○日南町住民基本台帳ネットワークシステム管理運営要綱
| (平成14年7月26日要綱第9号) |
|
(趣旨)
第1条 この要綱は、日南町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の管理及び運営について必要な事項を定めるものとする。
(用語の定義)
第2条 この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1) 住基ネット 県内の市町村長、知事及び指定情報処理機関(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)の使用に係る電子計算機、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長が本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を知事に通知し、知事が本人確認情報を指定情報処理機関に通知し、並びに知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステム
(2) セキュリティ 住基ネットの正確性、機密性及び継続性の維持を図ることを目的とした行為
(3) サーバ 市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、指定情報処理機関に本人確認情報の通知を行うための知事の使用にかかる電子計算機
(4) ファイアウォール 住基ネットにおいて不正な侵入を防御する電子計算機
(5) 業務端末システム 県において本人確認情報を検索する際に使用する電子計算機、照合情報認証機器及びプリンタ
(6) 共同利用所属 業務端末システムを設置しない所属
(7) 照合情報認証 静脈等の情報に不可逆演算を施して登録された情報(照合情報)と認証時に読み取られる情報を照合することにより認証する方法
(8) プログラム 電子計算機を機能させて住民基本台帳ネットワークシステムを動作させるための命令
(9) 電子計算機室 電子計算機及び電気通信関係装置を設置する室
(10) ドキュメント 住民基本台帳ネットワークシステムの設計及び運用に関する記録及び文書
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、情報化の推進及び管理担当所属長をもって充てる。
(セキュリティ責任者)
第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、業務端末システムを設置する部署の所属長及び本人確認情報を利用する部署の所属長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ管理者
(3) 施設担当課長
(4) 人事担当課長
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
(5) その他、必要な事項
4 議長は、前項のうち重要と認められる事項を審議するときは、鳥取県西部市町村情報公開・個人情報保護審査会の意見を聴くものとする。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、住基ネット担当課において処理する。
(関係部署に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
(入退室管理)
第8条 次に掲げる住基ネットの運用が行われる室において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。
| セキュリティ区分 | 室 |
| レベル3 | 住基ネットのデータ、セキュリティ情報等の保管室 |
| レベル2 | サーバ、ネットワーク機器の設置室 |
| レベル1 | 業務端末の設置室(住民課執務室内) |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりである。
| セキュリティ区分 | 入退室管理の方法 |
| レベル3 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、照合情報認証を用いて入退室を行う。識別を行うために、入退室管理者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
| レベル2 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが照合情報認証を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
| レベル1 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。 |
3 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管庫及びサーバ、ネットワーク機器の設置室にあっては、情報担当課長、業務端末の設置室にあっては、住民課長をもって充てる。
4 入退室管理者は、1項に掲げる室について、2項に定める入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。
5 照合情報認証の管理は、情報担当課長が行う。
6 情報担当課長は、レベル3及び2のセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、照合情報を登録するものとする。
7 入退室管理者は、レベル3及び2のセキュリティ区分に係る室については、入退室管理簿を作成し、これを保存するものとする。
