○八雲町住民基本台帳ネットワークシステムセキュリティ規程
平成22年3月15日
訓令第4号
八雲町住民基本台帳ネットワークシステム管理規程(平成17年八雲町訓令第14号)の全部を改正する。
目次
第1章 総則(第1条~第3条)
第2章 管理体制(第4条~第8条)
第3章 安全管理(第9条~第22条)
第4章 教育及び研修(第23条)
第5章 緊急体制(第24条)
第6章 委託管理(第25条~第28条)
第7章 その他(第29条・第30条)
附則
第1章 総則
(目的)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)に基づく住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係る安全性及び信頼性を確保するため、その正確性、機密性及び継続性を保ち、もって住民サービスの向上を図ることを目的とする。
(1) 本人確認情報 住民基本台帳法(昭和42年法律第81号)第30条の5第1項に規定する本人確認情報をいう。
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知を行うための電子計算機をいう。
(3) CS端末 コミュニケーションサーバに接続する端末機をいう。
(4) 操作者 CS端末を利用し、住基ネットにアクセスする権限を有する者をいう。
(5) 照合情報認証 指紋、手の静脈その他の個人を識別することができる生体情報を使用してアクセス権限を有する操作者であることを確認する認証方式をいう。
(6) アクセス管理 照合情報認証によるコミュニケーションサーバへの接続に係る管理方法をいう。
(7) 照合ID 照合情報認証を行う際に操作者を識別するために使用される符号をいう。
(8) 操作者ID 操作者に付与する一つの操作権限ごとに当該操作者に対して割り当てられた符号をいう。
(9) 情報資産 住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。
(適用範囲)
第3条 この訓令は、住基ネットの業務に従事する職員及び住基ネットのうち、本町が整備及び管理する情報資産に適用する。
第2章 管理体制
(セキュリティ統括責任者)
第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、別表第1に規定する者をもって充てる。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、別表第1に規定する者をもって充てる。
(セキュリティ責任者)
第6条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、別表第1に規定する者をもって充てる。
(セキュリティ会議)
第7条 住基ネットの適切な管理を推進し、緊急時における連絡体制の基礎組織として、セキュリティ会議(以下「会議」という。)を置く。
2 セキュリティ統括責任者は、会議を招集するとともに、議長を務める。
3 会議は、別表第1に規定する者のほか、次の者をもって組織する。
(1) 戸籍住民係長
(2) 落部支所社会係長
(3) 熊石総合支所戸籍保険係長
(4) 情報政策係長
4 会議は、次の事項を審議する。
(1) セキュリティ対策の決定及び見直し
(2) 緊急時計画に基づく対策
(3) セキュリティ対策の遵守状況確認
(4) 監査の実施
(5) 教育及び研修の実施
(6) 前各号に定めるもののほか、特に必要と認められる事項
5 議長は、前項各号のうち重要と認められる事項を審議するときは、八雲町個人情報保護審査会の意見を聴くものとする。
6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
7 会議の庶務は、住民生活課において処理する。
(関係部署に対する指示)
第8条 セキュリティ統括責任者は、会議の結果を踏まえ、関係部局の長に対して指示し、必要な措置を要請することができる。
第3章 安全管理
(入退室管理を行う室及びエリア)
第9条 次表に掲げる住民基本台帳ネットワークシステムの運用が行われる室又はエリアにおいて、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
室及びエリア | セキュリティ区分 | 入退室管理方法 |
住基ネットのデータ、セキュリティ情報等の保管室(以下「保管室」という。) | レベル2 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行い、その都度、鍵を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
業務端末の設置エリア | レベル1 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。 |
(入退室管理者)
第10条 入退室管理者は、別表第1に定める者をもって充てる。
