○井手町住民基本台帳ネットワークシステム運用管理規程

平成17年8月12日

訓令第2号

井手町住民基本台帳ネットワークシステム運用管理規程(平成14年井手町訓令第4号)の全部を次のように改正する。

井手町住民基本台帳ネットワークシステム運用管理規程

第1章 総則

(目的)

第1条 この規程は、本町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ(正確性、機密性及び継続性の維持をいう。)を確保するとともに、適正な運用及び維持管理を行うことに関し必要な事項を定めることを目的とする。

(定義)

第2条 この規程において使用する用語の意義は、「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)」で使用する用語の例による。

(適用範囲)

第3条 この規程は、住基ネットのうち、本町が管理責任を有する範囲における情報資産、関連施設及び運用に適用する。

第2章 セキュリティ組織

(セキュリティ統括責任者)

第4条 住基ネットのセキュリティを確保するための対策(以下「セキュリティ対策」という。)を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副町長をもって充てる。

(システム統括管理者)

第5条 住基ネットの適切な管理を行うため、システム統括管理者を置く。

2 システム統括管理者は、住民福祉課長をもって充てる。

(セキュリティ管理者)

第6条 住基ネットを利用する所属においてセキュリティ対策を実施するため、セキュリティ管理者を置く。

2 セキュリティ管理者は、住民福祉課長をもって充てる。

(セキュリティ会議)

第7条 住基ネットのセキュリティ対策を審議するためセキュリティ会議を設ける。

2 セキュリティ会議の構成及び審議する事項等は、井手町情報セキュリティポリシーによるものとする。

(関係所属に対する指示等)

第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係所属の長に対して指示し、必要な措置を要請することができる。

(監査体制)

第9条 システム統括管理者は、住基ネットのセキュリティを確保するために、定期的又は必要に応じて監査を受けることとする。

2 監査を行った者は、監査報告書を作成し、セキュリティ統括責任者に報告を行うとともに、必要に応じ問題点の指摘及び改善勧告を行う。

3 システム統括管理者は監査報告書の結果を受けて、必要に応じ改善計画を作成する。

(教育・研修)

第10条 システム統括管理者は、住基ネットに携わる職員に対して、住基ネットの操作及びセキュリティ対策に関する教育・研修を行う。

第3章 入退室管理

(入退室管理を行う室及び場所)

第11条 次に掲げる住基ネットの管理及び運用が行われる室及び場所において、それぞれのセキュリティ区分に応じて入退室管理を行う。

セキュリティ区分

室及び場所

レベル2

住基ネットのデータ、セキュリティ情報等の保管室、サーバ、ネットワーク機器の設置室

レベル1

業務端末の設置場所

(入退室管理)

第12条 レベル2のセキュリティ区分に係る室への入退室の管理については、井手町電子計算機室入退室管理規程(平成14年井手町規程第3号)の規定を適用する。

2 レベル1のセキュリティ区分に係る場所への入退室の管理はセキュリティ管理者が行う。

(入退室の資格)

第13条 セキュリテイ管理者は、レベル1及びレベル2のセキュリティ区分に係る室及び場所への入退室を、住民課職員、システムの維持管理等の受託者、保守点検業者その他セキュリティ管理者が必要と認めた者に限り許可する。職員以外の者が入退室を行う場合は必ず立会者を伴わなければならない。

2 許可を受けた者は、識別を行うために、名札を着用しなければならない。

第4章 アクセス管理

(アクセス管理を行う機器)

第14条 システム統括管理者は、次に掲げる住基ネットの構成機器について、アクセス管理を行う。

(1) コミュニケーションサーバ(以下「CS」という。)

(2) 業務端末

(3) ファイアウォール

2 前項のアクセス管理は、操作者識別カード及びパスワードにより前項各号に掲げる機器の操作者(以下「操作者」という。)の正当な権限を確認すること並びに操作履歴及び通信履歴を記録することにより行うものとする。

(操作者識別カードの管理)

