○東近江市情報セキュリティ対策基準

平成27年12月24日

訓令第42号

東近江市情報セキュリティ対策基準(平成19年東近江市訓令第45号)の全部を改正する。

目次

第1章 総則(第1条―第3条)

第2章 組織体制(第4条―第10条)

第3章 情報資産の分類と管理方法(第11条―第20条)

第4章 物理的セキュリティ

第1節 サーバ等の管理(第21条―第27条)

第2節 電算室の管理(第28条―第38条)

第5章 人的セキュリティ

第1節 職員の遵守事項(第39条―第48条)

第2節 研修及び訓練(第49条―第52条)

第3節 情報セキュリティインシデントの報告(第53条―第59条)

第4節 ID及びパスワード等の管理(第60条―第64条)

第6章 コンピュータ及びネットワークの管理(第65条―第114条)

第7章 システム開発、導入、保守等(第115条―第125条)

第8章 不正プログラム対策(第126条―第129条)

第9章 不正アクセス対策(第130条―第139条)

第10章 運用

第1節 情報セキュリティポリシーの遵守状況の確認(第140条―第143条)

第2節 侵害時の対応等(第144条―第147条)

第3節 例外措置(第148条―第150条)

第4節 法令遵守(第151条)

第5節 懲戒処分等(第152条・第153条)

第11章 外部委託(第154条―第159条)

第12章 監査(第160条―第167条)

第13章 自己点検(第168条―第171条)

附則

第1章 総則

(趣旨)

第1条 東近江市における情報セキュリティ確保のための対策基準については、東近江市情報セキュリティ基本方針(平成27年東近江市訓令第41号。以下「基本方針」という。)に定めるもののほか、この訓令の定めるところによる。

(定義)

第2条 この訓令において使用する用語の意義は、基本方針に定めるもののほか、それぞれ当該各号に定めるところによる。

(1) ネットワーク 通信回線、ルータ等の通信機器及びこれらを動作させるソフトウェアをいう。

(2) 情報システム サーバ、パーソナルコンピュータ、モバイル端末、汎用機、オペレーティングシステム及びこれらの上で動作するソフトウェア等をいう。

(行政機関)

第3条 この対策基準が適用される行政機関は、東近江市個人情報保護条例(平成17年東近江市条例第11号)第2条第2号に規定する実施機関とする。

第2章 組織体制

(最高情報セキュリティ責任者)

第4条 市長は、情報セキュリティ対策を推進及び管理するための組織体制を整備する。

2 市長は、前項の組織に係る事務を総括するため、最高情報セキュリティ責任者(Chief Information Security Officer、以下「CISO」という。)を置き、副市長をもって充てる。

3 第1項の組織に関し必要な事項は、別に定める。

(総括情報セキュリティ責任者)

第5条 総務部長を総括情報セキュリティ責任者とし、CISOを補佐する。

2 総括情報セキュリティ責任者は、市のネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

(情報セキュリティ責任者)

第6条 情報システムを所有する部長を情報セキュリティ責任者とし、その所管する部局等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約、職員に対する必要な助言及び指示を行う。

2 情報セキュリティ責任者は、その所管する部局等において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う総括的な権限及び責任を有する。

3 前項の情報システムにおける開発、設定の変更、運用、見直し等は、市の情報セキュリティポリシーに則ったものであり、他の情報システムと調和して機能を果たすものでなければならない。

4 第2項の情報システムにおける開発、設定の変更、運用、見直し等を行う場合は、情報システム管理者と協議しなければならない。

(情報セキュリティ管理者)

第7条 課長等を情報セキュリティ管理者とし、その所管する課室等の情報セキュリティ対策が円滑に実施されるよう努めなければならない。

2 情報セキュリティ管理者は、その所掌する課室等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、情報セキュリティ責任者、総括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。

(管理責任)

第8条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

2 情報資産が複製又は伝送された場合には、複製等された情報資産も前条の分類に基づき管理しなければならない。

(情報システム所管管理者)

第9条 情報セキュリティ管理者のうち、その所管する情報システムについてデータを保有し、かつ、当該情報システムの開発、設定の変更、廃止等を行う権限及び責任を有する者を情報システム所管管理者という。

2 前項の情報システムにおける開発、設定の変更、運用、見直し等は、市の情報セキュリティポリシーに則ったものであり、他の情報システムと調和して機能を果たすものでなければならない。

3 情報システム所管管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う場合、情報システム管理者と協議しなければならない。

4 情報システム所管管理者は、前項の場合において、他の所管に属する情報システムの設定の変更、運用、見直し等を伴う場合、当該情報システムを所管する情報システム所管管理者と協議しなければならない。

5 情報システム所管管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持管理を行うものとする。

(情報システム管理者)

