○篠栗町情報セキュリティに関する規則

平成24年12月28日

規則第20号

目次

第1章 総則(第1条~第3条)

第2章 情報セキュリティ対策基準

第1節 人的セキュリティ

第1款 組織及び体制(第4条~第6条)

第2款 情報資産の分類及び管理(第7条~第15条)

第2節 物理的セキュリティ

第1款 特定電子計算機等(第16条~第18条)

第2款 サーバルーム(第19条・第20条)

第3款 ネットワーク(第21条~第23条)

第3節 技術的セキュリティ

第1款 情報システムの管理(第24条~第34条)

第2款 アクセス制御(第35条~第39条)

第3款 不正アクセス対策(第40条~第42条)

第4款 ウイルス対策(第43条~第45条)

第5款 情報システムの開発、導入、保守等(第46条~第50条)

第4節 運用(第51条・第52条)

第5節 緊急時の対応計画(第53条~第56条)

第6節 評価及び見直し(第57条・第58条)

第3章 雑則(第59条)

附則

第1章 総則

(趣旨)

第1条 この規則は、インターネットによる情報システムの利用拡大に伴い、情報資産に対する不正な侵害、災害、事故等の脅威が増大していることに鑑み、本町が保有する情報資産の機密性、信頼性、保守性及び可用性を安定的に維持するためのセキュリティ基準として必要な事項を定めるものとする。

(定義)

第2条 この規則において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 電子計算機等 ハードウェア及びソフトウェアで構成するコンピュータ及び周辺機器並びに各種メディアをいう。

(2) 特定電子計算機 インターネット回線に接続している電子計算機をいう。

(3) インターネット 通信プロトコルTCP/IPを用いて全世界のネットワークを相互に接続した巨大なコンピュータネットワークをいう。

(4) ネットワーク 電子計算機等を相互に接続するための通信網及び接続に必要な機器で構成される仕組みをいう。

(5) 情報システム 電子計算機等及びネットワークによって処理を行う仕組みをいう。

(6) 行政情報 本町の情報システムで取り扱う行政事務の執行に関わる全てのデータをいう。

(7) 情報資産 情報システム及び行政情報をいう。

(8) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持し、並びに定められた範囲での利用可能な状態を維持することをいう。

(9) 不正アクセス 情報システムを利用する者が、その者に与えられた権限によって許された行為以外の行為を、ネットワークを介して意図的に行うことをいう。

(10) ウイルス 第三者のプログラム又はデータベースに対して意図的に何らかの被害を及ぼすように作られたコンピュータプログラムであり、次に掲げる機能の一つ以上を有するものをいう。

 自己伝染機能 自らの機能によって他のプログラムに自らをコピーし、又はシステム機能を利用して自らを他のシステムにコピーすることにより、他のシステムに伝染する機能

 潜伏機能 発病するための特定時刻、一定時間、処理回数等の条件を記憶させて、発病するまで症状を出さない機能

 発病機能 プログラム又はデータのファイルを破壊し、又は設計者の意図しない動作をさせる機能

(11) サイバーテロ ネットワークを通じて各国の国防及び治安を始めとする各種分野の情報システムに侵入し、データを破壊し、又は改ざんする等の手段で国家又は社会の重要な基盤を機能不全に陥れる行為をいう。

(12) 可用性 障害が発生しにくく、安心して使用することができることをいう。

(13) 保守性 一定水準の機能又は性能を維持するため必要な作業及び故障時の復旧作業の容易さをいう。

(14) 庁舎 役場、オアシス篠栗、クリエイト篠栗、カブトの森公園、歴史民俗資料室、各小中学校、各幼稚園及び栗の子保育園をいう。

(15) メディア 磁気ディスク、デジタルオーディオテープ、フロッピーディスク、コンパクトディスクリードオンリーメモリその他データを記録している媒体をいう。

(16) オペレーションシステム キーボードからの入力、ディスプレイ、プリンタへの出力等の入出力機能、ディスク又はメモリの管理等パソコン全体を管理するソフトウェアのことをいう。

