 情報システム管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。
(テスト)
第90条 情報システム管理者は、新たに情報システムを導入するときは、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。
2 情報システム管理者は、運用テストを行うときはあらかじめ擬似環境による操作確認を行わなければならない。
3 情報システム管理者は、個人情報及び機密性の高い生データをテストデータに使用してはならない。
(システム開発及び保守に関連する資料等の保管)
第91条 情報システム管理者は、システム開発及び保守に関連する資料及び文書を適切な方法で保管しなければならない。
2 情報システム管理者は、テスト結果を一定期間保管しなければならない。
3 情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。
(情報システムにおける入出力データの正確性の確保)
第92条 情報システム管理者は、情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 情報システム管理者は、故意又は過失により情報が改ざん又は漏えいのおそれがあるときに、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(情報システムの変更管理)
第93条 情報システム管理者は、情報システムを変更したときはプログラム仕様書等の変更履歴を作成しなければならない。
(開発及び保守用のソフトウェアの更新等)
第94条 情報システム管理者は、開発及び保守用のソフトウェア等を更新又はパッチの適用をするときは、他の情報システムとの整合性を確認しなければならない。
(システム更新又は統合時の検証等)
第95条 情報システム管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。
第4節 不正プログラム対策
(統括情報セキュリティ責任者の措置事項)
第96条 統括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。
(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起しなければならない。
(4) 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。
(5) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
(6) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(7) 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートの期限を確認しなければならない。
(情報システム管理者の措置事項)
第97条 情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。
(1) 情報システム管理者は、その所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させなければならない。
(2) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
(3) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(4) インターネットに接続していないシステムにおいて電磁的記録媒体を使うときは、コンピュータウイルス等の感染を防止するために、町が管理している媒体以外を職員等に利用させてはならない。
(5) インターネットに接続していないシステムにおいて、不正プログラムの感染及び侵入が生じる可能性が著しく低いときを除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。
(6) 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。
(職員等の遵守事項)
第98条 職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。
(1) パソコン等の端末において、不正プログラム対策ソフトウェアが導入されているときは、当該ソフトウェアの設定を変更してはならない。
(2) 外部からデータ又はソフトウェアを取り入れるときには、必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。
(3) 差出人が不明又は不自然に添付されたファイルを受信したときは、速やかに削除しなければならない。
(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。
(5) 添付ファイルが付いた電子メールを送受信するときは、不正プログラム対策ソフトウェアでチェックを行わなければならない。
(6) 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。
(7) コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、該当の端末においてLANケーブルの取り外しや、通信を行わない設定への変更等の被害の拡大を防ぐ処置を行わなければならない。
(専門家の支援体制)
第99条 統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生したときに備え、外部の専門家の支援を受けられるようにしておかなければならない。
第5節 不正アクセス対策
(統括情報セキュリティ責任者の措置事項)
第100条 統括情報セキュリティ責任者は、不正アクセス対策として、次の事項を措置しなければならない。
(1) 使用されていないポートを閉鎖しなければならない。
(2) 不要なサービスについて、機能を削除又は停止しなければならない。
(3) 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、統括情報セキュリティ責任者及び情報システム管理者へ通報するよう、設定しなければならない。
(4) 重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。
(5) 統括情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応などを実施できる体制並びに連絡網を構築しなければならない。
(攻撃への対処)
第101条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講じなければならない。この場合において、総務省、愛知県その他関係機関と連絡を密にして情報の収集に努めなければならない。
(記録の保存)
第102条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等の犯罪の可能性があるときには、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(内部からの攻撃)
第103条 統括情報セキュリティ責任者及び情報システム管理者は、職員等及び委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(職員等による不正アクセス)
第104条 統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見したときは、当該職員等が所属する課等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。
