○中川町情報セキュリティ対策規準

平成17年4月1日

要領第1号

目次

第1章 総則(第1条)

第2章 総則組織及び体制(第2条―第7条)

第3章 情報資産の管理(第8条―第10条)

第4章 物理的セキュリティ対策(第11条―第13条)

第5章 人的セキュリティ対策(第14条―第18条)

第6章 技術的セキュリティ(第19条―第21条)

第7章 運用(第22条―第27条)

附則

第1章 総則

(趣旨)

第1条 この規準は、中川町情報セキュリティ規程(平成17年訓令第2号)に基づき、中川町の情報セキュリティ対策に関し、必要な規準を定める。

第2章 総則組織及び体制

(最高情報統括責任者)

第2条 中川町副町長を最高情報統括責任者とする。

2 最高情報統括責任者は、中川町におけるすべての情報資産の情報セキュリティを統括する。

(ネットワーク管理者)

第3条 中川町地域振興課長をネットワーク管理者とする。

2 ネットワーク管理者は、中川町のすべてのネットワークにおける開発、設定の変更、運用、更新等を行う権限及び責任を有する。

3 ネットワーク管理者は、中川町のすべてのネットワークにおける情報セキュリティに関する権限及び責任を有する。

4 ネットワーク管理者は、情報セキュリティ管理者及び情報システム担当者に対して情報セキュリティに関する指導及び助言を行う権限を有する。

5 ネットワーク管理者は、中川町の情報資産に対する侵害の恐れのある場合には、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき必要かつ十分なすべての措置を行う権限及び責任を有する。

6 ネットワーク管理者は、中川町のすべてのネットワーク、情報システム及び情報資産に関する情報セキュリティの維持、管理を行い、緊急時対応手順の策定及び見直しを行う。

(情報セキュリティ管理者)

第4条 各課長、各行政委員会課長及び消防支署長(以下「課等の長」という。)を情報セキュリティ管理者とする。

2 情報セキュリティ管理者は、所管組織の情報セキュリティに関する権限及び責任を有し、かつ所管する情報システムにおける開発、更新等を行う権限及び責任を有する。

3 情報セキュリティ管理者は、所管組織の情報セキュリティポリシーの遵守に関する権限と責任を有し、担当する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

4 情報セキュリティ管理者は、所管組織の情報資産に対する侵害または侵害の恐れのある場合には、ネットワーク管理者へ速やかに報告を行い、指示を受けなければならない。この場合、最高情報統括責任者にも報告しなければならない。

(情報システム担当者)

第5条 情報セキュリティ管理者の指示等に従い、管理する情報システムの開発、設定の変更、運用、更新等の作業を行う者を情報システム担当者とする。

(職員)

第6条 職員(非常勤職員及び臨時職員を含むすべての職員。以下同じ。)は、この規準に定められている事項を遵守し、情報セキュリティの侵害等の問題発生を未然に防止するよう努めるとともに、当該問題を発見した場合は速やかに、ネットワーク管理者に報告するなど適切な措置を講じなければならない。

2 職員は、使用する端末や記録媒体について、第三者に使用されること、または承認なく情報を閲覧されることがないように、適切な措置を施さなければならない。

3 職員は、ネットワーク管理者の承認を得ず、端末等を執務室外に持ち出してはならない。

4 職員は、異動、退職等により業務を離れる場合には、知り得た情報を秘匿しなければならない。

(外部委託)

第7条 情報システムの開発・保守を外部委託事業者に発注する場合は、外部委託事業者から下請けとして受託する業者も含めて(以下「受託事業者」という。)、この規準のうち受託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を行わなければならない。

第3章 情報資産の管理

(情報資産に対する脅威の把握と情報セキュリティ対策の実施)

第8条 ネットワーク管理者は、次に掲げる事項その他の管理する情報資産に対する脅威となり得る事項を明らかにするとともに、その発生度合や発生した場合の影響等から特に脅威となり得る事項については重点的な対策を講じるものとする。

