○高梁市情報セキュリティ基準に関する規程
平成19年3月27日
訓令第21号
目次
第1章 総則(第1条・第2条)
第2章 情報セキュリティ基本方針(第3条―第9条)
第3章 情報セキュリティ対策基準
第1節 管理体制(第10条・第11条)
第2節 物理的セキュリティ対策(第12条―第14条)
第3節 人的セキュリティ対策(第15条―第19条)
第4節 技術面におけるセキュリティ対策(第20条―第24条)
第5節 運用面におけるセキュリティ対策(第25条―第31条)
第4章 補則(第32条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、本市の情報資産の機密性、完全性及び可用性を維持し、もって市民の財産、プライバシー等の保護及び安定的な行政事務の運営を図るため、本市における情報セキュリティポリシーの基礎となる情報セキュリティ対策について、基本的な事項を定めるものとする。
(1) 電子計算組織 サーバ及びこれに接続された機器等で、与えられた処理手順に従い、記録、加工、演算及びその他の一連の処理を行うことにより、多種の事務的な処理を行う電子的機器及びそれらの機器を通信媒体で接続することにより一体として情報の処理を行う情報通信網をいう。
(2) 情報システム 電子計算組織を利用して行う業務処理の体系をいう。
(3) 情報資産 電子計算組織及び情報システム等で取り扱うデータをいう。
(4) 利用者 情報資産を利用する本市の職員(非常勤嘱託職員、臨時職員及び会計年度任用職員を含む。)をいう。
(5) 機密性 特定の情報資産に対する権限のない者への当該情報資産の提供を防止することをいう。
(6) 完全性 情報資産の改ざん及び破壊等による被害を防止することをいう。
(7) 可用性 情報資産に対する権限のある者にいつでも情報資産の利用を可能にすることをいう。
(8) 情報セキュリティ 情報資産の機密性、完全性及び可用性が維持された状態をいう。
(9) 情報セキュリティポリシー 情報セキュリティを確保するための対策について総合的、体系的及び具体的に取りまとめたもので、情報セキュリティ基本方針及び情報セキュリティ対策基準からなるものをいう。
(10) 情報セキュリティ基本方針 情報セキュリティを確保するため一定の普遍性を持たせて定めた基本的な方針をいう。
(11) 情報セキュリティ対策基準 情報セキュリティ基本方針に基づき、情報セキュリティを確保するために、社会状況の変化を的確に反映させるべき対策をいう。
(12) ID 利用者を識別するための記号をいう。
(13) パスワード 正当な利用者であることを認証するために使用される秘密の文字列情報をいう。
(14) アクセス 電子計算組織及び情報システムを通じて、データの参照、変更等を行うことをいう。
(15) ログ 電子計算組織及び情報システムの使用記録をいう。
(16) バックアップ ソフトウェア及びデータの滅失又はき損に備え、当該データの複製を行うことをいう。
(17) 情報通信機器 コンピュータ、ネットワーク及びこれらの運用に必要な機器をいう。
(18) ウィルス 電子計算組織に侵入し、情報システムの正常な動作を意図的に妨げるプログラムをいう。
(19) サーバ ネットワーク上で、データの共有、印字出力、通信制御等のサービスを端末機に対して提供するコンピュータをいう。
(20) ウェブページ インターネット又はイントラネット上で公開されている文字、画像、音声データ等から構成される文書をいう。
(21) 基本ソフトウェア コンピュータを動かすための基本的なソフトウェアをいう。
(22) ミドルウェア 基本ソフトウェア上で動作し、アプリケーションソフトウェアに対して、基本ソフトウェアよりも高度で具体的な機能を提供するソフトウェアをいう。
第2章 情報セキュリティ基本方針
(適用範囲)
第3条 この訓令は、市の全機関におけるすべての利用者に適用する。
(利用者の責務)
第4条 利用者は、情報セキュリティの重要性を認識するとともに、業務の遂行に当たっては、情報セキュリティに関する法令及び情報セキュリティポリシーを遵守するものとする。
(情報資産への脅威)
第5条 情報セキュリティ対策で想定する脅威は、次のとおりとする。