第10条 情報推進課長を情報システム管理者とし、市の情報システムを管理し、開発、設定の変更、運用、見直し等に関し必要な調整を行う権限及び責任を有する。

2 市のネットワークに接続しないで単独で運用する情報システムにあっては、前項の規定にかかわらず、当該システムを所管する課長を情報システム管理者とする。

第3章 情報資産の分類と管理方法

(情報資産の分類)

第11条 市における情報資産の分類は、機密性、完全性及び可用性により、別表のとおり分類し、必要に応じ取扱制限を行うものとする。

(分類の明示)

第12条 職員は、情報資産について、ファイル名、格納する電磁的記録媒体のラベル及び文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限事項を明示して、適切な管理を行わなければならない。

(情報の作成)

第13条 業務に係る情報を作成する者は、情報の作成時に第11条の分類に基づき、当該情報の分類及び取扱制限を定めなければならない。

2 業務に係る情報を作成する者は、作成途上の情報についても紛失や流出等を防止し、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。

(情報資産の入手)

第14条 庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱をしなければならない。

2 庁外の者が作成した情報資産を入手した者は、前項の分類に準じ当該情報の分類と取扱制限を定めなければならない。

3 情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ管理者の指示に従わなければならない。

(情報資産の利用)

第15条 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

2 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。

3 情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。

(情報資産の保管)

第16条 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

2 情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。

3 情報セキュリティ管理者又は情報システム管理者は、利用頻度が低い電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。

4 情報セキュリティ管理者又は情報システム管理者は、機密性2以上、完全性2又は可用性2の情報を記録した電磁的記録媒体を保管する場合、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

(情報の送信)

第17条 電子メール等により機密性2以上の情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない。

(情報資産の運搬)

第18条 車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、暗号化又はパスワードの設定を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

2 機密性2以上の情報資産を運搬する者は、情報セキュリティ管理者に許可を得なければならない。

(情報資産の提供及び公表)

第19条 機密性2以上の情報資産を外部に提供する者は、必要に応じ暗号化又はパスワードの設定を行わなければならない。

2 機密性2以上の情報資産を外部に提供する者は、情報セキュリティ管理者に許可を得なければならない。

3 前項の場合において、情報セキュリティ管理者は、総括情報セキュリティ責任者に当該情報資産の外部への提供に関し、協議しなければならない。

4 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

(情報資産の廃棄)

第20条 機密性2以上の情報資産を廃棄する者は、情報を記録している電磁的記録媒体が不要になった場合、電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。

2 情報資産の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3 情報資産の廃棄を行う者は、情報セキュリティ管理者の許可を得なければならない。

第4章 物理的セキュリティ

第1節 サーバ等の管理

(機器の取付け)

第21条 情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

(サーバの冗長化)

第22条 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。

2 情報システム管理者は、メインサーバに障害が発生した場合、速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。

(機器の電源)

第23条 情報システム管理者は、総括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

2 情報システム管理者は、総括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

(通信ケーブル等の配線)

第24条 情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

2 情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

3 情報システム管理者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適切に管理しなければならない。

4 情報システム管理者は、自ら又は情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更及び追加できないように必要な措置を施さなければならない。

(機器の定期保守及び修理)

第25条 情報システム管理者及び情報システム所管管理者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。

2 情報システム管理者及び情報システム所管管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。

3 情報システム管理者及び情報システム所管管理者は、前項の場合において内容を消去できない場合、外部の事業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。

(庁外への機器の設置)

第26条 情報セキュリティ責任者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。

2 情報セキュリティ責任者は、庁外にサーバ等の機器を設置した場合、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

(機器の廃棄等)

第27条 情報システム管理者及び情報システム所管管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

第2節 電算室の管理

(電算室の構造等)

第28条 情報システム管理者は、電算室を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁にしなければならない。

2 情報システム管理者は、施設管理部門と連携して、電算室から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない者の立入りを防止しなければならない。

3 情報システム管理者は、電算室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

4 情報システム管理者は、施設管理部門と連携して、電算室の外壁等の床下開口部を全て塞がなければならない。

5 情報システム管理者は、電算室に配置する消火薬剤や消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(入退室管理等)

第29条 情報システム管理者は、電算室への入退室を許可された者のみに制限し、ICカード等による入退室管理を行わなければならない。

2 職員及び外部委託事業者は、電算室に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。

3 情報システム管理者は、外部からの訪問者が電算室に入る場合には、必要に応じて立入区域を制限した上で、管理区域への入退室を許可された職員が付き添うものとし、外見上職員と区別できる措置を講じなければならない。

4 情報システム管理者は、機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。

5 情報システム管理者は、電算室への入退室を許可した者の入退室管理簿を作成し、これを保存するものとする。

6 情報システム管理者は、毎年度電算室の入退室状況について、総括情報セキュリティ責任者へ報告しなければならない。

(機器等の搬入出)

