○日高町住民基本台帳ネットワークシステムセキュリティ規程

平成18年3月1日

訓令第27号

目次

第1章 総則(第1条―第3条)

第2章 管理体制(第4条―第8条)

第3章 安全管理(第9条―第19条)

第4章 教育・研修(第20条)

第5章 緊急体制(第21条―第23条)

第6章 委託管理(第24条―第27条)

第7章 その他(第28条―第30条)

附則

第1章 総則

(目的)

第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)で定めのある住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係る安全性及び信頼性を確保するため、その正確性、機密性及び継続性の維持を保ち、もって住民サービスの向上を図ることを目的とする。

(用語の意義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 「セキュリティ」とは、住基ネットの正確性、機密性及び継続性の維持をいう。

(2) 「情報資産」とは、住基ネットに係るすべての情報(データを含む。)並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。

(3) 「建物等」とは、住民基本台帳ネットワークシステムに係る建物及び重要機能室をいう。

(適用範囲)

第3条 この訓令は、住基ネットに係る情報資産及びこれを管理する建物等に適用する。

第2章 管理体制

(セキュリティ統括責任者)

第4条 セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副町長(本庁担当)をもって充てる。

(システム管理者)

第5条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、総務課長をもって充てる。

(セキュリティ責任者)

第6条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、住民課長、日高総合支所地域住民課長及び水・くらしサービスセンター所長をもって充てる。

(セキュリティ会議)

第7条 住基ネットの適切な管理を推進し、緊急時における連絡体制の基礎組織となるため、セキュリティ会議(以下「会議」という。)を置く。

2 会議の議長はセキュリティ統括責任者が務め、定期的に会議を開催する。

3 会議はセキュリティ統括責任者、システム管理者、セキュリティ責任者で組織する。このほか、議長が必要と認めるときは、関係者の出席を求め、その意見又は説明を聴くことができる。

4 会議は、次に掲げる事項を審議する。

(1) セキュリティ対策の決定及び見直し

(2) 前号のセキュリティ対策の遵守状況確認

(3) 監査の実施

(4) 教育・研修の実施

(5) 前各号に定めるもののほか特に必要と認められる事項

5 議長は、前項各号のうち重要と認められる事項を審議するときは、日高町情報公開・個人情報保護委員会の意見を聴くものとする。

6 セキュリティ会議の庶務は、住民課において処理する。

(関係部署に対する指示)

第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部局の長に対して指示し、必要な措置を要請することができる。

第3章 安全管理

(入退室管理)

第9条 次に掲げる住基ネットの管理及び運用が行われる室において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。

セキュリティ区分

レベル2

住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室

レベル1

業務端末の設置室(担当課窓口)

2 それぞれのセキュリティ区分に応じた、入退室管理の方法は次のとおりである。

セキュリティ区分

入退室管理方法

レベル2

入退室を行う場合には、入退室管理者から事前に許可されたもののみが鍵を用いて入退室を行う。識別を行うために、入退室者には名札の着用を義務付ける。また、入退室に関する記録を行う。

レベル1

入退室を行う場合には、入退室管理者から事前に許可されたもののみが入退室を行う。識別を行うために、入退室者には名札の着用を義務付ける。

(入退室管理者)

第10条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器等の設置にあっては、総務課長、業務端末の設置室にあっては住民課長、日高総合支所地域住民課長及び水・くらしサービスセンター所長をもって充てる。

2 入退室管理者は、前条第1項に掲げる室について、同条第2項に定める入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し必要な措置をとらなければならない。特にレベル2のセキュリティ区分に係る室及び場所の鍵については、許可を得たものに限り貸与するものとする。

(指示)

第11条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者等から適宜報告を聴取し、調査を行い必要な指示を行うものとする。

(アクセス管理を行う機器)

第12条 次に掲げる住基ネットの機器構成について、アクセス管理を行う。

(1) サーバ

(2) 業務端末

2 前項のアクセス管理は、操作者識別カード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第13条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2 アクセス管理責任者は、総務課長及び日高総合支所地域住民課長をもって充てる。

(操作者用識別カード)

