○士別市住民基本台帳ネットワークシステム情報管理規程
平成17年9月1日
訓令第21号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第6条)
第3章 アクセス管理(第7条―第9条)
第4章 情報資産管理(第10条―第25条)
第5章 その他(第26条)
附則
第1章 総則
(趣旨)
第1条 この規程は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)及び電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)に基づき、住民基本台帳ネットワークシステムの本人確認情報の処理及び利用等の事務におけるセキュリティ対策に関し必要な事項を定めるものとする。
(1) 住民基本台帳ネットワークシステム(以下「住基ネット」という。)とは、市長が本人確認情報(法第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を北海道知事に通知し、北海道知事が本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、並びに市長、北海道知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) 情報資産とは、住基ネットに係るすべての情報(データを含む。)、ハードウェア、ソフトウェア、ネットワーク及び記録媒体をいう。
(適用範囲)
第3条 この規程は、住基ネットのうち、士別市が整備、管理責任を持つ範囲における情報資産、建物及び関連施設に適用する。
第2章 管理体制
(組織)
第4条 住基ネットの総合的なセキュリティ対策を実施するためセキュリティ統括責任者を置く。セキュリティ統括責任者は、副市長をもって充てる。
2 住基ネットの適切な管理を行うためシステム管理者を置く。システム管理者は、総務課長をもって充てる。
3 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。セキュリティ責任者は、市民課長、地域生活課長、上士別出張所長、多寄出張所長及び温根別出張所長をもって充てる。
4 前3項に定める各責任者は、セキュリティに問題が生じたとき、又は生ずる危険性があるときは、必要な措置を講じなければならない。
(セキュリティ会議)
第5条 セキュリティ統括責任者は、セキュリティ会議を設け、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) その他セキュリティ統括責任者が必要と認める者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直しに関すること。
(2) 前号のセキュリティ対策遵守状況の確認に関すること。
(3) 住基ネットに関する業務に携わる職員の教育及び研修の実施に関すること。
4 セキュリティ総括責任者は、前項各号に掲げるもののうち重要と認める事項を審議するときは、士別市個人情報保護条例(平成17年士別市条例第25号)に基づき行うものとする。
5 セキュリティ会議の事務局は、総務課に置く。
(関係部局に対する指示等)
第6条 セキュリティ総括責任者は、セキュリティ会議の結果を踏まえ、関係部局の長に対して指示し、又は他の執行機関等に対して必要な措置を要請することができる。
第3章 アクセス管理
(アクセス管理)
第7条 システム管理者は、次に掲げる住基ネットの構成機器(以下「サーバ等」という。)について、業務アプリケーションに対するアクセス管理を行う。
(1) コミュニケーションサーバ
(2) CS端末
2 アクセス管理は、照合情報認証(手のひらの静脈等の情報に不可逆演算を施して登録された情報(以下「照合情報」という。)と認証時に読み取られる情報を照合することにより認証する方法をいう。以下同じ。)によりサーバ等の操作を行う者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
3 操作履歴については、7年前までさかのぼって解析できるよう保管するものとする。
4 システム管理者は、構成機器が不正に操作された疑いがある場合には、調査を行い必要な措置を講じなければならない。
(照合ID及び操作者IDの管理等)
第8条 システム管理者は、住基ネットの操作者を定め、操作者の照合情報及び照合ID(照合情報認証を行う際に操作者を識別するための符号をいう。以下同じ。)を登録し、操作者ID(操作権限を識別するための符号をいう。以下同じ。)を付与するものとする。
2 システム管理者は、操作者が退職し、又は異動したときは照合情報を削除することにより照合IDを無効化するものとする。
第9条 操作者は、照合ID及び操作者IDを他者に利用させてはならない。
2 システム管理者は、適正に照合ID及び操作者IDが利用されているか検査を行うことができる。
3 システム管理者が照合ID及び操作者IDの利用に関する検査を行う場合には、操作者は協力する義務を負う。
第4章 情報資産管理
(情報資産管理)