第15条 セキュリティ管理者は、操作者を定め、操作者の業務権限に応じた操作者識別カードを貸与する。

2 セキュリティ管理者は、操作者名簿、操作者識別カード管理簿を作成し、人事異動、組織変更、業務変更等があった場合には、速やかに名簿等を変更しなければならない。

3 セキュリティ管理者は、操作者識別カードを施錠が可能な保管庫等に保管し、業務の処理に必要がある場合に限り、業務処理の都度、操作者に貸与することができる。

4 セキュリティ管理者は、操作者識別カード貸与記録簿を作成しなければならない。

5 操作者識別カードを貸与された者は、次に掲げる事項を実施しなければならない。

(1) 操作者識別カードを業務の処理以外に使用してはならない。

(2) 操作者識別カードを紛失若しくはき損をおこさないよう、又は盗難若しくは搾取されないよう厳重に管理しなければならない。

(3) 操作者識別カードを紛失若しくはき損した場合、又は盗難若しくは搾取された場合は、直ちにセキュリティ管理者に報告する。

6 セキュリティ管理者は、操作者識別カードの紛失等の報告を受けた場合は、直ちに失効の手続きをとらなければならない。

7 操作者は、使用の都度、セキュリティ管理者から操作者識別カードを借り受け、業務終了後直ちに返却する。

8 操作者は、離席するときは、操作者識別カードをCS及び業務端末から抜き取るものとする。

9 操作者は、操作者識別カードを他人に貸与又は譲渡してはならない。

10 セキュリティ管理者は、操作者識別カードの利用に関する検査を随時行う。

11 前号の検査が行われる場合には、操作者は協力する義務を負う。

12 セキュリティ管理者は、操作者識別カードの管理をあらかじめ指定した職にある者に補助執行させることができる。

13 住基ネットを利用する業務を行わなくなった者は、直ちにセキュリティ管理者に操作者識別カードを返却しなければならない。

(パスワードの管理)

第16条 操作者は操作者識別カードのパスワードを適正に管理するため、次に掲げる事項を実施しなければならない。

(1) パスワードについて、他者への漏えいを防止する手段を講じるとともに、他者が知り得る状態においてはならない。

(2) パスワードを定期的又は必要に応じて随時更新しなければならない。

(3) パスワードに規則性のある文字等の配列又は推測可能な文字等の配列を設定しない。

2 システム統括管理者は操作者識別カード及びシステムに係るパスワードについて、次の各号のとおり管理しなければならない。

(1) パスワードの有効期限を1年以内に設定する。

(2) パスワードの最低桁数等の制限を設ける。

(3) システムに係るパスワードについて、業務に利用する同一ユーザIDにおいてパスワードを3回間違えた場合には、ロックアウト(無効)になるよう設定する。

3 セキュリティ管理者及び操作者は、システムに係るパスワードの設定及び管理について、次に掲げる事項を実施しなければならない。

(1) パスワードについて、権限を与えられた者以外への漏えいを防止する手段を講じるとともに、第三者が知り得る状態においてはならない。

(2) パスワードを定期的又は必要に応じて随時更新しなければならない。

(3) パスワードに規則性のある文字等の配列又は推測可能な文字等の配列を設定しない。

(操作者の責務)

第17条 操作者は、操作者識別カード及びパスワードの管理方法を遵守しなければならない。

(システム統括管理者及びセキュリティ管理者の責務)

第18条 システム統括管理者及びセキュリティ管理者は、操作者を含む本人確認情報を取り扱う者に対し、本人確認情報の安全確保措置、本人確認情報に関する秘密及び本人確認情報の電子計算機処理に関する秘密の保持、本人確認情報の業務外利用・提供の禁止その他この規程に定めるセキュリティ確保並びに適切な運用を図るための事項について指導し、遵守させなければならない。

(操作履歴の記録)

第19条 システム統括管理者は、住基ネットの操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。

(オペレーティングシステムの管理)

