○玉野市住民基本台帳ネットワークシステムセキュリティ管理規程
平成14年8月5日
訓令第19号
目次
第1章 総則(第1条―第3条)
第2章 基本原則(第4条―第6条)
第3章 体制の整備(第7条―第12条)
第4章 入退室管理(第13条―第16条)
第5章 アクセス管理(第17条―第21条)
第6章 情報資産管理(第22条―第25条)
第7章 その他(第26条)
附則
第1章 総則
(趣旨)
第1条 この規程は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)に規定する住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係る本人確認情報等の処理事務を適正かつ確実に実施することにより、個人情報の漏えい、滅失及びき損を防止するため、必要な事項を定めるものとする。
(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、指定情報処理機関サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市が本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、委任都道府県知事(法第30条の10第3項に規定する委任都道府県知事をいう。以下同じ。)が本人確認情報を指定情報処理機関(法第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)に通知し、並びに都道府県知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための電子計算機をいう。
(3) 本人確認情報 住基ネットにおいて、都道府県、指定情報処理機関に記録、保存され、国の行政機関等に提供される、氏名、生年月日、性別、住所、住民票コード及び付随情報をいう。
(4) 統合端末 サーバにネットワークで接続し業務を行う端末をいう。
(5) 照合情報認証 手の静脈その他個人を識別することができる生体情報及び認証時に読み取られる生体情報を照合し、正当な権限を有することを確認する方法をいう。
(6) 情報資産 住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び記録媒体をいう。
(一部改正〔平成29年訓令8号〕)
(適用範囲)
第3条 この規程は、住基ネットの業務に従事する職員並びに住基ネットのうち、市が整備し、管理責任をもつ範囲における情報資産、建物及び関連設備に適用する。
第2章 基本原則
(機密性の確保)
第4条 住基ネットに係る本人確認情報等の処理事務の実施に当たっては、本人確認情報の保護を優先事項として、漏えい等から保護するための措置を講ずる。
(正確性の確保)
第5条 住基ネットに係る本人確認情報等を常に最新かつ正確な状態に保つとともに、滅失及びき損から保護するための措置を講ずる。
(継続性の確保)
第6条 住基ネットに係る本人確認情報等の処理事務の継続性を確保し、住基ネットの運営に支障をきたさないための措置を講ずる。
第3章 体制の整備
(セキュリティ統括責任者)
第7条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充て、セキュリティ対策に関する最終的な権限及び責任(作動停止時、データの漏えいのおそれがある場合等において対応策を決定し、実施する権限及び責任を含む。)を有し、運用に関する重大な事項についての決定権限を持つものとする。
3 セキュリティ統括責任者は、本人確認情報のデータの漏えいの防止及び正確性の維持と住基ネットの継続的な運用のため、制度面、技術面及び運用面から抑止、予防、検出及び回復の措置を講ずる等総合的なセキュリティ対策を継続的に実施するものとする。
(セキュリティ副統括責任者)
第8条 セキュリティ副統括責任者は、総務部長をもって充て、セキュリティ統括責任者を補佐し、セキュリティ統括責任者に事故あるときは、その職務を代理する。
(システム管理者)
第9条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務部総務課長をもって充てる。
(セキュリティ責任者)
第10条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、市民生活部市民課長をもって充てる。
(一部改正〔平成23年訓令6号〕)
(セキュリティ会議)
第11条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者及びセキュリティ副統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 人事課長
(4) 総合政策課長
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
4 セキュリティ会議の議長は、必要と認められるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、総務部総務課において処理する。
(一部改正〔平成23年訓令6号・29年8号・令和4年31号〕)
(関係部署に対する指示等)
第12条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会その他の執行機関等に対し必要な措置を要請することができる。
第4章 入退室管理
(入退室を行う室又は場所)
第13条 次に掲げる住基ネットの運用が行われる室又は場所において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室(場所) |
レベル3 | 住基ネットのデータ、セキュリティ情報等の保管室 |