(17) サーバ システムを構成する装置のうち、主となる電子計算機装置をいう。

(18) サーバルーム サーバを設置している場所をいう。

(19) ファイル共有サービス コンピュータにあるファイルを、ネットワーク経由で他人がアクセスできる状態に置き、複数人でファイルを共有することをいう。

(20) システムファイル オペレーションシステムの動作に必要なファイルの集合体のことをいう。

(適用範囲)

第3条 この規則の規定は、本町の保有する全ての情報資産(地方教育行政の組織及び運営に関する法律(昭和31年法律第162号)第30条の規定に基づき本町に設置された教育機関において教育の用に供する情報資産を除く。)に適用する。

第2章 情報セキュリティ対策基準

第1節 人的セキュリティ

第1款 組織及び体制

(情報セキュリティ最高責任者)

第4条 本町の全ての情報資産及びそれらに関する情報セキュリティの管理を統括するため、情報セキュリティ最高責任者を置く。

2 情報セキュリティ最高責任者は、副町長をもって充てる。

3 情報セキュリティ最高責任者は、本町における全ての情報システム等の情報資産管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

4 情報セキュリティ最高責任者は、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家をアドバイザーとして置くものとする。

(情報セキュリティ責任者)

第5条 情報セキュリティ最高責任者を補佐し、本町の全ての情報資産及びそれらに関する情報セキュリティの管理を行うため、情報セキュリティ責任者を置く。

2 情報セキュリティ責任者は、財政課長をもって充てる。

(情報セキュリティ管理者)

第6条 本町における情報セキュリティの管理を統括させるため、各課(課に相当する組織を含む。以下同じ。)に情報セキュリティ管理者を置く。

2 情報セキュリティ管理者は、各課の長をもって充てる。

第2款 情報資産の分類及び管理

(情報資産の分類)

第7条 情報セキュリティ管理者は、その所管する情報資産を侵害、災害、事故等(以下「侵害等」という。)による影響度に応じ、次に掲げる区分により分類しなければならない。

(1) その情報資産への侵害等が、町民の生命、財産、権利利益等に対する重大な影響を及ぼすこととなる情報資産

(2) その情報資産への侵害等が、行政事務の執行等に重大な影響を及ぼすこととなる情報資産

(3) その情報資産への侵害等が、行政事務の執行等に軽微な影響を及ぼすこととなる情報資産

(4) 前3号に掲げるもの以外の情報資産

(情報資産の管理責任)

第8条 情報セキュリティ責任者は、作成し、又は入手した全ての情報資産に関し、情報セキュリティを確保すべき責任を有する。

(行政情報の機密性の確保)

第9条 情報セキュリティ管理者は、その所管する行政情報に対してアクセスする権限を有する職員(嘱託職員及び臨時職員を含む。以下同じ。)の範囲を定め、行政情報の機密性の確保に努めなければならない。

(行政情報の私的利用の禁止等)

第10条 職員は、行政情報を私的に利用してはならない。

2 職員は、行政情報を不正に複製し、漏えいし、破壊し、及び改ざんしてはならない。

3 職員は、行政情報を庁舎外に持ち出すことはできない。ただし、業務上特に必要として情報セキュリティ最高責任者が許可した場合は、この限りでない。

(メディアの管理)

第11条 職員は、行政情報を記録したメディア(以下「特定メディア」という。)の保安に関し、細心の注意を払わなければならない。

2 情報セキュリティ管理者は、メディアに記録した行政情報を必要に応じて別のメディアに複製し、当該複製したメディアをサーバルームに適正に保管しなければならない。

(特定メディアの廃棄)

第12条 情報セキュリティ管理者は、特定メディアを廃棄するときは、情報セキュリティ責任者の許可を受けなければならない。

2 情報セキュリティ管理者は、特定メディアを廃棄するときは、特定メディアに保存された行政情報を消去し、かつ、消去した行政情報を復元できないようにする措置を講じなければならない。

3 情報セキュリティ管理者は、特定メディアを廃棄したときは、その日時、廃棄者、廃棄した行政情報の名称及び廃棄処理の方法等を特定メディア記録簿(別記様式)に記録しなければならない。

(情報セキュリティ実施手順の策定)

第13条 情報セキュリティ管理者は、所管する情報資産のセキュリティ実施手順を策定しなければならない。

(緊急時の対応)