第30条 情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。

2 情報システム管理者は、電算室の機器等の搬入出について、職員を立ち会わせなければならない。

第31条 情報システム管理者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理し、かつ、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

第32条 情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

第33条 情報セキュリティ責任者は、機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

第34条 情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報の破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

第35条 情報セキュリティ責任者は、可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択し、必要に応じ回線を冗長構成にする等の措置を講じなければならない。

(職員のパーソナルコンピュータ等の管理)

第36条 情報システム管理者又は情報システム所管管理者は、情報システムへのログインパスワードの入力を必要とするように設定しなければならない。

第37条 情報システム管理者は、特に重要な情報資産を取り扱うパーソナルコンピュータやモバイル端末等についてはICカード又は指紋による認証を併用するものとする。

第38条 情報システム管理者は、パーソナルコンピュータやモバイル端末等におけるデータの暗号化等の機能を有効に利用しなければならない。端末にセキュリティチップが搭載されている場合についても、同様とする。

2 情報システム管理者又は情報システム所管管理者は、電磁的記録媒体についてデータ暗号化機能を備える媒体を使用しなければならない。

3 情報システム管理者又は情報システム所管管理者は、モバイル端末の庁外での業務利用の際は、前2条の対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。

第5章 人的セキュリティ

第1節 職員の遵守事項

(情報セキュリティポリシー等の遵守)

第39条 職員は、情報セキュリティポリシー及び実施手順を遵守しなければならない。

2 職員は、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ管理者に相談し、指示を受けなければならない。

(業務以外の目的での使用の禁止)

第40条 職員は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用を行ってはならない。

(モバイル端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限)

第41条 総括情報セキュリティ責任者は、機密性2以上、可用性2、完全性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

2 職員は、本市のモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報セキュリティ管理者の許可を得なければならない。

3 職員は、外部で情報処理業務を行う場合、情報セキュリティ管理者の許可を得なければならない。

4 職員は、外部で情報処理作業を行う場合、私物パーソナルコンピュータを用いるときには、情報セキュリティ管理者の許可を得た上で、安全管理措置を遵守しなければならない。

5 職員は、機密性3の情報資産については、私物パーソナルコンピュータによる情報処理を行ってはならない。

(支給以外のパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等の業務利用)

第42条 職員は、支給以外のパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等を原則として業務に利用してはならない。ただし、業務上必要な場合は、情報セキュリティ管理者の許可を得て利用することができる。

2 職員は、支給以外のパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等を用いる場合、情報セキュリティ管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置を遵守しなければならない。

(持ち出し及び持ち込みの記録)

第43条 情報セキュリティ管理者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

(パーソナルコンピュータ等におけるセキュリティ設定変更の禁止)

第44条 職員は、パーソナルコンピュータ及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を情報システム管理者又は情報システム所管管理者の許可なく変更してはならない。

(机上の端末等の管理)

第45条 職員は、パーソナルコンピュータ、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパーソナルコンピュータ、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。

(退職時等の遵守事項)

第46条 職員は、異動、退職等により業務を離れる場合、利用していた情報資産を、返却しなければならない。

2 職員は、退職後も業務上知り得た情報を漏らしてはならない。

(情報セキュリティポリシー等の掲示)

第47条 情報セキュリティ管理者は、職員が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(外部委託事業者に対する説明)

第48条 情報システム所管管理者は、ネットワーク及び情報システムの開発、保守等を外部委託事業者に発注する場合、外部委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち外部委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

第2節 研修及び訓練

(情報セキュリティに関する研修及び訓練)

第49条 総括情報セキュリティ責任者は、定期的に情報セキュリティに関する研修及び訓練を実施しなければならない。

(研修計画の策定及び実施)

第50条 CISOは、全ての職員に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。

2 職員は、毎年度最低1回は情報セキュリティ研修を受講しなければならない。

3 CISOは、新規採用の職員を対象とする情報セキュリティに関する研修を実施しなければならない。

4 研修は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム担当者その他職員に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

5 CISOは、毎年度1回、情報セキュリティ委員会に対して、職員の情報セキュリティ研修の実施状況について報告しなければならない。

(緊急時対応訓練)

第51条 CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるようにしなければならない。

(研修及び訓練への参加)

第52条 職員は、定められた研修及び訓練に参加しなければならない。

第3節 情報セキュリティインシデントの報告

(庁内からの情報セキュリティインシデントの報告)

第53条 職員は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者に報告しなければならない。

第54条 報告を受けた情報セキュリティ管理者は、速やかに情報セキュリティ責任者、情報システム管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。

