○坂祝町情報セキュリティ対策規程
令和6年9月11日
訓令第44号
目次
第1章 総則(第1条~第4条)
第2章 情報セキュリティ対策基準
第1節 組織体制(第5条~第15条)
第2節 情報資産の分類及び管理方法(第16条~第26条)
第3節 情報システム全体の強靭性の向上(第27条~第35条)
第4節 物理的セキュリティ
第1款 サーバ等の管理(第36条~第42条)
第2款 管理区域の管理(第43条~第46条)
第3款 通信回線及び通信回線装置の管理(第47条)
第4款 職員等の利用する端末及び電磁的記録媒体等の管理(第48条)
第5節 人的セキュリティ
第1款 職員等の遵守事項(第49条~第60条)
第2款 研修及び訓練(第61条~第64条)
第3款 情報セキュリティインシデントの報告(第65条~第67条)
第4款 ICカード等、ID及びパスワードの取扱い(第68条~第70条)
第6節 技術的セキュリティ
第1款 コンピュータ及びネットワークの管理(第71条~第92条)
第2款 アクセス制御及びID管理(第93条~第100条)
第3款 情報システム開発、導入及び保守等(第101条~第113条)
第4款 不正プログラム対策(第114条~第118条)
第5款 不正アクセス対策(第119条~第125条)
第6款 セキュリティ情報の収集(第126条~第128条)
第7節 運用
第1款 情報システムの監視等(第129条)
第2款 情報セキュリティポリシーの遵守状況の確認(第130条~第132条)
第3款 セキュリティ侵害時の対応等(第133条~第136条)
第4款 情報セキュリティポリシー等の例外措置(第137条~第139条)
第5款 情報資産に関する法令の遵守(第140条)
第6款 懲戒処分等(第141条・第142条)
第8節 業務委託又は外部サービスの利用
第1款 業務委託(第143条~第145条)
第2款 外部サービスの利用(第146条~第154条)
第9節 評価及び見直し
第1款 監査(第155条~第162条)
第2款 自己点検(第163条~第166条)
第10節 委任(第167条)
附則
第1章 総則
(趣旨)
第1条 坂祝町情報セキュリティ基本方針(平成28年訓令第22号)に基づき策定する町の情報資産に関する情報セキュリティ対策の基準については、別に定めがあるものを除くほか、この訓令の定めるところによる。
(1) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、ハードウェア及びソフトウェアによりデータ処理又は通信処理を行う仕組みをいう。
(2) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(3) 情報資産 コンピュータ及び情報システム並びにネットワークにより処理される全ての情報、その他情報システムに関連する施設及び設備(以下「施設等」という。)であって、次に掲げるものをいう。
ア 情報システム及びネットワークで取り扱う情報(紙等の有体物に出力された情報も含む。)
イ 情報システム及びネットワーク並びにこれらに関する施設等又は電磁的記録媒体
ウ 情報システムの仕様書及びネットワーク図等のシステム関連文書
(4) アクセス 情報システムを利用し情報資産を取り扱うことをいう。
(5) 機密性 情報資産にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(6) 完全性 情報資産が破壊、改ざん又は消去をされていない状態を確保することをいう。
(7) 可用性 情報資産にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(8) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(9) 情報セキュリティポリシー 情報セキュリティ基本方針及び情報セキュリティ対策基準をいう。
(10) 情報セキュリティインシデント 情報資産の機密性、完全性及び可用性を害するおそれのある行為又は自然災害等の事象であって、次に掲げるものをいう。
ア 部外者の侵入、不正アクセス、ウイルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、情報資産の詐取、内部不正等
イ 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、プログラム上の欠陥、操作ミス、メンテナンス不備、業務委託・外部サービス管理の不備、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
ウ 地震、落雷、火災その他の災害又は情報資産の障害若しくは故障による情報システムの停止等
エ 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
オ 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(11) マイナンバー利用事務系(個人番号利用事務系) 個人番号利用事務(社会保障、地方税又は防災に関する事務をいう。)及び戸籍事務等に関わる情報システム及びデータをいう。
(12) LGWAN接続系(総合行政ネットワーク系) LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう(マイナンバー利用事務系(個人番号利用事務系)を除く。)。
(13) インターネット接続系 インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(14) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等の方法により、コンピュータウイルス等の不正プログラムの付着がない等、安全が確保された通信をいう。
(15) 職員等 地方公務員法(昭和25年法律第261号)第3条に規定する一般職及び特別職の職員、同法第22条の2に規定する会計年度任用職員及び同法第22条の3に規定する臨時的任用職員をいう。
(16) 受託事業者等 町が自ら行うべき町の情報資産に関する事務、事業等を委ねられた個人又は組織をいう。(外部サービス提供者を除く。)
(17) 外部 情報資産の機密性、完全性及び可用性を害するおそれのあるものであって、次に掲げるものをいう。
ア 職員等及び受託事業者等以外の部外者
イ 国、公共団体等
ウ 住民等の個人、業者・各種団体等の組織
エ 役場庁舎、町が管理する施設等及び場所以外のもの
オ 町が管理する情報システム等以外のもの
カ その他情報セキュリティインシデントのおそれがあるもの
(対象者)
第3条 この規程は、町が保有する情報資産を取り扱う全ての職員等に適用する。
(職員等の遵守義務)
第4条 職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシーを遵守しなければならない。
第2章 情報セキュリティ対策基準
第1節 組織体制
(情報セキュリティを確保するための体制)
第5条 町の情報資産に関する情報セキュリティ対策を総合的に実施するため、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者及び情報システム担当者を置く。
2 CISOは、副町長をもって充てる。
3 統括情報セキュリティ責任者は、総務課長をもって充てる。
4 情報セキュリティ責任者は、坂祝町課設置条例(昭和52年条例第14号)第1条に規定する課、坂祝町水道事業及び下水道事業の設置等に関する条例(昭和50年条例第12号)第3条第2項に規定する水道環境課、坂祝町議会事務局設置条例(昭和62年条例第13号)に規定する議会事務局、坂祝町教育委員会事務局組織規則(平成23年教委規則第4号)第2条に規定する課並びに坂祝町行政組織規則(昭和52年規則第3号)第4条に規定する会計室(以下「課室」という。)の長をもって充てる。
5 情報システム管理者は、総務課総務係長をもって充てる。
6 情報システム担当者は、総務課管財担当をもって充てる。
(CISOの職務)
第6条 CISOは、町の情報資産に関する情報セキュリティ対策を統括し、その職務は、次に掲げるとおりとする。
(1) 町における全ての情報システム及びネットワーク等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
(2) 必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定める。
(3) 町全体の情報セキュリティの現状を把握し、適切なセキュリティ戦略を立案・計画する。
(4) 情報セキュリティを管理するためのフレームワーク、ポリシー、具体的対策・統制を策定し、リスクと優先順位に従って実施する。またその効果についても責任を有する。
(5) 継続的な改善活動を含めPDCA(Plan-Do-Check-Action)サイクルを管理する。そのためには必要に応じてセキュリティ状態の内部監査を行うものとする。
(6) 外部に対してセキュリティの必要性などを説明し、理解を得て協力を要請する。
(7) 社会的公正や環境などへの配慮を組み込み、職員等及び住民、受託事業者等の利害関係者に対して責任ある行動をとるとともに、説明責任を果たすために自らスポークスパーソンとなって情報発信を行う。
(8) 情報セキュリティインシデントに対処するための体制(Computer Security Incident Response Team。以下「CSIRT」という。)を整備し、役割を明確化する。
(統括情報セキュリティ責任者の職務)
第7条 統括情報セキュリティ責任者は、CISOの直属としてCISOを補佐し、その職務は、次に掲げるとおりとする。
(1) 町の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
(2) 町の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
(3) 情報セキュリティ責任者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う。
(4) 情報セキュリティインシデントが発生した場合又は情報セキュリティインシデントのおそれがある場合は、CISOに報告するとともに、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
(5) 情報セキュリティインシデントを認知した場合には、総務省、岐阜県等へ報告しなければならない。
(6) 町の共通的な情報システム、ネットワーク及び情報資産に関する情報セキュリティ実施手順の維持管理を行う権限及び責任を有する。
(7) 緊急時等の円滑な情報共有を図るため、CISO、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者、情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。
(8) 緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。
(9) この規程、その他町の情報資産に関する情報セキュリティ対策に関連する定めに係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。
(情報セキュリティ責任者の職務)
第8条 情報セキュリティ責任者の職務は、次に掲げるとおりとする。
(1) その所掌する課室(出先機関を含む。以下同じ。)の情報セキュリティ対策に関する統括的な権限及び責任を有する。
(2) その所掌する課室において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。
(3) その所掌する課室において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