第14条 情報セキュリティ管理者は、本町の情報資産に対する侵害等が発生したとき(以下「緊急時」という。)は、第5節に定める緊急時の対応計画にのっとり、直ちに連絡、証拠保全、被害拡大の防止、復旧等の必要な措置を迅速かつ円滑に実施し、再発防止のための措置を講じなければならない。

(教育及び訓練)

第15条 情報セキュリティ最高責任者は、職員に対し、この規則及びそれぞれの職務に関する情報セキュリティ実施手順について教育及び啓発する責務を有するとともに、侵害等に備えてあらかじめ緊急時の対応計画を定めておかなければならない。

2 職員は、町が実施する情報セキュリティ研修に参加し、この規則及びその職務に関する情報セキュリティ実施手順を理解するとともに、それらを遵守して情報セキュリティの管理に努めなければならない。

3 新たに本町に採用された職員は、適切な時期に、この規則及びその職務に関する情報セキュリティ手順についての研修を受講しなければならない。

第2節 物理的セキュリティ

第1款 特定電子計算機等

(特定電子計算機等の設置等)

第16条 第2条第17号に規定する電子計算機等、同条第2号に規定する特定電子計算機、行政情報を記録する電子計算機等及び情報セキュリティ対策に関する電子計算機等(以下「サーバ等」という。)は、サーバルームに設置しなければならない。ただし、情報セキュリティ責任者がそれらに関する情報セキュリティを確保できると認めたときは、サーバルーム以外に設置することができる。

2 情報セキュリティ責任者は、サーバ等に障害が発生したときは、直ちに復旧のための措置を講じなければならない。

3 情報セキュリティ責任者は、サーバ等の機器の操作を行わせるに当たっては、パスワード等による操作資格者の限定を行う措置を講じなければならない。

4 情報セキュリティ責任者は、サーバ等の機器の取付けに当たっては、当該機器から放射される電磁波により行政情報が漏洩することがないよう必要な措置を講じなければならない。

(サーバ等の電源)

第17条 情報セキュリティ責任者は、サーバ等の設置に当たっては、主たる電源の供給が断たれた場合においても、当該サーバ等を適切に停止するまでの間に当該サーバ等の機能を維持するための十分な電力を供給することができる予備電源設備を必要に応じて設置しなければならない。

2 情報セキュリティ責任者は、落雷等による過電流に対してサーバ等の機器を保護するための措置を必要に応じて講じなければならない。

(外部に設置する装置)

第18条 情報セキュリティ管理者は、情報システムの全部又は一部の装置を庁舎外部に設置するときは、情報セキュリティ最高責任者の許可を得なければならない。

2 情報セキュリティ管理者は、定期的に当該装置の情報セキュリティについて確認しなければならない。

第2款 サーバルーム

(サーバルームの管理)

第19条 サーバルームの管理は、情報セキュリティ責任者が行う。

2 サーバルームに入室しようとする者は、あらかじめ情報セキュリティ責任者の許可を受けなければならない。

3 サーバルームに入退室する者は、その際、前項の規定により入室の許可を受けた者であることが容易に判別できるよう身分を証明するものを見やすい位置に着用しなければならない。

4 情報セキュリティ責任者は、前3項に規定する事項のほか、その管理するサーバルームの入退室その他の必要な事項について、厳重に管理しなければならない。

(設備)

第20条 サーバルームは、情報システムに対する火災、水害、ホコリ、振動、温度、湿度等の影響を可能な限り排除した場所に設置されなければならない。

2 情報セキュリティ責任者は、許可されていない者のサーバルームへの入室を防止するため、サーバルーム内に通ずる出入口を電子錠等によって施錠しなければならない。

3 情報セキュリティ責任者は、サーバルーム内の機器類を耐震対策、防火措置等を講じた場所に設置するとともに、それらの配置については、地震、火災等の災害発生時に職員が円滑に避難できるよう配慮しなければならない。

第3款 ネットワーク

(接続)

第21条 情報セキュリティ責任者は、本町の情報システムを外部のネットワークに接続するときは、当該接続をその目的に照らして必要最小限のものとしなければならない。

(配線)

