○芦別市国税連携ネットワークシステムセキュリティ対策に関する規程
平成23年8月1日
訓令第8号
(趣旨)
第1条 この訓令は、本市の国税連携ネットワークシステム(以下「システム」という。)のセキュリティ対策について、必要な事項を定めるものとする。
(定義)
第2条 この訓令で使用する用語の意義は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成22年総務省告示第284号)(以下「技術基準」という。)で使用する用語の例による。
(セキュリティ統括責任者)
第3条 システムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充てる。
(システム管理者)
第4条 システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務防災課長をもって充てる。
3 システム管理者は、システムの構成機器及び関連機器を設置する建物等の管理をあわせて行うものとする。
4 システム管理者は、システムのセキュリティ対策についての教育及び研修をあわせて行うものとする。
(令4訓令2・一部改正)
(セキュリティ責任者)
第5条 システムを利用する税務課においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、税務課長をもって充てる。
(アクセス管理を行う機器)
第6条 次に掲げるシステムの構成機器について、アクセス管理を行う。
(1) サーバ
(2) 業務端末機
2 アクセス管理は、パスワードの入力により操作する者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
2 アクセス管理責任者は、総務防災課長をもって充てる。
(令4訓令2・一部改正)
(パスワードの管理)
第8条 アクセス管理責任者は、パスワードの管理に関し、次に掲げる事項を実施するものとする。
(1) パスワードの管理方法を定めること。
(2) 操作者の管理簿を作成すること。
(操作者の責務)
第9条 操作者は、前条第1号の規定により定めるパスワードの管理方法を遵守しなければならない。
(操作履歴の記録)
第10条 アクセス管理責任者は、操作履歴を過去5年間さかのぼって解析できるよう、保管しなければならない。
(オペレーティングシステムの管理)
第11条 アクセス管理責任者は、システムに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施するものとする。
(情報資産管理)
第12条 システムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク(以下「情報資産」という。)を適正に管理するため管理責任者を置く。
2 情報資産のうち、税務情報及び当該税務情報が記録されたサーバに係る帳票(以下「税務情報」という。)の管理責任者(以下「税務情報管理責任者」という。)は税務課長をもって充て、これ以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は総務防災課長をもって充てる。
(令4訓令2・一部改正)
(税務情報管理責任者)
第13条 税務情報管理責任者は、当該税務情報を取り扱うことができる者を指定するものとする。
2 税務情報管理責任者は、税務情報の漏えい、滅失及びき損の防止その他税務情報の適切な管理のために必要な措置を講じなければならない。
3 税務情報管理責任者は、税務情報が記録されたサーバに係る帳票の管理の方法を定めるものとする。
(情報資産管理責任者)
第14条 情報資産管理責任者は、当該情報資産の管理の方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、関係課長等と協議して、システムの運用計画を定めるものとする。
(セキュリティ会議)
第15条 セキュリティ統括責任者は、セキュリティ会議を設け、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) アクセス管理責任者
(4) 税務情報管理責任者
3 セキュリティ会議は、次に掲げる事項を所掌し、審議する。
(1) システムのセキュリティ対策の決定及び見直しに関すること。
(2) システムのセキュリティ対策の遵守状況の確認に関すること。
(3) 緊急時の対応に関すること。
(4) 監査の実施に関すること。
(5) 教育・研修の実施に関すること。
4 前項第3号の事項を審議した場合は、その決定した内容を市長に報告するものとする。
5 議長は、必要と認められるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、議長の命をうけて税務課において処理する。
(緊急時の対応)
