○松川町住民基本台帳ネットワークシステムのセキュリティ対策要綱
平成14年7月30日
要綱第11号
第1章 総則
(趣旨)
第1 この要綱は、松川町電子計算事務の適正管理に関する規則(昭和61年松川町規則第21号)の規定に基づき、松川町における住民基本台帳ネットワークシステムに係る本人確認情報(住民基本台帳法(昭和42年法律第81号)第30条の5第1項に規定する本人確認情報をいう。以下同じ。)等の住基データの保護並びにシステムの適正な管理及び運用について必要な事項を定めるものとする。
(1) 住基ネットワークシステム 本町が管理するゲートウェイサーバ(既存住基システム(住民基本台帳に関する事務を処理する大型電子計算組織をいう。以下同じ。)とコミュニケーションサーバを連携するためのコンピュータをいう。)、コミュニケーションサーバ(本人確認情報を記録し、既存住基システムと長野県サーバ、他の市町村コミュニケーションサーバとデータ交換を行うためのコンピュータをいう。以下同じ。)、端末機、電気通信関係装置、カード発行機、プログラム等により構成され、住民基本台帳法の規定に基づき、電気通信回線を通じて長野県知事又は他の市町村長に本人確認情報の通知等を行うためのシステムをいう。
(2) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の入出力装置をいう。
(3) カード発行機 住民基本台帳カードの発行をするための機器をいう。
(4) 住基データ 住基ネットワークシステムにおいて通知され、記録され、保存され、又は提供される本人確認情報等の情報をいう。
(5) ドキュメント システム設計書、プログラム説明書、操作説明書その他住基ネットワークシステムに係る仕様書をいう。
第2章 セキュリティ組織の整備
(セキュリティ総括責任者)
第3 住基ネットワークシステムのセキュリティ(正確性、機密性及び継続性の維持をいう。以下同じ。)対策を総合的に実施するため、セキュリティ総括責任者を置き、副町長をもって充てる。
2 セキュリティ総括責任者は、住基ネットワークシステムの管理状況及びこれに関連する設備の状態について常に把握し、住基データの漏えいの防止及び正確性の維持を図り、住基ネットワークシステムが適正に管理及び運用されるよう努めなければならない。
3 セキュリティ総括責任者は、住基ネットワークシステムについて、火災、盗難その他の災害に備えて必要な保安措置を取らなければならない。事故が発生したときは、速やかに事故の経緯及び被害状況を調査し、町長に報告しなければならない。
4 セキュリティ総括責任者は、住基ネットワークシステムの管理運用上、住基データの保護が確保できないと認められる場合は、住民サービスの継続に優先して、住基データの保護のための必要な措置を取らなければならない。
(システム管理者)
第4 住基ネットワークシステムの適正な管理及び運用を行うため、システム管理者を置き、住民税務課長をもって充てる。
2 システム管理者は、住基データの漏えい、滅失及びき損の防止その他住基データの適正な管理のための必要な措置を取らなければならない。
(システム環境管理者)
第5 住基ネットワークシステム及び既存住基システムに係る電算室(電子計算機室及び磁気ファイル等の保管施設及び受電設備等を設置する室をいう。)について総合的に安全を確保するため、システム環境管理者を置き、総務課長をもって充てる。
2 システム環境管理者は、電算室の入退室の管理に関し、必要な措置を取らなければならない。
3 システム環境管理者は、電気的及び機械的障害等の発生を防止し、検知するため、及びこれらの障害が発生した場合の対策を図るため、電算室における設備の整備等について、必要な措置を取らなければならない。
4 システム環境管理者は、既存住基システムにおいて、住基ネットワークシステムとの連携接続に関する業務を統括的に管理しなければならない。
(利用管理者)
第6 住基ネットワークシステムの適正な利用を図るため、利用管理者を置き、利用課等の長をもって充てる。
2 利用管理者は、当該利用課等に配置してある端末機を適正に管理しなければならない。
(セキュリティ会議)
第7 住基ネットワークシステムのセキュリティ対策及び適正な管理を推進するため、住基ネットセキュリティ会議(以下「会議」という。)を置く。
2 会議は、セキュリティ総括責任者が必要に応じて、住基ネットワークシステムのセキュリティ対策及び適正管理に係る事務について協議するため開催するものとする。
3 会議は、セキュリティ総括責任者、システム管理者、システム環境管理者、利用管理者のうちシステム管理者が指定した者及び総括責任者が必要と認める者をもって組織する。
4 会議の庶務は、住民税務課住民係が行う。
(教育及び研修)
第8 システム管理者は、プライバシー保護に関する意識の高揚と住基ネットワークシステムのセキュリティ対策の推進を図るため、職員に対して計画的に教育及び研修を行わなければならない。
(緊急時の体制)
第9 セキュリティ総括責任者は、住基ネットワークシステムの障害等によりシステムの全部又は一部が停止した場合及び住基データの漏えい又は漏えいのおそれがあると認める場合の緊急時対応計画を、関係機関と連携を取り作成するものとする。
第3章 システムの管理
(アクセス管理)
第10 システム管理者は、次に掲げる住基ネットワークシステムの構成機器について、アクセス管理を行わなければならない。
(1) コミュニケーションサーバ
(2) 端末機
(3) カード発行機用の端末機
2 前項のアクセス管理は、操作者識別カード(住基ネットワークシステムの業務アプリケーションを起動するときに、操作者が本人であるかどうかを認証・識別できるICカードをいう。以下同じ。)及びパスワードにより取扱職員の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(通信制御)