第22条 情報セキュリティ責任者は、通信が傍受され、又は情報システムに損傷等を受けることがないようその所管するネットワークの配線について、必要な措置を講じなければならない。

2 情報セキュリティ責任者により操作を認められた者以外の者は、本町のネットワークの配線を変更してはならない。

3 情報セキュリティ管理者は、その所管するネットワークの接続に当たっては有線を使用しなければならない。ただし、情報セキュリティ責任者が情報セキュリティを確保できると判断した場合は、無線を使用することができる。

(職員が操作する端末装置等)

第23条 情報セキュリティ管理者は、その所管する事務所に職員が不在となるときは、情報資産に対する侵害等及び盗難防止のための措置を講じなければならない。

2 情報セキュリティ管理者は、その所管する情報システムの端末装置について、パスワードを入力しなければ、オペレーティングシステム(以下「OS」という。)が起動しないよう設定しなければならない。

3 情報セキュリティ管理者は、その所管する情報システムの端末装置について、盗難防止のための物理的措置を講ずるとともに、当該装置等から放射される電磁波により行政情報が漏洩することがないよう必要な措置を講じなければならない。

第3節 技術的セキュリティ

第1款 情報システムの管理

(アクセス記録の取得等)

第24条 情報セキュリティ責任者は、行政情報を扱う情報システムについて、必要に応じ次に掲げる措置を講じなければならない。

(1) 各種アクセス記録及び情報セキュリティの確保に必要な記録を全て取得し、一定期間保存すること。

(2) 各種アクセス記録等が窃取され、改ざんされ、又は消去されないようにすること。

(3) 定期的に各種アクセス記録等を分析し、及び監視すること。

(情報システム仕様書等の管理)

第25条 情報セキュリティ責任者は、その所管する情報システムに係るネットワーク構成図及び情報システム仕様書については、厳重に保管しなければならない。

(バックアップ)

第26条 情報セキュリティ管理者は、第7条に規定する情報資産の分類ごとに期間を設定し、定期的に必要に応じた行政情報の複製をとらなければならない。

(電子メール)

第27条 情報セキュリティ責任者は、庁舎外からの電子メール中継機能を不可能とするほか、電子メールに係る処理が情報システム全般に悪影響を及ぼすおそれがないよう必要な措置を講じなければならない。

2 職員は、電子メールで篠栗町個人情報保護条例(平成13年条例第24号)第2条第2号に規定する個人情報を送信してはならない。ただし、必要と思われる場合は、情報セキュリティ管理者に許可を受け、暗号化などの措置を講じた上で送信することができる。

3 情報セキュリティ責任者は、電子メール1通の規定容量を定め、規定容量以上の電子メール送受信を不可能とする措置を講じなければならない。

4 情報セキュリティ責任者は、電子メール用のサーバにおいて、電子メールアドレスごとの電子メール保存領域の規定容量を定め、当該規定容量を超えたときは、電子メール受信を不可能とする措置を講じなければならない。

(共用フォルダのセキュリティ)

第28条 情報セキュリティ責任者は、複数の端末装置等において共用で使用するデータ保存領域を設定するときは、その中に保存される行政情報に応じた分類ごとに適切なセキュリティを講じなければならない。

(外部の者が利用できる情報システム)

第29条 情報セキュリティ責任者は、外部の者が利用することができる情報システムについて、必要に応じ他の情報システムと物理的に分離するほか、当該システムに係る情報セキュリティについては、特に強固な対策を講じなければならない。

(情報システムの入出力データ)

第30条 情報セキュリティ管理者は、その所管する情報システムに入力されるデータが正確であることを確実にするため、適正な検査を行うなどの対策を講じなければならない。

2 情報セキュリティ管理者は、その所管する情報システムから出力されるデータが入力されたデータを正しく反映したものであることを確保するようにしなければならない。

(電子署名及び暗号化)

第31条 職員は、その所管する情報システムから外部に送るデータが完全であることを担保することが必要なときは、情報セキュリティ実施手順に定められた電子署名の方法及び暗号化の方法を使用して送信しなければならない。

(業務目的以外での禁止行為)