(4) その所掌する課室において、情報セキュリティインシデントが発生した場合又は情報セキュリティインシデントのおそれがある場合には、統括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(情報システム管理者の職務)
第9条 情報システム管理者の職務は、次に掲げるとおりとする。
(1) 町における全ての情報システムを管理する。
(2) 所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
(3) 所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
(4) 所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。
(情報システム担当者の職務)
第10条 情報システム担当者は、情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う。
(情報セキュリティ委員会の設置)
第11条 町の情報資産に関する情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会を設置する。
2 情報セキュリティ委員会は、統括情報セキュリティ責任者、情報システム管理者及び情報システム担当者から構成する。ただし、必要に応じて、関係する職員等を加えるものとする。
3 情報セキュリティ委員会において、情報セキュリティポリシー及びその実施手順(以下「情報セキュリティポリシー等」という。)並びに情報セキュリティに関する重要な事項を決定する。
4 情報セキュリティ委員会は、毎年度、町における情報セキュリティ対策の改善計画を策定し、その実施状況を確認しなければならない。
(情報セキュリティに関する統一的な窓口の設置)
第12条 情報セキュリティに関し、統一的に対応するため、総務課に情報セキュリティに関する統一的な窓口(以下「セキュリティ窓口」という。)を設置する。
(セキュリティ窓口の役割)
第13条 セキュリティ窓口の役割は、次に掲げるとおりとする。
(1) 課室又はCSIRTから、情報セキュリティインシデントの発生又は情報セキュリティインシデントのおそれがあると報告を受けた場合は、その状況を確認し、統括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(2) 前号の規定に関し、必要に応じて、情報セキュリティ責任者に報告を行い、対応を指示するものとする。
(3) 情報セキュリティインシデントを認知した場合は、その重要度や影響範囲等を勘案し、報道機関への通知、公表対応を行うものとする。
(4) CISOから、第6条第3号に規定するセキュリティ戦略が示された際には、その内容を課室及びCSIRTに提供するものとする。
(5) 情報セキュリティに関して、関係機関、他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、受託事業者等及び外部と情報共有を行わなければならない。
(CSIRTの整備及び役割)
第14条 第6条第8号に規定するCSIRTの整備及び役割は、次に掲げるとおりとする。
(1) CISOは、町が保有する情報資産を取り扱う職員等から、CSIRTに所属する職員等を選任する。
(2) CSIRTに所属する職員等の人数は、CISOが必要と認める人数とする。
(3) 第1号の規定により選任された職員等の中から、CSIRT責任者とCSIRT内の業務統括及び外部との連携等を行う職員等を定めるものとする。
(4) CSIRTに選任された職員等は、所属する課室において、情報セキュリティインシデントの発生又は情報セキュリティインシデントのおそれがある場合は、セキュリティ窓口及び所属する課室の情報セキュリティ責任者へ速やかに報告を行い、指示を仰がなければならない。
(5) CSIRTに選任された職員等は、所属する課室における情報セキュリティに関して、関係機関、他の地方公共団体の特定の情報資産を取り扱う部署、受託事業者等及び外部と情報共有を行わなければならない。
(兼務の禁止)
第15条 町の情報資産に関する情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
2 情報セキュリティの監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。
第2節 情報資産の分類及び管理方法
(情報資産の分類)
第16条 町における情報資産は、機密性、完全性及び可用性により、次に掲げるとおりに分類し、必要に応じ取扱制限を行うものとする。
(1) 機密性による情報資産
分類 | 分類基準 | 取扱制限 |
機密性3 | 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産 | ・支給以外の端末での作業の原則禁止(機密性3の情報資産に対して) ・必要以上の複製及び配布禁止 ・保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持込禁止 ・情報の送信、情報資産の運搬・提供時における暗号化・パスワード設定や鍵付きケースへの格納 ・復元不可能な処理を施しての廃棄 ・信頼のできるネットワーク回線の選択 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
機密性2 | 行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | |
機密性1 | 機密性2又は機密性3の情報資産以外の情報資産 |
(2) 完全性による情報資産
分類 | 分類基準 | 取扱制限 |
完全性2 | 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、電子署名付与 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
完全性1 | 完全性2情報資産以外の情報資産 |
(3) 可用性による情報資産
分類 | 分類基準 | 取扱制限 |
可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、指定する時間以内の復旧 ・電磁的記録媒体の施錠可能な場所への保管 |
可用性1 | 可用性2の情報資産以外の情報資産 |
(情報資産の管理)
第17条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
2 情報資産が複製又は伝送された場合には、複製等された情報資産も前条の分類に基づき管理しなければならない。
(情報資産の分類の表示)
第18条 職員等は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダー・フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限についても明示する等適正な管理を行わなければならない。
(情報の作成)
第19条 職員等又は受託事業者等は、情報を作成するに当たって、次に掲げる事項を遵守しなければならない。
(1) 業務上必要のない情報を作成してはならない。
(2) 情報の作成時に第16条に規定する分類に基づき、当該情報の分類と取扱制限を定めなければならない。
(3) 作成途上の情報についても、紛失、流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。
(情報資産の入手)
第20条 職員等が作成した情報資産を入手した職員等又は受託事業者等は、入手元の情報資産の分類に基づいた取扱いをしなければならない。
2 職員等以外の者が作成した情報資産を入手した職員等又は受託事業者等は、第16条に規定する分類に基づき、当該情報の分類と取扱制限を定めなければならない。
3 入手した情報資産の分類が不明な場合は、情報資産を入手した職員等は情報セキュリティ管理者に判断を仰がなければならない。また、受託事業者等にあっては、関係する職員等を通じて判断を仰ぐものとする。
(情報資産の利用)
第21条 職員等又は受託事業者等は、情報資産を利用するに当たって、次に掲げる事項を遵守しなければならない。
(1) 業務以外の目的に情報資産を利用してはならない。
(2) 情報資産の分類に応じ、適正な取扱いをしなければならない。
(3) 電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。
(情報資産の保管)
第22条 情報セキュリティ管理者又は情報システム管理者は、情報資産を保管するに当たって、次に掲げる事項を遵守しなければならない。
(1) 第16条に規定する分類に従って、情報資産を適正に保管しなければならない。
(2) 情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。
(3) 利用頻度が低い電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合は、自然災害を被る可能性が低い場所に保管しなければならない。
(4) 第16条に規定する機密性2以上、完全性2又は可用性2の情報を記録した電磁的記録媒体を保管する場合、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。
(情報の送信)
第23条 職員等又は受託事業者等は、電子メール等により第16条第1号に規定する機密性2以上の情報資産を送信する場合は、必要に応じ、パスワード等による暗号化を行わなければならない。
2 前項に規定する機密性2以上の情報資産を送信する場合は、事前に情報セキュリティ管理者の許可を得なければならない。
(情報資産の運搬)
第24条 職員等又は受託事業者等は、車両等により第16条第1号に規定する機密性2以上の情報資産を運搬する場合は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。
2 前項に規定する機密性2以上の情報資産を運搬する場合は、事前に情報セキュリティ管理者の許可を得なければならない。
(情報資産の提供及び公表)
第25条 職員等又は受託事業者等は、第16条第1号に規定する機密性2以上の情報資産を外部に提供する場合は、次に掲げる事項を遵守しなければならない。
(1) 必要に応じパスワード等による暗号化を行わなければならない。
(2) 事前に情報セキュリティ管理者の許可を得なければならない。
2 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄)
第26条 職員等又は受託事業者等は、情報資産の廃棄を行う場合は、廃棄日時、廃棄を行った者及び廃棄の際に行った処置内容を記録しなければならない。
2 第16条第1号に規定する機密性2以上の情報資産を廃棄する場合は、情報を記録している電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。
3 第1項に規定する情報資産の廃棄を行う場合は、事前に情報セキュリティ管理者の許可を得なければならない。
第3節 情報システム全体の強靭性の向上
(マイナンバー利用事業系の強靭性の向上)
第27条 マイナンバー利用事業系(個人番号利用事務系)の強靭性の向上は、次に掲げる方法によるものとする。
(1) マイナンバー利用事業系(個人番号利用事務系)と他の領域との分離
(2) 情報のアクセス及び持ち出しにおける対策
(マイナンバー利用事業系と他の領域との分離)
第28条 マイナンバー利用事務系(個人番号利用事務系)と他の領域を通信できないようにしなければならない。