2 入退室管理者は、前条に規定する室及びエリアについての入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し必要な措置をとらなければならない。
(入退室の許可)
第11条 保管室に入退室できる者は、入退室管理者から事前に指定された者及び保管室入退室申請書により入退室管理者から許可を受けた者とする。
2 入退室管理者は、保管室の入退室者を指定する場合は、直接、住基ネットの事務に従事している者のうち、必要最小限の者を指定するものとする。
(鍵の管理)
第12条 入退室管理者は、住基ネット機器類の鍵の管理を行う。
2 入退室管理者は、保管室について、入退室管理者の許可を得ている者に限り、鍵を貸与するものとする。
(管理簿の作成)
第13条 入退室管理者は、入退室管理簿を作成し、これを保存するものとする。
2 入退室管理者は、保管室について、鍵管理簿を作成し、これを保存するものとする。
(指示)
第14条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか入退室管理者に報告を求め、調査を行い、必要な指示を行うものとする。
(アクセス管理を行う機器)
第15条 次に掲げる住基ネットの機器構成について、アクセス管理を行う。
(1) コミュニケーションサーバ
(2) CS端末
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること、並びに操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第16条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、別表第1に規定する者をもって充てる。
(照合ID、照合情報及び操作者ID)
第17条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次の事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理法を定めること。
(3) 操作者IDの種類ごとの操作者について、住基ネットの部署のセキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第18条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第19条 アクセス管理責任者は、操作履歴について7年前までさかのぼって解析できるよう保管するものとする。
(情報資産管理)
第20条 情報資産について、管理責任者を置く。
(本人確認情報管理責任者)
第21条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び住民基本台帳カードの管理方法を定めるものとする。
(情報資産管理責任者)
第22条 情報資産管理責任者は、本町の当該情報資産の管理方法及び外部委託により庁舎外にサーバ等の機器を設置する場合には受託者に対して当該情報資産の管理方法を定め、実施させるものとする。
2 情報資産管理責任者は、住基ネットの運用計画を定めるものとする。
第4章 教育及び研修
(住基ネットの運用管理に対する教育及び研修の実施)
第23条 セキュリティ責任者は、住基ネットを運用する職員に対して、操作及びセキュリティ対策についての必要な知識や技術を習得させ、機密保持並びにシステムの安全を図るため、教育及び研修を行うものとする。
第5章 緊急体制
(緊急時対応計画書)
第24条 住基ネットは、電子計算機を介在し、すべての都道府県、市町村及び指定情報処理機関がネットワーク化されているものであり、緊急時の被害を最小限のものとするために、セキュリティ統括責任者は、別表第2に規定する緊急時対応計画書により、緊急時にはこれら機関と相互に密接な連絡、連携体制を図るものとする。
第6章 委託管理
(委託を受けようとする者の管理体制等の調査)
第25条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。
(外部委託の承認)
第26条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書の記載事項)
第27条 外部委託に係る契約書には、情報の保護に関し次の事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第28条 住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第7章 その他
(法令の遵守)
第29条 住基ネットを操作する者(以下「従事者」という。)及び従事者であった者は、法及び住基ネットに関連する他の法令を遵守する。
(その他)
第30条 この訓令に定めるもののほか、必要な事項は、別に定める。
附則
この訓令は、平成22年3月15日から施行する。
附則(平成26年5月30日訓令第10号)
この訓令は、平成26年6月1日から施行する。
附則(平成31年3月28日訓令第7号)
この訓令は、平成31年4月1日から施行する。
附則(令和4年5月27日訓令第12号)
