○堺市情報セキュリティ基本規程
令和5年3月31日
庁達第8号
堺市電子計算機管理運用規程(平成15年庁達第2号)の全部を改正する。
(趣旨)
第1条 この規程は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティに係る対策(以下「情報セキュリティ対策」という。)について基本的な事項を定める。
(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェアをいう。)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録であって、電子計算機による情報処理の用に供されるもの(以下「データ」という。)に係る記録媒体をいう。以下同じ。)で構成された情報処理を行う仕組みをいう。
(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー この規程及び第9条第1項の情報セキュリティ対策基準をいう。
(5) 機密性 情報を利用することを認められた者だけが、情報を利用できる状態を確保することをいう。
(6) 完全性 情報が破壊され、改ざんされ、又は消去されていない状態を確保することをいう。
(7) 可用性 情報を利用することを認められた者が、必要なときに中断されることなく、情報を利用できる状態を確保することをいう。
(8) マイナンバー利用事務系 個人番号(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第5項に規定する個人番号をいう。)を利用する事務又は戸籍事務等に関わる情報システム及びデータをいう。
(9) LGWAN接続系 LGWAN(地方公共団体の組織内ネットワークを相互に接続し、情報の高度利用を行うためのネットワークをいう。)に接続された情報システム及び当該情報システムで取り扱うデータ(これらのうち前号に該当するものを除く。)をいう。
(10) インターネット接続系 インターネットに接続された情報システム及び当該情報システムで取り扱うデータをいう。
(11) 無害化通信 電子メールの本文のテキスト化、端末への画面転送等により、コンピュータウイルス等の不正プログラムが付着しない通信その他の安全が確保された通信をいう。
(12) 職員等 本市の職員及び派遣労働者(労働者派遣事業の適正な運営の確保及び派遣労働者の保護等に関する法律(昭和60年法律第88号)第26条第1項に規定する労働者派遣契約に基づき本市に派遣され、本市の事務に従事している者をいう。)をいう。
(対象とする脅威)
第3条 本市において想定する情報資産に対する脅威は、次のとおりとする。
(1) 不正アクセス、コンピュータウイルスによる攻撃等のサイバー攻撃、部外者の侵入その他の意図的な要因による情報資産の漏えい、破壊、改ざん及び消去、重要情報の詐取並びに内部不正等
(2) 情報資産の無断での持ち出し等の規定違反、プログラム上の欠陥、外部委託管理の不備、機器の故障その他の非意図的な要因による情報資産の漏えい、破壊及び消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模又は広範囲にわたる疾病による要員不足に伴う情報システムの運用に係る機能不全等
(5) 電力供給、通信又は水道供給の途絶その他の社会基盤の障害からの波及等
(適用範囲)
第4条 この規程は、市長その他の執行機関その他法律の規定に基づき本市に置かれる機関(議会を除く。)及びこれらに置かれる機関並びに議会事務局が保有する情報資産について適用する。
2 この規程において対象とする情報資産は、次のとおりとする。
(1) ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
(2) ネットワーク及び情報システムで取り扱う情報(入出力帳票その他の用紙に記録されたもの及び情報システムで保有する情報と同種の情報であって、紙媒体で保有するものを含む。)
(3) 情報システムの仕様書、ネットワーク図その他のシステム関連情報
(職員等の遵守義務)
第5条 職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たっては、情報セキュリティポリシー及び第10条第1項の情報セキュリティ実施手順を遵守しなければならない。
(1) 組織体制 本市の保有する情報資産について、情報セキュリティ対策を推進するための全庁的な組織体制を確立すること。
(2) 情報資産の分類及び管理 本市の保有する情報資産を、機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を講ずること。
ア マイナンバー利用事務系 原則として、マイナンバー利用事務系の情報システムと、これ以外の情報システムとの通信ができないようにした上で、端末からの情報の持ち出しができない設定、端末への多要素認証の導入等により、住民情報の流出を防ぐこと。
イ LGWAN接続系 LGWAN接続系の情報システムと、インターネット接続系の情報システムとの間における通信環境を分離した上で、安全が確保された通信のみを許可できるようにすること。この場合において、両情報システム間で通信する場合には、無害化通信を実施すること。
ウ インターネット接続系 高度な情報セキュリティ対策として、不正通信の監視機能の強化、自治体情報セキュリティクラウドの導入等を実施すること。
(4) 物理的セキュリティ サーバ、通信回線及び情報システム室並びにパーソナルコンピュータ等の管理について、物理的な対策を講ずること。
(5) 人的セキュリティ 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講ずること。
(6) 技術的セキュリティ コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的な対策を講ずること。
(7) 運用 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、業務委託を行う際の情報セキュリティの確保その他の情報セキュリティポリシーの運用面における対策を講ずるとともに、情報資産に対する情報セキュリティの侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定すること。
ア 業務委託を行う場合 適切な委託事業者を選定し、情報セキュリティに係る要件を明記した契約を締結するとともに、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講ずること。
イ 外部サービスを利用する場合 当該外部サービスの利用に係る規定を整備し、対策を講ずること。
ウ ソーシャルメディアサービスを利用する場合 イに定めるもののほか、当該サービスに係る運用手順、当該サービスにおいて発信できる情報及び当該サービスごとの責任者を定めること。
(情報セキュリティ監査及び自己点検の実施)
第7条 情報セキュリティに係る監査を所掌する者(当該監査の対象となる組織以外の組織に属する課長級以上の職員のうちから市長が指名する者をいう。)は、情報セキュリティポリシーの遵守状況を検証するため、定期的に、又は必要に応じて、情報セキュリティに係る監査を実施しなければならない。
2 情報セキュリティに係る対策について統括的な権限及び責任を有する職員は、情報システムを使用する組織の長と連携して、定期的に、又は必要に応じて、情報セキュリティに係る自己点検を実施しなければならない。
(情報セキュリティポリシーの見直し)
第8条 市長は、前条の規定により実施した情報セキュリティに係る監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため、新たな情報セキュリティ対策が必要となった場合は、情報セキュリティポリシーを見直すものとする。
(情報セキュリティ対策基準の策定等)
第9条 市長は、前3条に規定する情報セキュリティ対策等を実施するため、職員等の具体的な遵守事項、判断基準等を定める情報セキュリティ対策基準を策定するものとする。
2 前項の規定により策定した情報セキュリティ対策基準は、公開するものとする。ただし、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがある部分については、非公開とする。
(情報セキュリティ実施手順の策定等)
第10条 情報システムを所管する組織の長は、前条第1項の情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を作成し、当該情報システムを使用する職員等に対し、その周知徹底を図らなければならない。
2 前項の情報セキュリティ実施手順は、非公開とする。
(補則)
第11条 この規程に定めるもののほか、情報セキュリティ対策の実施について必要な事項は、市長が別に定める。
附則
この庁達は、令和5年4月1日から施行する。