鳥栖地区広域市町村圏組合情報セキュリティ規則

○鳥栖地区広域市町村圏組合情報セキュリティ規則

平成21年4月1日

規則第7号

(目的)

第1条　この規則は、情報セキュリティに関しその確保のための組織体制、対策等に係る基本的な事項を定めることにより、個人情報をはじめとする情報資産を様々な脅威から守り、行政サービスを安全かつ効率的に提供し、行政の信頼性の確保を図ることを目的とする。

(定義)

第2条　この規則において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　電子計算機　ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体(磁気ディスク、フロッピィーディスク、光磁気ディスクその他これらに類するもの並びに入出力帳票及び情報システム仕様書等をいう。以下同じ。)をいう。

(2)　ネットワーク　電子計算機を相互に接続するための通信網及びその構成機器で構成され、情報処理を行う仕組みをいう。

(3)　情報システム　電子計算機及びネットワークにより業務処理を行う仕組みをいう。

(4)　行政情報　行政事務の執行に関わる情報のうち、情報システムで取り扱うものをいう。

(5)　情報資産　情報システム及び行政情報をいう。

(6)　脅威　情報資産に対する侵害、災害等の物理的脅威、改ざん、消去、漏えい等の技術的脅威及び誤操作、不正行為等の人的脅威をいう。

(7)　情報セキュリティ　脅威から情報資産を保護し、情報資産の機密性(情報の漏えいが防止されている状態をいう。)、完全性(情報の改ざん、消去等による障害が防止されている状態をいう。)及び可用性(権限を有する者に対し必要なときに情報の利用が可能とされている状態をいう。)を維持することをいう。

(8)　情報セキュリティ対策　情報セキュリティを確保するための人的、物理的及び技術的セキュリティ対策並びに情報システムの運用におけるセキュリティ対策をいう。

(9)　情報セキュリティ関連規則等　この規則及びこの規則に基づき定められる情報セキュリティ実施手順等をいう。

(適用範囲)

第3条　情報セキュリティ関連規則等は、情報資産に接する職員(地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職の職員及び同条第3項第3号に規定する嘱託員をいう。以下「職員」という。)及び鳥栖地区広域市町村圏組合(以下「組合」という。)の情報処理に携わる事業者(以下「事業者」という。)に適用するものとする。

(職員の責務)

第4条　職員は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たっては、情報セキュリティ関連規則等を遵守し、かつ、業務目的以外に情報資産を使用してはならない。

2　職員は、その職務上知り得た行政情報をみだりに他人に知らせ、又は不当な目的に使用してはならない。その職を退いた後も、また同様とする。

3　職員は、事業者に情報システムの開発、運用管理等を行わせる場合には、情報セキュリティ関連規則等のうち事業者が実施すべき事項を遵守させなければならない。

(統括情報管理者)

第5条　情報セキュリティの適正な運用及び管理を監理するため、情報セキュリティに関する統括的な権限及び責任を有する統括情報管理者を置き、事務局長を充てる。

2　統括情報管理者の権限及び責任は、次の各号に掲げるとおりとする。

(1)　情報セキュリティ関連規則等の遵守に関し職員に、教育、訓練、助言及び指示を行うこと。

(2)　情報セキュリティ責任者が作成する情報セキュリティ実施手順を承認し、その維持及び管理について、情報セキュリティ責任者に指導及び助言を行うこと。

(3)　情報セキュリティ責任者が実施する情報システムの開発、設定の変更、運用、更新等の承認を行うこと。

(4)　情報資産に障害又は障害のおそれのある場合には、必要かつ十分な措置を講じること。

(情報セキュリティ責任者)

第6条　所管組織における情報セキュリティの適正な運用及び管理を行うため、情報セキュリティに関する権限及び責任を有する情報セキュリティ責任者を置き、情報資産を所管する課長を充てる。

2　情報セキュリティ責任者の権限及び責任は、次の各号に掲げるとおりとする。

(1)　統括情報管理者の承認を得て、情報セキュリティ実施手順を作成し、その維持及び管理を図るとともに、所管組織において、情報セキュリティ実施手順に定められている事項を職員に実施させ、及び遵守させること。

(2)　統括情報管理者の承認を得て、所管する情報システムの開発、設定の変更、運用、更新等行うこと。

3　情報セキュリティの責任者は、情報セキュリティに関する事務を補佐させるため、情報セキュリティ担当者を置くものとする。

(行政情報の管理)