(サービス不能攻撃)
第104条の2 統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第104条の3 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による組織内部への侵入を低減する、内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する等の入口対策、内部対策及び出口対策を講じなければならない。
第6節 セキュリティ情報の収集
(セキュリティホールに関する情報の収集及び共有並びにソフトウェアの更新等)
第105条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
(不正プログラム等のセキュリティ情報の収集及び周知)
第106条 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
(情報セキュリティに関する情報の収集及び共有)
第107条 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識したときには、セキュリティ侵害等を未然に防止するための対策を速やかに講じなければならない。
第7章 運用
第1節 情報システムの監視
(情報システムの監視)
第108条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、暗号化された通信データを監視のために復号することの要否を判断し、要すると判断した場合は、当該通信データを復号する機能及び必要な場合はこれを再暗号化する機能を導入しなければならない。
第2節 情報セキュリティポリシーの遵守状況の確認
(遵守状況の確認及び対処)
第109条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めたときには速やかに、CISO及び統括情報セキュリティ責任者に報告しなければならない。
2 CISOは、発生した問題について、適切かつ速やかに対処しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していたときには適切かつ速やかに対処しなければならない。
(端末及び記録媒体等の利用状況調査)
第110条 CISO及びCISOが指名した者は、不正アクセス及び不正プログラム等の調査のために、職員等が使用しているパソコン等の端末、電磁的記録媒体のログ、電子メールの送受信記録等の利用状況を調査することができる。
(職員等の報告義務)
第111条 職員等は、情報セキュリティポリシーに対する違反行為を発見したときは直ちに、統括情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。
2 前項の違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断したときは、緊急時対応計画に従って適切に対処しなければならない。
第3節 侵害時の対応
(緊急時対応計画の策定)
第112条 CISO又は情報セキュリティ委員会は、情報セキュリティに関する事故、情報セキュリティポリシーの違反等により情報資産への侵害が発生したとき又は発生するおそれがあるときにおいて、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、侵害時には当該計画に従って適切に対処しなければならない。
(緊急時対応計画に盛り込むべき内容)
第113条 緊急時対応計画には、以下の内容を定めなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
(業務継続計画との整合性確保)
第114条 情報セキュリティ委員会は、本町が自然災害及び大規模かつ広範囲にわたる疾病等に備えて業務継続計画を策定するときは、当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(緊急時対応計画の見直し)
第115条 CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
第4節 例外措置
(例外措置の許可)
第116条 情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由があるときには、CISOの許可を得て、例外措置を取ることができる。
(緊急時の例外措置)
第117条 情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等のときであって、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。
(例外措置の申請書の管理)
第118条 CISOは、例外措置の申請書及び審査結果を適切に保管しなければならない。
第5節 法令遵守
(法令遵守)
第119条 職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(6) サイバーセキュリティ基本法(平成26年法律第104号)
第6節 懲戒処分等
(懲戒処分)
第120条 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性及び発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(違反時の対応)
第121条 職員等の情報セキュリティポリシーに違反する行動を確認したときには、速やかに次の措置を講じなければならない。
(1) 統括情報セキュリティ責任者が違反を確認したときは、統括情報セキュリティ責任者は当該職員等が所属する課等の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
(2) 情報システム管理者等が違反を確認したときは、違反を確認した者は速やかに統括情報セキュリティ責任者及び当該職員等が所属する課等の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。
(3) 統括情報セキュリティ責任者は、情報セキュリティ管理者の指導によっても改善されないときは当該職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに、統括情報セキュリティ責任者は、職員等の権利を停止あるいは剥奪した旨をCISO及び当該職員等が所属する課等の情報セキュリティ管理者に通知しなければならない。
第8章 業務委託と外部サービスの利用
第1節 業務委託
(委託事業者の選定基準)
第122条 情報セキュリティ管理者は、委託先の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
2 情報セキュリティ管理者は、必要に応じて、情報セキュリティマネジメントシステムの国際規格の認証取得状況及び情報セキュリティ監査の実施状況等を参考にして委託事業者を選定しなければならない。
(契約項目)
第123条 情報システムの運用、保守等を業務委託するときには、委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
(2) 委託事業者の責任者、委託内容、作業者及び作業場所の特定
(3) 提供されるサービスレベルの保証
(4) 委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法
(5) 委託事業者の従業員に対する教育の実施
(6) 提供された情報の目的外利用及び委託事業者以外の者への提供の禁止
