○久御山町住民基本台帳ネットワークシステム運用管理規程
平成14年8月5日
訓令第3号
目次
第1章 総則(第1条)
第2章 体制の整備(第2条―第9条)
第3章 入退室管理(第10条―第14条)
第4章 アクセス管理(第15条―第20条の2)
第5章 情報資産管理(第21条―第30条)
第6章 委託管理(第31条―第34条)
第7章 緊急時対応計画(第35条)
附則
第1章 総則
(目的)
第1条 この規程は、久御山町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するとともに、適切な運用及び維持管理を図ることを目的とする。
第2章 体制の整備
(セキュリティ統括責任者)
第2条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(セキュリティ副統括責任者)
第3条 セキュリティ統括責任者を補佐するとともに、システム管理及び情報保護管理に関する事項を総括するため、セキュリティ副統括責任者を置く。
2 セキュリティ副統括責任者は、総務部長及び民生部長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、企画財政課長をもって充てる。
(情報保護管理者)
第5条 住基ネットを利用する所属においてセキュリティ対策を実施するため、情報保護管理者を置く。
2 情報保護管理者は、住民課長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次の各号に掲げる者をもって組織する。
(1) セキュリティ副統括責任者
(2) システム管理者
(3) 情報保護管理者
(4) その他セキュリティ統括責任者が審議に必要と認めた者
3 セキュリティ会議は、次の各号に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施方針
(4) 教育・研修の実施方針
4 議長は、前項のうち重要と認められる事項を審議するときは、久御山町情報公開・個人情報保護審査会の意見を聴くものとする。
5 議長は、住基ネットに係る障害又は不正行為が発生した場合に、緊急時対応計画に基づき、システム管理者から要請があったときは、セキュリティ会議を開催し、必要な事項を決定する。
6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
7 セキュリティ会議の庶務は、企画財政課において処理する。
(関係所属に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係所属の長に対して指示し、又は行政委員会に対して必要な措置を要請することができる。
(監査体制)
第8条 システム管理者は、住基ネットのセキュリティを確保するために、定期又は必要に応じて、内部監査を受けることとする。
2 監査を行った者は、監査報告書を作成し、セキュリティ統括責任者に報告を行うとともに、必要に応じ問題点の指摘及び改善勧告を行う。
3 システム管理者は、監査報告書の結果を受けて、必要に応じ改善計画書を作成する。
(教育・研修)
第9条 システム管理者及び情報保護管理者は、住基ネットに携わる職員に対して、住基ネットの操作及びセキュリティ対策に関する教育・研修を行う。
2 システム管理者及び情報保護管理者は、対象者、内容、実施時期等を盛り込んだ計画書の作成を行う。
第3章 入退室管理
(入退室管理を行う室又は場所)
第10条 次に掲げる住基ネットの運用が行われる室又は場所において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。
セキュリティ区分 | 室又は場所 |
レベル2 | 住基ネットのデータ、セキュリティ情報等の保管室(ネットワーク機器室) |
サーバ、ネットワーク機器の設置室(ネットワーク機器室) | |
レベル1 | 業務端末の設置室(住民課) |
2 それぞれのセキュリティ区分に応じた、入退室管理の方法は、次のとおりとする。
セキュリティ区分 | 入退室管理の方法 |
レベル2 | 入退室を行う場合には、システム管理者から事前に許可を得ている者のみが入退室の都度、システム管理者から入退室管理カードを受領して入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル1 | 業務端末の設置場所へ立ち入る場合には、情報保護管理者から事前に許可された者のみが立ち入りを行う。識別を行うために、立ち入り者には、名札の着用を義務付ける。 |
(入退室管理カードの管理)
第12条 レベル2のセキュリティ区分に係る室の入退室管理カードの管理は、システム管理者が行う。