第7条　情報セキュリティ責任者は、行政情報の複製、送付及び送信については、職員に、不用意に行わないようにさせ、業務遂行上の必要に応じて、当該複製等の許可をするものとする。

2　情報セキュリティ責任者は、行政情報を記録した記録媒体で電子計算機から取り外し可能なものについては、職員に、外部からの脅威にさらされない特に安全な場所に保管させ、保管状況等を記録させるものとする。

3　情報セキュリティ責任者は、行政情報を記録した記録媒体を業務上の理由で外部に持ち出し、又は外部から持ち込む場合には職員に自ら行わせるものとする。ただし、事業者に行わせる場合には、守秘義務及び複製の禁止を課し、並びに記録媒体の物理的保護規定等を定めた契約を締結させるものとする。

4　情報セキュリティ責任者は、行政情報を記録した記録媒体が不要となった場合には、職員に、当該記録媒体に記録されている行政情報が復元できないよう消去等をさせた上で、廃棄させるものとする。この場合において、職員に、廃棄を行った日時、作業担当者及び処理内容を記録させるものとする。

(情報セキュリティの教育等)

第8条　統括情報管理者は、職員に対する情報セキュリティの啓発に努めるとともに、職員を対象とした情報セキュリティに関する研修を行うものとする。

2　情報セキュリティ責任者は、情報セキュリティに関する必要な知識を維持するための研修を受け、緊急時における対応等を想定した訓練を職員に行わせるものとする。

3　職員は、情報セキュリティに関する研修に参加するとともに、情報セキュリティ上の障害が発生しないように努めるものとする。

(事業者との契約事項)

第9条　情報セキュリティ責任者は、事業者に情報システムの開発、運用管理等を行わせる場合には、当該業務に係る契約書等に、次の各号に掲げる事項を明記させ、これを遵守させなければならない。

(1)　行政情報の秘密保持に関すること。

(2)　再委託の禁止又は制限に関すること。

(3)　情報資産の指示された目的以外への使用及び第三者への提供の禁止に関すること。

(4)　行政情報の複写及び複製の禁止に関すること。

(5)　事故発生時における報告義務に関すること。

(6)　前各号の事項に違反した場合における契約解除等の措置及び損害賠償に関すること。

(7)　その他情報セキュリティ対策として必要なこと。

(職員の遵守事項)

第10条　職員は、情報セキュリティ関連規則等に定める事項について不明又は遵守することが困難なことがある場合には、情報セキュリティ責任者に報告し、指示を受けなければならない。

2　職員は、情報セキュリティ責任者の許可なく、情報システムの機器、記録媒体等を事務室外に持ち出してはならず、また行政情報を記録した記録媒体を机上に放置して離席してはならない。

3　職員は、自己の保有するパスワード(情報システムを操作する者を識別するための符号をいう。)は秘密にし、かつ、そのメモをとらないこととする。ただし、当該メモが安全に保管されるときは、この限りでない。

(情報システム機器等の管理)

第11条　情報セキュリティ責任者は、情報システム機器等には、可能な限り物理的盗難防止措置を施すものとする。

2　情報セキュリティ責任者は、情報システム機器等の画面に表示された行政情報が、他人に見られないような措置を講じるものとする。

3　情報セキュリティ責任者は、情報システム機器等の搬入又は搬出には、職員が立ち会う等の必要な措置を講じるものとする。

4　情報セキュリティ責任者は、停電時に対応するため、主要な情報システム機器等の電源には、当該機器等が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けるものとする。

5　情報セキュリティ責任者は、ネットワーク回線が傍受、損傷等を受けることがないように、可能な限り必要な措置を講じ、当該主要回線については定期的な点検を行うものとする。

(セキュリティ情報の収集等)

第12条　統括情報管理者は、情報セキュリティに関する情報を収集するとともに、これらの情報を速やかに当該情報に関係する情報セキュリティ責任者に通知するものとする。

(情報システムの開発等)

第13条　情報セキュリティ責任者は、新たに情報システムの開発、導入等を行う場合は、当該情報システムに要するハードウェア及びソフトウェアの仕様書、ネットワーク構成図等を整備し、及び既に稼動している他の情報システムに接続するときは、事前に十分な試験を行うものとする。

