○日高町情報セキュリティポリシー

平成20年4月1日

訓令第12号

序章 情報セキュリティポリシーの構成

第1章 情報セキュリティ基本方針

1 目的

2 定義

(1) ネットワーク

(2) 情報システム

(3) 情報セキュリティ

(4) 情報セキュリティポリシー

(5) 機密性

(6) 完全性

(7) 可用性

3 適用範囲

(1) 行政機関の範囲

(2) 情報資産の範囲

4 情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務

5 情報セキュリティ管理体制

6 情報資産の分類

7 情報資産への脅威

8 情報セキュリティ対策

9 情報セキュリティ監査及び自己点検の実施

10 情報セキュリティポリシーの見直し

11 情報セキュリティ対策基準の策定

12 情報セキュリティ実施手順の策定

13 情報セキュリティ監査の実施

14 評価及び見直しの実施

第2章 日高町行政全般における情報セキュリティ対策基準

1 対象範囲

2 組織・体制

3 情報資産の分類と管理

(1) 情報資産の管理責任

(2) 情報資産の分類と管理方法

4 物理的セキュリティ

(1) サーバ等

(2) 電算室

(3) ネットワーク

(4) 職員等の端末等

5 人的セキュリティ

(1) 役割・責任

(2) 事故、欠陥に対する報告

(3) アクセスのための認証情報及びパスワードの管理

6 技術的セキュリティ

(1) コンピュータ及びネットワークの管理

(2) アクセス制御

(3) システム開発、導入、保守等

(4) コンピュータウィルス対策

(5) 不正アクセス対策

(6) セキュリティ情報の収集

7 運用

(1) 情報システムの監視

(2) 情報セキュリティポリシーの遵守状況の確認

(3) 運用管理における留意点

(4) 侵害時の対応

8 法令遵守

9 情報セキュリティに関する違反に対する対応

10 評価・見直し

(1) 監査

(2) 点検

(3) 情報セキュリティポリシーの更新

11 その他

序 情報セキュリティポリシーの構成

情報セキュリティポリシーとは、日高町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものを総称する。情報セキュリティポリシーは、日高町が所掌する情報資産に関する業務に携わる全職員、非常勤職員、臨時職員(以下「職員等」という。)及び外部委託事業者に浸透、普及、定着させるものであり、安定的な規範であることが要請される。

しかしながら一方では、技術の進歩等に伴う情報セキュリティを取り巻く急速な状況の変化へ柔軟に対応することも必要である。

このようなことから、情報セキュリティポリシーを一定の普遍性を備えた部分(基本方針)と情報資産を取り巻く状況の変化に依存する部分(対策基準)に分けて策定することとした。

具体的には、情報セキュリティポリシーを、

① 情報セキュリティ基本方針

② 情報セキュリティ対策基準

の2階層に分け、それぞれを策定することとする。また、情報セキュリティポリシーに基づき、情報システム毎の具体的な情報セキュリティ対策の実施手順として情報セキュリティ実施手順を策定することとする(下表参照)。

情報セキュリティポリシーの構成

文書名

内容

情報セキュリティポリシー

情報セキュリティ基本方針

情報セキュリティ対策に関する統一的かつ基本的な方針

情報セキュリティ対策基準

情報セキュリティ基本方針を実行に移すためのすべてのネットワーク及び情報システムに共通の情報セキュリティ対策の基準

情報セキュリティ実施手順

ネットワーク及び情報システム毎に定める情報セキュリティ対策基準に基づいた具体的な実施手順

第1章 情報セキュリティ基本方針

1 目的

この基本方針は、日高町の各情報システムが取り扱う町民の個人情報及び行政運営上重要な情報の破壊、改ざん又は外部への漏洩が発生した場合の被害の重大性にかんがみ、町の保有する情報資産を様々な脅威から防御し、町の情報資産の機密性、完全性及び可用性を維持するための基本的な事項を定め、もって町民の財産及びプライバシーの保全並びに安定的な行政運営の実現に資することを目的とする。

2 定義

(1) ネットワーク

日高町におけるコンピュータ同士を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。

(2) 情報システム

業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。

(3) 情報セキュリティ

情報資産の機密の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。

(4) 情報セキュリティポリシー

この基本方針及び情報セキュリティ対策基準をいう。

(5) 機密性

情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(6) 完全性

情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(7) 可用性

情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

3 適用範囲

(1) 行政機関の範囲

この基本方針が適用される行政機関は、内部部局、行政委員会事務局、議会事務局及び地方公営企業(以下「部局等」という。)とする。ただし、地方自治法(昭和22年法律第67号)第244条に規定する公の施設及び地方教育行政の組織及び運営に関する法律(昭和31年法律第162号)第30条に規定する教育機関については、事務室(職員室を含む。)のみを範囲とし、この基本方針を適用する。

(2) 情報資産の範囲

この基本方針が対象とする情報資産は、次のとおりとする。

ア ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

イ ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書

4 情報セキュリティポリシーの位置付けと職員等及び外部委託事業者の義務

情報セキュリティポリシーは、日高町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。

したがって、日高町長をはじめとして日高町が所掌する情報資産に関する業務に携わるすべての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに業務の遂行に当たって情報セキュリティポリシーを遵守する義務を負うものとする。

5 情報セキュリティ管理体制

日高町の情報資産について、特別職及び管理職が率先して情報セキュリティ対策を推進・管理するための体制を確立するものとする。

6 情報資産の分類

情報資産をその内容に応じて分類し、重要度に応じた情報セキュリティ対策を行うものとする。

7 情報資産への脅威

情報セキュリティポリシーを策定するうえで、情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。

(1) 部外者の侵入による機器又は情報資産の破壊・盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊・盗聴・改ざん・消去等

(2) 職員等又は外部委託事業者による機器又は情報資産の持ち出し、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏えい等

(3) コンピュータウィルス、地震・落雷・火災等の災害並びに事故・故障等によるサービス及び業務の停止

8 情報セキュリティ対策

情報資産への脅威で示した脅威から情報資産を保護するために、以下の情報セキュリティ対策を講ずるものとする。

対策区分

対策内容

物理的セキュリティ対策

情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。

人的セキュリティ対策

情報セキュリティに関する権限や責任を定め、すべての職員等及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底するなど、十分な教育及び啓発が講じられるように必要な対策を講ずる。

技術及び運用におけるセキュリティ対策

情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、システム開発等の外部委託、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。

