○大山町住民基本台帳ネットワークシステム管理運営要綱
平成17年3月28日
訓令第5号
(趣旨)
第1条 この訓令は、大山町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の管理及び運営について必要な事項を定めるものとする。
(1) 住基ネット 県内の市町村長、知事及び指定情報処理機関(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)の使用に係る電子計算機、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長が本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を知事に通知し、知事が本人確認情報を指定情報処理機関に通知し、並びに知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステム
(2) セキュリティ 住基ネットの正確性、機密性及び継続性の維持を図ることを目的とした行為
(3) サーバ 市町村長から本人確認の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、県及び指定情報処理機関に本人確認情報の通知を行うための使用に係る電子計算機
(4) ファイアウォール 住基ネットにおいて不正な侵入を防御する電子計算機
(5) 業務端末システム 住基ネットを利用する際に使用する電子計算機、照合情報認証機器及びプリンタ
(6) 共同利用所属 業務端末システム設置しない所属
(7) 照合情報認証 静脈等の情報に不可逆演算を施して登録された情報(照合情報)と認証時に読み取られる情報を照合することにより認証する方法
(8) プログラム 電子計算機を機能させて住基ネットを動作させるための命令
(9) 電子計算機室 電子計算機及び電気通信関係装置を設置する室
(10) ドキュメント 住基ネットの設計及び運用に関する記録及び文書
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
(セキュリティ責任者)
第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、業務端末システムが設置された所属の担当課長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 施設担当課長
(4) 人事担当課長
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
(5) その他、必要事項
4 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、住基ネット担当課において処理する。
6 セキュリティ会議は、年に1回以上開催する。
(関係部署に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
(教育・研修)
第8条 住基ネットに携わる部署の職員に対し、住基ネットのセキュリティ対策並びにCS端末機の操作等に関する教育・研修を必要に応じて行うものとする。
(入退室管理)
第9条 次に掲げる住基ネットの運用が行われる室において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。
セキュリティ区分 | |
レベル3 | 住基ネットのデータ、セキュリティ情報等の保管室 |
レベル2 | サーバ、ネットワーク機器の設置室 |
レベル1 | 業務端末の設置室(住民課執務室内) |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりとする。
セキュリティ区分 | 入退室管理の方法 |
レベル3 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、照合情報認証を用いて入退室を行う。識別を行うために、入退室管理者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル2 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが照合情報認証を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル1 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。 |
3 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管庫及びサーバ、ネットワーク機器の設置室にあっては、情報担当課長、業務端末の設置室にあっては、セキュリティ責任者をもって充てる。
5 照合情報認証の管理は、情報担当課長が行う。
6 情報担当課長は、レベル3及び2のセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、照合情報を登録するものとする。
