○亀岡市情報セキュリティ対策基準規程

平成27年4月1日

訓令第5号

目次

第1章 総則(第1条―第4条)

第2章 情報資産の分類及び管理等

第1節 情報資産の分類及び管理(第5条―第9条)

第2節 基幹業務システムにおけるデータ等の管理(第10条―第13条)

第3章 人的セキュリティ

第1節 職員等の責務(第14条―第21条)

第2節 情報セキュリティに関する啓発及び周知(第22条・第23条)

第4章 物理的セキュリティ

第1節 執務室等での管理(第24条)

第2節 管理区域の管理(第25条―第27条)

第3節 機器等に対する管理(第28条―第34条)

第4節 記録媒体の取扱い及び管理(第35条―第37条)

第5章 技術的セキュリティ

第1節 コンピュータ及びネットワークの管理(第38条―第46条)

第2節 電子メールの取扱い及び管理(第47条―第49条)

第3節 アクセス制御(第50条―第53条)

第6章 情報システムの適正な運用

第1節 情報システムの開発、導入及び保守等(第54条―第59条)

第2節 外部サービスの利用(第60条・第61条)

第3節 不正プログラム及び不正アクセス対策(第62条―第66条)

第4節 情報セキュリティの遵守状況の確認及び対処(第67条―第69条)

第7章 情報セキュリティの脅威に対する緊急時の対応

第1節 緊急時対応計画の策定(第70条―第73条)

第2節 違反に対する対応(第74条・第75条)

第8章 情報セキュリティ対策の評価及び見直し

第1節 監査(第76条―第81条)

第2節 自己点検(第82条―第84条)

第3節 改善及び見直し(第85条・第86条)

第9章 雑則(第87条)

附則

第1章 総則

(目的)

第1条 この規程は、本市の情報セキュリティ対策を実施するために必要となる統一的な基準を定めることにより、情報資産を組織として適切に管理し、運用を図るために必要な事項を定めるものとする。

(定義)

第2条 この規程において使用する用語の意義は、亀岡市情報化の推進に関する規程(平成25年亀岡市訓令第4号。以下「情報化推進規程」という。)の例によるほか、次に掲げるところによる。

(1) 基幹業務システム 住民記録、税、国民健康保険、国民年金、福祉等の情報を一括的に処理するための情報システムをいう。

(2) 電算処理 基幹業務システムを使用して行われる情報の入力、蓄積、加工、編集、修正、更新、検索、消去、出力その他これらに類する処理をいう。

(3) 業務主管課 主に基幹業務システムに係る電算処理業務を主管する課等をいう。

(4) 記録媒体 USBメモリ、光ディスク、磁気ディスク、フラッシュメモリその他の電子情報を記録するための媒体をいう。

(5) USBメモリ 記録媒体のうち、コンピュータのUSBコネクタ等に接続して使用する持ち歩きが可能な記録媒体をいう。

(適用範囲)

第3条 この規程が適用される範囲は、本市の情報資産に関する業務に携わる全ての職員等(臨時的任用職員及び非常勤職員を含む。以下「職員等」という。)とする。

2 この規程が適用される情報資産は、ネットワーク及び情報システムで取り扱う構成機器並びにネットワーク及び情報システムで取り扱う全ての情報資産(紙等の有体物に出力された情報を含む。以下同じ。)とする。

(情報セキュリティ対策の管理体制)

第4条 情報セキュリティ対策における、最高情報統括責任者、情報統括管理者、情報責任者、情報管理者、ネットワーク管理者及びシステム業務管理者の権限及び責任は、情報化推進規程に定めるもののほか、次に掲げるところによる。

(1) 最高情報統括責任者は、市における情報システムの開発、管理、運用、変更等の実施を決定する権限及び責任を有する。

(2) 情報統括管理者は、市における情報システムの開発、管理、運用、変更等の実施について、必要な指示をする権限及び責任を有する。

(3) 情報責任者は、所管する部等における情報セキュリティ対策に関する権限及び責任を有し、情報資産の管理及びこれに係る情報セキュリティを適正に実施する。

(4) 情報管理者は、所管する課等における情報資産を利用する職員等に対して、情報セキュリティ対策に関する指導及び監督を行う権限及び責任を有する。情報管理者は、情報責任者の命を受け、所管する課等における情報セキュリティ対策を実施する。

(5) ネットワーク管理者は、亀岡市地域イントラネット及び亀岡市地域イントラネットを使用して構築された情報システムについて、情報セキュリティ対策の具体的な手順等を明記した情報セキュリティ実施手順(以下「実施手順」という。)を策定するものとする。

(6) システム業務管理者は、情報責任者の命を受け、所管する情報システムの適正な管理及び情報セキュリティ対策を実施するとともに、情報システムごとに実施手順を策定するものとする。

第2章 情報資産の分類及び管理等

第1節 情報資産の分類及び管理

(情報資産の分類)

第5条 情報資産は、情報セキュリティの重要性に応じ、次に掲げる分類に区分する。

(1) 重要性分類Ⅰ 亀岡市情報公開条例(平成12年亀岡市条例第32号)第7条各号に規定する不開示情報を含む情報資産

(2) 重要性分類Ⅱ 公にすることを予定していない情報資産(個人情報を含む情報資産を除く。)及び情報セキュリティに対する侵害が市の事務又は事業の執行等に重大な影響を及ぼすおそれのある情報資産

(3) 重要性分類Ⅲ 前2号に掲げる情報資産以外の情報資産

2 前項に掲げる情報資産の重要性分類の指定は、情報責任者が行う。

(情報資産の管理)