また、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。

9 情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。

10 情報セキュリティポリシーの見直し

情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

11 情報セキュリティ対策基準の策定

日高町の様々な情報資産について、上記7の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行ううえで必要となる基本的要件を明記した情報セキュリティ対策基準を策定するものとする。

12 情報セキュリティ実施手順の策定

情報セキュリティ対策基準を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定める必要がある。そのため、情報資産に対する脅威及び情報資産の重要度に対応する情報セキュリティ対策基準の基本的な要件に基づき、所管課長等が所掌する情報資産の情報セキュリティ実施手順を策定するものとする。

なお、情報セキュリティポリシー(情報セキュリティ対策基準)及び情報セキュリティ実施手順は、公にすることにより日高町の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。

13 情報セキュリティ監査の実施

情報セキュリティポリシーが遵守されていることを検証するため、必要に応じ監査を実施する。

14 評価及び見直しの実施

情報セキュリティ監査の結果等により、情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に対応するために、情報セキュリティポリシーの見直しを実施する。

第2章 日高町行政全般における情報セキュリティ対策基準

日高町行政全般における情報セキュリティ対策基準とは、情報セキュリティ基本方針を実行に移すための日高町行政全般の情報資産に関する情報セキュリティ対策の基準である。

1 対象範囲

この情報セキュリティポリシーが対象とする行政機関の範囲は、町長部局、各行政委員会、議会及び公営企業とする。

2 組織・体制

日高町の情報セキュリティ管理については、以下の組織・体制とする。

(1) 最高情報統括責任者(CIO)…総務課を担当する副町長(以下「副町長」という。)

(2) ネットワーク・情報システム統括管理者…情報管理部門を担当する課長(以下「情報管理担当課長」という。)

(3) 情報セキュリティ・システム管理者…各課長等

(4) ネットワーク・情報システム担当者…総務課及び地域住民課にて情報管理を担当する者(以下「情報管理担当」という。)

(5) 情報システム操作者…各課職員等

(6) 日高町行政電算情報推進委員会…別途委員長(総務課長)が選任した者

組織及び体制図は、下記のとおりである。

画像

3 情報資産の分類と管理

(1) 情報資産の管理責任

ア 管理責任

情報資産は、当該情報資産を作成した各課長等が、当該情報管理責任者としての管理責任を有する。

イ 利用者の責任

情報資産を利用する者は、情報資産の分類に従い利用する責任を有する。

ウ 重要性の効力

情報資産が複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。

(2) 情報資産の分類と管理方法

ア 情報資産の分類

対象となるネットワーク及び情報システムの情報資産は、各々の情報資産の機密性、完全性及び可用性を踏まえ、次の重要性分類に従って分類する。

重要性分類

分類内容

分類Ⅰ

個人情報及びセキュリティ侵害が日高町の住民の生命、財産等へ重大な影響を及ぼす情報

分類Ⅱ

公開することを予定していない情報及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼす情報

分類Ⅲ

外部に公開する情報のうち、セキュリティ侵害が行政事務の執行等に軽微な影響を及ぼす情報

分類Ⅳ

上記以外の情報

イ 情報資産の管理方法

(ア) 情報資産の分類の表示

・ 情報システムで扱う情報資産について、第三者が重要性の識別を容易に認識できないように留意しつつ、印刷、ディスプレイ等への表示、記録媒体等に格納する際の媒体(FDへのラベル等)について、ファイル名、記録媒体等に情報資産の分類が分かるように表示をするなど適切な管理を行わなければならない。

(イ) 情報の作成

・ 職員等は、業務上必要のない情報を作成してはならない。

・ 情報を作成する者は、情報の作成時に重要性分類に基づき分類し、必要に応じ取扱い制度について定めなければならない。

・ 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。

(ウ) 情報資産の入手

・ 庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

・ 庁外の者が作成した情報資産を入手した者は、重要性分類に基づき当該情報を分類し、必要に応じ取扱い制限を定めなければならない。

・ 情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ管理者に判断を仰がなければならない。

(エ) 情報資産の利用

・ 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

・ 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。

・ 情報資産を利用する者は、記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該記録媒体を取り扱わなければならない。

(オ) 情報資産の保管

・ 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

・ 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って情報資産を適切に保管しなければならない。

・ 情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した外部記録媒体を長期保管する場合は書込禁止の措置を講じなければならない。

・ 情報セキュリティ管理者又は情報システム管理者は、重要性分類でⅠ及びⅡに該当する情報を記録した外部記録媒体を保管する場合、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

(カ) 情報の送信

・ 電子メール等により情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない。

(キ) 情報資産の運搬

・ 車両等により重要性分類でⅠ及びⅡに該当する情報資産を運搬する者は、必要に応じ鍵付のケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

・ 重要性分類でⅠ及びⅡに該当する情報資産を運搬する者は、情報セキュリティ管理者に許可を得なければならない。

(ク) 情報資産の提供・公表

・ 重要性分類でⅠ及びⅡに該当する情報資産を外部に提供する者は、必要に応じ暗号化又はパスワードの設定を行わなければならない。

・ 重要性分類でⅠ及びⅡに該当する情報資産を外部に提供する者は、情報セキュリティ管理者に許可を得なければならない。

・ 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

(ケ) 情報資産の廃棄

・ 重要性分類でⅠ及びⅡに該当する情報資産を廃棄する者は、情報を記録している記録媒体が不要になった場合、記録媒体の初期等、情報を復元できないように処置した上で廃棄しなければならない。

4 物理的セキュリティ

(1) サーバ等

ア 装置の取付け等

(ア) ネットワーク及び情報システムの取付けを行う場合は、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切な固定など必要な措置を施さなければならない。

(イ) ネットワーク・情報システム統括管理者、情報セキュリティ・システム管理者、ネットワーク・情報システム担当者、情報システム操作者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように、利用者のID、パスワードの設定等の措置を施さなければならない。パスワードは可能な限り複雑なものにしなければならない。

イ 電源

(ア) サーバ等の機器の電源については、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源(無停電電源装置等)を備え付けなければならない。

(イ) 落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

ウ 配線

(ア) 配線は、傍受又は損傷等を受けることがないように可能な限り必要な措置を施さなければならない。

(イ) 主要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。

(ウ) ネットワーク接続口(ハブのポート等)は、他の者が容易に発見できない場所に設置しなければならない。

(エ) ネットワーク・情報システム統括管理者は、ネットワーク・情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更、追加できないように必要な措置を施さなければならない。

