○乙訓消防組合情報セキュリティに関する規程
平成18年3月2日
訓令第2号
目次
第1章 総則(第1条―第4条)
第2章 基本方針(第5条―第8条)
第3章 対策基準
第1節 人的情報セキュリティ対策(第9条―第15条)
第2節 情報資産の分類及び管理(第16条―第19条)
第3節 物理的情報セキュリティ対策(第20条―第24条)
第4節 技術的情報セキュリティ対策(第25条―第31条)
第5節 運用による情報セキュリティ対策(第32条―第38条)
第6節 監査・評価(第39条・第40条)
附則
第1章 総則
(目的)
第1条 この訓令は、乙訓消防組合が保有する情報資産の機密性、完全性及び可用性を維持するため、乙訓消防組合が行う情報セキュリティ対策の基本的な方針及び対策の基準を定めることを目的とする。
(対象範囲)
第2条 この訓令が対象とする乙訓消防組合の機関の範囲は、管理者、消防長、公平委員会、監査委員及び議会(以下「実施機関」という。)とする。
(定義)
第3条 この訓令の用語の意義は、次の各号に定めるところによる。
(1) 情報ネットワーク 庁内(消防本部、消防署及び分署をいう。)に敷設又は設置され、主に消防事務を行うために使用される通信網を指し、物理的論理的に区分された庁内情報システム、財務会計システム、人事給与システム、消防OAシステム及び指令系システムで構成されるすべてをいう。
(2) 情報システム 情報ネットワーク上で運用するコンピュータ処理システムをいう。
(3) 情報資産 情報ネットワーク及び情報システムを構成するハードウェア並びに情報ネットワーク及び情報システムで取り扱うすべてのデータをいう。
(4) 機密性 許可された者だけが情報資産にアクセスできることを保証することをいう。
(5) 完全性 情報資産が常に正確及び完全である状態を保護することをいう。
(6) 可用性 許可された者が情報資産を確実に利用できることをいう。
(7) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(8) 管理者権限 情報資産に係るすべての設定及び操作ができる権限をいう。
(9) 職員 実施機関の構成員(非常勤職員及び臨時職員を含む。)をいう。
(情報資産への脅威)
第4条 情報資産に対して想定される脅威は、次のとおりとする。
(1) 災害(地震、火災、落雷等)
(2) 障害(機器の故障、回線の不通等)
(3) 過失(プログラムミス、操作ミス等)
(4) 不正(不正アクセス、データ改ざん、持ち出し等)
第2章 基本方針
(情報セキュリティ対策)
第5条 実施機関は、保有する情報資産を前条の脅威から保護するため、次に掲げる情報セキュリティ対策を講ずるものとする。
(1) 人的情報セキュリティ対策 情報セキュリティに関する職員の役割及び遵守すべき事項の規定と、研修等の職員に対する周知及び徹底を図るための措置
(2) 物理的情報セキュリティ対策(情報資産を有する施設への不正な立ち入り、損傷、盗難等の事故及び災害から情報資産を保護するための入退室管理等の必要な措置)
(3) 技術的情報セキュリティ対策(情報資産への不正アクセスやウイルスから保護するための情報資産へのアクセス制御、ウイルス対策等の技術的対策)
(4) 運用による情報セキュリティ対策(情報資産の管理、セキュリティ対策の遵守状況の確認、緊急事態発生時の危機管理対策の運用面での対策)
(情報セキュリティ対策の体系)
第6条 前条の情報セキュリティ対策を推進するため、この訓令のほか、情報システムごとに具体的な手順を定めた実施手順(以下「実施手順」という。)を定めるものとする。
2 前項により定める実施手順及びこの訓令を総称して、セキュリティポリシーとする。
(監査)
第7条 実施機関は、情報セキュリティが確保されていることを確認するため、定期的に監査を受けなければならない。
(評価及び見直し)
第8条 実施機関は、情報セキュリティの検証の結果等に基づき、情報セキュリティの状況を評価するとともに、情報セキュリティを取り巻く状況の変化に対応するため、必要に応じてセキュリティポリシーの見直しを行うものとする。
第3章 対策基準
第1節 人的情報セキュリティ対策
(管理体制)
第9条 乙訓消防組合の人的な情報セキュリティの管理体制は次のとおりとし、それぞれに定める権限及び責任又は任務を有するものとする。
(1) 最高情報総括責任者(消防長) 乙訓消防組合におけるすべてのネットワーク、情報システム、情報セキュリティ及び情報政策を立案する最終決定権限及び責任