2 マイナンバー利用事務系(個人番号利用事務系)と外部との通信をする必要がある場合は、通信経路の限定(MACアドレス、IPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。また、その外部接続先についてもインターネット等と接続してはならない。
3 前項の規定にかかわらず、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、この限りでなく、LGWAN接続系(総合行政ネットワーク系)を経由して、インターネット等とマイナンバー利用事務系(個人番号利用事務系)との双方向通信でのデータの移送を可能とする。
(情報のアクセス対策)
第29条 情報のアクセス対策として、情報システムが正規の利用者かどうかを判断する認証手段は、二つ以上を併用する認証(多要素認証)を利用しなければならない。
2 前項に規定する認証手段は、業務ごとに専用端末を設置することが望ましい。
(情報の持ち出し対策)
第30条 情報の持ち出し対策として、原則としてUSBメモリ等の電磁的記録媒体による端末からの情報の持ち出しができないように設定しなければならない。
(LGWAN接続系の強靭性の向上)
第31条 LGWAN接続系(総合行政ネットワーク系)の強靭性の向上は、LGWAN接続系(総合行政ネットワーク系)とインターネット接続系の分割による方法によるものとする。
(LGWAN接続系とインターネット接続系の分割)
第32条 LGWAN接続系(総合行政ネットワーク系)とインターネット接続系は両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。
2 メールやデータをLGWAN接続系(総合行政ネットワーク系)に取り込む場合は、次に掲げる実現方式により、無害化通信を図らなければならない。
(1) インターネット環境で受信したインターネットメールの本文のみをLGWAN接続系(総合行政ネットワーク系)に転送するメールテキスト化方式
(2) インターネット接続系の端末から、LGWAN接続系(総合行政ネットワーク系)の端末へ画面を転送する方式
(3) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式
(インターネット接続系の強靭性の向上)
第33条 インターネット接続系の強靭性の向上は、次に掲げる方法によるものとする。
(1) 不正通信の監視機能の強化
(2) 自治体情報セキュリティクラウドへの参加
(不正通信の監視機能の強化)
第34条 通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。
(自治体情報セキュリティクラウドへの参加)
第35条 岐阜県と坂祝町のインターネット接続口を集約する岐阜県の自治体情報セキュリティクラウドに参加するとともに、関係機関、岐阜県等と連携しながら、情報セキュリティ対策を推進しなければならない。
第4節 物理的セキュリティ
第1款 サーバ等の管理
(サーバ等の機器の取り付け)
第36条 情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。
(サーバの冗長化)
第37条 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。
2 情報システム管理者は、メインサーバに障害が発生した場合に、速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。
(機器の電源)
第38条 情報システム管理者は、機器の電源に関して、統括情報セキュリティ責任者及び施設等を管理する課室(以下「施設管理部門」という。)と連携し、次に掲げる対策を講じなければならない。
(1) サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
(2) 落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(通信ケーブル等の配線)
第39条 統括情報セキュリティ責任者及び情報システム管理者は、通信ケーブル等の配線に関して、施設管理部門と連携し、次に掲げる対策を講じなければならない。
(1) 通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
(2) 主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。
(3) ネットワーク接続口(ハブのポート等)を統括情報セキュリティ責任者、情報システム管理者及び情報システム担当者以外の者が容易に接続できない場所に設置する等、適切に管理しなければならない。
(4) 統括情報セキュリティ責任者、情報システム管理者、情報システム担当者及び受託事業者等以外の者が、配線を変更、追加できないように必要な措置を講じなければならない。
(機器の定期保守及び修理)
第40条 情報システム管理者は、第16条第3号に規定する可用性2のサーバ等の機器の定期保守を実施しなければならない。
2 情報システム管理者は、電磁的記録媒体を内蔵する機器を受託事業者等に修理させる場合は、内容を消去した状態で行わせなければならない。
3 前項の規定において、内容を消去できない場合は、情報システム管理者は、受託事業者等に故障を修理させるに当たり、受託事業者等との間で、守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。
(役場庁舎以外への機器の設置)
第41条 統括情報セキュリティ責任者及び情報システム管理者は、役場庁舎以外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(機器の廃棄等)
第42条 情報システム管理者は、機器の廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
第2款 管理区域の管理
(管理区域の設定)
第43条 町における情報資産の機密性、完全性及び可用性を確保するため、次に掲げる場所を管理区域に設定するものとする。
(1) ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋(以下「事務機械室」という。)
(2) 電磁的記録媒体の保管庫
(管理区域の構造)
第44条 統括情報セキュリティ責任者及び情報システム管理者は、管理区域を次に掲げる構造としなければならない。
(1) 管理区域を地階又は1階に設けてはならない。
(2) 管理区域に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。
(3) 事務機械室内の機器等に、転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。
(4) 管理区域を囲む外壁等の床下開口部を全て塞がなければならない。
(5) 管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。
(管理区域の入退室管理等)
第45条 情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。
2 職員等又は受託事業者等は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。
3 情報システム管理者は、受託事業者等又は外部の者が管理区域に入る場合には、必要に応じて立入り区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。
4 情報システム管理者は、第16条第1号に規定する機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。
(管理区域の機器の搬入出)
第46条 情報システム管理者は、管理区域において機器の搬入出が行われる場合、次に掲げる措置を講じなければならない。
(1) 搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員等又は受託事業者等に確認を行わせなければならない。
(2) 事務機械室の機器等の搬入出について、管理区域への入退室を許可された職員等を立ち会わせなければならない。
第3款 通信回線及び通信回線装置の管理
(通信回線及び通信回線装置の管理)
第47条 統括情報セキュリティ責任者は、通信回線及び通信回線装置を適切に管理するため、次に掲げる措置又は対策を講じなければならない。
(1) 通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。
(2) 外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
(3) 行政系のネットワークをLGWAN接続系(総合行政ネットワーク系)に集約するように努めなければならない。
(4) 第16条第1号に規定する機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。
(5) ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分な情報セキュリティ対策を実施しなければならない。
(6) 第16条第3号に規定する可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。
第4款 職員等の利用する端末及び電磁的記録媒体等の管理
(職員等の利用する端末及び電磁的記録媒体等の管理)
第48条 情報システム管理者は、職員等の利用する端末及び電磁的記録媒体等を適切に管理するため、次に掲げる措置又は対策を講じなければならない。
(1) 盗難防止のため、執務室等で利用するパソコンのワイヤーによる固定、モバイル端末の使用時以外の施錠管理等の物理的措置を講じなければならない。
(2) 電磁的記録媒体は、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
(3) 情報システムへのログインパスワードの入力を必要とするように設定しなければならない。
(4) 端末の電源起動時のパスワード(BIOSパスワード、ハードディスクパスワード等)を併用しなければならない。
(5) マイナンバー利用事務系(個人番号利用事務系)では、知識、所持、存在を利用する認証手段のうち二つ以上を併用する認証(多要素認証)を行うよう設定しなければならない。
(6) パソコンやモバイル端末等におけるデータの暗号化等の機能を有効に利用しなければならない。また、パソコンやモバイル端末等にセキュリティチップが搭載されている場合、その機能を有効に活用しなければならない。
(7) モバイル端末を役場庁舎又は出先機関の施設等以外で利用する場合は、前号に規定する対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。
(8) 電磁的記録媒体は、データ暗号化機能を備える媒体を使用しなければならない。
第5節 人的セキュリティ
第1款 職員等の遵守事項
(情報セキュリティポリシー等の遵守)
第49条 職員等は、情報セキュリティポリシー等を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ責任者に相談し、指示を仰がなければならない。
(業務以外の目的での使用の禁止)
第50条 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(パソコン、モバイル端末及び電磁的記録媒体の持ち出し)
第51条 パソコン、モバイル端末及び電磁的記録媒体の持ち出しについては、次に掲げるところによる。
(1) 職員等は、パソコン、モバイル端末及び電磁的記録媒体を原則として外部に持ち出してはならない。