2 システム管理者は、レベル2のセキュリティ区分に係る室については、入退室の許可を与えた者に限り、入室の都度、入退室管理カードを貸与するものとする。
3 入室した者が退室したときは、直ちに入退室管理カードをシステム管理者に返却しなければならない。
(入退室管理簿の作成)
第13条 システム管理者は、レベル2のセキュリティ区分に係る室については、入退室管理簿及び入退室管理カードの管理簿を作成し、入退室者に記入させるとともに、これを7年間保存するものとする。
(指示)
第14条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、システム管理者及び情報保護管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第15条 次の各号に掲げる住基ネットの構成機器について、アクセス管理を行う。
(1) コミュニケーションサーバ(以下「CS」という。)
(2) 業務端末
(3) 住民基本台帳カード発行端末
2 前項のアクセス管理は、操作者用ICカード、パスワード及びオペレーティングシステムにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第16条 アクセス管理を行う者は、次のとおりとする。
区分 | 操作者用ICカード及びパスワード | オペレーティングシステム | 操作履歴 | 通信履歴 |
CS | システム管理者 | 同左 | 同左 | 同左 |
業務端末 | 情報保護管理者 | システム管理者 | 同左 | 同左 |
住民基本台帳カード発行端末 | 情報保護管理者 | システム管理者 | 同左 | 同左 |
(操作者用ICカードの管理)
第17条 システム管理者は、住基ネットを操作する者の業務に応じて、パスワードを付与した操作者用ICカードを貸与する。
2 システム管理者はCSの操作者用ICカードを、情報保護管理者は業務端末の操作者用ICカードを保管する。保管は、施錠により行う。
3 システム管理者は、CSの操作者用ICカードを、業務の処理に必要がある場合に限り、業務処理の都度、CSの操作者(企画財政課財政デジタル推進係の職員、CS等の保守点検業者の社員、その他の住基ネットの業務に必要な者で、かつ、システム管理者が承認した者に限る。)に貸与することができる。この場合において、貸与するCSの操作者用ICカードは、承認した者1名につき1枚とする。
4 システム管理者又はCSの操作者以外の者は、CSを操作してはならない。
5 システム管理者は、情報保護管理者に対して、業務端末の操作者用ICカードを貸与する。
6 情報保護管理者は、業務端末の操作者用ICカードを、業務の処理に必要がある場合に限り、業務処理の都度、業務端末の操作者(住民課の職員、業務端末等の保守点検業者の社員、その他の住基ネットの業務に必要な者で、かつ、システム管理者が承認した者に限る。)に貸与することができる。
7 CS及び業務端末の操作者は、使用の都度、システム管理者又は情報保護管理者から操作者用ICカードを借り受け、業務終了後直ちにこれらの者に返却する。
8 情報保護管理者又は業務端末の操作者以外の者は、業務端末を操作してはならない。
9 情報保護管理者は、業務端末の操作者名簿を作成し、速やかにシステム管理者に提出しなければならない。人事異動、組織変更、業務変更等により情報保護管理者、業務端末の操作者など同名簿に変更があったときも同様とする。
10 システム管理者及びCSの操作者並びに情報保護管理者及び業務端末の操作者は、操作者用ICカードに関し、次の各号に掲げる事項を実施する。
(1) 操作者用ICカードを業務の処理以外に使用してはならない。
(2) 操作者用ICカードの紛失若しくはき損をおこさないよう、又は盗難若しくは詐取にあわないよう、高度の注意をもって管理する。
(3) 操作者用ICカードを紛失若しくはき損した場合又は盗難若しくは詐取にあった場合は、直ちにシステム管理者に報告する。
11 システム管理者は、操作者用ICカードの紛失等の届出を受けた場合は、直ちに失効の手続きを取らなければならない。
12 CS及び業務端末の操作者は、離席するときに、操作者用ICカードをCS及び業務端末から抜き取るものとする。
13 CS及び業務端末の操作者は、操作者用ICカードを他者に貸与又は譲渡してはならない。
14 システム管理者は、CSの操作者用ICカードの利用に関する検査を随時行う。
15 情報保護管理者は、業務端末の操作者用ICカードの利用に関する検査を随時行う。
16 前項の検査は、システム管理者が行うこともできる。この場合には、情報保護管理者は協力しなければならない。