7 入退室管理者は、レベル3及び2のセキュリティ区分に係る室については、入退室管理簿を作成し、これを保存するものとする。
8 情報担当課長は、レベル3及び2のセキュリティ区分に係る室については、照合情報認証の管理簿を作成し、これを保存するものとする。
9 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
(改善の要求)
第10条 システム管理者は、電子計算機室への適切な入退室管理が行われているかどうか、電子計算機室管理責任者から報告を求め、調査を行い、必要な改善を求めることができる。
(アクセス管理)
第11条 システム管理者は、次の各号に掲げる住基ネットの構成機器について、本人確認情報を検索するに当たっての管理(以下「アクセス管理」という。)を行うものとする。
(1) サーバ
(2) 業務端末システム
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
3 業務端末システムが設置された所属のセキュリティ責任者は、業務端末システム使用簿(別記様式)を備え付け、操作者は業務端末を使用する都度業務端末使用簿に使用状況を記載しなければならない。
4 アクセス管理を実施するためのアクセス管理責任者は、システム管理者をもって充てる。
5 システム管理者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
6 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録及び解析)
第12条 システム管理者は、電子計算機の操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
2 システム管理者は、定期的に前項の操作履歴を解析し、住基ネットの適正な利用を確保しなければならない。
(業務端末の管理)
第13条 職員不在時の業務端末は、次に掲げる事項を確認するものとする。
(1) ワイヤーロック等で固定されている。
(2) 電源がオフになっている。
(3) 保守作業等で一時的に使用したCD-ROM、USBメモリ、MO等を放置せず、施錠保管されている。
(オペレーティングシステムの管理)
第14条 システム管理者は、第11条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、次に掲げるセキュリティ対策を実施するものとする。
(1) ユーザーIDを付与する権限については、業務上必要最低限のものとすること。
(2) 操作者が業務に利用するユーザーIDについて、業務以外の操作及び設定変更ができないように制限すること。
(3) ユーザーID及びその権限について、定期的に見直しを行い、不要なユーザーIDについては速やかに削除すること。
(パスワードの管理)
第15条 業務端末システムが設置された所属のセキュリティ責任者は、所管する業務用端末のパスワードに関し、以下の事項について留意する。
(1) 初期設定されているパスワードについては、速やかに変更する。
(2) オペレーションシステムのパスワードは有効期限を90日に設定し、必ず有効期限内に更新する。
(3) パスワードは、英大文字、英小文字、数字及び記号が混在する8桁以上で設定する。
(4) 規則性のあるパスワード又は推測可能なパスワードを設定しない。
(5) 設定したパスワードのメモを端末に貼付又は机上に残さない。
(6) 複数回パスワードの入力を間違えた時は、ロックアウトするよう設定する。
2 システム管理者は、オペレーションシステムへのログオン失敗履歴を記録し、定期的にこの履歴内容の確認を行う。
(ソフトウェアの管理)
第16条 第11条に規定する機器に導入する住基ネットの管理及び運用に必要なソフトウェアを、標準的にインストールするソフトウェアとし、これ以外のソフトウェアは導入しないものとする。
(情報資産の管理)
第17条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等外部記憶媒体をいう。以下「情報資産」という。)について、管理責任者を置くものとする。
2 前項の情報資産のうち、住基ネットを利用する部署に設置する業務端末システムの情報資産に関する管理責任者はセキュリティ責任者とする。
3 業務端末システムを除く住基ネットの情報資産のほか、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等に関する管理責任者はセキュリティ責任者とする。
4 情報資産に関する管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
5 情報資産に関する管理責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カード、通知カード及び個人番号カードの管理方法を定めるものとする。
(磁気ディスクの管理)
第18条 システム管理者及び磁気ディスクの取り扱い担当者は、磁気ディスク(電子計算機に搭載される磁気ディスクを除く)の管理を適切に行うため、以下の事項を実施する。
(1) 磁気ディスクの取り扱い担当者は、住基ネットに関係する職員とする。