(2) 総括管理者(次長)
ア 乙訓消防組合の情報ネットワークにおける開発、設定の変更、運用及び更新等を行う権限及び責任
イ 乙訓消防組合のすべての情報セキュリティに関する権限及び責任
ウ 総括情報セキュリティ管理者、情報セキュリティ管理者、情報システム管理者に対して、情報セキュリティに関する指導及び助言を行う権限
エ 乙訓消防組合の情報資産に対する侵害又は侵害のおそれがある場合に、最高情報総括責任者の指示に従い、最高情報総括責任者が不在の場合は自らの判断に基づき必要かつ十分なすべての措置を行う権限及び責任
(3) 情報ネットワーク管理責任者(総務課長)
ア 総括管理者の下、乙訓消防組合の情報ネットワークの整備及び運用並びに情報ネットワークの適性かつ円滑な運用を図るために必要な事務の遂行
イ 総括管理者の下、乙訓消防組合のすべての情報ネットワーク、情報システム及び情報資産に関する情報セキュリティの実施手順の維持・管理
ウ 情報システムの情報セキュリティに関する監査
(4) 総括情報セキュリティ管理者(消防署長及び総務課長)
ア 実施機関における情報セキュリティに関する総括的な権限及び責任
イ 実施機関における情報システムの連絡体制の構築、この訓令の遵守に関する意見の集約
(5) 情報セキュリティ管理者(課等の長)
ア 所管する課等における訓令の遵守に関する権限及び責任
イ 所管する課等における情報資産に対する侵害又は侵害するおそれのある場合には、最高情報総括責任者及び情報ネットワーク管理責任者に速やかに報告を行い、指示を仰ぎ、速やかに総括情報セキュリティ管理者に報告すること。
(6) 情報システム管理者(各情報システムの担当課長)
ア 所管する情報システムにおける開発、設定の変更、運用、更新等を発議する権限及び責任
イ 所管する情報システムにおける情報セキュリティに関する権限及び責任
ウ 所管する実施手順の維持・管理
(7) 情報システム担当者(情報システム管理者の指示又は承認を得た者) 担当する情報システムに関して、情報システム管理者の指示等に従い、開発、設定の変更、運用、更新等に係る作業
(乙訓消防組合情報セキュリティ委員会)
第10条 乙訓消防組合の情報セキュリティの維持管理を統一的な視点で行うため、乙訓消防組合情報セキュリティ委員会(以下「委員会」という。)を置く。
2 委員会は、この訓令の改定等、情報セキュリティに関する重要な事項を審議する。
3 委員会は、乙訓消防組合行政補完機関設置規程(平成14年乙訓消防組合訓令第1号)に規定する幹部会議をもって構成し、委員長は消防長とする。
4 委員会は、緊急時対応計画の策定及び見直しを行い、情報資産の漏えい等事故が発生した場合に即応できるように体制を整えなければならない。
5 委員会は、情報システムの情報セキュリティに関する監査の報告を評価する。
(職員の義務)
第11条 職員は、次の事項を遵守しなければならない。
(1) この訓令及び情報ネットワークの管理運営に係る関係例規等の遵守
(2) 情報セキュリティについて不明な点がある場合に、速やかに情報セキュリティ管理者に相談し、指示を仰ぐこと。
(3) 使用する端末や記録媒体について使用権限のない者の使用を防ぐため、適切な措置をとること。
(4) 情報セキュリティ管理者の許可無しに、端末等を執務室外へ持ち出さないこと。
(5) 異動、退職等により業務を離れた後も、業務上知り得た情報資産を秘匿すること。
(非常勤職員及び臨時職員の情報ネットワークの利用に係る手続き)
第12条 情報セキュリティ管理者は、非常勤及び臨時職員にネットワークを利用させる際には、次の事項を遵守しなければならない。
(1) 非常勤及び臨時職員に端末による作業を行わせる場合において、当該職員専用のアカウントを発行する手続きをとること。
(2) 非常勤及び臨時職員の利用に当たって、部署フォルダ及び庁内情報システムのグループウェアの使用が不要な場合は、これを利用できないように設定の手続きをとること。
(教育及び訓練)
第13条 最高情報総括責任者は、すべての職員に対しこの訓令について普及啓発しなければならない。
2 情報システム管理者は、必要に応じて情報システム管理者向けの教育を受けるものとする。
3 職員は、定められた研修に参加し、この訓令を理解し、及び実行しなければならない。
(事故、欠陥に対する報告)
第14条 職員は、情報セキュリティに関する事故、システム上の欠陥又は誤動作を発見した場合には、速やかに情報セキュリティ管理者及び情報ネットワーク管理責任者に報告し、その指示に従い、必要な措置を講じなければならない。
