○新島村情報セキュリティ対策基準に関する規則
平成27年12月10日
規則第12号
目次
第1章 総則(第1条・第2条)
第2章 情報セキュリティ管理体制(第3条―第7条)
第3章 情報資産の分類と管理(第8条―第12条)
第4章 物理的セキュリティ対策(第13条・第14条)
第5章 人的セキュリティ対策(第15条―第21条)
第6章 技術的セキュリティ対策(第22条―第31条)
第7章 監査、評価等(第32条―第34条)
第8章 補則(第35条)
附則
第1章 総則
(趣旨)
第1条 この規則は、新島村情報セキュリティ基本方針に関する規則(平成27年新島村規則第11号)第9条の規定に基づき、情報セキュリティを確保する上での具体的な措置、遵守すべき行為、判断基準等に関し必要な事項を定めるものとする。
(1) 記録媒体 フロッピーディスク、MOディスク、磁気テープ等の取り出し可能な記録媒体をいう。
(2) ユーザID 情報システムを利用する権利を有する者であることを識別するために割り当てられた文字列をいう。
(3) パスワード 情報システムを利用する者が本人であることを識別するための暗証文字列をいう。
(4) ログイン 情報システムを使用可能な状態にする手続をいう。
(5) プロトコル ネットワークを介してコンピュータ相互の通信を行うための通信手順をいう。
(6) ポート サーバが他のパソコン等と同時に接続を行うために使われる識別番号をいう。
(7) アクセス記録 ユーザID、使用した電子情報、使用した日時等の記録をいう。
(8) データ 電子計算処理(村が管理する電子計算組織による事務の処理をいう。)に係る磁気媒体及び入出力帳票に記載された情報をいう。
2 前項に定めるもののほか、この基準において使用する用語は、新島村情報セキュリティ基本方針に関する規則において使用する用語の例による。
第2章 情報セキュリティ管理体制
(情報セキュリティ管理体制)
第3条 情報セキュリティを総合的、体系的かつ具体的に確保するため、この章に定めるところにより、村の情報セキュリティ管理体制を整備する。
(最高情報統括責任者)
第4条 当村における全ての情報セキュリティを統括する責任者として、最高情報統括責任者(以下「統括責任者」という。)を置き、副村長をもって充てる。
2 統括責任者は、当村における情報システム及び情報資産を総括的に管理し、情報セキュリティ対策を総合的に実施する。
3 統括責任者に事故があるとき、又は統括責任者が欠けたときは、総務課長がその職務を代理する。
(情報セキュリティ管理者)
第5条 各課等における情報セキュリティを統括する責任者として、情報セキュリティ管理者(以下「セキュリティ管理者」という。)を置き、各課長及び課長相当職(議会事務局長を含む。)の職にある者をもって充てる。
2 セキュリティ管理者は、情報セキュリティポリシーの実施状況を定期的に点検し、統括責任者に対して情報セキュリティに関する報告等を行う。
3 セキュリティ管理者は、課内の情報資産を管理し、当該情報資産に係る情報セキュリティを確保する。
(情報システム管理者)
第6条 情報システムの管理運用及び情報システムにおける情報セキュリティの確保に関する責任者として、情報システム管理者(以下「システム管理者」という。)を置き、情報通信担当課長をもって充てる。
2 システム管理者は、情報システム及び情報資産を適切に管理し、情報システムにおけるセキュリティを確保する。
3 システム管理者は、システム管理者があらかじめ指定する者を、情報システム担当者(以下「システム担当者」という。)を選任することができる。
4 システム担当者は、システム管理者が行う全ての業務においてこれを補佐する。
(重要事項の協議、調整等)
第7条 情報セキュリティポリシーの策定、運用、評価、見直しその他情報セキュリティに関し重要な事項は、新島村情報化推進委員会設置要綱(平成27年新島村要綱第10号)の規定に基づく新島村情報化推進委員会(以下「委員会」という。)において協議、調整等を行うものとする。
第3章 情報資産の分類と管理
(情報資産の管理者)
第8条 情報資産の管理者は、当該情報資産を作成し、収受し、又は複製した課のセキュリティ管理者とする。
(情報資産の分類)