(1) 利用者による意図しない操作、故意の不正アクセス又は不正操作によるデータ若しくはプログラムの持ち出し、盗聴、改ざん、消去、機器及び記録媒体(光磁気ディスク、フロッピィディスク等をいう。以下同じ。)の盗難並びに電子計算組織の誤接続等によるデータの漏えい等
(2) 地震、落雷、火災等の災害又は事故を原因とする故障等による情報システムの停止
(情報セキュリティ対策)
第6条 情報セキュリティ対策を推進し、管理するため情報セキュリティ管理体制を確立し、前条に規定する脅威から情報資産を保護するために、情報システムの管理を所掌する課、室等(以下「システム所管課」という。)の長及び情報システムを利用する課、室等(以下「システム利用課」という。)の長は、次に掲げる対策を実施するものとする。
(1) 物理的セキュリティ対策 情報資産を置く場所への不正な立入りや、当該資産を損傷及び盗難等から保護するための入退室管理等の物理的な対策
(2) 人的セキュリティ対策 情報セキュリティに関する権限及び責任の範囲の決定、職員研修又は啓発により情報セキュリティポリシーの周知徹底を図ること及び情報資産に対する侵害が発生した場合の関係職員のアクセス規制等の適切な措置
(3) 技術面におけるセキュリティ対策 情報資産へのアクセス制御、ウィルス対策ソフトウェアの導入及びログ確認等の技術面の対策
(4) 運用面におけるセキュリティ対策 情報資産の定期的かつ計画的な保守又は監視、情報セキュリティポリシーの遵守状況に係る各種記録の作成及び緊急事態の発生に対応可能な連絡体制及び制度運用面の対策
(情報セキュリティ委員会)
第7条 情報セキュリティポリシーの遵守状況の確認をするとともに、当該ポリシーに定める事項について監査、評価及び見直しを行うため、高梁市情報セキュリティ委員会(以下「セキュリティ委員会」という。)を置く。
2 セキュリティ委員会の組織及び運営に関し必要な事項は、市長が別に定める。
(監査)
第8条 情報セキュリティポリシーが確保されていることを把握するため、情報セキュリティ委員会は、定期的に又は必要に応じて監査を実施する。
(評価及び見直し)
第9条 情報セキュリティポリシーは、情報セキュリティに関する社会状況の変化に迅速かつ的確に対応させる必要があるため、必要に応じて評価及び見直しをするものとする。
2 前項の見直しは、セキュリティ委員会の審議及び承認を経た上で、市長が決定する。
第3章 情報セキュリティ対策基準
第1節 管理体制
(管理体制)
第10条 すべての情報セキュリティに対して責任を明確にした管理体制による運営を図るため、次に掲げる責任者を置く。
(1) 情報セキュリティ統括管理者 すべての情報セキュリティを統括する責任者として、情報セキュリティ統括管理者(以下「統括管理者」という。)を置き、副市長をもって充てる。
(2) 情報セキュリティ管理者 情報セキュリティポリシーの実施状況を点検及び管理する責任者として、情報セキュリティ管理者を置き、政策監をもって充てる。
(3) 情報セキュリティ業務責任者 情報システムの開発、運用及び保守における情報セキュリティを管理する責任者として、情報セキュリティ業務責任者(以下「業務責任者」という。)を置き、デジタル・未来戦略課長をもって充てる。
(4) 情報システム所管責任者 システム所管課における情報セキュリティを管理する責任者として、情報システム所管責任者(以下「所管責任者」という。)を置き、システム所管課の長をもって充てる。
(5) 情報システム利用責任者 システム利用課における情報セキュリティを管理する責任者として、情報システム利用責任者(以下「利用責任者」という。)を置き、システム利用課の長をもって充てる。
2 所管責任者は、情報セキュリティポリシー遵守状況を適宜点検し、これらの実効性が保たれるよう必要な措置を講ずるものとする。
3 利用責任者は、その所属する利用者に情報セキュリティポリシーを遵守させ、情報セキュリティの確保上問題が生じないように管理するとともに、適切な指導を行うものとする。
4 利用者は、情報セキュリティポリシーを理解し、情報セキュリティの確保に努めなければならない。
(情報セキュリティ侵害時の対応)
第11条 所管責任者は、情報セキュリティが侵害される事態が発生した場合には、あらかじめ別に定める緊急連絡先に連絡するとともに、被害拡大の防止、復旧等の必要な措置を迅速かつ的確に講じなければならない。
