○阿久根市住民基本台帳ネットワークシステムセキュリティ管理規程
平成14年8月1日
訓令第12号
目次
第1章 総則(第1条―第3条)
第2章 セキュリティ組織(第4条―第8条)
第3章 入退室管理(第9条―第11条)
第4章 アクセス管理(第12条―第16条)
第5章 本人確認情報管理(第17条―第21条)
第6章 情報資産管理(第22条・第23条)
第7章 委託管理(第24条―第27条)
第8章 その他(第28条―第31条)
附則
第1章 総則
(目的)
第1条 この規程は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するために必要な事項を定め、もって本人確認情報に関する事務を適正かつ確実に実施することを目的とする。
(定義)
第2条 この規程において用いる用語の意義は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)及び法に基づく命令(総務省告示を含む。)において用いる用語の例による。
(適用範囲)
第3条 この規程は、市長部局に属する職員について適用するほか、市長の権限に属する事務を補助執行する本市の他の執行機関並びに法第30条の10、法第30条の12及び法第30条の13の規定により本人確認情報の提供を受ける本市の他の執行機関に所属する職員について適用するものとする。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充てる。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
(セキュリティ責任者)
第6条 住基ネットを利用する課等においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、市民環境課長、三笠支所長、大川出張所長及び税務課長をもって充てる。
(セキュリティ会議)
第7条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) セキュリティ統括責任者が必要と認める者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直しに関すること。
(2) 前号のセキュリティ対策の遵守状況の確認に関すること。
(3) 監査に関すること。
(4) 教育及び研修に関すること。
4 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、市民環境課において処理する。
(関係課等に対する指示等)
第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課等の長に対し指示し、又は他の執行機関に対し必要な措置を要請することができる。
第3章 入退室管理
(入退室管理者)
第9条 次に掲げる住基ネットの運用が行われる室及び場所(以下「室等」という。)への入退室の管理を行うため、入退室管理者を置く。
(1) 住基ネットのデータ、セキュリティ情報等の保管室
(2) サーバ及びネットワーク機器の設置室
(3) 統合端末の設置場所
(2) 前項第3号の設置場所 セキュリティ責任者
(入退室管理の方法)
第10条 前条第1項の室等への入退室は、入退室管理者の許可を得て行うものとする。
2 入退室管理者は、入退室管理簿を作成し、入退室(前条第1項第3号の場所への入退室を除く。)に関する記録を行い、保存するものとする。
3 前項に定めるもののほか、入退室管理者は、住基ネットのセキュリティを確保するため、入退室の管理に関し必要な措置をとらなければならない。
(入退室に関する指示等)
第11条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第12条 システム管理者は、次に掲げる住基ネットの構成機器について、アクセス管理を行う。
(1) サーバ
(2) 統合端末
2 前項のアクセス管理は、次に掲げる情報を認証することにより操作者の正当な権限を確認し、及び操作履歴を記録することにより行うものとする。
(1) 照合ID(職員1人に付き1つずつ付与され、認証時に操作者によって入力される符号をいう。以下同じ。)
(2) 照合情報(個人の静脈の情報に不可逆演算処理を施して得られた情報をいう。以下同じ。)
(3) 操作者ID(業務を実施するために必要な権限に紐付けられる符号をいう。以下同じ。)
(照合ID、照合情報及び操作者ID)
第13条 システム管理者は、照合ID、照合情報及び操作者ID(に関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、セキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第14条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の保管)
第15条 システム管理者は、操作履歴について、7年前まで遡って解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第16条 システム管理者は、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施するものとする。
第5章 本人確認情報管理
(本人確認情報管理責任者)
第17条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう)のうち、本人確認情報(データ)、当該本人確認情報が記録された帳票及び個人番号カード・住民基本台帳カードについて、本人確認情報管理を行うため、本人確認情報管理責任者を置く。