第10条 住基ネットの情報資産について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、個人番号カード等の管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長をもって充てる。
(本人確認情報管理責任者)
第11条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票、個人番号カード等の管理方法を定めるものとする。
(情報資産管理責任者)
第12条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、セキュリティ責任者と協議し、住基ネットのオペレーション計画を定めるものとする。
(本人確認情報の検索)
第13条 操作者は、本人確認情報を検索する際、次の事項を遵守しなければならない。
(1) 業務上必要のない検索、抽出を行ってはならない。
(2) 業務上の検索、抽出を行う場合には、事前に検索・抽出要件を明確にしなければならない。
(3) 業務上必要のない帳票の出力を行ってはならない。
(4) スクリーンセーバーの機能を活用するなど、長時間にわたり本人確認情報をディスプレーに表示したままの状態にしてはならない。
(5) 住基ネットの業務端末に係るディスプレーは、窓口に来庁している住民から画像が見えない位置に置かなければならない。
(6) 必要以外の画像データを保管してはならない。また、必要以外に紙媒体に出力してはならない。
(本人確認情報の整合性の確保)
第14条 本人確認情報の入力、削除及び訂正を行った際は、整合性を確保するため、次の書類を保管しなければならない。
(1) 入力、削除及び訂正作業に用いた帳票等は、適切に管理し、保管しなければならない。
(2) 本人確認情報に誤りがあった際に訂正を行う場合には、訂正した内容等について、その記録を残し、適正な期間保管しなければならない。
(本人確認情報の保存)
第15条 既存の住民基本台帳システムとの整合性の確保のために、磁気ディスクに本人確認情報を保存する場合には、本人確認情報管理責任者の許可を得て行うこととし、保存をしたことの記録を残し、適正な期間保管しなければならない。
(帳票等の保管)
第16条 本人確認情報が記載されている帳票及び本人確認情報が記録されている磁気ディスクについては、施錠のできる書庫等に保管を行い、紛失及び盗難を防止するための措置を講じなければならない。
(帳票等の廃棄)
第17条 保管期間等の終了に伴い帳票及び磁気ディスクを廃止する場合や印刷ミス等で使用することができなくなってしまった用紙を廃棄する場合には、本人確認情報管理責任者の許可を得て行うこととし、次の事項に留意しなければならない。
(1) 保管していた帳票及び磁気ディスクは、保管期間終了時には、その廃棄すべき内容及び数量を記録し、廃棄時に確認しなければならない。
(2) 帳票を廃棄する場合は、用紙を細かく裁断することによって、記述内容が判読することができないようにしなければならない。
(3) 磁気ディスクを廃棄する場合は、物理的破壊により、又は専用ソフトを使用してデータ削除するなど、情報を復元できないような処理を行わなければならない。
(4) 廃棄を決定した帳票は、速やかに廃棄処分を行わなければならない。
(ハードウェアの管理)
第18条 情報資産管理責任者は、ハードウェアに障害が発生しないよう防止対策を講じなければならない。
2 情報資産管理責任者は、ハードウェアに障害が発生した場合には、障害状況の把握及び障害対応を行い、重大な障害については、速やかに被害状況を北海道及び機構等に報告しなければならない。
3 情報資産管理責任者は、業務端末を除くハードウェアをデータセンターに設置することとし、住基ネットに係る機器を一括してラックに収納し施錠しなければならない。
(ハードウェアの保守)
第19条 情報資産管理責任者は、ハードウェアの保守に関し必要な措置を講じなければならない。
2 情報資産管理責任者は、保守事業者と定期的に保守作業を行う契約を締結する場合には、保守作業の実施時において、データの抹消、漏えい等が発生しないよう、防止策を施すとともに、保守作業の結果について必ず報告することを義務付けなければならない。
3 保守の時期及び保守内容については、ハードウェアの機能、使用頻度等を勘案し決定するものとする。
(ソフトウェアの管理)
第20条 情報資産管理責任者は、ソフトウェアに障害が発生しないよう防止対策を講じなければならない。
2 情報資産管理責任者は、ソフトウェアに重大な障害が発生した場合及びコンピュータウィルスに感染した場合には、適切な対応措置を講ずるとともに、速やかに被害状況を北海道及び機構等に報告しなければならない。
3 情報資産管理責任者は、ソフトウェアに関する磁気ディスクを施錠のできる書庫等に保管し、紛失及び盗難を防止するための措置を講じなければならない。
(ソフトウェアの保守)
第21条 情報資産管理責任者は、ソフトウェアの保守に関し必要な措置を講じなければならない。
2 ソフトウェアのバージョン管理については、機構の指示に従い実施するものとし、許可無くバージョンアップを行ったり、指示に従わずにバージョンアップ作業を怠ったりしてはならない。ただし、市が個別に調達した機器に関してはこの限りでない。
