能代市情報セキュリティ対策要綱

○能代市情報セキュリティ対策要綱

平成18321

訓令第16

目次

1章 総則(1条―第3)

2章 管理組織(4条―第8)

3章 情報セキュリティ対策

1節 情報資産(9条―第14)

2節 情報セキュリティ対策の実施(15条・第16)

3節 人的セキュリティの確保(17条―第23)

4節 物理的セキュリティの確保(24条―第29)

5節 技術的セキュリティの確保(30条―第45)

6節 運用及び監視(46条―第48)

4章 情報セキュリティ対策に関する違反への対応(49)

5章 評価及び見直し(50条―第52)

6章 雑則(53)

附則

1章 総則

(趣旨)

1条 この訓令は、市における情報資産の管理を徹底するとともに、市のネットワークシステムを情報資産脅威から保護するため、市が保有する情報資産の取扱い及び情報セキュリティ対策に関し能代市情報セキュリティ対策を定めるものとする。

(定義)

2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 課等 能代市事務分掌規則(平成18年能代市規則第3)2条表中欄に掲げる課、能代市教育委員会事務局組織規則(平成18年能代市教育委員会規則第6)1条に規定する課、能代市選挙管理委員会事務局、監査委員事務局、能代市農業委員会事務局、固定資産評価審査委員会事務局、能代市公営企業分課規程(平成18年能代市企業管理訓令第1)2条に規定する課、能代市議会事務局並びに会計課をいう。

(2) 電子計算機 ハードウェア及びソフトウェアで構成するコンピュータ及び周辺装置をいう。

(3) 管理区域 電子計算機又はネットワークに係る機器を設置し、管理するために必要な区域をいう。

(4) 特別管理区域 管理区域のうちサーバ等を設置している管理区域及び重要度が高い情報資産を管理し、又は保存している区域で情報統括管理者が指定するものをいう。

(5) 記録媒体 電磁的記録を記録し、保存しておくことのできるフレキシブルディスク、光ディスクその他の媒体をいう。

(6) ネットワーク 電子計算機を相互に接続し、情報処理を行うため、市が管理し、及び利用する通信回線、当該通信回線に設けられるハードウェア及びソフトウェアで構成される通信装置並びに記録媒体で構成される仕組みをいう。

(7) 情報システム 電子計算機及び記録媒体で構成される情報処理の仕組みで、独立して又はネットワークとして市の事務処理を行うものをいう。

(8) 情報資産 ネットワーク及び情報システム、当該ネットワーク及び情報システムの開発及び運用に係る情報並びにネットワーク及び情報システムで取り扱う情報(紙等に出力された情報を含む。)をいう。

(9) 情報セキュリティ 情報資産について、機密性を保ち、完全性を維持し、及び適正に利用できる状態を維持することをいう。

(10) 情報資産脅威 情報資産に対する次に掲げる行為又は事態をいう。

ア 権限又は許可のない職員又は市の外部の者による故意の不正なアクセス若しくは不正な操作による情報資産の持出し、漏えい、盗用、改ざん、消去等又は機器若しくは記録媒体の盗難、紛失、損傷、滅失等

イ 権限又は許可を受けた職員及び市から業務の委託(地方自治法(昭和22年法律第67)244条の23項の規定による指定を含む。第23条において同じ。)を受けた者による過失の操作、故意の不正なアクセス若しくは不正な操作による情報資産の持出し、漏えい、盗用、改ざん、消去等又は機器若しくは記録媒体の盗難、紛失、損傷、滅失等

ウ 情報資産に影響を及ぼす地震、落雷、火災等の災害及び事故、故障等の不測の事態

(対象範囲)

3条 この訓令は、すべての職員(非常勤職員及び臨時職員を含む。以下同じ。)を対象とする。

2章 管理組織

(最高情報統括管理者等の設置)

4条 この訓令に基づき、市が保有するすべての情報資産の管理及び情報セキュリティのための対策(以下「情報セキュリティ対策」という。)の推進の統括を行わせるため、最高情報統括管理者を置き、副市長をもって充てる。

2 最高情報統括管理者の職務を補佐するとともに、ネットワーク及びネットワークを用いた情報システムの安定した運用の管理を行わせるため、情報統括管理者を置き、企画部長をもって充てる。

3 情報統括管理者の指示により、ネットワークの運用に関し必要な事務を行わせるため、ネットワーク管理者を置き、地域情報課長をもって充てる。

4 各課等における情報セキュリティについて、情報システムの適正な管理及び運用を行わせるため、情報セキュリティ責任者を置き、各課等の長をもって充てる。

5 情報セキュリティに関する事項を総括し、重要事項等を協議するため、能代市情報セキュリティ対策委員会(以下「委員会」という。)を設置する。

6 委員会の委員及び必要な細目については、別に定める。

(19訓令10・平20訓令10・一部改正)

(最高情報統括管理者の職務)