第55条 情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISO及び総括情報セキュリティ責任者に報告しなければならない。

(住民等外部からの情報セキュリティインシデントの報告)

第56条 職員は、市が管理する情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。

2 報告を受けた情報セキュリティ管理者は、速やかに情報セキュリティ責任者に報告しなければならない。

3 前項の報告を受けた情報セキュリティ責任者は、必要に応じてCISO及び総括情報セキュリティ責任者に報告しなければならない。

第57条 総括情報セキュリティ責任者は、情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

(情報セキュリティインシデント原因の究明、記録、再発防止等)

第58条 総括情報セキュリティ責任者は、情報セキュリティインシデントを引き起こした部署の情報セキュリティ管理者及び情報システム管理者及び情報セキュリティに関する統一的な窓口と連携し、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。

2 総括情報セキュリティ責任者は、情報セキュリティインシデントの原因究明結果から、再発防止策を検討し、CISOに報告しなければならない。

第59条 CISOは、総括情報セキュリティ責任者から情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を講じなければならない。

第4節 ID及びパスワード等の管理

(ICカード等の取扱い)

第60条 職員は、認証に用いるICカード等を、職員間で共有してはならない。

2 職員は、業務上必要のないときは、ICカード等をカードリーダから離しておかなければならない。

3 職員は、ICカード等を紛失した場合、速やかに情報システム管理者に通報し、指示に従わなければならない。

第61条 情報システム管理者は、ICカード等の紛失等の通報があった場合、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

第62条 情報システム管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕する等復元不可能な処理を行った上で廃棄しなければならない。

(IDの取扱い)

第63条 職員は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(1) 自己が利用しているIDを他人に利用させないこと。

(2) 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならないこと。

(パスワードの取扱)

第64条 職員は、パスワードを他者に知られないように管理しなければならない。

2 職員は、パスワードを秘密にし、関係者以外からのパスワードの照会等には一切応じてはならない。

3 職員は、パスワードを十分な長さとし、文字列は想像しにくいものにしなければならない。

4 職員は、パスワードが流出したおそれがある場合には、情報システム管理者に速やかに報告し、パスワードを速やかに変更しなければならない。

5 職員は、パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。

6 職員は、複数の情報システムを扱う場合は、同一のパスワードをシステム間で用いてはならない。

7 職員は、仮のパスワードは、最初のログイン時点で変更しなければならない。

8 職員は、パーソナルコンピュータ等の端末にパスワードを記憶させてはならない。

9 職員は、職員間でパスワードを共有してはならない。

第6章 コンピュータ及びネットワークの管理

(文書サーバの設定等)

第65条 情報システム管理者は、職員が使用できる文書サーバの容量を設定し、職員に周知しなければならない。

2 情報システム管理者は、文書サーバを課室等の単位で構成し、職員が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

(バックアップの実施)

第66条 情報システム管理者又は情報システム所管管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第67条 情報システム管理者及び情報システム所管管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、総括情報セキュリティ責任者の許可を得なければならない。

(システム管理記録及び作業の確認)

第68条 情報システム管理者及び情報システム所管管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

第69条 情報システム管理者及び情報システム所管管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。

第70条 情報システム管理者及び情報システム所管管理者は、契約により操作を認められた外部委託事業者が1人でシステム変更等の作業を行う場合は、職員にその作業を監視させるようにしなければならない。

(情報システム仕様書等の管理)

第71条 情報システム管理者及び情報システム所管管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧又は紛失することがないよう適切に管理しなければならない。

(ログの取得等)

第72条 情報システム管理者及び情報システム所管管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

第73条 情報システム管理者及び情報システム所管管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。

第74条 情報システム管理者及び情報システム所管管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(障害記録)

第75条 情報システム管理者は、職員からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第76条 総括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

第77条 総括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。

(外部の者が利用できるシステムの分離等)

第78条 情報システム管理者は、電子申請の受付システム等の外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限等)

第79条 情報セキュリティ責任者は、所管するネットワークを外部ネットワークと接続しようとする場合、CISOの許可を得なければならない。

第80条 情報セキュリティ責任者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

第81条 情報システム管理者又は情報システム所管管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

第82条 総括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

第83条 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、総括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(複合機のセキュリティ管理)

第84条 総括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

第85条 総括情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

第86条 総括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(特定用途機器のセキュリティ管理)

第87条 総括情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(無線LAN及びネットワークの盗聴対策)

第88条 情報システム管理者は、所管するシステムにおいて無線LANの利用を認める場合、総括情報セキュリティ責任者の承認を得なければならない。

2 情報システム管理者は、前項の無線LANの利用においては、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

第89条 情報システム管理者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

(電子メールのセキュリティ管理)