(1) 部外者による不正アクセス又は不正操作によるデータ及びプログラムの持出し、盗聴、改ざん、消去、機器及び媒体の盗難、障害発生行為によるサービス停止等

(2) 職員及び受託事業者による意図しない操作、不正アクセス又は不正操作によるデータやプログラムの持出し、盗聴、改ざん、消去、機器及び媒体の盗難並びに規定外の端末接続によるデータ漏えい等

(3) 地震、落雷、火災等の災害及び事故、故障等によるサービスの停止

2 ネットワーク管理者は、適切な情報セキュリティ対策を講じることが困難な状況が生じた場合には、その状況について最高情報統括責任者へ報告しなければならない。

(情報資産の管理方法)

第9条 情報システムで扱う情報について、第三者が重要性の識別を容易に認識できないよう留意しつつ、ファイル名、記録媒体等に情報の分類が分かるように表示をする等適切な管理を行わなければならない。

2 取り出しが可能な記録媒体は持出、改ざん、消去、盗難等の脅威を防止する対策を講じる等の適切な管理を行わなければならない。

3 記録媒体が不要となった場合は、当該媒体に含まれる重要な情報は、記録媒体の初期化など情報を復元できないように消去を行ったうえで破棄しなければならない。

4 ネットワーク管理者は、情報資産の的確な管理を図るため、必要に応じ、情報資産の管理状況について調査を行い、調査により摘出した事項について情報セキュリティ管理者に対しその改善を指示し、又は指導するものとする。

(データの利用等)

第10条 課等の長は、他の課の所管に属するデータを利用する必要があるときは、データ利用申請書(様式第1号)を当該データの所管する情報セキュリティ管理者に提出し、承認を得なければならない。

2 前項の利用申請に対し、当該データの情報セキュリティ管理者は、データ保護上正当な理由がある場合においては、必要な条件を付し、又は利用承認しないことがある。

3 情報セキュリティ管理者は、当該データを出力帳票として利用するときは、第1項のデータ利用申請書をネットワーク管理者に提出し、承認を得なければならない。

4 前項の規定により出力された帳票の管理に当たっては、第9条の規定を準用する。

第4章 物理的セキュリティ対策

(重要な情報処理機器の取付け)

第11条 サーバ等の重要な情報処理機器の取付けに当たっては、火災、水害、埃、振動、温度等の影響を可能な限り排除した場所に設置しなければならない。

(管理区域)

第12条 ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「電算室」という。)は、外部からの侵入が容易にできないよう、外部に通じるドアは必要最小限とし、承認されていない出入りを鍵等によって防止し、水害対策及び確実な入退室管理を行える環境にしなければならない。

(職員等の端末等)

第13条 職員は、記録媒体、端末等を破損又は盗難に遭わないよう適切に管理するものとし、執務室等に職員がいない場合は、執務室等の施錠等による盗難防止のための装置を施さなければならない。特に勤務時間外における管理には十分注意を払うものとする。

第5章 人的セキュリティ対策

(端末等の管理)

第14条 職員は、ネットワークに接続されている端末(以下「所定の端末」という。)等を持ち出すことは原則禁止するが、業務の都合によりやむを得ず持ち出す場合には、理由並びに所定の端末等の管理番号をネットワーク管理者に申告し、承認を得なければならない。

2 職員は、所定の端末等以外の端末等を執務室に持ち込んではならない。業務の都合によりやむ得ず持ち込みネットワークに接続する場合には、情報セキュリティ管理者を通じて様式第2号によりネットワーク管理者に申告し、承認を得なければならない。

3 前項により承認を受けた端末等の使用を休止又は変更する場合は、速やかにネットワーク管理者に報告するものとする。

4 職員は、ネットワーク管理者が承認した以外のアプリケーションソフト等を所定の端末にインストールしてはならない。業務上必要な場合は、理由及びインストールするアプリケーションソフトの名称をネットワーク管理者に申告し、承認を得なければならない。

5 職員は、所定の端末等に対し、改造、機器の増設・交換、ネットワークとの切り離し、接続等を行ってはならない。業務上必要な場合は、理由及び変更の内容をネットワーク管理者に申告し、承認を得なければならない。