2　情報セキュリティ責任者は、情報システム機器等の追加、変更、廃棄等を行う場合は、当該情報システム機器等の設定内容、構成等の履歴を記録し、一定期間保存するものとする。

3　情報セキュリティ責任者は、情報セキュリティに重大な影響を及ぼすソフトウェアの保守の不具合については、速やかにソフトウェア修正等の対応をし、また、当該ソフトウェアの更新については、計画的に実施するものとする。

4　情報セキュリティ責任者は、職員が行う情報システム機器等の改造、増設、交換等については、当該情報システム及び他の情報システムに障害が発生しないことを確認した上で、当該改造等の許可をするものとする。

5　情報セキュリティ責任者は、記録媒体の含まれる情報システム機器等について、事業者に依頼する修理若しくは廃棄又は賃貸期限終了等による事業者への返却を行う場合は、当該記録媒体に記録された行政情報を消去した上で行うものとする。ただし、当該行政情報を消去することが困難なときには、当該事業者に対し当該行政情報に係る守秘義務等を遵守させるものとする。

(情報システムの管理)

第14条　情報セキュリティ責任者は、情報システムを適切に管理するため、次の各号に掲げる事項について、当該各号に定める措置を講じるものとする。

(1)　管理記録の作成と管理　情報システムに対して行った設定、変更その他の作業内容を記録した管理記録を作成し、管理すること。

(2)　仕様書の管理　情報システムの仕様書を業務上必要とする職員が閲覧できる場所に保管し、情報システムの仕様変更等の処理を行ったときは、その記録を作成すること。

(3)　アクセス(接続されたネットワークを経由して、情報システム内のデータを入力、検索、更新等をする行為をいう。以下同じ。)記録等の管理　情報システムの障害、不正操作等に迅速に対処するため、情報資産に対する各種アクセス記録及び情報セキュリティの確保に必要な記録を可能な範囲で取得又は作成し、一定期間保存すること。また、その記録が窃取、改ざん又は消去されないよう必要な措置を講じること。

(4)　障害記録の作成　職員から報告のあった情報システムの障害に対する処理等を、障害記録として作成し、常時活用できるよう一定期間保存すること。

(5)　バックアップ(不慮の事故に備え、記録媒体のデータを他の記録媒体に複写し、保管することをいう。以下同じ。)の取得　行政情報をその重要性分類及び必要性に応じて、外部記録媒体へのバックアップを取得し、施錠可能な場所へ保管すること。

(利用者登録等)

第15条　情報セキュリティ責任者は、情報システムの利用者の登録、変更等をする場合は、職員の申請に基づき情報システムごとに定められた方法によるものとし、職員が人事異動、退職等の理由により情報システムを利用しなくなったときには、速やかに当該登録を抹消するものとする。

2　情報セキュリティ責任者は、所管組織の職員の情報システムに対するアクセス権限を、前項に規定する申請に基づき承認するものとする。ただし、所管組織外の職員からの申請に係る当該許可は、必要最小限の者に限るものとする。

(内部ネットワークへの接続)

第16条　情報セキュリティ責任者は、その管理する情報システムを内部ネットワーク(統括情報管理者が管理するネットワークで組合の内部においてデータの送受信を行うものをいう。以下同じ。)に接続する場合は、統括情報管理者の許可を得るものとする。

(外部ネットワークへの接続)

第17条　情報セキュリティ責任者は、内部ネットワークを外部ネットワーク(内部ネットワーク以外のネットワークをいう。以下同じ。)に接続する場合は、接続する外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を検討し、情報資産に影響が及ばないことを確認した上で、統括情報管理者の許可を得て、接続するものとする。この場合においては、当該情報資産の安全性が脅かされないような情報セキュリティ対策の実施に努めるものとする。

2　情報セキュリティ責任者は、接続した内部ネットワーク又は外部ネットワークの情報セキュリティに障害が認められる場合には、速やかに統括情報管理者の許可を得て、当該外部ネットワークとの接続を物理的に遮断するものとする。

(コンピュータウィルス対策)

第18条　情報セキュリティ責任者は、常時コンピュータウィルス(第三者のプログラム又はデータベースに対して意図的に何らかの被害を及ぼすように作られたプログラムをいう。以下「ウィルス」という。)に関する情報収集に努め、当該情報について職員の注意を喚起するものとする。