第16条 システム管理者及びアクセス管理責任者は、システムのセキュリティを侵犯する不正行為(以下「不正行為」という。)が行われた可能性が高いと認めるときは、北海道のシステム担当部署に通報し、かつ、地方税法施行規則(昭和29年総理府令第23号)第2条の4に規定する総務大臣に指定された法人(以下「指定法人」という。)において状況を把握し報告するよう要請しなければならない。
2 システム管理者等は、前条の報告を受けたときは、指定法人、関係する都道府県及び市区町村のシステム担当部署、指定法人の承認を受けた登録委託先事業者等(以下「指定法人等」という。)の協力を求め、運用監視の強化、原因解明作業、対応策の実施作業等(以下「緊急措置」という。)を実施しなければならない。
3 システム管理者等は、別表に定める不正行為の脅威度(以下「脅威度」という。)のレベル2に該当する不正行為が行われた可能性が高いと認めるとき、又は指定法人等において税務情報の保護に関する重大なぜい弱性が発見されたときは、必要に応じて、システムの全部若しくは一部停止又は一部切離し(以下「システムの停止等」という。)を行うものとする。
4 システム管理者等は、指定法人、他の地方公共団体等において緊急措置及びシステムの停止等を講ずる必要があると認めるときは、当該団体にその実施を要請するものとする。
(不正行為確認後の対応)
第17条 システム管理者等は、不正行為が行われたことを認めたときは、指定法人等の協力を求め、当該不正行為について脅威度を判定し、及び当該不正行為が発生した原因を解明しなければならない。
(原因解明後の対応等)
第18条 システム管理者等は、前条の規定により解明した原因に基づき、次の対応を行わなければならない。
(1) 既に実施した緊急措置及びシステムの停止等を見直し、必要に応じてシステムの復旧等を行うこと。
(2) 当該不正行為を防止するための恒久的な対策を行うこと。
(委託を受けようとする者の管理体制等の調査)
第19条 システム管理者又はセキュリティ責任者は、業務の一部について外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(委託契約書への記載事項)
第20条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 情報が記録された資料の保管、返還及び破棄に関する事項
(2) 情報が記録された資料の目的外使用及び複製並びに複写及び第三者への提供の禁止に関する事項
(3) 情報の秘密保持に関する事項
(4) 事故等の報告に関する事項
(5) 技術基準に適合したセキュリティ対策を実施する事項
(6) システムに係る業務のほか、電子申告の審査サーバの運営又は年金特徴に係る業務を行う場合には、当該業務についての基準と同様のセキュリティ対策を実施する事項
(7) 定期に、指定法人の監査を受ける事項
(8) 指定法人による監査の結果、業務の実施に必要な電気通信回線その他電気通信設備を有せず、又は技術基準に適合したセキュリティ対策が実施されていないと認められた場合には、委託契約を解除することができる事項
(9) 再委託を行う場合には、事前申請及び承認を求める事項
(10) その他情報の保護に関し必要と認める事項
(受託者の管理状況の調査)
第21条 システムを管理し、又は利用する部署の長は、必要に応じ、当該受託者における受託業務に係るセキュリティ対策の実施状況について調査するものとする。
附則
この訓令は、平成23年8月1日から施行する。
附則(令和4年3月31日訓令第2号)
(施行期日)
1 この訓令は、令和4年4月1日から施行する。
(辞令交付の特例)
2 この訓令の施行の際現に次の表の左欄に掲げる課係の職員である者は、別に辞令を発せられない限り、同一の勤務条件をもってそれぞれ引き続き当該右欄に掲げる課係の職員になるものとする。
総務部総務課 | 総務部総務防災課 |
総務部危機対策課 | |
総務部総務課総務係 | 総務部総務防災課総務係 |
総務部総務課法制係 | |
総務部総務課職員係 | 総務部総務防災課職員係 |
総務部危機対策課危機対策係 | 総務部総務防災課危機対策係 |
総務部行革・ふるさと納税推進課 | 総務部行革推進課 |
総務部行革・ふるさと納税推進課デジタル化推進係 | 総務部行革推進課行革・デジタル化推進係 |
別表(第16条、第17条、第18条関係)
不正行為の脅威度
脅威度 | 事象 |
レベル2 (税務情報に脅威を及ぼすおそれの高い事象) | (1) 税務情報が記録されている磁気ディスク、本人確認情報を保護するうえで重要なソフトウェア、文書データ等への無権限者による不正アクセスの検出 (2) ファイアウォールを通過した不正アクセスの検出 (3) 業務端末機等の不審な操作の検出 (4) コンピュータウイルス等の侵入によるシステムの異常動作 |
レベル1 (税務情報に脅威を及ぼすおそれの低い事象) | (1) システムに関係があるが、税務情報が記録されていない磁気ディスク及び税務情報の保護とは関係がないソフトウェア、文書データ等への無権限者による不正アクセスの検出 (2) ファイアウォールを通過しなかった不正アクセスの検出 (3) コンピュータウイルス等の検出 |