2　この規程が適用される情報資産は、ネットワーク及び情報システムで取り扱う構成機器並びにネットワーク及び情報システムで取り扱う全ての情報資産(紙等の有体物に出力された情報を含む。以下同じ。)とする。

2　前項に掲げる情報資産の重要性分類の指定は、情報責任者が行う。

2　職員等は、情報システムで取り扱う情報を、前条第1項の分類に従い責任をもって適正に利用しなければならない。

2　重要性分類Ⅰ及びⅡの情報資産等を外部に提供する者は、情報資産管理責任者の承認を得た上で、必要に応じ鍵付きケースへの格納、パスワード等による暗号化等を行わなければならない。

3　情報資産管理責任者は、住民に公開する情報資産について、完全性を確保しなければならない。

2　重要性分類Ⅱに該当する電子情報を電子メール等により送信する必要がある場合は、情報資産管理責任者の承認を得た上で、暗号化及びパスワード設定を行わなければならない。

3　前2項により暗号化及びパスワード設定を行う場合において、復号鍵又はパスワードは、当該電子メール等以外の確実な方法により送信先に伝達しなければならない。

2　業務主管課が保有するデータを、他の課等が電算処理により帳票等に出力する場合も前項と同様とする。この場合、あらかじめデータを保有する業務主管課の同意を得るものとする。

3　業務主管課が、電子計算機室で出力処理を終えた帳票等を電子計算機室から搬出する場合は、出力帳票等記録簿に必要事項を記入して電子計算機担当課職員の確認を受けなければならない。

2　ネットワーク管理者及び情報管理者は、臨時的任用職員又は非常勤職員の採用の際、必要に応じ、情報セキュリティ対策基準等を遵守する旨の同意書への署名を求めるものとする。

3　ネットワーク管理者は、臨時的任用職員又は非常勤職員にパソコン等の端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。

2　ネットワーク管理者及び情報管理者は、紛失等の報告を受けたときは、直ちに該当するICカードの利用を無効とする措置を講じなければならない。

2　職員等は、情報管理者が業務上特に必要と認め、ネットワーク管理者がパソコン等の端末の動作に支障がないと認める場合は、定められたソフトウェア以外のソフトウェアを、パソコン等の端末に導入することができる。

3　前項の場合において、情報管理者は、事前にパソコン環境変更に係る申請を行い、ネットワーク管理者の許可を得なければならない。

4　ネットワーク管理者及び情報管理者は、導入したソフトウェアのライセンスを管理しなければならない。

5　職員等は、不正にコピーしたソフトウェアを利用してはならない。

2　職員等は、情報管理者が業務上特に必要と認め、ネットワーク管理者がパソコン等の端末の動作に支障がないと認める場合は、設定の変更、機器の改造及び増設・交換を行うことができる。

3　前項の場合において、情報管理者は、事前に前条第3項に規定する申請を行い、ネットワーク管理者の許可を得なければならない。

4　職員等は、ネットワーク機器の設定を変更してはならない。

5　職員等は、ネットワーク管理者の許可なくパソコン等の端末をネットワークに接続してはならない。

2　職員等は、本市の定める利用手順に従い、セキュリティ対策を実施するものとする。

2　ネットワーク管理者、システム業務管理者又は情報管理者は、報告のあった事故等について、セキュリティ事故報告書(別記第1号様式)により情報統括管理者に報告しなければならない。

3　情報統括管理者は、CSIRTに指示し、当該事故等について状況の確認及び評価をさせなければならない。また、当該事故等が外部に重大な影響を及ぼすおそれがある場合には、最高情報統括責任者に報告し必要な指示を仰がなければならない。

4　CSIRTは、情報統括管理者の指示を受け、当該事故等に係る被害の拡大防止等を図るための応急措置の実施及び復旧に係る対応を行わなければならない。

5　CSIRTは、これらの事故等を分析し、再発防止のための情報として記録し、適切に保存しなければならない。また、事故原因の究明結果から、再発防止策を検討し、最高情報統括責任者に報告しなければならない。

6　最高情報統括責任者は、CSIRTから事故等について報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　ネットワーク管理者、システム業務管理者又は情報管理者は、前項の報告のあった事故等について、電子計算機等事故発生報告書(別記第2号様式)により情報統括管理者に報告しなければならない。