第6条 ネットワーク管理者、情報管理者及びシステム業務管理者(以下「情報資産管理責任者」という。)は、所管する情報資産を前条第1項の分類に従い責任をもって適正に管理しなければならない。

2 職員等は、情報システムで取り扱う情報を、前条第1項の分類に従い責任をもって適正に利用しなければならない。

(情報資産の取扱い)

第7条 職員等は、情報資産を取り扱う場合は、次に掲げる事項を遵守しなければならない。

(1) 業務上必要のない情報資産を作成し、又は入手しないこと。

(2) 情報資産を作成し、又は入手したときは、第5条の規定による重要性の分類を定めること。

(3) 業務以外の目的に情報資産を利用しないこと。

(情報資産の外部提供及び公表)

第8条 重要性分類Ⅰに該当する情報資産等は、法令又は条例の規定に基づく場合を除き、外部に提供してはならない。

2 重要性分類Ⅰ及びⅡの情報を外部に提供する者は、情報資産管理責任者の承認を得た上で、必要に応じ暗号化及びパスワード設定を行わなければならない。

3 情報資産管理責任者は、住民に公開する情報資産について、完全性を確保しなければならない。

(情報資産の送信)

第9条 重要性分類Ⅰに該当する電子情報は、電子メール等により送信してはならない。ただし、他に合理的な方法がない場合には、情報資産管理責任者の承認を得た上で、総合行政ネットワーク(以下「LGWAN」という。)を利用し、暗号化及びパスワード設定を行わなければならない。

2 重要性分類Ⅱに該当する電子情報を電子メール等により送信する必要がある場合は、情報資産管理責任者の承認を得た上で、暗号化及びパスワード設定を行わなければならない。

3 前2項により暗号化及びパスワード設定を行う場合において、復号鍵又はパスワードは、当該電子メール等以外の確実な方法により送信先に伝達しなければならない。

第2節 基幹業務システムにおけるデータ等の管理

(データの使用)

第10条 業務主管課が保有する、基幹業務システムに係るデータ(以下この節において「データ」という。)を、他の課等が使用し電算処理を行う場合又は処理を外部に委託する場合は、データ使用承諾申請書(別記第1号様式)により、業務主管課の承諾及びネットワーク管理者の同意を得なければならない。

(データの閲覧)

第11条 業務主管課以外の課が当該業務に関するデータを閲覧する場合は、データ閲覧承諾申請書(別記第2号様式)により、データを保有する業務主管課の承諾及びネットワーク管理者の同意を得なければならない。ただし、インターネットに公開されているデータについては、この限りでない。

(データの出力)

第12条 業務主管課が保有するデータを、電算処理により帳票等に出力する場合は、あらかじめデータ出力承諾申請書(別記第3号様式)により、ネットワーク管理者の承諾を得なければならない。

2 業務主管課が保有するデータを、他の課等が電算処理により帳票等に出力する場合も前項と同様とする。この場合、あらかじめデータを保有する業務主管課の同意を得るものとする。

3 業務主管課が、電子計算機室で出力処理を終えた帳票等を電子計算機室から搬出する場合は、出力帳票等記録簿(別記第4号様式)に必要事項を記入して電子計算機担当課職員の確認を受けなければならない。

(処理計画等の提出)

第13条 業務主管課は、翌月の電算処理計画を電算処理計画書(別記第5号様式)により当月の20日までにネットワーク管理者に提出しなければならない。

2 ネットワーク管理者は、当月末までに翌月の運用計画を電算処理運用計画書(別記第6号様式)により情報統括管理者に提出するものとする。

第3章 人的セキュリティ

第1節 職員等の責務

(職員等の役割及び責任)

第14条 職員等は、情報セキュリティ対策の実施にあたり、次に掲げる事項を遵守しなければならない。

(1) この規程及び実施手順に定められている事項を遵守すること。

(2) この規程及び実施手順について不明な点及び遵守することが困難な点がある場合は、速やかに情報管理者に報告し、指示等を仰ぐこと。

(3) 電子計算機等を業務以外の目的に使用しないこと。

(4) 使用を許可された情報システムを、最大の注意義務をもって使用すること。

(5) パソコン、記録媒体、情報資産及びソフトウェア等を外部へ持ち出さないこと。ただし、情報管理者の許可を得たときは、この限りでない。

(6) 私物のパソコン及び記録媒体を業務に使用しないこと。ただし、情報管理者の許可を得たときは、この限りでない。

(7) 情報漏えい及び不正操作を防止するため、離席するときは、パスワード入力が必要な画面に戻す等、情報システムの業務内容及び機能に応じて適切な対策を講じること。

(8) 異動、退職等により業務を離れる場合には、利用していた情報資産を返却すること。また、その後も業務上知り得た情報を漏らさないこと。

(臨時的任用職員等に対する指導)

第15条 情報管理者は、臨時的任用職員、非常勤職員、外部委託事業者等に情報資産を取り扱わせる場合は、この規程及び実施手順の内容を遵守させる等取扱いに関する適切な指導を行わなければならない。

2 ネットワーク管理者及び情報管理者は、臨時的任用職員又は非常勤職員の採用の際、必要に応じ、情報セキュリティ対策基準等を遵守する旨の同意書への署名を求めるものとする。

3 ネットワーク管理者は、臨時的任用職員又は非常勤職員にパソコン等の端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。

(パスワードの管理)

