○熊野市水道課における情報セキュリティの確保に関する規程
平成28年3月30日
水道事業管理規程第1号
目次
第1章 総則(第1条~第6条)
第2章 情報システム管理担当者等の責務(第7条~第22条)
第3章 情報セキュリティの監査(第23条)
第4章 職員の責務(第24条~第30条)
第5章 緊急事案(第31条・第32条)
第6章 補則(第33条・第34条)
附則
第1章 総則
(目的)
第1条 この内規は、本市が保有している情報資産の取扱いに関し職員が遵守すべき事項を定めることにより、熊野市水道課における情報セキュリティの確保及びその向上を図ることを目的とする。
(1) 情報 個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第2条第8項に規定する特定個人情報その他の本市の職員が職務上作成し、又は取得した電磁的記録(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られ、又は一時的に保存された記録であって、電子計算機による情報処理の用に供されるものをいう。)をいう。
(2) 情報システム 電子計算機、ソフトウェア及びネットワークで構成されるものであって、これらを用いて情報の処理を行うものをいう。
(3) 情報資産 情報並びに情報システム及び情報システムを管理するための資料をいう。
(4) 情報セキュリティ 情報資産の機密性(アクセスを認可された者だけが情報にアクセスできることを確実にすることをいう。)、完全性(情報及びその処理方法が正確であること及び完全であることを保護することをいう。)及び可用性(認可された利用者が、必要なときに、情報及び関連する資産にアクセスできることを確実にすることをいう。)を維持することにより得られる、当該情報資産の安全性をいう。
(5) コンピュータウイルス 第三者のプログラム、データベース等に対して意図的に何らかの被害を及ぼすように作られたプログラムであって、自己伝染機能(自らの機能によって他のプログラムに自らをコピーし、又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能をいう。)、潜伏機能(発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能をいう。)又は発病機能(プログラム、データ等のファイルの破壊を行い、又は設計者の意図しない動作をする等の機能をいう。)のうちの一又は二以上の機能を有するものをいう。
(6) 個人番号利用事務 番号法第2条第10項に規定する個人番号利用事務をいう。
(7) 個人番号関係事務 番号法第2条第11項に規定する個人番号関係事務をいう。
(8) 可搬型記憶媒体 パソコン又はその周辺機器に挿入し、若しくは接続して情報を保存することができる媒体又は機器のうち、可搬型のものをいう。
(基本方針)
第3条 熊野市水道課は、次に掲げる基本方針に基づき、情報セキュリティの確保及びその向上に関する対策を講ずるものとする。
(1) 情報資産を適切に管理するための組織及び体制を定め、情報セキュリティに関する責任及び権限を明確にすること。
(2) 情報資産を災害、不正な立入り等による損壊等から保護するための対策を講ずること。
(3) 情報資産を損壊、改ざん、漏えい等から保護するための対策を講ずること。
(4) 情報資産の管理に関し職員が遵守すべき事項を定めるとともに、その周知徹底のための教育及び啓発を行うこと。
(5) 緊急事案が発生した場合における適切な対応を行うための方針を策定すること。
(6) 情報セキュリティの評価、情報技術の進歩等を踏まえ、この内規の見直しを行うこと。
(情報セキュリティ管理者)
第4条 熊野市水道課に、情報セキュリティ管理者1人を置く。
2 情報セキュリティ管理者は、課長をもって充てる。
3 情報セキュリティ管理者は、情報システム管理担当者及びその他の職員を指導し、監督しなければならない。
(情報システム管理担当者)
第5条 熊野市水道課が管理する情報システム(情報システムがサブシステムを有する場合にあっては、当該サブシステム)ごとに、情報システム管理担当者1人を置く。