2 所管責任者は、前項の事態の状況について詳細な調査分析を行い、再発防止のための方策を講ずるとともに、これらをセキュリティ委員会へ報告するものとする。
3 所管責任者は、利用責任者と連携し、情報セキュリティの侵害に備えて、その対応及び復旧の訓練の実施に努めるものとする。
第2節 物理的セキュリティ対策
(情報通信機器の設置)
第12条 サーバ等情報通信機器の設置に当たっては、次に掲げる措置を講ずるものとする。
(1) 温度、湿度、じんあい等の環境の影響を可能な限り排除した場所に設置すること。
(2) 情報システムの重要度に応じて、情報通信機器設置の二重化等、運用に係る環境を考慮すること。
(3) サーバ等、重要な情報通信機器は適切に停止するまでの間、十分な電力を供給する容量の予備電源を備え付けること。
(4) 地震発生時の被害を極小化するよう考慮すること。
(5) 部外者がサーバ等を操作できないような措置を施すこと。
(6) 配線は、損傷等を受けないように必要な措置を施すこと。
(7) 盗難防止のため、必要に応じセキュリティワイヤーを設置して容易に取り外せない等、適切な措置を施すこと。
(8) 利用者が業務上やむを得ない理由で執務室外に情報通信機器を持ち出そうとする場合は、所管責任者の承認を受けること。この場合において、管理簿を設ける等、適切に管理すること。
(9) 前号の規定により執務室外に持ち出した情報通信機器を他のネットワークに接続しないこと。
(10) 持ち出した情報通信機器に盗難、紛失、破損等の事故が生じたときは、速やかにセキュリティ管理者に報告するとともに、所管責任者の指示により、復旧のために必要な処置を実施すること。
(11) 不要になった情報通信機器を所管責任者に返却する場合は、データの消去等、必要な処置を情報セキュリティ実施手順により実施すること。
(12) 利用責任者は、情報通信機器及びソフトウェアの追加又は変更を行うことができない。ただし、業務上やむを得ない場合であって、所管責任者及び業務責任者が必要と認めたときは、この限りでない。
(13) 利用責任者は、情報通信機器及び記録媒体について、無断で第三者に使用されることがないようにしなければならない。
(記録媒体の管理)
第13条 情報システムに係る記録媒体の管理に当たっては、次に掲げる措置を講ずるものとする。
(1) 取り出し可能な記録媒体は、盗難や損傷の防止のため適切に保管すること。
(2) 記録媒体が不要となった場合は、記録媒体の初期化その他データを復元できないような処理を行った上で破棄すること。
(3) 業務上やむを得ず記録媒体を持ち出す場合は、管理簿を設ける等、適切に管理すること。
(4) バックアップに係る記録媒体は、異なる場所に保管する等の二重化を図ること。
(管理区域)
第14条 特に重要な情報システムの設置及び運用を行うための部屋又は区域(以下「管理区域」という。)について、次の事項に配慮しなければならない。
(1) 管理区域は、耐震対策、防火対策等の災害対策を講ずるよう努めること。
(2) 管理区域への、入出を許可する者の範囲、許可方法及び記録方法を定め、入出を管理すること。
(3) 管理区域内のサーバ等の配置については、緊急時に管理区域内の者が円滑に避難できるように配慮すること。
第3節 人的セキュリティ対策
(遵守事項等)
第15条 職員は、職務の遂行において使用する情報資産について、個人情報の保護に関する法律(平成15年法律第57号)その他関係法令等を遵守しなければならない。
(管理者権限の管理)
第16条 情報セキュリティを確保する上で、管理者権限(稼動条件を設定する権限をいう。以下同じ。)は、必要最小限の職員に与えるとともに、厳重に管理されなければならない。
2 管理者権限に基づくアクセスは、必要最小限の時間に制限するものとする。
(利用者の管理)
第17条 利用者の登録、変更、抹消その他登録情報の管理及び異動し、又は退職した者のID及びパスワードの取扱いについては、所管責任者が別に定める。
2 前項の利用者の登録、変更、抹消等は、利用責任者が所管責任者に申し込むことにより行うものとする。
(パスワード等の管理)
第18条 利用者は、自己の保有するID及びパスワードに関し、次に掲げる事項を遵守しなければならない。
(1) ID及びパスワードは、秘密にするとともに、照会等には一切応じないこと。