レベル2 | サーバ、ネットワーク機器の設置室 |
レベル1 | 統合端末の設置場所 |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりである。
セキュリティ区分 | 入退室管理の方法 |
レベル3 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、鍵又は暗証番号を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル2 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが鍵又は暗証番号を用いて入退室を行う。識別を行うために、入退室者には名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル1 | 統合端末の設置してあるカウンター内へ立ち入る場合は、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には名札の着用を義務付ける。 |
(一部改正〔平成29年訓令8号〕)
(入退室管理者)
第14条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては、総務部総務課長、統合端末の設置室にあっては、市民生活部市民課長をもって充てる。
(一部改正〔平成23年訓令6号・29年8号〕)
(管理簿の作成)
第15条 入退室管理者は、レベル3及び2のセキュリティ区分に係る室については、入退室管理簿を作成し、これを保存するものとする。
(入退室の調査・指示)
第16条 セキュリティ副統括責任者は、適切な入退室管理を確保するため、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第5章 アクセス管理
(アクセス管理を行う機器)
第17条 次に掲げる住基ネットの構成機器について、アクセス管理を行う。
(1) コミュニケーションサーバ
(2) 統合端末
2 前項のアクセス管理は、アクセス管理を行う機器の操作者(以下「操作者」という。)ごとの操作者ID及び照合情報認証によって操作者の正当な権限を確認するとともに操作履歴を記録することにより行うものとする。
(一部改正〔平成29年訓令8号〕)
(アクセス管理責任者)
第18条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、総務部総務課長をもって充てる。
(照合情報認証)
第19条 アクセス管理責任者は、操作者ID及び照合情報認証に関し、次に掲げる事項を実施する。
(1) 操作者ID及び照合情報認証の管理方法を定めること。
(2) 住基ネットを利用する部署のセキュリティ責任者と協議して、操作者IDの操作権限の種類を定めること。
(3) 操作者IDの管理簿を作成すること。
(一部改正〔平成29年訓令8号〕)
(一部改正〔平成29年訓令8号〕)
(操作履歴の保管)
第21条 アクセス管理責任者は、操作履歴について、その記録した日が属する年度の翌年度の初日から起算して7年を経過する日まで保管しておかなければならない。
第6章 情報資産管理
(情報資産管理)
第22条 住基ネットの情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理は、セキュリティ責任者が担うものとし、これら以外の情報資産の管理は、システム管理者が担うものとする。
(一部改正〔平成29年訓令8号〕)
(本人確認情報等の管理)
第23条 セキュリティ責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他本人確認情報の適切な管理のため、必要な措置を講じなければならない。
2 セキュリティ責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理方法を定めるものとする。
(一部改正〔平成29年訓令8号〕)
(本人確認情報等以外の情報資産の管理)
第24条 システム管理者は、セキュリティ責任者が管理する本人確認情報以外の情報資産について、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 システム管理者は、セキュリティ責任者と協議して、住基ネットのオペレーション計画を定めるものとする。
(不適切な利用又は緊急時における措置)
第25条 本人確認情報の漏えい若しくは目的外使用等の不適切な利用が行われているおそれがあると認められるときは、システム管理者は、速やかに市長及びセキュリティ統括責任者に報告するものとする。
3 市長は、前項の措置について、直ちに、国、岡山県及び指定情報処理機関その他の関係者に報告するとともに、不適切な利用の拡大を防止するための措置等について指示を求めるものとする。
4 市長は、前項の指示又は実態調査の結果等を踏まえ、通信回線の再接続等必要な措置を講ずるものとする。
第7章 その他
(その他)
第26条 この規程に定めるもののほか必要な事項は、市長が別に定める。
附則
この訓令は、平成14年8月5日から施行する。
附則(平成16年3月30日訓令第3号)
この訓令は、平成16年4月1日から施行する。
附則(平成18年3月31日訓令第7号)
この訓令は、平成18年4月1日から施行する。
附則(平成19年3月26日訓令第19号)
この規程は、平成19年4月1日から施行する。
附則(平成23年3月22日訓令第6号)
この規程は、平成23年4月1日から施行する。
附則(平成29年3月31日訓令第8号)
この規程は、訓令の日から施行する。
附則(令和4年3月31日訓令第31号)
この規程は、令和4年4月1日から施行する。