(2) 前号の規定にかかわらず、業務上、パソコン、モバイル端末及び電磁的記録媒体を外部に持ち出す必要がある場合には、情報セキュリティ責任者の許可を得なければならない。
(支給以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用)
第52条 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用については、次に掲げるところによる。
(1) 職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体を原則として業務に利用してはならない。
(2) 前号の規定にかかわらず、業務上、支給以外のパソコン、モバイル端末及び電磁的記録媒体を利用する必要がある場合には、情報セキュリティ責任者の許可を得なければならない。
(3) 職員等は、第16条第1号に規定する機密性3の情報資産については、支給以外のパソコン及びモバイル端末による情報処理を行ってはならない。
2 CISOは、第16条に規定する機密性2以上、可用性2、完全性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。
(持ち出し及び持込みの記録)
第54条 情報セキュリティ責任者は、パソコン、モバイル端末及び電磁的記録媒体の持ち出し及び持込みについて、記録を作成し、保管しなければならない。
(パソコン及びモバイル端末におけるセキュリティ設定変更の禁止)
第55条 職員等は、パソコン及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を情報セキュリティ責任者の許可なく変更してはならない。
(机上の端末等の管理)
第56条 職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ責任者の許可なく情報を閲覧されることがないように、離席時のパソコン、モバイル端末のロック及び電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。
(異動及び退職時等の遵守事項)
第57条 職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
(会計年度任用職員及び臨時的任用職員への対応)
第58条 情報セキュリティ責任者は、職員等のうち会計年度任用職員及び臨時的任用職員(以下「非常勤及び臨時職員」という。)に対し、採用時に情報セキュリティポリシー等のうち、非常勤及び臨時職員が守るべき内容を理解させ、また実施及び遵守させなければならない。
2 情報セキュリティ責任者は、非常勤及び臨時職員の採用の際、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。
3 情報セキュリティ責任者は、非常勤及び臨時職員にパソコン又はモバイル端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。
(情報セキュリティポリシー等の掲示)
第59条 情報セキュリティ責任者は、職員等が常に情報セキュリティポリシー等を閲覧できるように掲示しなければならない。
(受託事業者等に対する説明)
第60条 情報セキュリティ責任者は、情報システム及びネットワークの開発、保守等を受託事業者等に発注する場合、受託事業者等から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち受託事業者等が守るべき内容の遵守及びその機密事項を説明しなければならない。
第2款 研修及び訓練
(情報セキュリティに関する研修及び訓練)
第61条 CISOは、定期的に情報セキュリティに関する研修及び訓練を実施しなければならない。
(研修計画の策定及び実施)
第62条 CISOは、特別職の職員を含め全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。
2 CISOは、研修計画において、職員等が毎年度最低1回、情報セキュリティ研修を受講できるようにしなければならない。
3 CISOは、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
4 研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
5 CISOは、毎年度1回、情報セキュリティ委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。
(緊急時対応訓練)
第63条 CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。
2 前項に係る訓練の計画は、情報システム及びネットワークの規模等を考慮し、訓練実施の体制、範囲等を定め、また、効果的に実施できるようにしなければならない。
(研修及び訓練への参加)
第64条 特別職の職員を含めた全ての職員等は、定められた研修及び訓練に参加しなければならない。
第3款 情報セキュリティインシデントの報告
(職員等からの情報セキュリティインシデントの報告)
第65条 職員等は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ責任者及びセキュリティ窓口に報告しなければならない。
2 前項の報告を受けた情報セキュリティ責任者は、速やかに統括情報セキュリティ責任者、情報システム管理者及びセキュリティ窓口に報告しなければならない。
3 情報セキュリティ責任者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISOに報告しなければならない。
(外部からの情報セキュリティインシデントの報告)
第66条 職員等は、町の情報資産に関する情報セキュリティインシデントについて、外部から報告を受けた場合、情報セキュリティ責任者に報告しなければならない。
2 前項の報告を受けた情報セキュリティ責任者は、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。
3 情報セキュリティ責任者は、当該情報セキュリティインシデントについて、必要に応じてCISOに報告しなければならない。
4 CISOは、町の情報資産に関する情報セキュリティインシデントについて、外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。
5 前項に規定する窓口は、セキュリティ窓口をもって充てる。
6 セキュリティ窓口は、情報セキュリティインシデントを報告した外部に対し、必要に応じ、次条第1項に規定する情報セキュリティインシデントの存否についての評価の結果を回答するものとする。
(情報セキュリティインシデント原因の究明、記録及び再発防止策等)
第67条 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントの存否についての評価を行わなければならない。
2 CSIRTは、前項の規定による評価の結果、情報セキュリティインシデントであると評価した場合は、CISOに速やかに報告しなければならない。
3 CISOは、CSIRTから、前項に基づく情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
4 CSIRTは、評価した情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。
5 CSIRTは、情報セキュリティインシデント原因を究明し、記録を保存しなければならない。
6 CSIRTは、情報セキュリティインシデントの原因究明結果から、再発防止策を検討し、CISOに報告しなければならない。
第4款 ICカード等、ID及びパスワードの取扱い
(ICカード等の取扱い)
第68条 職員等は、自己の管理するICカード等に関し、次に掲げる事項を遵守しなければならない。
(1) 認証に用いるICカード等を、職員等間で共有してはならない。
(2) 業務上必要のないときは、ICカード等をカードリーダ又はパソコン等の端末のスロット等から抜いておかなければならない。
(3) ICカード等を紛失した場合には、統括情報セキュリティ責任者及び情報システム管理者に直ちに通報し、指示に従わなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、職員等から前項第3号に基づくICカード等の紛失等の通報があった場合は、当該ICカード等を使用したアクセス等を直ちに停止しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等を切り替える場合は、切替え前のカードを回収し、破砕する等、復元不可能な処理を行った上で廃棄しなければならない。
(IDの取扱い)
第69条 職員等は、自己の管理するIDに関し、次に掲げる事項を遵守しなければならない。
(1) 自己が利用しているIDは、他人に利用させてはならない。
(2) 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。
(パスワードの取扱い)
第70条 職員等は、自己の管理するパスワードに関し、次に掲げる事項を遵守しなければならない。
(1) パスワードは、他者に知られないように管理しなければならない。
(2) パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
(3) パスワードは、十分な長さとし、文字列は想像しにくいものにしなければならない。
(4) パスワードが流出したおそれがある場合には、情報セキュリティ責任者に速やかに報告し、パスワードを速やかに変更しなければならない。
(5) パスワードは、定期的に。又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。
(6) 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない。
(7) 仮のパスワードは、最初のログイン時点で変更しなければならない。
(8) パソコン等の端末にパスワードを記憶させてはならない。
(9) 職員等間でパスワードを共有してはならない。
第6節 技術的セキュリティ
第1款 コンピュータ及びネットワークの管理
(文書サーバの設定等)
第71条 文書サーバの設定については、次に掲げるところによる。
(1) 情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。
(2) 情報システム管理者は、文書サーバを課室の単位で構成し、職員等が他の課室のフォルダ及びファイルを閲覧し、及び使用できないように、設定しなければならない。
(3) 情報システム管理者は、住民の個人情報、人事記録等、特定の職員等のみが取り扱うことができるデータについて、別途ディレクトリを作成する等の措置を講じ、同一課室等であっても、担当以外の職員等が閲覧し、及び使用できないようにしなければならない。
(バックアップの実施)
第72条 統括情報セキュリティ責任者及び情報システム管理者は、サーバ等に記録された情報について、第37条に規定するサーバの冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。
(他の地方公共団体との情報システムに関する情報等の交換)
第73条 情報システム管理者は、他の地方公共団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。
(システム管理記録及び作業の確認)
第74条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、所管する情報システムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。