3　情報統括管理者は、当該事故等の復旧に必要な措置について、ネットワーク管理者、システム業務管理者又は情報管理者に指示するとともに、当該事故等が外部に重大な影響を及ぼすおそれがある場合には、最高情報統括責任者に報告し必要な指示を仰がなければならない。

4　ネットワーク管理者、システム業務管理者又は情報管理者は、これらの事故等を分析し、再発防止のための情報として記録し、適切に保存しなければならない。また、事故原因の究明結果から、再発防止策を検討し、最高情報統括責任者に報告しなければならない。

5　最高情報統括責任者は、情報統括管理者から事故等について報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　情報管理者は、所属する職員等に対して、情報セキュリティに関する周知を行い、その徹底を図らなければならない。

2　職員等は、定められた研修に参加し、情報セキュリティ及び実施手順を理解し、情報セキュリティ上の問題を生じさせないようにしなければならない。

2　職員等は、執務室等に配置した端末について、盗難防止のため、ワイヤー等による固定又は施錠可能な保管庫に収納できるものは、業務が終了した時点で収納し厳重に保管しなければならない。

3　職員等は、第三者に情報を閲覧されることがないようにしなければならない。

4　職員等は、端末及び記録媒体について、第三者に使用されることがないよう管理しなければならない。

2　管理区域へ入室が認められた職員等は、入退室記録簿(別記第3号様式)に入退室時間、氏名及び用件を記入しなければならない。

3　ネットワーク管理者は、外部委託事業者等を、管理区域に入室させる場合、必要に応じ身分証明書等の提示を求めるものとする。

4　ネットワーク管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。

5　ネットワーク管理者は、管理区域について、当該情報システムに関連しない、又は個人所有であるパソコン等、通信回線装置、記録媒体等を持ち込ませないようにしなければならない。ただし、やむを得ず持ち込む必要がある場合、情報政策課職員が立会いの上、持込みを許可することとする。

2　ネットワーク管理者は、管理区域の機器等の搬入出について、職員を立ち会わせなければならない。

2　情報資産管理責任者は、ネットワーク機器及び情報システム機器等の取付けを行う場合、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した施錠可能な区画内に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

3　情報資産管理責任者は、システムの停止により、行政事務の執行等に重大な影響を及ぼすおそれがあるものについて二重化等を行い、同一データを保持し、システムの運用が停止しないように努めなければならない。

2　情報資産管理責任者は、施設管理部門と連携して、落雷等による過電流に対して、ネットワーク機器及び情報システム機器等を保護するための措置を講じなければならない。

2　ネットワーク管理者及びシステム業務管理者は、施設管理部門と連携して、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

3　ネットワーク管理者及びシステム業務管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

4　ネットワーク管理者及びシステム業務管理者は、ネットワーク接続口を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、記録媒体を内蔵する機器を外部の事業者に修理させる場合は、内容を消去し、又は内容を消去できない場合においては、事業者と守秘義務契約を締結する等、機密保持の措置を講じなければならない。

2　情報統括管理者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

3　情報統括管理者は、重要性分類Ⅰ及びⅡの情報を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

4　情報統括管理者は、重要性分類Ⅰ及びⅡの情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。

5　ネットワークに使用する回線は、送信途上においてデータの破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が実施されたものでなければならない。

2　前項ただし書において、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、LGWANを経由して、インターネット等とマイナンバー利用事務系との双方向通信でのデータ移送を行うことができる。

3　ネットワーク管理者は、マイナンバー利用事務系の情報の持出しの対策として、原則USBメモリ等の記録媒体による端末からの情報の持出しができないように設定しなければならない。

2　都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁や都道府県等と連携しながら、情報セキュリティ対策を推進しなければならない。

3　業務の効率性及び利便性の向上を目的として、インターネット接続系に主たる業務端末と職員の情報等重要な情報資産を配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。

2　記録媒体の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3　記録媒体の廃棄を行う者は、情報資産管理責任者に許可を得なければならない。

2　前項の規定により使用するUSBメモリは、ハードウェア暗号化及びパスワードによる認証をすることができるものでなければならない。

3　職員等は、情報資産の盗用、漏えい、紛失及び破損等を防止するため、USBメモリを外部に持ち出してはならない。ただし、次の各号のいずれかに該当する場合は、情報管理者は、その持出しを職員又は守秘義務を明記した契約等を締結した外部事業者に行わせるとともに、USBメモリの物理的な保護措置の指示を出し、USBメモリ等管理台帳(別記第4号様式)に記載し、許可を与えることができる。