第9条 情報資産は、データ保護の重要性並びに情報セキュリティに対する侵害が生じた場合の影響の程度及び範囲を考慮し、次のとおり分類する。
(1) 重要性分類Ⅰ 特定個人情報及び村民の生命、財産等に重大な影響を及ぼす情報資産
(2) 重要性分類Ⅱ 行政事務の執行等に重大な影響を及ぼす情報資産
(3) 重要性分類Ⅲ 行政事務の執行等に軽微な影響を及ぼす情報資産
(4) 重要性分類Ⅳ 前3号以外の情報資産
2 前項の分類(以下「重要性分類」という。)は、当該情報資産を所管するセキュリティ管理者が行う。
(重要性分類の表示)
第10条 セキュリティ管理者は、可搬性がある情報システム端末(以下「情報端末」という。)、記録媒体等に重要性分類の表示をする等適切な管理をしなければならない。この場合においては、第三者が重要性分類の識別を容易にすることができないよう留意しなければならない。
(情報資産の取扱い)
第11条 セキュリティ管理者は、情報資産を取り扱う職員(定年前再任用短時間勤務職員、非常勤嘱託職員及び臨時職員を含む。以下同じ。)又はその方法を限定する等の措置を講じ、職員に重要性分類に基づいた情報資産の取扱いをさせなければならない。
2 職員は、重要性分類Ⅰ又は重要性分類Ⅱの情報資産について、複製、保管場所の移動等をする場合は、当該情報資産を所管するセキュリティ管理者の許可を受けなければならない。
3 セキュリティ管理者は、重要性分類Ⅰ又は重要性分類Ⅱの情報資産については、施錠が可能な場所への保管等安全な方法で保管しなければならない。
4 セキュリティ管理者は、情報資産が業務上の理由なく、定められた場所以外に持ち出され、又は外部に転送されることのないよう措置を講じなければならない。
5 セキュリティ管理者は、重要性分類の区分に応じ、定期的又は随時に情報資産の内容を確認するとともに、データを別の記録媒体に複製してこれを適切に保管する等の措置を講じなければならない。
(情報資産の廃棄)
第12条 職員は、重要性分類Ⅰ又は重要性分類Ⅱの情報資産を廃棄する場合は、当該情報資産を所管するセキュリティ管理者の許可を受けることとし、行った処理について、日時、担当者及び処理内容を記録しなければならない。
2 職員は、重要性分類Ⅰ又は重要性分類Ⅱの情報資産を記録した媒体が不要となった場合は、当該情報資産の内容が復元されることがないよう、消去を行った上で廃棄しなければならない。
第4章 物理的セキュリティ対策
(1) 機器の設置
ア 火災、水害、ほこり、振動、温度、湿度、静電気、電磁波等の影響を可能な限り排除した場所に設置し、容易に取り外せないように固定する等の措置を講じること。
イ 重要性分類Ⅰ又は重要性分類Ⅱの情報資産を格納及び運用しているホストコンピュータ、サーバ等(以下「重要な情報システム」という。)については、二重化、ミラーリング等の措置をとり、システムの運用に支障を来たさないよう措置を講じること。
ウ 重要な情報システムについては、システム管理者、職員及び契約により操作を認められた委託事業者以外の者が容易に操作できないように、利用者のID及びパスワードの設定等の措置を講じること。
エ 重要な情報システムにおける基幹機器の取付けに当たっては、配線等から放射される電磁波により、情報が漏えいすることのないよう必要な措置を講じること。
(2) 電源 重要な情報システム及びそれに記録されている情報資産を、落雷等による停電又は過電流から保護するため、必要な措置を講じること。
(3) 配線
ア 傍受、電磁波障害、物理的損傷等を受けることがないよう、必要な措置を講じるとともに、主要な配線については、定期的な点検を実施すること。
イ 権限のない者がネットワーク配線の変更又は追加を行うことができないように、ルータ、ハブ等の通信機器の設置に際しては、必要な措置を講じること。
(4) 外部設置の承認 村庁舎以外の場所に重要な情報システムを設置する場合は、統括責任者の承認を受けるとともに、設置後も、情報セキュリティ対策について定期的な点検を行う等、適切に管理すること。
(1) 管理区域の整備
ア 水害対策及び確実な入退室管理が行えるよう、設置場所について配慮すること。
イ ドア、窓等の開口部は必要最小限にとどめ、鍵、警報装置等を設置して不正な立入りを防止できるようにすること。
ウ 特に厳重に耐震及び耐火対策を講じること。
エ 機器及び記録媒体に損傷を与えるおそれのない消火剤を備えること。
