(1)　電子計算組織　サーバ及びこれに接続された機器等で、与えられた処理手順に従い、記録、加工、演算及びその他の一連の処理を行うことにより、多種の事務的な処理を行う電子的機器及びそれらの機器を通信媒体で接続することにより一体として情報の処理を行う情報通信網をいう。

(2)　情報システム　電子計算組織を利用して行う業務処理の体系をいう。

(3)　情報資産　電子計算組織及び情報システム等で取り扱うデータをいう。

(4)　利用者　情報資産を利用する本市の職員(非常勤嘱託職員、臨時職員及び会計年度任用職員を含む。)をいう。

(5)　機密性　特定の情報資産に対する権限のない者への当該情報資産の提供を防止することをいう。

(6)　完全性　情報資産の改ざん及び破壊等による被害を防止することをいう。

(7)　可用性　情報資産に対する権限のある者にいつでも情報資産の利用を可能にすることをいう。

(8)　情報セキュリティ　情報資産の機密性、完全性及び可用性が維持された状態をいう。

(9)　情報セキュリティポリシー　情報セキュリティを確保するための対策について総合的、体系的及び具体的に取りまとめたもので、情報セキュリティ基本方針及び情報セキュリティ対策基準からなるものをいう。

(10)　情報セキュリティ基本方針　情報セキュリティを確保するため一定の普遍性を持たせて定めた基本的な方針をいう。

(11)　情報セキュリティ対策基準　情報セキュリティ基本方針に基づき、情報セキュリティを確保するために、社会状況の変化を的確に反映させるべき対策をいう。

(12)　ID　利用者を識別するための記号をいう。

(13)　パスワード　正当な利用者であることを認証するために使用される秘密の文字列情報をいう。

(14)　アクセス　電子計算組織及び情報システムを通じて、データの参照、変更等を行うことをいう。

(15)　ログ　電子計算組織及び情報システムの使用記録をいう。

(16)　バックアップ　ソフトウェア及びデータの滅失又はき損に備え、当該データの複製を行うことをいう。

(17)　情報通信機器　コンピュータ、ネットワーク及びこれらの運用に必要な機器をいう。

(18)　ウィルス　電子計算組織に侵入し、情報システムの正常な動作を意図的に妨げるプログラムをいう。

(19)　サーバ　ネットワーク上で、データの共有、印字出力、通信制御等のサービスを端末機に対して提供するコンピュータをいう。

(20)　ウェブページ　インターネット又はイントラネット上で公開されている文字、画像、音声データ等から構成される文書をいう。

(21)　基本ソフトウェア　コンピュータを動かすための基本的なソフトウェアをいう。

(22)　ミドルウェア　基本ソフトウェア上で動作し、アプリケーションソフトウェアに対して、基本ソフトウェアよりも高度で具体的な機能を提供するソフトウェアをいう。

(1)　利用者による意図しない操作、故意の不正アクセス又は不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん、消去、機器及び記録媒体(光磁気ディスク、フロッピィディスク等をいう。以下同じ。)の盗難並びに電子計算組織の誤接続等によるデータの漏えい等

(2)　地震、落雷、火災等の災害又は事故を原因とする故障等による情報システムの停止

(1)　物理的セキュリティ対策　情報資産を置く場所への不正な立入りや、当該資産を損傷及び盗難等から保護するための入退室管理等の物理的な対策

(2)　人的セキュリティ対策　情報セキュリティに関する権限及び責任の範囲の決定、職員研修又は啓発により情報セキュリティポリシーの周知徹底を図ること及び情報資産に対する侵害が発生した場合の関係職員のアクセス規制等の適切な措置

(3)　技術面におけるセキュリティ対策　情報資産へのアクセス制御、ウィルス対策ソフトウェアの導入及びログ確認等の技術面の対策

(4)　運用面におけるセキュリティ対策　情報資産の定期的かつ計画的な保守又は監視、情報セキュリティポリシーの遵守状況に係る各種記録の作成及び緊急事態の発生に対応可能な連絡体制及び制度運用面の対策

(1)　情報セキュリティ統括管理者　すべての情報セキュリティを統括する責任者として、情報セキュリティ統括管理者(以下「統括管理者」という。)を置き、副市長をもって充てる。

(2)　情報セキュリティ管理者　情報セキュリティポリシーの実施状況を点検及び管理する責任者として、情報セキュリティ管理者を置き、政策監をもって充てる。

(3)　情報セキュリティ業務責任者　情報システムの開発、運用及び保守における情報セキュリティを管理する責任者として、情報セキュリティ業務責任者(以下「業務責任者」という。)を置き、デジタル・未来戦略課長をもって充てる。

(4)　情報システム所管責任者　システム所管課における情報セキュリティを管理する責任者として、情報システム所管責任者(以下「所管責任者」という。)を置き、システム所管課の長をもって充てる。

(5)　情報システム利用責任者　システム利用課における情報セキュリティを管理する責任者として、情報システム利用責任者(以下「利用責任者」という。)を置き、システム利用課の長をもって充てる。

(1)　温度、湿度、じんあい等の環境の影響を可能な限り排除した場所に設置すること。

(2)　情報システムの重要度に応じて、情報通信機器設置の二重化等、運用に係る環境を考慮すること。

(3)　サーバ等、重要な情報通信機器は適切に停止するまでの間、十分な電力を供給する容量の予備電源を備え付けること。

(4)　地震発生時の被害を極小化するよう考慮すること。

(5)　部外者がサーバ等を操作できないような措置を施すこと。

(6)　配線は、損傷等を受けないように必要な措置を施すこと。

(7)　盗難防止のため、必要に応じセキュリティワイヤーを設置して容易に取り外せない等、適切な措置を施すこと。

(8)　利用者が業務上やむを得ない理由で執務室外に情報通信機器を持ち出そうとする場合は、所管責任者の承認を受けること。この場合において、管理簿を設ける等、適切に管理すること。