エ 外部に設置する装置

(ア) 外部に設置する装置は、最高情報統括責任者の承認を受けたものでなければならない。また、最高情報統括責任者は、定期的に当該装置の情報セキュリティの水準について確認しなければならない。

(イ) 端末を庁舎外に持ち出して使用することは原則禁止とする。ただし、業務上やむを得ず庁舎外に持ち出さなければならない場合において、ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者の許可を受けた場合はこの限りでない。

(ウ) ネットワーク・情報システム統括管理者は、前記(イ)により業務上やむを得ず庁舎外に持ち出して使用する端末及び記録媒体について、使用方法を定めるほか、「貸出(持出)機器及び記録媒体等管理簿」(第1号様式)により適切に管理しなければならない。

(2) 電算室

ア 電算室

(ア) ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等又は重要性分類Ⅰ及びⅡの情報資産の管理並びに運用を行うための部屋(以下「電算室」という。)は、水害対策及び確実な入退室管理を行える環境に設けなければならない。また、外部からの侵入が容易にできないようにしなければならない。

(イ) 電算室から外部に通ずるドアは必要最小限とし、鍵等によって許可されていない者の出入りを防止しなければならない。

(ウ) 電算室内の機器類は、耐震対策を講じた場所に設置するとともに、防火措置等を施さなければならない。なお、電算室内の機器類の配置は、緊急時に職員等が円滑に避難できるように配慮しなければならない。

(エ) 電算室内は常に防火に努めなければならない。

イ 電算室の入退室管理

(ア) 電算室の入退室は情報システム管理者から事前に指定された者(以下「入退室指定者」という。)及び、電算室管理責任者の許可を受けた者(以下「入退室許可者」という。)とし、ネットワーク・情報システム担当者(恒常的な作業をする者も含む。)以外の職員が入退室する場合は、「職員入退室管理簿」(第2号様式)に必ず記載を行い、また、外部委託事業者等が入退室する場合は、「部外者入退室管理簿」(第3号様式)に、必ず記載を行わなければならない。

(イ) 電算室への入退室する際は、職員等はネームプレートを着用し、また、外部委託事業者等は身分証明書を携帯し、求めによりそれを提示しなければならない。

ウ 機器等の搬入場所

(ア) 電算室へ機器等を搬入する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、職員による確認を行わなければならない。

(イ) 機器等の搬入には、職員が同行するなどの必要な措置を施さなければならない。

(3) ネットワーク

ア 外部へのネットワーク接続は、必要最低限のものに限定し、できる限り接続ポイントを減らさなければならない。

イ ネットワークに使用する回線は、伝送途上において破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が施されたものでなければならない。

(4) 職員等の端末等

執務室等に職員等がいない場合は、執務室等の施錠等による盗難防止のための措置を施さなければならない。

5 人的セキュリティ

(1) 役割・責任

ア 最高情報統括責任者(CIO=Chief Information Officerの略)

日高町副町長を、日高町におけるすべてのネットワーク、情報システム、情報資産及び情報セキュリティに関する最終決定権限並びに責任を有する最高責任者(CIO:最高情報統括責任者)とする。

イ ネットワーク・情報システム統括管理者

(ア) 日高町職員(一時的に日高町における公務員身分を取得した者を除く。)のうち、情報通信ネットワーク技術に関する高度な専門知識と高い公務員倫理を有する者として、最高情報統括責任者直属のネットワーク・情報システム統括管理者を情報管理担当課長とする。

ネットワーク・情報システム統括管理者は、最高情報統括責任者を補佐しなければならない。

(イ) ネットワーク・情報システム統括管理者は、日高町のすべてのネットワークにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。

(ウ) ネットワーク・情報システム統括管理者は、日高町すべてのネットワークにおける情報セキュリティに関する統括的な権限及び責任を有する。

(エ) ネットワーク・情報システム統括管理者は、情報セキュリティ・システム管理者、ネットワーク・情報システム担当者及び情報システム操作者に対して情報セキュリティに関する指導及び助言を行う権限を有する。

(オ) ネットワーク・情報システム統括管理者は、日高町の情報資産に対する侵害又は侵害のおそれのある場合には、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき必要かつ十分なすべての措置を行う権限及び責任を有する。

(カ) ネットワーク・情報システム統括管理者は、日高町のすべてのネットワークに関するセキュリティ実施手順の統括的な維持・管理を行う。

(キ) ネットワーク・情報システム統括管理者は、組織内における情報システムの連絡体制の構築及び情報セキュリティポリシーの遵守に関する意見の集約並びに職員等に対する教育、訓練、助言及び指示を行う。

ウ 情報セキュリティ・システム管理者

(ア) 町長部局の課室長、各行政委員会の課室局長、議会事務局長及び公営企業の課長をその所管組織の情報セキュリティ・システム管理者とする。

(イ) 情報セキュリティ・システム管理者は、ネットワーク・情報システム統括管理者の下、所管組織内における情報セキュリティポリシーの遵守に関する権限と責任を有する。

(ウ) 情報セキュリティ・システム管理者は、所掌に属する課等における情報資産に対する侵害又は侵害のおそれのある場合には、最高情報統括責任者及びネットワーク・情報システム統括管理者へ速やかに報告を行い、指示を仰がなければならない。

(エ) 情報セキュリティ・システム管理者は、所管する情報システムにおける設定の変更、運用、更新を行う権限及び責任を有する。

(オ) 情報セキュリティ・システム管理者は、担当する情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う。

エ ネットワーク・情報システム担当者

(ア) ネットワーク・情報システム担当者は、ネットワーク・情報システム統括管理者の指示等に従い、日高町のすべてのネットワーク、情報システム及び情報資産に関するセキュリティの維持、管理のための作業を行う。

(イ) ネットワーク・情報システム担当者は、日高町の情報資産に対する侵害又は侵害のおそれのある場合には、ネットワーク・情報システム統括管理者の指示等に従い、必要かつ十分なすべての措置を行う。