5条 最高情報統括管理者は、次に定めるところにより、情報セキュリティ対策の統括を行う。

(1) 全庁的な情報セキュリティ対策を実施し、当該情報セキュリティ対策の総括を行うこと。

(2) この訓令に規定する事項に関し、職員に対し教育及び訓練並びに指導及び指示を行うこと。

(3) その他情報セキュリティに関することを行うこと。

(情報統括管理者の職務等)

6条 情報統括管理者は、次に定めるところにより、最高情報統括管理者の職務を補佐するとともに、ネットワークの安定的な運用を図るため、総合的なネットワークの管理を行う。

(1) ネットワークの設定、運用及び更新に係る承認を行うこと。

(2) ネットワークを利用して構築する情報システムの開発、設定の変更、運用、更新、追加等及び情報セキュリティ実施手順書の作成、維持、管理等の承認を行うこと。

(3) ネットワークに接続する電子計算機の設定、運用、更新、追加等の承認を行うこと。

(4) ネットワーク管理者を指揮監督し、情報セキュリティ責任者及び情報システム担当者に対し助言及び指導を行うこと。

(5) 市の情報資産に対する侵害及び障害並びにそれらの発生するおそれのある場合、最高情報統括管理者の指示に従い必要な措置を講ずること。

2 情報統括管理者は、最高情報統括管理者が不在のときは、その職務を代理する。

(ネットワーク管理者の職務等)

7条 ネットワーク管理者は、情報統括管理者の指示により、次の業務を行う。

(1) ネットワークの設定、運用及び更新を行うこと。

(2) ネットワークを利用して構築する情報システムの開発、設定の変更、運用、更新、追加等及び情報セキュリティ実施手順書の作成、維持、管理等に関し助言及び指導を行うこと。

(3) ネットワークを構成する電子計算機の設定、運用、更新、追加等を行うこと。

(4) 所管する管理区域及び特別管理区域の管理を行うこと。

2 ネットワーク管理者は、最高情報統括管理者及び情報統括管理者が共に不在のときは、ネットワーク管理者がその職務を代理する。

(情報セキュリティ責任者の職務)

8条 情報セキュリティ責任者は、次に定めるところにより、情報資産の適正な運用及び管理を行う。

(1) 所管する情報システムの開発、設定の変更、運用、更新、追加等を行うこと。この場合において、あらかじめ、ネットワーク管理者と協議すること。

(2) 所管する情報システムに係る情報セキュリティ実施手順書の作成及び管理を行うとともに、定められている事項について職員に実施させ、及び遵守させること。

(3) 職員以外の者が、情報システム及び記録媒体を利用し、又は許可なく情報資産を閲覧することのないよう適切な措置を講ずること。

(4) 所管する管理区域及び特別管理区域の管理を行うこと。

(5) 所管する情報資産に対する侵害又はそのおそれがあるときは、ネットワーク管理者へ速やかに報告し、その指示に従い必要な措置を講ずること。

2 情報セキュリティ責任者は、課等における情報システムの運用、更新等を行わせるため、情報システム担当者を置き、情報セキュリティ責任者が指名した職員をもって充てる。

3 情報セキュリティ責任者は、前項の規定に基づく指名を行ったときは、速やかにネットワーク管理者に報告しなければならない。

3章 情報セキュリティ対策

1節 情報資産

(情報資産の分類)

9条 最高情報統括管理者は、市が保有する情報資産をその重要度に応じ、次表の重要性分類に従って区分し、それらに応じた情報セキュリティ対策を行うものとする。

区分

重要性分類

・個人情報

・法令の規定により秘密を守る義務を課せられているデータ

・部外に知られることが適当でない法人その他の団体に関するデータ

・部外に漏れた場合に行政の信頼を著しく害するおそれのあるデータ

・滅失し、又は損傷した場合その復元が著しく困難であるため行政の円滑な運営が妨げられるおそれのあるデータ

・公開することでセキュリティ障害が生じるおそれのあるデータ

上記以外のデータ

(情報資産の管理責任)

10条 情報資産は、当該情報資産を開発し、運用し、又は取り扱うネットワーク管理者又は情報セキュリティ責任者(以下「ネットワーク管理者等」という。)が管理しなければならない。

2 職員は、情報資産の重要性分類の区分に応じ、この訓令及び第16条第1項の情報セキュリティ実施手順書に従い、情報資産を取り扱わなければならない。

(情報資産の分類の表示)

11条 情報資産は、次に掲げるものについて、第三者に対しては重要性の識別が容易に認識できないようにし、職員に対してはファイルの識別名、記録媒体自体等に情報資産の重要性分類の区分が分かるように表示するほか、適切に管理されなければならない。

(1) 情報資産の印刷にあっては、印刷面

(2) 情報資産の表示装置にあっては、表示画面

(3) 情報資産を記録した記録媒体の表示にあっては、表示ラベル

(情報資産のアクセスの制限等)