(パスワードの管理)

第15条 職員は自己の保有するパスワードに関し、次の事項を遵守しなければならない。

(1) パスワードを秘密にし、パスワードの照会等には一切応じないこと。

(2) 複数の情報システムを扱う職員は、パスワードをシステム間で共有しないこと。

(3) 端末にパスワードを記憶させないこと。

(4) 職員間でパスワードを共有しないこと。

(ICカード等の管理)

第16条 職員はICカード等の認証に用いるカード類に関し、次の事項を遵守しなければならない。

(1) 職員間で共有してはならない。

(2) ICカード等は、カードリーダー若しくは端末のスロット等に常時挿入してはならない。

(3) 職員はICカード等を紛失した場合には、速やかにネットワーク管理者、情報セキュリティ管理者に通報し、指示を受けなければならない。また、通報を受けた管理者は、速やかに当該ICカード等を使用したアクセス等を停止しなければならない。

(メール)

第17条 ネットワーク管理者は、外部から外部への電子メール転送(電子メールの中継処理)を不可能とする等、情報システム全般に悪影響を与えないような設定を施さなければならない。

2 全職員が使用できるメールボックスの容量は限られているため、処理が済んだメールは職員が自ら削除するか、記録媒体に移動し、適正な容量の確保に努めなければならない。

3 職員は、次の各号に掲げる行為及びそれに係るデータの受発信を行ってはならない。

(1) ネットワークの公共性を害するような妨害行為、教宣行為

(2) システムに進入し、改ざん・破損及びそれを企てる行為

(3) ネットワークを利用しての売買行為

(4) 他人の名誉、プライバシーを損なう恐れのある行為

(5) 他人を誂謀又は著しく中傷し、不快感を与える行為

(6) 犯罪行為に結びつく恐れのある行為

(ホームページの取り扱い)

第18条 ホームページはネットワーク管理者が総合的に管理するものとする。

2 ホームページ上に新たな情報を掲載する場合は、ネットワーク管理者の承認を得なければならない。

3 本町のホームページ上から、他のホームページに接続(以下「リンク」という。)できるようにするときは、リンク先の承認を得なければならない。

4 リンク先の情報を複製して本町のホームページの情報として使用する場合はリンク先の承認を得なければならない。また複製したときは、その旨をホームページ内に明記しなければならない。

5 個人の肖像が写つている写真を掲載する場合は、本人の承認を受けなければならない。

6 ホームページに掲載する情報の詳細は原課により作成するものとし、常に最新の情報に更新するよう努めるものとする。

7 情報の更新時には、情報セキュリティ管理者の承認を受け掲載していくものとする。

第6章 技術的セキュリティ

(技術の活用)

第19条 ネットワーク管理者は、情報システムのより高度な安全性及び信頼性を確保するため、常に最新の情報技術に関する知識を獲得し、その評価に努めなければならない。

(情報システムの開発・運用)

第20条 ハードウェア及びソフトウェアを導入する際、当該製品が情報セキュリティの確保の上で問題のないことを確認し、設計、製造、テスト及び導入後の運用の各段階において、情報セキュリティ機能の品質を適切に管理しなければならない。

2 情報システムが安定的に稼働することができるよう、適切な保守作業を実施しなければならない。

3 記録媒体が含まれる機器の修理を外部の事業者に委託する場合には、記録された情報を完全に消去した上で修理を依頼することとする。この対応が困難な場合には、委託契約書上に情報の守秘に関する条項を明記する等の情報について適切な取り扱いを求めなければならない。

4 記録媒体が含まれる機器の廃棄を外部の事業者に委託する場合には、記録された内容を完全に消去し、又は復元不可能な状態にして行わなければならない。

(コンピュータウイルス対策)

第21条 ネットワーク管理者は、常にコンピューターウイルス(以下「ウイルス」という。)に関する最新の情報の収集に努めるとともに、必要に応じて職員へ情報提供を行わなければならない。