17 システム管理者及び情報保護管理者は、操作者用ICカードの管理簿を作成し、業務処理の都度、CS及び業務端末の操作者に記入させるとともに、これを7年間保存する。
18 システム管理者及び情報保護管理者は、操作者用ICカードの管理をあらかじめ指定した職にある者に補助執行させることができる。
(パスワードの管理)
第18条 システム管理者は、CS及び業務端末の操作者用ICカードに係るパスワードを適正に管理するため、次の各号に掲げる事項を実施する。
(1) パスワードの有効期限を設ける。
(2) パスワードの最低桁数を8桁とする。
(3) 業務に利用する同一のユーザ名においてパスワードを3回間違えた場合には、ロックアウト(無効)になるよう設定する。
2 情報保護管理者並びにCS及び業務端末の操作者は、CS及び業務端末の操作者用ICカードに係るパスワードを適正に管理するため、次の各号に掲げる事項を実施する。
(1) パスワードについて、権限を与えられた者以外への漏洩を防止する手段を講じるとともに、第三者が知り得る状態においてはならない。
(2) パスワードを定期的又は必要に応じて変更しなければならない。
(3) パスワードに規則性のある番号又は推測可能なものを用いてはならない。
(システム管理者及び情報保護管理者の責務)
第19条 システム管理者及び情報保護管理者は、CS及び業務端末の操作者を含む本人確認情報を取り扱う者に対し、本人確認情報の安全確保措置、本人確認情報に関する秘密及び本人確認情報の電子計算機処理に関する秘密の保持義務、本人確認情報の業務外利用・提供の禁止その他この規程に定めるセキュリティの確保並びに適切な運用を図るための事項について指導し、遵守させなければならない。
(操作履歴の記録)
第20条 システム管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第20条の2 システム管理者は、第15条第1項第1号から第3号に掲げる機器のオペレーティングシステムについて、起動のためのユーザ名及びパスワードを情報保護管理者並びに業務上必要最少限の住基ネットを操作する者に付与する。
2 システム管理者は、住基ネットを操作する者の権限について、定期的又は必要に応じて見直しを行い、適正に権限の付与を行わなければならない。
3 システム管理者は、オペレーティングシステムに係るパスワードを適正に管理するため、次の各号に掲げる事項を実施する。
(1) パスワードの有効期限を設ける。
(2) パスワードの最低桁数を8桁とする。
(3) 業務に利用する同一のユーザ名においてパスワードを3回間違えた場合には、ロックアウト(無効)になるよう設定する。
(4) 初期設定されているパスワードについて、速やかに変更する。
(5) 情報保護管理者及び住基ネットを操作する者に設定した仮パスワードについては、最初のログオン時点で変更させるよう周知する。
4 情報保護管理者及び住基ネットを操作する者は、第15条第1項第1号から第3号に掲げる機器のオペレーティングシステムに係るパスワードを適正に管理するため、次の各号に掲げる事項を実施する。
(1) パスワードについて、権限を与えられた者以外への漏えいを防止する手段を講じるとともに、第三者が知り得る状態においてはならない。
(2) パスワードを定期的又は必要に応じて変更しなければならない。
(3) パスワードに規則性のある番号又は推測可能なものを用いてはならない。
5 システム管理者は、定期的又は必要に応じてイベントログ等の履歴を確認し、適切に運用が実施されているか管理を行う。
6 システム管理者は、ログオンの履歴を記録し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。
第5章 情報資産管理
(情報資産の管理)
第21条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の管理は、次の区分により定める者が行う。
情報資産の区分 | 管理責任者 |
本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カード | 情報保護管理者 |
上記以外の情報資産 | システム管理者 |
2 システム管理者及び情報保護管理者は、情報資産の管理をあらかじめ指定した職にある者に補助執行させることができる。
3 システム管埋者は、情報資産の構成を明確化するほか、それぞれの情報資産に関し、次の各号に掲げる管理を行うとともに、情報資産管理簿を作成し、情報資産の導入、移設及び廃棄等の異動処理に伴う変更履歴を記録する。
(1) 情報資産の障害に関すること。
(2) 情報資産の保守に関すること。
(3) 情報資産の性能に関すること。