3 統括情報セキュリティ責任者、情報システム管理者、情報システム担当者及び受託事業者等がシステム変更等の作業を行う場合は、2人以上で作業し、互いにその作業を確認しなければならない。
(情報システム仕様書等の管理)
第75条 統括情報セキュリティ責任者及び情報システム管理者は、情報システム仕様書及びネットワーク構成図について、記録媒体にかかわらず、業務上必要とする職員等又は受託事業者等以外の者の閲覧、紛失等がないよう、適切に管理しなければならない。
(ログの管理)
第76条 統括情報セキュリティ責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、ログとして取得する項目、保存期間及び取扱方法並びログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、取得したログを定期的に点検し、又は分析する機能を設け、必要に応じて悪意ある者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。
(システム障害の記録)
第77条 統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又はシステム障害の処理に関する問題等を、障害記録として記録し、適切に保存しなければならない。
(ネットワークの接続制御及び経路制御等)
第78条 統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切な接続制御(フィルタリング)及び経路制御(ルーティング)を施さなければならない。
2 統括情報セキュリティ責任者は、接続制御(フィルタリング)及び経路制御(ルーティング)について、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。
(職員等又は受託事業者等以外の者が利用できるシステムの分離等)
第79条 情報システム管理者は、電子申請の汎用受付システム等、外部の者も利用できるシステムについて、必要に応じ他の情報システム及びネットワークと物理的に分離する等の措置を講じなければならない。
(外部ネットワークとの接続制限等)
第80条 情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISO及び統括情報セキュリティ責任者の許可を得なければならない。
2 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全ての情報システム及びネットワーク等の情報資産に影響が生じないことを確認しなければならない。
3 情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、Webサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。
5 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(複合機のセキュリティ管理)
第81条 統括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を定めなければならない。
2 統括情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 統括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消し、又は再利用できないようにする対策を講じなければならない。
(IoT機器を含む特定用途機器のセキュリティ管理)
第82条 統括情報セキュリティ責任者は、IoT機器を含む特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。
(無線LAN及びネットワークの盗聴対策)
第83条 統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。
2 統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
(電子メールの利用制限)
第84条 統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
2 統括情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。
3 統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
4 統括情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。
5 統括情報セキュリティ責任者は、システムの開発、運用、保守等のため役場庁舎及び町が管理する施設等に常駐している受託事業者等の作業員による電子メールアドレス利用について、受託事業者等との間で利用方法を取り決めなければならない。
6 統括情報セキュリティ責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等によりシステム上措置しなければならない。
(電子メールのセキュリティ管理)
第85条 職員等は、電子メールを利用するに当たって、次に掲げる事項を遵守しなければならない。
(1) 自動転送機能を用いて、電子メールを転送してはならない。
(2) 業務上必要のない送信先に電子メールを送信してはならない。
(3) 複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
(4) 重要な電子メールを誤送信した場合、情報セキュリティ責任者に報告しなければならない。
(5) Webで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。
(電子署名等の措置)
第86条 職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定めた電子署名、暗号化、パスワード設定等の措置を講じなければならない。
2 前項の規定に基づき暗号化を行う場合は、CISOが定める以外の方法を用いてはならない。また、CISOが定めた方法で暗号のための鍵を管理しなければならない。
3 CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。
(無許可ソフトウェアの導入等の禁止)
第87条 職員等は、ソフトウェアの導入又は利用に当たって、次に掲げる事項について遵守しなければならない。
(1) パソコン及びモバイル端末に無許可でソフトウェアを導入してはならない。
(2) 無許可で不正にコピーしたソフトウェアを利用してはならない。
2 前項の規定にかかわらず、業務上、ソフトウェアを導入する必要がある場合には、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。
3 前項の規定により、ソフトウェアを導入する際は、情報セキュリティ責任者又は情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。
(機器構成の変更の制限)
第88条 職員等は、パソコンやモバイル端末に対し機器の改造、増設又は交換を行ってはならない。
2 前項の規定にかかわらず、業務上、パソコン及びモバイル端末に対し機器の改造、増設又は交換を行う必要がある場合には、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。
(無許可でのネットワーク接続の禁止)
第89条 職員等は、統括情報セキュリティ責任者の許可なくパソコン及びモバイル端末をネットワークに接続してはならない。
(業務以外の目的でのWeb利用の禁止)
第90条 職員等は、業務以外の目的でWebを利用してはならない。
2 統括情報セキュリティ責任者は、職員等のWeb利用について、明らかに業務に関係のないWebサイトを閲覧している等、業務以外の目的でWeb利用していることを発見した場合は、情報セキュリティ責任者に通知し適切な措置を求めなければならない。
(Web会議サービス利用時の対策)
第91条 統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。
2 職員等は、前項に規定する利用手順に従い、Web会議の参加者及び取り扱う情報に応じた情報セキュリティ対策を実施しなければならない。
3 職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講じなければならない。
4 職員等は、外部からWeb会議に招待される場合は、第1項に規定する利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。
(ソーシャルメディアサービスの利用)
第92条 情報セキュリティ責任者は、町が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(1) 町のアカウントによる情報発信が、実際の町のものであることを明らかにするために、町の自己管理Webサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。
(2) パスワード及び認証のためのコード等の認証情報並びにこれを記録した媒体(ハードディスク、USBメモリ、紙等)等を適正に管理するなどの方法で、不正アクセス対策を実施すること。
2 第16条第1号に規定する機密性2以上の情報は、ソーシャルメディアサービスで発信してはならない。
3 利用するソーシャルメディアサービスごとの責任者を定めなければならない。
4 アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。
5 第16条第3号に規定する可用性2の情報の提供にソーシャルメディアサービスを用いる場合は、町の自己管理Webサイトに当該情報を掲載して参照可能とするものとする。
第2款 アクセス制御及びID管理
(アクセス制御)
第93条 統括情報セキュリティ責任者又は情報システム管理者は、所管する情報システム又はネットワークごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。
(利用者IDの取扱い)
第94条 統括情報セキュリティ責任者及び情報システム管理者は、利用者の登録、変更、抹消等の情報管理及び職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。
2 職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、点検しなければならない。
(特権を付与されたIDの管理等)
第95条 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者(以下「管理権限者」という。)を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
2 管理権限者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。
3 CISOは、管理権限者を認めた場合、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム管理者に通知しなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更について、受託事業者等に行わせてはならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、職員等の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。