(ウ) ネットワーク・情報システム担当者は、電算室の入退室管理事務を行う。

オ 情報システム操作者

情報システム操作者は、担当する情報システムに関して、情報セキュリティ・システム管理者の指示等に従い、設定の変更、運用、更新等の作業を行う。

カ 職員

(ア) 情報セキュリティ対策の遵守義務

すべての職員は、情報セキュリティポリシー及び情報セキュリティ実施手順に定められている事項を遵守しなければならない。

情報セキュリティ対策について不明な点、遵守することが困難な点などについては、速やかに情報セキュリティ・システム管理者に相談し、指示等を仰がなければならない。

(イ) 端末装置時間外使用

端末装置の使用時間は、職員の勤務時間内とし、時間外に使用するときは、「電算機器時間外使用申請書」(第4号様式)を情報システム管理者に提出し、承認を受けなければならない。

(ウ) 端末等の庁舎外持出

すべての職員は、情報セキュリティ・システム管理者及びネットワーク・情報セキュリティ統括管理者の許可を得ず、端末等を庁舎外に持ち出してはならない。

端末等を庁舎外に持ち出しする場合については、「機器貸出(持出)申請書」(第5号様式)にて申請を行い、承認を受けなければならない。

(エ) その他

・ すべての職員は、使用する端末や記録媒体について、第三者に使用されること又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。

・ すべての職員は、私的物品(ハード・ソフト等すべてを含む。)を庁舎内に持ち込み、情報セキュリティ・システム管理者及びネットワーク・情報セキュリティ統括管理者の許可を得ず、端末に変更を加えてはならない。

・ すべての職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。

キ 非常勤職員及び臨時職員

(ア) 情報セキュリティ対策の遵守義務

・ すべての非常勤職員及び臨時職員は、情報セキュリティポリシー及び情報セキュリティ実施手順に定められている事項を遵守しなければならない。

・ 情報セキュリティ対策について不明な点、遵守することが困難な点などについては、速やかに情報セキュリティ・システム管理者に相談し、指示等を仰がなければならない。

(イ) 非常勤職員及び臨時職員の雇用及び契約

・ 非常勤職員及び臨時職員には、雇用及び契約時に必ず情報セキュリティポリシーのうち、非常勤職員及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。

・ 非常勤職員及び臨時職員には、雇用及び契約の際、必要な場合は「情報セキュリティポリシー遵守誓約書」(第6号様式)への署名を求めるものとする。

・ 非常勤職員及び臨時職員に端末による作業を行わせる場合においては、インターネットへの接続及びメールの使用が不要の場合には、これを利用できないように設定しなければならない。

(ウ) その他

・ すべての非常勤職員及び臨時職員は、使用する端末や記録媒体について、第三者に使用されること、又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。

・ すべての非常勤職員及び臨時職員は、情報セキュリティ・システム管理者及びネットワーク・情報システム統括管理者の許可を得ず、端末等を庁舎外に持ち出してはならない。

・ すべての非常勤職員及び臨時職員は、異動、退職等により業務を離れる場合には、知り得た情報資産を秘匿しなければならない。

ク 日高町電算情報推進委員会

(ア) 事務処理の効率化を進め、住民サービスの向上を図るとともに、町行政の総合的な情報化を進めるため、日高町電算情報推進委員会(以下「推進委員会」という。)を設置する。

(イ) 推進委員会は、別に定める「推進委員会設置規程」に規定される職員をもって組織し、委員は委員長(総務課長)が別に選任する。

(ウ) 推進委員会設置規程における任務は、次に掲げる事項であるが、日高町の情報セキュリティの維持管理を統一的な視点で行うため、情報セキュリティポリシー及び情報セキュリティ実施手順の改善等に係る事項に関しても審議するものとする。

・ 行政事務の改善、向上に関すること。

・ 行政情報化に向けた方向性の検討及びその運用に関すること。

・ 行政情報化に伴う庁内環境の整備に関すること。

・ 内部行政システムの検討及び導入に関すること。

・ 内部行政システムの運用及び管理に関すること。

・ データの保護及び管理に関すること。

・ その他行政情報化推進のための目的達成に必要な事項

ケ 外部委託に関する管理

(ア) ネットワーク及び情報システムの開発・保守を外部委託事業者に発注する場合は、外部委託事業者から再委託を受ける事業者も含めて、原則的に下記事項を明記した契約を締結しなければならない。

・ 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

・ 業務上知り得た情報の守秘義務

・ 提供された情報の目的外利用及び受託者以外の者への提供の禁止

・ 提供された情報の返還義務

・ 日高町に対する報告義務

・ 日高町による定期的な報告徴収、監査・検査の実施

・ 従業員に対する教育の実施

・ 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)

(イ) 町が所有する情報の処理に関し、個人データ等の処理のために外部事業者等に委託する場合には、再委託によるデータの処理を禁止するとともに、原則的に上記(ア)に明記した事項をもとに契約条項を定め行わなければならない。

(2) 事故、欠陥に対する報告

ア 職員等は、情報セキュリティに関する事故、システム上の欠陥及び誤動作を発見した場合には、速やかに所管する情報セキュリティ・システム管理者に報告し、必要な措置を講じなければならない。また、事故等が軽度である場合を除き、情報セキュリティ・システム管理者は、最高情報統括責任者及びネットワーク・情報システム統括管理者に速やかに報告し、指示等を仰がなければならない。

イ 職員等は、日高町が管理するネットワーク及び情報システムに関する事故、欠陥に関する住民からの報告・連絡を受けた場合には、速やかに情報セキュリティ・システム管理者に連絡しなければならない。また、事故等が軽度である場合を除き、情報セキュリティ・システム管理者は、最高情報統括責任者及びネットワーク・情報システム統括管理者に速やかに報告し、指示等を仰がなければならない。

ウ ネットワーク・情報システム統括管理者は、これらの事故等を分析し、再発防止に努めなければならない。

(3) アクセスのための認証情報及びパスワードの管理

ア ICカード等の管理

職員等は、自己の管理するICカード等に関し、別に定めがある場合を除き、次の事項を遵守しなければならない。

・ ICカード等の認証に用いるカード類は、職員等間で共有してはならない。

・ ICカード等は、カードリーダ又は端末のスロット等に常時挿入してはならない。

・ 職員等はICカード等を紛失した場合には、速やかにネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者に通報し、指示を仰がなければならない。

・ ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、通報があり次第速やかに当該ICカード等を使用したアクセス等を停止しなければならない。