第16条 職員等は、自己の保有するID及びパスワード(以下「パスワード」という。)の管理について、次に掲げる事項を遵守しなければならない。

(1) パスワードを他者に知られないよう厳重に管理すること。

(2) パスワードを秘密にし、パスワードの照会等には一切応じないこと。

(3) 職員等の間でパスワードを共有しないこと。

(4) パソコン等にパスワードを記憶させないこと。

(5) パスワードを他者に知られた場合又は知られた可能性がある場合は、直ちにネットワーク管理者及びシステム業務管理者に報告すること。

(ICカードの管理)

第17条 職員等は、自己の保有するICカードの管理について、次に掲げる事項を遵守しなければならない。

(1) ICカードを貸与しないこと。

(2) ICカードを紛失又は毀損した場合若しくは盗難、詐取等にあった場合(以下「紛失等」という。)は、直ちにネットワーク管理者及び情報管理者に報告すること。

2 ネットワーク管理者及び情報管理者は、紛失等の報告を受けたときは、直ちに該当するICカードの利用を無効とする措置を講じなければならない。

(業務に利用するソフトウェア)

第18条 職員等は、端末の誤動作、コンピュータウイルスの感染等を防止するため、パソコン等の端末に無断でソフトウェアを導入してはならない。

2 職員等は、情報管理者が業務上特に必要と認め、ネットワーク管理者がパソコン等の端末の動作に支障がないと認める場合は、定められたソフトウェア以外のソフトウェアを、パソコン等の端末に導入することができる。

3 前項の場合において、情報管理者は、事前にパソコン環境変更申請書(別記第7号様式)によりネットワーク管理者の許可を得なければならない。

4 ネットワーク管理者及び情報管理者は、導入したソフトウェアのライセンスを管理しなければならない。

5 職員等は、不正にコピーしたソフトウェアを利用してはならない。

(機器構成の変更)

第19条 職員等は、端末の誤動作、保守の困難化等を防止するため、パソコン等の端末に対し無断で設定の変更、機器の改造及び増設・交換を行ってはならない。

2 職員等は、情報管理者が業務上特に必要と認め、ネットワーク管理者がパソコン等の端末の動作に支障がないと認める場合は、設定の変更、機器の改造及び増設・交換を行うことができる。

3 前項の場合において、情報管理者は、事前に前条第3項に規定する申請書によりネットワーク管理者の許可を得なければならない。

4 職員等は、ネットワーク機器の設定を変更してはならない。

5 職員等は、ネットワーク管理者の許可なくパソコン等の端末をネットワークに接続してはならない。

(職員等によるコンピュータウイルス対策)

第20条 職員等は、情報システムへのコンピュータウイルス感染を防止するため、次に掲げる事項を遵守しなければならない。

(1) 記録媒体、電子メール等によりデータ又はソフトウェアを外部から取り入れる場合又は外部にデータを送付する場合は、必ずコンピュータウイルスチェックを行うこと。

(2) ネットワーク管理者が提供するコンピュータウイルスに関する情報及び指導を常に確認し、その情報及び指導に従い必要な措置を講じること。

(3) コンピュータウイルス対策ソフトウェアの設定を許可なく変更しないこと。

(4) コンピュータウイルスが発見された場合は、直ちに情報システムの利用を中止し、情報管理者を通じてネットワーク管理者に報告するとともに、ネットワーク管理者の指示に従うこと。

(セキュリティ事故等に対する報告)

第21条 職員等は、情報セキュリティに対する事故、情報システム上の欠陥及び誤動作等を発見したとき、又は住民等からの連絡を受けたときは、速やかにネットワーク管理者及びシステム業務管理者に報告しなければならない。

2 職員等は、使用する電子計算機等に事故が発生した場合は、ネットワーク管理者及び情報管理者に報告しなければならない。

3 ネットワーク管理者、システム業務管理者又は情報管理者は、報告のあった事故等について、セキュリティ事故報告書(別記第8号様式)又は電子計算機等事故発生報告書(別記第9号様式)により情報統括管理者に報告しなければならない。

4 情報統括管理者は、当該事故等の復旧に必要な措置について、ネットワーク管理者、システム業務管理者又は情報管理者に指示するとともに、当該事故等が外部に重大な影響を及ぼすおそれがある場合には、最高情報統括責任者に報告し必要な指示を仰がなければならない。

5 ネットワーク管理者、システム業務管理者又は情報管理者は、これらの事故等を分析し、再発防止のための情報として記録し、適切に保存しなければならない。また、事故原因の究明結果から、再発防止策を検討し、最高情報統括責任者に報告しなければならない。

6 最高情報統括責任者は、情報統括管理者から事故等について報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

第2節 情報セキュリティに関する啓発及び周知

(情報セキュリティに関する啓発及び周知)

第22条 最高情報統括責任者は、職員等に対し、情報セキュリティについての啓発を行わなければならない。

2 情報管理者は、所属する職員等に対して、情報セキュリティに関する周知を行い、その徹底を図らなければならない。

(情報セキュリティに関する教育及び訓練)

第23条 最高情報統括責任者は、職員等に対し、その役割に応じた情報セキュリティに関する研修を実施しなければならない。

2 職員等は、定められた研修に参加し、情報セキュリティ及び実施手順を理解し、情報セキュリティ上の問題を生じさせないようにしなければならない。

第4章 物理的セキュリティ

第1節 執務室等での管理

(執務室等での管理)

第24条 執務等を行う場所(以下「執務室等」という。)の施設に関する警備、施錠等の物理的情報セキュリティ対策は、施設の管理責任者及び情報管理者が行わなければならない。