第11 システム管理者は、コンピュータへの不正侵入に対して住基ネットワークシステム及び既存住基システムを保護するため、電気通信回線は専用回線を使用するとともに、システムの必要な部分にはファイアウォールを設置し、通信制御を行わなければならない。
2 システム管理者は、住基ネットワークシステムでの通信について、通信相手相互の認証を行うとともに、送受信する住基データの暗号化を行わなければならない。この場合において、必要な耐タンパー装置をコミュニケーションサーバに搭載することにより秘密鍵を厳重に保護し、外部に漏えいすることを防止するための措置を取らなければならない。
(端末機操作の管理)
第12 職員は、住基データを住基ネットワークシステム関連業務に必要な場合以外は検索してはならない。
2 システム管理者は、端末機の使用状況を定期的に把握しなければならない。
3 システム管理者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、セキュリティ総括責任者に報告しなければならない。
4 システム管理者は、端末機には、複数回のアクセスの失敗に対して強制的に終了する機能を設けなければならない。
(操作者識別カード及びパスワードの管理)
第13 システム管理者は、取扱職員及び当該取扱職員の業務範囲を定め、個別に入出力を制御する操作者識別カードを取扱職員に貸与しなければならない。
2 システム管理者は、操作者識別カードの管理について、必要な措置を取らなければならない。
3 システム管理者は、パスワードの有効期間を設けなければならない。
4 取扱職員は、操作者識別カードを他者へ貸与等してはならない。
5 取扱職員は、操作者識別カードの紛失等をしないようにするとともに自己のパスワードを他人に漏らしてはならない。
(磁気ファイルの利用制限)
第14 システム管理者は、取扱職員ごとに利用可能な磁気ファイル(磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されている住基データ及びプログラムをいう。)を設定する等、磁気ファイルの利用に関して厳重な管理をしなければならない。
2 システム管理者は、特別な理由がある場合を除き、磁気ファイルの貸出しや複製を認めてはならない。
(磁気ディスクの管理)
第15 システム管理者は、磁気ディスクの棄損、滅失、改ざん、漏えい等が生じないよう、次の各号による対策をとり、適切に管理しなければならない。
(1) 保管施設を設ける等安全を確保するとともに、その使用に関して厳重な管理をすること。
(2) 保全性(記録されている内容が保たれていること。)を確保すること。
(3) 機密性(記録されている内容が改ざん又は漏えいされていないこと。)を確保すること。
(4) 磁気ディスクは、一定の周期で更新すること。
2 システム管理者は、磁気ディスクを廃棄する場合には、記録内容を消去した上で、破砕、溶解等の復元できない方法により処分しなければならない。
(構成機器の管理)
第16 システム管理者は、住基ネットワークシステムを構成する機器について、次の各号により適正に管理しなければならない。
(1) 利用するハードウェア、ソフトウェア及び磁気ディスクの種類、数量、配置等を記録管理すること。また、住基ネットワークシステムに関係のないハードウェア、ソフトウェア及び磁気ディスクを使用させないこと。
(2) 構成機器及び関連施設の保守を定期に又は随時に実施すること。
(3) コンピュータウィルス等の不正プログラムが混入され稼働していないかを監視し、混入されていた場合には駆除すること及び被害の再発を防止するため、原因を分析し、再発防止対策を取ること。
2 システム管理者は、機器の故障等により廃棄又は修理をする場合、その機器に存在する情報が第三者に入手されることを防ぐ措置を取らなければならない。
(住基データ、プログラム、ドキュメント等の管理)
第17 システム管理者は、住基データ及びプログラムの出力帳票、並びにドキュメントを次の各号により適正に管理しなければならない。
(1) 保管施設を設ける等これらの安全を確保するとともに、その使用に関して厳重な管理をすること。
(2) 受渡し及び保管に関し必要な事項を記録すること。
2 住基データ及びプログラムの出力帳票、並びにドキュメントを廃棄する場合は、溶解又は焼却等の復元できない方法により処分しなければならない。
(障害時等の対応)
第18 システム管理者は、住基ネットワークシステムに係る障害に備えて、次の各号による措置を取らなければならない。
(1) 重要な機器についてはリカバリサーバ(代替機能を有するコンピュータをいう。)を設置すること。
(2) プログラムは他の磁気ディスクに複製すること。
(3) 住基ネットワークシステムの通信が途絶しないようにするため、電気通信回線には予備回線を設けること。
第4章 システムの運用
(運用計画)
第19 システム管理者は、住基ネットワークシステムの運用時間、処理の種類及び内容等について、関係機関と連携を図り定めるものとする。
(事務の処理)
第20 住基ネットワークシステムを使用した住民基本台帳に関する事務の処理については、法律又はこれに基づく政令、省令及び住民基本台帳事務処理要領(昭和42年自治振第150号)に定めるところによるほか、必要な事項は町長が別に定める。
附則
この要綱は、平成14年8月5日から施行する。
附則(平成15年要綱第11号)
この要綱は、公布の日から施行し、平成15年4月1日から適用する。
附則(平成19年要綱第10号)抄
(施行期日)
1 この要綱は、平成19年4月1日から施行する。