第90条 情報システム管理者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

第91条 情報システム管理者は、大量のスパムメール等の受信又は送信を検知した場合、メールサーバの運用を停止しなければならない。

第92条 情報システム管理者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

第93条 情報システム管理者は、職員が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員に周知しなければならない。

第94条 情報システム管理者及び情報システム所管管理者は、システム開発や運用、保守等のため庁舎内に常駐している外部委託事業者の作業員による電子メールアドレス利用について、外部委託事業者との間で利用方法を取り決めなければならない。

第95条 情報システム管理者は、職員が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等によりシステム上措置しなければならない。

(電子メールの利用制限)

第96条 職員は、業務上必要のない送信先に電子メールを送信してはならない。

第97条 職員は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。

(電子署名・暗号化)

第98条 職員は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、市が定めた電子署名、暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

第99条 職員は、暗号化を行う場合に市が定める以外の方法を用いてはならない。また、市が定めた方法で暗号のための鍵を管理しなければならない。

第100条 市は、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。

(無許可ソフトウェアの導入等の禁止)

第101条 職員は、パーソナルコンピュータやモバイル端末に無断でソフトウェアを導入してはならない。

第102条 職員は、業務上の必要がある場合は、情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、情報セキュリティ管理者又は情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。

第103条 職員は、不正にコピーしたソフトウェアを利用してはならない。

(機器構成の変更の制限)

第104条 職員は、パーソナルコンピュータやモバイル端末に対し機器の改造、増設及び交換を行ってはならない。

第105条 職員は、業務上、パーソナルコンピュータやモバイル端末に対し機器の改造、増設及び交換を行う必要がある場合、情報システム管理者の許可を得なければならない。

(無許可でのネットワーク接続の禁止)

第106条 職員は、情報セキュリティ責任者の許可なくパーソナルコンピュータやモバイル端末をネットワークに接続してはならない。

(アクセス制御等)

第107条 情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員がアクセスできないように、システム上制限しなければならない。

(利用者IDの取扱い)

第108条 情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

2 職員は、業務上必要がなくなった場合は、利用者登録を抹消するよう、総括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。

3 総括情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

(特権を付与されたIDの管理等)

第109条 情報システム管理者及び情報システム所管管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

2 総括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、CISOが指定する。

3 CISOは、代行者を認めた場合、速やかに総括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム管理者に通知しなければならない。

4 情報システム管理者及び情報システム所管管理者は、特権を付与されたID及びパスワードの変更を外部委託事業者に行わせる場合、作業を行う者から秘密の保持に関する誓約書を提出させなければならない。

5 情報システム管理者及び情報システム所管管理者は、特権を付与されたID及びパスワードについて、職員の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。

6 情報システム管理者及び情報システム所管管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

(職員による外部からのアクセス等の制限)

第110条 職員が外部から内部のネットワーク又は情報システムにアクセスする場合、情報システム管理者又は情報システム所管管理者の許可を得なければならない。

2 総括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3 総括情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

4 総括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

5 情報システム管理者は、外部からのアクセスに利用するモバイル端末を職員に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

6 職員は、持ち込んだ又は外部から持ち帰ったモバイル端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認しなければならない。

7 総括情報セキュリティ責任者は、公衆通信回線(公衆無線LAN等)の庁外通信回線を庁内ネットワークに接続することは原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

(自動識別の設定)

第111条 情報システム管理者及び情報システム所管管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

(ログイン時の表示等)

第112条 情報システム管理者及び情報システム所管管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定及びログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ職員がログインしたことを確認することができるようシステムを設定しなければならない。

(パスワードに関する情報の管理)

第113条 情報システム管理者及び情報システム所管管理者は、職員のパスワードに関する情報を厳重に管理しなければならない。パスワードファイルを不正利用から保護するため、オペレーティングシステム等でパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

2 情報システム管理者及び情報システム所管管理者は、職員に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

(特権による接続時間の制限)

第114条 情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

第7章 システム開発、導入、保守等

(情報システムの調達)

第115条 情報システム管理者及び情報システム所管管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

2 情報システム管理者及び情報システム所管管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

(システム開発における責任者及び作業者の特定)

第116条 情報システム管理者及び情報システム所管管理者は、システム開発の責任者及び作業者を特定しなければならない。

(システム開発における責任者、作業者のIDの管理)

第117条 情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

2 情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。

(システム開発に用いるハードウェア及びソフトウェアの管理)

第118条 情報システム管理者及び情報システム所管管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

2 情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアをシステムから削除しなければならない。

(開発環境と運用環境の分離及び移行手順の明確化)

第119条 情報システム管理者及び情報システム所管管理者は、システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。

2 情報システム管理者及び情報システム所管管理者は、システム開発、保守及びテスト環境からシステム運用環境への移行について、システム開発、保守計画の策定時に手順を明確にしなければならない。