(7) 業務上知り得た情報の守秘義務
(8) 再委託に関する制限事項の遵守
(9) 委託業務終了時の情報資産の返還及び廃棄等
(10) 委託業務の定期報告及び緊急時報告義務
(11) 町による監査及び検査
(12) 町による情報セキュリティインシデント発生時の公表
(13) 情報セキュリティポリシーが遵守されなかったときの損害賠償等の規定
(確認及び措置)
第124条 情報セキュリティ管理者は、委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の契約に基づき措置しなければならない。この場合において、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じてCISOに報告しなければならない。
第2節 重要情報の外部サービス利用
(外部サービスの利用に係る規定の整備)
第125条 情報セキュリティ管理者は、機密性2又は3の情報を外部サービスで取り扱う場合の規定を整備しなければならない。この場合において、当該規定には次の事項を含まなければならない。
(1) 外部サービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下この節において「外部サービス利用判断基準」という。)
(2) 外部サービス提供者の選定基準
(3) 外部サービスの利用申請の許可権限者と利用手続
(4) 外部サービス管理者の指名と外部サービスの利用状況の管理
(外部サービスの選定)
第126条 情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、外部サービス利用判断基準に従って外部サービスの利用(機密性2又は3の情報を取り扱う場合に限る。以下この節において同じ。)を検討しなければならない。
2 情報セキュリティ責任者は、外部サービスで取り扱う情報の格付及び取扱制限を踏まえ、外部サービス提供者の選定基準に従って外部サービス提供者を選定しなければならない。この場合において、次の事項を含む情報セキュリティ対策を外部サービス提供者の選定条件に含めなければならない。
(1) 外部サービスの利用を通じて町が取り扱う情報の外部サービス提供者における目的外利用の禁止
(2) 外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制
(3) 外部サービスの提供に当たり、外部サービス提供者若しくはその従業員、再委託先又はその他の者によって、町の意図しない変更が加えられないための管理体制
(4) 外部サービス提供者の資本関係及び役員等の情報
(5) 外部サービス提供に従事する者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報
(6) 調達仕様書による施設の場所やリージョンの指定
(7) 情報セキュリティインシデントへの対処方法
(8) 情報セキュリティ対策その他の契約の履行状況の確認方法
(9) 情報セキュリティ対策の履行が不十分な場合の対処方法
3 情報セキュリティ責任者は、外部サービスの中断や終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めなければならない。
4 情報セキュリティ責任者は、外部サービスの利用を通じて町が取り扱う情報の重要性を勘案し、必要に応じて次の事項を外部サービス提供者の選定条件に含めなければならない。
(1) 情報セキュリティ監査の受入れ
(2) サービスレベルの保証
5 情報セキュリティ責任者は、外部サービスの利用を通じて町が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて町の情報が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定条件に含目なければならない。
6 情報セキュリティ責任者は、外部サービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を町に提供し、かつ、承認を受けるよう、外部サービス提供者の選定条件に含めなければならない。この場合において、情報セキュリティ責任者は、外部サービス利用判断基準及び外部サービス提供者の選定基準に従って再委託の承認の可否を判断しなければならない。
7 情報セキュリティ責任者は、外部サービスの特性を考慮した上で、外部サービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、セキュリティ要件を定めなければならない。
8 統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的かつ客観的に評価し判断しなければならない。
(外部サービスの利用に係る調達及び契約)
第127条 情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者の選定基準及び選定条件並びに外部サービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。
2 情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者及び外部サービスが調達仕様を満たすことを契約までに確認し、調達仕様の内容を契約に含めなければならない。
(外部サービスの利用承認)
第128条 情報セキュリティ責任者は、外部サービスを利用する場合には、統括情報セキュリティ責任者へ外部サービスの利用申請を行うわなければならない。
2 統括情報セキュリティ責任者は、職員等による外部サービスの利用申請を審査し、利用の可否を決定しなければならない。
3 統括情報セキュリティ責任者は、外部サービスの利用申請を承認した場合は、承認済み外部サービスとして記録し、外部サービス管理者を指名しなければならない。
4 前項の規定によりに指名された外部サービス管理者は、当該外部サービスの利用において適切な措置を講じなければならない。
(外部サービスを利用した情報システムの導入及び構築時の対策)
第128条の2 統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方等を踏まえ、外部サービスを利用して情報システムを構築する際のセキュリティ対策を次の事項を含み規定しなければならない。
(1) 不正なアクセスを防止するためのアクセス制御
(2) 取り扱う情報の機密性保護のための暗号化
(3) 開発時におけるセキュリティ対策
(4) 設計又は設定時の誤りの防止
2 外部サービス管理者は、前項において定める規定に対し、構築時に実施状況を確認し、記録しなければならない。
(外部サービスを利用した情報システムの運用及び保守時の対策)
第128条の3 統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスを利用して情報システムを運用する際のセキュリティ対策を次の事項を含み規定しなければならない。
(1) 外部サービス利用方針の規定
(2) 外部サービス利用に必要な教育
(3) 取り扱う資産の管理
(4) 不正アクセスを防止するためのアクセス制御
(5) 取り扱う情報の機密性保護のための暗号化
(6) 外部サービス内の通信の制御
(7) 設計又は設定時の誤りの防止
(8) 外部サービスを利用した情報システムの事業継続
2 情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスで発生したインシデントを認知した際の対処手順を整備しなければならない。
3 外部サービス管理者は、前2項において定める規定に対し、運用及び保守時に実施状況を定期的に確認し、記録しなければならない。