第20条 システム統括管理者は、住基ネットに係る構成機器のオペレーティングシステムについてセキュリティ対策を行う。

2 前項のセキュリティ対策は業務上必要な権限を付与したユーザIDとパスワードにより行う。

3 システム統括管理者は、ユーザIDと操作者との対応づけを行い、ユーザIDに付与する権限を業務上必要最低限のものとし、業務以外の操作及び設定変更を行うことができないよう制限する。

4 システム統括管理者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。

5 システム統括管理者は、オペレーティングシステムに係るパスワードについて、次の各号のとおり管理をしなければならない。

(1) パスワードの有効期限を1年以内に設定する。

(2) パスワードの最低桁数等の制限を設ける。

(3) 業務に利用する同一ユーザIDにおいてパスワードを3回間違えた場合には、ロックアウト(無効)になるよう設定する。

6 操作者はオペレーティングシステムに係るパスワードについて、次に掲げる事項を実施しなければならない。

(1) パスワードについて、権限を与えられた者以外への漏えいを防止する手段を講じるとともに、第三者が知り得る状態においてはならない。

(2) パスワードを定期的又は必要に応じて随時更新しなければならない。

(3) パスワードに規則性のある文字等の配列又は推測可能な文字等の配列を設定しない。

7 システム統括管理者は、定期的又は必要に応じてイベントログ等の履歴を確認し、適切に運用されているか検査を行う。

8 システム統括管理者は、ログオンの履歴を記録し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査を行う。

第5章 情報資産管理

(情報資産管理)

第21条 住基ネットの情報資産(住基ネットに係る全ての情報並びにハードウェア、ソフトウェア、ネットワーク及び磁気ディスク等をいう。以下同じ。)について、管理責任者を置く。

2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、磁気ディスク及び住民基本台帳カードの管理責任者は、セキュリティ管理者をもって充て、これら以外の情報資産の管理責任者はシステム統括管理者をもって充てる。

3 システム統括管理者及びセキュリティ管理者は情報資産の管理をあらかじめ指定した職のあるものに補助執行させることができる。

4 システム統括管理者は、情報資産の構成を明確化するほか、それぞれの情報資産に関し、次に掲げる管理を行うとともに、情報資産管理簿を作成し、情報資産の導入、移設及び廃棄等の異動処理に伴う変更履歴を記録する。

(1) 情報資産の障害に関すること。

(2) 情報資産の保守に関すること。

(3) 情報資産の性能に関すること。

5 セキュリティ管理者は、住基ネットに係るハードウェアにインストールされたソフトウェアの導入状況を記載した台帳を作成するとともに、適時インストール状況の確認を行い、不要なソフトウェアがある場合には削除する。

(本人確認情報等の管理)

第22条 セキュリティ管理者は、本人確認情報を取り扱うことができる者を指定しなければならない。

2 セキュリティ管理者、操作者及びその他本人確認情報を取り扱う者は、住民基本台帳に定められた業務の遂行にのみ本人確認情報を利用し、これ以外に本人確認情報を利用してはならない。

3 システム統括管理者、セキュリティ管理者、操作者及びその他本人確認情報を取り扱う者は、本人確認情報に関する秘密及び住基ネットのセキュリティに関する技術情報、パスワード、具体的な運用方法及びマニュアル等本人確認情報の電子計算機処理に関する秘密を漏らしてはならない。事務に従事しなくなった者及び退職した者についても同様とする。

4 システム統括管理者、セキュリティ管理者、操作者及びその他本人確認情報を取り扱う者は、本人確認情報の漏えい、滅失及びき損の防止その他本人確認情報の適切な管理を行うために必要な措置をとらなければならない。

5 操作者及びその他本人確認情報を取り扱う者は、業務上必要のない本人確認情報の検索・表示・保存・印刷をしてはならない。

6 操作者及びその他本人確認情報を取り扱う者は、長時間にわたり本人確認情報を表示したままの状態にしてはならない。又、業務端末のディスプレイ及び出力帳票等が、窓口に来庁している者から見えないように努めるものとする。