3 情報システム管理者及び情報システム所管管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

4 情報システム管理者及び情報システム所管管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。

(テスト)

第120条 情報システム管理者及び情報システム所管管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。

2 情報システム管理者及び情報システム所管管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。

3 情報システム管理者及び情報システム所管管理者は、個人情報及び機密性の高いデータをテストデータに使用する場合、テスト後のデータの消去を職員に確認させなければならない。

4 情報システム管理者及び情報システム所管管理者は、開発したシステムについて受入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。

(システム開発又は保守に関連する資料等の整備及び保管)

第121条 情報システム管理者及び情報システム所管管理者は、システム開発又は保守に関連する資料及びシステム関連文書を適切に整備し、かつ、保管しなければならない。

2 情報システム管理者及び情報システム所管管理者は、テスト結果を一定期間保管しなければならない。

3 情報システム管理者及び情報システム所管管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第122条 情報システム管理者及び情報システム所管管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

2 情報システム管理者及び情報システム所管管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

3 情報システム管理者及び情報システム所管管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(情報システムの変更管理)

第123条 情報システム管理者及び情報システム所管管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(開発及び保守用のソフトウェアの更新等)

第124条 情報システム管理者及び情報システム所管管理者は、開発又は保守用のソフトウェア等の更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(システム更新又は統合時の検証等)

第125条 情報システム管理者及び情報システム所管管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。

第8章 不正プログラム対策

(総括情報セキュリティ責任者の措置事項)

第126条 総括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。

(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止すること。

(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止すること。

(3) コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員に対して注意喚起すること。

(4) 所掌するサーバ及びパーソナルコンピュータ等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させること。

(5) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保つこと。

(6) 不正プログラム対策のソフトウェアは、常に最新の状態に保つこと。

(7) 業務で利用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用しないこと。

(情報システム管理者の措置事項)

第127条 情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。

(1) 所掌するサーバ及びパーソナルコンピュータ等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させること。

(2) 不正プログラム対策ソフトウェアのパターンファイルは、常に最新の状態に保つこと。

(3) 不正プログラム対策のソフトウェアは、常に最新の状態に保つこと。

(4) インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、市が管理している媒体以外を職員に利用させないこと。

(5) 不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施すること。

(職員の遵守事項)

第128条 職員は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(1) パーソナルコンピュータやモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合、当該ソフトウェアの設定を変更しないこと。

(2) 外部からデータ又はソフトウェアを取り入れる場合には、必ず不正プログラム対策ソフトウェアによるチェックを行うこと。

(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除すること。

(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施すること。

(5) ファイルが添付された電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行うこと。

(6) 総括情報セキュリティ責任者が提供するウイルス情報を常に確認すること。

(7) コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、以下の対応を行うこと。

 パーソナルコンピュータ等の端末の場合 LANケーブルの即時取り外しを行うこと。

 モバイル端末の場合 直ちに利用を中止し、通信を行わない設定への変更を行うこと。

(専門家の支援体制)

第129条 総括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

第9章 不正アクセス対策

(総括情報セキュリティ責任者の措置事項)

第130条 総括情報セキュリティ責任者は、不正アクセス対策として、次の事項を措置しなければならない。

(1) 使用されていないポートを閉鎖すること。

(2) 不要なサービスについて、機能を削除又は停止すること。

(3) 不正アクセスによるウェブページの改ざんを防止するため、データの書換えを検出し、情報セキュリティ責任者及び情報システム管理者へ通報するよう、設定すること。

(4) 重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査すること。

2 総括情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適切な対応等を実施できる体制並びに連絡網を構築しなければならない。

(攻撃の予告)

第131条 CISO及び総括情報セキュリティ責任者は、サーバ等に攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。この場合において、関係機関と連絡を密にして情報の収集に努めなければならない。

(記録の保存)

第132条 CISO及び総括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第133条 総括情報セキュリティ責任者及び情報システム管理者は、職員及び外部委託事業者が使用しているパーソナルコンピュータ等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

(職員による不正アクセス)

第134条 総括情報セキュリティ責任者及び情報システム管理者は、職員による不正アクセスを発見した場合、当該職員が所属する課室等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第135条 総括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(標的型攻撃)

第136条 総括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて標的型攻撃による内部への侵入を防止するために、教育や自動再生無効化等の人的対策や入口対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するため、通信をチェックする等の内部対策を講じなければならない。

(セキュリティホールに関する情報の収集、共有及びソフトウェアの更新等)

第137条 総括情報セキュリティ責任者及び情報システム管理者は、セキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。

2 総括情報セキュリティ責任者及び情報システム管理者は、当該セキュリティホールの緊急度に応じて、ソフトウェア更新等の対策を実施しなければならない。

(不正プログラム等のセキュリティ情報の収集及び周知)