6 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。
(職員等による外部からのアクセス等の制限)
第96条 職員等が外部から情報システム又はネットワークにアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。
2 統括情報セキュリティ責任者は、情報システム又はネットワークに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
3 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。
4 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
5 統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するパソコン及びモバイル端末を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。
6 職員等は、持ち込んだ、又は外部から持ち帰ったパソコン又はモバイル端末をネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認しなければならない。
7 職員等及び受託事業者等は、ネットワークを公衆通信回線(公衆無線LAN等)その他外部通信回線に接続してならない。
8 前項の規定にかかわらず、業務上、ネットワークを公衆通信回線(公衆無線LAN等)その他外部通信回線に接続する必要がある場合には、統括情報セキュリティ責任者の許可を得なければならない。
9 前項の規定により、公衆通信回線(公衆無線LAN等)その他外部通信回線への接続を許可する場合は、統括情報セキュリティ責任者は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて、通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。
(自動識別の設定)
第97条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。
(ログイン時の表示等)
第98条 情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定及びログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。
(認証情報の管理)
第99条 統括情報セキュリティ責任者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。また、パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。
2 統括情報セキュリティ責任者又は情報システム管理者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。
3 統括情報セキュリティ責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。
(管理権限者による接続時間の制限)
第100条 情報システム管理者は、管理権限者による情報システム及びネットワークへの接続時間を必要最小限に制限しなければならない。
第3款 情報システム開発、導入及び保守等
(情報システムの調達)
第101条 統括情報セキュリティ責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(情報システムの開発における責任者及び作業者の特定)
第103条 情報システム管理者は、情報システム開発の責任者及び作業者を特定しなければならない。また、情報システム開発のための基準を確立しなければならない。
(情報システムの開発における責任者及び作業者のIDの管理)
第104条 情報システム管理者は、情報システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。
2 情報システム管理者は、情報システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。
(情報システムの開発に用いるハードウェア及びソフトウェアの管理)
第105条 情報システム管理者は、情報システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。
2 情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアを情報システムから削除しなければならない。
(情報システムの導入における開発環境と運用環境の分離及び移行手順の明確化)
第107条 情報システム管理者は、情報システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。
2 情報システム管理者は、情報システム開発、保守及びテスト環境からシステム運用環境への移行について、情報システム開発又は保守計画の策定時に手順を明確にしなければならない。
3 情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。
4 情報システム管理者は、導入する情報システム又はサービスの可用性が確保されていることを確認した上で導入しなければならない。
(情報システムの導入におけるテスト)
第108条 情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分なテストを行わなければならない。
2 情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。
3 情報システム管理者は、個人情報及び機密性の高い生データを、テストデータに使用してはならない。
4 情報システム管理者は、開発した情報システムについて受け入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。
(情報システム開発及び保守に関連する資料等の整備及び保管)
第109条 情報システム管理者は、システム開発及び保守に関連する資料並びに情報システム関連文書を、適切に整備し、及び保管しなければならない。
2 情報システム管理者は、テスト結果を一定期間保管しなければならない。
3 情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。
(情報システムにおける入出力データの正確性の確保)
第110条 情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
2 情報システム管理者は、故意又は過失による情報の改ざん又は漏えいのおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(情報システムの変更管理)
第111条 情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。
(開発又は保守用のソフトウェアの更新等)
第112条 情報システム管理者は、開発又は保守用のソフトウェア等を更新し、又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。
(情報システム更新又は統合時の検証等)
第113条 情報システム管理者は、情報システム更新、統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新並びに統合後の業務運営体制の検証を行わなければならない。
第4款 不正プログラム対策
(統括情報セキュリティ責任者の措置事項)
第114条 統括情報セキュリティ責任者は、不正プログラム対策として、次に掲げる事項を措置しなければならない。
(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起しなければならない。
(4) 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。
(5) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
(6) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(7) 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。
(情報システム管理者の措置事項)
第115条 情報システム管理者は、不正プログラム対策に関し、次に掲げる事項を措置しなければならない。
(1) 情報システム管理者は、その所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアをシステムに常駐させなければならない。
(2) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保たなければならない。
(3) 不正プログラム対策のソフトウェアは、常に最新の状態に保たなければならない。
(4) インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、町が管理している媒体以外を職員等に利用させてはならない。また、不正プログラムの感染及び侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施しなければならない。
(5) 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。
(ログイン時の表示等)
第116条 情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定並びにログイン及びログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。
(職員等の遵守事項)
第117条 職員等は、不正プログラム対策に関し、次に掲げる事項を遵守しなければならない。
(1) パソコン及びモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。
(2) 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行わなければならない。
(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。
(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施しなければならない。
(5) 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系(総合行政ネットワーク系)に取り込む場合は無害化しなければならない。
(6) 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認しなければならない。
(7) コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、次の対応を行わなければならない。
ア パソコン等の端末の場合 LANケーブルの即時取り外しを行わなければならない。
イ モバイル端末の場合 直ちに利用を中止し、通信を行わない設定への変更を行わなければならない。
(専門家の支援体制)
第118条 統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。
第5款 不正アクセス対策
(統括情報セキュリティ責任者の措置事項)
第119条 統括情報セキュリティ責任者は、不正アクセス対策として、次に掲げる事項を措置しなければならない。
