○野辺地町住民基本台帳ネットワークシステム及び住民記録システムのセキュリティ対策に関する規程
平成二十年十二月十七日
告示第七十二号
第一章 総則
(目的)
第一条 この規程は、住民基本台帳ネットワークシステム(以下、「住基ネット」という。)に係るセキュリティ組織、入退室管理、アクセス管理、本人確認情報の管理、情報資産管理及び委託管理並びに住民記録システムのセキュリティ組織に関し必要な事項を定めることにより、当町における住基ネットの安全かつ円滑な運営並びに住民記録システムの安全性及び信頼性の確保に資することを目的とする。
(平二八告示一〇五・一部改正)
第二章 セキュリティ組織
(セキュリティ統括責任者)
第二条 住基ネットのセキュリティ対策を総合的に実施し、住民記録システムの安全性及び信頼性に関し総合的に判断を行うため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
3 セキュリティ統括責任者は、住基ネットのセキュリティ対策に関する最終的な権限及び責任(作業停止時、本人確認情報のデータ漏えいのおそれがある場合等の緊急時において対応策を決定し、実施する権限及び責任を含む。)を有し、運用に関する重大な事項を決定するとともに、本人確認情報のデータの漏えいの防止及び正確性の維持並びに住基ネットの継続的な運用に努めなければならない。
(システム管理者)
第三条 住基ネット及び住民記録システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
3 システム管理者は、入退室管理(セキュリティ責任者が管理責任を負う部分を除く。)、アクセス管理、情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)管理(セキュリティ責任者が管理責任を負う部分を除く。)等を行う。
(平二四告示二二・平二五告示二四・令四告示四九・令六告示四四・一部改正)
(セキュリティ責任者)
第四条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、町民課長をもって充てる。
3 セキュリティ責任者は、住基ネットに係る統合端末設置場所における従事者の管理及び情報資産のうち本人確認情報に係る管理等を行うほか、住基ネットのセキュリティ対策の職員への徹底、セキュリティに対する脅威が発生した場合の情報収集、セキュリティ統括責任者に対する報告等を行う。
(平二八告示一〇五・一部改正)
(セキュリティ会議)
第五条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(一) システム管理者
(二) セキュリティ責任者
3 セキュリティ会議は、次に掲げる事項を審議する。
(一) 住基ネットのセキュリティ対策の決定及び見直しに関する事項
(二) 住基ネットのセキュリティ対策の遵守状況の確認に関する事項
(三) 住基ネットのセキュリティ対策の有効性の検証の実施に関する事項
(四) 教育及び研修の実施に関する事項
(五) その他住基ネット及び住民記録システムのセキュリティ対策実施のために必要な事項
4 議長は、前項第一号の事項を審議するときは、野辺地町情報化推進委員会の意見を聴くものとする。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、総務課において処理する。
(平二四告示二二・平二五告示二四・令四告示四九・令五告示三三・令六告示四四・一部改正)
(関係部署に対する指示等)
第六条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
第三章 入退室等管理
(入退室管理を行う室及び設置場所)
第七条 次に掲げる住基ネットの運用が行われる室及び設置場所において、それぞれの区分に応じた、入退室及び設置場所管理を行うものとする。
セキュリティ区分 | 室及び設置場所 |
レベル二 | 住基ネットのデータ、セキュリティ情報等の保管室サーバ、ネットワーク機器の設置室 |
レベル一 | 統合端末設置場所 |
2 セキュリティ区分に応じた、入退室及び設置場所管理の方法は次のとおりである。
セキュリティ区分 | 入退室及び設置場所管理の方法 |
レベル二 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、鍵を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル一 | 立入りを行う場合には、設置場所管理者から事前に許可された者のみが立入りを行う。識別を行うために、立入り者には、名札の着用を義務付ける。 |
(平二八告示一〇五・一部改正)
(入退室または設置場所管理者)
第八条 入退室または設置場所管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては、総務課長、統合端末の設置場所にあっては、町民課長をもって充てる。
(平二四告示二二・平二五告示二四・平二八告示一〇五・令四告示四九・令六告示四四・一部改正)
(鍵の管理)
第九条 鍵の管理は、入退室管理者が行う。
2 レベル二のセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、鍵の使用を許可するものとする。
(管理簿の作成)
第十条 入退室管理者は、レベル二のセキュリティ区分に係る室については、入退室管理簿及び鍵の管理簿を作成し、これを保存するものとする。
(指示)
第十一条 セキュリティ統括責任者は、適切な入退室及び設置場所管理が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い必要な指示を行うものとする。
第四章 アクセスの管理
(アクセス管理を行う機器)
第十二条 次に掲げる住基ネットの構成機器について、アクセス管理を行う。
(一) サーバ
(二) 統合端末
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること、及び操作履歴を記録することにより行うものとする。
(平二八告示一〇五・一部改正)
(アクセス管理責任者)
第十三条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、総務課長をもって充てる。
(平二四告示二二・平二五告示二四・令四告示四九・令六告示四四・一部改正)
(照合ID、照合情報及び操作者ID)
第十四条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。
(一) 照合ID及び操作者IDの管理方法を定めること。
(二) 照合情報の登録及び削除の管理方法を定めること。
(三) 操作者IDの種類ごとの操作者について、住民基本台帳ネットワークシステムを利用する部署のセキュリティ責任者と協議して定めること。
(四) 照合ID及び操作者IDの管理簿を作成すること。
(平二八告示一〇五・一部改正)
(操作者の責務)
第十五条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(平二八告示一〇五・一部改正)
