○えびの市行政情報セキュリティポリシー
(平成16年10月1日えびの市告示第160号)
改正
平成17年10月20日告示第183号
平成19年4月1日告示第128号
平成19年11月12日告示第225号
平成21年3月27日告示第43号
令和5年3月23日告示第36号
目次
第1章 情報セキュリティ基本方針(第1条-第13条)
第2章 情報セキュリティ対策基準
第1節 組織・体制(第14条-第17条)
第2節 情報資産の分類と管理(第18条-第21条)
第3節 物理的セキュリティ(第22条-第24条)
第4節 人的セキュリティ(第25条-第32条)
第5節 技術的セキュリティ(第33条-第46条)
第6節 運用(第47条-第50条)
第7節 法令遵守(第51条・第52条)
第8節 評価・見直し(第53条)
附則
第1章 情報セキュリティ基本方針
(目的)
第1条
えびの市が取り扱う情報資産には、市民の個人情報を始めとし行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれている。したがって、情報資産、情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことがえびの市に対する市民からの信頼の維持向上に寄与することとなる。このため、えびの市の情報資産の機密保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持するための対策を整備するために、えびの市行政情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)を定める。
(定義)
第2条
このポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
(1)
ネットワーク 電子計算機を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア)で構成され、情報処理を行う仕組みをいう。
(2)
情報システム 電子計算機と記録媒体で構成され、情報処理を行う仕組みをいう。
(3)
情報資産 ネットワークや情報システムの開発と運用に係る全ての情報、ネットワークや情報システムで取り扱う全ての情報をいう。
(4)
情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
ア
機密性 情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
イ
完全性 情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
ウ
可用性 許可された利用者が必要なときに情報にアクセスできることを確実にすること。
(情報セキュリティポリシーの位置付け)
第3条
情報セキュリティポリシーは、えびの市が管理する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
(対象範囲)
第4条
情報セキュリティポリシーの適用範囲は、次の各号に定めるものとする。
(1)
対象となる組織 市長、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会
(2)
対象となる情報 対象となる組織において取り扱う情報資産
(3)
対象者 情報資産に関する業務に携わる全職員・非常勤職員・臨時職員(以下「職員等」という。)及び外部委託業者(本市との契約により、本市の情報を取り扱う業務又は本市のネットワーク若しくは情報システムに係る開発、導入、保守等の業務に携わる者をいう。)
一部改正〔令和5年告示36号〕
(職員等及び外部委託事業者の義務)
第5条
職員等及び外部委託業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守の義務を負うものとする。
(情報セキュリティ管理体制)
第6条
えびの市の情報資産について、情報セキュリティ対策を適切に推進・管理するための体制を確立するものとする。
(情報資産の分類)
第7条
情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。
(情報資産への脅威)
第8条
情報セキュリティポリシーを講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
(1)
部外者の侵入による機器又は情報資産の破壊・盗難
(2)
部外者による故意の不正アクセス、不正操作による情報資産の破壊・盗聴・改ざん・消去等
(3)
職員等及び外部委託事業者による機器又は情報資産の持ち出し、誤操作
(4)
アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等
(5)
搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等
(6)
コンピュータウイルス、地震、落雷、火災等の災害や事故、故障等
(情報セキュリティ対策)
第9条
第8条に定める脅威から情報資産を保護するため、以下の情報セキュリティ対策を講ずるものとする。
(1)
物理的セキュリティ対策 情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。
(2)
人的セキュリティ対策 情報資産に接する職員の情報セキュリティに関する権限や責任等を定め、職員等及び外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等、十分な教育及び啓発が講じられるように必要な対策を講ずる。
(3)
技術及び運用におけるセキュリティ対策 情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。
2
このほか、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
(情報セキュリティ対策基準の策定)
第10条
えびの市の情報資産について、第9条の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行ううえで必要となる基本的な要件を明記した「情報セキュリティ対策基準」を策定するものとする。
(情報セキュリティ実施手順の策定)
第11条
情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する対策の手順を具体的に定めておく必要がある。そのため、情報セキュリティ対策基準に基づき、「情報セキュリティ実施手順」を策定するものとする。
2
情報セキュリティ対策基準及び情報セキュリティ実施手順は、公開することによりえびの市の行政運営に重大な支障を及ぼす恐れのある情報であることから、えびの市情報公開条例第7条第4項の規定に基づき非公開とする。
(遵守状況の確認)
第12条
情報セキュリティポリシーが遵守されていることを検証するため、定期的に点検を実施するものとする。
(評価・見直し)
第13条
情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価、情報システムの変更、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティ対策基準の見直しを実施するものとする。
