○千曲市住民基本台帳ネットワークシステムのセキュリティ対策規程
平成15年9月1日
訓令第10号
(趣旨)
第1条 この規程は、千曲市電子計算機処理に係るシステム及びデータ保護管理規程(平成15年千曲市訓令第8号)に定めるもののほか、本市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係る本人確認情報(住民基本台帳法(昭和42年法律第81号)第30条の5第1項に規定する本人確認情報をいう。以下同じ。)等の住民基本台帳データ(以下「住基データ」という。)の保護並びにシステムの適正な管理及び運用に関し必要な事項を定めるものとする。
(1) 住基ネット 市が管理する既存住民基本台帳システム(住民基本台帳に関する事務を処理する電子計算組織をいう。以下「既存住基システム」という。)、コミュニケーションサーバ(本人確認情報を記録し、既存住基システムと長野県サーバ、他の市町村コミュニケーションサーバとデータ交換を行うためのコンピュータをいう。以下同じ。)、端末機、電気通信関係装置及びプログラム等により構成され、住民基本台帳法の規定に基づき、電気通信回線を通じて長野県知事又は他の市町村長に本人確認情報の通知等を行うためのシステムをいう。
(2) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の出入力装置をいう。
(3) 住基データ 住基ネットにおいて通知され、記録され、保存され、又は提供される本人確認情報等の情報をいう。
(4) ドキュメント システム設計書、プログラム説明書、操作説明書その他住基ネットに係る仕様書をいう。
(セキュリティ統括管理者)
第3条 住基ネットのセキュリティ(正確性、機密性及び継続性の維持をいう。以下同じ。)対策を総合的に実施するため、市民環境部長を、セキュリティ統括管理者(以下「管理者」という。)に充てる。
2 管理者は、住基ネットの管理運営上、住基データの保護が確保できないと認められる場合は、住民サービスの継続に優先して、住基データの保護のための必要な措置をとらなければならない。
3 管理者は、住基ネットの管理状況及びこれに関連する設備の状態について把握し、住基データの漏えいの防止及び正確性の維持を図り、住基ネットが適正に管理及び運用されるよう努めなければならない。
(セキュリティ責任者)
第4条 住基ネットの適正な管理及び運用を行うため、市民環境部市民課長を、セキュリティ責任者(以下「責任者」という。)に充てる。
2 責任者は、住基ネットについて、火災、盗難、その他の災害に備えて必要な保安措置を取らなければならない。事故が発生したときは、速やかに事故の経緯及び被害状況を調査し、管理者に報告しなければならない。
3 責任者は、住基データの漏えい、滅失及び毀損の防止とその他住基データの適正な管理のために必要な措置をとらなければならない。
4 責任者は、住基ネットの操作が行われる室に立ち入る場合の管理に関し、必要な措置をとらなければならない。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、市民環境部市民課長をシステム管理者に充てる。
2 システム管理者は、住基ネットに事故が発生したときは、事故の状況を調査し、管理者に報告しなければならない。
3 システム管理者は、電気的及び機械的障害等の発生を防止し、検知するため並びにこれらの障害が発生した場合の対策を図るため、関連設備の整備について必要な措置を講じなければならない。
(アクセス管理責任者)
第6条 次に掲げる住基ネットの構成機器について、アクセス管理を行うため、市民環境部市民課長をアクセス管理責任者に充てる。
(1) コミュニケーションサーバ
(2) 端末機
2 前項のアクセス管理は、操作者認証装置(住基ネットの業務アプリケーションを起動するときに、操作者が本人であるかどうかを生体認証その他の確実な方法により識別できる装置をいう。以下同じ。)により取扱職員の正当な権限を確認すること及び操作履歴を記録することにより行わなければならない。
(本人確認情報管理責任者)
第7条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク)の適切な管理を行うため、市民環境部市民課長を本人確認情報管理責任者に充てる。
2 本人確認情報管理責任者は、本人確認情報の漏えい、滅失及び毀損の防止その他の本人確認情報の適切な管理のために必要な措置を講じなければならない。
3 本人確認情報管理責任者は、本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード、個人番号カード及び返納又は返戻された通知カード並びに当該本人確認情報以外の情報資産の管理方法を定めるものとする。
(データ取扱職員)
第8条 住基ネットの操作をするため、データ取扱職員(以下「取扱職員」という。)を置く。
2 取扱職員は、管理者が企画政策部長と協議の上、指名する。
(セキュリティ会議)
第9条 住基ネットのセキュリティ対策及び適正な管理を推進するため、住基ネットセキュリティ会議(以下「会議」という。)を置く。
2 会議は、管理者、責任者及び管理者が必要と認める者をもって組織する。
3 会議は、管理者が必要に応じて、開催するものとする。
4 会議の庶務は、市民環境部市民課が行う。
(教育及び研修)
第10条 管理者は、プライバシー保護に関する意識の高揚と住基ネットのセキュリティ対策の推進を図るため、職員に対して計画的に教育及び研修を行わなければならない。