12条 情報資産は、重要性分類の区分に応じ、アクセスするためのパスワードその他認証に関する情報(以下「パスワード等」という。)によるアクセスの制限を行わなければならない。この場合において、情報資産は、必要に応じ、暗号化等による内容の秘密化を行わなければならない。

2 重要性分類の区分I又は2に該当する情報資産を業務上で必要な複写又は送付を行うときは、情報セキュリティ責任者の許可を受けなければならない。

(記録媒体の管理)

13条 職員は、次に定めるところにより、記録媒体を管理しなければならない。

(1) ネットワーク又は情報システムにおける記録媒体の管理は、常時適切に行うこと。

(2) 最終的に確定した情報資産を記録した記録媒体は、書込み等改変することができないよう措置を採った上で保管すること。

(3) 情報システムから容易に取り出し、又は取り外して持運びが可能な記録媒体(以下「取出可能記録媒体」という。)で、重要性分類の区分I又は2に該当する情報資産が記録されたものは、紛失、損傷、滅失及び情報資産脅威のないよう施錠が可能で安全な場所に保管すること。この場合において、その保管の状況を記録すること。

(4) 重要性分類の区分I又は2に該当する情報資産を記録した取出可能記録媒体は、当該取出可能記録媒体を管理する責任者が必要があると認めたときは、別の記録媒体に複写することができること。この場合において、前号に規定する保管場所と別の安全な場所に保管し、当該保管の状況を記録すること。

(5) 重要性分類の区分I又は2に該当する情報資産を記録した取出可能記録媒体を市の外部の者との間で授受する必要があるときは、守秘義務、それに違反した場合の損害賠償等を明記した契約(協定等を含む。以下同じ。)に基づき行い、安全かつ確実な受渡しの方法を採ること。

(記録媒体の処分)

14条 記録媒体が不要となったときは、当該記録媒体に記録されている情報資産をいかなる方法でも復元できないように完全な消去、当該記録媒体自体の破壊等を行った上で廃棄しなければならない。

2 重要性分類の区分I又は2に該当する情報資産を記録した記録媒体の廃棄は、当該記録媒体を管理する責任者の承認を得て行うとともに、廃棄の状況を記録しなければならない。

2節 情報セキュリティ対策の実施

(情報資産の保護の基本方針)

15条 市の保有する情報資産を情報資産脅威から保護するため、次の各号に掲げる区分に応じ、当該各号に定める情報セキュリティ対策を実施するものとする。

(1) 人的セキュリティ対策 情報資産に接する職員の権限、責任等を定めるとともに、この訓令及び情報セキュリティ実施手順書に規定する内容等を職員に周知し、徹底を図る等情報セキュリティについて十分な教育及び啓発を行うこと。

(2) 物理的セキュリティ対策 管理区域及び特別管理区域への不正な立入り等、情報資産への損傷並びにネットワーク及び情報システムの正常な運用の妨害等を防止するため、管理区域及び特別管理区域の入退室の管理その他情報資産脅威に対抗する物理的な措置を採ること。

(3) 技術的セキュリティ対策 情報資産を不正なアクセス等から保護するため、情報資産へのアクセスの制限、コンピュータウィルス対策その他のネットワーク及び情報システムにおける技術的な措置を採ること。

(4) 運用及び監視 この訓令の実効性を確保し、及び維持するため並びに不正なアクセス等によるネットワーク及び情報システムの被害を防ぐため、ネットワークの監視等の必要な措置を採ること。この場合において、ネットワーク及び情報システムに障害が発生した場合に迅速に対応するため、当該措置は、危機管理対策を含むものでなければならない。

(情報セキュリティ実施手順書の作成)

16条 情報セキュリティ責任者は、この訓令に規定する事項を実施するため、個々の情報システムにおける情報セキュリティ対策について具体的な実施の手順を明記した情報セキュリティ実施手順書を定めなければならない。

2 情報セキュリティ責任者は、前項の情報セキュリティ実施手順書を定めたときは、遅滞なく、ネットワーク管理者に当該情報セキュリティ実施手順書の写しを届け出なければならない。改正し、及び廃止したときも、同様とする。

3 ネットワーク管理者等は、第1項の情報セキュリティ実施手順書及び前項のその写しを適切に管理しなければならない。

3節 人的セキュリティの確保

(職員の遵守義務)

17条 職員は、情報セキュリティの重要性について認識するとともに、この訓令及び情報セキュリティ実施手順書に定められている事項を遵守しなければならない。この場合において、情報セキュリティ実施手順書に不明な点があるときは、情報セキュリティ責任者又は情報システム担当者の指示を受けなければならない。

2 職員は、使用している電子計算機を第三者に使用され、又は許可なくして情報資産を閲覧されることがないよう適切に管理しなければならない。

3 職員は、ネットワーク管理者の許可なくネットワーク及び情報システムの機器等を移動し、並びに情報セキュリティ責任者の許可なく記録媒体を執務室の外へ持ち出してはならない。