2 職員等は、執務室等に配置した端末について、盗難防止のため、ワイヤー等による固定又は施錠可能な保管庫に収納できるものは、業務が終了した時点で収納し厳重に保管しなければならない。

3 職員等は、第三者に情報を閲覧されることがないようにしなければならない。

4 職員等は、端末及び記録媒体について、第三者に使用されることがないよう管理しなければならない。

5 職員等は、電算処理端末としてパソコンを使用する場合の操作時間は、午前8時30分から午後5時15分までとしなければならない。

6 前項に規定する時間外において操作するときは、あらかじめネットワーク管理者にパソコン操作時間延長申請書(別記第10号様式)を提出し、承諾を得なければならない。

第2節 管理区域の管理

(管理区域の管理)

第25条 ネットワーク管理者は、サーバ等、特に重要な情報システムの設置及び運用を行うための部屋(以下「管理区域」という。)について、火災その他の災害及び盗難等に備え次に掲げる措置を講じなければならない。

(1) 管理区域内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を行うこと。

(2) 管理区域内に設置する消火剤や消防用設備等が、機器及び記録媒体等に影響を与えるものでないこと。

(3) 施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視装置、警報装置等によって許可されていない立入りを防止すること。

(4) 施設管理部門と連携して、管理区域を囲む外壁等の床下開口部を全て塞ぎ、外部からの侵入が容易にできないようにすること。

(5) 管理区域内の情報システムに関連しない機器、通信回線装置、記録媒体等を持ち込ませないこと。

(管理区域の入退室管理)

第26条 ネットワーク管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。

2 管理区域へ入室が認められた職員等は、入退室記録簿(別記第11号様式)に入退室時間、氏名及び用件を記入しなければならない。

3 ネットワーク管理者は、外部委託事業者等を、管理区域に入室させる場合、必要に応じ身分証明書等の提示を求めるものとする。

4 ネットワーク管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。

(管理区域の機器等の搬入出)

第27条 ネットワーク管理者は、管理区域へ搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した事業者に確認を行わせなければならない。

2 ネットワーク管理者は、管理区域の機器等の搬入出について、職員を立ち会わせなければならない。

第3節 機器等に対する管理

(機器の取付け)

第28条 新たにネットワーク機器及び情報システム機器等を設置又は更新する場合は、最高情報統括責任者とあらかじめ協議しなければならない。

2 情報資産管理責任者は、ネットワーク機器及び情報システム機器等の取付けを行う場合、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した施錠可能な区画内に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

3 情報資産管理責任者は、システムの停止により、行政事務の執行等に重大な影響を及ぼすおそれがあるものについて二重化等を行い、同一データを保持し、システムの運用が停止しないように努めなければならない。

(機器の電源)

第29条 情報資産管理責任者は、施設管理部門と連携して、ネットワーク機器及び情報システム機器等の電源について、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

2 情報資産管理責任者は、施設管理部門と連携して、落雷等による過電流に対して、ネットワーク機器及び情報システム機器等を保護するための措置を講じなければならない。

(通信ケーブル等の配線)

第30条 職員等は、通信ケーブル及び電源ケーブルを損傷しないよう適切に取り扱うとともに、ネットワーク管理者の許可なく通信ケーブルの配線を変更又は追加してはならない。

2 ネットワーク管理者及びシステム業務管理者は、施設管理部門と連携して、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

3 ネットワーク管理者及びシステム業務管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

4 ネットワーク管理者及びシステム業務管理者は、ネットワーク接続口を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

(機器等の定期保守及び修理)

第31条 ネットワーク管理者及びシステム業務管理者は、重要性分類Ⅰ及びⅡの情報を記録したそれぞれが所管する情報システム機器について、定期保守を実施しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、記録媒体を内蔵する機器を外部の事業者に修理させる場合は、内容を消去し、又は内容を消去できない場合においては、事業者と守秘義務契約を締結する等、機密保持の措置を講じなければならない。

(市の施設以外への機器の設置)

第32条 ネットワーク管理者及びシステム業務管理者は、市の施設以外の場所に情報システムを設置し、又は事業者等が設置する情報システムを利用しようとする場合は、必要な情報セキュリティ対策が十分に確保されていることを確認し、最高情報統括責任者の承認を受けなければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

(機器の廃棄等)

第33条 ネットワーク管理者及びシステム業務管理者は、情報システム機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(庁舎内の通信回線等の管理)

第34条 情報統括管理者は、庁舎内の通信回線及び通信回線装置を施設管理部門と連携し、適切に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

2 情報統括管理者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

3 情報統括管理者は、行政系のネットワークをLGWANに集約するように努めなければならない。

4 情報統括管理者は、重要性分類Ⅰ及びⅡの情報を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

5 情報統括管理者は、重要性分類Ⅰ及びⅡの情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。

6 ネットワークに使用する回線は、送信途上においてデータの破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が実施されたものでなければならない。

第4節 記録媒体の取扱い及び管理

(記録媒体の管理)

第35条 情報資産管理責任者は、情報資産の分類に従って、情報資産の盗用、漏えい、紛失及び破損等を防止するため、記録媒体について、次に掲げるとおり、適切な管理を行わなければならない。

(1) 最終的に確定したデータを記録した記録媒体は、書込禁止措置を行ったうえで保管すること。

(2) 重要性分類Ⅰ及びⅡの情報を記録した記録媒体を保管する場合、施錠可能な場所に保管すること。

(3) 情報システムのバックアップで取得したデータを記録する記録媒体を長期保管する場合は、自然災害を被る可能性が低い地域への保管を考慮すること。

(4) 重要性分類Ⅰ及びⅡの情報を記録した記録媒体の搬送にあたっては、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じること。