(外部サービスを利用した情報システムの更改又は廃棄時の対策)
第128条の4 統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスの利用を終了する際のセキュリティ対策を次の事項を含み規定しなければならない。
(1) 外部サービスの利用終了時における対策
(2) 外部サービスで取り扱った情報の廃棄
(3) 外部サービスの利用のために作成したアカウントの廃棄
2 外部サービス管理者は、前項において定める規定に対し、外部サービスの利用終了時に実施状況を確認及び記録しなければならない。
第3節 重要情報以外の外部サービス利用
(外部サービスの利用に係る規定の整備)
第128条の5 情報セキュリティ管理者は、機密性1の情報を外部サービスで取り扱う場合の規定を次の事項を含み整備しなければならない。
(1) 外部サービスを利用可能な業務の範囲
(2) 外部サービスの利用申請の許可権限者と利用手続
(3) 外部サービス管理者の指名と外部サービスの利用状況の管理
(4) 外部サービスの利用の運用手順
(外部サービスの利用における対策の実施)
第128条の6 職員等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認したうえで外部サービスの利用(機密性2又は3の情報を取り扱わない場合に限る。この条において同じ。)を情報セキュリティ責任者に申請しなければならない。
2 情報セキュリティ責任者は、職員等による外部サービスの利用申請を審査し、利用の可否を決定しなければならない。
3 情報セキュリティ責任者は、外部サービスの利用申請を承認した場合は、承認済み外部サービスとして記録し、外部サービス管理者を指名しなければならない。
4 前項の規定によりに指名された外部サービス管理者は、当該外部サービスの利用において適切な措置を講じなければならない。
第9章 評価
第1節 監査
(実施方法)
第129条 CISOは、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、必要に応じて監査を行わせなければならない。
(監査を行う者の要件)
第130条 情報セキュリティ監査統括責任者は、監査を実施するときには被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
(監査実施計画の立案及び実施への協力)
第131条 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。
2 被監査部門は、監査の実施に協力しなければならない。
(委託事業者に対する監査)
第132条 情報セキュリティ監査統括責任者は、事業者に業務委託を行っているときは、委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。
(報告)
第133条 情報セキュリティ監査統括責任者は、監査結果を取りまとめて情報セキュリティ委員会に報告する。
(保管)
第134条 情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。
(監査結果への対応)
第135条 CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。
2 CISOは、前項の指摘事項を所管していない情報セキュリティ管理者に対して、同種の課題及び問題点がある可能性が高いときには、当該課題及び問題点の有無を確認させなければならない。
(情報セキュリティポリシーの見直し等への活用)
第136条 情報セキュリティ委員会は、監査結果を情報セキュリティポリシーの見直し及びその他の情報セキュリティ対策の見直し時に活用しなければならない。
第2節 自己点検
(実施方法)
第137条 統括情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、必要に応じて自己点検を実施しなければならない。
2 情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。
(報告)
第138条 統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。
(自己点検結果の活用)
第139条 職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシーの見直し及びその他の情報セキュリティ対策の見直し時に活用しなければならない。
第10章 雑則
(実施手順)
第141条 CISOは、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定する。
2 情報セキュリティ実施手順は、公にすることにより本町の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。
附則
1 この訓令は、平成25年10月1日から施行する。
2 美浜町電算室の入退室管理規程(平成14年美浜町訓令第10号)は、廃止する。
3 美浜町情報安全対策基本規程(平成16年美浜町訓令第7号)は、廃止する。
附則(平成30年4月1日訓令第15号)
この訓令は、平成30年4月1日から施行する。
附則(令和3年4月1日訓令第6号)
この訓令は、令和3年4月1日から施行する。
附則(令和3年9月17日訓令第10号)
この訓令は、令和3年9月21日から施行する。
附則(令和4年11月1日訓令第2号)
この訓令は、令和4年11月1日から施行する。
附則(令和5年3月25日訓令第2号)
この訓令は、令和5年4月1日から施行する。
別表(第13条関係)
機密性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
機密性3 | 行政事務で取り扱う情報資産のうち、個人情報の保護に関する法律第2条第1項で規定する個人情報に相当する機密性を要する情報資産 | 機密性2の取扱制限に加え、支給以外の端末での作業を原則として禁止 |
機密性2 | 行政事務で取り扱う情報資産のうち、美浜町情報公開条例(平成18年美浜町条例第31号)第7条で規定する不開示情報を含む情報資産(機密性3の情報資産を除く。) | ・必要以上の複製及び配布禁止 ・保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持込禁止 ・情報の送信、情報資産の運搬及び提供時における暗号化及びパスワード設定又は情報資産の鍵付きケースへの格納 ・復元不可能な処理を施しての廃棄 ・信頼のできるネットワーク回線の選択 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
機密性1 | 機密性2又は機密性3以外の情報資産 |
完全性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
完全性2 | 行政事務で取り扱う情報資産のうち、破壊、改ざん又は消去により、住民の権利がセキュリティ侵害される又は行政事務の適確な遂行に重大な支障を及ぼすおそれがある情報資産 | ・バックアップ、電子署名付与 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
完全性1 | 完全性2以外の情報資産 |
可用性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利がセキュリティ侵害される又は行政事務の安定的な遂行に重大な支障を及ぼすおそれがある情報資産 | ・バックアップ、指定する時間以内の復旧 ・電磁的記録媒体の施錠可能な場所への保管 |
可用性1 | 可用性2以外の情報資産 |