○日南町住民基本台帳ネットワークシステム取扱要領
| (平成28年3月30日要領第3号) |
|
|
第1条 日南町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)を適切かつセキュリティを確保した実務を遂行できるよう、具体的な手続、手順に展開した管理及び運営についての要領を次のとおり定める。
(職員不在時の統合端末等の取扱)
第2条 職員が不在になる場合の手順
最終退庁者となる住基ネット担当職員は、退庁時に、統合端末等について以下の項目を確認し、その結果を記入する。
(1) 統合端末等
ア セキュリティワイヤで机等にロックされている。
イ 電源がオフになっている。
ウ 保守作業等で一時的に使用したCD-ROM、MO、DAT、FD等が、機器に挿入されたままの状態になっていない。
(2) 重要な磁気ディスク及びドキュメント
ア 一時的に使用したCD-ROM、MO、DAT、FD等及びドキュメント類は放置されておらず、施錠保管されている。
2 実施状況の確認
(1) 確認者 入退室管理責任者
(2) 確認時期 月1回
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア 上記事項について、確認の記録が欠落していないこと
イ 職員が手順どおり確認していること
(OSのユーザID及びパスワードの取扱)
第3条 パスワードの取扱
(1) アクセス管理責任者は、パスワードを管理する際、以下の項目に留意する。
ア OSのパスワード管理機能を使用し、パスワードの有効期限を90日に設定する。
イ OSのパスワード管理機能を使用し、パスワードの最低桁数を8桁に設定する。
ウ OSのパスワード管理機能を使用し、パスワードの複雑性を要求するよう設定する。
エ 統合端末のパスワードが漏えいしたおそれのある場合には、パスワードを速やかに変更するよう職員に指示する。
(2) 職員は、パスワードを設定する際、以下の項目に留意する。
ア 職員自身で設定する。
イ 90日ごと又は年度途中に人事異動があった場合にはその都度変更する。
ウ 8桁以上とする。
エ 英大文字、英小文字、数字及び記号のうち3種類以上が混在している、かつ、辞書単語又は単純な文字列を使用しないものを設定する。
オ 設定したパスワードのメモを端末に貼付しない、机上に残さない。
カ パスワードは、職員自身が責任を持って管理する。
キ ユーザIDを共有するグループのメンバーの管理を行うとともに、グループ外にパスワードを漏らさない。
2 実施状況の確認
(1) 確認者 アクセス管理責任者
(2) 確認時期 年1回以上
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア OSのパスワード管理機能(最低桁数、有効期間、複雑性等)の設定内容が適切であること
イ パスワードのメモが端末等に貼付けられていないこと(適時確認)
(照合ID及び操作者IDの管理手順)
第4条 照合情報の登録
(1) 登録の手続
操作者管理者は、職員が新規に住基ネットの業務アプリケーションの操作を実施する必要が生じた場合、セキュリティ責任者へ申請し、その承認を受けて、該当する職員に照合IDを付与し、照合情報を登録する。同時に一つ操作権限を委譲する。複数の操作権限が必要な場合は、登録後、追加する。
(2) 登録申請時の必要項目
申請にあたっては次の事項を記載する。
ア 照合ID
イ 操作者名
ウ 所属
エ 委譲開始年月日
オ 有効期限
カ 操作権限
キ 操作権限が必要な理由
(3) 照合情報登録操作時の留意事項
ア 登録時には、本人であることの確認を確実に行う。
イ 照合情報の登録が適正に行われていることを確認する。
ウ 有効期限は業務から外れるまでか、外れる時期が確定していない場合は1年間を登録する。有効期限が切れた場合には操作者管理者が更に業務から外れるまでか、外れる時期が確定していない場合は1年間を登録する。特に申請は不要とする。
2 照合情報の削除
(1) 削除の手続
操作者管理者は、職員が操作権限を必要とする業務から外れた場合、セキュリティ責任者の承認を受けて、該当する職員の操作権限を全て返却することにより、照合情報を削除する。
(2) 削除申請時の必要項目
申請にあたっては次の事項を記載する。
ア 操作者名
イ 所属
ウ 委譲終了年月日
エ 操作権限返却理由
3 委譲する操作権限の追加及び委譲した操作権限の返却
(1) 追加・返却の手続