2 情報ネットワーク管理責任者は、前項の事故等について、すべて最高情報総括責任者及び総括管理者に報告しなければならない。
3 情報ネットワーク管理責任者は、発生した事故等について分析し、再発防止のための情報資産として記録を保存しなければならない。
(アカウント・パスワードの管理)
第15条 利用者は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードの設定に当たって、英数字や特殊記号を含むなど推測されない文字列で構成すること。
(2) パスワードは必ず秘密とし、照会等には一切応じないこと。
(3) パスワードは定期的に変更し、古いパスワードの再利用をしないこと。
(4) パスワードの秘密を守ることが困難な場合又はそのおそれがある場合に、パスワードを速やかに変更すること。
第2節 情報資産の分類及び管理
(情報資産の分類)
第16条 情報セキュリティ管理者は、当該所属が作成し、又は保有する情報資産について、管理する情報資産の機密性、完全性及び可用性を踏まえ、情報資産の重要性分類(別表第1)に従って分類するものとする。
2 所属の不明な情報資産及び前項の分類が行われていない情報資産については、当該情報資産を作成し、又は保有する者が責任を持って管理を行うこと。
(情報資産の取扱い)
第17条 情報セキュリティ管理者は、情報資産を情報資産の取扱いに関する重要度分類(別表第2)に従って決定し、管理しなければならない。
2 情報セキュリティ管理者は、情報資産の分類ごとに利用できる者及び範囲を定めなければならない。
(情報資産の管理)
第18条 情報セキュリティ管理者は、情報資産について使用権限を有しない者が使用できないように適切な管理を行わなければならない。
2 情報セキュリティ管理者は、前条第1項に規定する重要度分類でⅡ以上に分類される情報資産(以下「重要情報資産」という。)について、バックアップを作成する等必要な措置を講じなければならない。
3 情報セキュリティ管理者は、重要情報資産を記録した媒体について、漏えい、滅失、き損その他の事故を防止するために必要な措置を講じなければならない。
4 業務の必要上、乙訓消防組合の組織内で当該所属以外が有する情報資産を利用しようとする者は、当該情報資産を所管する情報セキュリティ管理者に対し、使用許可を受けなければならない。
(情報資産の廃棄)
第19条 情報セキュリティ管理者は、不要となった情報資産を廃棄する場合は、情報の復元が完全に不可能な状態にした上で廃棄しなければならない。
2 重要情報資産を記録した記録媒体を破棄しようとする者は、情報セキュリティ管理者の許可を得ることとし、当該廃棄処理については、日時、担当者及び処理内容を記録しなければならない。
第3節 物理的情報セキュリティ対策
(サーバ・ネットワーク機器)
第20条 情報システム管理者は、情報システム内でサーバを用いる場合、当該サーバを火災、水害、振動、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう固定する等、必要な措置を考慮しなければならない。
2 情報システム管理者は、重要情報資産を取り扱うサーバについては当該用途専用として他の用途との共用を避けるものとし、構成の二重化や冗長化等により、運用の停止を事前に回避する方法を考慮するものとする。
3 情報ネットワーク管理責任者及び情報システム管理者は、情報システム担当者及び契約により操作を認められた外部委託業者(以下「外部委託者」という。)以外の者がサーバ及びネットワーク機器等(ルータ・スイッチ等)を操作できないように、利用者のID、パスワードの設定等の措置を施さなければならない。
(電源)
第21条 情報ネットワーク管理責任者及び情報システム管理者は、サーバ等の機器の電源については、非常時においても当該機器を適切に停止するまでの間に十分な電力を供給することが可能な容量の予備電源を備え付けなければならない。
(配線)
第22条 情報ネットワーク管理責任者及び情報システム管理者は、情報システムの配線について、傍受を受けず、かつ損傷がないように必要な措置を講じなければならない。
2 情報システムの配線は、情報ネットワーク管理責任者、情報システム管理者が許可した者又は外部委託者以外の者が変更又は追加をしてはならない。
(電算室)