2 情報システム管理担当者は、情報システムを利用して業務を行っている係の長又はこれに属する他の職員をもって充てる。
3 情報システム管理担当者は、その管理する情報システムを利用する職員を指導し、監督しなければならない。
4 情報システム管理担当者は、その管理する情報システムに係る情報資産の管理及び情報セキュリティの確保を行うための実施手順を策定しなければならない。
(情報セキュリティ委員)
第6条 情報セキュリティの監査及びこの内規の見直しを実施するため、情報セキュリティ委員1人を置く。
2 情報セキュリティ委員は、課長補佐をもって充てる。
第2章 情報システム管理担当者等の責務
(情報システムの設置)
第7条 情報システム管理担当者は、情報資産の改ざん、損壊又は盗難により本市が多大な被害を被ることが予想される情報システムを設置しようとするときは、熊野市総務課と連携し、外部から容易に進入できないような構造又は設備を有する場所に設置しなければならない。
4 情報システム管理担当者は、水害、火災、湿気、温度、ほこり及び振動による影響を可能な限り排除した場所にサーバを設置するものとし、容易に取り外せないよう固定等の措置を講じなければならない。
5 情報システム管理担当者は、特に重要な業務に使用され、その運用の停止が業務に重大な影響を及ぼすサーバを、本来の用途以外の用途と共用しないようにしなければならない。
6 情報システム管理担当者は、サーバの運用の停止を回避するために、その構成の冗長化(情報システムの構成要素に予備を設定することにより、一部の機能が失われても、当該システムが全体としてその機能を発揮することができるようにするための措置をいう。)その他の必要な措置を講じなければならない。
7 情報システム管理担当者は、委託を受けた民間事業者が情報システムを搬入するときは、その立会いの下に行わせなければならない。
(電源設備)
第8条 情報システム管理担当者は、情報システムの主要な電源が失われた場合においても、情報システムが適切に停止するまでの間に必要な電力を供給することにより情報資産の損壊を防ぐことができるよう、無停電電源装置の設置その他の必要な措置を講じなければならない。
2 情報システム管理担当者は、その運用の停止が業務に重大な影響を及ぼす情報システムについて、業務に支障を与えないよう、自家発電設備への接続その他の必要な措置を講ずるように努めなければならない。
(配線)
第9条 情報システム管理担当者は、情報システムの配線について、損傷から保護するための対策を講じなければならない。
2 情報システム管理担当者は、情報システムの主要な配線について、点検を定期的に行わなければならない。
3 情報システム管理担当者は、ネットワークの接続口を設置するときは、これを第三者に容易に発見されないように努めなければならない。
(外部接続)
第10条 情報システム管理担当者は、その管理する情報システムを本市が管理していない情報システムと接続(以下「外部接続」という。)しようとするときは、熊野市総務課と協議の上、情報システム外部接続承認申請書(様式第3号)を情報セキュリティ管理者に提出し、その承認を受けなければならない。
3 情報システム管理担当者は、前2項の規定により外部接続の承認を受けたときは、本市が管理していない情報システムからの不正な侵入を防止するための措置を講じなければならない。
(情報システムの構築)
第11条 情報システム管理担当者は、情報システムを構築するときは、情報セキュリティ上の問題が無いことを確認しなければならない。
2 情報システム管理担当者は、情報システムを構築し、既設の情報システムに接続するときは、稼動中の情報システムに影響が生じないよう十分な試験を実施しなければならない。
3 情報システム管理担当者は、情報システムを構築したときは、情報システムを管理するための資料を整備し、これを厳重に管理しなければならない。
(アクセス制御)
第12条 情報システム管理担当者は、ユーザID(識別番号をいう。以下同じ。)及びパスワード(暗証番号をいう。以下同じ。)、ICカード(記録及び演算をするための集積回路を組み込んだカードをいう。以下同じ。)、生体情報(指紋、網膜、血管等の人体が持つ特徴を用いて認証を行うものをいう。以下同じ。)等を適切に管理し、使用権限のない者が情報システムを使用することができないようにしなければならない。