(操作履歴の記録)
第十六条 アクセス管理責任者は、操作履歴について、七年前までさかのぼって解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第十七条 アクセス管理責任者は、第十二条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキユリティ対策を実施する。
第五章 本人確認情報の管理
(平二八告示一〇五・追加)
(適用範囲)
第十八条 本章は、本人確認情報を取扱う業務の従事者並びに住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう)のうち、本人確認情報(データ及び本人確認情報が記録された帳票並びに住民基本台帳カード及び個人番号カードを含む。)に適用する。
(平二八告示一〇五・追加)
(本人確認情報管理責任者)
第十九条 本人確認情報管理責任者は、町民課長をもって充てる。
2 本人確認情報管理責任者は、本人確認情報の管理方法を定めるものとする。
(平二八告示一〇五・追加)
(基本方針)
第二十条 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えいや毀損等の被害を受けるおそれがある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。
2 本人確認情報のセキュリティ対策は、制度面、技術面及び運用面から抑止、予防、検出及び回復の措置を講じ、継続的に実施する。
3 本人確認情報処理事務等に係る情報資産は、実施に必要なものに限定するとともに、法令等に定める場合以外に使用してはならない。
(平二八告示一〇五・追加)
(本人確認情報の安全管理)
第二十一条 本人確認情報の安全な管理を行うために次の各号に掲げる措置を講じ要領・手順書に定めるものとする。
(一) 本人確認情報の入力、削除及び訂正、検索等の画面出力、受渡し、交付等を適正に実施するために必要な措置
(二) 本人確認情報処理事務等に関する記録媒体及び帳票等への出力、保管、廃棄を適正に実施するために必要な措置
(三) その他本人確認情報の漏えい、滅失及びき損を防止するための措置
(平二八告示一〇五・追加)
(施設等の管理)
第二十二条 本人確認情報の処理に係る電子計算機及び端末装置並びに帳票を出力するプリンター等を設置する場所の入退出の管理、その他これらの施設等への不正なアクセスを予防するために入退室管理者と協議し、措置を講ずる。
(平二八告示一〇五・追加)
(オペレーション管理)
第二十三条 住基ネットに係る電子計算機の操作手続等に関して、適正な管理を行うために情報資産管理責任者及びアクセス管理責任者である総務課長と協議を行い必要な措置を講ずる。
(平二八告示一〇五・追加、令四告示四九・令六告示四四・一部改正)
(意識の啓発及び教育)
第二十四条 本人確認情報を取扱う業務の従事者に対し、本人確認情報を扱うことの重要性に鑑み、情報資産の適正な管理に関する意識啓発を行うとともに、教育に関する計画を策定し実施する。
(平二八告示一〇五・追加)
第六章 情報資産の管理
(平二八告示一〇五・旧第五章繰下)
(情報資産管理)
第二十五条 住基ネットの情報資産について、管理責任者を置く。
2 情報資産のうち、本人確認情報(データ及び本人確認情報が記録された帳票並びに住民基本台帳カード及び個人番号カードを含む。)以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長をもって充てる。
(平二四告示二二・平二五告示二四・平二七告示一三七・一部改正、平二八告示一〇五・旧第十八条繰下・一部改正、令四告示四九・令六告示四四・一部改正)
(情報資産管理責任者)
第二十六条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、本人確認情報管理責任者と協議して、住基ネットのオペレーション計画を定めるものとする。
(平二八告示一〇五・旧第二十条繰下)
第七章 外部委託者の管理
(平二八告示一〇五・旧第六章繰下)
(委託を受けようとする者の管理体制等の調査)
第二十七条 住基ネットを管理し、又は利用する部署の長は、外部への委託(二以上の段階にわたる委託を含む。以下「外部委託」という。)をしようとするときは、あらかじめ、委託(二以上の段階にわたる委託を含む。以下同じ。)を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(平二七告示一三七・一部改正、平二八告示一〇五・旧第二十一条繰下)
(外部委託の承認)
第二十八条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託をする事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(平二七告示一三七・一部改正、平二八告示一〇五・旧第二十二条繰下)
(委託契約書への記載事項)
第二十九条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(一) 再委託の禁止又は制限に関する事項
(二) 情報が記録された資料の保管、返還又は廃棄に関する事項
(三) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(四) 情報の秘密保持に関する事項
(五) 事故等の報告に関する事項
(平二八告示一〇五・旧第二十三条繰下)
(受託者の管理状況の調査)
第三十条 住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(平二八告示一〇五・旧第二十四条繰下)
第八章 雑則
(平二八告示一〇五・旧第七章繰下)
(委任)
第三十一条 その他必要な事項はセキュリティ統括責任者が別に定める。
(平二八告示一〇五・旧第二十五条繰下)
制定文(抄)
平成二十年四月一日から適用し、野辺地町住民基本台帳ネットワークシステムセキュリティ組織規程及び野辺地町住民基本台帳ネットワークシステム管理規程は、廃止する。
前文(抄)(平成二四年三月三〇日告示第二二号)
平成二十四年四月一日から適用する。
前文(抄)(平成二五年三月二九日告示第二四号)
平成二十五年四月一日から適用する。
附則(平成二七年一二月二八日告示第一三七号抄)
(施行期日)
第一条 この告示は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年法律第二十七号。以下「番号法」という。)附則第一条第四号に掲げる規定の施行の日(平成二十八年一月一日)から施行する。ただし、次の各号に掲げる規定は、当該各号に定める日から施行する。
一 第十二条の規定 告示の日
附則(平成二八年一二月二八日告示第一〇五号)
この規程は、告示の日から施行し、平成二十八年八月一日から適用する。
附則(令和四年三月三一日告示第四九号)
この告示は、令和四年四月一日から施行する。
附則(令和五年三月二八日告示第三三号)
この規程は、令和五年四月一日から施行する。
附則(令和六年三月二八日告示第四四号)
この告示は、令和六年四月一日から施行する。