(1) 使用されていないポートを閉鎖しなければならない。
(2) 不要なサービスについて、機能を削除し、又は停止しなければならない。
(3) 不正アクセスによるWebページの改ざんを防止するために、データの書換えを検出し、統括情報セキュリティ責任者及び情報システム管理者へ通報するよう、設定しなければならない。
(4) 重要な情報システムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。
(5) 統括情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適切な対応などを実施できる体制並びに連絡網を構築しなければならない。
(攻撃への対処)
第120条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。また、関係機関と連絡を密にして情報の収集に努めなければならない。
(攻撃の記録の保存)
第121条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(内部からの攻撃)
第122条 統括情報セキュリティ責任者及び情報システム管理者は、職員等及び受託事業者等が使用しているパソコン及びモバイル端末からのサーバ等に対する攻撃並びに外部のサイトに対する攻撃を監視しなければならない。
(職員等による不正アクセス)
第123条 統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課室の情報セキュリティ責任者に通知し、適切な処置を求めなければならない。
(サービス不能攻撃)
第124条 統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(標的型攻撃)
第125条 統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育又は自動再生無効化等の人的対策又は入口対策を講じなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の内部対策を講じなければならない。
第6款 セキュリティ情報の収集
(セキュリティホールに関する情報の収集及び共有並びにソフトウェアの更新等)
第126条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。
(不正プログラム等のセキュリティ情報の収集及び周知)
第127条 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
(情報セキュリティに関する情報の収集及び共有)
第128条 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する社会環境、技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
第7節 運用
第1款 情報システムの監視等
(監視等)
第129条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。
4 暗号化された通信データを監視のために復号することの要否を判断し、要すると判断した場合は、当該通信データを復号する機能及び必要な場合はこれを再暗号化する機能を導入しなければならない。
第2款 情報セキュリティポリシーの遵守状況の確認
(遵守状況の確認及び対処)
第130条 情報セキュリティ責任者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。
2 CISOは、発生した問題について、適切かつ速やかに対処しなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。
(パソコン、モバイル端末及び電磁的記録媒体の利用状況調査)
第131条 CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体のログ、電子メールの送受信記録等の利用状況を調査することができる。
(職員等の報告義務)
第132条 職員等は、情報セキュリティポリシーに対する違反行為を発見した場合は、直ちに統括情報セキュリティ責任者及び情報セキュリティ責任者に報告しなければならない。
2 違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合は、次条に規定する緊急時対応計画に従って適切に対処しなければならない。
第3款 セキュリティ侵害時の対応等
(緊急時対応計画の策定)
第133条 CISO又は情報セキュリティ委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。
(緊急時対応計画に盛り込むべき内容)
第134条 前条に規定する緊急時対応計画には、次に掲げる事項を定めておかなければならない。
(1) 関係者の連絡先
(2) 発生した事案に係る報告すべき事項
(3) 発生した事案への対応措置
(4) 再発防止措置の策定
(業務継続計画との整合性確保)
第135条 自然災害、大規模かつ広範囲にわたる疾病等に備えて別途業務継続計画を策定し、情報セキュリティ委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(緊急時対応計画の見直し)
第136条 CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
第4款 情報セキュリティポリシー等の例外措置
(例外措置の許可)
第137条 情報セキュリティ責任者及び情報システム管理者は、情報セキュリティポリシーその他情報セキュリティ対策に関連する定めを遵守することが困難な状況で、行政事務の適正な遂行を継続するため、情報セキュリティポリシーその他情報セキュリティに関する規定とは異なる方法を採用し又は情報セキュリティポリシーその他情報セキュリティに関する規定を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を取ることができる。
(緊急時の例外措置)
第138条 情報セキュリティ責任者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。
(例外措置の申請書の管理)
第139条 CISOは、例外措置の申請及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。
第5款 情報資産に関する法令の遵守
(法令遵守)
第140条 職員等は、職務の遂行において使用する情報資産を保護するために、次に掲げる法令その他関係法令を遵守し、これに従わなければならない。
(1) 地方公務員法
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
第6款 懲戒処分等
(懲戒処分)
第141条 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(違反時の対応)
第142条 職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次に掲げる措置を講じなければならない。
(1) 統括情報セキュリティ責任者が違反を確認した場合は、統括情報セキュリティ責任者は、当該職員等が所属する課室の情報セキュリティ責任者に通知し、適切な措置を求めなければならない。
(2) 情報システム管理者等が違反を確認した場合は、違反を確認した者は、速やかに統括情報セキュリティ責任者及び当該職員等が所属する課室の情報セキュリティ責任者に通知し、適切な措置を求めなければならない。
(3) 情報セキュリティ責任者の指導によっても改善されない場合、統括情報セキュリティ責任者は、当該職員等の情報システム又はネットワークを使用する権利を停止し、又は剥奪することができる。
(4) 前号の規定に基づき職員等の権利を停止し、又は剥奪したときは、速やかに、統括情報セキュリティ責任者は、その旨をCISO及び当該職員等が所属する課室の情報セキュリティ責任者に通知しなければならない。
第8節 業務委託又は外部サービスの利用
第1款 業務委託
(受託事業者等の選定基準)
第143条 情報セキュリティ責任者は、業務委託を行うための受託事業者等を選定するに当たり、次に掲げる基準を満たさなければならない。
(1) 委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
(2) 情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、選定しなければならない。
(3) クラウドサービスを利用する場合は、情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。
(契約要件)
第144条 情報システムの運用、保守等を委託する場合には、受託事業者等との間で必要に応じて、次に掲げる情報セキュリティ要件を明記した契約を締結しなければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
(2) 受託事業者等の責任者、委託内容、作業者及び作業場所の特定
(3) 提供されるサービスレベルの保証
(4) 受託事業者等にアクセスを許可する情報の種類と範囲及びアクセス方法
(5) 受託事業者等の従業員に対する教育の実施
(6) 提供された情報の目的外利用及び受託事業者等以外の者への提供の禁止
(7) 業務上知り得た情報の守秘義務
(8) 再委託に関する制限事項の遵守
(9) 委託業務終了時の情報資産の返還、廃棄等
(10) 委託業務の定期報告及び緊急時報告義務
(11) 町による監査及び検査
(12) 町による情報セキュリティインシデント発生時の公表
(13) 情報セキュリティポリシーが遵守されなかった場合の取決め(損害賠償等)
(契約に係る情報セキュリティ対策の確認及び措置等)
第145条 情報セキュリティ責任者は、受託事業者等において必要な情報セキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の規定による契約に基づき措置しなければならない。
2 前号の規定により措置した場合は、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じてCISOに報告しなければならない。
第2款 外部サービスの利用
(機密性2以上の情報を取り扱う場合の外部サービスの利用に係る基準及び要件の整備)
第146条 統括情報セキュリティ責任者は、次に掲げる条項を含む機密性2以上の情報を取り扱う場合の外部サービス(以下「機密性2以上の外部サービス」という。)の利用に関する基準(以下「機密性2以上の外部サービス利用基準」という。)を整備しなければならない。
(1) 機密性2以上の外部サービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下「外部サービス利用判断基準」という。)
(2) 機密性2以上の外部サービス提供者の選定基準
(3) 機密性2以上の外部サービスの利用申請の許可権限者(以下「外部サービス許可権限者」という。)と利用手続
(4) 機密性2以上の外部サービス管理者の指名と機密性2以上の外部サービスの利用状況の管理
3 前項に規定する外部サービスセキュリティ要件は、セキュリティに係る国際規格等と同等以上の水準を求めるものとする。また、機密性2以上の外部サービスの特性を考慮した上で、機密性2以上の外部サービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、外部サービスセキュリティ要件を整備しなければならない。
3 前項の規定による外部サービス提供者の選定に当たっては、次に掲げる情報セキュリティ対策を選定条件に含めなければならない。