第14条 アクセス管理責任者は、操作者用識別カード及びパスワードに関し、次に掲げる事項を実施する。

(1) 操作者用識別カード及びパスワードの管理方法を定めること。

(2) 操作者用識別カードの種類ごとの操作者について、住基ネットの部署のセキュリティ責任者と協議して定めること。

(3) 操作者用識別カードの管理簿を定めること。

(操作者の責務)

第15条 操作者は、操作者用識別カード及びパスワードの管理方法を遵守しなければならない。

(操作履歴の記録)

第16条 アクセス管理責任者は、操作履歴について7年前までさかのぼって解析できるよう保管できるものとする。

(情報資産管理)

第17条 住基ネットの情報資産について、管理責任者を置く。

2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カードの管理責任者(以下「本人確認情報管理責任者」という。)は住民課長、日高総合支所地域住民課長及び水・くらしサービスセンター所長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長及び日高総合支所地域住民課長をもって充てる。

(本人確認情報管理責任者)

第18条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び住民基本台帳カードの管理方法を定めるものとする。

(情報資産管理責任者)

第19条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。

2 情報資産管理責任者は、住民課長、日高総合支所地域住民課長及び水・くらしサービスセンター所長と協議して住基ネットの運用計画を定めるものとする。

第4章 教育・研修

(住基ネットの運用管理に対する教育研修の実施)

第20条 セキュリティ責任者は、住基ネットを運用する職員に対して、操作及びセキュリティ対策についての必要な知識や技術を習得させ、機密保持及びシステムの安全を図るため、教育・訓練計画を策定し、セキュリティ統括責任者の了承を得た後これを実行しなければならない。

第5章 緊急体制

(緊急時の意義)

第21条 緊急時とは、住基ネットのすべての場面において、本人確認情報に対するサーバの障害により、住民サービスが停止する場合又は脅威の可能性が高い場合をいう。

(緊急時の種別)

第22条 この訓令において、緊急時の状態とは次の各号に定めるところによる。

(1) 「障害」とは、住基ネットで使用するハードウェア、ソフトウェア及びネットワークの機能が正常に継続できない状態となること。

(2) 「脅威」とは、住基ネットを目的外使用することや、本人確認情報の改ざん及び住基ネットの運用を阻害する行為のこと。

(緊急時対応計画)

第23条 住基ネットは電子計算機を介在し、すべての都道府県、市町村及び指定情報処理機関がネットワーク化されているものであり、緊急時に被害を最小限のものとするために、セキュリティ統括責任者は別表のとおり定めた緊急時対応計画書により、緊急時にはこれら機関と相互に密接な連絡、連携体制を図るものとする。

第6章 委託管理

(委託を受けようとする者の管理体制等の調査)

第24条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。

(外部委託の承認)

第25条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書の記載事項)

第26条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1) 再委託の禁止

(2) 情報が記録された資料の保管、返還又は廃棄に関する事項

(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

(受託者の管理状況の調査)

第27条 住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

第7章 その他

(法令の遵守)

第28条 従事者及び従事者であった者は、法及び住基ネットに関する他の法令を遵守する。

(損害賠償請求等)

第29条 従事者及び従事者であった者が、住基ネット事務処理上重大な支障を来す等の行為を行った場合、損害賠償請求を行う。

(雑則)

第30条 この訓令については、法の改正、情報技術の進展に伴う住基ネットの変更又はその他の事由により適時見直しを行うものとする。

2 この訓令の実施のための手続その他その施行に関し必要な事項は、町長が別に定める。

附 則

この訓令は、平成18年3月1日から施行する。

附 則(平成19年3月26日訓令第2号)

この訓令は、平成19年4月1日から施行する。

附 則(平成20年3月31日訓令第3号)

この訓令は、平成20年4月1日から施行する。

附 則(平成24年2月6日訓令第1号)

この訓令は、平成24年3月1日から施行する。

附 則(平成25年3月29日訓令第6号)

この訓令は、平成25年4月1日から施行する。

別表(第23条関係)

緊急時対応計画書

日高町住民基本台帳ネットワークシステムセキュリティ規程第23条における住基ネット障害発生時における対応を次のとおり定め、セキュリティ統括責任者の指示の下、システム回復及び被害を最小限にとどめる。