(2) 磁気ディスクは専用の保管庫に保管し、施錠する。
(3) システム管理者は磁気ディスク管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) システム管理者は磁気ディスク管理簿と保管状況が一致していることを適時確認する。
(5) 磁気ディスクはラベル等により他と判別できるようにする。
(6) 磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行い、磁気ディスク管理簿に記録する。
(ドキュメントの管理)
第19条 セキュリティ責任者及びドキュメントの取り扱い担当者は、ドキュメントの管理を適切に行うため、以下の事項を実施する。
(1) ドキュメントの取り扱い担当者は、住基ネットに関係する職員とする。
(2) ドキュメントは施錠可能な場所に保管する。
(3) セキュリティ責任者はドキュメント管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) セキュリティ責任者はドキュメント管理簿と保管状況が一致していることを適時確認し、記録する。
(5) ドキュメントを廃棄する際には、裁断又は溶解等を行い、ドキュメント管理簿に記録する。
(本人確認情報を取り扱うことができる者)
第20条 本人確認情報は次の者に限り、取り扱うことができる。
(1) 業務端末システムが設置された部署において、住基ネットに関する事務に従事する職員
(2) 本人確認情報の管理について委託を受けた事業者
(本人確認情報に関する秘密保持義務)
第21条 次の各号に掲げるものは、法第30条の31第1項の秘密保持義務の対象となるものであるので、その取扱いについては留意しなければならない。
(1) 本人確認情報
(2) 住基ネットのセキュリティに関する情報及び技術
(3) 住基ネットの具体的な運用に関する情報
(4) 運用手引書
(本人確認情報を取り扱うに当たっての留意事項)
第22条 本人確認情報を取り扱うに当たっては、次の各号について留意すること。
(1) 本人確認情報の検索及び抽出は、業務上必要な場合に限り行うものであること。
(2) 本人確認情報画面を表示する場合は、業務上必要のない本人確認情報を表示しないこと。
(3) 業務端末システムから離れる際にはスクリーンセーバー機能を活用し、長時間にわたり、本人確認情報を表示したままの状態にしないこと。なお、スクリーンセーバーの起動までの時間を5分以内に設定し、解除にパスワードの入力が要求されるよう設定すること。
(4) 作業終了後は必ず初期画面に戻すこととし、離席する際はログオフする。
(5) 表示された本人確認情報が、来庁者から見えない位置に業務端末機を設置すること。
(6) 本人確認情報を表示した画面のハードコピーは、業務上必要な場合に限り取得又は出力すること。必要であってハードコピーを取る場合は、事前にセキュリティ責任者の決裁・承認を得て、その記録を残すこと。
(7) 本人確認情報の出力は、業務上必要な場合に限り行うこと。また、大量のデータ出力に際しては、事前にセキュリティ責任者の承認を得ること。
(8) 前号により出力した帳票は、適正に管理し、本人確認情報が出力された帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずること。また、帳票の内容によっては、管理簿に記載し、施錠可能な保管庫に施錠保管すること。
(9) 本人確認情報の入力、削除及び訂正から確認に至るまでを2名以上の担当者にて行うこと。
(10) 訂正は、セキュリティ管理者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な保管庫に施錠保管すること。
(11) 本人確認情報をメモに書き込んだり、CS端末にテキスト文書として保存したりしないこと。
(12) 本人確認情報の入力、削除及び訂正を行った際の記録を残すこと。
(本人確認情報の記録されたサーバにおいて出力される帳票の取扱い)
第23条 セキュリティ責任者は、本人確認情報の記録されたサーバにおいて出力される帳票において以下の事項を記録するものとする。
(1) 出力帳票の種類
(2) 出力年月日
(3) 使用目的
(4) 申請者
(5) 数量
2 セキュリティ責任者は前項に掲げる帳票を施錠が可能な保管庫に保管し、紛失及び盗難を防止するための措置を講じるものとする。
3 セキュリティ責任者は、前項に掲げる帳票を廃棄する場合においては、シュレッダー等により裁断等を行う。
4 帳票を出力する際、以下の項目に留意する。
(1) 出力装置は、来庁者等に出力帳票を見られない位置に設置する。
(2) 出力した帳票は、出力装置上に放置せず、速やかに回収する。
(住民基本台帳カード、通知カード及び個人番号カードの管理)
第24条 システム管理者は、住民基本台帳カード、通知カード及び個人番号カードの管理について、次に掲げる事項を実施するものとする。
(1) 個人番号カードを保管する際は、施錠可能な場所に保管し、管理簿等に記録する。