オ 電気容量又は空調能力の不足等により、基幹機器の運用に支障が生じないことを事前に確認すること。
(2) 管理区域の入退室管理
ア 入室を許可した者以外の者は、入室させないこと。
イ 入退室管理簿、認証システム等による入退室管理を行うこと。
ウ 機器の搬出入を行う場合は、職員が立ち会う等の措置を講じること。
第5章 人的セキュリティ対策
(職員の責務)
第15条 職員は、情報システム及び情報資産を利用する場合は、情報セキュリティポリシー及び情報セキュリティ実施手順(以下「実施手順」という。)に定められている事項並びに次の関係法令等(以下「関係法令等」という。)を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2) 著作権法(昭和45年法律第48号)
(3) 個人情報の保護に関する法律(平成15年法律第57号)
(7) その他情報セキュリティに関する法令等
2 職員は、情報セキュリティポリシー又は実施手順に定められている事項に疑問等がある場合は、速やかにシステム管理者又はセキュリティ管理者に相談し、指示等を受けなければならない。
3 職員は、業務以外の目的で情報システム又は情報資産を利用してはならない。ただし、職員の福利厚生その他システム管理者が認める目的に使用する場合は、この限りでない。
4 職員又は職員であった者は、情報システム又は情報資産を取り扱う業務に関し知り得た秘密及び個人に関する情報を漏らしてはならない。
5 職員は、情報資産が許可なく第三者に閲覧され、又は使用する情報端末若しくは記録媒体が第三者に使用されることがないようにするため、適切な措置を講じなければならない。
6 職員は、情報端末等に周辺機器等を接続してはならない。ただし、システム管理者の許可を受けた場合は、この限りでない。
7 職員は、情報端末にソフトウェアをインストールし、又は情報端末からソフトウェアをアンインストールしてはならない。ただし、システム管理者の許可を受けた場合は、この限りでない。
8 職員は、情報端末等を執務室外に持ち出してはならない。ただし、システム管理者の許可を受けた場合は、この限りでない。
9 職員は、個人の所有する記録媒体、パーソナルコンピュータ等を業務に使用してはならない。ただし、システム管理者の許可を受けた場合は、この限りでない。
(違反への対応)
第16条 職員が情報セキュリティポリシー、実施手順及び関係法令等に違反した場合は、当該違反により生じた結果の重大性及び当該違反の態様等の状況に応じ、地方公務員法(昭和25年法律第261号)等の定めにより懲戒処分その他適切な措置を講じるものとする。
(事故及び欠陥の対処)
第17条 職員は、情報セキュリティに関する事故(データファイルの漏えい、滅失、改ざん、毀損等の事故をいう。)又は情報システム上の欠陥若しくは誤動作(以下「事故等」という。)が発生した場合は、直ちにシステム管理者及びセキュリティ管理者に報告し、システム管理者の指示に従い、必要な措置を講じなければならない。
2 セキュリティ管理者は、事故等の報告を受けた場合において、当該事故等の影響が重大と認められるときは、統括責任者に報告しなければならない。
3 システム管理者は、事故等の再発防止のため、発生した事故等を分析し、当該事故等に関する記録を保存しなければならない。
(侵害時の対応)
第18条 システム管理者及びセキュリティ管理者は、情報セキュリティ侵害事件が発生した場合の対応について、緊急連絡体制、証拠保全、被害の拡大防止、復旧等の必要な措置を情報システムごとに実施手順に定めなければならない。
2 システム管理者及びセキュリティ管理者は、重大な情報セキュリティ侵害事件が発生した場合には、この原因等を分析して情報セキュリティポリシー及び実施手順の改定等に係る再発防止計画を策定し、委員会に報告しなければならない。
(教育及び訓練)
第19条 統括責任者は、職員に対し、情報セキュリティポリシーに関する説明、研修等を実施し、情報セキュリティポリシーの啓発に努めなければならない。
2 システム管理者及びセキュリティ管理者は、情報セキュリティ、情報通信技術等に関する研修を受講するなど、必要な知識の維持及び習得に努めなければならない。
