○今別町住民基本台帳ネットワークシステムのセキュリティ対策に関する規程

平成14年12月1日

訓令第6号

(目的)

第1条 この規程は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)を安全かつ円滑に運用するため、セキュリティ組織、入退室管理、アクセス管理、本人確認情報管理、情報資産管理及び委託管理に関し必要な事項を定めることを目的とする。

(セキュリティ統括責任者)

第2条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、町長をもって充てる。

(システム管理者)

第3条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、総務企画課長をもって充てる。

(セキュリティ責任者)

第4条 住基ネットを利用する課においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、町民福祉課長をもって充てる。

(セキュリティ会議)

第5条 住基ネットのセキュリティ対策について審議するため、セキュリティ会議を設置する。

2 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

3 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) その他セキュリティ統括責任者が指定した者

4 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直し

(2) セキュリティ対策の厳守状況の確認

(3) 監査の実施

(4) 教育・研修の実施

(5) その他統括責任者が必要と認めた事項

5 議長は、前項のうち、必要と認められる事項を審議するときは、個人情報保護委員会の意見を聴くものとする。

6 議長は、必要と認めるときは関係職員の出席を求め、その意見又は説明を聴くことができる。

7 セキュリティ会議の庶務は、町民福祉課において処理する。

(関係部署に対する指示等)

第6条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

(入室管理を行う室)

第7条 次に掲げる住基ネットの運用が行われる室において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。

セキュリティ区分

レベル2

住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室

レベル1

統合端末の設置室(町民福祉課内)

2 それぞれのセキュリティ区分に応じた、入退室管理の方法は、次のとおりとする。

セキュリティ区分

入退室管理の方法

レベル2

入退室を行う場合には、入退室管理者から事前に許可された者のみが鍵を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、訪問者の入退室に関する記録を行う。

レベル1

入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、訪問者(住基ネット担当者以外)の入退室に関する記録を行う。

(入退室管理者)

第8条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては総務企画課長、統合端末の設置室にあっては町民福祉課長をもって充てる。

2 入退室管理者は、前条第1項に掲げる室について、同条第2項に定める入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。

(鍵の管理)

第9条 鍵の管理は町民福祉課長が行う。

2 町民福祉課長は第7条のレベル2のセキュリティ区分に係る室については、許可を得ている者に限り、鍵を貸与するものとする。

(管理簿の作成)

第10条 入退室管理者は、第7条のレベル2のセキュリティ区分に係る室については、入退室管理簿及び鍵の管理簿を作成し、これを保存するものとする。

2 入退室管理者は同条のレベル1のセキュリティ区分に係る室については、管理簿を作成し、これを保存するものとする。

(指示)

第11条 セキュリティ統括責任者は、適切な入退室が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。

(アクセス管理を行う機器)

第12条 次に掲げる住基ネットの構成機器について、業務アプリケーションに対するアクセス管理を行う。

(1) コミュニケーションサーバ

(2) 業務端末

2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること、及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第13条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2 アクセス管理責任者は、町民福祉課長をもって充てる。

(照合ID、照合情報及び操作者ID)

第14条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。

(1) 照合ID及び操作者IDの管理方法を定めること。

(2) 照合情報の登録及び削除の管理方法を定めること。

(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること。

(4) 照合ID及び操作者IDの管理簿を作成すること。

(操作者の責務)

第15条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。

(操作履歴の記録)

第16条 アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう保管するものとする。

(オペレーティングシステムの管理)

第17条 アクセス管理責任者は、第12条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。

(本人確認情報管理を行う機器)

第18条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。)のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、個人番号カード及び住民基本台帳カード(以下「個人番号カード等」という。)について本人確認情報管理を行う。

(本人確認情報管理責任者)

第19条 本人確認情報管理責任者は、町民福祉課長をもって充てる。

2 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人情報の漏えい、滅失及びき損の防止、その他当該本人情報の適切な管理のための必要な措置を講じなければならない。

3 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。

(本人確認情報管理方法)

第20条 本人確認情報管理責任者は、当該情報資産の管理方法(操作者の指定を含む)を定めるものとする。

2 本人確認情報管理責任者は、住基ネットシステムのオペレーション計画を定めるものとする。

3 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏洩やき損等の被害を受けるおそれがある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。

(本人確認情報の取扱方法)