第32条 職員は、業務のための目的以外で次に掲げる行為を行ってはならない。

(1) インターネットの使用

(2) 情報システムへのアクセス

(ソフトウェア及びハードウェアに係る禁止行為)

第33条 職員は、情報セキュリティ責任者の許可なく次に掲げる行為を行ってはならない。

(1) アプリケーションソフトを追加し、変更し、又は削除する行為

(2) 電子計算機等のOS及びネットワーク等の設定を変更する行為

(3) 電子計算機等を改造し、又は周辺機器を増設し、若しくは交換する行為

(4) ネットワークの機器等を用いて電子計算機等の機器を増設し、又は庁舎外のネットワークに接続する行為

(5) 庁舎外から私的に所有する電子計算機等の機器を持ち込む行為

(6) インターネットの使用において、公用以外のメールアドレスの使用、共有ファイルの使用、電子掲示板等への書き込み及び会員登録を必要とするサービス等を使用する行為

(7) 電子計算機等を庁舎から移設して使用する行為

(端末装置の使用停止)

第34条 情報セキュリティ責任者は、職員が前2条の禁止行為(以下「不正行為」という。)を行ったことを知ったときは、当該職員が所属する課の情報セキュリティ管理者に対し、当該不正行為を中止させるために必要な措置を講ずるよう指示しなければならない。

2 情報セキュリティ管理者は、前項の規定による報告を受けた場合は、当該職員が当該不正行為を中止させるために必要な措置を講じなければならない。

3 情報セキュリティ責任者は、第1項による措置を指示したにもかかわらず、不正行為の状況が改善されないと認めるときは、当該情報セキュリティ管理者に対し、当該職員の端末装置の使用停止を命じるよう求めることができる。

4 情報セキュリティ責任者から前項の規定による命令を求められた情報セキュリティ管理者は、当該職員に対し端末装置の使用停止を命じなければならない。

第2款 アクセス制御

(情報システム操作者の制限)

第35条 情報セキュリティ管理者は、その所管するネットワーク及び情報システムの端末装置を操作することができる職員(以下「操作職員」という。)を指定しなければならない。

2 前項により指定された操作職員以外の者は、当該ネットワーク及び情報システムの端末装置を操作してはならない。

3 情報セキュリティ管理者は、第1項で指定した操作職員以外の者が操作できないよう、パスワード等によって当該ネットワーク及び情報システムの端末装置の使用を制限しなければならない。

(ネットワーク経路制御)

第36条 情報セキュリティ責任者は、その所管するネットワークに対する不正なアクセスを防止するため、適切なネットワーク経路を施さなければならない。

(外部のネットワークとの接続)

第37条 情報セキュリティ責任者は、情報システムと庁舎外のネットワークとの接続に際して、当該庁舎外のネットワークの通信網構成、機器構成、セキュリティレベル等を詳細に検討し、情報セキュリティに留意したネットワーク構成を採るものとし、本町の全ての情報資産に侵害等が生じないことを確認した上で、情報セキュリティ最高責任者の許可を得て接続しなければならない。

2 情報セキュリティ責任者は、前項の規定により接続した庁舎外のネットワークのセキュリティに問題が認められ、本町の情報資産に侵害等が生じるおそれがあるときは、情報セキュリティ最高責任者の判断に従い、直ちに当該外部のネットワークを物理的に切り離さなければならない。

(自己管理パスワードに関する遵守事項)

第38条 職員は、自己の操作する情報システムの機器について設定され、自己が管理することとされるパスワード(以下この条において「自己管理パスワード」という。)に関し、次に掲げる事項を遵守しなければならない。

(1) 自己管理パスワードを秘密にし、当該パスワードの照会等には一切応じないこと。

(2) 自己管理パスワードのメモを作らないこと。

(3) 自己管理パスワードの桁数は十分な長さとし、文字列は推定しにくいものとすること。

(4) 本町の情報システム又は自己管理パスワードに対する侵害等のおそれがあるときは、当該パスワードを直ちに変更すること。

(5) 自己管理パスワードは定期的に、又はアクセス回数によって変更し、過去に使用したことのあるパスワードは再び使用しないこと。

(6) 仮の自己管理パスワードが設定されているときは、速やかに当該パスワードを新しい自己管理パスワードに変更すること。

2 情報セキュリティ管理者は、職員の自己管理パスワードに関する遵守状況を厳重に管理し、前項各号に規定する事項を遵守しない職員に対しては遵守勧告を行い、当該職員が当該勧告に従わないときは、直ちに情報セキュリティ責任者に報告する。

