平川市住民基本台帳ネットワークシステム等のセキュリティ対策に関する規程

○平川市住民基本台帳ネットワークシステム等のセキュリティ対策に関する規程

平成18年1月1日

訓令第16号

第1章　総則(第1条)

第2章　住基ネット等セキュリティ組織(第2条―第6条)

第3章　入退管理(第7条―第11条)

第4章　住基ネット等アクセス管理(第12条―第17条)

第5章　住基ネット等情報資産管理(第18条―第20条)

第6章　住基ネット等委託管理(第21条―第25条)

附則

第1章　総則

(目的)

第1条　この訓令は、住民基本台帳ネットワークシステム及び附票連携システム(以下「住基ネット等」という。)を安全かつ円滑に運用するため、セキュリティ組織、入退管理、アクセス管理、情報資産管理及び委託管理に関し、必要な事項を定めるものとする。

第2章　住基ネット等セキュリティ組織

(セキュリティ統括責任者)

第2条　住基ネット等のセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、副市長をもって充てる。ただし、副市長が不在の時は、市民生活部長がその職務を代行する。

(システム管理者)

第3条　住基ネット等の適切な管理を行うため、システム管理者を置く。

2　システム管理者は、総務部政策推進課長(以下「政策推進課長」という。)をもって充てる。

(セキュリティ責任者)

第4条　住基ネット等を利用する課においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2　セキュリティ責任者は、市民生活部市民課長(以下「市民課長」という。)をもって充てる。

(セキュリティ会議)

第5条　住基ネット等のセキュリティ対策について審議するため、セキュリティ会議を設置する。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1)　市民生活部長

(2)　システム管理者

(3)　セキュリティ責任者

(4)　入退管理者

3　セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。ただし、セキュリティ統括責任者が招集する必要がないと認めるときは、書面を回付して審議することをもって会議に代えることができる。

4　セキュリティ会議は、次に掲げる事項を審議する。

(1)　住基ネット等のセキュリティ対策の決定及び見直し

(2)　前号のセキュリティ対策の遵守状況の確認

(3)　監査の実施計画の策定

(4)　教育及び研修の実施

5　議長は、前項のうち重要と認められる事項を審議するときは、平川市個人情報保護審査会条例(令和5年平川市条例第17号)第3条に規定する平川市個人情報保護審査会の意見を聴くものとする。

6　議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

7　セキュリティ会議の庶務は、市民生活部市民課において処理する。

(関係課に対する指示等)

第6条　セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課の長に対し必要な措置を指示することができる。

第3章　入退管理

(入退管理を行う場所)

第7条　次に掲げる住基ネット等の運用が行われる場所において、それぞれのセキュリティ区分に応じた入退管理を行うものとする。


セキュリティ区分	場所
レベル1	統合端末の設置場所
レベル2	サーバ、ネットワーク機器設置場所、耐火金庫内

2　それぞれのセキュリティ区分に応じた入退管理の方法は、次のとおりとする。


セキュリティ区分	入退管理の方法
レベル1	入退を行う場合には、入退管理者から事前に許可されたもののみが入退を行う。識別を行うために、入退者には、名札の着用を義務付ける。保守等委託事業者等の訪問者が入退室を行う場合には、職員が不在とならないように配慮する。
レベル2	入退を行う場合には、入退管理者から事前に許可されたもののみが鍵を用いて入退を行う。識別を行うために、入退者には、名札の着用を義務付ける。また入退に関する記録を行う。保守等委託事業者等の訪問者が入退室を行う場合には、職員の立会者を伴って入退室を行う。

(入退管理者)

第8条　入退管理者は、統合端末の設置場所にあっては市民課長及び総合支所長を、サーバ、ネットワーク機器設置場所にあっては市民課長をもって充てる。

2　入退管理者は、前条第1項に掲げる場所について、同条第2項に定める入退管理を行うほか、住基ネット等のセキュリティを確保するため、入退管理場所に関し、必要な措置をとらなければならない。

(鍵の管理)

第9条　鍵の管理は、入退管理者が行う。

2　入退管理者は、レベル2のセキュリティ区分に係る場所については、事前に許可を得ている者に限り、鍵を貸与するものとする。

(管理簿の作成)

第10条　入退管理者は、レベル2のセキュリティ区分に係る場所については、入退管理簿を作成し、これを保存するものとする。

(指示)

第11条　セキュリティ統括責任者は、適切な入退管理が行われているかどうか、入退管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。

第4章　住基ネット等アクセス管理

(アクセス管理を行う機器)

第12条　アクセス管理を行う機器は、次のとおりとする。

(1)　コミュニケーションサーバ

(2)　統合端末

2　前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第13条　前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、市民課長をもって充てる。

(照合ID、照合情報及び操作者IDの管理)

第14条　アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。

(1)　照合ID、照合情報及び操作者IDの管理方法を定めること。

(2)　操作者IDの種類ごとの操作者について、住基ネット等を管理するシステム管理者と協議して定めること。

(3)　照合ID及び操作者IDの管理簿を作成すること。

(操作者の責務)

第15条　操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。

(操作履歴の記録)

第16条　アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。

(オペレーティングシステムの管理)