2 情報システム管理担当者は、情報システムに登録されたユーザIDその他の認証情報について、使用権限の妥当性を定期的に確認しなければならない。
3 情報システム管理担当者は、情報システムに対してあらゆる設定を行うことができる管理者権限を与える必要があるときは、必要最小限の職員にのみ与えることとし、これを厳重に管理しなければならない。
4 情報システム管理担当者は、個人番号利用事務又は個人番号関係事務に係る情報システムを管理するときは、アクセス状況を記録し、一定期間保存するための必要な措置を講じなければならない。
(不正アクセス対策)
第13条 情報システム管理担当者は、使用していないネットワーク又は一部を使用していないネットワークがあるときは、当該ネットワーク又は当該ネットワークの使用していない部分を使用できない状態にするための対策を講じなければならない。
2 情報システム管理担当者は、電子計算機等の製造者から情報セキュリティに関する修正プログラムが提供されたときは、速やかに当該修正プログラムを反映しなければならない。
3 情報システム管理担当者は、管理する電子計算機の機能又は当該電子計算機に記録されている情報の一部若しくは全部がコンピュータウイルスにより損壊され、若しくは改ざんされ、又はそのためのプログラムが複製されることがないようコンピュータウイルス対策を講じなければならない。
4 情報システム管理担当者は、通信回線を用いて情報システムを運用するときは、通信経路を暗号化し、又は安全性が確保された専用の回線を利用しなければならない。
(バックアップ)
第14条 情報システム管理担当者は、運用の停止が業務に重大な影響を及ぼすと判断されるサーバについては、定期的にバックアップ(電子計算機に保存されたプログラム、データ等のファイルを、別の記憶媒体に複製することをいう。)を実施しなければならない。
2 情報システム管理担当者は、前項の規定によりバックアップを行った記憶媒体を適切に保管しなければならない。
(情報システムの監視)
第15条 情報システム管理担当者は、当該情報システムに係る情報セキュリティの状況を定期的に把握しなければならない。
(取扱区域)
第16条 情報セキュリティ管理者は、個人番号利用事務、個人番号関係事務その他の情報セキュリティ上、特に重要な情報を取り扱うと判断される事務を実施する区域(以下次項において「取扱区域」という。)を明確にし、電子計算機、記憶媒体等の持込みへの制限、覗き見への対策等の安全管理措置を講じなければならない。
2 情報セキュリティ管理者は、取扱区域のうち、サーバ等の機器を設定する部屋の入退室について適切に管理しなければならない。
(可搬型記憶媒体の管理)
第17条 情報セキュリティ管理者は、職員が使用するUSBメモリ、外付けハードディスクその他の可搬型記憶媒体を可搬型記憶媒体管理台帳(様式第5号)により適切に管理しなければならない。
2 情報セキュリティ管理者は、前項に規定する可搬型記憶媒体管理台帳を年度ごとに見直さなければならない。
(情報資産の廃棄)
第18条 情報セキュリティ管理者は、不要となった情報資産を廃棄するときは、初期化し、又は当該記憶媒体を物理的に破壊し、情報の復元が不可能な状態にした上で廃棄するよう、これを適切に管理しなければならない。
(外部委託)
第19条 情報セキュリティ管理者は、情報資産の保護に関し次に掲げる事項を外部委託に係る契約書に明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報資産の保管、返還又は廃棄に関する事項
(3) 情報の目的外使用、複製及び複写並びに第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(6) 前各号に掲げるもののほか、当該外部委託について受託者が遵守すべき情報セキュリティに関する事項
2 情報セキュリティ管理者及び情報システム管理担当者は、必要に応じて、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(情報セキュリティの確保及びその向上に関する啓発)