第23条 情報ネットワーク管理責任者は、情報ネットワーク機器等を集中配置した空間(以下「電算室」という。)において、次の事項を遵守しなければならない。
(1) 電算室の出入口を必要最小限とし、権限のない者の立ち入りを防ぐこと。
(2) 電算室の入退室に際し、入退室管理簿による管理を行うこと。
(3) 電算室内の機器類は、防火措置等を施すこと。
2 電算室への機器等の搬入に際しては、情報システム担当者が立会いを行う等の必要な措置を施さなければならない。
(端末等)
第24条 職員は、原則として所属する執務室の中でのみ端末等を使用するものとする。
2 職員は、執務室等に利用者がいない場合は、端末等の盗難防止及び権限のない者による使用を防止するため、施錠等の措置を施さなければならない。
3 職員は、業務上執務室以外に端末等を持ち出す必要がある場合には、盗難、破損等に十分留意した上で、業務に必要な時間のみ使用することとする。ただし、重要情報資産を含む端末等は、情報セキュリティ管理者の許可を得た場合に限り、持ち出せるものとする。
4 職員は、端末を長時間にわたり使用しない場合は、ログオフし、又は端末の電源を切断しなければならない。
5 職員が、私有のコンピュータを業務に使用する行為は禁止する。
第4節 技術的情報セキュリティ対策
(情報システム及び情報資産の管理)
第25条 情報システムの管理記録及び障害記録の管理に当たって、情報ネットワーク管理責任者及び情報システム管理者は、次の事項を遵守しなければならない。
(1) 所管する情報システムにおいて行った変更等の作業についての記録作成及び適切な管理
(2) 利用者から報告のあった所管する情報システムの障害に対する処理内容、問題等の記録及び保存
2 情報システムの仕様書等の管理に当たって、情報ネットワーク管理責任者及び情報システム管理者は、次の事項を遵守しなければならない。
(1) 所管する情報システム及び情報ネットワークの構成図及び仕様書等について、記録媒体に関わらず業務上必要とする者のみが閲覧できる場所に保管すること。
(2) 情報システム仕様書等を業務の必要上外部委託者に閲覧させる場合は、閲覧前に守秘義務を課すこと。
(3) 業務上の必要により情報システム及び情報ネットワークの変更を行った場合は、そのつど当該構成図及び仕様書等の見直しを行い、現状と合致させること。
3 情報システム管理者は、情報資産についてその重要度に応じた期間を設定の上、定期的にバックアップ用の複製をとらなければならないこととし、当該複製は原本と物理的に離れた場所に保管するよう努めなければならない。
(情報ネットワーク及び情報システムの利用)
第26条 職員は、情報ネットワーク及び情報システム業務を遂行する目的以外に利用してはならない。
2 職員は、電子メールの利用に当たって次の事項を遵守しなければならない。
(1) ネットワークへの負荷の軽減を図るため、送信するデータの容量を可能な限り圧縮する等の処置に努めること。
(2) 重要情報資産を外部に送信する場合に電子メールによる送付を控え、電子メールによるときは暗号化等を施すよう努めること。
3 職員は、ソフトウェアのインストールに当たって次の事項を遵守しなければならない。
(1) 各自に供用された端末等に対し、情報ネットワーク管理責任者が定める以外のソフトウェアの導入を行わないこと。
(2) 業務上の必要から情報ネットワーク管理責任者が定める以外のソフトウェアを端末へインストールする場合は、情報ネットワーク管理責任者の許可を受けること。
4 職員は、機器の増設及び設定の変更に当たって、次の事項を遵守しなければならない。
(1) 各自に供用された端末等に対して機器の増設又は改造を行わないこと。
(2) 業務上の必要から情報ネットワーク管理責任者が定める以外の機器の増設を行う必要がある場合は、情報ネットワーク管理責任者の許可を受けること。
5 情報システム管理者は、情報システムの入出力データを取り扱う場合においては、所管する情報システムに入力されるデータに適切なチェックを行い、それが正確であることを期するための対策を施すものとし、情報システムから出力されるデータについては、保存された情報の処理が正しく反映され、出力されることを確保しなければならない。
6 情報システム管理者は、情報資産の性質により特に盗難・漏えい・改ざん等が問題になる場合や情報の完全性が必要とされる場合には、あらかじめ定められた方法によって当該情報資産の暗号化を行うよう努めるものとする。
(アクセス制御)