4 職員は、重要性分類の区分I又は2に該当する情報資産について、庁舎外への持出し又は電子メールによる外部との送受信を行ってはならない。ただし、情報資産のバックアップ、緊急避難その他合理的な理由があるとき又は情報統括管理者の許可を受けたときは、この限りでない。

5 職員は、人事異動、退職等により業務を離れるときは、当該業務上知り得た情報資産に係る情報を他の者に漏らしてはならない。

(業務目的以外の使用禁止)

18条 職員は、当該職員の担当する業務の目的の範囲内でのみネットワーク及び情報システムを利用しなければならない。当該業務の目的以外の目的で情報システムヘのアクセス、電子メールの送受信及びインターネットの利用を行ってはならない。

(教育及び訓練)

19条 最高情報統括管理者は、職員に対しこの訓令に規定する事項及び情報セキュリティに対する意識の向上について、啓発に努めるとともに、研修を実施しなければならない。

2 ネットワーク管理者は、最新の技術を維持するための知識の習得に努めるとともに、情報資産脅威について研究し、当該情報資産脅威が発生したときを想定した訓練を実施しなければならない。

3 情報セキュリティ責任者は、情報資産脅威を想定した訓練、情報システムの操作方法を習得する訓練等を適宜実施しなければならない。

4 情報システムの開発、管理、運用及び保守に携わる職員は、必要な技術力を習得し、維持することに努めなければならない。

(事故、欠陥等に対する報告)

20条 職員は、情報セキュリティに対する事故、情報システム上の欠陥及び誤動作を発見したとき並びにネットワーク及び情報システムに関する事故、欠陥等について住民等からの連絡を受けたときは、速やかにネットワーク管理者に報告し、ネットワーク管理者の指示に従い、必要な措置を講じなければならない。この場合において、職員は、情報システム担当者に報告し、当該情報システム担当者は、報告のあった事故のすべてについて情報セキュリティ責任者を通じてネットワーク管理者に報告しなければならない。

2 ネットワーク管理者は、前項の報告に係る事故等を最高情報統括管理者に報告するとともに、当該事故等を分析し、再発を防止するための情報資産として当該分析した結果の記録を保存し、適切かつ有効に活用しなければならない。

(パスワード等の管理)

21条 職員は、自己が管理するパスワードに関し、次に定める事項を遵守しなければならない。

(1) パスワードについて、他の者への漏えいを防止する手段を講ずるとともに、他の者が知り得る状態に置かないこと。

(2) パスワードは、十分な長さとし、文字列が想像し難いものとすること。

(3) パスワードの変更は、その漏えいの危険性があった場合のほか、定期的に行うこと。

(4) 職員は、複数の情報システム間に同一のパスワードを設定しないこと。

(5) 職員は、相互にパスワードを共有しないこと。

(接続及びアクセスの時間の制限等)

22条 情報システムヘの接続及びアクセスの時間は、必要最小限にしなければならない。

(業務委託等に関する管理)

23条 ネットワーク管理者等は、業務の遂行に当たり当該業務の全部又は一部を委託により行わせることとした者(以下「委託業者」という。)と当該業務について契約を締結するときは、情報統括管理者の承認を得て、当該契約又は別途行う取決めにより次に定める事項を約定しなければならない。当該委託業者が、市があらかじめ承認した再委託の契約をする場合も、同様とする。

(1) この訓令及び情報セキュリティ実施手順書に規定する事項の遵守

(2) 市が提供した情報資産の目的外利用及び委託業者以外への提供の禁止

(3) 市が提供した情報資産の返還義務

(4) 委託した業務に関する報告義務並びに監督及び検査の実施

(5) 委託業者の従業者に対する情報セキュリティについての教育の実施

(6) 契約に違反したときの損害賠償義務

(7) 前各号に定めるもののほか、市の情報セキュリティのために必要と認められる事項

4節 物理的セキュリティの確保

(サーバ等)

24条 ネットワーク及び情報システムの取付けを行うときは、ネットワーク管理者と協議の上、管理区域及び特別管理区域に設置し、必要に応じ固定等の措置を採らなければならない。

2 サーバの構成、機器及びソフトウェア等は、ネットワーク管理者と協議の上、ネットワーク及び情報システムが安全に稼動できるよう選定しなければならない。

3 ネットワーク管理者は、本人、情報セキュリティ責任者、情報システム担当者、ネットワーク管理者が指名した職員及び契約に基づきアクセスを認められた委託業者の従業者以外の者がアクセスできないように利用者を識別する符号(以下「利用者ID」という。)及びパスワード等を設定しなければならない。

4 サーバ等の機器の電源は、通常の電力の供給が停止したときに当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けるとともに、落雷等による過電流に対してサーバ等を保護する措置を採らなければならない。

(特別管理区域の管理)

25条 特別管理区域は、火災、水害、ほこり、振動、温度、湿度、床荷重等の影響を可能な限り排除した物理的対策を行わなければならない。この場合において、開口部、入口等は、必要最小限としなければならない。