4　前項各号の理由により外部に持ち出したUSBメモリは、その使用後は速やかに記録した情報の削除を行い、情報管理者に報告しなければならない。

5　情報管理者は、USBメモリを使用しないときは、施錠した場所に保管し、かつ、類推されにくいパスワードを設定するなど、紛失又は盗難を防止する措置を講じなければならない。

6　情報管理者は、USBメモリを紛失し、又は盗難にあった場合は、直ちにその状況を調査し、必要な措置を講じるとともに、その旨をネットワーク管理者に報告しなければならない。

2　ネットワーク管理者は、ファイルサーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

3　ネットワーク管理者は、住民の個人情報、人事記録等、特定の職員等しか取り扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。

2　ネットワーク管理者及びシステム業務管理者は、取得したアクセス記録等を定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

2　情報統括管理者及びネットワーク管理者は、取得したログを点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、不正アクセスを防止するため、ネットワークのアクセス制御について、適切な措置を講じなければならない。

2　ネットワーク管理者及びシステム業務管理者は、外部ネットワークとの接続にあたり、当該外部ネットワークのネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、適用範囲における情報資産に影響が生じないことを確認しなければならない。

3　ネットワーク管理者及びシステム業務管理者は、当該外部ネットワークのかしにより本市のデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対応するため、必要に応じて当該外部ネットワークの管理責任者による損害賠償責任を契約上担保するよう努めなければならない。

4　情報統括管理者及びネットワーク管理者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

5　接続した外部ネットワークのセキュリティに問題が認められ、適用範囲における情報資産に脅威が生じることが想定される場合には、ネットワーク管理者及びシステム業務管理者は当該外部ネットワークとの接続を物理的に遮断しなければならない。

2　情報管理者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

3　情報管理者は、複合機の運用を終了する場合、複合機の持つ記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

2　情報統括管理者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

3　ネットワーク管理者及びシステム業務管理者が許可した端末以外は、庁内無線LANに接続してはならない。

4　マイナンバー利用事務系においては、無線LANに接続して通信を行ってはならない。

2　ネットワーク管理者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

3　ネットワーク管理者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

4　ネットワーク管理者は、セキュリティ上問題があると思われる添付ファイルについて、送受信を制限できるようにしなければならない。

2　職員等は、複数の宛先に電子メールを送信する場合、必要がある場合を除き他の送信先の電子メールアドレスがわからないようにしなければならない。

3　職員等は、重要な電子メールを誤送信した場合、情報管理者に報告しなければならない。

4　職員等は、自動転送機能を用いて、電子メールを転送してはならない。

5　職員等は、インターネットで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。ただし、業務上必要な場合は、ネットワーク管理者及び情報管理者の許可を得て利用することができる。

2　職員等は、暗号化を行う場合に最高情報統括責任者が定める以外の方法を用いてはならない。また、最高情報統括責任者が定める方法で暗号のための鍵を管理しなければならない。

2　ネットワーク管理者は、マイナンバー利用事務系では、パスワード、ICカード、生体認証等の認証手段のうち2つ以上を併用する認証(多要素認証)を行うよう設定しなければならない。

2　情報統括管理者及びネットワーク管理者は、管理者権限等によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

2　情報統括管理者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3　情報統括管理者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

4　情報統括管理者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

5　情報統括管理者及びネットワーク管理者は、外部からのアクセスに利用するパソコン等を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

2　ネットワーク管理者及びシステム業務管理者は、パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを活用しなければならない。

2　機器及びソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、ネットワーク及び情報システムの開発、導入、更新及び運用保守にあたっては、不正にコピーしたソフトウェア及び個人所有のソフトウェアの導入又は使用等、問題のある行為が発生しないようにしなければならない。

2　ネットワーク管理者及びシステム業務管理者は、新たに情報システムを導入する際には、既に稼働している情報システムに接続する前に、十分な試験を行わなければならない。また、既存の情報システムを更新する際には、既に稼働している情報システムとの連携において、十分な試験を行わなければならない。

3　ネットワーク管理者及びシステム業務管理者は、テスト環境による動作確認後に情報システムの移行を行わなければならない。また、作業については、作業経過を確認しながら実施するとともに、作業内容を記録しなければならない。

4　ネットワーク管理者及びシステム業務管理者は、原則として個人情報及び機密性の高いデータを試験データに使用してはならない。ただし、合理的な理由がある場合で、情報統括管理者及び情報責任者が許可した場合は、この限りでない。