3 セキュリティ管理者は、重要な情報資産を運用している情報システムについて、緊急時対応計画に基づく訓練を情報システムの運用に支障がない範囲で実施し、情報資産の漏えい等の事故が発生した場合に職員が即応できる体制を整えなければならない。
4 職員は、情報セキュリティポリシーに関する研修等を受講し、情報セキュリティポリシー及び実施手順を理解することにより、情報セキュリティに関する支障が生じないようにしなければならない。
(臨時職員等の任用時の説明等)
第20条 セキュリティ管理者は、臨時職員、嘱託職員、定年前再任用短時間勤務職員を任用する場合は、任用に当たって、当該職員が遵守すべき情報セキュリティポリシー、実施手順及び関係法令等について説明しなければならない。
(委託事業者)
第21条 システム管理者又はセキュリティ管理者は、情報システムの開発、保守若しくは操作に係る業務又は情報資産を取り扱う業務を委託する場合は、必要に応じて資格要件を定め、当該業務を委託した事業者(以下「委託事業者」という。)において適切な情報セキュリティ対策が確保されていることを確認しなければならない。
2 システム管理者又はセキュリティ管理者は、前項の業務に係る委託事業者との契約の締結においては、次に掲げる事項を契約書等に明記しなければならない。
(1) 守秘義務に関する事項
(2) 提供した情報の目的外利用の禁止及び返還義務に関する事項
(3) 再委託の禁止又は制限に関する事項
(4) 報告義務に関する事項
(5) 情報セキュリティ監査の実施に関する事項
(6) 情報セキュリティ対策のための委託事業者の内部体制及び従業員に対する教育に関する事項
(7) 情報セキュリティ対策の不備又は瑕疵に起因して生じた事故に係る賠償に関する事項
(8) その他情報セキュリティポリシーの遵守に関する事項
第6章 技術的セキュリティ対策
(1) 管理記録及び障害記録
ア 情報システムにおいて行った変更等の作業については、記録を作成し、適切な管理を行うこと。
イ 職員から報告のあった情報システムの障害に対する処理及び問題等は、障害記録として体系的に記録し、常に活用できるよう保存すること。
(2) 情報システム仕様書等の管理 情報システム仕様書、ネットワーク構成図等のネットワーク等に関する技術情報については、記録する媒体にかかわりなく業務上必要とする者のみが閲覧できる場所に保管すること。
(3) バックアップの作成 ホストコンピュータ及びサーバ等に記録された情報については、重要度に応じて定期的に記録媒体によりバックアップを作成すること。
(4) 職員以外の者が利用できる情報システムの分離 汎用受付システム等の職員以外の者が利用できる情報システムについては、必要に応じ他の情報システムと物理的に分離し、又はファイアウォールを設置する等により、情報の漏えい、村の有する他の情報システムへの侵入等を防止するための措置をとること。
(5) メールの機能制限
ア メールサーバの設定に当たっては、当村の情報システム及び外部のネットワークに悪影響を与えないよう対策すること。
イ メールシステムに過大な負担を与えないよう、メールボックスの容量及びメールの送受信容量の上限を定めるなど必要な措置をとること。
(6) 情報システムの入出力データのチェック
ア 情報システムに入力されるデータに適切なチェックを行い、それが正確であることを確実にするための対策を施すこと。
イ 情報システムに入力されたデータの改ざん、操作ミス等による入出力誤り等を検出するための手段を講じるとともに、必要な場合はデータの修復を行う対策を施すこと。
(7) 情報の暗号化等
ア 情報は、必要に応じて、暗号化を施して管理すること。
イ 外部に情報を送信する場合は、必要に応じて電子署名方式及び暗号化方式を使用して送信すること。
(8) 不要プロトコルの利用禁止 業務に必要のないプロトコルについては、利用できないよう措置すること。
(1) 情報端末及び利用者の登録手続等 情報端末及び利用者の登録、変更又は抹消の手続、登録情報の管理の方法等について、実施手順に定めること。
(2) 管理者権限の付与 管理者権限(サーバの管理を行うための操作権限をいう。以下同じ。)は、システム管理者があらかじめ指名する必要最小限の者に与えること。
(3) 端末接続の管理
ア 接続された情報端末を機器固有情報等の識別コードで自動的に識別する等の措置を通信機器に講じることにより、不正接続を防止すること。