3 情報セキュリティ責任者は、前項の規定による報告を受けた場合は、当該職員が自己管理パスワードを使用した操作ができなくなるような措置を講じなければならない。

(ICカード等の管理)

第39条 職員は、集積回路を内蔵し、パスワード等の情報を記録する機能を持つカードその他の職員個人の認証に用いるカード(以下「ICカード等」という。)を職員間で共有してはならない。

2 職員は、ICカード等を電子計算機等の機器のICカード等読取部に常時挿入し、又はかざした状態にしてはならない。

3 職員は、ICカード等を紛失したときは、直ちに情報セキュリティ管理者に報告し、情報セキュリティ責任者の指示を仰がなければならない。

4 情報セキュリティ責任者は、ICカード等の紛失の報告があった場合は、直ちに当該ICカード等を使用した操作ができなくなるような措置を講じなければならない。

第3款 不正アクセス対策

(不正アクセスに対する情報セキュリティ責任者の実施事項)

第40条 情報セキュリティ責任者は、不正アクセス対策として次に掲げる事項を実施しなければならない。

(1) 電子計算機等の機器を長時間入力待ちの状態で放置しないよう措置を講ずること。

(2) ソフトウェア及びシステムファイルの改ざんが生じていないことを随時確認すること。

(3) 本町のネットワークの負荷状況を監視すること。

(不正アクセスに対する予備的措置)

第41条 情報セキュリティ責任者は、不正アクセスを受けることが明確なときは、情報システムの停止を含む必要な措置を講じなければならない。

2 情報セキュリティ責任者は、不正アクセスに関する情報の収集に努めなければならない。

(不正アクセス行為への対処)

第42条 情報セキュリティ責任者は、本町の情報システムが不正アクセスを受け、当該不正アクセスが不正アクセス行為の禁止等に関する法律(平成11年法律第128号)その他の法令に違反するおそれがある場合には、当該行為に係る記録の保存に努めなければならない。

第4款 ウイルス対策

(電子メールのウイルス検査)

第43条 情報セキュリティ責任者は、送受信する電子メールを電子メール用のサーバでウイルス検査し、ウイルス感染及び拡散の防止に努めなければならない。

(ウイルスに対する情報セキュリティ責任者の実施事項)

第44条 情報セキュリティ責任者は、ウイルス被害を予防するため、次に掲げる事項を実施しなければならない。

(1) ウイルス情報に対する職員の注意を喚起すること。

(2) 常時、ウイルスに関する情報の収集に努めること。

(3) 情報システムの機器において、必要に応じてウイルス検査を行う最新のソフトウェア等の利用によりウイルス検査を行うこと。

(ウイルスに対する職員の遵守事項)

第45条 職員は、ウイルス被害を予防するため、次に掲げる事項を遵守しなければならない。

(1) 外部から情報システムにデータ及びソフトウェアを取り入れるときは、必ずウイルス検査を行うこと。

(2) 不審な電子メール及び不自然に添付されたファイルは、開かず速やかに削除すること。

(3) 情報セキュリティ責任者の指示があったときは、直ちに電子計算機等の機器においてウイルス検査を行うこと。

(4) 情報セキュリティ責任者が提供するウイルス情報を常に確認すること。

(5) 情報資産がウイルスに感染したときは、感染した情報資産の使用を直ちに中止し、情報セキュリティ責任者に連絡して指示に従うこと。

第5款 情報システムの開発、導入、保守等

(情報システムの調達)

第46条 情報セキュリティ管理者は、情報システムの調達に当たっては、一般に公開する調達仕様が情報セキュリティの確保に支障を及ぼすことのないよう配慮しなければならない。

2 情報セキュリティ管理者は、情報システムの調達に当たっては、機器及びソフトウェア等が情報セキュリティの確保に支障を及ぼすことがないよう必要な措置を講じなければならない。