2　情報セキュリティ責任者は、ウィルス対策が必要な情報システムには、ウィルス対策用ソフトウェアを導入し、ウィルスチェックを行うとともに、パターンファイル(ウィルス対策用ソフトウェアで、ウィルスを検索し、駆除するために参照するファイルをいう。)を常に最新のものに保つものとする。

3　情報セキュリティ責任者は、職員が記録媒体を利用して情報システムに外部からデータを取り入れ、又はデータを外部に持ち出す場合には、必ずウィルスチェックを行わせるものとする。

(不正アクセス対策)

第19条　情報セキュリティ責任者は、情報システムに対する不正アクセスを防ぐため、情報システムのソフトウェアに関するセキュリティホール(アクセス制御機能のプログラムのかし等による情報システムにおける安全対策上の不備をいう。)等の情報収集に努め、当該情報システムメーカーから修正プログラムの提供があるときは、速やかにその対応をするものとする。

2　情報セキュリティ責任者は、情報システムに不正な侵入又は利用があったときは、直ちにその探知等ができるような適切な対策に努めるものとする。

3　情報セキュリティ責任者は、外部ネットワークから不正アクセスがあったときは、直ちに統括情報管理者に報告するとともに、適切な措置を講じるものとする。

(ソフトウェアの導入等)

第20条　職員は、情報システムに新たにソフトウェアを導入し、又は導入したソフトウェアを交換しようとする場合は、情報セキュリティ責任者に申請し、その許可を得なければならない。

2　職員は、ソフトウェアの著作権(著作隣接権を含む。)を遵守するとともに、正規のライセンスのないソフトウェアを導入してはならない。

3　職員は、業務上不必要なソフトウェア及び安全性が確認できないソフトウェアを導入してはならない。

(情報セキュリティ関連規則等の遵守等)

第21条　統括情報管理者は、情報セキュリティ関連規則等が遵守され、及び適切に運用されているかを確認するとともに、当該運用に障害が発生した場合には、速やかに当該障害に対応する適切な指示をしなければならない。

(情報システムの監視)

第22条　情報セキュリティ責任者は、情報セキュリティを確保するため、常時情報システムの運用状況を監視するとともに、情報資産への障害(システム上の欠陥及び誤作動を含む。以下「情報セキュリティ障害」という。)に注意を払い、適切に対応しなければならない。

(緊急時対応計画の策定)

第23条　統括情報管理者は、情報セキュリティ障害が発生した場合に備え、連絡体制を整備し、証拠保全、被害拡大の防止、復旧及び再発の防止等に必要な措置を迅速かつ円滑に行うための緊急時対応計画(以下「緊急時対応計画」という。)を策定しなければならない。

2　緊急時対応計画は、環境の変化及び情報セキュリティ技術の変革に応じて、その見直しを行わなければならない。

(障害時の対応措置等)

第24条　統括情報管理者は、情報セキュリティ障害が外部ネットワークに重大な影響を及ぼすおそれがある場合には、緊急時対応計画に従い、速やかに対応を検討し、当該影響を最小限にとどめるよう努めなければならない。

2　情報セキュリティ責任者は、情報セキュリティ障害が発生した場合には、緊急時対応計画に従い、速やかに当該障害を復旧し、当該障害、対応措置等を分析した結果を、統括情報管理者に報告するとともに、再発防止のために記録し、及び保存しなければならない。

3　職員は、情報セキュリティ障害を発見した場合には、緊急時対応計画に従い、速やかに情報セキュリティ責任者に報告し、その指示を受けなければならない。

(法令順守)

第25条　職員及び事業者は、業務上使用する情報資産について、特に次の各号に掲げる法令等を遵守しなければならない。

(1)　不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2)　著作権法(昭和45年法律第48号)

(3)　行政機関の保有する個人情報の保護に関する法律(平成15年法律第58号)

(自己点検等)

第26条　情報セキュリティ責任者は、情報セキュリティ対策の実施状況について、自己点検を定期的に行い、その結果を統括情報管理者に報告しなければならない。

2　統括情報管理者は、当該報告に基づいて、必要な情報セキュリティ対策の改善措置を講じなければならない。

(補足)

第27条　この規則に定めるもののほか、必要な事項は、管理者が別に定める。

附則

この規則は、平成21年4月1日から施行する。