イ パスワードの管理

職員等は、自己の保有するパスワードに関し、次の事項を遵守しなければならない。

・ パスワードを秘密にし、パスワードの照会等には一切応じないこと。

・ パスワードのメモを作らないこと。

・ パスワードの長さは十分な長さとし、文字列は想像しにくいものとすること。

・ 情報システム又はパスワードに対する危険のおそれがある場合には、ネットワーク・情報システム担当者に申し出て、パスワードを速やかに変更すること。

・ 複数の情報システムを扱う職員等は、原則的にパスワードをシステム間で共有しないこと。

・ 端末にパスワードを記憶させないこと。

・ 職員等間でパスワードを共有しないこと。

6 技術的セキュリティ

(1) コンピュータ及びネットワークの管理

ア アクセス記録の監視等

重要な情報資産を扱う情報システムについて、ネットワーク・情報システム統括管理者は、定期的にアクセス記録等を分析、監視しなければならない。

イ システム管理記録及び作業の確認

ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、担当するシステムにおいて行ったシステム変更等の処理について記録を作成し、作業記録を適切に管理しなければならない。

ウ 障害記録

ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、職員等から報告のあった情報、システムの障害に対する処理又は問題等は障害記録として体系的に記録し、常に活用できるよう保存しなければならない。

エ 情報システム仕様書等の管理

ネットワーク構成図は、ネットワーク・情報システム統括管理者が保管し、また、情報システム仕様書については、ネットワーク・情報システム統括管理者若しくは情報セキュリティ・システム管理者が記録媒体に関わらず業務上必要とする者のみが閲覧できる場所に保管しなければならない。また、構築に際して事業者に外部委託した場合、当該事業者に守秘義務を課さなければならない。

オ 情報及びソフトウェアの交換

組織間において、情報システムに関する情報及びソフトウェアを交換する場合は、その取り扱いに関する事項をあらかじめ定め、ネットワーク・情報システム統括管理者の許可を得なければならない。

カ 無線LAN及びネットワークの盗聴対策

統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

キ バックアップ

ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、ファイルサーバ等に記録された情報について、その重要度に応じて期間を設定し、定期的にバックアップ用の複製をとらなければならない。

ク メール

(ア) ネットワーク・情報システム統括管理者は、外部から外部へのメール転送(メールの中継処理)を不可能とするなど、情報システム全般に悪影響を与えないような設定を施さなければならない。

(イ) 職員等は、メールの自動転送機能を用いて、職場のメールを転送してはならない。

(ウ) 職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

(エ) メールの容量は5MBを上限とし、5MBを超えるメールの送受信はしてはならない。

(オ) 全職員等が使用できるメールボックスの容量は限られているため、処理が済んだメールは職員等が自ら削除するか、記録媒体に移動し、適正な容量の確保に努めなければならない。

(カ) 職員等は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。

ケ 外部の者が利用できるシステム

外部の者が利用できるシステムについては、必要に応じ他の情報システムと物理的に分けるなど、情報セキュリティ対策について特に強固な対策をとらなければならない。

コ 情報システムの入出力データ

(ア) 情報システムに入力されるデータは、適切なチェック等を行い、それが正確であることを確実にするための対策を施さなければならない。

(イ) エラー又は故意の行為により情報が改ざんされるおそれがある場合、これを検出する手段を講じなければならない。

(ウ) 情報システムから出力されるデータは、保存された情報の処理が正しく反映され、出力されることを確保しなければならない。

サ 業務目的以外の使用の禁止

(ア) 職員等は、業務目的以外での情報システムへのアクセス及びメールの使用を行ってはならない。

また、職員等は業務目的以外でウェブページを閲覧してはならない。職員等が業務目的以外でウェブページを閲覧した場合、ネットワーク・情報システム統括管理者は当該職員等が所属する課室等の情報セキュリティ・システム管理者に通知し、適切な措置を求めなければならない。

改善されない場合、ネットワーク・情報システム統括管理者は、当該職員等のウェブページ閲覧に関する権利を停止あるいは剥奪することができる。

(イ) ネットワーク・情報システム統括管理者は、職員等のウェブページ閲覧に関する権利を停止あるいは剥奪した場合、最高情報統括責任者及び当該職員等が所属する課室等の情報セキュリティ・システム管理者にその旨通知しなければならない。

シ 無許可ソフトウェアの導入等の禁止

(ア) 職員等が業務上の必要から次の行為をなす場合には、個別にネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者の許可を必要とする。

・ 標準実装以外のアプリケーションソフトの端末へのインストール

・ 端末のネットワーク設定の変更

(イ) 無許可で標準実装以外のアプリケーションソフトを端末にインストールし、又は端末のネットワーク設定を変更し、若しくは端末の有害なデスクトップ設定の変更をした職員等は処分の対象とする。

ス 機器構成の変更の禁止

(ア) 職員等は、端末に対して改造及び機器の増設・交換を行ってはならない。

(イ) 職員等は、端末に対し業務を遂行するためにやむを得ず機器の増設・交換を行う必要がある場合は、ネットワーク・情報システム統括管理者の許可を得なければならない。

(ウ) 職員等は、モデム等の機器を増設して他の環境へのネットワーク接続を行うことや、外部からのアクセスを可能とする仕組みを構築する場合は、ネットワーク・情報システム統括管理者の許可を得なければならない。

無許可で改造及び機器の増設・交換を行った職員等は処分の対象とする。

セ 電子商取引

電子商取引に関しては、禁止する。

ソ その他

職員等が利用するプロトコルは、業務上必要最低限のものとする。

(2) アクセス制御

ア 利用者登録

ネットワーク・情報システム担当者は、利用者の登録、変更、抹消、登録した情報資産の管理、異動や日高町外への出向等の職員等及び退職者における利用者IDの取り扱いなどについて、定められた方法に従って行わなければならない。

必要な利用者登録・変更は、ネットワーク・情報システム統括管理者に対する申請により行う。

イ 管理者権限

(ア) ネットワークの管理者権限

・ ネットワークの管理者権限は、1人の者に与え厳重に管理しなければならない。

・ ネットワーク・情報システム統括管理者の権限を代行する者は、ネットワーク・情報システム統括管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかに情報セキュリティ・システム管理者に周知しなければならない。

(イ) 情報システムにおける管理者権限

・ 情報システムにおける管理者権限は、必要最低限の者に与え、厳重に管理しなければならない。

・ 情報システムにおける管理者権限を代行する者は、ネットワーク・情報システム統括管理者が指名し、最高情報統括責任者が認めた者でなければならない。代行者を認めた場合、最高情報統括責任者は速やかに情報セキュリティ・システム管理者に周知しなければならない。