第1編 障害時の対応

画像

[手順1] 障害箇所の特定

障害の種類を特定し、更に障害箇所を特定する。サーバの障害による場合には関係部署へ暫定的な対応を行うことを依頼する。

障害の種類とは以下の3種類である。

ハードウェアの障害

故障 等

ソフトウェアの障害

ウイルスの感染

バグ等

ネットワークの障害

交換機の故障

構内回線切断

※障害箇所が事前に判明している場合には手順1を省略し手順2に進む。

障害箇所が判明しない場合には手順2の二次対応に進む。

[手順2] 一次・二次対応の実施

一次対応は情報管理責任者が実施する。

障害の種類によって一次対応の種類が異なる。対応例は以下のとおりである。

ハードウェアに障害がある場合

電源スイッチ・コンセントの確認

警告ランプの確認

形状異状の確認 等

ソフトウェアに障害がある場合

ウイルスチェックソフトウェアによる確認

バグ情報等の確認 等

ネットワークに障害がある場合

電源スイッチ・コンセントの確認

警告ランプの確認

コマンドによる確認

構内回線切断目視チェック 等

二次対応は保守事業者が実施し、次に行う「サーバの動作に関する判断」の助言を行う。

[手順3] サーバの動作に関する判断

情報資産管理責任者は保守事業者の助言を下にサーバが停止する場合にはそのサーバの停止時間と住民サービスへの影響度合いを考慮しセキュリティ統括責任者に対しセキュリティ会議の開催を具申する。

[手順4] セキュリティ会議

セキュリティ会議メンバーの招集を行う。そのために事前に連絡体制を整備(メンバー不参加の場合を含む。)し、招集場所をあらかじめ決めて指定しておく。

セキュリティ会議において、以下の事項を決定する。

決定する事項

対応例

関係機関への連絡

指定情報処理機関

道市町村課

関係市町村等

技術的支援依頼

指定情報処理機関

体制の確立

役割分担の確認

指揮命令系統の確認

住民対応

来所者への対応

ホームページ等での告知

問い合わせ対応

苦情処理

代替措置の実施

あらかじめ、業務ごとにサーバが停止した場合の事務処理を検討しておき、実施する。

[手順5] 保守作業の実施

修理、修復、交換

※保守事業者の作業となる。

[手順6] 運用の再開(復旧)

本人確認情報の整合性を確認して運用を再開する。

[手順7] 再発防止対策(緊急対応計画対象外とする。)

再発の防止を行うためには、障害の原因を究明する必要がある。その上で、再度同様の原因で障害が起きないように技術、運用面から検討を行い、再発の可能性を限りなく少なくする。

第2編 脅威(不正・犯罪)時の対応

画像

[手順1] 被害の把握

・いつ(時刻)

・どこで(場所)

・何を(内容)

[手順2] 被害拡散防止策被害が拡散するおそれがある場合は、拡散の防止を行う。

※場合によっては、外部への協力依頼を行う必要がある。

[手順3] 本人確認情報への脅威に関する判断

本人確認情報への脅威の可能性が高い場合には、セキュリティ統括責任者に対しセキュリティ会議の開催を具申する。

[手順4] セキュリティ会議

事前に定められた連絡網を利用して、セキュリティ会議のメンバーを招集する。

セキュリティ会議は、セキュリティ統括責任者が議長となって以下の項目について決定する。

・関係機関への連絡

・体制の確立

・詳細な被害状況等の把握

・住民サービスの継続/停止の判断

・住民対応

・代替措置の実施

・支援要請

・指定情報処理機関

・広報

・再発防止対策の承認(指定情報処理機関への結果報告)

[手順5] 原因の究明

被害情報、ログ情報、記録簿及び管理簿等を分析し、不正が行われた磁気、場所、方法等を究明する。必要に応じて、指定情報処理機関からの協力を得る。

[手順6] 対応策の実施

アクセス権限の設定変更

操作者用ICカードの再発行

サービスの停止

[手順7] 再発防止対策(緊急対応計画の対象外とする)

管理体制の強化

教育研修の実施

日高町住民基本台帳ネットワークシステムセキュリティ規程

平成18年3月1日 訓令第27号

(平成25年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第6節
沿革情報
平成18年3月1日 訓令第27号
平成19年3月26日 訓令第2号
平成20年3月31日 訓令第3号
平成24年2月6日 訓令第1号
平成25年3月29日 訓令第6号