イ ルータの設置等により適切なネットワーク経路制御を施すこと。
ウ 情報システムごとにログイン権限を定め、資格のない職員等がシステムにアクセスできないよう制限すること。
(4) ネットワークの外部からのアクセス ネットワークの外部からのアクセスを認める情報システムは最小限に限定し、原則として、ネットワークの外側に設置したサーバのみ認めることとし、適正なアクセスであることを確認できる措置をとること。
(5) 外部ネットワークとの接続 外部のネットワークとの接続に当たっては、当該ネットワークの構成、機器、セキュリティレベル等を詳細に確認し、村が管理する情報システム及び情報資産に対する影響の有無を検証した上で統括責任者の許可を得ること。
(6) ログインに関する設定 ログイン及びログアウト時刻等を記録し、ログインの試行回数を制限する等適切に管理すること。
(7) 接続時間の制限 管理者権限によるアクセス時間は、必要最小限に制限すること。
(パスワード等の管理)
第24条 職員は、ユーザID及びパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードは、職員間で共有しないこと。
(2) パスワードを秘密にし、パスワードの照会等に一切応じないこと。
(3) パスワードを記録したメモ等を第三者が容易に発見することができる場所に保管しないこと。
(4) パスワードの設定に当たっては、推測されやすいもの又は解読されやすいものを避けること。
(5) パスワードは、定期的に変更を行うこと。
(6) パスワードは、複数の情報システム間で共有しないこと。
2 システム管理者は、ユーザID及びパスワードに関し、次の事項を遵守しなければならない。
(1) パスワードについては、必要に応じて設定状況を調査し、不適正な使用を行っている職員には、速やかに是正させること。
(2) パスワードを保管するファイルは、関係者以外の者が入手できないように暗号化を施す等適切に管理すること。
(不正アクセス対策)
第25条 システム管理者は、不正アクセス対策に関し、次に掲げるセキュリティ対策を実施しなければならない。
(1) 使用が終了し、又は使用される予定のないポートを長時間開放したままの状態にしないこと。
(2) 重要な情報システムの設定に係るファイル等については、当該ファイルが改ざんされていないことを定期的に確認すること。
(3) ネットワーク内の情報端末からの不正アクセスが発見された場合、システム管理者は、直ちに当該端末を管理するセキュリティ管理者に通知し、接続の切断、不正アクセスを行った者の特定等、適切な処置を求めること。
(4) 不正アクセスによる被害を受けた場合は、その記録を保存するとともに、警察等との緊密な連携に努め、再発の防止を図ること。
(情報システムの監視)
第26条 システム管理者は、不正なアクセス、サーバの故障等の障害を検知するため、ネットワークの監視に努めるとともに、情報システムのアクセス記録を取得しなければならない。
2 システム管理者は、取得したアクセス記録が盗難、改ざん等をされないよう必要な措置をとるとともに、常に情報セキュリティに関する情報の収集に努め、必要に応じてセキュリティ管理者等に提供しなければならない。
(コンピュータウイルス対策)
第27条 システム管理者は、コンピュータウイルス対策として、次に掲げるセキュリティ対策を実施しなければならない。
(1) 外部のネットワークに情報若しくはソフトウェアを送信する場合又は外部のネットワークから情報若しくはソフトウェアを受信する場合は、ネットワークの接続ポイントにおいてウイルスチェックを行うとともに、サーバ及び情報端末において、定期的なウイルスチェックを行うこと。
(2) ネットワークの外部から情報媒体を使用して情報若しくはソフトウェアを移入する場合又はネットワークの外部に情報媒体を使用して情報若しくはソフトウェアを移出する場合は、事前にウイルスチェックを行うこと。
(3) ウイルスチェックに用いるパターンファイルは、常に最新のものにすること。
(4) ウイルスに関する情報の収集に努め、セキュリティ管理者、セキュリティ管理者及び職員に対して、最新の情報を提供すること。
(情報システムの導入)