ウ インターネット以外のネットワークにおけるアクセス制御

ネットワーク・情報システム統括管理者は、アクセス可能なネットワーク又はネットワーク上のサービス毎にアクセスできる者を定めなければならない。

ネットワーク・情報システム統括管理者は、ネットワークサービスを使用する権限を有しない職員等が当該サービスを使用できるようにしてはならない。

エ 強制的な経路制御

ネットワーク・情報システム統括管理者は、不正アクセスを防止するため、適切なネットワーク経路制御を施さなければならない。

オ 外部からのアクセス

(ア) 外部からのアクセスの許可は、必要最低限にしなければならない。

外部から日高町すべてのネットワーク及び情報システムにアクセスする場合は、外部アクセスサーバに対してのみ接続を許可することとし、直接内部のネットワークに接続させてはならない。

ただし、外部委託業者でセキュリティ条件を満たし、なおかつ最高情報統括責任者が許可したものについては、この限りでない。

アクセス方法及び使用方法は、利用者の真正性の確保が確定できるものでなければならない。

(イ) 日高町におけるすべてのネットワーク及び情報システムへのモバイル端末等による外部からのアクセスは、禁止する。

カ 基幹系ネットワーク及び住民基本台帳ネットワークシステムとの接続

基幹系ネットワーク及び住民基本台帳ネットワークシステムについては、当該接続において取り扱う情報資産の重要性を考慮し、適切なアクセス制御を実施する。

キ 外部ネットワークとの接続

(ア) 外部ネットワークとの接続に当たっては、当該外部ネットワークのネットワーク構成、機器構成、セキュリティレベル等を詳細に検討し、日高町のすべてのネットワーク、情報システム及び情報資産に影響が生じないと明確に確認したうえで、最高情報統括責任者及びネットワーク・情報システム統括管理者の許可に基づき接続しなければならない。

その利用は、ネットワーク・情報システム統括管理者の適切な管理下で行い、接続に際しては情報セキュリティに留意したネットワーク構成をとらなければならない。

この場合、当該外部ネットワークの瑕疵により日高町のデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

(イ) 接続した外部ネットワークのセキュリティに問題が認められ、日高町の情報資産に脅威が生じることが想定される場合には、ネットワーク・情報システム統括管理者の判断に従い速やかに当該外部ネットワークを物理的に遮断しなければならない。

ク パスワードの管理方法

(ア) ネットワーク・情報システム統括管理者及びネットワーク・情報システム担当者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

(イ) ネットワーク・情報システム統括管理者及びネットワーク・情報システム担当者は、職員等のパスワードについて、定期的にその妥当性について調査を行わなければならない。

(ウ) ネットワーク・情報システム統括管理者及びネットワーク・情報システム担当者は、職員等のパスワードについて、第三者に読まれることのないよう暗号化等パスワードを扱う方法を定めなければならない。

ケ 接続時間の制限

管理者権限によるネットワーク及び情報システムへの接続については、必要最小限の接続時間に制限しなければならない。

(3) システム開発、導入、保守等

ア 情報システムの調達

(ア) 最高情報統括責任者は、応用ソフトウェアの開発、変更及び運用についての手順並びに基準を明らかにしなければならない。

(イ) 最高情報統括責任者は、機器及び基本ソフトウェアの導入、保守及び撤去についての手順並びに基準を明らかにしなければならない。

(ウ) ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、情報システムの調達に当たっては、一般に公開する調達仕様書が情報セキュリティ確保のうえで問題のないようにしなければならない。

(エ) ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、機器及びソフトウェアを購入等する場合は、当該製品が情報セキュリティ上問題にならないかどうか、確認しなければならない。

イ 情報システムの変更管理

情報セキュリティ・システム管理者は、情報システムを追加、更新、廃棄等をした場合は、その際の設定、構成等の履歴を記録し、保存しなければならない。

ウ 情報システムの開発

最高情報統括責任者は、ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者に指示し、システム開発及び保守時の事故・不正行為対策のため、次の事項を定めなければならない。

・ 責任者及び監督者

・ 作業者及び作業範囲

・ システム開発、保守等の事故・不正行為に係るリスク分析

・ 開発・保守するシステムと運用システムの分離

・ 開発・保守の際のセキュリティ上問題となりうるおそれのあるOS、ミドルウェア及びアプリケーションソフトの使用禁止

・ 開発・保守の際のアクセス制限

・ 機器の搬出入の際の、ネットワーク・情報システム統括管理者の許可及び確認

・ 開発・保守記録の提出義務

・ マニュアル等の定められた場所への保管

・ 開発・保守を行った者の利用者ID、パスワード等の当該開発・保守終了後に不要となった時点での速やかな抹消

・ 守秘義務

・ 再委託管理

エ システムの導入

(ア) ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、新たにシステムを導入する際には、既に稼動しているシステムに接続する前に十分な試験を行わなければならない。

(イ) 情報セキュリティ・システム管理者は、試験に使用したデータ及びその結果を最高情報統括責任者並びにネットワーク・情報システム統括管理者へ提出するとともに厳重に保管しなければならない。

オ ソフトウェアの保守及び更新

ソフトウェア(独自開発ソフトウェア及び汎用ソフトウェア)等を更新する場合又は修正プログラムを導入する場合は、不具合及び他のシステムとの相性の確認を行い、計画的に更新し、又は導入しなければならない。

ネットワーク・情報システム統括管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて、速やかな対応を行うこととし、その他のソフトウェアの更新等については、計画的に実施しなければならない。

カ システムの受諾事業者への規定

(ア) 新たなシステムの開発を外部の事業者に委託する場合は、契約担当課において経営状況など、契約履行が可能であるか確認を取り、必要に応じて導入前の検査要求事項等を契約に定めることとする。

(イ) 情報セキュリティ・システム管理者又はネットワーク・情報システム担当者は、作業中に身分証明書の提示を事業者に求め、適正な者が作業に従事しているか確認を行わなければならない。

また、守秘のための契約を事業者と結ばなければならない。

キ 機器の修理及び廃棄

(ア) 記憶媒体の含まれる機器について、外部の事業者に修理させ、又は廃棄する場合は、その内容が消去された状態で行わなければならない。

(イ) 故障を外部の事業者に修理させる際、情報資産を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。また、重要な機器については、復元不可能な廃棄を行わなければならない。