第20条 情報セキュリティ管理者は、熊野市総務課と連携し、情報セキュリティの確保及びその向上の重要性について職員の認識を深めるよう必要な啓発を行わなければならない。
(情報セキュリティに関する知識及び資料の収集)
第21条 情報セキュリティ管理者は、熊野市総務課と連携し、関係行政機関、民間事業者等を通じて情報セキュリティに関する知識及び資料の収集に努めるとともに、必要に応じて、これを職員に提供しなければならない。
(職員の教育及び訓練)
第22条 情報セキュリティ管理者は、職員の情報セキュリティに関する知識の普及及び啓発を図るために必要な教育及び訓練に関する計画を策定しなければならない。
2 情報セキュリティ管理者は、前項の計画に基づき、職員に対する講習会等を行わなければならない。
第3章 情報セキュリティの監査
(情報セキュリティの監査)
第23条 情報セキュリティ管理者及び情報セキュリティ委員は、この内規の遵守状況を確認するため、定期的に、又は時宜に応じて、情報セキュリティの監査を行わなければならない。
2 情報セキュリティ管理者は、前項の監査を終了したときは、遅滞なく、監査結果の評価を行い、必要があると認めるときは、この内規を改正し、又は当該情報資産を管理する情報システム管理担当者に対し、情報セキュリティの確保のための措置の改善を指示するものとする。
3 情報セキュリティ管理者は、前項の規定によりこの内規を改正し、又は情報セキュリティの確保のための措置の改善を指示するときは、その内容を熊野市総務課と協議しなければならない。
第4章 職員の責務
(職員の責務)
第24条 職員は、情報システムの効率的かつ適正な利用、事故又は障害の発生の防止並びに情報の漏えい及び損壊の防止に努めなければならない。
2 職員は、第22条第2項の講習会等を受けること等により、情報セキュリティについての知識の習得及びその向上に努めなければならない。
3 職員は、職務以外の目的で情報を収集し、又は作成してはならない。
4 職員は、職務上、アクセス権限を有しない情報に対してアクセスしてはならない。
(電子計算機の管理)
第25条 職員は、貸与されている電子計算機(他の職員と共用する電子計算機を含む。以下同じ。)について、その情報セキュリティが常に確保されるように管理しなければならない。
2 職員は、貸与されている電子計算機を職務以外の目的に使用してはならない。
3 職員は、貸与されている電子計算機以外の電子計算機を本市が管理する情報システムに接続しようとするときは、あらかじめ、当該情報システムの情報システム管理担当者の承認を受けなければならない。
4 職員は、貸与されている電子計算機を設置場所から持ち出してはならない。ただし、特別な理由により設置場所以外の場所へ持ち出す必要があり、安全管理措置を講じた上で情報セキュリティ管理者及び当該情報システムの情報システム管理担当者にその承認を受けた場合は、この限りでない。
(可搬型記憶媒体の取扱い)
第26条 職員は、USBメモリ、外付けハードディスクその他の可搬型記憶媒体を使用する必要があるときは、可搬型記憶媒体使用承認申請書(様式第6号)を情報セキュリティ管理者へ提出し、その承認を受けなければならない。
2 前項に規定する可搬型記憶媒体使用承認申請書により承認が受けられる期間は、当該年度内とする。
3 職員は、可搬型記憶媒体を使用する場合は、紛失、盗難、コンピュータウイルス等による情報漏えいの事故が生じないよう必要な措置を講じなければならない。
4 職員は、可搬型記憶媒体へ情報を記憶させるときは、最小限にとどめることとし、不要となった情報は、速やかに削除しなければならない。
5 職員は、可搬型記憶媒体を使用目的以外の場所へ持ち出してはならない。ただし、特別な理由により使用目的以外の場所へ持ち出す必要があり、暗号化その他の安全管理措置を講じた上で情報セキュリティ管理者にその承認を受けた場合は、この限りでない。
6 職員は、外部から持ち込んだ可搬型記憶媒体を貸与されている電子計算機へ接続してはならない。ただし、職務上、やむを得ない理由があり、可搬型記憶媒体の十分な安全性を確認することができた上で情報セキュリティ管理者にその承認を受けた場合は、この限りでない。