職員に委譲する操作権限は、職員が実施する業務の変更等に対応して追加・返却する。操作者管理者は、職員の操作権限の追加・返却を行う場合、セキュリティ責任者へ申請し、その承認を受けて、該当する職員へ委譲する操作権限を追加・返却する。
(2) 操作権限追加・返却申請時の必要項目
申請にあたっては次の事項を記載する。
ア 操作者名
イ 所属
ウ 委譲開始年月日
エ 操作権限
オ 操作権限が必要な(不要な)理由
4 操作者管理者の配置
操作者管理者は、職員の中からセキュリティ責任者が指名する。操作者管理者は、2名とする。
5 照合ID利用時の留意事項
照合情報認証を行って業務アプリケーションの操作を実施する職員は、自分が使用しないときは確実にログオフを行い、他の人が操作することがないように配意しなければならない。
6 実施状況の確認
(1) 確認者 セキュリティ責任者
(2) 確認時期 月1回及び照合ID及び操作権限委譲に変更があった場合
(3) 確認内容
次の項目について操作者管理業務の帳票により確認し、その帳票を保管する。
ア 申請された内容のとおり、照合ID及び操作権限が設定されていること。
イ 帳票に必要な項目(職員の氏名及び所属部署名、譲渡年月日等)が記録されていること。
上記以外に、照合IDを付与した職員が照合IDを他者に使用させていないことを適時確認するとともに、月に1回、照合IDを付与した職員にヒアリングする等の方法で不正な使用がないことを確認し記録する。
(本人確認情報の入力等の管理)
第5条 本人確認情報の取扱方法
職員は、本人確認情報を取り扱う際、以下の項目に留意する。
(1) 統合端末の画面情報に関する留意項目
ア ディスプレイを、来庁者等に画面を見られることがないよう設置する。
イ スクリーンセーバの起動までの時間を5分以内に設定し、解除にパスワードの入力が要求されるよう設定する。
(2) 本人確認情報の入力、削除及び訂正時の留意項目
ア 入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を必ず確認する。
イ 本人確認情報の入力・削除及び訂正から確認に至るまでを2名以上の担当者にて行うこと。
ウ 入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄する。また、帳票の内容によっては、管理簿に記載し施錠可能な書庫等に施錠保管する。
エ 訂正は、本人確認情報管理責任者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保存する。
オ 本人確認情報をメモに書き込んだり、統合端末にテキスト文書として保存したりしない。
カ 本人確認情報の入力、削除及び訂正を行った際の記録(いつ、誰が、何を修正したか、処理結果の確認がされているか等)を残していること。
(3) 人確認情報の検索・抽出時の留意項目
ア 業務上必要のない検索は行わない。
イ 事前に、検索・抽出条件を明確にする。
ウ 検索・抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーを取らない。必要があってハードコピーを取る場合は、事前に本人確認情報管理責任者の決裁・承認を得て、その記録を残す。
(4) 大量に本人確認情報を出力する場合の留意項目
ア 大量に本人確認情報を出力することは基本的に実施しない。必要があって、大量に本人確認情報を出力する場合は、事前に本人確認情報管理責任者の決裁・承認を得て、その記録を残す。
イ 大量を定義する印刷物(整合性確認処理時のファイルへの出力数)等の量は、20名以上である。
2 実施状況の確認
(1) 確認者 本人確認情報管理責任者
(2) 確認時期 年1回以上
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア 第1項の留意項目について、実際の業務の中で遵守されているか
イ 業務上必要のない検索又は抽出が行われていないことについて、担当者へのヒアリングにより確認しているか
(帳票の管理)
第6条 帳票の管理方法
(1) 管理対象とする帳票
管理対象とする帳票を以下のとおり定める。
| 項番 | 帳票名称 |
| 1 | 広域交付住民票 |
| 2 | 転出証明確認書 |
| 3 | 転入通知確認書 |
| 4 | 住民票コード通知票 |
| 5 | 住民票コード変更通知票 |
| 6 | 住民票の写しの広域交付・転入出(住基カード)処理件数一覧表 |
| 7 | 住民票コード要求・付番処理件数一覧表 |
| 8 | 本人確認情報更新処理件数一覧表 |
| 9 | 本人確認情報整合結果リスト |