ク 管理記録

ネットワーク・情報システム統括管理者は、担当するシステムにおいて行ったシステム変更等の作業については、記録を作成し適切に管理を行わなければならない。

(4) コンピュータウィルス対策

ア 無許可ソフトウェアの導入は禁止する。

イ 外部ネットワークから情報又はソフトウェアを取り入れる際には、FW段階でウイルスチェックを行うとともに、サーバ側及び端末側においてもウイルスチェックを行わなければならない。

ウ 外部のネットワークへ情報又はソフトウェアを送信する際にもFW段階でウイルスチェックを行い外部へウイルスが拡散することを未然に防止しなければならない。

エ ネットワーク・情報システム統括管理者は、次の事項を実施しなければならない。

・ ウイルス情報について職員等に対する注意喚起を行うこと。

・ 常時ウイルスに関する情報収集に努めること。

・ サーバ等において、ウイルスチェックを行うこと。

・ ウイルスチェック用のパターンファイルは常に最新のものに保つこと。

オ 情報セキュリティ・システム管理者は、次の事項を実施しなければならない。

・ 端末において、ウイルスチェックを行うこと。

・ ウイルスチェック用のパターンファイルは常に最新のものに保つこと。

カ 職員等は、次の事項を遵守しなければならない。

・ 外部からデータ又はソフトウェアを取り入れる場合には、必ずウイルスチェックを行うこと。

・ 差出人が不明又は不自然に添付されたファイルは速やかに削除すること。

・ ネットワーク・情報システム統括管理者が提供するウイルス情報を常に確認すること。

・ 添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。

(5) 不正アクセス対策

ア ネットワーク・情報システム担当者は、次の事項を実施しなければならない。

・ 使用終了若しくは使用される予定のないポートを長時間空けた状態のままにしてはならない。

・ セキュリティホールの発見に努め、メーカー等からパッチの提供があり次第速やかにパッチを当てなければならない。

・ 不正アクセスによるウェブページ書換え防止を確実にするために、担当職員等によるものであるか否かに関わりなくデータの書換えを検出し、ネットワーク・情報システム担当者へ通報するように設定を施さなければならない。

・ 重要なシステムの設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査すること。

イ 攻撃を受けることが明確な場合には、ネットワーク・情報システム統括管理者はシステムの停止を含む必要な措置を講じなければならない。

また、関係機関との連絡を密にして情報の収集に努めなければならない。

ウ 攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。

エ 攻撃の可能性が明確であるにもかかわらず職員等の怠惰が原因でデータの漏えい、破壊、改ざん、システムダウン等により行政業務に深刻な影響をもたらした場合には、当該職員等を地方公務員法による懲戒の対象とする。

オ 職員等による不正アクセスがあった場合、ネットワーク・情報システム統括管理者は、情報セキュリティ・システム管理者に通知し、適切な処置を求めなければならない。

職員等による不正アクセスの結果、データの漏えい、破壊、改ざん、システムダウン等により行政業務に深刻な影響をもたらした場合には、当該職員等を地方公務員法による懲戒の対象とし、悪質な場合には刑事告発の対象とする。

(6) セキュリティ情報の収集

ア ネットワーク・情報システム統括管理者は、情報セキュリティに関する情報を収集し、日高町すべてのネットワーク及び情報システムについてソフトウェアにパッチを当てるなど、セキュリティ対策上必要な措置を講じなければならない。

イ 最高情報統括責任者は、これらの情報を定期的に取りまとめ、関係部局等に通知するとともに、情報セキュリティポリシーの改定につながる情報については、電算情報推進委員会に報告しなければならない。

ウ ネットワーク・情報システム統括管理者は、情報セキュリティ実施手順に定める緊急に連絡すべき情報を入手した場合は、当該手順に定める情報連絡先に連絡しなければならない。

7 運用

(1) 情報システムの監視

ア セキュリティに関する事案を検知するため、ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、常に情報システムの監視を行わなければならない。

イ 外部と常時接続するシステムについては、ネットワーク侵入監視装置を設置し、24時間監視を行わなければならない。

ウ 内部のシステムについて、定期的な検査を行い、異常な運用等の監視を行わなければならない。

エ 監視により得られた結果については、盗聴、改ざん、消去等を防止するために必要な措置を施し、安全な場所に保管しなければならない。また、これらの記録の正確性を確保するため、正確な時刻の設定を行わなければならない。

(2) 情報セキュリティポリシーの遵守状況の確認

ア ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、情報セキュリティポリシーが遵守されているかどうかについて、また、問題が発生していないかについて常に確認を行い、問題が発生していた場合には速やかに最高情報統括責任者に報告しなければならない。

イ 最高情報統括責任者は、発生した問題に迅速かつ適切に対処しなければならない。

ウ 職員等は、情報セキュリティポリシーの違反が発生した場合は、直ちにネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者に報告を行わなければならない。違反の発生時には、それが直ちに情報セキュリティ上重大な影響を及ぼす可能性があるとネットワーク・情報システム統括管理者が判断した場合は、情報セキュリティ実施手順に従って連絡を行わなければならない。

エ ネットワーク・情報システム統括管理者は、サーバ等のシステム設定が情報セキュリティポリシーを遵守しているかどうかについて、又は問題が発生していないかについて定期的に確認を行い、問題が発生していた場合には迅速かつ適切に対処しなければならない。

(3) 運用管理における留意点

ア 最高情報統括責任者は、アクセス記録、メール等個人のプライバシーに係る情報を閲覧できる権限を有する職員等を情報セキュリティ実施手順に定めなければならない。ただし、法令で定められた個人情報の保護に関係する情報の閲覧に関しては、当該法令に定められた手続に従う。

イ 情報セキュリティ・システム管理者は、職員等が常に情報セキュリティポリシー及び情報セキュリティ実施手順を参照できるよう配慮しなければならない。

(4) 侵害時の対応

情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるために、情報セキュリティ実施手順の緊急時対応を次のとおり定める。

ア 連絡先

・ 日高町長

・ 最高情報統括責任者

・ ネットワーク・情報システム統括管理者

・ 情報セキュリティ・システム管理者

・ ネットワーク・情報システム担当者

・ 情報システムに係る外部委託事業者

・ 北海道

・ 警察

・ 関係機関

・ 影響が考えられる個人及び法人

イ 事案の調査

セキュリティに関する事案を認めた者は、次の項目について、速やかにネットワーク・情報システム統括管理者に報告しなければならない。

・ 症状の分類

・ 事案が発生した原因として想定される行為

・ 確認した被害・影響範囲

・ 記録

ネットワーク・情報システム統括管理者は、事案の詳細な調査を行うとともに、最高情報統括責任者との情報共有及び必要に応じて電算情報推進委員会への報告を行わなければならない。