(9)　前号の規定により執務室外に持ち出した情報通信機器を他のネットワークに接続しないこと。

(10)　持ち出した情報通信機器に盗難、紛失、破損等の事故が生じたときは、速やかにセキュリティ管理者に報告するとともに、所管責任者の指示により、復旧のために必要な処置を実施すること。

(11)　不要になった情報通信機器を所管責任者に返却する場合は、データの消去等、必要な処置を情報セキュリティ実施手順により実施すること。

(12)　利用責任者は、情報通信機器及びソフトウェアの追加又は変更を行うことができない。ただし、業務上やむを得ない場合であって、所管責任者及び業務責任者が必要と認めたときは、この限りでない。

(13)　利用責任者は、情報通信機器及び記録媒体について、無断で第三者に使用されることがないようにしなければならない。

(1)　取り出し可能な記録媒体は、盗難や損傷の防止のため適切に保管すること。

(2)　記録媒体が不要となった場合は、記録媒体の初期化その他データを復元できないような処理を行った上で破棄すること。

(3)　業務上やむを得ず記録媒体を持ち出す場合は、管理簿を設ける等、適切に管理すること。

(4)　バックアップに係る記録媒体は、異なる場所に保管する等の二重化を図ること。

(1)　管理区域は、耐震対策、防火対策等の災害対策を講ずるよう努めること。

(2)　管理区域への、入出を許可する者の範囲、許可方法及び記録方法を定め、入出を管理すること。

(3)　管理区域内のサーバ等の配置については、緊急時に管理区域内の者が円滑に避難できるように配慮すること。

(1)　ID及びパスワードは、秘密にするとともに、照会等には一切応じないこと。

(2)　ID及びパスワードは、情報通信機器に記憶させたり、メモ等をしないこと。

(3)　パスワードは、想像しにくいものとすること。

(4)　パスワードは、定期的に変更するとともに、漏えい等のおそれがある場合には、速やかにこれを変更すること。

(5)　新たに発行されたパスワードは、最初のログイン時点で変更すること。

(1)　各種アクセス管理機能を備えるとともに、不正アクセス等に対処できるようログを一定の期間保存して管理すること。

(2)　部外者が利用できる機能については、職員等が利用できる機能から物理的又は技術的に分離する等、情報セキュリティの確保に必要な措置を施すこと。

(3)　情報システムの開発環境にウィルス感染を防ぐための必要な措置を施すこと。

(1)　業務に必要でない情報通信機器及びソフトウェアは、導入しないこと。

(2)　情報セキュリティの確保上、問題となるおそれのある基本ソフトウェア及びミドルウェア等を使用しないこと。

(3)　基本ソフトウェア、ミドルウェア等の設定については、不正アクセス防止の措置を行うこと。

(4)　基本ソフトウェア、ミドルウェア等については、適切なセキュリティを確保するため、最新のセキュリティ修正プログラムを適用する等の措置を行うこと。

(5)　前号の修正プログラムを適用するときは、当該情報通信機器で稼動する情報システムに影響を与えることのないよう注意すること。

(6)　基本ソフトウェア、ミドルウェア等の設定の変更を行うときは、バックアップを取ること。

(7)　ウィルス対策ソフトウェアの導入その他ウィルス対策を行うこと。

(1)　他のネットワークと接続する場合には、ファイアウォール、プロキシサーバ等の機器を用いてネットワークを適切に保護すること。

(2)　ネットワークの構築、運用及び保守に当たっては、情報漏えい等のおそれがないように、その業務に従事する者に対して守秘義務を課すること。

(3)　停電等に対してネットワーク機器を保護するための措置を講ずること。

(1)　接続先のネットワーク及び機器の構成、セキュリティレベル等を詳細に検討し、庁内ネットワーク、情報システムその他データ等に影響が生じないことを確認すること。

(2)　接続先のネットワークとの管理区分を明確化すること。この場合において、当該ネットワークのセキュリティに問題が認められ、市のデータ等に支障が生じることが想定される場合には、速やかに接続を遮断すること。

(1)　情報システムの良好な稼働を確保するため計画的な保守と十分な点検を実施すること。この場合において、情報セキュリティに重大な影響があると予想される障害に対しては、速やかに対処すること。

(2)　情報システムが長期間停止した場合においても、業務の遂行ができるように、手作業による業務マニュアルを定めておくこと。

(3)　事故、障害等からの復旧のため、ソフトウェア、データ等については定期的にバックアップを行い、その方法及び復旧方法については、事前にその手順を定め、迅速な対応を可能とすること。

(4)　情報システムの開発及び保守環境から運用環境への移行作業は、限られた者だけに行わせる等、適切に管理すること。

(5)　テストデータは、厳重に管理し、盗難又は流出を避けること。

(6)　情報システムを廃止する場合は、関連書類及び稼働している情報通信機器に存在するデータ等を完全に消去する等、適切に処理するものとする。

(7)　開発及び保守担当者は随時かつ的確に業務責任者に報告及び連絡をすること。

(1)　設定又は変更等の作業を行ったときは、その処理について記録を作成するとともに、これを適切に管理すること。

(2)　アクセス記録等の情報は、窃取、改ざん又は消去されないような措置を施すとともに、一定の期間保存すること。