5　ネットワーク管理者及びシステム業務管理者は、試験に使用したデータ及びその結果を一定期間厳重に管理しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、情報システムから出力されるデータは、保存された情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて、速やかに対応を行わなければならない。

2　前項に加えて、次に掲げる事項を必要に応じて契約書等に明記するよう努めるものとする。

3　ネットワーク管理者及びシステム業務管理者は、外部委託事業者のセキュリティ確保への取組状況、情報セキュリティマネジメントシステムに係る認証取得の状況、個人情報保護に関する取組状況の調査を行うとともに、契約締結後においても、定期的に又は随時、調査を行い、安全の確保に努めなければならない。

2　ネットワーク管理者及びシステム業務管理者は、外部サービス提供事業者のセキュリティ確保への取組状況、情報セキュリティマネジメントシステムに係る認証取得の状況及び個人情報保護に関する取組状況の調査を行うとともに、契約締結後においても、定期又は随時に調査を行い、安全の確保に努めなければならない。

2　情報管理者は、本市のアカウントによる発信が、実際の本市のものであることを明らかにするために、アカウントの運用組織を明示する等の方法でなりすまし対策を行わなければならない。

3　情報管理者は、重要性分類Ⅰ及びⅡの情報をSMSで発信してはならない。

4　情報管理者は、アカウントの乗っ取りを確認した場合には、被害を最小限にするための措置を講じるとともに、第21条の規定によるセキュリティ事故に対する報告を行わなければならない。

2　最高情報統括責任者及び情報統括管理者は、攻撃の予告などサーバ等に不正アクセスを受けることが明白な場合には、システムの停止、他のネットワークとの切断等の必要な措置を講じなければならない。また、警察・関係機関との連絡を密にして情報の収集に努めなければならない。

3　最高情報統括責任者及び情報統括管理者は、不正アクセス行為の禁止等に関する法律違反など、犯罪の可能性がある不正アクセスを受けた場合、不正アクセスの記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。

4　ネットワーク管理者及びシステム業務管理者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する不正アクセスや外部のサイトに対する不正アクセスを監視しなければならない。

5　ネットワーク管理者及びシステム業務管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課等の情報管理者に通知し、適切な処置を求めなければならない。

6　ネットワーク管理者及びシステム業務管理者は、情報システムにおいて、標的型攻撃による庁内への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。

2　情報統括管理者及びネットワーク管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定又はサーバ間の時刻同期ができる措置を施さなければならない。

3　情報統括管理者及びネットワーク管理者は、外部と接続するシステムを稼働中、常時監視しなければならない。

2　最高情報統括責任者は、発生した問題について、適切かつ速やかに対処しなければならない。

2　情報統括管理者は、前項の違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、最高情報統括責任者に報告するとともに、次条に規定する緊急時対応計画に従って適切に対処しなければならない。

2　ネットワーク管理者及びシステム業務管理者は、前項に該当する場合であって、行政事務の遂行に緊急を要し、前項に定める許可を得る時間的な猶予のないときは、例外措置を実施し、実施後速やかに最高情報統括責任者及び情報統括管理者に報告しなければならない。

3　最高情報統括責任者は、例外措置の申請書類、報告書類及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

2　監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

2　被監査部門は、監査の実施に協力しなければならない。

2　情報統括管理者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

2　最高情報統括責任者は、情報セキュリティ対策基準の見直しその他情報セキュリティ対策の見直し時に監査結果を活用しなければならない。

2　情報責任者は、所管する部等の情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。

2　情報統括管理者は、報告を受けた点検結果及び改善策を最高情報統括責任者に報告したうえで、情報化推進委員会に報告しなければならない。

2　最高情報統括責任者は、情報セキュリティ対策基準の見直しその他情報セキュリティ対策の見直し時に点検結果を活用しなければならない。

2　ネットワーク管理者、システム業務管理者及び情報責任者は、業務上予見される問題、他の組織で発生したものと同種の情報セキュリティ事件・事故、監査及び自己点検において指摘されうる問題等の発生を未然に防止するため、その原因を除去するための措置を講じなければならない。

(施行期日)

1　この訓令は、平成27年4月1日から施行する。

(規程等の廃止)

2　次に掲げる訓令は、廃止する。

この訓令は、令和4年11月1日から施行する。

この訓令は、令和5年4月1日から施行する。