| 10 | 本人確認情報リスト |
| 11 | 住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表 |
| 12 | 住民票コード要求・付番処理件数年合計一覧表 |
| 13 | 本人確認情報更新処理件数年合計一覧表 |
| 14 | 戸籍附票記載事項通知処理件数年合計一覧表 |
| 15 | 住基カード交付申請書 |
(2) 帳票管理簿による管理
本人確認情報管理責任者は、以下の項目を記録するための帳票管理簿を作成し、帳票の出力、保管、廃棄等を行う際、職員に必要項目を記録させる。
ア 出力に関する項目
・ 帳票の内容(数量及び内訳)
・ 出力年月日
・ 出力する職員の氏名及び所属部署名
・ 使用理由
・ 本人確認情報管理責任者の承認
・ 使用の際の注意項目
イ 保管に関する項目
・ 保管場所
・ 保管期間
ウ 廃棄に関する項目
・ 廃棄年月日
・ 廃棄する職員の氏名及び所属部署名
・ 廃棄理由
・ 本人確認情報管理責任者の承認
・ 廃棄方法
(3) 出力時の留意事項
ア 職員は、出力装置を、来庁者等に出力した帳票を見られないよう設置する。
イ 職員は、帳票を出力した際、出力装置上に放置せず、速やかに回収する。
ウ 職員は、出力装置を適時確認し、帳票が放置されている場合は以下の措置を行う。
・ 出力した職員を特定して注意する。
・ 長時間放置されたものは廃棄する。
(4) 保管時の留意項目
職員は、帳票を保管する際、以下の項目に留意する。
ア 施錠可能な書庫等に保管し、権限のない者がアクセスできないようにする。鍵はセキュリティ責任者が管理する。
イ 帳票管理簿についてもアと同様とする。
(5) 廃棄時の留意項目
ア 事前に、本人確認情報管理責任者の承認を得てから廃棄する。
イ 帳票の内容を読み出せないよう焼却、裁断、溶解等により廃棄する。
ウ 廃棄状況を帳票管理簿に記録して本人確認情報管理責任者へ報告する。
2 実施状況の確認
(1) 確認者 本人確認情報管理責任者
(2) 確認時期 月1回以上
(3) 確認方法
以下の項目について確認し、その結果を記入する。
ア 帳票管理簿に必要項目(帳票の内容、出力年月日、出力した職員の氏名等)が記録されているか
イ 帳票管理簿と現況が一致しているか、紛失等はないか
ウ 出力装置が、来庁者等に出力された帳票を見られないよう設置されているか
エ 帳票及び帳票保管庫の鍵が施錠保管されており、権限のない者がアクセス可能な場所に放置されていないか
オ 廃棄状況の記録が残っているか
(住基カードの取扱)
第7条 住基カードの取扱
(1) 住基カード管理簿による管理
ア 本人確認情報管理責任者は、以下の項目を記録する。
・ 申請書番号、依頼番号
・ 申請日、交付日
・ 発行依頼日、納品日
・ 交付担当者名
・ 写真データの処理状況
・ 廃止状況(廃止年月日、廃止理由、廃止者、ICチップ破壊確認、廃止枚数)
・ 廃棄状況(廃棄年月日、廃棄者、廃棄方法等)
・ 廃止保管枚数
・ 未使用のカード枚数、発行されたカード枚数
・ 使用日
・ 特記項目
(2) 保管時の留意項目
職員は、未使用や交付前の住基カードを施錠可能な保管設備に施錠保管し、権限のない者がアクセスできないようにする。
(3) 廃棄時の留意項目
職員は、以下の方法により、住基カードを廃棄する。
ア 券面印刷の内容が判読できないよう焼却、溶解、裁断等を行う。
イ ICチップの、情報の読み出しやハードウェア構造分析が行われないよう物理的粉砕等を行う。
ウ 廃棄したチップやカードの屑は、焼却処分する、産業廃棄物として埋め立てる、固形燃料として再利用するなどの方法で処分する。
(4) 申請書等の管理方法
ア 職員は、申請書を1年間、施錠可能な保管設備に施錠保管する。
イ 職員は、申請時に受け取った個人情報(顔写真等)を庁舎内の施錠可能な保管設備に施錠保管する。
ウ 顔写真データの取り込みは、統合端末からのみ行い、住基カード発行後、写真データは速やかに消去する。
エ 住基カード交付申請後30日をたってもカード交付ができず顔写真データが統合端末に残存する場合には、職員がデータを削除する。
2 実施状況の確認
(1) 確認者 本人確認情報管理責任者
(2) 確認時期 年1回以上
(3) 確認内容
以下の項目について確認し、その結果を記入する。
ア 住基カード管理簿に必要項目が記録されているか
イ 未使用の保管枚数及び交付前の保管枚数は正しいか
ウ 住基カード管理簿と現況が一致しているか
エ 住基カード及び申請書は庁舎内の施錠可能な保管設備に施錠保管しているか
オ 廃棄状況の記録が残っているか
