○白川町住民基本台帳ネットワークシステムセキュリティ要綱
平成14年8月20日
訓令甲第10号
第1章 総則
(趣旨)
第1条 この要綱は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)に規定する住民基本台帳ネットワークシステム(以下「住基ネット」という。)事務の管理及び執行に関して、個人情報の保護に関する法律(平成15年法律第57号。以下「法」という。)の規定に基づき、住基ネットのセキュリティを確保し、個人情報の保護を図ることについて必要な事項を定めるものとする。
(用語の定義)
第2条 この要綱における用語の意義は、電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)に定めるところによる。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(セキュリティ責任者)
第4条 住基ネットに係るセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、町民課長をもって充てる。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、住基ネットのセキュリティ対策を審議するため、白川町住民基本台帳ネットワークシステムセキュリティ会議(以下「セキュリティ会議」という。)を招集するとともるこ、その議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) 会計管理者
(2) セキュリティ責任者
(3) システム管理者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 住基ネットセキュリティ対策の監査の実施
(4) 住基ネットの操作及びセキュリティ対策についての教育、研修の実施
4 議長は、前項のうち重要と認められる事項を審議するときは、白川町情報公開及び個人情報保護審査会条例(令和4年白川町条例第22号)第1条に規定する白川町情報公開及び個人情報保護審査会(以下「審査会」という。)の意見を聴くものとする。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、町民課において処理する。
(関係課に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課長に対し指示し、又は必要な措置をとらせるものとする。
第3章 入退室管理
(入退室管理を行う場所)
第8条 住基ネットの運用及び業務が行われる場所において、次に定める入退室の管理を行うものとする。
(1) 住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置場所(以下「電算室」という。)においては、入退室を管理する者(以下「入退室管理者」という。)から事前に許可を得た者(以下「許可者」という。)に限り、その都度鍵を用いて入退室を行うものとする。
(2) 業務端末の設置場所においては、許可者に限り入退ができるものとする。
(入退室管理者)
第9条 入退室管理者は、電算室にあっては総務課長、業務端末の設置場所にあっては町民課長をもって充てる。
2 入退室管理者は前条に掲げる管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関して必要な措置を講じなければならない。
(管理簿の作成)
第10条 入退室管理者は、電算室に職員以外の許可者を入退室させる場合は、必ず職員を立ち会わさせるとともに、電算室入退室管理簿(様式第1号)を作成し、これを5年間保管しなければならない。
(指示)
第11条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第12条 次に掲げる住基ネットの構成機器について、アクセス管理を行う。
(1) サーバ
(2) 業務端末
2 アクセス管理は、前項各号に定める構成機器を操作する者(以下「取扱職員」という。)の正当な権限を操作者識別カード及び暗証番号により確認すること並びに操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第13条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、町民課長をもって充てる。
3 取扱職員及び当該取扱職員の業務範囲を別表のとおり定める。
(操作者識別カード及び暗証番号)
第14条 アクセス管理責任者は、操作者識別カード及び暗証番号に関し、次に掲げる事項を実施する。
(1) 操作者識別カード及び暗証番号を管理すること。
(2) 操作者識別カード管理簿(様式第2号)を作成すること。
(3) 職員が取扱職員になったときは、操作者識別カードを貸与し、暗証番号を設定する処置をとること。
(4) 職員が取扱職員でなくなったときは、操作者識別カードを返却させ、暗証番号を無効にする処置をとること。
(取扱職員の責務)
第15条 取扱職員は、操作者識別カード及び暗証番号について、次に掲げるところにより管理しなければならない。
(1) 操作者識別カードを他人に使用させない。
(2) 操作者識別カードの目的外利用を行わない。
(3) 操作者識別カードを紛失し、又は盗難されないよう責任を持って保管する。
(4) 暗証番号には、規則性のある番号又は推測可能な番号を用いない。
(5) 設定した暗証番号を他人に漏らさない。
(6) 設定した暗証番号の有効期限は6カ月(期限内においても必要に応じて随時更新を行うものとする。)とし、有効期限を経過するときは、改めて暗証番号の設定を行う。
(操作履歴の記録)
第16条 アクセス管理責任者は、操作履歴の記録を7年間保管するものとする。
(オペレーティングシステムの管理)
第16条の2 アクセス管理責任者は、第12条のアクセス管理を実施するほか、住記ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
第5章 情報資産管理
(情報資産管理)