2 本人確認情報管理責任者は、市民環境課長をもって充てる。
(本人確認情報の適正な管理)
第18条 本人確認情報管理責任者は、次に掲げる事項を処理し、本人確認情報の適正な管理を行うものとする。
(1) 本人確認情報を取り扱うことができる者を指定すること。
(2) 本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じること。
(3) 本人確認情報が記録されたサーバに係る帳票及び個人番号カード・住民基本台帳カードのその他情報資産の管理方法を定めること。
(4) セキュリティ責任者と協議して、住基ネットのオペレーション計画を定めること。
(5) 不正アクセス又は不正アクセスのおそれがある場合において、本人確認情報の漏えいや毀損等の被害を受けるおそれがあるとき、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、速やかに改善措置を講ずること。
(本人確認情報の取扱い方法)
第19条 職員は、本人確認情報を取り扱うときは、次に掲げる事項に留意しなければならない。
(1) 統合端末の画面情報に関する事項
ア ディスプレイを、来庁者等に画面を見られることがないよう設置すること。
イ ディスプレイに、斜視防止フィルタを適用する等ののぞき見防止措置を行うこと。
ウ タッチパネルを利用した入力については、タッチパネル画面から本人確認情報等が第三者から確認できないように配慮すること。
エ スクリーンセーバの起動までの時間を適宜設定し、解除にパスワードの入力が要求されるよう設定して画面を長時間表示させないこと。
(2) 本人確認情報の入力、削除及び訂正に関する事項
ア 入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を確認すること。
イ 本人確認情報の入力、削除及び訂正から確認までを2名以上で行うこと。
ウ 入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄すること。
エ 帳票の内容によっては、本人確認情報変更管理簿に記載し、施錠可能な書庫等に施錠保管すること。
オ 訂正は、本人確認情報管理責任者の許可を得て行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保存すること。
カ 本人確認情報のメモへの書込み及び端末へのテキスト文書としての保存はしないこと。
キ 本人確認情報の入力、削除及び訂正を行ったときは、実施日、実施者、処理内容の記録を残すこと。
(3) 本人確認情報の検索及び抽出に関する事項
ア 業務上必要のない検索は行わないこと。
イ 事前に検索・抽出条件を明確にすること。
ウ 検索・抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーをとらないこと。必要があるときは、事前に本人確認情報管理責任者の承認を得てその記録を残すこと。
エ 本人確認情報の入出力を行う場合において、可搬性のある記録媒体を一時的に使用するときは、必ず住基ネット専用の記録媒体を用いるとともに、接続前にウイルスチェックを行った後に接続すること。
オ 一時的に使用した記録媒体に存在する本人確認情報は、必ず削除等を行うこと。
(4) 離席に関する事項
業務アプリケーションを必ずログオフ又は終了させること。
(5) 大量の本人確認情報の出力に関する事項
ア 整合性確認処理時のファイルへの出力数が20名以上のときは、大量の出力に該当するものとすること。
イ 大量に本人確認情報を出力することは基本的に実施しないものとし、必要があるときは、事前に本人確認情報管理責任者の決裁及び承認を得て、その記録を残すこと。
(6) 統合端末の配置及び状況把握に関する事項
ア 本人確認情報管理責任者が目視することができる位置に統合端末を配置すること。
イ 本人確認情報管理責任者は、統合端末の利用状況を目視等により確認すること。
(本人確認情報取扱い状況の確認)
第20条 本人確認情報管理責任者は、月1回以上、次に掲げる事項について確認し、その結果を記録するものとする。
(1) 住民票コード通知票について、実際の業務の中で遵守されていること。
(2) 操作ログに業務上必要のない操作履歴が残っていないこと。
(3) 業務上必要のない検索又は抽出が行われていないこと。
(帳票の管理方法)
第21条 本人確認情報管理の対象とする帳票は、次に掲げるとおりとする。
(1) 広域交付住民票
(2) 転出証明確認書
(3) 転入通知確認書
(4) 住民票コード通知票
(5) 住民票コード変更通知票
(6) 住民票の写しの広域交付・転入出(住基カード)処理件数一覧表
(7) 住民票コード要求・付番処理件数一覧表
(8) 本人確認情報更新処理件数一覧表
(9) 本人確認情報整合結果リスト
(10) 本人確認情報リスト
(11) 住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表
(12) 住民票コード要求・付番処理件数年合計一覧表
(13) 本人確認情報更新処理件数年合計一覧表
(14) 戸籍附票記載事項通知処理件数一覧表
2 本人確認情報管理責任者は、次に掲げる事項を記録するための帳票管理簿を作成し、帳票の出力、保管、廃棄等を行うときは、職員に必要事項を記録させるものとする。ただし、住民からの申請書に基づき帳票を出力した場合は、当該申請書により帳票管理簿への記録に代えることができる。
(1) 出力に関する事項
ア 帳票の内容(数量及び内訳)
イ 出力日
ウ 出力する職員の氏名及び所属部署名
エ 使用理由
オ 本人確認情報管理責任者の承認
カ 使用の際の注意項目