(2) ID及びパスワードは、情報通信機器に記憶させたり、メモ等をしないこと。
(3) パスワードは、想像しにくいものとすること。
(4) パスワードは、定期的に変更するとともに、漏えい等のおそれがある場合には、速やかにこれを変更すること。
(5) 新たに発行されたパスワードは、最初のログイン時点で変更すること。
(事故発生時等の措置)
第19条 利用者は、情報セキュリティに関する事故を発見した場合には、あらかじめ別に定める緊急連絡先に連絡の上、当該利用者が所属する利用責任者の指示に従い対処しなければならない。
2 利用者は、情報システム上の欠陥又は誤動作を発見した場合には、それを所管する所管責任者に報告するものとする。
3 利用責任者は、その所属する利用者に対し、必要に応じ、情報資産の利用の停止を含めた適切な措置を講ずるよう指示するものとする。
第4節 技術面におけるセキュリティ対策
(情報システムの技術的管理)
第20条 重要な情報を扱う情報システムについては、次に掲げる措置を講ずるものとする。
(1) 各種アクセス管理機能を備えるとともに、不正アクセス等に対処できるようログを一定の期間保存して管理すること。
(2) 部外者が利用できる機能については、職員等が利用できる機能から物理的又は技術的に分離する等、情報セキュリティの確保に必要な措置を施すこと。
(3) 情報システムの開発環境にウィルス感染を防ぐための必要な措置を施すこと。
(情報通信機器の導入及び運用)
第21条 所管責任者は、情報通信機器の導入及び運用に当たっては、次に掲げる措置を講ずるものとする。
(1) 業務に必要でない情報通信機器及びソフトウェアは、導入しないこと。
(2) 情報セキュリティの確保上、問題となるおそれのある基本ソフトウェア及びミドルウェア等を使用しないこと。
(3) 基本ソフトウェア、ミドルウェア等の設定については、不正アクセス防止の措置を行うこと。
(4) 基本ソフトウェア、ミドルウェア等については、適切なセキュリティを確保するため、最新のセキュリティ修正プログラムを適用する等の措置を行うこと。
(5) 前号の修正プログラムを適用するときは、当該情報通信機器で稼動する情報システムに影響を与えることのないよう注意すること。
(6) 基本ソフトウェア、ミドルウェア等の設定の変更を行うときは、バックアップを取ること。
(7) ウィルス対策ソフトウェアの導入その他ウィルス対策を行うこと。
(ネットワークの構築等)
第22条 業務責任者は、ネットワークの構築に当たって、セキュリティを確保するため、次に掲げる措置を講ずるものとする。
(1) 他のネットワークと接続する場合には、ファイアウォール、プロキシサーバ等の機器を用いてネットワークを適切に保護すること。
(2) ネットワークの構築、運用及び保守に当たっては、情報漏えい等のおそれがないように、その業務に従事する者に対して守秘義務を課すること。
(3) 停電等に対してネットワーク機器を保護するための措置を講ずること。
(外部ネットワークとの接続)
第23条 業務責任者は、外部ネットワークとの接続に際しては、次に掲げる措置を講ずるものとする。
(1) 接続先のネットワーク及び機器の構成、セキュリティレベル等を詳細に検討し、庁内ネットワーク、情報システムその他データ等に影響が生じないことを確認すること。
(2) 接続先のネットワークとの管理区分を明確化すること。この場合において、当該ネットワークのセキュリティに問題が認められ、市のデータ等に支障が生じることが想定される場合には、速やかに接続を遮断すること。
(他の情報システムとの接続)
第24条 所管責任者は、ネットワークを利用して情報システムの運用を行おうとするときは、業務責任者と協議し、その承認を得なければならない。
2 所管責任者は、情報システムを他の情報システムと接続しようとするときは、接続先の所管責任者と、接続方法及びデータの取扱いに関する事項について協議し、その承認を得なければならない。
第5節 運用面におけるセキュリティ対策
(情報システムの開発、保守及び運用)
第25条 情報システムの開発、保守及び運用に当たっては、次に掲げる措置を講ずるものとする。
(1) 情報システムの良好な稼働を確保するため計画的な保守と十分な点検を実施すること。この場合において、情報セキュリティに重大な影響があると予想される障害に対しては、速やかに対処すること。