2 特別管理区域への入退室は、ネットワーク管理者が許可した者のみとし、入退室管理簿等による入退室管理を行う。この場合において、入室に当たっては、身分証明書等による本人確認も併せて行わなければならない。

3 特別管理区域へ機器等を搬入し、搬出するときは、ネットワーク管理者と協議の上、あらかじめ、当該機器等の既存の情報システムに対する安全性を確認するとともに、当該機器等の搬入及び搬出時には職員が立会う等の必要な措置を採らなければならない。

4 特別管理区域は、許可を受けた者以外の入退室の禁止その他特別管理区域である旨の表示をしなければならない。

5 特別管理区域に職員が不在となるときは、施錠する等職員以外の者の侵入を防ぐ措置を採らなければならない。

(管理区域の管理)

26条 管理区域は、前条の規定に準じて、ネットワーク管理者等が必要と認める措置を講ずるものとする。

(機器構成の変更の禁止)

27条 職員は、当該職員に貸与された電子計算機に対して機器の増設、改造その他物理的な改変を行ってはならない。ただし、職員は、業務の効率化その他特に合理的な理由があるときは、ネットワーク管理者に対し当該物理的な改変を申し出ることができる。

2 ネットワーク管理者は、前項の申出に理由があると認めたときは、物理的な改変を承認するものとする。この場合において、物理的な改変は、ネットワークに係るものにあってはネットワーク管理者が、情報システムに係るものにあってはネットワーク管理者の指示を受けて当該情報システムの情報セキュリティ責任者が行う。

(ネットワークの管理)

28条 ネットワークの配線は、不正に接続、遮断若しくは傍受又は損傷若しくは切断を受けることがないよう可能な限り必要な措置を採らなければならない。

2 ネットワークの配線の変更及び追加は、ネットワーク管理者又はネットワーク管理者が指示して当該管理区域の情報セキュリティ責任者が行う。

3 ネットワークに使用する通信回線の新設は、最高情報統括管理者の許可を受けなければならない。この場合において、当該通信回線は、通信の伝送途上において破壊、盗聴、改ざん、消去等が生じないよう十分な安全性を確保しなければならない。

4 情報統括管理者は、ネットワークとインターネットその他の高度情報通信ネットワーク(以下「外部ネットワーク」という。)とが接続している場合に、外部ネットワークによって市の情報セキュリティに影響を及ぼす等の問題を生ずるおそれがあると認めたときは、速やかに当該外部ネットワークとの接続を物理的に遮断しなければならない。

5 情報統括管理者は、ネットワーク及び情報システムによって外部ネットワークの情報セキュリティに影響を及ぼす等の問題を生ずるおそれがあると認めたときは、速やかに接続している外部ネットワークから物理的にネットワーク及び情報システムを遮断しなければならない。

6 前2項に定めるもののほか、外部ネットワーク若しくはネットワーク及び情報システムに情報セキュリティ上の問題が生じているとき又は現にネットワーク及び情報システムに障害が生じているときは、ネットワーク管理者がネットワークと外部ネットワークとの接続を遮断することができる。

7 各課等の長は、電気設備の保守点検等を行うときは、あらかじめ、ネットワーク管理者へ協議しなければならない。

8 無線の方法によるネットワークの構築は、行ってはならない。ただし、合理的な理由があり、ネットワーク管理者の承認を得たときは、この限りでない。この場合において、送受信する情報資産が重要性分類の区分I又は2に該当するときは、当該情報資産を暗号化する等の十分な漏えいに対する防止策を講じなければならない。

(外部に設置する装置等)

29条 市の庁舎以外にサーバ等を設置するときは、最高情報統括管理者の承認を得なければならない。この場合において、最高情報統括管理者は、当該サーバ等の情報セキュリティ対策の状況を定期的に確認しなければならない。

5節 技術的セキュリティの確保

(情報資産の管理)

30条 情報資産は、次に定めるところにより、管理するものとする。

(1) ネットワーク管理者及び情報セキュリティ責任者は、所管するネットワーク及び情報システムのネットワーク構成図、仕様書等を最新の状態に保つとともに、それらの変更を行ったときは、その記録を作成し、その記録媒体を適切に管理しなければならない。

(2) 情報セキュリティ責任者は、所管する情報システムを閲覧する権限のない職員その他適正な権限のない者が閲覧することがないよう措置しなければならない。

(3) 情報セキュリティ責任者は、ネットワーク管理者と協議の上、所管する情報システムについてアクセスに関する記録及び情報セキュリティに関する障害の記録を取得し、盗難、改ざん、消去等を防止する措置を採った上で一定期間保存しなければならない。この場合において、取得した記録は、情報セキュリティに必要な限りにおいて分析し、及び解析するものとする。

(4) 情報セキュリティ責任者は、ネットワーク管理者が指定する情報システムに関する情報資産を最新の状態で取出可能記録媒体に複製し、安全な場所へ施錠等した上で保管しなければならない。

(5) 職員以外の者が利用する情報システムは、情報セキュリティ対策についてネットワーク管理者の承認を得て運用しなければならない。

(無許可ソフトウェアの導入禁止)