(ネットワークの管理)
第22条 情報資産管理責任者は、ネットワークに障害が発生しないよう防止対策を講じなければならない。
2 情報資産管理責任者は、ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止、障害範囲拡大防止、障害の切分け)、障害運転時対応(代替運転、縮退運転)、状況に応じた復旧作業、障害原因の調査、障害改修後対応(障害内容の報告、同様障害再発防止策立案・実施)について必要な措置を講じなければならない。
(ネットワークの保守)
第23条 情報資産管理責任者は、ネットワークの保守に関し必要な措置を講じなければならない。
2 情報資産管理責任者は、ネットワークの運用保守等のためネットワークを停止するときは、あらかじめ、北海道及び機構に通知するものとする。ただし、ネットワークの保守等の作業を緊急に行う必要がある場合や災害、停電等によりネットワークの利用に影響がある場合等において、通知するのに十分な時間が無いと判断するときには、情報資産管理責任者の判断でネットワークを停止することができるものとする。
(入退室の管理)
第24条 システム管理者は、ハードウェアが設置されたデータセンターの入退室の管理に関し必要な措置を講じなければならない。
2 システム管理者は、データセンターに入退室者があるときは、入退室者の氏名、入退室目的、入退室日及び入退室時間について、管理簿に記録させ市長に報告させるものとする。
(緊急時の対応)
第25条 システム管理者は、ハードウェア障害、ソフトウェア障害、ネットワーク障害及び不正行為並びにシステム異常等により、本人確認情報の保護並びに既存の住民基本台帳システムに重大な支障が生じた場合又は生ずるおそれのある場合は、速やかにセキュリティ統括責任者に報告しなければならない。
2 セキュリティ統括責任者は、前項の報告があったときは、必要に応じてセキュリティ会議を招集し対策を協議するものとする。
3 システム管理者は、セキュリティ会議において必要と判断された場合は、あらかじめ北海道及び機構に通知した上で住基ネットのシステムを停止(一部切離し、一部停止を含む。)するなどの緊急措置を講ずることができる。
4 前項の場合において、セキュリティ会議の招集並びに北海道及び機構への通知に十分な時間が無いと判断するときには、システム管理者は、その判断で緊急措置を講ずることができるものとする。ただし、緊急措置を講じた後速やかにセキュリティ統括責任者及び北海道並びに機構等に報告するものとし、セキュリティ統括責任者はセキュリティ会議を招集し対策を協議しなければならない。
5 前2項の規定により住基ネットのシステムを停止(一部切離し、一部停止を含む。)した場合の再稼動については、セキュリティ会議において決定するものとする。
6 第1項に定めるハードウェア障害、ソフトウェア障害、ネットワーク障害及び不正行為並びにシステム異常等には、国、北海道、他の地方公共団体、機構及び委託業者が管理する部分を含むものとする。
7 システム管理者は、緊急措置に対応するため、関係者への連絡網を整備するとともに、緊急時の対応手順を整備しなければならない。同時に、関係者に対し障害防止策及び対応手順を周知徹底しなければならない。
8 システム管理者は、住基ネットに関し障害が発生した場合は、北海道及び機構並びに委託業者等と協力し原因解明に努めなければならない。
9 システム管理者は、必要に応じ住民への周知を行うものとする。
第5章 その他
(外部委託における情報管理)
第26条 システム管理者は、住基ネットに関する業務を外部に委託しようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
2 住基ネットに関する業務を外部に委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ統括責任者の承認を得なければならない。
3 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
4 システム管理者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
附則
この規程は、平成17年9月1日から施行する。
附則(平成18年12月20日訓令第20号)
この規程は、平成19年4月1日から施行する。
附則(平成20年4月1日訓令第8号)
この規程は、平成20年4月1日から施行する。
附則(平成23年3月30日訓令第3号)
この規程は、平成23年3月31日から施行する。
附則(平成24年4月1日訓令第1号)
この規程は、平成24年4月1日から施行する。
附則(平成26年5月26日訓令第3号)
この規程は、平成26年5月26日から施行する。
附則(令和元年10月21日訓令第43号)
この規程は、令和元年10月28日から施行する。
附則(令和元年12月23日訓令第46号)
この規程は、令和2年1月1日から施行する。
附則(令和5年3月31日訓令第11号)
この規程は、令和5年4月1日から施行する。