7 操作者は、本人確認情報の入力、削除及び訂正を行う場合は、セキュリティ管理者の許可を得なければならない。この場合において、セキュリティ管理者は入力、削除及び訂正に用いた帳票等を適切に管理し、保管しなければならない。

8 操作者は、既存の住民基本台帳電算処理システムとの整合性確保のために、磁気ディスクに本人確認情報を保存する場合は、セキュリティ管理者の許可を得て行うこととし、保存したことの記録を残し、適正な期間保管しなければならない。

9 セキュリティ管理者は、本人確認情報が記載されている帳票及び磁気ディスクの管理対象を定め、施錠が可能な保管庫に保管し、紛失及び盗難を防止する措置を講じなければならない。

10 保管期間等の終了に伴い本人確認情報が記載されている帳票及び磁気ディスクを廃棄する場合は、セキュリティ管理者の許可を得て行うこととし、帳票については、裁断、焼却等により廃棄し、磁気ディスクについては初期化等をしてから廃棄するものとする。

(住民基本台帳カードの管理)

第23条 セキュリティ管理者は、住民基本台帳カードの管理について、保管している状態及び枚数を記録し、施錠が可能な保管庫に保管し、紛失及び盗難を防止する措置を講じなければならない。

2 セキュリティ管理者は、住民基本台帳カードを廃棄する場合は、次の各号によるものとする。

(1) 廃棄する住民基本台帳カードは、セキュリティ確保のため、速やかに廃棄する。

(2) 廃棄するまでの間は、紛失及び盗難を防止するため、廃棄する住民基本台帳カードを厳重に保管する。

(3) 廃棄する住民基本台帳カードは、裁断等により券面印刷の内容が判読できないようにし、かつ、ICチップのハードウェア構造分析などの脅威を防ぐため、ICチップを物理的に破壊する。

(住民基本台帳カード関連の機器及び情報の管理)

第24条 セキュリティ管理者は、住民基本台帳カード発行業務の権限を与えられた者以外が操作することがないように必要な対策を講じなければならない。

2 セキュリティ管理者は、住民基本台帳カード交付に当たり、次の各号のとおり必要な措置を講じる。

(1) 印刷された住民基本台帳カードの券面が、交付申請者以外の者から見えないようにする。

(2) 顔写真は、業務端末より取り込みを行う。

(3) デジタルカメラ等で顔写真を撮影した場合で顔写真データを端末に保存したときは、登録又は申請取消後速やかに削除する。

(4) 電子ファイルでの顔写真の受領は行わない。

3 セキュリティ管理者は、住民基本台帳カードに関する帳票の管理対象を定め、適切に管理するものとする。

(業務端末の操作時間)

第25条 住基ネットの業務端末の操作時間は、原則として、休日(井手町の休日を定める条例(平成2年条例第14号)第2条第1項各号に規定する休日をいう。)を除く日の午前8時30分から午後5時までとする。

(ハードウェアの管理)

第26条 システム統括管理者は、ハードウェアの管理に関して次に掲げる対策を行う。

(1) 障害に関すること

 指定情報処理機関、京都府及び委託事業者等との連絡網を整備し、障害が発生した場合の手順を整備する。

 セキュリティ管理者及び操作者に対して、障害防止策及び対応手順を周知徹底する。

 障害が発生した場合には、障害状況の把握及び障害対応を行い、重大な障害については、緊急時対応計画書に基づいて対応する。

 障害が発生しないよう防止策を講じるとともに、対策が適正に実施されているか確認を行う。

(2) 保守に関すること

 保守対象機器を明確にし、継続利用のために必要な措置を講じる。

 保守の時期及び保守内容について、ハードウェアの機能及び使用頻度を勘案し決定する。

 保守作業実施におけるデータの抹消、漏えい等に対する防止策を講じる。

 保守作業等の結果について保守委託事業者に報告することを義務づける。

(3) 性能に関すること

 ハードウェアの利用状況を定期的に分析し、分析結果に基づきハードウェアの適正な設置を図るとともに、ハードウェアの導入を計画的に行う。

 ハードウェアの能力をピーク時に対処できるものとするが、運用で対応する対策も併せて実施し、機器の導入が過剰とならないよう配慮する。

2 システム統括管理者は、業務端末及び窓口業務に必要なハードウェアを除くハードウェアを電子計算機室に設置することとし、住基ネットに係る機器を一括してラックに収納し施錠しなければならない。