第21条 職員は、本人確認情報を取り扱う際、次に掲げる項目に留意する。

(1) 統合端末の画面情報に関する留意項目

 ディスプレイを、来庁者等に画面を見られることがないよう設置する。

 ディスプレイに、斜視防止フィルタを適用する等の覗き見防止措置を行うこと。タッチパネルを利用した入力に関しては、タッチパネル画面からも本人確認情報等が第三者から確認できないように配慮を施すこと。

 画面を長時間表示させない。スクリーンセーバの起動までの時間を適宜設定し、解除にパスワードの入力が要求されるよう設定する。

(2) 本人確認情報の入力、削除及び訂正時の留意項目

 入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を確認する。

 本人確認情報の入力・削除及び訂正から確認に至るまでを2名の担当者にて行うこと。

 入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄する。また、帳票の内容によっては、本人確認情報変更管理簿に記載し、施錠可能な書庫等に施錠保管する。

 訂正は、本人確認管理責任者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保管する。

 本人確認情報をメモに書き込む及び端末にテキスト文書として保存したりしない。

 本人確認情報の入力、削除及び訂正を行った際、実施月日、実施者、処理内容の記録を残していること。

(3) 本人確認情報の検索・抽出時の留意項目

 業務上必要のない検索は行わない。

 事前に、検索・抽出条件を明確にする。

 検索・抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーを取らない。必要があって、ハードコピーを取る場合は、事前に本人確認情報管理責任者の承認を得て、その記録を残す。

(4) 職員離席又は業務交代時の留意項目

 業務アプリケーションを必ずログオフ又は終了させる。

(5) 大量に本人確認情報を出力する場合の留意項目

 大量に本人確認情報を出力することは基本的に実施しない。必要があって、大量に本人確認情報を出力する場合は、事前に本人確認情報管理責任者の決裁・承認を得て、その記録を残す。

 大量を定義する印刷物(整合性確認処理時のファイルへの出力数は20名以上とする。

(6) 統合端末の配置及び状況把握

 本人確認情報管理責任者から目視することができる位置に統合端末を配置すること(配置出来ない場合は統合端末の配置及び操作状況を確認するためのカメラを設置等すること。)

 管理者は、統合端末の利用状況を目視等により確認すること。

(実施状況の確認)

第22条 本人確認情報管理責任者は、次に掲げる項目について、月に1回以上の実施状況確認を行い、その結果を記録する。

(1) 前条の留意項目について、実際の業務の中で遵守されていること。

(2) 操作ログに、業務上必要のない操作履歴が残っていないこと。

(3) 業務上必要のない検索又は抽出が行われていないことについて、担当者へのヒアリングにより確認していること。

(帳票の管理方法)

第23条 管理対象とする帳票を以下のとおり定める。

項番

帳票名称

1

広域交付住民票

2

転出証明確認書

3

転入通知確認書

4

住民票コード通知票

5

住民票コード変更通知票

6

住民票の写しの広域交付・転入出(住基カード)処理件数一覧表住民票

7

住民票コード要求・付番処理件数一覧表

8

本人確認情報更新処理件数一覧表

9

本人確認情報整合結果リスト

10

本人確認情報リスト

11

住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表

12

住民票コード要求・付番処理件数年合計一覧表

13

本人確認情報更新処理件数年合計一覧表

14

戸籍附票記載事項通知処理件数一覧表

15

個人番号カード交付申請者一覧表

16

個人番号カード交付者一覧表

17

個人番号カード運用状況集計表

18

個人番号カード交付状況

19

住民基本台帳カード交付申請者一覧表

20

住民基本台帳カード交付通知書

21

住民基本台帳カード交付通知書兼照会書

22

住民基本台帳カード交付者一覧表(交付日検索)

23

住民基本台帳カード交付者一覧表(有効期限検索)

24

住民基本台帳カード運用状況集計表

2 本人確認情報管理責任者は、次に掲げる項目を記録するための帳票管理簿を作成し、帳票の出力、保管、廃棄等を行う際、職員に必要項目を記録させる。ただし、住民からの申請書に基づき、住民に交付する部数のみを印刷する場合は、住民からの申請書が管理対象であり、出力は管理対象外とする。

(1) 出力に関する項目

 帳票の内容(数量及び内訳)