第17条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、町民課長をもって充て、その他の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長をもって充てる。
(本人確認情報管理責任者)
第18条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードに関して、適切な管理を行うために必要な措置を講じなければならない。
(情報資産管理責任者)
第19条 情報資産管理責任者は、本人確認情報を除いたその他の情報資産に関して、適切な管理を行うために必要な措置を講じなければならない。
第6章 委託管理
(管理体制等の調査)
第20条 セキュリティ責任者は、住基ネットの管理に当たって外部委託(2以上の段階にわたる委託を含む。以下同じ。)をするときは、あらかじめ委託を受けようとする者(以下「受託者」という。)における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第21条 セキュリティ責任者は、住基ネットの管理を外部委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめセキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第22条 外部委託に係る契約書には、個人情報の保護に関し、法第66条第2項において準用する同条第1項の規定に基づき、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 個人情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 個人情報が記録された資料の目的外使用並びに複製、複写及び第三者への提供の禁止に関する事項
(4) 個人情報の機密保持及び事故防止に関する事項
(5) 事故等の報告に関する事項
(6) 前各号に掲げる事項に違反した場合における契約の解除及び損害賠償に関する事項
(7) その他個人情報を保護するために必要な事項
(受託者の管理状況の調査)
第23条 セキュリティ責任者は、必要に応じ受託者における外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第7章 不正利用の措置
(調査及び報告)
第24条 セキュリティ責任者は、住民票記載事項の漏えい又は不適切な利用のおそれがあると認める時は、国、岐阜県、地方公共団体情報システム機構住民基本台帳ネットワークシステム全国センターその他の機関(以下「国、県等」という。)の関係者に報告を求めるとともに、必要な調査を行わなければならない。
2 セキュリティ責任者は、前項の報告又は調査の結果、個人情報の保護が適切に行われていないと認めるときは、セキュリティ会議に報告しなければならない。
(措置)
第25条 セキュリティ責任者は、セキュリティ会議の決定に従い、個人情報の保護に関し必要な措置を講じなければならない。
2 セキュリティ責任者は、住民票記載事項に関する漏えい又は不適切な利用のおそれが明白で、かつ、差し迫った危険があると認めるときは、前条各項の規定にかかわらず、国、県等の関係者に報告を求め、又はセキュリティ会議に報告を行うことなく、必要な措置を講ずることができる。ただし、必要な措置を講じた後、速やかにセキュリティ会議に講じた措置の内容を報告するものとする。
第8章 緊急時の対応
(安全管理)
第26条 町長は、個人情報の保護が適切に行われていないおそれがあると認めるときは、セキュリティ会議から国、他の地方公共団体又は地方公共団体情報システム機構等の関係者に対し報告を求めさせるとともに、必要な調査を行わせるものとする。
2 町長は、セキュリティ会議の報告及び調査の結果、個人情報の保護が適切に行われていないと認めたときは、直ちに住基ネットの切離し等必要な措置を講ずるものとする。この場合において、町長は、審査会及び岐阜県知事に報告するものとする。
3 住基ネットの構成機器等に障害等が発生したときは、システム管理者は、速やかに事故の経緯、状況等を調査し、岐阜県及び地方公共団体情報システム機構住民基本台帳ネットワークシステム全国センターに通報し、復旧のための必要な措置を講ずるものとする。
第9章 雑則
(補則)
第28条 この要綱に定めるもののほか、必要な事項は、町長が別に定める。
附則
この訓令は、平成14年8月5日から適用する。
附則(平成15年8月25日訓令甲第9号)
この訓令は、平成15年8月25日から施行する。
附則(平成17年4月1日訓令甲第10号)
この訓令は、平成17年4月1日から施行する。
附則(平成21年3月30日訓令甲第8号)
この訓令は、平成21年4月1日から施行する。
附則(平成26年3月31日訓令甲第13号)
この訓令は、平成26年4月1日から施行する。
附則(平成27年12月25日訓令甲第40号)抄
(施行期日)
第1条 この訓令は、平成28年1月1日から施行する。ただし、第1条の規定は、公布の日から施行する。
附則(令和5年3月15日訓令甲第6号)
この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。
別表(第13条関係)
取扱職員及び業務処理範囲
区分 | 取扱職員 | 業務処理範囲 |
業務管理者 | 住民係長 | (1) 操作履歴の記録及び確認 (2) 操作者識別カードの管理情報の登録 |
業務従事者 | 住民係職員 | (1) 住民基本台帳ネットワークシステムに係る機器の起動及び終了 (2) 異動業務 本人確認情報更新、転出、転出確定、転出証明書情報送信、転入、転入通知情報確認及び住民票コード変更 (3) 統計業務 統計資料の岐阜県サーバへの送信 (4) メンテナンス業務 本人確認情報メンテナンス、住民票コード管理及び文字コード管理等 (5) 検索業務 本人確認及び本人確認情報検索 (6) 証明書発行業務 住民票の写しの広域交付及び住民票コード通知票出力 (7) 個人番号カード業務 カード再交付及び一時停止・廃止等 |