(コンピュータウイルス対策)
第27条 職員は、貸与されている電子計算機の機能又は当該電子計算機に記録されている情報の一部若しくは全部がコンピュータウイルスにより損壊され、若しくは改ざんされ、又はそのためのプログラムが複製されることのないよう、次に掲げる事項を行わなければならない。
(1) 定期的にコンピュータウイルス検出用ソフトウェアで確認するとともに、そのために必要なパターンファイル(コンピュータウイルスを検出するためにその特徴を収録したファイルをいう。)を常に最新のものに保つこと。
(2) 外部からファイル、ソフトウェア等を取得する場合は、あらかじめ、コンピュータウイルスによる損壊等の有無を確認すること。
(3) 第25条第3項の規定により電子計算機を情報システムに接続しようとする場合は、あらかじめ、コンピュータウイルスによる損壊等の有無を確認すること。
(4) コンピュータウイルスが添付されているおそれのある電子メールを受信したときは、情報セキュリティ管理者に報告するとともに、当該電子メール及び添付されたファイルを適切に処理すること。
(認証情報の管理)
第28条 職員は、情報システム管理担当者から付与されたユーザID及びパスワード、ICカード、生体情報等の管理については、次に掲げる事項に基づき、不正使用の防止に努めなければならない。
(1) ユーザID及びパスワードその他の認証情報は、第三者に漏らさないこと。
(2) パスワードが漏えいしたおそれがある場合は、直ちに、その旨を情報セキュリティ管理者及び当該情報システムの情報システム管理担当者に報告すること。
(3) 電子計算機にパスワードを記憶させないこと。
(4) ICカードを紛失した場合は、直ちに、その旨を情報セキュリティ管理者及び当該情報システムの情報システム管理担当者に報告すること。
(法令等の遵守)
第30条 職員は、職務の遂行に当たっては、次に掲げる法令等に違反しないよう、特に注意しなければならない。
(1) 著作権法(昭和45年法律第48号)
(2) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(3) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(6) 特定個人情報の適正な取扱いに関するガイドライン(特定個人情報保護委員会)
第5章 緊急事案
(緊急事案の報告)
第31条 職員は、情報セキュリティに関する事故、情報システムの欠陥及び誤作動若しくはコンピュータウイルスの存在及びこれによる情報システムの損壊等(以下「緊急事案」という。)を発見した場合又は職員以外の者から緊急事案に関する情報提供を受けた場合は、直ちに、情報セキュリティ管理者及び当該情報システムを管理する情報システム管理担当者に報告し、その指示を受けなければならない。
3 情報セキュリティ管理者は、次に掲げる緊急事案のいずれかに該当する場合は、熊野市総務課と連携し、三重県、警察その他の関係行政機関に速やかに報告しなければならない。
(1) サイバーテロ(ネットワークを介して行われる大規模な情報資産の破壊活動をいう。)その他市民等に重大な被害が生じるおそれがあるとき。
(2) 不正な接続その他犯罪のおそれがあるとき。
(3) 前2号に掲げるもののほか、他者に被害を与えるおそれがあるとき。
(緊急事案への対応)
第32条 情報システム管理担当者は、次に掲げる状況のいずれかに該当する場合は、情報資産を保護するため、ネットワークの切断、当該情報システムの停止等を行わなければならない。
(1) 不正な接続が継続して行われているとき。
(2) DoS攻撃(情報システムに不正に負荷をかけ、又はセキュリティ上の欠陥を利用することにより、その稼働を妨害する行為をいう。)等の情報システムの運用に著しい支障をもたらす行為が継続して行われているとき。
(3) コンピュータウイルス等の不正プログラムがネットワークを介して拡大し、又は情報システムの損壊等が進行しているとき。
(4) 災害等により電源を供給することが危険又は困難なとき。
(5) 前各号に掲げるもののほか、情報資産に係る重大な被害が発生したとき又は発生するおそれがあるとき。