第27条 情報ネットワーク管理責任者及び情報システム管理者は、利用者についての登録、変更、又は抹消を行った情報資産の管理及び職員の異動又は退職に伴う利用者アカウントの取扱いについて必要な事項を規定し、権限のない者が情報システムを利用できないように措置を講じなければならない。
2 情報ネットワーク管理責任者及び情報システム管理者は、情報ネットワーク及び情報システムの管理者権限を、必要最低限の者に与えるものとし、これを厳重に管理しなければならない。
3 情報ネットワーク管理責任者及び情報システム管理者は、外部のネットワークとの接続について、次の事項を遵守しなければならない。
(1) 接続は、業務上必要がある場合に限ること。
(2) 接続が必要な場合は、当該ネットワークのネット構成、機器構成、セキュリティレベル等を詳細に検討し、乙訓消防組合の保有する情報資産に影響を及ぼす可能性がないことを明確に確認した上で、総括管理者の許可に基づき接続すること。
(3) 接続した外部のネットワークのセキュリティに問題が認められ、乙訓消防組合の保有する情報資産に脅威を及ぼす可能性が生じた場合には、情報ネットワーク管理責任者又は情報システム管理者の判断に従い、速やかに当該外部ネットワークを遮断すること。
4 情報ネットワーク管理責任者及び情報システム管理者は、情報ネットワーク等の利用者の認証と操作記録について、次の事項を実施しなければならない。
(1) 利用者を識別できる利用者IDを設定すること。
(2) 職員のネットワークの利用を記録する手順を定め、これを実行すること。
(システム開発、導入及び保守)
第28条 情報ネットワーク管理責任者及び情報システム管理者は、情報システム導入に当たっては、一般に公開する調達仕様書の仕様を情報セキュリティ面が考慮されたものとし、当該調達品が情報セキュリティを考慮したものであることを確認しなければならない。
2 情報ネットワーク管理責任者及び情報システム管理者は、情報システムを追加、変更、廃棄等した場合は、当該履歴を記録し、保守するとともに、システムの利用基準等を作成しなければならない。
3 情報ネットワーク管理責任者及び情報システム管理者は、システム開発、導入、保守及び変更にあたり、事故及び不正行為への対策として次の事項を実施しなければならない。
(1) 責任者及び監督者の選定
(2) 作業者及び作業範囲の確定
(3) セキュリティ上問題となるおそれのあるOS及びソフトウェアの使用禁止
(4) 対象外の情報システムへのアクセス制限
(5) 作業記録の作成
(6) 機器の搬出入の際の許可及び確認
(7) プログラムソースへのアクセス制限
(8) 不要となったアカウント、パスワード等の速やかな抹消
(9) マニュアル等の定められた場所への保管
4 情報システム管理者は、新しい情報システムを開発する場合は、既に稼動しているシステムに接続する前に十分な試験を行い、稼働中のシステムに影響を与えることなく導入しなければならない。
5 情報システム管理者は、新しい情報システムを導入し、又は開発する際には、将来の運用に問題が生じないよう計画的に行わなければならない。
6 情報システム管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて速やかな対応を行うこととし、その他のソフトウェアの更新等については、計画的に実施しなければならない。
(コンピュータウイルス対策)
第29条 情報ネットワーク管理責任者及び情報システム管理者は、次の各号に掲げるコンピュータウイルス対策について、適切な措置が施されるよう努めなければならない。
(1) ウイルスに関する情報収集並びに当該情報(ウイルスの特徴、感染経路、対策方法等)の職員への伝達及び注意喚起
(2) 端末等に適用するウイルスチェック用のパターンファイルの最新状態への更新
2 職員は、次に掲げるコンピュータウイルス対策について、適切な措置が施されるよう努めなければならない。
(1) 不審なメール(差出人に覚えがない、不審なファイルが添付されている等)をみだりに開封しないこと及び添付ファイルの安全性の確認
(2) ウイルスが添付されている疑いがある受信メールの削除
(3) 情報ネットワーク管理責任者又は情報システム管理者が提供するウイルス情報の確認及び当該情報に沿ったウイルス対策
(4) ウイルスに感染した疑いのある端末をネットワークから物理的に切り離すことによる感染の拡大防止及びウイルス駆除が確認できるまでの当該端末の使用停止