3 情報セキュリティ管理者は、情報システムの調達における委託先の事業者の選定に当たっては、当該事業者が委託内容に応じた情報セキュリティ対策を講じていることを確認しなければならない。

(事業者との必須契約事項)

第47条 情報セキュリティ管理者は、情報システムの開発及び保守(以下この条において「開発等」という。)を事業者に委託するときは、事故及び不正な行為への対策のため、次に掲げる事項を契約書に定めなければならない。

(1) 責任者及び監督者の配置

(2) 作業者及び作業範囲の指定

(3) 開発等の際のアクセス制限

(4) 機器搬出入時の情報セキュリティ責任者の許可及び確認

(5) 開発等記録の管理

(6) マニュアル等の定められた場所への保管

(7) 開発等を行った者の利用者パスワード等の当該開発等終了後に不要となった時点での利用者パスワード等の速やかな抹消

(8) この規則の遵守及び本町の情報資産に関する守秘義務

(9) 提供された情報の目的外利用及び受託者以外の者への提供の禁止

(10) 再委託に関する制限

(11) 委託業務終了時の情報資産の返還、廃棄等

(12) 委託業務の定期報告及び緊急時報告の義務

(13) 個人情報の秘密保持

(14) 個人情報の複写及び複製の禁止

(15) 個人情報の授受及び搬送

(16) 個人情報の管理状況についての立入調査

(17) 前各号に定める事項に違反した場合における契約解除等の措置及び損害賠償

(18) 町による監査及び検査

(19) 町による事故時等の公表

(情報システムの導入)

第48条 情報セキュリティ管理者は、新たに情報システムを導入し、既存の情報システムに接続する場合には、セキュリティ上の問題点の有無を確認するため、事前に試験を行わなければならない。

2 情報セキュリティ管理者は、前項の試験に使用したデータ及びその結果を一定期間保管しなければならない。

(情報システムの更新等)

第49条 情報セキュリティ責任者は、情報システムを更新し、又は修正するときは、他のシステムとの適合性を確認しなければならない。

2 情報セキュリティ責任者は、情報セキュリティに重大な影響を及ぼす不具合に対しては、直ちに修正プログラムを導入する等の対応を行わなければならない。

(機器の修理)

第50条 情報セキュリティ管理者は、メディアの含まれる機器を事業者に修理させるときは、当該メディアに記録された行政情報を退避した状態で修理を行わせなければならない。ただし、その行政情報を退避させることが困難な場合でセキュリティ責任者の許可を得た場合は、この限りでない。

第4節 運用

(規則の遵守状況等の確認等)

第51条 情報セキュリティ管理者は、各課におけるこの規則の遵守状況及び情報セキュリティ状況について常に確認を行い、問題が発生していたときは、直ちに情報セキュリティ責任者に報告しなければならない。

2 職員は、この規則に対する違反が発生したことを知ったときは、直ちに情報セキュリティ管理者に報告を行わなければならない。

3 情報セキュリティ管理者は、前項の違反が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断したときは、次節に定める緊急時の対応計画に従って対処しなければならない。

4 情報セキュリティ責任者は、発生した情報セキュリティ上の問題に、直ちに、かつ、適切に対処するとともに、その問題の重要度に応じて情報セキュリティ最高責任者に報告しなければならない。

(アクセス記録等の調査及び監視)

第52条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティを確保するためやむを得ない場合には、必要最小限の範囲で、それぞれの所管する本町のネットワーク及び情報システム(第57条において「情報システム等」という。)におけるアクセス記録及び電子メール等の内容を調査し、及び監視する権限を有する。

第5節 緊急時の対応計画

(侵害等の調査及び連絡)

第53条 職員は、情報セキュリティに関する侵害等を発見したときは、直ちに情報セキュリティ管理者に報告し、情報セキュリティ管理者の指示に従い必要な措置を講じなければならない。

2 情報セキュリティ管理者は、前項の侵害等が発生した原因、確認した被害及び影響範囲について直ちに調査し、情報セキュリティ責任者に報告しなければならない。

(侵害等への対処)