31条 課等で業務上必要なソフトウェアを導入するときは、ネットワーク管理者と事前に協議しなければならない。

2 ネットワーク又は情報システム上の機器に職員個人が保有するソフトウェアを導入してはならない。

3 第1項の規定により導入するソフトウェアは、正規のライセンスのあるものでなければならない。

4 第1項により導入したソフトウェアに係るライセンスは、当該課等において適切に管理するとともに、当該ライセンスに係る内容をネットワーク管理者へ報告しなければならない。

(情報システムの入出力データ)

32条 情報セキュリティ責任者は、情報システムにデータが適切に入力されていることを随時確認するとともに、当該データが正確であることを確保するための対策を行わなければならない。

2 情報セキュリティ責任者は、情報システムから出力されるデータの処理が正しく行われていることを随時確認しなければならない。

(利用者の登録等)

33条 ネットワーク管理者等は、情報システムの利用者の登録、変更、抹消等について情報システムごとに定められた方法に従って行わなければならない。

2 ネットワーク管理者等は、利用者の登録、変更等の記録を保存しておかなければならない。

(ネットワークにおけるアクセスの制限)

34条 ネットワーク管理者は、職員が担当する業務の目的以外のネットワーク上の情報システムに、ネットワークを利用してアクセスできないよう必要な措置を講じなければならない。

(外部からのアクセス)

35条 職員は、ネットワークの外部から情報システムに接続し、又はアクセスしてはならない。

(外部ネットワークとの接続)

36条 ネットワーク及び情報システムと外部ネットワークを接続するときは、当該外部ネットワークの構成、機器の配置及び情報セキュリティの状況等を詳細に検討し、市の情報資産に影響が生じないことを確認した上で、最高情報統括管理者の許可を受けなければならない。

2 前項の規定により接続するときは、ネットワーク管理者は、ネットワーク及び情報システムと外部ネットワークとの間における情報セキュリティのための必要な措置を講ずるものとする。

(パスワード等の管理)

37条 ネットワーク管理者等は、パスワード等(次項に規定する職員が自ら設定するパスワードを除く。)に関する情報資産を厳重に管理しなければならない。

2 職員にパスワードを発行するときは、必要に応じて仮のパスワードを発行し、情報システムを利用する際に当該職員が当該パスワードを変更して当該職員が自らパスワードを設定できる仕組みを構築しなければならない。

3 ネットワーク管理者等は、パスワード等を第三者に不正に利用されないよう必要な措置を採らなければならない。

(情報システムの調達等)

38条 情報セキュリティ責任者は、ネットワーク又は情報システムを調達しようとするときは、機器構成、ソフトウェア及び調達後の運用等の内容が情報セキュリティ上問題ないか、あらかじめ、確認しなければならない。

2 前項の場合において、情報セキュリティ責任者は、同項の調達しようとするネットワーク又は情報システムに係る仕様書、ネットワーク構成図その他情報セキュリティ上の問題を確認することのできる書面を整備し、ネットワーク管理者の承認を得なければならない。

3 前2項の規定は、情報セキュリティ責任者が所管するネットワーク又は情報システムの変更又は更新について準用する。

(情報システムの開発及び導入)

39条 ネットワーク管理者等は、情報システムの開発及び導入に当たり、情報システムの開発及び保守時の事故及び不正行為を防止するため、次の事項を実施しなければならない。

(1) 責任者及び監督員の指名

(2) 作業者及び作業範囲の確定

(3) 情報システムの開発及び保守の事故及び不正行為に係る危険の度合いの予測

(4) 開発し、及び保守する情報システムとそれに係る運用する情報システムとの分離

(5) 開発及び保守に開するソースコードの受領

(6) 開発及び保守におけるセキュリティ上問題となるおそれのあるソフトウェアの使用禁止

(7) 開発及び保守におけるアクセスの制限

(8) 機器の搬出入時のネットワーク管理者への協議

(9) 開発及び保守に関する記録の提出

(10) 開発及び保守の終了後、開発及び保守を行った者の利用者ID、パスワード等の遅滞のない抹消

(11) 守秘義務の遵守の徹底

(情報システムの保守等)

40条 情報システムを構成する機器で記録媒体が含まれるものの修理又は廃棄に当たっては、記録されている情報資産を消去しなければならない。

2 前項の修理に当たり、情報資産を消去することが困難なときは、修理を実施する者に対し守秘義務を契約に定めなければならない。

(ウィルス対策ソフトウェアの導入)

41条 情報セキュリティ責任者は、ネットワーク管理者と協議の上、情報システムにウィルス対策ソフトウェアを導入しなければならない。この場合において、ネットワーク管理者の指示するところにより、ウィルス対策ソフトウェアの設定をしなければならない。

(ネットワーク管理者等のウィルス対策)