3 セキュリティ管理者は、業務端末及び窓口業務に必要なハードウェアの設置場所の環境を整備し、き損及び盗難を防止する措置を講じなければならない。

4 操作者は、業務端末の操作時間以外は、業務端末を電子計算機室へ収納するものとする。

(ソフトウェアの管理)

第27条 システム統括管理者は、ソフトウェアの管理に関して次に掲げる対策を行う。

(1) 障害に関すること

 CS及び業務端末等のソフトウェアにプログラムの誤りを発見したときは、直ちに京都府及び指定情報処理機関にその状況を報告し、その指示に従う。

 CS及び業務端末等のソフトウェアがコンピュータウィルスに感染した場合は、直ちにこれらをネットワークから切り離す等の措置を講じるとともに、被害状況を京都府及び指定情報処理機関に報告し、その指示に従う。

 重大な障害については、緊急時対応計画書に基づいて対応する。

(2) 保守に関すること

 ソフトウェア(個別調達機器のソフトウェアを除く。)のバージョン管理について、指定情報処理機関の指示に従い実施するものとし、許可なくバージョンアップを行ったり、指示に従わずバージョンアップ作業を怠ってはならない。

 不測事態、障害対応に備えて適切にソフトウェアのバックアップを行い、業務内容及び処理形態に応じて、バックアップの範囲、記録する磁気ディスク、保管方法を定める。

 バックアップしたソフトウェアと運用中のソフトウェアの整合性及び同期性に配慮する。

 バックアップ及びリカバリ方法について、システムの変更の都度見直しを行う。

(3) 性能に関すること

 「指定情報処理機関一括調達ソフト」、「業務アプリケーション」及び「その他指定情報処理機関が指示するソフトウェア」以外に、住基ネットで使用するソフトウェアについて性能管理を行う。

 CS等に独自で開発又は購入するソフトウェアを導入する場合は、事前に性能に関する調査を行い、導入の是非を検討する。

 何人も、CS及び業務端末に、住基ネットの管理及び運用に必要なソフトウェア以外のソフトウェアを導入してはならない。

(ネットワークの管理)

第28条 システム統括管理者は、全国ネットワークを除くネットワークに関して次に掲げる対策を行う。

(1) 障害に関すること

 ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止、障害範囲拡大防止及び障害の切り分け)、障害運転時対応(代替運転及び縮退運転)、状況に応じた復旧作業、障害原因の調査及び障害改修後対応(障害内容の報告及び同様障害再発防止策の立案・実施)について、必要な措置を講じる。

 障害予測、定期診断及びログの調査・解析を行うことにより、システムの継続性の向上に努める。

 重大な障害については、緊急時対応計画書に基づいて対応する。

(2) 保守に関すること

 円滑な運用を確保するため、ハードウェアの資源の利用状況及び回線トラフィック状況等を勘案して適宜、資源の配分について見直しを行う。

 ネットワークの運用保守等によりネットワークを停止するときは、あらかじめ京都府及び指定情報処理機関に通知する。ただし、緊急に保守作業を行う必要がある場合等においては、システム統括管理者の判断によりネットワークを停止することができる。

(3) 性能に関すること

 ネットワークの拡張又は縮小を行う際には、計画の立案を行い、住基ネット事務への影響を最小限にして実施する。

 何人も、CS及び業務端末を住基ネット以外のネットワークに接続してはならない。

(ドキュメントの管理)

