○日進市情報セキュリティ規則
平成29年2月21日
規則第7号
日進市情報セキュリティ規則(平成15年日進市規則第4号)の全部を改正する。
第1条 この規則は、情報資産に対する様々な脅威から市民の財産及びプライバシーを守るため並びに継続的かつ安定した行政運営に取り組むために本市が実施する情報セキュリティ対策について、必要な事項を定めるものとする。
(1) 情報セキュリティポリシー この規則及び日進市情報セキュリティ対策基準をいう。
(2) 情報システム 電子計算機等、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
(3) ネットワーク 電子計算機等を相互に接続するための通信網及びその構成機器をいう。
(4) 電磁的記録媒体 電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるものに係る記録媒体をいう。
(5) 情報資産 情報システム上で取り扱われる、市が保有する全ての情報をいい、日進市立学校設置条例(昭和39年日進町条例第10号)第2条に規定する小学校及び中学校が保有する情報は、含まないものとする。
(6) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(7) 機密性 情報資産にアクセスすることを認められた者のみが、情報資産にアクセスできる状態を確保することをいう。
(8) 完全性 情報資産が破壊され、改ざんされ、又は消去されていない状態を確保することをいう。
(9) 可用性 情報資産にアクセスすることを認められた者が、必要なときに中断することなく、情報資産にアクセスできる状態を確保することをいう。
(10) 個人番号利用事務系 個人番号利用事務又は戸籍事務等に関する情報システム及びデータをいう。
(11) LGWAN接続系 LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう(個人番号利用事務系を除く。)。
(12) インターネット接続系 インターネットメール、ホームページ管理システム等インターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(13) 通信経路の分割 LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信のみを許可できるようにすることをいう。
(14) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等によりコンピュータウイルス等の不正プログラムの付着が無いこと等の安全が確保された通信をいう。
(15) 情報システム室 情報システム及びネットワークの基幹機器を設置し、当該機器の管理及び運用を行うための部屋をいう。
(最高情報セキュリティ責任者)
第3条 情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する最高情報セキュリティ責任者を置き、副市長をもって充てる。
(情報セキュリティ統括責任者)
第4条 最高情報セキュリティ責任者を補佐するため、情報セキュリティ統括責任者を置き、総合政策部長をもって充てる。
(対象とする脅威)
第5条 情報資産に対する脅威として、次の各号の脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃その他のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん及び消去並びに重要情報の詐取並びに内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用、設計及び開発の不備、プログラム上の欠陥、操作及び設定のミス、メンテナンス不備、内部及び外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥及び機器故障その他の非意図的要因による情報資産の漏えい、破壊、改ざん及び消去
(3) 地震、落雷、火災その他の災害によるサービス及び業務の停止
(4) 広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全
(5) 電力供給の途絶、通信の途絶、水道供給の途絶その他のインフラの障害からの波及
(6) その他情報資産を脅かす事案
(適用範囲)
第6条 この規則の適用を受ける者は、情報資産を取り扱う次に掲げる者(以下、「職員等」という。)とする。
(1) 地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職に属する職員及び同条第3項に規定する特別職に属する職員
(2) 国又は他の地方公共団体から派遣されている職員
(1) 組織体制 市の情報資産について、情報セキュリティ対策を推進し、及び管理するための組織体制を確立する。
(2) 情報資産の分類及び管理 市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
(3) 情報セキュリティ全体の強靭性の向上 情報セキュリティの強化を目的とし、業務の効率性及び利便性の観点を踏まえ、情報システム全体に対し、次の対策を講じる。
ア 個人番号利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報の持ち出しができないようにする設定及び端末への多要素認証の導入等により住民情報の流出を防ぐ。
イ LGWAN接続系においては、通信経路の分割を行った上で、インターネット接続系と通信する場合には、無害化通信を実施する。
ウ インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施し、原則として、インターネット接続は、愛知県が整備する自治体セキュリティクラウドを経由して通信する。
(4) 物理的セキュリティ サーバ、情報システム室、通信回線及び職員等のパソコン等の管理について、物理的な対策を講じる。
(5) 人的セキュリティ 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を講じる。
(6) 技術的セキュリティ コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(7) 運用 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティの確保等情報セキュリティポリシーの運用面の対策を講じ、情報資産に対するセキュリティ侵害が発生した場合に迅速かつ適正に対応するため、緊急時の対応計画を策定する。
(8) 外部委託等 次の対策を講じる。
ア 外部委託する場合は、外部委託業者を選定し、情報セキュリティ要件を明記した契約を締結し、外部委託業者において必要なセキュリティ対策が確保されていることを確認するとともに必要に応じて契約に基づき措置を講じる。
イ 外部サービスを利用する場合は、利用に係る規定を整備し、対策を講じる。
ウ ソーシャルメディアサービスを利用する場合は、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。
(遵守義務)
第8条 職員等は、情報セキュリティの重要性について共通の認識を持ち、情報資産を保護するために、情報セキュリティポリシー、別に定める情報セキュリティ対策実施手順、次に掲げる法令その他関連法令を遵守しなければならない。
(1) 地方公務員法
(2) 著作権法(昭和45年法律第48号)
(3) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(4) 個人情報の保護に関する法律(平成15年法律第57号)
(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(情報セキュリティ監査及び自己点検の実施)
第9条 最高情報セキュリティ責任者は、情報セキュリティポリシーの遵守状況を検証するため、定期的に、又は必要に応じて情報セキュリティ監査及び自己点検を実施するものとする。
(情報セキュリティポリシーの見直し)
第10条 最高情報セキュリティ責任者は、情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合は、情報セキュリティポリシーを見直すものとする。
(情報セキュリティ対策基準)
第11条 最高情報セキュリティ責任者は、情報セキュリティを確保する上での具体的な遵守事項、判断基準等を定める情報セキュリティ対策基準を定めるものとする。
(情報セキュリティ対策実施手順)
第12条 最高情報セキュリティ責任者は、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ対策実施手順を定めるものとする。
2 前項の情報セキュリティ対策実施手順は、非公開とする。
(委任)
第13条 この規則に定めるもののほか、この規則の施行に関し必要な事項は、市長が別に定める。
附則
この規則は、公布の日から施行する。
附則(令和2年2月26日規則第7号)
この規則は、令和2年4月1日から施行する。
附則(令和4年3月3日規則第6号)
この規則は、令和4年4月1日から施行する。
附則(令和5年3月8日規則第13号)抄
(施行期日)
1 この規則は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。