8 情報担当課長は、レベル3及び2のセキュリティ区分に係る室については、照合情報認証の管理簿を作成し、これを保存するものとする。
9 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
(改善の要求)
第9条 システム管理者は、電子計算機室への適切な入退室管理が行われているかどうか、電子計算機室管理責任者から報告を求め、調査を行い、必要な改善を求めることができる。
(アクセス管理)
第10条 システム管理者は、次の各号に掲げる住基ネットの構成機器について、電子計算機を動作させ、本人確認情報を検索するに当たっての管理(以下「アクセス管理」という。)を行うものとする。
(1) サーバ
(2) 業務端末システム
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
3 業務端末システムが設置された所属のセキュリティ責任者は、業務端末システム使用簿(様式第1号)を備え付け、操作者は業務端末を使用する都度業務端末使用簿に使用状況を記載しなければならない。
4 アクセス管理を実施するためのアクセス管理責任者は、システム管理者をもって充てる。
5 システム管理者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること
(2) 照合情報の登録及び削除の管理方法を定めること
(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること
(4) 照合ID及び操作者IDの管理簿を作成すること
6 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
第11条から
第14条まで 削除
(操作履歴の記録及び解析)
第15条 システム管理者は、電子計算機の操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
2 システム管理者は、定期的に前項の操作履歴を解析し、住基ネットの適正な利用を確保しなければならない。
(オペレーティングシステムの管理)
第16条 システム管理者は、第10条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
[第10条]
(情報資産の管理)
第17条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下「情報資産」という。)について、管理責任者を置くものとする。
2 前項の情報資産のうち、住基ネットを利用する部署に設置する業務端末システムの情報資産に関する管理責任者はセキュリティ責任者とする。
3 本人確認情報、当該本人確認情報が記録されたサーバに係る帳票のほか、業務端末システムを除く住基ネットの情報資産に関する管理責任者は住民課長とする。
4 情報資産に関する管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏洩、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
5 情報資産に関する管理責任者は、本人確認情報の記録されたサーバに係る帳票の管理方法を定めるものとする。
(本人確認情報を取り扱うことができる者)
第18条 本人確認情報は次の者に限り、取り扱うことができる。
(1) 住民課において、住民基本台帳ネットワークシステムに関する事務に従事する職員
(2) 住基ネットを利用する部署において、法別表第2、別表第4及び別表第5の事務に従事する職員
(3) 日南町から本人確認情報の管理について委託を受けた事業者のうち、別に指定するもの
(本人確認情報に関する秘密保持義務)
第19条 次の各号に掲げるものは、法第30条の31第1項の秘密保持義務の対象となるものであるので、その取扱いについては留意しなければならない。
(1) 本人確認情報
(2) 住基ネットのセキュリティに関する情報技術
(4) 住基ネットの具体的な運用に関する情報
(5) 運用手引書
(本人確認情報を取扱うに当たっての留意事項)
第20条 本人確認情報を取扱うに当たっては、次の各号について留意すること。
(1) 本人確認情報の検索は、業務上必要な場合に限り行うものであること。
(2) 本人確認情報画面を表示する場合は、業務上必要のない本人確認情報を表示しないこと。
(3) 業務端末システムから離れる際には、スクリーンセーバー機能を活用し、長時間にわたり本人確認情報を表示したままの状態にしないこと。なお、スクリーンセーバーの起動までの時間を5分以内に設定し、解除にパスワードの入力が要求されるよう設定すること。
(4) 表示された本人確認情報が、来庁者から見えない位置に業務端末機を設置すること。
(5) 本人確認情報を表示した画面のハードコピーは、業務上必要な場合に限り取得又は出力すること。必要があってハードコピーを取る場合は、事前にセキュリティ責任者の決済・承認を得て、その記録を残すこと。
(6) 本人確認情報の出力は、業務上必要な場合に限り行うこと。20名以上の本人確認情報を出力することは基本的には実施せず、必要がある場合は、事前にセキュリティ責任者の決済・承認を得て、その記録を残すこと。
(7) 前号により出力した帳票は、適正に管理し、本人確認情報が出力された帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずること。また、帳票の内容によっては、管理簿に記載し、施錠可能な保管庫に施錠保管すること。
(8) 本人確認情報の入力・削除及び訂正から確認に至るまでを2名以上の担当者にて行うこと。
