○住民基本台帳ネットワークシステムセキュリティ対策に関する規程
平成14年8月1日
規程第5号
第1章 セキュリティ組織
(セキュリティ統括責任者)
第1条 住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、総務課長をもって充てる。
(システム管理者)
第2条 住基ネットの適切な管理を行うために、システム管理者を置く。
2 システム管理者は、企画調整課長をもって充てる。
(セキュリティ責任者)
第3条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、健康福祉課長をもって充てる。
(セキュリティ会議)
第4条 住基ネットのセキュリティに関する審議等を行うため、セキュリティ会議を置く。
2 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育、研修の実施
3 セキュリティ会議は、次に掲げる者をもって組織する。
(1) セキュリティ統括責任者
(2) システム管理者
(3) セキュリティ責任者
(4) 行財政係長
(5) 戸籍係長
4 セキュリティ統括責任者は、必要と認めるときは、セキュリティ会議を招集するとともに、会議の議長を務める。
5 議長は、第2項各号に掲げる事項のうち重要と認められるものを審議するときは、情報公開・個人情報保護審査会の意見を聴くものとする。
6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
7 セキュリティ会議の庶務は、健康福祉課において処理する。
(関係部署に対する指示等)
第5条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
第2章 アクセス管理
(アクセス管理責任者)
第6条 次に掲げる住基ネットの構成機器について、アクセス管理を行うため、アクセス管理責任者を置く。
(1) CS(コミュニケーションサーバ)
(2) 業務端末
2 アクセス管理責任者は、健康福祉課長をもって充てる。
第7条 アクセス管理は、照合情報認証により操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
(照合ID及び操作者用ID)
第8条 アクセス管理責任者は、照合ID、照合情報及び操作者用IDに関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者用IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 照合IDの種類ごとの操作者について、住基ネットを利用する部署の責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第9条 操作者は、照合ID、照合情報及び操作者IDでの管理方法を遵守しなければならない。
(操作履歴の記録)
第10条 アクセス管理責任者は、操作履歴について、7年間保管するものとする。
(情報資産管理)
第11条 住基ネットの情報資産管理(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等の管理責任者(以下「本人確認情報管理責任者」という。)は、健康福祉課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、企画調整課長をもって充てる。
(本人確認情報管理責任者)
第12条 本人確認情報管理責任者は、本人確認情報を取り扱うことのできる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。
(情報資産管理責任者)
第13条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、健康福祉課長と協議して、住基ネットのオペレーション計画を定める。
(入退室管理)
第14条 次に掲げる住民基本台帳ネットワークシステムの運用が行われる室において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室 |
レベル3 | 住民基本台帳ネットワークシステムのデータ、セキュリティ情報等の保管ラック |
レベル2 | サーバ、ネットワーク機器の設置室 |
レベル1 | 業務端末の設置室(健康福祉課窓口等) |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりである。
セキュリティ区分 | 入退室管理の方法 |
レベル3 | 保管ラックの開閉を行う場合には、セキュリティ統括管理者から指定されている者のみが鍵を用いて開閉を行う。識別を行うために、入退室者には名札の着用を義務付ける。また、鍵使用に関する記録を行う。 |
レベル2 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが鍵を用いて入退室を行う。 識別を行うために、入退室者には名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル1 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には名札の着用を義務付ける。 |
(入退室管理者)
第15条 入退室管理者は、レベル2のセキュリティ区分に係る室にあっては、企画調整課長、レベル3のセキュリティ区分に係る室にあっては、健康福祉課長をもって充てる。
(鍵の管理)
第16条 企画調整課長は、レベル2のセキュリティ区分に係る室について、指定しているものに限り、鍵を貸与するものとする。
2 健康福祉課長は、レベル3のセキュリティ区分に係る保管ラックの鍵の管理を行う。
(管理簿の作成)
第17条 入退室管理者は、レベル2のセキュリティ区分に係る室について、入退室管理簿を作成し、これを保存するものとする。
2 健康福祉課長は、レベル3のセキュリティ区分に係る保管ラックについて、鍵の管理簿を作成し、これを保存するものとする。
(指示)
第18条 セキュリティ統括責任者は、入退室管理について入退室管理者等から報告を徴し、調査を行い、又は必要な指示を行うものとする。
(委託を受けようとする者の管理体制等の調査)
第19条 システム管理者は、住基ネットに係る運用保守業務(以下「業務」という。)を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
2 システム管理者は、必要に応じて受託者における当該外部委託に係るセキュリテイ対策の実施状況について調査するものとする。
(外部委託の承認)
第20条 システム管理者は、業務を外部委託するときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第21条 外部委託に係る契約書には、情報保護のため、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(6) 発生した損害の賠償義務に関する事項
(補則)
第22条 この規程に定めるもののほか、住基ネットの管理に関して必要な事項は、セキュリティ統括責任者が定める。
附則
この規程は、平成14年8月5日から施行する。
附則(平成17年規程第1号)
この規程は、平成17年4月1日から施行する。
附則(平成18年規程第3号)
この規程は、平成18年10月1日から施行する。
附則(平成19年告示第43号)
この規程は、平成19年4月1日から施行する。
附則(平成20年告示第6号)
この告示は、平成20年4月1日から施行する。
附則(平成20年告示第52号)
この告示は、公布の日から施行する。
附則(平成23年告示第12号)
この規程は、公布の日から施行し、平成22年4月1日から適用する。
附則(平成26年告示第2号)
この規程は、公布の日から施行し、平成25年9月9日から適用する。
附則(平成27年告示第20号)
この規程は、公布の日から施行し、平成26年10月1日から適用する。
附則(平成29年告示第5号)
この規程は公布の日から施行し、平成28年1月1日から適用する。
附則(平成29年告示第15号)
この規程は、公布の日から施行する。
附則(令和5年告示第4号)
この訓令は、公布の日から施行し、令和5年4月1日から適用する。