この訓令は、令和4年5月27日から施行する。
別表第1(第4条~第7条、第10条、第16条、第20条関係)
責任者名 | 本庁 | 落部支所 | 熊石総合支所 |
セキュリティ統括責任者 | 副町長 |
|
|
システム管理者 | 住民生活課長 |
|
|
セキュリティ責任者 | 住民生活課長 | 支所長 | 住民サービス課長 |
入退室管理者(保管室) | 政策推進課長 |
|
|
入退室管理者(CS端末の設置場所) | 住民生活課長 | 支所長 | 住民サービス課長 |
アクセス管理責任者 | 住民生活課長 |
|
|
本人確認情報管理責任者 | 住民生活課長 | 支所長 | 住民サービス課長 |
情報資産管理責任者 | 政策推進課長 |
|
|
別表第2(第24条関係)
【緊急時対応計画書】
1 緊急(障害)時対策手順
手順1 障害の特定
各担当者は、障害の種類及び障害個所を特定する。サーバの障害による場合には、関係部署へ暫定的な対応を行うことを依頼する。
障害の種類とは、以下の3種類が想定される。
障害の種類 | 事象 |
ハードウェアの障害 | 故障 等 |
ソフトウェアの障害 | ウィルスの感染 バグ 等 |
ネットワークの障害 | 交換機の故障 構内回線切断 等 |
手順2 原因の究明
各担当者は、事前に定められた手順で原因を究明する。
障害の種類ごとの主な原因究明の手順例は、以下のとおりである。
障害の種類 | 手順例 |
ハードウェアの障害 | 電源スイッチ及びコンセントの確認 警告ランプの確認 形状異常の確認 等 |
ソフトウェアの障害 | バグ情報の確認 等 |
ネットワークの障害 | 電源スイッチ及びコンセントの確認 警告ランプの確認 コマンドによる確認 目視による確認 等 |
各担当者は、障害の特定及び原因の究明結果をシステム管理者に連絡する。
原因が不明の場合、システム管理者は、保守委託事業者に協力を要請し、原因究明を行う。
手順3 サーバの動作の確認
サーバが正常に動作するか確認をし、動作がない場合には、セキュリティ統括責任者にセキュリティ会議の開催を具申する。
手順4 セキュリティ会議
セキュリティ統括責任者は、事前に定められた連絡網を利用して、セキュリティ会議のメンバーを招集する。
セキュリティ統括責任者は、議長となって以下の項目について決定する。
関係機関への連絡 | 指定情報処理機関 都道府県主管課 関係市町村 等 |
技術的支援依頼 | 指定情報処理機関 保守委託事業者 等 |
緊急時体制の確立 | 役割分担の確認 指揮命令系統の確認 |
住民対応 | 来庁者への対応 ホームページ等での告知 問い合わせ対応 苦情処理 |
代替措置の実施 | あらかじめ、業務ごとにサーバが停止した場合の事務処理を検討しておき、実施する。 |
手順5 保守作業の実施
システム管理者は、必要に応じて保守委託事業者に対し、修理、修復、交換を依頼する。
手順6 運用の再開
システム管理者は、本人確認情報の整合性を確認し、修復した後、運用を再開する。
手順7 再発防止対策
再発の防止を行うためには、同様の原因で障害が起きないよう保守事業者及び委託事業者の協力を得て、技術面、運用面からの対策を検討する。
※ 緊急(障害)時対策手順イメージ図

2 緊急(不正行為)時の対応手順
手順1 状況の把握
各担当者は、本人確認情報に脅威を及ぼす恐れのある事象が発生したら、以下の項目を正確に把握し、システム管理者に伝える。
(1) いつ(時刻)
(2) どこで(場所)
(3) 何を(内容)
(4) どうした 等
手順2 緊急措置
システム管理者は、考え得る対応策のうち、住民サービスの停止等緊急に実施する必要性が高いものを直ちに着手する。必要に応じて保守委託事業者や指定情報処理機関の助言を得る。
手順3 本人確認情報に重大な脅威を及ぼす恐れがあるかの判断
システム管理者は、本人確認情報に重大な脅威を及ぼす恐れがあると判断した場合には、セキュリティ統括責任者にセキュリティ会議の開催を具申する。
手順4 セキュリティ会議
セキュリティ統括責任者は、事前に定められた連絡網を利用して、セキュリティ会議のメンバーを招集する。
セキュリティ統括責任者は、議長となって以下の項目について決定する。
(1) 関係機関への連絡
(2) 緊急時体制の確立
(3) 詳細な被害状況等の把握
(4) 住民対応
(5) 緊急措置の見直しの判断
(6) 指定情報処理機関への支援要請
(7) 広報
(8) 恒久対策の立案
手順5 原因の究明
被害情報、ログ確認、記録簿及び管理簿等を分析し、不正が行われた時期、場所、方法を究明する。必要に応じて、保守委託業者や指定情報処理機関からの支援を得る。
手順6 緊急措置の見直し
既に実施した緊急措置を見直し、アクセス権限の設定変更、住民サービスの停止解除等を実施する。必要に応じて、保守委託業者や指定情報処理機関からの支援を得る。
手順7 恒久対策の実施
セキュリティ会議を中心に立案した恒久対策を実施する。必要に応じて審議会等や監査を実施し、答申や監査報告書により、体制、規定等の整備等を見直す。
※ 緊急(不正行為)時の対応手順イメージ図