(2) 保管に関する事項
ア 保管場所
イ 保管期間
(3) 廃棄に関する事項
ア 廃棄日
イ 廃棄する職員の氏名及び所属部署名
ウ 廃棄理由
エ 本人確認情報管理責任者の承認
オ 廃棄方法
3 職員は、帳票を出力するときは、次に掲げる事項に留意しなければならない。
(1) 来庁者等に出力帳票を見られないように出力装置を設置すること。
(2) 帳票を出力したときは、出力装置上に放置せず、速やかに回収すること。
(3) 出力装置を適時確認し、帳票が放置されているときは、出力した職員を特定して注意するとともに、長時間放置されたものは廃棄すること。
4 職員は、帳票及び帳票管理簿を保管するときは、施錠可能な書庫等に保管し、権限のない者がアクセスできないようにしなければならない。
5 職員は、帳票を廃棄するときは、次に掲げる事項に留意しなければならない。
(1) 事前に本人確認情報管理責任者の承認を得ること。
(2) 帳票の内容を読み出すことができないよう焼却、裁断、溶解の方法により廃棄すること。
(3) 廃棄状況を帳票管理簿に記録して本人確認情報管理責任者へ報告すること。
6 本人確認情報管理責任者は、帳票受渡管理簿を作成し、帳票を利用する職員に、次に掲げる事項を記録させるものとする。
(1) 帳票名
(2) 利用者
(3) 利用目的
(4) 利用日
(5) 返却予定日
(6) 利用場所
(7) 返却日
(8) 本人確認情報管理責任者の確認
7 職員は、帳票を持ち出すときは、次に掲げる事項に留意しなければならない。
(1) 帳票受渡管理簿に必要項目を記録して本人確認情報管理責任者の承認を得ること。
(2) 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しないこと。
(3) 原則として複写はしないこと。
(4) 帳票の盗難又は紛失の場合は、直ちに本人確認情報管理責任者へ報告すること。
(5) 返却するときは、帳票受渡管理簿に必要事項を記録し本人確認情報管理責任者へ報告すること。
8 本人確認情報管理責任者は、月1回以上、次に掲げる事項について確認し、その結果を記録するものとする。
(1) 帳票管理簿に必要な事項が記録されていること。
(2) 帳票管理簿と現況が一致し紛失等がないこと。
(3) 出力装置が、来庁者等に出力された帳票を見られないよう設置されていること。
(4) 帳票及び帳票管理簿が施錠可能な書庫等に保管されており、権限のない者がアクセスできないようにされていること。
(5) 廃棄状況の記録が残っていること。
第6章 情報資産管理
(情報資産管理責任者)
第22条 住基ネットの情報資産(住基ネットに係る全ての情報のうち、本人確認情報(記録データ、出力帳票及び個人番号カード・住民基本台帳カード)を除いたデータ並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について管理するため、情報資産管理責任者を置く。
2 情報資産管理責任者は、総務課長をもって充てる。
(情報資産の適正な管理)
第23条 情報資産管理責任者は、次に掲げる事項を処理し、情報資産の適正な管理を行うものとする。
(1) 情報資産の管理方法を定めること。
(2) 住基ネットワークに係る処理における機密性、正確性及び継続性を確保するため、ソフトウェア、ハードウェア及びネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずること。
第7章 委託管理
(委託を受けようとする者の管理体制等の調査)
第24条 システム管理者は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第25条 システム管理者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第26条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外利用、複製・複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(6) 契約解除に関する事項
(7) 損害賠償に関する事項
(8) 前各号に定めるもののほか、個人情報保護について必要な事項
(受託者の管理状況の調査)
第27条 システム管理者は、必要に応じ、外部委託に係る委託業務の範囲及び委託先のセキュリティ対策の実施状況について、調査するものとする。
第8章 その他
(監査)
第28条 セキュリティ統括責任者は、住基ネットのセキュリティを確保するため定期又は必要に応じて随時監査を実施するものとする。
(研修)
第29条 セキュリティ統括責任者は、住基ネットに携わる職員に対し、必要な知識の修得に資するため、機器の操作及びセキュリティ対策に関する研修を行うものとする。
(緊急時対応計画書の策定)
第30条 セキュリティ統括責任者は、住基ネットにおける障害及び不正行為の発生を未然に防止し、これらが発生した場合における被害の拡大の防止及び早急な復旧を図るため、緊急時対応計画書を策定するものとする。
(委任)
第31条 この規程に定めるもののほか、住基ネットのセキュリティ管理に関し必要な事項は、市長が別に定める。
附則
この訓令は、平成14年8月5日から施行する。
附則(平成15年3月訓令第3号)
この訓令は、平成15年4月1日から施行する。
附則(平成19年3月訓令第14号)
この訓令は、平成19年4月1日から施行する。
附則(平成26年8月訓令第2号)
この訓令は、令達の日から施行する。
附則(令和3年2月訓令第1号)
この訓令は、令達の日から施行する。
附則(令和5年12月訓令第19号)
この訓令は、令達の日から施行する。