(5) 重要性分類Ⅰ及びⅡの情報を記録した記録媒体を運搬する者は、情報資産管理責任者に許可を得ること。

(記録媒体の廃棄)

第36条 重要性分類Ⅰ及びⅡの情報を記録した記録媒体が不要となった場合は、当該記録媒体の初期化等、データを復元できないように処置した上で廃棄しなければならない。

2 記録媒体の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3 記録媒体の廃棄を行う者は、情報資産管理責任者に許可を得なければならない。

(USBメモリの取扱い)

第37条 情報管理者は、USBメモリを使用しようとするときは、USBメモリ等使用申請書(別記第12号様式)をネットワーク管理者に提出し、その承認を受けなければならない。この場合において、承認する期間は、当該年度内とする。

2 前項の規定により使用するUSBメモリは、ハードウェア暗号化及びパスワードによる認証をすることができるものでなければならない。

3 職員等は、情報資産の盗用、漏えい、紛失及び破損等を防止するため、USBメモリを外部に持ち出してはならない。ただし、次の各号のいずれかに該当する場合は、情報管理者は、その持出しを職員又は守秘義務を明記した契約等を締結した外部事業者に行わせるとともに、USBメモリの物理的な保護措置の指示を出し、USBメモリ等管理台帳(別記第13号様式)に記載し、許可を与えることができる。

(1) 所属する課等以外に情報を持ち出す必要がある場合

(2) 国、地方公共団体及び外部委託事業者等との情報の交換が必要な場合

(3) その他特に必要と認められる場合

4 前項各号の理由により外部に持ち出したUSBメモリは、その使用後は速やかに記録した情報の削除を行い、情報管理者に報告しなければならない。

5 情報管理者は、USBメモリを使用しないときは、施錠した場所に保管し、かつ、類推されにくいパスワードを設定するなど、紛失又は盗難を防止する措置を講じなければならない。

6 情報管理者は、USBメモリを紛失し、又は盗難にあった場合は、直ちにその状況を調査し、必要な措置を講じるとともに、その旨をネットワーク管理者に報告しなければならない。

第5章 技術的セキュリティ

第1節 コンピュータ及びネットワークの管理

(ファイルサーバの設定等)

第38条 ネットワーク管理者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。

2 ネットワーク管理者は、ファイルサーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

3 ネットワーク管理者は、住民の個人情報、人事記録等、特定の職員等しか取り扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。

(アクセス記録の取得等)

第39条 ネットワーク管理者及びシステム業務管理者は、アクセス記録及び情報セキュリティの確保に必要な記録(以下「アクセス記録等」という。)を取得し、窃取、改ざん、誤消去等を防止する措置を講じた上で一定期間保存しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、取得したアクセス記録等を定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(情報システム仕様書等の管理)

第40条 ネットワーク管理者及びシステム業務管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体の形態に関わらず、業務上必要とする者以外の者が閲覧したり、紛失したりすることがないよう、適切な管理をしなければならない。

(情報資産のバックアップ)

第41条 ネットワーク管理者及びシステム業務管理者は、ファイルサーバ等に記録された情報資産について、サーバの二重化対策実施の有無に関わらず、必要に応じて定期的に情報資産のバックアップを実施しなければならない。

(ネットワークのアクセス制御)

第42条 ネットワーク管理者及びシステム業務管理者は、不正アクセスを防止するため、ネットワークのアクセス制御について、適切な措置を講じなければならない。

(外部の者が利用できるシステムの分離)

第43条 ネットワーク管理者及びシステム業務管理者は、インターネット等により外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限)

第44条 ネットワーク管理者及びシステム業務管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、最高情報統括責任者及び情報統括管理者の許可を得なければならない。

2 ネットワーク管理者及びシステム業務管理者は、外部ネットワークとの接続にあたり、当該外部ネットワークのネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、適用範囲における情報資産に影響が生じないことを確認しなければならない。

3 ネットワーク管理者及びシステム業務管理者は、当該外部ネットワークのかしにより本市のデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対応するため、必要に応じて当該外部ネットワークの管理責任者による損害賠償責任を契約上担保するよう努めなければならない。

4 接続した外部ネットワークのセキュリティに問題が認められ、適用範囲における情報資産に脅威が生じることが想定される場合には、ネットワーク管理者及びシステム業務管理者は当該外部ネットワークとの接続を物理的に遮断しなければならない。

(複合機のセキュリティ管理)

第45条 情報統括管理者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

2 情報統括管理者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(無線LANによる通信の禁止)

第46条 ネットワーク管理者及びシステム業務管理者は、職員に無線LANを利用して電子情報を送信させ、又は受信させてはならない。ただし、業務上やむを得ない事情があり、情報統括管理者が認めたときは、この限りではない。

2 情報統括管理者は、前項ただし書の規定により無線LANによる通信を認める場合は、解読が困難な暗号化及び認証技術の使用を義務づけなければならない。

第2節 電子メールの取扱い及び管理

(電子メールのセキュリティ対策)

第47条 ネットワーク管理者は、電子メールの不正な第三者中継を不可能とするよう、電子メールサーバの設置を行わなければならない。

2 ネットワーク管理者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

3 ネットワーク管理者は、セキュリティ上問題があると思われる添付ファイルについて、送受信を制限できるようにしなければならない。

(電子メールの利用制限)