2 情報システム管理担当者は、緊急事案の内容、経過等について記録し、保存しなければならない。
3 情報システム管理担当者は、緊急事案の再発を防止するための措置を速やかに講じなければならない。
4 情報セキュリティ管理者は、緊急事案が発生した場合における連絡調整、被害の拡大の防止、復旧、証拠保全等に必要な措置を講じなければならない。
5 情報セキュリティ管理者は、緊急事案について、当該事案が発生した情報システムの情報システム管理担当者等と連携して調査を行い、その結果をインシデント報告書(様式第7号)に追記し、市長に報告しなければならない。
第6章 補則
(本市が管理していない情報システムの運用)
第33条 情報セキュリティ管理者は、本市が管理していない情報システムを職員に運用させるときは、必要に応じて、この内規に基づき熊野市水道課が管理する情報システムについて行うこととされている各種の措置に準じた措置を講じるものとする。
(その他)
第34条 この内規に定めるもののほか、必要な事項は、別に定める。
附則
この内規は、令達の日から施行する。
附則(令和4年3月30日水管規程第2号)
(施行期日)
1 この規程は、公表の日から施行する。
(経過措置)
2 この規程の施行の際、現にこの規程による改正前の各規程の規定に基づいて提出されている申請書等は、この規程による改正後の各規程の規定に基づいて提出されたものとみなす。
3 この規程の施行の際、現にこの規程による改正前の各規程の規定に基づいて作成されている用紙は、この規程による改正後の各規程の規定にかかわらず、当分の間、所要の修正を加え、なお使用することができる。
附則(令和5年2月21日水管規程第1号)
この規程は、令和5年4月1日から施行する。
別表第1(第29条関係)
分類基準 | 重要度 | |
機密性 | 個人情報の保護に関する法律第2条第1項に規定する個人情報及び番号法第2条第8項に規定する特定個人情報 | 高 |
熊野市情報公開条例(平成18年熊野市条例第1号)第10条第2号から第7号までに規定する情報 | 中 | |
前2項に分類される情報以外の情報 | 低 | |
完全性 | 情報が改ざんされ、又は情報システムが損壊された等の場合において、市民の財産若しくはプライバシーを侵害するおそれがあるとき若しくは企業、国若しくは他の地方公共団体に影響を及ぼすおそれがあるときにおける当該情報又は当該情報システムにより処理されている情報 | 高 |
情報が改ざんされ、又は情報システムが損壊された等の場合において、熊野市内部の事務等に影響を及ぼすおそれがあるときにおける当該情報又は当該情報システムにより処理されている情報 | 中 | |
前2項に分類される情報以外の情報 | 低 | |
可用性 | その情報システムが停止した等の場合において、当該情報システムの利用ができないことを許容し得ない又は許容し得る時間がおおむね1日以内であるときにおける当該情報システムにより処理されている情報 | 高 |
その情報システムが停止した等の場合において、当該情報システムの利用ができないことを許容し得る時間がおおむね1週間以内であるときにおける当該情報システムにより処理されている情報 | 中 | |
前2項に分類される情報以外の情報 | 低 |
別表第2(第29条関係)
高 | 中 | 低 | |
使用権限 | 使用を認められた特定の者に限る。 | 業務上関係のある者に限る。 | 特に制限しない。 |
保管 | 施錠可能な場所で保管する。 | 可能な限り施錠可能な場所で保管する。 | 特に制限しない。 |
外部への転送 | 原則として禁止する。 | 必要に応じて制限する。 | 特に制限しない。 |
廃棄 | 適正な廃棄処理を実施し、廃棄する情報の内容、廃棄日、廃棄方法及び廃棄理由を記録した上で廃棄する。 | 適正な廃棄処理を実施し、必要に応じて、廃棄する情報の内容、廃棄日、廃棄方法及び廃棄理由を記録した上で廃棄する。 | 適正な廃棄処理を実施する。記録は特に考慮しない。 |
暗号化又は電子署名 | 必要に応じて暗号化又は電子署名を施す。 | 必要に応じて暗号化又は電子署名を施す。 | 特に考慮しない。 |
冗長化 | 必要に応じて冗長化を施す。 | 必要に応じて冗長化を施す。 | 特に考慮しない。 |