第54条 情報セキュリティ責任者及び情報セキュリティ管理者は、前条第1項の侵害等に対処するため、次に掲げる事項を直ちに実施しなければならない。

(1) 次のからまでのいずれかに掲げる状況が発生したときの情報セキュリティ実施手順に定めた連絡先への連絡

 サイバーテロ又はその他の侵害等により情報資産に重大な被害が生じるおそれがあるとき。

 侵害等が不正アクセスその他の犯罪であると思慮されるとき。

 本町のネットワークを経由して他の情報システムに被害を与えるおそれがあるとき。

 からに掲げるもののほか、本町の情報資産に係る被害が発生したとき。

(2) 次のからまでのいずれかに掲げる侵害等が発生したときの本町のネットワークの切断

 本町のネットワークに対して異常なアクセスが継続しているとき又は不正アクセスが行われていることが判明したとき。

 本町の情報システムの運用に著しい支障を来すアクセスが継続しているとき。

 ウイルス等の不正プログラムがネットワーク経由で本町のネットワーク内に広がっているとき。

 その他本町の情報資産に係る重大な被害が想定されるとき。

(3) 次のからまでのいずれかに掲げる侵害等が発生したときの本町の情報システムの停止

 ウイルス等不正プログラムが本町の情報資産に深刻な被害を及ぼしているとき。

 災害等により本町の情報システムに電源を供給することが危険又は困難なとき。

 その他本町の情報資産に係る重大な被害が想定されるとき。

2 情報セキュリティ責任者及び情報セキュリティ管理者は、侵害等に係る情報システムのアクセス記録及び現状を保存し、証拠保全に努めるとともに、侵害等に対処した経過を記録しなければならない。

(例外的な措置の実施)

第55条 情報セキュリティ管理者は、行政事務の適正な遂行を確保するため、この規則の規定により遵守することとされる事項(以下この条において「遵守事項」という。)をこの規則の規定と異なる方法で処理することに合理的な理由があるときは、情報セキュリティ最高責任者の許可を得た上で、遵守事項について例外的な措置を行うことができる。

2 前項に規定する例外的な措置は、特に緊急を要し、かつ、その実施を避けることができないときは、情報セキュリティ最高責任者の許可を得ることなく行うことができる。この場合において、情報セキュリティ管理者は、当該例外的な措置を行ったことについて、事後速やかに情報セキュリティ最高責任者に報告しなければならない。

(再発防止の措置)

第56条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティ侵害等に係る要因分析を実施し、必要に応じてこの規則及び情報セキュリティ実施手順の改善を行い、侵害等の再発を防止しなければならない。

第6節 評価及び見直し

(情報セキュリティの点検)

第57条 情報セキュリティ責任者は、情報システム等の情報セキュリティについての点検を定期的に行い、その結果を情報セキュリティ最高責任者に報告しなければならない。

2 情報セキュリティ責任者は、前項の点検により、何らかの対策を必要とする事項(以下「指摘事項」という。)を認めたときは、当該指摘事項に係る情報システム等を所管する情報セキュリティ管理者に対し、必要な対策を行うよう指示しなければならない。この場合において、情報セキュリティ責任者は、当該指摘事項に係る情報システム等と同様の情報システム等を所管する情報セキュリティ管理者に対して、当該指摘事項に関する対策の必要性の有無を確認させるものとする。

3 情報セキュリティ管理者は、指摘事項について、自己の権限の範囲内で改善を図らなければならない。

(規則の見直し)

第58条 情報セキュリティ最高責任者は、情報セキュリティに関し、新たな対策が必要な事態が発生したとき又は点検の結果により何らかの対策が必要と判断されるときは、篠栗町電算運用委員会において情報セキュリティの実効性を評価し、この規則について必要な部分の見直しを行わなければならない。

第3章 雑則

(委任)

第59条 この規則の施行に関し必要な事項は、町長が別に定める。

附 則

この規則は、公布の日から施行する。

篠栗町情報セキュリティに関する規則

平成24年12月28日 規則第20号

(平成24年12月28日施行)

体系情報
第3編 執行機関/第1章 町  長/第4節 情報の公開・保護等
沿革情報
平成24年12月28日 規則第20号