第48条 職員等は、業務上必要のない送信先に電子メールを送信してはならない。

2 職員等は、複数の宛先に電子メールを送信する場合、必要がある場合を除き他の送信先の電子メールアドレスがわからないようにしなければならない。

3 職員等は、重要な電子メールを誤送信した場合、情報管理者に報告しなければならない。

4 職員等は、自動転送機能を用いて、電子メールを転送してはならない。

5 職員等は、インターネットで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。ただし、業務上必要な場合は、ネットワーク管理者及び情報管理者の許可を得て利用することができる。

(電子署名・暗号化)

第49条 職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、最高情報統括責任者が定める電子署名、暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

2 職員等は、暗号化を行う場合に最高情報統括責任者が定める以外の方法を用いてはならない。また、最高情報統括責任者が定める方法で暗号のための鍵を管理しなければならない。

第3節 アクセス制御

(利用者の識別及び認証)

第50条 ネットワーク管理者及びシステム業務管理者は、所管するネットワーク又は情報システムに権限がない職員等がアクセスすることが不可能となるように、利用者の識別及び認証等適切な対応を行わなければならない。

(利用者ID等の管理)

第51条 ネットワーク管理者及びシステム業務管理者は、所管する情報システムの利用者IDを適切に管理し、サーバ等へのログインに関して、不正なログインを防止するため、利用者IDの設定及びパスワードの設定等の対策を講じなければならない。

(管理者権限)

第52条 情報統括管理者及びネットワーク管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

2 情報統括管理者及びネットワーク管理者は、管理者権限等によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(パスワードに関する情報の管理)

第53条 ネットワーク管理者及びシステム業務管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを活用しなければならない。

第6章 情報システムの適正な運用

第1節 情報システムの開発、導入及び保守等

(情報システムの調達)

第54条 ネットワーク管理者及びシステム業務管理者は、情報システムの調達にあたっては、調達に関する仕様書類に必要とする技術的なセキュリティ機能を明記しなければならない。

2 機器及びソフトウェアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

(情報システムの開発等)

第55条 ネットワーク管理者及びシステム業務管理者は、ネットワーク及び情報システムの開発、導入、更新及び運用保守にあたっては、次の事項を定めるものとする。

(1) 責任者及び監督者

(2) 作業者及び作業範囲

(3) 開発するシステムと運用中のシステムとの分離

(4) 開発、保守に関する設計仕様等の成果物の提出

(5) セキュリティ上問題となり得るおそれのあるハードウェア及びソフトウェアの使用禁止

(6) アクセス制限

(7) 機器の搬入出の際の許可及び確認

(8) 記録の提出義務

(9) 仕様書・マニュアル等の定められた場所への保管

(10) 情報システムに係るソースコードの適切な方法での保管

(11) 開発、保守を行った者の利用者ID、パスワード等の当該開発、保守終了後に不要となった時点での速やかな抹消

(12) 情報システムセキュリティ実施手順書等の整備

2 ネットワーク管理者及びシステム業務管理者は、ネットワーク及び情報システムの開発、導入、更新及び運用保守にあたっては、不正にコピーしたソフトウェア及び個人所有のソフトウェアの導入又は使用等、問題のある行為が発生しないようにしなければならない。

(情報システムの移行)

第56条 ネットワーク管理者及びシステム業務管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。また、移行の際、情報システムに記録されているデータの保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、新たに情報システムを導入する際には、既に稼働している情報システムに接続する前に、十分な試験を行わなければならない。また、既存の情報システムを更新する際には、既に稼働している情報システムとの連携において、十分な試験を行わなければならない。

3 ネットワーク管理者及びシステム業務管理者は、テスト環境による動作確認後に情報システムの移行を行わなければならない。また、作業については、作業経過を確認しながら実施するとともに、作業内容を記録しなければならない。

4 ネットワーク管理者及びシステム業務管理者は、原則として個人情報及び機密性の高いデータを試験データに使用してはならない。ただし、合理的な理由がある場合で、情報統括管理者が許可した場合は、この限りでない。

5 ネットワーク管理者及びシステム業務管理者は、試験に使用したデータ及びその結果を一定期間厳重に管理しなければならない。

(情報システムの入出力データ)

第57条 ネットワーク管理者及びシステム業務管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を必要に応じて組み込むように情報システムを設計しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、情報システムから出力されるデータは、保存された情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(ソフトウェアの保守及び更新)

第58条 ネットワーク管理者及びシステム業務管理者は、ソフトウェア等を更新、又は修正プログラムを導入する場合、不具合及び他のシステムとの相性の確認を行い、計画的に更新し、又は導入しなければならない。

2 ネットワーク管理者及びシステム業務管理者は、情報セキュリティに重大な影響を及ぼす不具合に対する修正プログラムについて、速やかに対応を行わなければならない。

(情報システムの変更管理)

第59条 ネットワーク管理者及びシステム業務管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。また、窃取、改ざん等をされないように適切に管理を行わなければならない。

第2節 外部サービスの利用

(外部委託に関する管理)

第60条 ネットワーク管理者及びシステム業務管理者は、情報システムに関する企画、開発、保守、運用等及び電子計算機処理の一部又は全部を市以外の者に請け負わせる場合には、委託に係る契約書等に次に掲げる事項を必要に応じて明記しなければならない。