(2) 情報システムが長期間停止した場合においても、業務の遂行ができるように、手作業による業務マニュアルを定めておくこと。
(3) 事故、障害等からの復旧のため、ソフトウェア、データ等については定期的にバックアップを行い、その方法及び復旧方法については、事前にその手順を定め、迅速な対応を可能とすること。
(4) 情報システムの開発及び保守環境から運用環境への移行作業は、限られた者だけに行わせる等、適切に管理すること。
(5) テストデータは、厳重に管理し、盗難又は流出を避けること。
(6) 情報システムを廃止する場合は、関連書類及び稼働している情報通信機器に存在するデータ等を完全に消去する等、適切に処理するものとする。
(7) 開発及び保守担当者は随時かつ的確に業務責任者に報告及び連絡をすること。
(ネットワークの利用の制限)
第26条 利用者は、業務目的以外においてウェブページの閲覧、電子メールの使用その他一切の情報通信機器を使用してはならない。この場合において、これに違反した者を発見した者は、その旨を当該違反をした者が所属する所管責任者又は利用責任者へ速やかに通知するものとする。
2 前項の規定により通知を受けた所管責任者又は利用責任者は、違反を是正するための適切な措置を講ずるものとし、改善されない場合は、業務責任者にその者の情報通信機器の利用停止を依頼するものとする。
3 業務責任者及び利用責任者は、利用者に対し、適切な情報通信機器の利用のあり方について周知啓発するよう努めるものとする。
(電子メール)
第27条 利用者は、電子メールの送受信について、ウィルス感染等情報セキュリティに関する事故の防止を図るため、業務責任者が別に定める事項を遵守しなければならない。
(監視)
第28条 業務責任者は、情報セキュリティを損なう事態を把握するため、必要に応じ、監視を行うものとする。
2 監視により得られた記録については、窃取、改ざん、消去されないための措置を施し、安全な場所に保管するものとする。
(ウィルス感染発生時の対応)
第29条 業務責任者又は所管責任者は、情報システムにウィルスの感染が発生した場合には、これを直ちに駆除するよう必要な措置を講じなければならない。
2 業務責任者又は所管責任者は、ウィルスに関する最新の情報を常に取得するよう努めるとともに、利用者に対し必要な措置を執るよう指導するものとする。
(不正アクセス発生時の対応)
第30条 業務責任者又は所管責任者は、不正アクセスを受けた場合には、関係機関との連絡を密にして情報の収集に努めるとともに、使用停止を含む適切な措置を講じなければならない。
2 所管責任者は、利用者による不正アクセスがあったときは、当該利用者が所属する利用責任者に通知し、適切な処置を求めるものとする。
3 不正アクセスの結果、データの漏えい、破壊、改ざん、システムの停止等により業務に深刻な影響がもたらされた場合には、厳正な対処を行うものとする。
(記録の保存等)
第31条 業務責任者又は所管責任者は、作業記録、障害報告、アクセス記録等の管理に当たって、次に掲げる事項を遵守するものとする。
(1) 設定又は変更等の作業を行ったときは、その処理について記録を作成するとともに、これを適切に管理すること。
(2) アクセス記録等の情報は、窃取、改ざん又は消去されないような措置を施すとともに、一定の期間保存すること。
第4章 補則
(その他)
第32条 この訓令の施行に関し必要な事項は、市長が別に定める。
附則
(施行期日)
1 この訓令は、平成19年4月1日から施行する。
(高梁市不正アクセス行為の禁止等に関する規程の廃止)
2 高梁市不正アクセス行為の禁止等に関する規程(平成16年高梁市訓令第16号)は、廃止する。
附則(平成20年11月12日訓令第17号)
この訓令は、平成20年10月30日から施行する。
附則(平成25年4月1日訓令第21号)
この訓令は、平成25年4月1日から施行する。
附則(令和2年3月25日訓令第9号)
この訓令は、令和2年4月1日から施行する。
附則(令和3年3月15日訓令第4号)
この訓令は、令和3年4月1日から施行する。
附則(令和4年3月10日訓令第5号)
この訓令は、令和4年4月1日から施行する。
附則(令和5年6月29日訓令第16号)
この訓令は、令和5年6月29日から施行し、令和5年4月1日から適用する。