 出力年月日

 出力する職員の氏名及び所属部署名

 使用理由

 管理者の承認

 使用の際の注意項目

(2) 保管に関する項目

 保管場所

 保管期間

(3) 廃棄に関する項目

 廃棄年月日

 廃棄する職員の氏名及び所属部署名

 廃棄理由

 管理者の承認

 廃棄方法

3 職員は、帳票を出力する際、次に掲げる項目に留意する。

(1) 職員は、出力装置を、来庁者等に見られないように設置する。

(2) 職員は、帳票を出力した際、出力装置上に放置せず、速やかに回収する。

(3) 職員は、出力装置を適宜確認し、帳票が放置されている場合は以下の措置を行う。

 出力した職員を特定して注意する。

 長時間放置されたものは廃棄する。

4 職員は、帳票を保管する際、次に掲げる項目に留意する。

(1) 施錠可能な書庫等に保管し、権限のない者がアクセスできないようにする。鍵は管理者が管理する。

(2) 帳票管理簿についても前号と同様とする。

(3) 廃棄状況を帳票管理簿に記録して管理者へ報告する。

(帳票受渡管理方法)

第24条 管理者は、次に掲げる項目を記録するための帳票受渡管理簿を作成し、帳票を利用する際、職員に必要項目を記録させる。

(1) 帳票名

(2) 利用者

(3) 利用目的

(4) 利用月日

(5) 返却予定月日

(6) 利用場所

(7) 返却月日

(8) 管理者の承認

2 職員(受渡者)は、帳票を持ち出す場合は、次に掲げる項目に留意する。

(1) 帳票受渡管理簿に必要事項を記録して管理者の承認を得る。

(2) 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しない。

(3) 原則として、複写は行わない。

(4) 帳票の盗難又は紛失時には、直ちに管理者へ報告する。

(5) 返却の際、帳票受渡管理簿に必要項目を記録して管理者へ報告する。

(実施状況の確認)

第25条 本人確認情報管理責任者は、次に掲げる項目について、月に1回以上の実施状況確認を行い、その結果を記入する。

(1) 帳票管理簿に必要項目(帳票の内容、出力年月日、出力した職員の氏名等)が記録されていること。

(2) 帳票管理簿と現況が一致しており、紛失等はないこと。

(3) 出力装置が、来庁者等に出力された帳票を見られないよう設置されていること。

(4) 帳票及び帳票保管庫の鍵が施錠保管されており、権限のない者がアクセス可能な場所に放置されていないこと。

(5) 廃棄状況の記録が残っていること。

(情報資産管理)

第26条 住基ネットの情報資産(住基ネットに係る全ての情報のうち、本人確認情報(記録データ、出力帳票及び個人番号カード等)を除いたデータ並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。

(情報資産管理責任者)

第27条 情報資産管理責任者は、前条に掲げる情報資産の管理責任者を指し、総務企画課長をもって充てる。

2 情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。

(ソフトウェアの適正な管理)

第28条 住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずる。

(ハードウェアの適正な管理)

第29条 住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。

(ネットワークの適正な管理)

第30条 住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。

(情報資産管理簿等の適正な管理)

第31条 情報資産管理簿等の適正な管理については要領・手順書等に定めるものとする。

(施設の適正な管理)

第32条 操作者の認証等により、本人確認情報の処理に係る電子計算機及び端末装置を設置する場所の入出場の管理、その他これらの施設への不正なアクセスを予防するために入退室管理責任者と協議を行い、その措置を講ずる。

(委託を受けようとする者の管理体制等の調査)

第33条 住基ネットを管理し、又は利用する課の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第34条 住基ネットを管理し、又は利用する課の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第35条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1) 再委託の禁止又は制限に関する事項

(2) 情報が記録された資料の保管、返還又は廃棄に関する事項

(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

(受託者の管理状況の調査)

第36条 住基ネットを管理し、又は利用する課の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

(雑則)

第37条 この訓令に定めるもののほか、必要な事項は、町長が別に定める。

この規程は、平成14年12月1日から施行する。

(平成27年12月28日訓令第9号)

この訓令は、平成28年1月1日から施行する。ただし、第1条の規定は、公布の日から施行する。

(令和元年12月11日訓令第17号)

この規程は、平成31年4月1日から施行する。

(令和3年6月30日規程第27号)

この訓令は、令和3年4月1日から施行する。

今別町住民基本台帳ネットワークシステムのセキュリティ対策に関する規程

平成14年12月1日 訓令第6号

(令和3年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第6節
沿革情報
平成14年12月1日 訓令第6号
平成27年12月28日 訓令第9号
令和元年12月11日 訓令第17号
令和3年6月30日 規程第27号