○大仙市住民基本台帳ネットワークシステムのセキュリティ対策に関する規程
平成17年3月22日
訓令第17号
目次
第1章 総則(第1条―第3条)
第2章 体制の整備(第4条―第9条)
第3章 入退室管理(第10条・第11条)
第4章 アクセス管理(第12条―第14条)
第5章 情報資産の管理(第15条―第19条)
第6章 外部委託(第20条―第23条)
第7章 補則(第24条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号)、住民基本台帳法施行令(昭和42年政令第292号)及び住民基本台帳法施行規則(平成11年自治省令第35号。第3条において「住民基本台帳諸法令」と総称する。)並びに電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存に関する技術的基準(平成14年総務省告示第334号。次条において「技術的基準」という。)の規定に基づき、住民基本台帳ネットワークシステムのセキュリティ対策に関し必要な事項を定めるものとする。
(定義)
第2条 この訓令において使用する用語の意義は、この訓令に特別の定めがあるもののほか、技術的基準に定める用語の例によるものとする。
(職員等の義務)
第3条 住民基本台帳ネットワークシステムに関する業務に携わるすべての職員(非常勤職員を含む。以下同じ。)及び当該業務の委託を受けた者は、住民基本台帳諸法令及びこの訓令に定める事項を遵守して、当該業務を遂行しなければならない。
第2章 体制の整備
(セキュリティ統括責任者)
第4条 住民基本台帳ネットワークシステムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、住民基本台帳ネットワークシステムのセキュリティ対策に関する最終的な権限及び責任を有し、運用に関する重大な事項について決定する権限を有する。
3 セキュリティ統括責任者は、総務部長の職にある者をもって充てる。
(システム管理者)
第5条 住民基本台帳ネットワークシステムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、DX推進課長の職にある者をもって充てる。
(セキュリティ責任者)
第6条 住民基本台帳ネットワークシステムを利用する部又は支所におけるセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、所管する部又は支所における住民基本台帳ネットワークシステムのセキュリティ対策に関する総括的な権限及び責任を有する。
3 セキュリティ責任者は、市民部長及び各支所長の職にある者をもって充てる。
(セキュリティ管理者)
第6条の2 住民基本台帳ネットワークシステムを利用する課におけるセキュリティ対策を実施するため、セキュリティ管理者を置く。
2 セキュリティ管理者は、所管する課の住民基本台帳ネットワークシステムのセキュリティ対策に関する権限及び責任を有する。
3 セキュリティ管理者は、市民課長及び各支所市民サービス課長の職にある者をもって充てる。
4 セキュリティ管理者は、住民基本台帳ネットワークシステムのセキュリティ対策について、所属する職員に対し、その遵守を徹底させなければならない。
(住民基本台帳ネットワークシステムセキュリティ会議)
第7条 住民基本台帳ネットワークシステムのセキュリティ対策の内容及びその見直し、セキュリティ対策の遵守状況の確認、監査の実施、職員に対する教育及び研修の実施、緊急時における対応等の重要事項について審議するため、住民基本台帳ネットワークシステムセキュリティ会議(以下「セキュリティ会議」という。)を設置する。
2 セキュリティ会議は、セキュリティ統括責任者、システム管理者、セキュリティ責任者、セキュリティ管理者、総務課長及び財政課長の職にある者をもって組織する。
3 セキュリティ会議は、セキュリティ統括責任者が招集する。
4 セキュリティ統括責任者は、会務を総理する。
(監査)
第8条 システム管理者は、住民基本台帳ネットワークシステムのセキュリティ対策について、定期又は必要に応じて監査を実施するものとする。
2 システム管理者は、前項に規定する監査を実施する場合は、あらかじめ、監査の対象となる住民基本台帳ネットワークシステムの範囲、本人確認情報処理事務の範囲等を具体的に設定した監査計画書を作成するものとする。
3 システム管理者は、第1項に規定する監査を実施した場合は、監査報告書を作成し、セキュリティ統括責任者に報告するとともに、改善が必要な事項については、被監査課所等の長に対して改善勧告を行うものとする。
4 前項に規定する改善勧告を受けた被監査課所等の長は、監査結果に対する改善事項を明確にするため改善計画書を作成し、セキュリティ統括責任者の承認を得るとともに、当該改善計画書に基づく改善策の実施状況を報告しなければならない。
(教育及び研修)
第9条 セキュリティ統括責任者は、住民基本台帳ネットワークシステムの操作及びセキュリティ対策について、説明会等の実施により、当該システムにかかわるすべての職員に対し、教育及び研修を実施しなければならない。
2 セキュリティ統括責任者は、前項に規定する教育及び研修を実施しようとするときは、対象者、内容、実施時期等に関する計画をあらかじめ定め、これを実施するものとする。
第3章 入退室管理
(入退室管理)
第10条 住民基本台帳ネットワークシステムの運用が行われる室において、入退室管理を行う。
2 入退室管理の方法は、次表左欄に掲げる室の区分に応じ、当該右欄に掲げるとおりとする。
室 | 入退室管理の方法 |
データ、セキュリティ情報等の保管室並びにサーバ及びネットワーク機器の設置室 | ① 入室しようとする者は、システム管理者から事前に許可を受けなければならない。 ② 入室及び退室するときは、入退室管理システムを用いるものとする。 ③ 入室者は、名札を着用しなければならない。 ④ システム管理者は、入退室に関する記録を行わなければならない。 |
業務端末の設置室 | 入室しようとする者は、当該業務端末設置部署のセキュリティ管理者から事前に許可を受けなければならない。 |