(1) 業務上知り得た情報の守秘義務に関する事項

(2) 再委託の禁止又は制限に関する事項

(3) 情報及び関連資料の第三者への提供の禁止並びに目的外の使用の禁止に関する事項

(4) 情報及び関連資料の取扱者の限定並びに複写及び複製の禁止に関する事項

(5) 記録媒体及び端末の取扱いに関する事項

(6) 事故発生時の報告義務及び立入調査に応ずる義務

(7) 契約に違反した場合における契約の解除及び損害賠償に関する事項

(8) 委託業務終了時の情報及び関連資料の返還、廃棄等に関する事項

2 前項に加えて、次に掲げる事項を必要に応じて契約書等に明記するよう努めるものとする。

(1) 提供されるサービスレベルの保証に関する事項

(2) 外部委託事業者の従業員に対する研修の実施に関する事項

(3) 外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法

(4) 委託業務の定期報告及び緊急時報告義務に関する事項

(5) 外部施設等への搬送時における盗聴、不正コピー等の防止に関する事項

3 ネットワーク管理者及びシステム業務管理者は、外部委託事業者のセキュリティ確保への取組状況、情報セキュリティマネジメントシステムに係る認証取得の状況、個人情報保護に関する取組状況の調査を行うとともに、契約締結後においても、定期的に又は随時、調査を行い、安全の確保に努めなければならない。

(ソーシャルメディアサービスの利用)

第61条 情報管理者は、業務のために市の公式アカウントを取得し、ソーシャルメディア(以下「SMS」という。)を運用しようとする場合は、あらかじめ運用手順等を定め、最高情報統括責任者の承認を得なければならない。

2 情報管理者は、本市のアカウントによる発信が、実際の本市のものであることを明らかにするために、アカウントの運用組織を明示する等の方法でなりすまし対策を行わなければならない。

3 情報管理者は、重要性分類Ⅰ及びⅡの情報をSMSで発信してはならない。

第3節 不正プログラム及び不正アクセス対策

(コンピュータウイルス等の不正プログラム対策)

第62条 ネットワーク管理者及びシステム業務管理者は、不正プログラム対策として、次の事項を実施しなければならない。

(1) 外部ネットワークから受信したファイルは、コンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムによるシステムへの侵入を防止すること。

(2) 所管するサーバ及び端末において、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させ、常に最新の状態を保つこと。

(3) ネットワークに接続していないシステムにおいても、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及び定義ファイルの更新を実施すること。

(4) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起を行うこと。

(5) 開発元のサポートが終了したソフトウェアを利用しないこと。

(専門家の支援体制)

第63条 情報統括管理者は、実施しているコンピュータウイルス等対策では不十分な事態が発生した場合に備え、コンピュータウイルス等対策ソフトのサポート契約を締結する等、外部の専門家の支援を受けられるようにしておかなければならない。

(不正アクセス対策)

第64条 情報統括管理者は、不正なアクセスによる影響を防止するため、次の事項を実施しなければならない。

(1) 使用されていないポートを閉鎖すること。

(2) 不要なサービスについて、機能を削除又は停止すること。

(3) ソフトウェアにセキュリティホールが発見された場合は、速やかに修正プログラムを適用すること。

2 最高情報統括責任者及び情報統括管理者は、攻撃の予告などサーバ等に不正アクセスを受けることが明白な場合には、システムの停止、他のネットワークとの切断等の必要な措置を講じなければならない。また、警察・関係機関との連絡を密にして情報の収集に努めなければならない。

3 最高情報統括責任者及び情報統括管理者は、不正アクセス行為の禁止等に関する法律違反など、犯罪の可能性がある不正アクセスを受けた場合、不正アクセスの記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。

4 ネットワーク管理者及びシステム業務管理者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する不正アクセスや外部のサイトに対する不正アクセスを監視しなければならない。

5 ネットワーク管理者及びシステム業務管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課等の情報管理者に通知し、適切な処置を求めなければならない。

6 ネットワーク管理者及びシステム業務管理者は、情報システムにおいて、標的型攻撃による庁内への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。

(セキュリティ情報の収集)

第65条 情報統括管理者は、セキュリティホール等のセキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。

(情報システムの監視)

第66条 情報統括管理者及びネットワーク管理者は、セキュリティに関する事象を検知するため、情報システムの監視を行わなければならない。

2 情報統括管理者及びネットワーク管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定又はサーバ間の時刻同期ができる措置を施さなければならない。

3 情報統括管理者及びネットワーク管理者は、外部と接続するシステムを稼働中、常時監視しなければならない。

第4節 情報セキュリティの遵守状況の確認及び対処

(情報セキュリティの遵守状況の確認及び対処)

第67条 情報統括管理者及びネットワーク管理者は、情報セキュリティ対策基準の遵守状況について確認を行い、問題を認めた場合には、速やかに最高情報統括責任者及び情報管理者に報告しなければならない。

2 最高情報統括責任者は、発生した問題について、適切かつ速やかに対処しなければならない。

(端末及び記録媒体等の利用状況調査)

第68条 最高情報統括責任者及び最高情報統括責任者が指名した者は、情報漏えい、不正アクセス、コンピュータウイルス等の調査のために、パソコン等の端末、記録媒体、アクセス記録及びメール等の利用状況を調査することができる。

(職員等の報告義務)

第69条 職員等は、情報セキュリティ対策基準に対する違反行為を発見した場合、直ちに情報統括管理者及びネットワーク管理者に報告を行わなければならない。

2 情報統括管理者は、前項の違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、最高情報統括責任者に報告するとともに、次条に規定する緊急時対応計画に従って適切に対処しなければならない。

第7章 情報セキュリティの脅威に対する緊急時の対応

第1節 緊急時対応計画の策定

(緊急時対応計画の策定)

第70条 ネットワーク管理者及びシステム業務管理者は、情報資産への重大な侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を策定しなければならない。

(緊急時対応計画に盛り込むべき内容)