42条 ネットワーク管理者及び情報統括管理者の指定する情報セキュリティ責任者は、常時コンピュータウィルスに関する情報(以下「ウィルス情報」という。)の収集に努め、ウィルス情報について必要に応じ、職員に対して注意を喚起しなければならない。

2 ネットワーク管理者等は、ウィルス対策ソフトウェアを常に最新の状態に保つとともに、適宜、電子計算機及び記録媒体についてウィルスの侵入の有無を確認しなければならない。

3 職員は、次に定める事項を遵守しなければならない。

(1) ネットワーク管理者等の指示するところにより、ウィルス対策ソフトウェアを常に最新の状態に保つこと。

(2) 業務に関係のない取出可能記録媒体を電子計算機で使用しないこと。

(3) 取出可能記録媒体を利用する際にウィルス対策ソフトウェアでコンピュータウィルスの有無を確認すること。

(4) コンピュータウィルスを発見したときは、ネットワーク管理者等に直ちに報告すること。

(5) 受け取った電子メールで差出人が不明又は添付されたファイルが不自然であるときは、直ちにメールを削除すること。

(6) ネットワーク管理者等が提供するウィルス情報を常に確認しておくこと。

(事前の対策)

43条 ネットワーク、情報システム及び外部ネットワークに対する不正アクセス行為の禁止等に関する法律(平成11年法律第128)3条第2項に規定する不正アクセス行為を防止するため、ネットワーク管理者等は、次に定める対策を講じなければならない。

(1) セキュリティホール等について情報の収集に努め、メーカー等から修正プログラムの提供があり次第、遅滞なく対応するとともに、その修正した履歴を記録し、保存しなければならない。

(2) ネットワーク管理者が指定する情報システムにおいては、不正なアクセス又は利用があった場合に防御し、又はその事実を検知するためにファイアーウォール及びネットワーク侵入検知装置を設置する等適切な対策を行わなければならない。

(3) 市のホームページその他ネットワーク管理者が指定する重要な情報システムにおいては、定期的に当該情報システムを構成するファイルの改ざんの有無を検査しなければならない。

(事後の対応)

44条 ネットワーク管理者等は、ネットワーク及び情報システムに不正なアクセスを受けた場合又は不正なアクセスを受けることが明白な場合、次に定める措置を採らなければならない。

(1) 情報システムの停止を含む必要な措置を採ること。

(2) 不正なアクセスを受け、当該アクセスが違法行為となる可能性があるときは、情報資産及び当該アクセスに関する記録の保存に努めるとともに、警察その他関係機関に通報すること。

(3) 職員による不正なアクセスがあったときは、当該職員が所属する課等の長に通知すること。

(4) 不正なアクセスを受けることが明白であるにもかかわらず、職員の不作為が原因で情報資産の漏えい、破壊、改ざん又はネットワーク及び情報システムの運用ができない事態が発生し、市の業務に重大な影響を及ぼしたときは、当該職員が所属する課等の長に通知すること。

(情報セキュリティに関する情報の収集)

45条 ネットワーク管理者は、情報セキュリティに関する情報を収集し、必要に応じて情報セキュリティ責任者等に収集した情報を周知しなければならない。

2 ネットワーク管理者等は、所管するネットワーク又は情報システムについて前項の情報に基づく必要な措置を講じなければならない。

6節 運用及び監視

(情報システムの監視)

46条 ネットワーク管理者等は、情報システムの運用に当たり、常に情報システムの監視を行わなければならない。

2 ネットワーク管理者等は、次に定める措置を採らなければならない。ただし、ネットワーク管理者が不要と認めたときは、この限りでない。

(1) ネットワーク監視装置を設置し、又は設置したネットワーク侵入検知装置で常時の監視を行うこと。

(2) 情報セキュリティのために必要な限りにおいて、ネットワーク及び情報システムにおいて伝送又は記録される情報資産を閲覧することにより監視すること。

(3) 前2号の監視により得られる記録には、正確な時刻を付すとともに、必要な期間保存すること。

(適切な実施等)

47条 ネットワーク管理者等は、この訓令の規定が、適切に実施されるよう努めなければならない。

2 ネットワーク管理者等は、職員が常にこの訓令及び情報セキュリティ実施手順書を参照できるようにしなければならない。

(侵害等の発生時の対応)

48条 情報セキュリティ責任者は、所管する情報資産が不正なアクセス等により侵害を受け、若しくは障害が発生した場合又はそのおそれがある場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講ずるために、情報セキュリティ実施手順書に緊急時対応計画を定め、当該計画に基づき対応しなければならない。

2 緊急時対応計画は、次に掲げる事項を明記しなければならない。

(1) 情報システムに関係する職員、委託業者及び関係機関並びに影響が想定される個人、法人等の連絡先

(2) 発生した事象に関して調査すべき項目及び調査の結果を報告すべき相手方

(3) ネットワーク管理者への報告及び想定される事象に対する対応措置

(4) 再発防止の措置

(5) 前各号に掲げるもののほか、情報セキュリティ責任者が必要と認めた事項

3 ネットワーク管理者は、情報セキュリティ責任者からの侵害等の発生の報告に基づき、次に定める事項について速やかに対応しなければならない。

(1) 市民に重大な被害が生ずるおそれがある場合、不正なアクセスその他犯罪と思慮される場合等における関係機関等へ連絡すること。

(2) 不正なアクセス等により情報資産に重大な被害等が発生するおそれのあるとき又は当該被害等が発生したときは、情報資産を防護するためにネットワークを遮断し、又は情報システムを停止すること。