4 システム管理者は、住基ネットに係るハードウェアにインストールされたソフトウェアの導入状況を記載した台帳を作成するとともに、必要に応じてインストール状況の確認を行い、不要なソフトウェアがある場合には、削除する。
(本人確認情報等の管理)
第22条 情報保護管理者、業務端末の操作者、その他本人確認情報を取り扱う者は、住民基本台帳法(昭和42年法律第81号)に定められた業務の遂行にのみ本人確認情報を利用し、これ以外に本人確認情報を利用してはならない。
2 システム管理者、CSの操作者、情報保護管理者、業務端末の操作者、その他本人確認情報を取り扱う者は、本人確認情報に関する秘密及び住基ネットのセキュリティに関する技術情報、パスワード、具体的な運用方法、マニュアル等本人確認情報の電子計算機処理に関する秘密を漏らしてはならない。事務に従事しなくなった者及び退職した者についても同様とする。
3 システム管理者、CSの操作者、情報保護管理者、業務端末の操作者、その他本人確認情報を取り扱う者は、本人確認情報の漏えい、滅失及びき損の防止その他の本人確認情報の適切な管理を行うために必要な措置をとらなければならない。
4 システム管理者、CSの操作者、情報保護管理者、業務端末の操作者、その他本人確認情報を取り扱う者は、本人確認情報が記録されている電子媒体及び帳票を適正に管理し又は廃棄しなければならない。特に、電子媒体は初期化してから廃棄するとともに、帳票は鍵のかかる場所、その他十分管理できる場所に保管し、裁断、焼却等により廃棄するものとする。
5 情報保護管理者及び業務端末の操作者は、業務上必要のない本人確認情報を検索・表示・保存・印刷(ハードコピーを含む。)を行ってはならない。
6 情報保護管理者及び業務端末の操作者は、業務上の検索・抽出を行う場合には、事前に検索・抽出要件を明確にしなければならない。
7 情報保護管理者及び業務端末の操作者は、長時間にわたり本人確認情報をディスプレイに表示したままの状態にしてはならない。
8 情報保護管理者及び業務端末の操作者は、業務端末のディスプレイ及び出力帳票等が、窓口に来庁している住民から見えないよう努めるものとする。
9 情報保護管理者及び業務端末の操作者は、窓口でのデータ入力に際して、周囲に住民等がいるときは、住民票コード等を口に出さないよう努めるものとする。
(住民基本台帳カードの管理)
第22条の2 情報保護管理者は、住民基本台帳カードの保管及び管理については、別に定める様式に記録するとともに、施錠のできる書庫等に保管し、紛失及び盗難を防止する措置を講じなければならない。
2 情報保護管理者は、住民基本台帳カードを廃棄する場合は、次によるものとする。
(1) 廃棄する住民基本台帳カードは、セキュリティ確保のため、速やかに廃棄する。
(2) 廃棄するまでの間は、紛失及び盗難を防止するため、廃棄する住民基本台帳カードを厳重に保管する。
(3) 廃棄する住民基本台帳カードは、焼却、溶解、裁断等により券面印刷の内容が判読できないようにし、かつ、ICチップ内の情報の読み出し及びICチップのハードウェア構造分析等を防ぐために、ICチップを物理的に破壊する。
(住民基本台帳カード関連の機器及び情報の管理)
第22条の3 情報保護管理者は、住民基本台帳カード発行端末を権限の与えられた者以外が操作することがないよう、またカードプリンタより出力された住民基本台帳カードが盗難されないよう必要な対策を講じなければならない。
2 情報保護管理者は、輸送鍵が第三者に漏えいしないよう厳重に管理するとともに、輸送鍵が不正に使用された場合や住民基本台帳カード輸送途中に盗難が発生した場合等にあっては、直ちに輸送鍵を変更しなければならない。
3 情報保護管理者は、住民基本台帳カード交付に当たり、次の各号に掲げる措置を講じる。
(1) 印刷された住民基本台帳カードの券面が、交付申請者以外から見えないように必要な対策を講じる。
(2) 顔写真は、カード発行端末又はCS端末より取り込みを行う。
(3) デジタルカメラなどで顔写真を撮影した場合で顔写真データを端末に保存したときは、登録又は申請取消後、速やかに削除する。
(4) 電子ファイルでの顔写真の受領は行わない。
4 情報保護管理者は、住民基本台帳カードに関する帳票について、別に定める方法により管理する。
(業務端末の操作時間)
第23条 業務端末の操作時間は、原則として、休日(久御山町の休日を定める条例(平成2年久御山町条例第20号)第1条各号に規定する休日をいう。)を除く毎日午前8時30分から午後5時15分までとする。
(ハードウェアの管理)
第24条 システム管理者及び情報保護管理者は、ハードウェアの管理に関して次に掲げる対策を行う。
| 必要な対策 |