第71条 前条に規定する緊急時対応計画には、次の内容を定めなければならない。

(1) 関係者の連絡先

(2) 発生した事案に係る報告すべき事項

(3) 発生した事案への対応措置

(4) 再発防止措置の策定

(緊急時対応計画の見直し)

第72条 ネットワーク管理者及びシステム業務管理者は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画を見直さなければならない。

(例外措置の許可)

第73条 ネットワーク管理者及びシステム業務管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、最高情報統括責任者の許可を得て、例外措置を取ることができる。なお、ネットワーク管理者及びシステム業務管理者が、軽微な例外措置と判断したものについては、情報統括管理者の許可をもって、例外措置を取ることができる。

2 ネットワーク管理者及びシステム業務管理者は、前項に該当する場合であって、行政事務の遂行に緊急を要し、前項に定める許可を得る時間的な猶予のないときは、例外措置を実施し、実施後速やかに最高情報統括責任者及び情報統括管理者に報告しなければならない。

3 最高情報統括責任者は、例外措置の申請書類、報告書類及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

第2節 違反に対する対応

(法令の遵守)

第74条 職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(1) 地方公務員法(昭和25年法律第261号)

(2) 著作権法(昭和45年法律第48号)

(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(4) 個人情報の保護に関する法律(平成15年法律第57号)

(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

(違反時の対応)

第75条 職員等に情報セキュリティ対策基準に違反する行為がみられた場合には、ネットワーク管理者及び情報管理者は、速やかに次の措置を講じなければならない。

(1) 情報統括管理者に報告するとともに、当該職員等に対して違反する行為の事実を通知し、再発防止の指導その他適切な措置を行う。

(2) 指導等によっても改善されない場合、情報統括管理者は、当該職員等の情報資産の使用権を停止又は剥奪することができる。

(3) 情報統括管理者は、職員等の情報資産の使用権を停止又は剥奪した旨を速やかに最高情報統括責任者及び当該職員等が所属する課室等の情報管理者に通知しなければならない。

第8章 情報セキュリティ対策の評価及び見直し

第1節 監査

(監査の実施)

第76条 最高情報統括責任者は、情報統括管理者に命じ、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第77条 情報統括管理者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

(監査実施計画の策定及び実施への協力)

第78条 情報統括管理者は、監査を行うにあたっては、監査実施計画を策定し、情報化推進委員会に報告しなければならない。

2 被監査部門は、監査の実施に協力しなければならない。

(外部委託事業者に対する監査)

第79条 情報統括管理者は、外部委託事業者に対して、委託先事業者からの再委託の事業者も含めて、情報セキュリティ対策基準の遵守について、必要に応じて監査を行わなければならない。

(監査結果の報告及び監査書類の保管)

第80条 情報統括管理者は、監査結果を取りまとめ、情報化推進委員会に報告する。

2 情報統括管理者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(指摘事項への対処)

第81条 最高情報統括責任者は、監査結果を踏まえ、指摘事項に関係する情報責任者等に対し、当該事項への対処を指示しなければならない。また、指摘事項に関係しない情報責任者等に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。

2 最高情報統括責任者は、情報セキュリティ対策基準の見直しその他情報セキュリティ対策の見直し時に監査結果を活用しなければならない。

第2節 自己点検

(自己点検の実施)

第82条 ネットワーク管理者及びシステム業務管理者は、所管するネットワーク及び情報システムの情報セキュリティ対策状況について、必要に応じて自己点検を実施しなければならない。

2 情報責任者は、所管する部等の情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。

(自己点検結果等の報告)

第83条 ネットワーク管理者、システム業務管理者及び情報責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報統括管理者に報告しなければならない。

2 情報統括管理者は、報告を受けた点検結果及び改善策を最高情報統括責任者に報告したうえで、情報化推進委員会に報告しなければならない。

(自己点検結果の活用)

第84条 職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

2 最高情報統括責任者は、情報セキュリティ対策基準の見直しその他情報セキュリティ対策の見直し時に点検結果を活用しなければならない。

第3節 改善及び見直し

(改善の措置)

第85条 ネットワーク管理者、システム業務管理者及び情報責任者は、業務上発見された問題、住民からの指摘による問題、監査及び自己点検において指摘された問題等に対する再発防止のため、その原因を除去するための措置を講じなければならない。

2 ネットワーク管理者、システム業務管理者及び情報責任者は、業務上予見される問題、他の組織で発生したものと同種の情報セキュリティ事件・事故、監査及び自己点検において指摘されうる問題等の発生を未然に防止するため、その原因を除去するための措置を講じなければならない。

(情報セキュリティ対策基準の見直し)

第86条 最高情報統括責任者は、情報セキュリティ対策基準について、監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、必要があると認めた場合、改善を行うものとする。

第9章 雑則

(委任)

第87条 この規程に定めるもののほか、この規程の施行に関し必要な事項は、最高情報統括責任者が別に定める。

附 則

(施行期日)

1 この訓令は、平成27年4月1日から施行する。

(規程等の廃止)

2 次に掲げる訓令は、廃止する。

(1) 亀岡市情報セキュリティ運用管理規程(平成16年亀岡市訓令第21号)

(2) 亀岡市USBメモリ等取扱要綱(平成23年亀岡市訓令第8号)

画像

画像

画像

画像

画像

画像

画像

画像

画像

画像

画像

画像

画像

亀岡市情報セキュリティ対策基準規程

平成27年4月1日 訓令第5号

(平成27年4月1日施行)

体系情報
第4編 行政通則/第5章 情報管理
沿革情報
平成27年4月1日 訓令第5号