3 システム管理者及びセキュリティ管理者は、前項に規定する入退室管理を行うほか、住民基本台帳ネットワークシステムのセキュリティを確保するため、入退室の管理に関し必要な措置を採らなければならない。
(入退室に関する指示)
第11条 セキュリティ統括責任者は、住民基本台帳ネットワークの運用が行われる室に関する入退室管理の状況に関し必要と認めるときは、システム管理者及びセキュリティ管理者から報告を徴収し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理等)
第12条 システム管理者は、次に掲げる住民基本台帳ネットワークシステムの構成機器について、アクセス管理を行うものとする。
(1) コミュニケーションサーバ
(2) 業務端末
2 システム管理者は、アクセス管理のため、次に掲げる事項を行うものとする。
(1) 照合情報認証により操作者の正当な権限を確認すること。
(2) 操作履歴を記録すること。
(3) 操作者IDの種別ごとの操作者について、業務端末を利用する部署のセキュリティ責任者と協議し、第16条第1項に規定する指定を受けた者のうちから指定すること。
(4) 照合ID及び操作者IDを適切に管理すること。
(5) 照合ID及び操作者IDの管理簿を作成すること。
(6) その他システム管理者がアクセス管理のために必要と認めた事項
(職員による不正アクセス)
第13条 セキュリティ責任者は、職員による不正アクセス(操作者が行うことのできる業務の目的以外の業務端末の利用及び操作者でない者の業務端末の利用をいう。次項において同じ。)があった場合は、システム管理者にその事実を通知し、適切な処置を求めなければならない。
2 システム管理者は、職員による不正アクセスがあった場合は、当該事案等を調査し、セキュリティ統括責任者等へ報告を行うものとする。
(操作履歴の記録)
第14条 システム管理者は、操作履歴について、当該操作履歴を記録した日の属する年度の翌年度から起算して7年間保存するものとする。
第5章 情報資産の管理
(情報資産管理)
第15条 セキュリティ管理者は、住民基本台帳ネットワークシステムの情報資産(住民基本台帳ネットワークシステムに係るすべての情報及びソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード(マイナンバーカード)を管理するものとし、これ以外の情報資産については、システム管理者がこれを管理するものとする。
(本人確認情報を取り扱うことのできる者の指定)
第16条 セキュリティ管理者は、本人確認情報を取り扱うことのできる者を指定するものとする。
2 職員が前項に規定する指定を受けようとするときは、当該職員の所属する課所等の長は、セキュリティ管理者に対し当該指定を申請しなければならない。
3 本人確認情報の処理について委託を受けた事業者の従事者等に係る第1項に規定する指定は、委託の都度行うものとする。
(本人確認情報の取扱いに係る遵守事項)
第17条 前条第1項に規定する指定を受けた者は、本人確認情報の取扱いについて、次に掲げる事項を遵守しなければならない。
(1) 業務上必要のない本人確認情報をディスプレイに表示してはならない。
(2) 長時間にわたり本人確認情報をディスプレイに表示したままの状態にしてはならない。
(3) 業務端末に係るディスプレイは、来庁者等から画面が見えない位置に置かなければならない。
(4) 本人確認情報をディスプレイに表示している場合において、当該画面状態を画像データとして保管し、又は業務上必要のないハードコピーを出力してはならない。
(5) 本人確認情報の検索及び抽出に当たっては、事前に検索及び抽出条件を明確にしてから行うものとし、業務上必要のない検索及び抽出は行ってはならない。
(6) 本人確認情報の出力に当たっては、業務上必要のない帳票の出力を行ってはならない。
(サーバに係る帳票の管理)
第18条 セキュリティ管理者は、本人確認情報の記録されたサーバに係る帳票について、その種類、出力年月日、使用目的及び枚数を記録するものとする。
(ソフトウェア及びハードウェア管理)
第19条 ソフトウェア及びハードウェアの管理に関する遵守事項は、次に掲げるとおりとする。
(1) 業務端末に住民基本台帳ネットワークシステム運用上必要と認められるもの以外のソフトウェアをインストールしてはならない。
(2) 住民基本台帳ネットワークシステム運用上必要と認められるものを除き、業務端末の改造又は業務端末に対する機器の増設若しくは変更を行ってはならない。
第6章 外部委託
(委託を受けようとする者の管理体制等の調査)
第20条 住民基本台帳ネットワークシステムを管理し、又は利用する課所等の長は、住民基本台帳ネットワークシステムに係る業務を外部の者に委託(以下「外部委託」という。)しようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第21条 住民基本台帳ネットワークシステムを管理し、又は利用する課所等の長は、外部委託をしようとするときは、委託する事務の内容、理由、情報の保護に関する事項等について、あらかじめセキュリティ統括管理者の承認を得なければならない。
(契約書への記載事項)
第22条 外部委託に係る契約書には、情報の保護について、次に掲げる事項を明記しなければならない。
(1) 再委任の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第23条 外部委託をした課所等の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第7章 補則
(補則)
第24条 この訓令に定めるもののほか、住民基本台帳ネットワークシステムのセキュリティ対策に関し必要な事項は、セキュリティ統括責任者が定める。
附則
この訓令は、平成17年3月22日から施行する。
附則(平成18年4月1日訓令第25号)
この訓令は、平成18年4月1日から施行する。
附則(平成26年4月1日訓令第7号)
この訓令は、平成26年4月1日から施行する。
附則(令和5年7月1日訓令第9号)
この訓令は、令和5年7月1日から施行する。