障害に関すること | ○システム管理者は、京都府、ハードウェアメーカ等との連絡網を整備し、障害が発生した場合の対応手順を整備する。 ○システム管理者は、情報保護管理者及び業務端末の操作者に対して、障害防止策及び対応手順を周知徹底する。 ○システム管理者は、障害が発生した場合には、障害状況の把握及び障害対応を行う。重大な障害については、緊急時対応計画書に基づいて対応する。 ○システム管理者は、障害が発生しないよう防止対策を講じるとともに、対策が適正に実施されているか確認を行う。 ○情報保護管理者は、業務端末に係る障害が発生した場合には、直ちにシステム管理者に障害の状況を報告し、システム管理者の指示に従う。 |
保守に関すること | ○システム管理者は、保守対象機器を明確にし、保守対象機器については、継続して機器が使用できるように必要な措置を講じる。 ○システム管理者は、保守の時期及び保守内容について、ハードウェアの機能、使用頻度を勘案し決定する。 ○システム管理者は、保守作業実施時において、データの抹消、漏えい等が発生しないよう防止策を講じる。 ○システム管理者は、保守作業の結果について必ず報告することを保守点検業者に義務づける。 |
性能に関すること | ○システム管理者は、ハードウェアの利用状況を定期的に分析し、分析結果に基づきハードウェアの適正な設置を図るとともに、ハードウェアの導入を計画的に行う。 ○システム管理者は、ハードウェアの能力をピーク時に対処できるものとするが、運用で対応する方策も併せて実施し、機器の導入が過剰とならないよう配慮する。 |
(ソフトウェアの管理)
第25条 システム管理者及び情報保護管理者等は、ソフトウェアの管理に関して次に掲げる対策を行う。
| 必要な対策 |
障害に関すること | ○システム管理者は、CS等のソフトウェアにバグを発見した場合は、直ちに京都府及び指定情報処理機関にバグの状況を報告し、その指示に従う。 ○情報保護管理者は、業務端末のソフトウェアにバグを発見した場合は、直ちにシステム管理者にバグの状況を報告し、その指示に従う。 ○システム管理者は、CS等がコンピュータウイルスに感染した場合は、直ちに当該CSをネットワークから切り離す等の措置を講じるとともに、被害状況を京都府及び指定情報処理機関に報告し、その指示に従う。 ○情報保護管理者は、業務端末がコンピュータウイルスに感染した場合は、直ちに当該業務端末をネットワークから切り離す等の措置を講じるとともに、被害状況をシステム管理者に報告し、その指示に従う。 ○重大な障害については、緊急時対応計画書に基づいて対応する。 |
保守に関すること | ○ソフトウェア(個別調達機器のソフトウェアを除く。)のバージョン管理について、情報保護管理者はシステム管理者、システム管理者は指定情報処理機関の指示に従い実施する。許可なくバージョンアップを行ったり、指示に従わずバージョンアップ作業を怠ってはならない。 ○システム管理者は、不測事態、障害対応に備えて適切にソフトウェアのバックアップを行う。 ○システム管理者は、業務内容及び処理形態に応じて、バックアップの範囲、記録する磁気ディスク、保管方法を定める。 ○システム管理者は、バックアップしたソフトウェアと運用中のソフトウェアの整合性・同期性に配慮する。 ○システム管理者は、バックアップ及びリカバリ方法について、システムの変更の都度見直しを行う。 |
性能に関すること | ○システム管理者は、「指定情報処理機関一括調達ソフト」、「業務アプリケーション」及び「その他指定情報処理機関が指示するソフトウェア」以外に、住基ネットで使用するソフトウェアについて性能管理を行う。 ○システム管理者は、CS等に独自で開発又は購入するソフトウェアを導入する場合は、事前に性能に関する調査を行い導入の是非を検討する。 ○何人も、CS及び業務端末に、住基ネットの管理及び運用に必要なソフトウェア以外のソフトウェアを導入してはならない。 |
(ネットワークの管理)
第26条 システム管理者等は、全国ネットワークを除くネットワークの管理に関して次に掲げる対策を行う。
| 必要な対策 |
障害に関すること | ○システム管理者は、ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止、障害範囲拡大防止、障害の切り分け)、障害運転時対応(代替運転、縮退運転)、状況に応じた復旧作業、障害原因の調査、障害改修後対応(障害内容の報告、同様障害再発防止策の立案・実施)について、必要な措置を講じる。 ○システム管理者は、障害予測、定期診断、ログの調査・解析を行うことにより、住基システムの継続性の向上に努める。 ○重大な障害については、緊急時対応計画書に基づいて対応する。 |