(3) 情報セキュリティ責任者に指示し、侵害等が発生した情報システムのアクセスの記録等を保管すること。

(4) 発生した侵害等について、対応した経過を記録すること。

(5) 必要に応じ侵害等に係る証拠の保全を実施するとともに、再発防止の暫定的な措置を検討し、当該措置の実施を情報セキュリティ責任者に指示すること。

(6) 暫定的な措置を講じた後、復旧のための措置を検討し、情報セキュリティ責任者に指示すること。

(7) 侵害等が発生した情報システムの復旧後、必要と認められる期間は、再発を防止するため運用の状況を監視すること。

4 情報セキュリティ責任者は、再発を防止するため、情報セキュリティ実施手順書を見直し、その結果を最高情報統括管理者に報告しなければならない。この場合において、最高情報統括管理者は、これを受けて必要な措置を講ずるものとする。

4章 情報セキュリティ対策に関する違反への対応

(違反への対応)

49条 職員にこの訓令及び情報セキュリティ実施手順書に違反する行為を認めたときは、速やかに次に掲げる措置を講ずるものとする。

(1) ネットワーク管理者は、当該違反する行為を確認したときは、当該職員が所属する情報セキュリティ責任者に通知し、当該違反する行為の是正その他適切な措置を求めなければならない。

(2) 情報セキュリティ責任者は、当該違反する行為を確認したときは、速やかにネットワーク管理者及び当該職員が所属する情報セキュリティ責任者に通知し、当該違反する行為の是正その他適切な措置を求めなければならない。

(3) 前号の規定に基づく措置にかかわらず、当該違反する行為が改善されないときは、ネットワーク管理者は、当該職員のネットワーク及び情報システムの使用に係る権限を停止し、又は取り消すことができる。この場合において、速やかに最高情報統括管理者及び当該職員が所属する情報セキュリティ責任者にその旨を通知しなければならない。

5章 評価及び見直し

(情報セキュリティ対策の実施状況の監査)

50条 最高情報統括管理者は、この訓令に規定する事項が遵守されていることを確認するため、定期的又は随時に情報セキュリティ対策の実施状況について監査を行わなければならない。

2 最高情報統括管理者は、前項の監査を必要に応じ委任することができる。

(実施の確認等)

51条 ネットワーク管理者等は、ネットワーク及び情報システムの情報セキュリティが確保されていることを確認するため、定期的に点検を行い、情報セキュリティ上の問題があるときは必要に応じて改善措置を講じなければならない。この場合において、点検の結果について、必要な記録等を適正に保管するとともに、講じた改善措置を情報統括管理者に報告しなければならない。

(評価及び見直しの実施)

52条 最高情報統括管理者は、情報セキュリティ対策の実効性の評価を行うものとする。

2 前項の評価の結果に基づき、情報システムの変更、新たな情報資産脅威等情報セキュリティに係る状況の変化に対応するため、この訓令及び情報セキュリティ実施手順書の見直しを随時行うものとする。

6章 雑則

(その他)

53条 この訓令に定めるもののほか、情報セキュリティ対策に関し必要な事項は、最高情報統括管理者が定める。

附 則

この訓令は、平成18321日から施行する。

附 則(平成19330日訓令第10)

(施行期日)

1 この訓令は、平成1941日から施行する。

(経過措置)

2 この訓令の施行の日の前日までに、この訓令による改正前の能代市政策調整会議設置要綱、能代市不当要求行為等の防止に関する要綱、能代市行政事務改善委員会規程、能代市住民基本台帳ネットワークシステムセキュリティ対策要綱、能代市情報セキュリティ対策要綱、能代市地域総合整備資金調整会議設置要綱、能代市当直規程、能代市職員研修規程、能代市資金管理会議設置要綱、能代市雇用支援対策委員会設置要綱、能代市道路審査委員会設置要綱、能代市土地利用調整会議設置要綱又は二ツ井町福祉バス運行管理規程(以下「地方自治法改正関係訓令」という。)の規定によりなされた処分、手続その他の行為は、この訓令による改正後の地方自治法改正関係訓令の規定によりなされたものとみなす。

附 則(平成20331日訓令第10)

この訓令は、平成2041日から施行する。

 

ページトップへ

このページに関する情報
アンケート
このページはお役に立ちましたか?



このページに関するお問合せ
企画部 地域情報課 情報化推進係
〒016-8501
秋田県能代市上町1番3号
電話:0185-89-2146
FAX:0185-89-1793
メールでのお問合せ