(ソフトウェアの管理)
第8条 サービス及びソフトウェアの管理
(1) サービス及びソフトウェア管理簿による管理
情報資産管理責任者は、以下の項目を確認するためのサービス及びソフトウェア管理簿を作成し、機器ごとに起動するサービス、インストールされているソフトウェアについて、システム担当職員に必要項目を記録させる。
ア サービスに関する項目
・ サービス名
・ スタートアップの種類(自動・手動・無効)
・ ログオンアカウント
・ 使用理由
イ ソフトウェアに関する項目
・ ソフトウェア名
・ バージョン番号
・ メーカ名
・ 使用する職員の氏名及び所属部署名
・ 使用理由
・ 使用開始日、使用終了日
・ 保守業者の連絡先
(2) サービス及びソフトウェア管理時の留意項目
ア 情報資産管理責任者は、サービス及びソフトウェア管理簿に登録されていないサービスの起動、ソフトウェアのインストールを制限する。
イ 情報資産管理責任者は、サービス及びソフトウェア管理簿に登録されたサービス及びソフトウェアの脆弱性情報について調査し、脆弱性が発見された場合は、修正プログラムを適用する等の必要な措置を行う。
ウ 職員は、サービス及びソフトウェア管理簿に登録されていないサービス及びソフトウェアを許可無く機器に追加しない。
エ 職員が統合端末にワープロ、表計算ソフトをインストールすることを禁止する。
(3) サービス及びソフトウェアの追加手順
ア 職員は、サービス及びソフトウェア管理簿に登録されていないサービス及びソフトウェアを例外的に機器に追加する必要がある場合、以下の項目を申請書に記入して情報資産管理責任者に提出する。
・ 申請者の氏名及び所属部署名
・ 業務内容
・ 追加するサービス及びソフトウェア
・ 追加理由
・ 使用開始日
・ 使用終了日
イ 情報資産管理責任者は、申請書の内容が適切であれば承認する。特に以下の項目について確認する。
・ 追加理由は適当であるか
・ セキュリティ上問題はないか
ウ システム担当職員は、サービス及びソフトウェアを追加して情報資産管理責任者へ報告する。
エ 情報資産管理責任者は、サービス及びソフトウェア管理簿に記録する。
2 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 年1回
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア サービス及びソフトウェア管理簿と現況は一致しているか、不要なソフトウェアがインストールされていないか
(※サービス及びソフトウェア管理簿に登録されていないサービス及びソフトウェアが許可無く追加されていた場合、事実確認を行った上、サービスの停止、ソフトウェアの削除を行う。)
イ 追加したサービス及びソフトウェアについて、申請書が提出され、承認が得られているか
(機器接続の手続)
第9条 機器を追加する場合の手続
(1) システム担当職員は、申請書に以下の項目を記入して情報資産管理責任者に提出する。
ア 申請者の氏名及び所属部署名
イ 接続機器
ウ 接続方法
エ 接続理由
オ 接続希望年月日
※大規模なシステム構成変更、ネットワーク構成変更が生じる場合等は、事前にセキュリティ会議にて協議する。
(2) 情報資産管理責任者は、申請書の内容が適切であれば承認する。特に以下の項目について確認する。
ア 接続理由は妥当であるか
イ 接続方法について、十分なセキュリティ対策が行われているか
ウ CSが設置されたセグメントに直接接続する場合、そのセグメントに接続しなければならない理由が妥当であるか
エ USBメモリ等の外部媒体も、保守等の一時的な作業で使用する場合が多いので、構成機器の一つとして、管理できているか
オ 記録媒体(特に、USBメモリ)等の使用に当たっては、必ずウイルスチェック等を実施した後、接続しているか
(3) システム担当職員は、追加する機器の設置、設定作業を行い、作業報告書を情報資産管理責任者に提出する。
(4) 情報資産管理責任者は、作業報告書の内容が適切であれば設置図に内容を記載する。
2 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 年1回以上
(3) 確認内容
以下の項目について確認し、その結果を記入する。
ア 事前に申請書が提出され、承認が得られているか
イ 追加した機器のセキュリティ対策は継続して行われているか
ウ 追加した機器は、設置図に記載した場所に設置されているか
(運用保守)
第10条 運用保守の実施手順