保守に関すること | ○システム管理者は、円滑な運用を確保するため、ハードウェア資源の利用状況、回線トラフィック状況等を勘案して、適宜、資源の配分について見直しを行う。 ○システム管理者は、ネットワークの運用保守等によりネットワークを停止するときは、あらかじめ、情報保護管理者、京都府及び指定情報処理機関に通知する。ただし、緊急に保守作業を行う必要がある場合等においては、システム管理者の判断によりネットワークを停止することができる。 |
性能に関すること | ○システム管理者は、性能情報及び統計資料の収集と蓄積を行い、蓄積した性能情報等をもとに解析を行う。 ○システム管理者は、解析結果に基づき、パフォーマンス上のボトルネックを検出し、ボトルネックがある場合には改善措置を講じる。 ○システム管理者は、ネットワークの拡張又は縮小を行う際には、計画の立案を行い、住基ネット事務への影響を最小限にして実施する。 ○何人も、CS及び業務端末を、住基ネット以外のネットワークに接続してはならない。 |
(ドキュメントの管理)
第27条 システム管理者は、基本設計書、各種手引書、マニュアル等のドキュメントについて、本人確認情報の記載のある帳票の管理と同様の管理を行う。
2 システム管理者は、委託事業者に関係ドキュメントを貸与する場合には、貸出について適正に管理し、契約書等で取り扱いに関する事項を決定しておく。
(磁気ディスクの管理)
第28条 システム管理者は、機器を廃棄する場合、その機器に存在する磁気ディスク内の情報が、廃棄する過程において第三者に入手されることを防ぐため、磁気ディスクの物理的破壊、専用ソフトを使用したデータ消去など必要な措置を講じる。
2 システム管理者は、機器の廃棄又は修理を委託する場合は、委託先に本人確認情報の保護に係る責務を課すことを契約条項に入れるとともに、作業実施者が、どおりの作業を実施したかを確認する。
(耐タンパー装置の管理)
第29条 システム管理者は、耐タンパー装置用セットアップディスク及び耐タンパー装置用パスワードを施錠できる保管庫で管理する。
2 システム管理者は、耐タンパー装置がリースである場合は、リース会社に対して、契約終了時には確実に廃棄する措置を講じることを契約条項に入れるとともに、確実に廃棄されたかどうかの確認を行う。
(オペレーション計画)
第30条 システム管理者は、情報保護管理者と協議して、次に掲げる各オペレーション計画を事前に作成し、進捗管理を行い、適時、必要に応じて計画の見直しを行う。
| 計画の内容 |
要員計画 | ○システム管理者は、一定期間ごとに要員配置計画を策定する。 |
運用計画 | ○システム管理者は、通常時・ピーク時・大量データ取り扱い時のスケジュールをあらかじめ作成する。 ○システム管理者は、年次、月次・週次・日次ごとの作業項目、運用時間を決定する。 |
バックアップ処理計画 | ○システム管理者は、バックアップの処理に関して、必要な事項を定める。 |
2 システム管理者は、障害が発生する確率を下げるために、オペレーション品質の向上対策、オペレーションミスの原因分析、再現防止策の策定・実施・評価を行う。
第6章 委託管理
(委託を受けようとする者の管理体制等の調査)
第31条 システム管理者及び情報保護管理者は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第32条 システム管理者及び情報保護管理者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第33条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第34条 システム管理者及び情報保護管理者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第7章 緊急時対応計画
(緊急時対応計画)
第35条 住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合に、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、緊急時対応計画を定めるものとする。
附則
この規程は、平成14年8月5日から施行する。
附則(平成15年訓令第3号)
この規程は、平成15年8月25日から施行する。
附則(平成19年訓令第4号)抄
(施行期日)
1 この訓令は、平成19年4月1日から施行する。
(助役に関する経過措置)
2 この訓令の施行の際、現に助役である者は、この訓令の施行の日に地方自治法の一部を改正する法律(平成18年法律第53号)による改正後の地方自治法(昭和22年法律第67号)第162条の規定により、副町長として選任されたものとみなす。
附則(平成25年訓令第2号)
この訓令は、平成25年4月1日から施行する。
附則(令和4年訓令第2号)
この訓令は、令和4年4月1日から施行する。