第138条 総括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員に周知しなければならない。

(情報セキュリティに関する情報の収集及び共有)

第139条 総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

第10章 運用

第1節 情報セキュリティポリシーの遵守状況の確認

(情報システムの監視)

第140条 総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

2 総括情報セキュリティ責任者及び情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

3 総括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。

(遵守状況の確認及び対処)

第141条 総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合、速やかにCISOに報告しなければならない。

2 CISOは、発生した問題について、適切かつ速やかに対処しなければならない。

3 総括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生した場合には適切かつ速やかに対処しなければならない。

(パーソナルコンピュータ、モバイル端末及び電磁的記録媒体等の利用状況調査)

第142条 CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員が使用しているパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(職員の対処義務)

第143条 職員は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに情報セキュリティ責任者及び情報セキュリティ管理者に報告しなければならない。

2 職員は、違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると情報セキュリティ責任者が判断した場合、緊急時対応計画に従って適切に対処しなければならない。

第2節 侵害時の対応等

(緊急時対応計画の策定)

第144条 CISOは、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するため、緊急時対応計画を定め、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第145条 緊急時対応計画には、次の内容を定めなければならない。

(1) 関係者の連絡先

(2) 発生した事案に係る報告すべき事項

(3) 発生した事案への対応措置

(4) 再発防止措置の策定

(業務継続計画との整合性確保)

第146条 CISO又は情報セキュリティ委員会は、自然災害、大規模又は広範囲にわたる疾病等に備えて別途業務継続計画を策定し、情報セキュリティ委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第147条 CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

第3節 例外措置

(例外措置の許可)

第148条 情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を取ることができる。

(緊急時の例外措置)

第149条 情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合において、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。

(例外措置の申請書の管理)

第150条 CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

第4節 法令遵守

第151条 職員は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(1) 地方公務員法(昭和25年法律第261号)

(2) 著作権法(昭和45年法律第48号)

(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(4) 個人情報の保護に関する法律(平成15法律第57号)

(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

第5節 懲戒処分等

(懲戒処分)

第152条 情報セキュリティポリシーに違反した職員及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。

(違反時の対応)

第153条 職員は、職員の情報セキュリティポリシーに違反する行動を確認した場合、所属する情報セキュリティ責任者に違反内容を報告しなければならない。

2 前項の報告を受けた情報セキュリティ責任者は、違反者が属する情報セキュリティ責任者に報告をしなければならない。

3 情報セキュリティ責任者が違反を確認した場合、情報セキュリティ責任者は、当該職員が所属する課室等の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

4 情報システム管理者が違反を確認した場合、違反を確認した者は、速やかに総括情報セキュリティ責任者及び当該職員が所属する課室等の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

5 総括情報セキュリティ責任者は、情報セキュリティ管理者の指導によっても改善されない場合、当該職員のネットワーク又は情報システムを使用する権利を停止し、又は剥奪することができる。

6 総括情報セキュリティ責任者は、前項の規定に基づき職員の権利を停止し、又は剥奪したときは、CISO及び当該職員が所属する課室等の情報セキュリティ管理者にその旨を通知しなければならない。

7 第1項の場合において、情報セキュリティ責任者が違反者であったときは、総括情報セキュリティ責任者に報告するものとする。

第11章 外部委託

(外部委託事業者の選定基準)

第154条 情報セキュリティ管理者は、外部委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

2 情報セキュリティ管理者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして、事業者を選定しなければならない。

3 情報セキュリティ管理者は、クラウドサービスを利用する場合は、情報の機密性に応じたセキュリティレベルが確保されているサービスを利用しなければならない。

(契約項目)

第155条 情報システム管理者又は情報システム所管管理者は、情報システムの運用、保守等を外部委託する場合には、外部委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。

(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

(2) 外部委託事業者の責任者、委託内容、作業者及び作業場所の特定

(3) 提供されるサービスレベルの保証

(4) 外部委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法

(5) 外部委託事業者の従業員に対する教育の実施

(6) 提供された情報の目的外利用及び受託者以外の者への提供の禁止

(7) 業務上知り得た情報の守秘義務

(8) 再委託に関する制限事項の遵守

(9) 委託業務終了時の情報資産の返還、廃棄等

(10) 委託業務の定期報告及び緊急時報告義務

(11) 市による監査及び検査

(12) 市による情報セキュリティインシデント発生時の公表

(13) 情報セキュリティポリシーが遵守されなかった場合の規定

(確認措置等)

第156条 情報システム管理者又は情報システム所管管理者は、外部委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前条の契約に基づき措置しなければならない。