(5) 出処が不明のソフトウェアの使用禁止
(不正アクセス等対策)
第30条 情報ネットワーク管理責任者及び情報システム管理者は、不正アクセス対策として次に掲げる事項を遂行するものとする。
(1) セキュリティホールの発見に努め、メーカー等から修正パッチの提供を受け、かつ既存の情報システムに影響がないことを確認後、速やかにパッチを適用すること。
(2) 外部から攻撃を受ける可能性が高く、その攻撃を防御する手段がない場合は、情報システムの停止及びネットワークの停止を含む必要な措置を講ずること。
(3) 外部から攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等犯罪の可能性がある場合は、記録の保存に努めるとともに、警察及び関係機関との連携に努めること。
(4) 職員による不正アクセス等があった場合は、当該職員の所属する情報セキュリティ管理者に報告して適切な処置を求めること。
(セキュリティ情報の収集)
第31条 情報ネットワーク管理責任者及び総括情報セキュリティ管理者は、情報セキュリティに関する技術的情報を収集し、すべての情報システム管理者に対して情報セキュリティ対策上必要な措置を伝えなければならない。
2 情報システム管理者はこれらの情報セキュリティに関する技術的情報を確認し、所管する情報システムの状況に応じて、必要な対策を講じなければならない。
第5節 運用による情報セキュリティ対策
(情報システム監視)
第32条 情報ネットワーク管理責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、常に情報システムの監視を行わなければならない。
2 監視により得られた結果については、一定期間安全な場所に保存し、これらの記録の信頼性を担保するため、情報システムの時刻は常に正確に保たなければならない。
(遵守状況の確認)
第33条 情報システム管理者及びネットワーク管理者は、セキュリティポリシーの遵守状況について常に確認を行い、遵守しない職員に対しては指導しなければならない。ただし、当該職員が指導に従わない場合は、総括情報セキュリティ管理者に報告するものとする。
(緊急時対応計画)
第34条 情報ネットワーク管理責任者及び情報システム管理者は、情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講ずるため、緊急時対応計画を定めるものとする。
2 緊急時対応計画には、次の項目のうち必要な事項を定めなければならない。
(1) 定められた連絡先への連絡
(2) 情報システムの停止
(3) 個々の端末の情報システムからの切断
(4) 情報システムのアクセス記録及び現状の保存
(5) 対処の経過の保存
(6) 証拠保全及び再発防止の暫定措置の検討
(7) 再発防止の暫定措置を講じた後の復旧措置
(8) その状況に応じて必要と思われる事項
3 緊急時対応計画の中の具体的な連絡先は、それぞれの情報システムごとの実施手順に明記するものとする。
(侵害時の対応)
第35条 情報セキュリティに対する侵害の発生を認めた職員は、次の事項について速やかに情報ネットワーク管理責任者及び情報システム管理者に報告しなければならない。
(1) 事案の内容
(2) 事案の発生原因(判明しない場合は、原因として想定される行為)
(3) 確認した被害及び影響範囲
(4) 予測される被害及び影響範囲
2 情報ネットワーク管理責任者及び情報システム管理者は、前項の情報を受けたときは、事案の詳細な調査を行うとともに、最高情報総括責任者及び情報セキュリティ委員会へ報告しなければならない。
(外部委託者)
第36条 情報ネットワーク管理責任者及び情報システム管理者は、情報システム及びネットワークの保守、運用等について外部委託を行う場合には、事前に当該外部委託者のセキュリティ条件を確認したうえで、次の事項を明記した契約を締結しなければならない。
(1) データ等の秘密保持に関する事項
(2) 権利及び業務の譲渡禁止に関する事項
(3) 再委託の禁止及び制限に関する事項
(4) データ等の複写及び複製の禁止に関する事項
(5) データ等の委託目的以外の使用及び第三者への提供の禁止に関する事項
(6) データ等の庁外への持ち出しの制限に関する事項
(7) 定期的な報告義務に関する事項
(8) 監査の実施に関する事項
(9) 前各号が履行されなかった場合の損害賠償義務等に関する事項