(1) 情報資産管理責任者は、保守対象機器と保守内容について、以下の項目を定める。
ア 保守対象機器の名称
イ 保守対象機器の管理責任者の所属部署及び役職名
ウ 点検項目と点検方法
エ 点検時期(定期点検実施時期)
オ 保守を行う者(委託会社)
(2) 保守実施時の留意事項
ア 保守担当者は第1項で定めた点検時期に保守を行う。障害対応のため、緊急に保守を行う場合は、情報資産管理責任者の事前承認を得る。
イ 保守担当者は、保守対象機器を外部に持ち出す必要がある場合は、情報漏えい対策及び保険の適用等を確認して情報資産管理責任者の事前承認を得る。
ウ 保守作業において一時的に機器を接続する場合は、機器接続の手続に従う。
エ 委託業者が重要機器の保守を行う場合は、職員が立ち合い、監視を行う。
(3) 作業の報告
ア 保守担当者は、作業終了後、以下の項目を記録した作業報告書を情報資産管理責任者に提出する。
・ 保守対象機器の名称
・ 点検項目と方法
・ 点検結果
・ 保守担当者(委託の場合は、会社名、連絡先を含む)
・ 立ち会った職員の氏名及び所属部署名
・ 作業開始日時、作業終了日時
・ 特記事項
イ 作業報告書の保管機関及び保管場所は以下とする。
・ 保管期間 1年
・ 保管場所 施錠可能な保管設備等
2 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 年1回以上
(3) 確認内容
以下の項目について確認し、その結果を確認する。
ア 保守対象機器に対して、定められた時期、内容で実施されているか
イ 作業報告書の内容は適切であるか
ウ 作業報告書は、定められた期間、定められた場所に保管されているか
(ラック等の鍵の管理)
第11条 ラック等の鍵の管理方法
(1) 鍵管理簿による管理方法
情報資産管理責任者は、以下の項目を記録するための鍵管理簿を作成し、ラック等の鍵の通常業務以外の貸出、返却を行う際、職員に必要項目を記録させる。
ア ラック等の名称
イ 使用者の氏名及び所属部署名
ウ 使用理由
エ 貸出日時
オ 返却日時
カ 特記事項
(2) 貸出及び返却の際、以下の項目に留意する。
ア 鍵管理簿へ必要項目を記録して情報資産管理責任者の承認を得る。
イ 鍵の盗難又は紛失時に、直ちに情報資産管理責任者へ報告する。
ウ 鍵の又貸しを行わない。
エ 鍵を返却する際、鍵管理簿へ必要項目を記録して情報資産管理責任者へ報告する。
2 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 月1回
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア ラック等の鍵は全て揃っているか
イ 鍵管理簿に必要項目が記録されているか
ウ ラック等は、使用されていない状態において施錠が確実に行われているか
(磁気ディスクの管理)
第12条 磁気ディスクの管理方法
(1) 磁気ディスク管理簿による管理
情報資産管理責任者は、以下の項目を記録するための磁気ディスク管理簿を作成し、外部記録媒体の作成又は入手、保管、廃棄等を行う際、必要項目を記録する。
ア 作成又は入手に関する項目
・ ラベル名
・ 磁気ディスクの数量及び種類
・ 作成又は入手年月日
・ 使用理由
・ 情報資産管理責任者の承認
・ 取扱担当者
イ 保管に関する項目
・ 保管場所
・ 保管期間
・ 取扱担当者
ウ 廃棄に関する項目
・ 廃棄年月日
・ 廃棄者
・ 廃棄理由
・ 情報資産管理責任者の承認
・ 廃棄方法
(2) 保管時の留意項目
職員は、磁気ディスクを保管する際、以下の項目に留意する。
ア 本人確認情報等の重要なデータが格納されている磁気ディスクには、他の磁気ディスクと判別できるよう、ラベル名をつける。
イ 磁気ディスクを書庫に施錠保管し、権限のない者がアクセスできないようにする。
ウ 磁気ディスク管理簿においても書庫に施錠保管する。
エ 磁気ディスクの受渡し毎に保管状況の確認を行う。
(3) 廃棄時の留意項目
職員は、磁気ディスクを廃棄する際、以下の項目に留意する。
ア 事前に、情報資産管理責任者の承認を得てから廃棄する。
イ 専用ソフトによるフォーマット、物理的粉砕により廃棄する。
(※電子計算機に内蔵されている固定ハードディスクの場合においても、専用ソフトによるフォーマット、物理的粉砕等により廃棄する。)
ウ 廃棄後、磁気ディスク管理簿に記録して情報資産管理責任者へ報告する。
エ 磁気ディスクを住基ネット以外の業務で再使用する際には、磁気ディスクに記録された全ての内容を専用ソフトウェア等により消去する。
2 磁気ディスク利用管理方法