第29条 セキュリティ管理者は、基本設計書、各種手引書及びマニュアル等のドキュメントについて、本人確認情報が記載されている帳票及び磁気ディスクと同様の管理をしなければならない。

2 セキュリティ管理者は、委託事業者に関係ドキュメントを貸与する場合においては、契約書等で取扱いに関する事項を規定し、適正な管理を確保しなければならない。

(磁気ディスクの管理)

第30条 セキュリティ管理者は、磁気ディスクのき損、滅失、改ざん、漏えい等が生じないよう、次に掲げる対策をとり、適切に管理しなければならない。

(1) 保管施設を設ける等安全を確保するとともに、その使用に関して厳重な管理をすること。

(2) 保全性(記録されている内容が保たれていること。)を確保すること。

(3) 機密性(記録されている内容が改ざん又は漏えいされていないこと。)を確保すること。

(4) 磁気ディスクは、一定の周期で更新すること。

(5) 磁気ディスクを廃棄する場合は、記録内容を消去した上で廃棄すること。

2 システム統括管理者は、機器を廃棄する場合、その機器に存在する磁気ディスク内の情報が、廃棄する過程において第三者に入手されることを防止するため、磁気ディスクの物理的破壊、専用ソフトを使用したデータ消去等必要な措置を講じる。

3 システム統括管理者は、機器の廃棄又は修理を委託する場合は、委託先に本人確認情報の保護に係る責務を課するとともに、作業実施者が指示したとおりに作業をしたか確認する。

(耐タンパー装置の管理)

第31条 システム統括管理者は、耐タンパー装置用セットアップディスク及び耐タンパー装置用パスワードを施錠が可能な保管庫で管理する。

2 システム統括管理者は、耐タンパー装置がリースである場合は、リース先に対し、契約終了時に確実に廃棄する措置を講じることを契約条項に入れるとともに、確実に廃棄されたかどうかの確認を行う。

(オペレーション計画)

第32条 システム統括管理者は、セキュリティ管理者と協議して、次に掲げる計画を作成し、進捗管理を行い、適時必要に応じて計画の見直しを行う。

(1) 住基ネットの継続的に安定した運用を行うための要員配置計画

(2) 通常時、ピーク時及び大量データ取扱い時のスケジュールをあらかじめ作成し、年次、月次及び日次ごとの作業項目及び運用時間を決定した計画

(3) バックアップの処理に関して必要な事項を定めた計画

2 システム統括管理者は、住基ネットの適正な運用を確保するため、オペレーション品質の向上対策、オペレーションミスの原因分析、再現防止策の策定・実施・評価を行う。

第6章 委託管理

(委託を受けようとする者の管理体制等の調査)

第33条 システム統括管理者及びセキュリティ管理者は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第34条 システム統括管理者及びセキュリティ管理者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第35条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(1) 再委託の禁止又は制限に関する事項

(2) 情報が記録された資料の保管、返還又は廃棄に関する事項

(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

(受託者の管理状況の調査)

第36条 システム統括管理者及びセキュリティ管理者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

第7章 緊急時対応計画

(緊急時対応計画)

第37条 住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合に、被害を未然に防ぎ、又は被害の拡大を防止し、早急な復旧を図るため、緊急時対応計画を定めるものとする。

第8章 雑則

(保管庫及びラック等の鍵の管理)

第38条 セキュリティ管理者は保管庫及びラック等の鍵を適正に管理するものとする。

(委任)

第39条 この規程に定めるもののほか、住基ネットの運用管理に関し必要な事項は、町長が別に定める。

附 則

この訓令は、公布の日から施行する。

附 則(平成19年訓令第2号)

(施行期日)

1 この訓令は、平成19年4月1日から施行する。

附 則(平成20年訓令第1号)

この訓令は、平成20年4月1日から施行する。

井手町住民基本台帳ネットワークシステム運用管理規程

平成17年8月12日 訓令第2号

(平成20年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第6節
沿革情報
平成17年8月12日 訓令第2号
平成19年3月30日 訓令第2号
平成20年4月1日 訓令第1号