2 委託に関する責任を有する情報システム管理者は、委託先において必要な情報セキュリティ対策が確保されていることを確認し、その内容を総括情報セキュリティ管理者に報告しなければならない。
3 総括情報セキュリティ管理者は、その委託業務の内容を検討のうえ、情報セキュリティ上の問題が存在すると判断した場合は、情報システム管理者に当該問題の是正を求めるものとする。
(法令の遵守)
第37条 職員は、職務の遂行において情報資産を使用する場合は、特に次の法令等を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律
(2) 著作権法(昭和48年法律第48号)
(3) 個人情報の保護に関する法律(平成15年法律第57号)
(違反への対応)
第38条 この訓令に違反する行為を発見した職員及び情報ネットワーク管理責任者は、速やかに次の各号に掲げる措置を講じなければならない。
(1) 情報ネットワーク管理責任者が違反を発見した場合は、情報ネットワーク管理責任者は当該職員が所属する課等の情報セキュリティ管理者に通知し、適切な措置を求めること。
(2) 職員がその他職員の違反を発見した場合は、違反を発見した職員は速やかに情報ネットワーク管理責任者及び当該職員が所属する課等の情報セキュリティ管理者に通知し、適切な措置を求めること。
2 情報セキュリティ管理者の指導後も当該職員の違反が改善されない場合は、情報ネットワーク管理責任者は、総括管理者及び当該職員が所属する課等の情報セキュリティ管理者に速やかに報告することを条件に、当該職員のネットワーク又はシステムの利用に関する権利を停止することができる。
3 職員がこの訓令に違反した場合、その重大性、発生した事案の状況等に応じて、総括管理者及び任命権者は次の各号に掲げる措置を講ずるものとする。
(1) 総括管理者が当該違反の内容を任命権者に報告すること。
(2) 総括管理者の報告に基づき、任命権者が必要と認めるときは当該職員を地方公務員法による懲戒処分の対象とすること。
第6節 監査・評価
(監査)
第39条 情報ネットワーク管理責任者は、情報システムの情報セキュリティについて定期的に監査を行うものとする。
(評価及び見直し)
第40条 情報ネットワーク管理責任者は、前条の規定による監査結果を情報セキュリティ委員会へ報告しなければならない。
2 情報セキュリティ委員会は、前項の報告を評価し、これを根拠としてこの訓令の見直しを行わなければならない。
3 前2項以外の場合であっても、情報セキュリティ委員会は状況に応じてこの訓令の見直しを行わなければならない。
附則
この訓令は、平成18年3月6日から施行する。
附則(令和元年11月29日訓令第1号)
この訓令は、令和元年12月1日から施行する。
附則(令和5年3月30日訓令第2号)
この訓令は、令和5年4月1日から施行する。
別表第1(第16条関係)
情報資産の重要性分類
重要度 | 情報の種別 |
Ⅰ | 個人情報及びセキュリティ侵害が住民の生命及び財産等へ重大な影響を及ぼす情報 |
Ⅱ | 公開することを予定していない情報及びセキュリティ侵害が行政事務の執行等に重大な影響を及ぼす情報 |
Ⅲ | 外部に公開する情報のうち、セキュリティ侵害が行政事務の執行等に軽微な影響を及ぼす情報 |
Ⅳ | 上記以外の情報 |
別表第2(第17条関係)
情報資産の取扱いに関する重要度分類
重要度分類 | Ⅰ・Ⅱ | Ⅲ | Ⅳ |
使用権限者 | 使用を認められた特定の個人に限定する。 | 業務上関係ある個人に限定する。 | 特に限定しない。 |
保管の方法 | 施錠可能な場所で保管しなければならない。 | 可能な限り施錠可能な場所で保管しなければならない。 | 情報セキュリティ管理者に一任する。 |
外部への転送 | 原則として禁止する。 | 必要に応じて制限する。 | 制限しない。 |
暗号化 | 考慮する。 | 必要に応じて考慮する。 | 不要 |
破棄の方法 | 記録を残した上で廃棄する。 | 記録を残した上で廃棄する。 | 情報セキュリティ管理者に一任する。 |
冗長化及び二重化 | 考慮する。 | 必要に応じて考慮する。 | 不要 |
情報の凡例 | 住民情報、人事情報 | 通常業務の情報 | ホームページに公開された情報 |
機密性 | 厳重に求められる。 | 求められる。 | 求めない。 |
可用性 | 厳重に求められる。 | 厳重に求められる。 | 求められる。 |
完全性 | きわめて厳重に求められる。 | 厳重に求められる。 | 求められる。 |