(9) 訂正は、セキュリティ管理者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な保管庫に施錠保管すること。
(10) 本人確認情報をメモに書き込んだり、端末にテキスト文書として保存したりしないこと。
(11) 本人確認情報の入力、削除及び訂正を行った際の記録を残すこと。
(本人確認情報の記録されたサーバにおいて出力される帳票の取扱い)
第21条 システム管理者は、本人確認情報の記録されたサーバにおいて出力される帳票において以下の事項を記録するものとする。
(1) 出力帳票の種類
(2) 出力年月日
(3) 使用目的
(4) 申請者
(5) 数量
2 システム管理者は前項に掲げる帳票を施錠が可能な保管庫に保管し、紛失及び盗難を防止するための措置を講じるものとする。
3 システム管理者は、前項に掲げる帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずるものとする
(業務の委託)
第22条 システム管理者及びセキュリティ責任者は、外部委託をしようとする場合においては、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について確認するものとする。
2 委託を行う部署の職員は、委託先を選定する際、次の各号に掲げる事項について評価する。
(1) 安定性(財務内容)、健全性
(2) 信頼度及び受託実績(類似業務の実績、他プロジェクトでの評価等)
(3) 技術レベル(業務内容の理解度、業界に関する知識、情報収集能力、プロジェクト管理能力、導入サポート力、社員の資格者数等)
(4) セキュリティ対策の実施状況(プライバシーマーク制度等の公的資格の取得状況)
(5) 問題発生時の対応力
(6) 保守体制等(組織形態、社員数等)
(7) 委託費と支払い条件
3 契約書の作成については、次の各号の掲げる事項について留意しなければならない。
(1) 委託を行う部署の職員は、標準契約書に基づいて契約書を作成する。なお、標準契約書の条文を変更する場合は、修正内容とその理由を明確にして管理者の承認を得る。
(2) 委託を行う部署の職員は、仕様書に以下の項目を明記する。なお、同一業務を複数の事業者に委託する場合、各々の作業範囲及び責任範囲を明確に定める。
・ 会社名、担当者の氏名及び所属部署名、連絡先
・ 業務内容及び範囲
・ 業務期間(開発期間)
・ 納期
・ 納品物、納品形式
4 委託を行う部署の職員は、次の各号に掲げる事項を確認してその結果を記録する。
(1) 作業者名簿は事前に提出されているか
(2) 作業者名簿と実際の作業者は一致しているか
(3) 作業内容(設置工事、機器の設定等)
(4) 納品物(機器、設計書、作業報告書)の内容
5 実施状況を、委託を行う部署の長が年1回次の各号に掲げる事項について確認し、その結果を記録する。
(1) 選定基準に基づいて選定され、その記録が残っているか
(2) 仕様書に基づいて作業が行われ、作業者、作業内容及び納品物の確認と、その記録が残っているか
(外部委託の承認)
第23条 セキュリティ責任者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、システム管理者の承認を受けなければならない。
(委託契約書への記載事項)
第24条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の制限に関する事項
(2) 本人確認情報等の保管、返還又は廃棄に関する事項
(3) 本人確認情報等の目的外使用の禁止、複製・複写及び第三者への提供の禁止に関する事項
(4) 本人確認情報等の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第25条 システム管理者及びセキュリティ責任者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(オペレーション計画)
第26条 システム管理者は、指定情報処理機関及び住基ネットを利用する部署と協議の上、次の各計画を策定するものとする。
(1) システム運用計画
(2) 緊急時対応計画
2 システム管理者は、オペレーションに関する各計画の見直しを必要に応じて行う。また、セキュリティ責任者は、障害が発生する確率を下げるため、オペレーションミスの原因分析、再現防止策の策定など、必要な措置を講じるものとする。
(監査)
第27条 システム管理者は、住基ネットの本人確認情報処理事務等について、定期的に内部監査を実施するほか、必要に応じて外部監査を実施するよう努めなければならない。
2 システム管理者は、監査結果をもとに必要な改善措置を講じるものとする。
3 システム管理者は、監査結果及び改善措置について、セキュリティ統括責任者に報告するものとする。
(その他)
第28条 この要綱に定めるもののほか、住基ネットの運用管理に関し必要な事項は、別に定める。
附 則
この要綱は、平成14年8月5日から施行する。
附 則(平成15年8月1日要綱第4号)
|
|
この要綱は、平成15年8月1日から施行する。ただし、この要綱の施行の日以前に設定しているパスワードは、施行日をもって更新するものとする。
附 則(平成19年3月28日要綱第4号の2)
|
|
この要綱は、平成19年4月1日から施行する。
附 則(平成26年6月19日要綱第11号)
|
|
この要綱は、平成26年6月23日から施行する。
附 則(平成27年12月25日要綱第19号)
|
|
この要綱は、平成28年1月1日から施行する。
様式第1号(第10条関係)
業務端末システム使用簿
様式第2号(第11条関係)
業務端末システム使用者報告書
様式第3号
削除
様式第4号
削除
様式第5号
削除
様式第6号
削除
様式第7号
削除