(緊急時の体制)
第11条 管理者は、住基ネットの全部又は一部が停止した場合及び住基データの漏えい又は漏えいのおそれがあると認める場合の緊急時対応計画を作成するものとする。
(通信制御)
第12条 管理者は、コンピュータヘの不正侵入に対して住基ネット及び既存住基システムを保護するため、電気通信回線は専用回線を使用するとともに、システムの必要な部分にはファイアーウォール(不正侵入防止装置)を設置し、通信制御を行わなければならない。
2 責任者は、住基ネットでの通信について、通信相手相互の認証を行うとともに、送受信する住基データの暗号化を行わなければならない。この場合において、必要な耐タンパー装置(暗号化装置)をコミュニケーションサーバに搭載することにより秘密鍵(住基データの暗号化及び住基ネットを利用する者の認証に用いる一般に公開されていない情報をいう。)を厳重に保護し、外部に漏えいすることを防止するための措置をとらなければならない。
(端末機操作の管理)
第13条 取扱職員は、住基データを住基ネット関連業務及び責任者が認める業務に必要な場合以外は、検索してはならない。
2 責任者は、端末機の使用状況を定期的に把握しなければならない。
3 責任者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、管理者に報告しなければならない。
4 責任者は、端末機には、複数回のアクセスの失敗に対して強制的に終了する機能を設けなければならない。
(操作者認証装置の管理)
第14条 責任者は、操作者認証装置の管理について、必要な措置をとらなければならない。
2 取扱職員は、操作者認証装置の管理方法を遵守しなければならない。
(磁気ファイルの利用制限)
第15条 責任者は、取扱職員ごとに利用可能な磁気ファイル(磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されている住基データ及びプログラムをいう。)を設定する等、磁気ファイルの利用に関して厳重な管理をしなければならない。
2 責任者は、特別な理由がある場合を除き、磁気ファイルの貸出しや複製を認めてはならない。
(磁気ディスクの管理)
第16条 責任者は、磁気ディスクの毀損、滅失、改ざん、漏えい等が生じないよう、次による対策をとり、適切に管理しなければならない。
(1) 保管施設を設ける等安全を確保するとともに、その使用に関して厳重な管理をすること。
(2) 保全性(記録されている内容が保たれていること。)を確保すること。
(3) 機密性(記録されている内容が改ざん又は漏えいされていないこと。)を確保すること。
(4) 磁気ディスクは、一定の周期で更新すること。
2 責任者は、磁気ディスクを廃棄する場合には、記録内容を消去した上で、破砕等の復元できない方法により処分しなければならない。
(構成機器の管理)
第17条 責任者は、住基ネットを構成する機器について、次の各号により適正に管理しなければならない。
(1) 利用するハードウェア、ソフトウェア及び磁気ディスクの種類、数量、配置等を記録管理すること。また、住基ネットに関係のないハードウェア、ソフトウェア及び磁気ディスクを使用させないこと。
(2) 構成機器及び関連施設の保守を定期に又は随時に実施すること。
(3) コンピュータウィルス等の不正プログラムが混入され稼動していないかを監視し、混入されていた場合には駆除すること及び被害の再発を防止するため、原因を分析し、再発防止対策をとること。
2 責任者は、機器の故障等により廃棄又は修理をする場合、その機器に存在する情報が第三者に入手されることを防ぐ措置をとらなければならない。
(住基データ、プログラム、ドキュメント等の管理)
第18条 責任者は、住基データ及びプログラムの出力帳票並びにドキュメントを次の各号により適正に管理しなければならない。
(1) 保管施設を設ける等これらの安全を確保するとともに、その使用に関して厳重な管理をすること。
(2) 受渡し及び保管に関し必要な事項を記録すること。
2 住基データ及びプログラムの出力帳票並びにドキュメントを廃棄する場合は、裁断又は焼却等の復元できない方法により処分しなければならない。
(障害時等の対応)
第19条 責任者は、住基ネットに係る障害に備えて、次の各号による措置をとらなければならない。
(1) 重要な機器については、リカバリーサーバ(代替機能を有するコンピュータをいう。)を設置すること。
(2) プログラムは、他の磁気ディスクに複製すること。
(運用計画)
第20条 責任者は、住基ネットの運用時間、処理の種類及び内容等について、関係機関と連携を図り定めるものとする。
(その他)
第21条 住基ネットを使用した住民基本台帳に関する事務の処理については、法律又はこれに基づく政令、省令及び住民基本台帳事務処理要領(昭和42年自治振第150号)に定めるところによるほか、必要な事項は、市長が別に定める。
附則
この規程は、平成15年9月1日から施行する。
附則(平成24年3月6日訓令第2号)
この規程は、平成24年4月1日から施行する。
附則(平成26年5月30日訓令第3号)
この訓令は、平成26年6月1日から施行する。
附則(平成28年8月22日訓令第5号)
この訓令は、平成28年8月22日から施行する。
附則(平成29年10月11日訓令第5号)
この訓令は、平成29年10月11日から施行する。
附則(平成31年3月27日訓令第2号)
この訓令は、平成31年4月1日から施行する。