2 情報システム管理者又は情報システム所管管理者は、前項の措置をしたときは、その内容を情報セキュリティ責任者に報告するとともに、その重要度に応じて総括情報セキュリティ責任者に報告しなければならない。

(約款による外部サービスの利用に係る規定の整備)

第157条 情報セキュリティ管理者は、外部サービスを利用するときは、次の事項を約款に含むよう外部サービスの利用に関する規定を整備しなければならない。この場合において、当該サービスの利用では機密性2以上の情報が取り扱われないように規定しなければならない。

(1) 約款によるサービスを利用してよい範囲

(2) 業務により利用する約款による外部サービス

(3) 利用手続及び運用手順

(約款による外部サービスの利用における対策の実施)

第158条 職員は、利用する外部サービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認した上で約款による外部サービスの利用を申請し、適切な措置を講じた上で利用しなければならない。

(ソーシャルメディアサービスの利用)

第159条 情報セキュリティ管理者は、市が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(1) 市のアカウントによる情報発信が、実際に市のものであることを明らかにするために、市が管理するウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を行うこと。

(2) パスワードや認証のためのコード等の認証情報及びこれを記録した媒体等(ICカード等)を適切に管理するなどの方法で、不正アクセス対策を行うこと。

2 職員は、機密性2以上の情報はソーシャルメディアサービスで発信してはならない。

3 情報セキュリティ管理者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。

第12章 監査

(実施方法)

第160条 CISOは、情報セキュリティ監査責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第161条 CISOは、監査を実施する場合、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有するものでなければならない。

(監査実施計画の立案及び実施への協力)

第162条 情報セキュリティ監査責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

2 被監査部門は、監査の実施に協力しなければならない。

(外部委託事業者に対する監査)

第163条 外部委託事業者に監査を委託している場合、情報セキュリティ監査責任者は外部委託事業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的又は必要に応じて行わなければならない。

(報告)

第164条 情報セキュリティ監査責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。

(保管)

第165条 情報セキュリティ監査責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(監査結果への対応)

第166条 CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。

(情報セキュリティポリシー及び関係規程等の見直し等への活用)

第167条 情報セキュリティ委員会は、監査結果を情報セキュリティポリシー及び関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

第13章 自己点検

(実施方法)

第168条 総括情報セキュリティ責任者、情報システム管理者及び情報システム所管管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。

2 情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する課における情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。

(報告)

第169条 総括情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

(自己点検結果の活用)

第170条 職員は、前条の自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

2 情報セキュリティ委員会は、前条の自己点検結果を情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。

(情報セキュリティポリシー及び関係規程等の見直し)

第171条 情報セキュリティ委員会は、情報セキュリティ監査及び第169条の自己点検結果並びに情報セキュリティに関する状況の変化等をふまえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。

附 則

(施行期日)

1 この訓令は、平成28年1月1日から施行する。ただし、第12章監査に係る規定は、同年4月1日から施行する。

(東近江市情報管理システム等管理運営規程の廃止)

2 東近江市情報管理システム等管理運営規程(平成17年東近江市訓令第13号。以下「旧管理運営規程」という。)は、廃止する。

(経過措置)

3 この訓令の施行日の前日までに、改正前の東近江市情報セキュリティ対策基準の規定及び旧管理運営規程の規定によってした処分、手続その他の行為は、この訓令中これに相当する規定があるときは、この訓令によってしたものとみなす。

別表(第11条関係)

1 機密性による情報資産の分類

分類

分類基準

取扱制限

機密性3

行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産

・支給以外の端末での作業の原則禁止(機密性3の情報資産に対して)

・保存時の暗号化

・必要以上の複製及び配付禁止

・保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持ち込み禁止

・情報の送信、情報資産の運搬又は提供時における暗号化、パスワード設定及び鍵付きケースへの格納

・復元不可能な処理を施しての廃棄

・信頼のできるネットワーク回線の選択

・外部で情報処理を行う際の安全管理措置の規定

・電磁的記録媒体の施錠可能な場所への保管

機密性2

行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産

機密性1

機密性2又は機密性3の情報資産以外の情報資産


2 完全性による情報資産の分類

分類

分類基準

取扱制限

完全性2

行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

・バックアップ、電子署名付与

・外部で情報処理を行う際の安全管理措置の規定

・電磁的記録媒体の施錠可能な場所への保管

完全性1

完全性2情報資産以外の情報資産


3 可用性による情報資産の分類

分類

分類基準

取扱制限

可用性2

行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利が侵害される又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

・バックアップ、指定する時間以内の復旧

・電磁的記録媒体の施錠可能な場所への保管

可用性1

可用性2の情報資産以外の情報資産


東近江市情報セキュリティ対策基準

平成27年12月24日 訓令第42号

(平成28年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報管理
沿革情報
平成27年12月24日 訓令第42号