(1) 機密性2以上の外部サービスの利用を通じて町が取り扱う情報の外部サービス提供者における目的外利用の禁止
(2) 外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制
(3) 機密性2以上の外部サービスの提供に当たり、外部サービス提供者若しくはその従業員、再委託先又はその他の者によって、町の意図しない変更が加えられないための管理体制
(4) 外部サービス提供者の資本関係及び役員等の情報、機密性2以上の外部サービス提供に従事する者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報提供並びに調達仕様書による施設の場所及びリージョンの指定
(5) 情報セキュリティインシデントへの対処方法
(6) 情報セキュリティ対策その他の契約の履行状況の確認方法
(7) 情報セキュリティ対策の履行が不十分な場合の対処方法
4 情報セキュリティ責任者は、機密性2以上の外部サービスの中断又は終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めなければならない。
5 情報セキュリティ責任者は、外部サービス提供者が機密性2以上の外部サービスを一部再委託することにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者に担保させるとともに、機密性2以上の外部サービスを一部再委託する場合は、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を町に提供させ、町の承認を受けさせることを、外部サービス提供者の選定条件に含めなければならない。
6 前項に規定する機密性2以上の外部サービスの一部再委託について、情報セキュリティ責任者は機密性2以上の外部サービス利用規準に従って再委託の承認の可否を判断しなければならない。
(1) 情報セキュリティ監査の受入れ
(2) サービスレベルの保証
8 情報セキュリティ責任者は、機密性2以上の外部サービスの利用を通じて町が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて町の情報が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定条件に加えるものとする。
9 統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定及び認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的及び客観的に評価し判断しなければならない。
(機密性2以上の外部サービスの利用に係る調達及び契約)
第148条 情報セキュリティ責任者は、機密性2以上の外部サービスを調達する場合は、機密性2の外部サービス利用規準、外部サービスセキュリティ要件及び前条に規定する選定条件を調達仕様に含めなければならない。
2 情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者及び外部サービスが調達仕様を満たすことを契約までに確認し、調達仕様の内容を契約に含めなければならない。
(機密性2以上の外部サービスの利用)
第149条 情報セキュリティ責任者は、職員等が機密性2以上の外部サービスを利用する場合には、機密性2以上の外部サービス許可権限者へ機密性2以上の外部サービスの利用申請を行わなければならない。
2 機密性2以上の外部サービス許可権限者は、前項の規定による機密性2以上の外部サービスの利用申請を審査し、利用の可否を決定しなければならない。
3 機密性2以上の外部サービス許可権限者は、機密性2以上の外部サービスの利用を許可した場合は、許可済み機密性2以上の外部サービスとして記録し、機密性2以上の外部サービス管理者を指名しなければならない。
(機密性2以上の外部サービスを利用した情報システムの導入及び構築時の対策)
第150条 統括情報セキュリティ責任者は、機密性2以上の外部サービスの特性及び責任分界点等を踏まえ、機密性2以上の外部サービスを利用して情報システムを構築する際には、次に掲げる情報セキュリティ対策を講じなければならない。
(1) 不正なアクセスを防止するためのアクセス制御
(2) 取り扱う情報の機密性保護のための暗号化
(3) 開発時におけるセキュリティ対策
(4) 設計及び設定時の誤りの防止
2 機密性2以上の外部サービス管理者は、前項に規定する情報セキュリティ対策に関し、構築時に実施状況を確認し、記録しなければならない。
(機密性2以上の外部サービスを利用した情報システムの運用及び保守時の対策)
第151条 統括情報セキュリティ責任者は、機密性2以上の外部サービスの特性及び責任分界点等を踏まえ、機密性2以上の外部サービスを利用して情報システムを運用する際には、次に掲げる情報セキュリティ対策を講じなければならない。
(1) 機密性2以上の外部サービス利用方針の規定
(2) 機密性2以上の外部サービス利用に必要な教育
(3) 取り扱う資産の管理
(4) 不正アクセスを防止するためのアクセス制御
(5) 取り扱う情報の機密性保護のための暗号化
(6) 機密性2以上の外部サービス内の通信の制御
(7) 設計及び設定時の誤りの防止
(8) 機密性2以上の外部サービスを利用した情報システムの事業継続
2 情報セキュリティ責任者は、機密性2以上の外部サービスの特性及び責任分界点等を踏まえ、機密性2以上の外部サービスで発生したインシデントを認知した際の対処手順を整備しなければならない。
3 機密性2以上の外部サービス管理者は、前2項の規定に基づき、運用及び保守時に実施状況を定期的に確認し、記録しなければならない。
(機密性2以上の外部サービスを利用した情報システムの更改又は廃棄時の対策)
第152条 統括情報セキュリティ責任者は、機密性2以上の外部サービスの特性及び責任分界点等を踏まえ、機密性2以上の外部サービスの利用を終了する際には、次に掲げる情報セキュリティ対策を講じなければならない。
(1) 機密性2以上の外部サービスの利用終了時における対策
(2) 機密性2以上の外部サービスで取り扱った情報の廃棄
(3) 機密性2以上の外部サービスの利用のために作成したアカウントの廃棄
2 機密性2以上の外部サービス管理者は、前項の規定に基づき、機密性2以上の外部サービスの利用終了時に実施状況を確認し、記録しなければならない。
(機密性1のみの情報を取り扱う場合の外部サービスの利用に係る規準の整備)
第153条 統括情報セキュリティ責任者は、次に掲げる条項を含む機密性1のみの情報を取り扱う場合の外部サービス(以下「機密性1の外部サービス」という。)の利用に関する規準(以下「機密性1の外部サービス利用規準」という。)を整備しなければならない。
(1) 第16条第1号に規定する機密性2以上の情報の取扱い禁止
(2) 機密性1の外部サービスを利用可能な業務の範囲
(3) 機密性1の外部サービス許可権限者と利用手続
(4) 機密性1の外部サービス管理者の指名と機密性1の外部サービスの利用状況の管理
(5) 機密性1の外部サービスの利用の運用手順
2 機密性1の外部サービス許可権限者は、前項の規定による機密性1の外部サービスの利用申請を審査し、利用の可否を決定しなければならない。
3 機密性1の外部サービス許可権限者は、機密性1の外部サービスの利用を許可した場合は、許可済み機密性1の外部サービスとして記録し、機密性1の外部サービス管理者を指名しなければならない。
4 指名された機密性1の外部サービス管理者は、当該機密性1の外部サービスの利用において適切な措置を講じなければならない。
第9節 評価及び見直し
第1款 監査
(監査の実施方法)
第155条 CISOは、統括情報セキュリティ責任者を、情報システム及びネットワーク等の情報資産における情報セキュリティ対策状況について統括的に監査を実施する責任者(以下「情報セキュリティ監査統括責任者」という。)として指名し、毎年度及び必要に応じて監査を行わせなければならない。
(監査を行う者の要件)
第156条 情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
(監査実施計画の立案及び実施への協力)
第157条 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。
2 被監査部門は、監査の実施に協力しなければならない。
(受託事業者等に対する監査)
第158条 受託事業者等に委託している場合、情報セキュリティ監査統括責任者は受託事業者等から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的に、又は必要に応じて行わなければならない。
(監査結果の報告)
第159条 情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告するものとする。
(監査結果の保管)
第160条 情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を、紛失、滅失、機密情報の漏えい等が発生しないように適切に保管しなければならない。
(監査結果への対応)
第161条 CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。
2 CISOは、前項の規定による指摘事項を所管していない情報セキュリティ責任者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
3 CISOは、課室で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。
(情報セキュリティポリシー、関係規程等の見直し等への活用)
第162条 情報セキュリティ委員会は、監査結果を情報セキュリティポリシー、情報セキュリティ対策に関連する定め等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
第2款 自己点検
(自己点検の実施方法)
第163条 統括情報セキュリティ責任者及び情報システム管理者は、所管する情報システム及びネットワーク等について、毎年度及び必要に応じて自己点検を実施しなければならない。
2 情報セキュリティ責任者は、所管する課室における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。
(自己点検結果の報告)
第164条 統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果及び自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。
(自己点検結果の活用)
第165条 職員等は、自己点検結果に基づき、自己の権限の範囲内で改善を図らなければならない。
2 情報セキュリティ委員会は、この点検結果を情報セキュリティポリシー、情報セキュリティ対策に関連する定め等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
(情報セキュリティポリシー、関係規程等の見直し)
第166条 情報セキュリティ委員会は、情報セキュリティ監査及び自己点検結果並びに情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー、情報セキュリティ対策に関連する定め等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合は、改善を行うものとする。
第10節 委任
(その他)
第167条 この規程に定めるもののほか、情報セキュリティ対策に関し必要な事項は、町長が別に定める。
附則
この規程は、公布の日から施行する。