2 ネットワーク管理者は、ウイルス発見時には職員に適切な指示を与えなければならない。また、必要に応じて外部組織へも連絡を行わなければならない。

3 ネットワーク管理者は、その管理するすべての端末にウイルス対策ソフトを導入しなければならない。また、サーバについても必要に応じて同様の措置を講じなければならない。

4 ネットワーク管理者は、その管理するサーバ及び端末上に導入したウイルス対策ソフトのパターンファイルが常に最新の状態となるよう維持しなければならない。

5 職員は、光ディスク、磁気ディスク、電子メールの添付ファイル、ネットワーク経由でのファイルのダウンロード等の手段により、外部との間でデータを授受する場合は、必ずウィルスチェックを行わなければならない。

6 職員は、ウイルスを発見した場合は、速やかにネットワーク管理者へ連絡し、適切な指示を受けなければならない。

第7章 運用

(情報セキュリティポリシーの遵守状況の確認)

第22条 情報セキュリティ管理者は、情報セキュリティポリシーが遵守されているかどうかについて、また、問題が発生していないかについて常に確認を行い問題が発生していた場合には速やかに最高情報統括責任者及びネットワーク管理者に報告しなければならない。

(1) 最高情報統括責任者は速やかに発生した問題に適切に対処しなければならない。

(2) 職員は、情報セキュリティポリシーの違反が発生した場合は、直ちにネットワーク管理者に報告を行わなければならない。違反の発生時には、それが直ちに情報セキュリティ上重大な影響を及ぼす可能性があるとネットワーク管理者が判断した場合は、緊急対応手順に従って連絡を行わなければならない。

(3) ネットワーク管理者は、サーバ等の重要な情報処理機器のシステム設定が情報セキュリティポリシーを遵守しているかどうかについて、また問題が発生していないかについて定期的に確認を行い、問題が発生していた場合には速やかに適切に対応しなければならない。

(運用管理における留意点)

第23条 情報セキュリティ担当者は、職員が常に情報セキュリティポリシー及び緊急時対応手順を参照できるよう配慮しなければならない。

(侵害等の対応)

第24条 情報資産への侵害が発生した場合における連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止の措置を講じるために、緊急時対応手順を別記1のとおり定める。

2 ネットワーク管理者は、次の事案が発生し情報資産の防護のためにネットワークの切断がやむを得ない場合は、ネットワークを切断する措置を講ずる。

(1) 異常なアクセスが接続しているとき、または不正アクセスが判明したとき。

(2) システムの運用に著しい支障をきたす攻撃が継続しているとき。

(3) コンピューターウイルス等不正プログラムがネットワーク経由で広がつているとき。

(4) 情報資産に係る重大な被害が想定されるとき。

(法令遵守)

第25条 職員は、職務の遂行において使用する情報資産について、次の法令等を遵守し、これに従わなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2) 著作権法(昭和45年法律第48号)

(3) 個人情報の保護に関する法律(平成15年法律第57号)

(点検)

第26条 情報セキュリティ管理者は、管理する情報システムの情報セキュリティについて、定期的に点検を行わなければならない。

(評価・見直し)

第27条 ネットワーク管理者及び情報セキュリティ管理者は、ネットワーク及び情報システムの情報セキュリティについて監査等により定期的に検証しなければならない。

2 新たに必要な定策が発生した場合または監査の結果及び点検の結果を踏まえ、最高情報統括責任者は情報セキュリティポリシーの実効性を評価し、必要な部分を見直し、内容、時期について決定を行う。この決定に基づき、情報セキュリティポリシーの更新を実施する。

この基準は、平成17年4月1日から施行する。

(令和3年3月23日訓令第9号)

この基準は、公布の日から施行する。

(令和5年3月24日訓令第7号)

この規準は、令和5年4月1日から施行する。

(令和6年3月29日訓令第10号)

この規準は、令和6年4月1日から施行する。

画像画像

画像画像

画像画像

中川町情報セキュリティ対策規準

平成17年4月1日 要領第1号

(令和6年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第4節 情報の公開・保護等
沿革情報
平成17年4月1日 要領第1号
令和3年3月23日 訓令第9号
令和5年3月24日 訓令第7号
令和6年3月29日 訓令第10号