(1) 磁気ディスク利用管理簿による管理
情報資産管理責任者は、以下の項目を記録するための磁気ディスクの利用管理簿を作成し、磁気ディスクを利用する際、職員に必要項目を記録させる。
ア ラベル名
イ 利用者
ウ 利用内容(参照、複写)
エ 利用理由
オ 利用日時
カ 返却予定日時
キ 利用場所
ク 情報資産管理責任者の承認
ケ データ漏えい防止のための暗号化対策実施の有無
コ 返却日時
サ 情報資産管理責任者の確認
(2) 利用者の留意項目
職員は、磁気ディスクを利用する際、以下の項目に留意する。
ア 磁気ディスク利用管理簿に必要項目を記入して情報資産管理責任者の承認を得る。
イ 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しない。
ウ 磁気ディスクの盗難又は紛失時には、直ちに情報資産管理責任者へ報告する。
エ 磁気ディスクを返却する際、磁気ディスク利用管理簿に必要項目を記録して管理者へ報告する。
オ やむを得ず定められた場所から持ち出して作業する場合、必ず情報資産管理責任者の承認を得たうえで、セキュリティが確保された機器(インターネット接続なし)で使用する。
3 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 月1回以上
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア ラベル名が貼付けられているか
イ 磁気ディスクが権限のない者にアクセス可能な場所に放置されていないか
ウ 磁気ディスク管理簿に必要項目が記録されているか
エ 磁気ディスク管理簿と現況が一致しているか、紛失等がないか
オ 廃棄状況の記録が残っているか
カ 磁気ディスク利用管理簿に必要項目(利用者、利用日時、返却日時等)が記録されているか
(ドキュメントの管理)
第13条 ドキュメントの管理方法
(1) ドキュメント管理簿による管理
情報資産管理責任者は、以下の項目を記録するためのドキュメント管理簿を作成し、ドキュメントの作成又は入手、保管、廃棄等を行う際、職員に必要項目を記録させる。
ア 作成又は入手に関する項目
・ ドキュメント名
・ 作成又は入手年月日
・ 作成者又は入手者
イ 保管に関する項目
・ 保管場所
・ 保管期間
ウ 廃棄に関する項目
・ 廃棄年月日
・ 廃棄者
・ 廃棄理由
・ 情報資産管理責任者の承認
・ 廃棄方法
(2) 保管時の留意項目
職員は、ドキュメントを保管する際、以下の項目に留意する。
ア ドキュメントを書庫に施錠保管し、権限のない者がアクセスできないようにする。
イ ドキュメント管理簿についても書庫に施錠保管する。
(3) 廃棄時の留意項目
職員は、ドキュメントを廃棄する際、以下の項目に留意する。
ア 事前に情報資産管理責任者の承認を得てから廃棄する。
イ ドキュメントの内容を読み出せないよう焼却、裁断、溶解等により廃棄する。
ウ 廃棄後、ドキュメント管理簿に記録して情報資産管理責任者へ報告する。
2 ドキュメント利用管理方法
(1) ドキュメント利用管理簿による管理
情報資産管理責任者は、以下の項目を記録するためのドキュメント利用管理簿を作成し、ドキュメントを利用する際、職員に必要項目を記録させる。
ア ドキュメント名
イ 利用者
ウ 利用目的
エ 利用月日
オ 返却予定月日
カ 利用場所
キ 返却月日
ク 情報資産管理責任者の確認
(2) 利用者の留意項目
職員は、ドキュメントを利用する際、以下の項目に留意する。
ア ドキュメント利用管理簿に必要項目を記録して情報資産管理責任者の承認を得る。
イ 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しない。
ウ 原則として、設計書等の重要なドキュメントの複写は行わない。
エ ドキュメントの盗難又は紛失時には、直ちに情報資産管理責任者へ報告する。
オ 返却の際、ドキュメント利用管理簿に必要項目を記録して情報資産管理責任者へ報告する。
3 実施状況の確認
(1) 確認者 情報資産管理責任者
(2) 確認時期 月1回
(3) 確認内容
以下の項目について確認し、その結果を記録する。
ア ドキュメントが権限のない者がアクセス可能な場所に放置されていないか
イ ドキュメント管理簿に必要項目が記録されているか
ウ ドキュメント管理簿と現況が一致しているか、紛失等がないか
エ ドキュメント利用管理簿に必要項目が記録されているか
オ 廃棄状況の記録が残っているか
附 則
この要領は、平成28年4月1日から施行する。