第17条　アクセス管理責任者は、第12条のアクセス管理を実施するほか、住基ネット等に係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。

第5章　住基ネット等情報資産管理

(情報資産管理)

第18条　住基ネット等の情報資産(住基ネット等に係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下この章において同じ。)について、管理責任者を置く。

2　前項の情報資産のうち、本人確認情報等の個人情報、当該個人情報が記録されたサーバに係る帳票、個人番号カード及び住民基本台帳カード(以下「個人番号カード等」という。)の管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長をもって充て、これら以外の情報資産の管理者(以下「情報資産管理責任者」という。)は、政策推進課長をもって充てる。

(本人確認情報管理責任者)

第19条　本人確認情報管理責任者は、本人確認情報等の個人情報を取り扱うことができる者を指定するとともに、当該個人情報の漏えい、滅失及びき損の防止その他当該個人情報の適切な管理のための必要な措置を講じなければならない。

2　本人確認情報管理責任者は、本人確認情報等の個人情報が記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。

(情報資産管理責任者)

第20条　情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。

2　情報資産管理責任者は、市民課長と協議して、住基ネット等のオペレーション計画を定めるものとする。

第6章　住基ネット等委託管理

(委託を受けようとする者の管理体制の調査)

第21条　住基ネット等を管理し、又は利用する課の長(以下「委託者」という。)は、外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第22条　委託者は、外部委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第23条　外部委託に係る契約書等(契約書及び附則のほか、委託業務仕様書、覚書等を含む。)には、情報の保護に関し、必要に応じて、次の各号に掲げる事項を明記しなければならない。

(1)　情報セキュリティポリシー及び情報セキュリティ実施手順の遵守に関する事項

(2)　外部委託事業者の責任者、委託内容、作業者の所属、作業場所の特定に関する事項

(3)　提供されるサービスレベルの保証に関する事項

(4)　外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法に関する事項

(5)　外部委託事業者の従業員に対する教育の実施に関する事項

(6)　提供された情報の目的外利用及び受託者以外の者への提供の禁止に関する事項

(7)　業務上知り得た情報の守秘義務に関する事項

(8)　再委託に関する制限事項の遵守に関する事項

(9)　委託業務終了時の情報資産の返還、廃棄等に関する事項

(10)　委託業務の定期報告及び緊急時報告義務に関する事項

(11)　地方公共団体による監査、検査に関する事項

(12)　情報セキュリティインシデント発生時の対応に関する事項

(13)　情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)に関する事項

(受託者の管理状況の調査)

第24条　委託者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

(その他)

第25条　この訓令の施行に関し必要な事項は、市長が別に定める。

附則

(施行期日)

1　この訓令は、平成18年1月1日から施行する。

(経過措置)

2　この訓令の施行の日の前日までに、合併前の平賀町住民基本台帳ネットワークシステムのセキュリティ対策に関する規程(平成14年平賀町規程第10号)、住民基本台帳ネットワークシステムのセキュリティ対策に関する規程(平成14年尾上町訓令甲第10号)又は碇ケ関村住民基本台帳ネットワークシステムのセキュリティ対策に関する規程(平成14年碇ケ関村訓令第17号)の規定によりなされた処分、手続その他の行為は、それぞれこの訓令の相当規定によりなされたものとみなす。

附則(平成19年3月28日訓令第1号)

この訓令は、平成19年4月1日から施行する。

附則(平成20年12月9日訓令第9号)

この規程は、平成20年12月9日から施行する。

附則(平成23年9月1日訓令第2号)

この訓令は、平成23年9月1日から施行する。

附則(平成27年3月31日訓令第5号)

この訓令は、平成27年4月1日から施行する。

附則(平成28年1月1日訓令第1号)

この訓令は、平成28年1月1日から施行する。

附則(平成29年3月31日訓令第5号)

この訓令は、平成29年4月1日から施行する。

附則(平成31年3月28日訓令第1号)

この訓令は、平成31年4月1日から施行する。

附則(令和2年3月25日訓令第4号)

この訓令は、令和2年4月1日から施行する。

附則(令和3年3月29日訓令第4号)

この訓令は、令和3年4月1日から施行する。

附則(令和4年3月31日訓令第16号)

この訓令は、令和4年4月1日から施行する。

附則(令和5年3月31日訓令第6号)

この訓令は、令和5年4月1日から施行する。

附則(令和7年3月25日訓令第4号)

この訓令は、令和7年3月25日から施行する。

附則(令和7年8月25日訓令第13号)

この訓令は、令和7年8月25日から施行する。

◆	平成18年1月1日	訓令第16号
◇	平成19年3月28日	訓令第1号
◇	平成20年12月9日	訓令第9号
◇	平成23年9月1日	訓令第2号
◇	平成27年3月31日	訓令第5号
◇	平成28年1月1日	訓令第1号
◇	平成29年3月31日	訓令第5号
◇	平成31年3月28日	訓令第1号
◇	令和2年3月25日	訓令第4号
◇	令和3年3月29日	訓令第4号
◇	令和4年3月31日	訓令第16号
◇	令和5年3月31日	訓令第6号
◇	令和7年3月25日	訓令第4号
◇	令和7年8月25日	訓令第13号