ウ 事案への対処

ネットワーク・情報システム統括管理者は、事案に対処するために次の項目を実施しなければならない。

(ア) ネットワーク・情報システム統括管理者は、次の事案が発生した場合、それぞれ定められた連絡先へ連絡しなければならない。

・ サイバーテロその他の町民に重大な被害が生じるおそれがあるとき(日高町長、最高情報統括責任者、警察、北海道、その他関係機関、影響が考えられる個人及び法人)

・ 不正アクセスその他の犯罪と思慮されるとき(日高町長、最高情報統括責任者、警察、北海道、その他関係機関、影響が考えられる個人及び法人)

・ 踏み台となって他者に被害を与えるおそれがあるとき(日高町長、最高情報統括責任者、警察、北海道、その他関係機関)

・ 情報システムに関する被害(日高町長、最高情報統括責任者、情報セキュリティ・システム管理者、北海道、その他関係機関、関係部局等)

・ その他情報資産に係る被害(日高町長、最高情報統括責任者、情報セキュリティ・システム管理者、北海道、その他関係機関、関係部局等)

(イ) ネットワーク・情報システム統括管理者は、次の事案が発生し情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講ずる。

・ 異常なアクセスが継続しているとき、又は不正アクセスが判明したとき。

・ システムの運用に著しい支障をきたす攻撃が継続しているとき。

・ コンピュータウィルス等不正プログラムがネットワーク経由で広がっているとき。

・ 情報資産に係る重大な被害が想定されるとき。

(ウ) 情報セキュリティ・システム管理者は、次の事案が発生し情報資産の防護のために情報システムの停止がやむを得ない場合は、情報システムを停止する。

・ コンピュータウィルス等不正プログラムが情報資産に深刻な被害を及ぼしているとき。

・ 災害等により電源を供給することが危険又は困難なとき。

・ その他の情報資産に係る重大な被害が想定されるとき。

(エ) 個々の端末のネットワークからの切断については、ネットワーク・情報システム統括管理者の許可が必要である。ただし、情報資産の被害の拡大を直ちに停止させる必要がある場合には、事後報告とすることができる。

(オ) 事案に係るシステムのアクセス記録及び現状を保存する。

(カ) 事案に対処した経過を記録する。

(キ) 事案に係る証拠保全の実施を完了するとともに、再発防止の暫定措置を検討する。

(ク) 再発防止の暫定措置を講じた後、復旧する。

(ケ) 復旧後、必要と認められる期間、再発監視を行う。

エ 再発防止の措置

(ア) ネットワーク・情報システム統括管理者は、当該事案に係るリスク分析を実施し、情報セキュリティポリシー及び情報セキュリティ実施手順の改善に係る再発防止策を策定し、電算情報推進委員会へ報告しなければならない。

電算情報推進委員会は、情報セキュリティポリシー及び情報セキュリティ実施手順の改善に係る再発防止策が有効であると認められる場合は、これを承認する。

(イ) ネットワーク・情報システム統括管理者は、各種セキュリティ対策の改善に係る再発防止策を策定し、最高情報統括責任者へ報告しなければならない。最高情報統括責任者は、これらの再発防止策が有効であると認められる場合は、これを承認し、事案の概要とあわせ職員等に周知しなければならない。

オ 外部委託による運用契約

運用を外部委託する場合は、委託に関する責任を有する部署を明確にするとともに、外部委託事業者に対し必要なセキュリティ要件を記載した契約書による契約を締結しなければならない。

委託に関する責任を有する部署は、委託先において必要なセキュリティ対策が確保されていることを確認し、その内容をネットワーク・情報システム統括管理者に報告するとともに、その重要度に応じて最高情報統括責任者に報告しなければならない。

8 法令遵守

職員等は、職務の遂行において使用する情報資産について、次の法令等を遵守し、これに従わなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2) 著作権法(昭和45年法律第48号)

(3) 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)

9 情報セキュリティに関する違反に対する対応

情報セキュリティポリシーに違反した職員等及びその監督責任者に対しては、その重大性、発生した事案の状況等に応じて地方公務員法による懲戒処分等の対象とする。

職員等の情報セキュリティポリシーに違反する行為を確認した場合には、速やかに適切な措置を求めなければならない。

10 評価・見直し

(1) 監査

ア ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は、ネットワーク及び情報システムの情報セキュリティについて監査を定期的に行わなければならない。

イ 外部委託事業者に委託している場合、ネットワーク・情報システム統括管理者及び情報セキュリティ・システム管理者は外部委託事業者から下請けとして受託している業者も含めて、情報セキュリティポリシーの遵守について必要に応じ監査を行わなければならない。

ウ 最高情報統括責任者は監査結果を取りまとめ、情報セキュリティポリシーの更新の際に参照する情報資産として活用するものとする。

(2) 点検

ネットワーク・情報システム統括管理者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて職員等にアンケート等を行い、また自己点検を行わなければならない。ネットワーク・情報セキュリティ管理者は、これを取りまとめ最高情報統括責任者に報告する。最高情報統括責任者は、この報告結果を情報セキュリティポリシー更新の際に参照する情報資産として活用するものとする。

(3) 情報セキュリティポリシーの更新

新たに必要な対策が発生した場合又は監査の結果及び点検の結果を踏まえ、最高情報統括責任者は必要に応じ電算情報推進委員会の意見を聞き、情報セキュリティポリシーの実効性を評価し、必要な部分を見直し、内容及び時期について決定を行う。

この決定に基づき、情報セキュリティポリシーの更新を実施する。

11 その他

情報セキュリティポリシーに関し、特段の定めのない事項は、日高町長が最高情報統括責任者等と協議のうえ、別途定める。

附 則

この訓令は、平成20年4月1日から施行する。

附 則(平成25年3月29日訓令第6号)

この訓令は、平成25年4月1日から施行する。

画像

画像

画像

画像

画像

画像

日高町情報セキュリティポリシー

平成20年4月1日 訓令第12号

(平成25年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報管理
沿革情報
平成20年4月1日 訓令第12号
平成25年3月29日 訓令第6号