第28条 システム管理者は、情報システムを新規に導入する場合は、既に稼動している情報システムに接続する前に十分なテストを実施し、情報セキュリティに関する支障の有無を確認しなければならない。
(プログラムの保守)
第29条 システム管理者は、情報セキュリティに関する情報の収集に努め、情報システムに重要な影響を及ぼすおそれのある不具合に対応する修正プログラムについて、速やかな対応を行うとともに、その他のソフトウェアについては、不具合及び他のシステムとの相性の確認を行い、計画的に更新し、又は導入しなければならない。
(変更記録の管理)
第30条 システム管理者は、情報システムにおいて行ったシステム変更等の作業について、記録を作成し、適切に管理しなければならない。
(機器の修理及び廃棄)
第31条 システム管理者及びセキュリティ管理者は、記録装置が含まれる情報端末等の機器を外部の事業者に修理させるために庁外に持ち出してはならない。ただし、修理に係る契約において守秘義務に関する規定を設けているときは、この限りでない。
2 システム管理者及びセキュリティ管理者は、記録装置が含まれる情報端末等の機器を廃棄する場合は、当該記録装置に保存されている電子情報の消去、記録装置の破砕等を行い、当該電子情報が復元不可能な状態にしなければならない。
第7章 監査、評価等
(点検)
第32条 セキュリティ管理者は、情報セキュリティ対策の実施状況について定期的に点検を行い、その結果をシステム管理者に報告しなければならない。
2 システム責任者は、前項の報告内容が情報セキュリティの確保に重大な影響を及ぼすと判断した場合は、速やかに統括責任者及び委員会に報告しなければならない。
3 委員会は、前項の報告結果を情報セキュリティポリシーの評価及び見直しのための資料として活用するものとする。
4 システム管理者は、所管する情報システムについて定期的に点検を行い、問題を発見した場合は速やかに対処しなければならない。
(監査)
第33条 委員会は、情報セキュリティポリシーの実効性を検証するため、定期的に監査を実施しなければならない。
2 委員会は、監査の結果を評価し、その内容を統括責任者に報告しなければならない。
3 委員会は、監査の結果、情報セキュリティポリシーの改定が必要と認められるときは、統括責任者にその改定を進言するものとする。
(情報セキュリティポリシーの改定等)
第34条 統括責任者は、システム管理者及びセキュリティ管理者の報告、委員会の監査結果の報告等を踏まえ、情報セキュリティポリシーの改定等が必要と認めるときは、適宜その改定等の措置を講じるものとする。
第8章 補則
(その他)
第35条 この規則に定めるもののほか、必要な事項は、別に定める。
附則
この規則は、平成27年12月10日から施行する。
附則(令和4年規則第12号)抄
(施行期日)
第1条 この規則は、令和5年4月1日から施行する。
(定義)
第2条 この附則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。
(1) 令和3年改正法 地方公務員法の一部を改正する法律(令和3年法律第63号)をいう。
(2) 暫定再任用職員 令和3年改正法附則第4条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)、第5条第1項若しくは第3項、第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(3) 暫定再任用短時間勤務職員 令和3年改正法附則第6条第1項若しくは第2項(これらの規定を令和3年改正法附則第9条第3項の規定により読み替えて適用する場合を含む。)又は第7条第1項若しくは第3項の規定により採用された職員をいう。
(4) 定年前再任用短時間勤務職員 地方公務員法(昭和25年法律第261号)第22条の4第1項又は第22条の5第1項の規定により採用された職員をいう。
(新島村情報セキュリティ対策基準に関する規則の一部改正に伴う経過措置)
第4条 暫定再任用職員は、定年前再任用短時間勤務職員とみなして、第2条の規定による改正後の新島村情報セキュリティ対策基準に関する規則の規定を適用する。
附則(令和5年規則第4号)
この規則は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。