(2) 返納された住民基本台帳カード、通知カード及び個人番号カードは、速やかに焼却、溶解又は裁断等により券面記載の内容が判読できないようにするとともに、ICチップを物理的に破壊し、廃棄すること。
(業務の委託)
第25条 システム管理者及びセキュリティ責任者は、外部委託をしようとする場合においては、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について確認するものとする。
2 委託を行う部署の職員は、委託先を選定する際、次の各号に掲げる事項について評価する。
(1) 安定性(財務内容)、健全性
(2) 信頼度及び受託実績(類似業務の実績、他のプロジェクトでの評価等)
(3) 技術レベル(業務内容の理解度、業界に関する知識、情報収集能力、プロジェクト管理能力、導入サポート力、社員の資格者数等)
(4) セキュリティ対策の実施状況(プライバシーマーク制度等の公的資格の取得状況)
(5) 問題発生時の対応力
(6) 保守体制等(組織形態、社員数等)
(7) 委託費と支払条件
3 契約書の作成については、次の各号の掲げる事項について留意しなければならない。
(1) 委託を行う部署の職員は、標準契約書に基づいて契約書を作成する。なお、標準契約書の条文を変更する場合は、修正内容とその理由を明確にして管理者の承認を得る。
(2) 委託を行う部署の職員は、仕様書に次の項目を明記する。なお、同一業務を複数の事業者に委託する場合、各々の作業範囲及び責任範囲を明確に定める。
ア 会社名、担当者の氏名及び所属部署名、連絡先
イ 業務内容及び範囲
ウ 業務期間(開発期間)
エ 納期
オ 納品物、納品形式
4 委託を行う部署の職員は、次の各号に掲げる事項を確認してその結果を記録する。
(1) 作業者名簿は事前に提出されているか
(2) 作業者名簿と実際の作業者は一致しているか
(3) 作業内容(設置工事、機器の設定等)の内容
(4) 納品物(機器、設計書、作業報告書)の内容
5 委託を行う部署の長は、次の各号に掲げる事項についての実施状況を年1回確認し、その結果を記録する。
(1) 選定基準に基づいて選定され、その記録が残っているか
(2) 仕様書に基づいて作業が行われ、作業者、作業内容及び納品物の確認と、その記録が残っているか
(外部委託の承認)
第26条 セキュリティ責任者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、システム管理者の承認を受けなければならない。
(委託契約書への記載事項)
第27条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の制限に関する事項
(2) 本人確認情報等の保管、返還又は廃棄に関する事項
(3) 本人確認情報等の目的外使用の禁止、複製・複写及び第三者への提供の禁止に関する事項
(4) 本人確認情報等の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第28条 システム管理者及びセキュリティ責任者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(緊急時対応計画)
第29条 システム管理者は、指定情報処理機関、県及び住基ネットを利用する部署等と協議の上、緊急時対応計画を策定するものとする。
2 システム管理者は、前項に定める計画の見直しを必要に応じて行う。また、セキュリティ責任者は、障害が発生する確率を下げるため、オペレーションミスの原因分析、再現防止策の策定等、必要な措置を講じるものとする。
(監査)
第30条 システム管理者は、住基ネットの本人確認情報処理事務等について、定期的に内部監査を実施するほか、必要に応じて外部監査を実施するよう努めなければならない。
2 システム管理者は、監査結果をもとに必要な改善措置を講じるものとする。
3 システム管理者は、監査結果及び改善措置について、セキュリティ統括責任者に報告するものとする。
(その他)
第31条 この訓令に定めるもののほか、住基ネットの運用管理に関し必要な事項は、別に定める。
附則
(施行期日)
1 この訓令は、平成17年3月28日から施行する。
(経過措置)
2 この訓令の施行の日の前日までに、合併前の中山町住民基本台帳ネットワークシステム管理運営要綱、名和町住民基本台帳ネットワークシステム管理運営要綱及び大山町住民基本台帳ネットワークシステム管理運営要綱(平成14年大山町訓令第6号)の規定によりなされた手続その他の行為は、この訓令の相当規定によりなされたものとみなす。
附則(平成19年3月30日訓令第3号)
(施行期日)
この訓令は、平成19年4月1日から施行する。
附則(平成27年8月20日訓令第6号)
この訓令は、平成27年8月20日から施行する。
附則(平成30年6月30日訓令第4号)
(施行期日)
1 この訓令は、平成30年7月1日から施行する。
(準備行為)
2 この訓令を施行するために必要な準備行為は、この訓令の施行前においても行うことができる。
附則(平成30年12月21日訓令第6号)
(施行期日)
この訓令は、平成31年1月1日から施行する。
附則(令和2年7月31日訓令第5号)
この訓令は、令和2年8月1日から施行する。