第2章 情報セキュリティ対策基準
第1節 組織・体制
(情報セキュリティ統括責任者)
第14条
えびの市における全てのネットワーク、情報システム、情報資産及び情報セキュリティに関する最終決定権限及び責任を有する最高責任者を置き、副市長をその職に充てる。
(情報セキュリティ責任者)
第15条
市長部局の各課長、教育委員会部局の各課長、水道課長、市立病院事務長、議会事務局長及び各行政委員会事務局の長を情報セキュリティ責任者とし、その部局等の情報セキュリティ全般について管理する。
(情報システム管理者)
第16条
全てのネットワークにおける開発、設定変更及び運用等を行うための権限及び責任をもつ情報システム管理者を置き、電子計算組織担当課長をもってその職に充てる。
2
情報システム管理者は、情報セキュリティ統括責任者を補佐しなければならない。
3
情報システム管理者は、えびの市の情報資産に対する侵害又は侵害のおそれのある場合には、情報セキュリティ統括責任者の指示に従い、情報セキュリティ統括責任者が不在の場合には自らの判断に基づき必要かつ十分な全ての措置を行う権限及び責任を有する。
(えびの市情報セキュリティ運営委員会)
第17条
えびの市の情報セキュリティの維持管理を統一的な視点で行うため、えびの市情報セキュリティ運営委員会(以下情報セキュリティ運営委員会という。)を置く。情報セキュリティ運営委員会は、情報セキュリティポリシー、情報セキュリティ実施手順等の策定など、情報セキュリティに関する重要な事項を審議する。
第2節 情報資産の分類と管理
(情報資産の管理責任)
第18条
情報資産は、当該情報資産を作成した各課等の情報セキュリティ責任者が管理責任を有する。
2
情報資産が複製又は伝送された場合には、当該複製等も分類に基づき管理しなければならない。
(情報資産の分類)
第19条
情報資産は、次の重要性分類に従って分類する。
(1)
重要性分類Ⅰ
ア
個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報
イ
法令又は条例(以下「法令等」という。)の定めにより守秘義務を課されている行政情報(上記個人情報を除く。)
ウ
法人その他の団体に関する行政情報で漏洩することにより当該団体の利益を害する恐れのあるもの。
エ
漏洩した場合、行政に対する信頼を著しく害するおそれのある行政情報。
オ
滅失し、又はき損した場合、その復元が著しく困難となり、行政の円滑な執行を妨げる恐れのある行政情報。
カ
情報システムに係るパスワード及びシステム設定情報。
(2)
重要性分類Ⅱ
セキュリティ侵害が、行政事務の執行等に重大な影響を及ぼす情報。
(3)
重要性分類Ⅲ
上記以外の情報。
一部改正〔令和5年告示36号〕
(情報資産の管理方法)
第20条
情報資産の管理は、次に定めるところにより行うものとする。
(1)
情報資産の分類に従い、アクセス権限を定めなければならない。
(2)
取り出しが可能な記録媒体は、適切な管理を行わなければならない。
(3)
最終的に確定した情報資産を記録した記録媒体は、書込み禁止措置を行ったうえで保管しなければならない。
(4)
情報資産を記録した重要性分類Ⅰ・Ⅱの記録媒体は、施錠可能な場所に保管しなければならない。
(5)
重要性分類Ⅰ・Ⅱの記録媒体を送る場合は信頼できる者を選定しなければならない。
(6)
重要性分類Ⅰ・Ⅱの情報資産を外部に提供する場合は、必要に応じ暗号化又はパスワードの設定を行わなければならない。
(情報資産の変更又は廃棄の管理)
第21条
記録媒体が不要となった場合は、当該媒体に含まれる重要な情報資産(重要性分類Ⅰ・Ⅱ)を、いかなる方法によっても復元できないように消去を行ったうえで廃棄しなければならない。
第3節 物理的セキュリティ
(サーバ等)
第22条
装置の取付け等は、次に定めるところにより行うものとする。
(1)
情報システムの基幹機器の取付けを行う場合は、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切な固定等必要な措置を施さなければならない。
(2)
重要な情報資産を格納しているサーバ等は、セカンダリサーバ、ディスクアレイ等による二重化を施し、メインサーバに障害が発生した場合には、速やかに復旧できるようにしなければならない。
(3)
情報システム管理者、情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が容易に操作できないように、利用者のID、パスワードの設定等の措置を施さなければならない。パスワードは可能な限り複雑なものにしなければならない。また、必要に応じパスワード設定の変更を行わなければならない。
(4)
無線LANの導入に当たっては、重要性分類Ⅰ・Ⅱの情報資産を送信する際には経路を暗号化する等、十分な漏洩防止策を実施しなければならない。
(5)
サーバ等の機器の電源については、当該機器を適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
(6)
配線は、傍受又は損傷等を受けることがないように可能な限り必要な措置を施さなければならない。
(7)
主要な箇所の配線については、損傷等について随時点検を行わなければならない。
2
(管理区域)
第23条
ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等又は重要性分類Ⅰ・Ⅱの情報資産の管理並びに運用を行うための部屋は、災害及び機密性を考慮した管理区域としなければならない。
2
管理区域への入退室は許可された者のみとし、入退室管理簿の記載により管理を行うものとする。また、外部委託事業者は身分証明書等を携帯し、求めにより提示しなければならない。
(ネットワーク)
第24条
外部へのネットワーク接続は必要最低限のものに限定し、できる限り接続ポイントを減らさなければならない。
2
ネットワークに使用する回線は、伝送途上において破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策が実施されたものでなければならない。
第4節 人的セキュリティ
(職員)
第25条
職員等は、情報セキュリティポリシーに定められている事項を遵守しなければならない。
2
情報セキュリティ対策について不明な点、遵守することが困難な点等については、速やかに情報セキュリティ責任者に相談し、指示等を仰がなければならない。
(業務用端末及び記録媒体の保護)
第26条
職員等は、使用する業務用端末や記録媒体について、第三者に使用されること又は許可なく情報資産を閲覧されることがないように、適切な措置を施さなければならない。
2
職員等は、情報システム管理者の許可を得ず、業務用端末等を執務室外に持ち出してはならない。
(非常勤及び臨時職員の雇用及び契約)
第27条
非常勤及び臨時職員には、雇用及び契約時に必ず情報セキュリティポリシーの内容を理解させ、また実施及び遵守させなければならない。
2
非常勤及び臨時職員には、雇用及び契約の際、必要な場合は情報セキュリティポリシーを遵守する旨の同意書への署名を求めるものとする。
(外部委託に関する管理)
第28条
情報システムの開発・保守を外部委託事業者に発注する場合は、下記事項を明記した契約を締結しなければならない。外部委託事業者が他の事業者に再委託を行う場合も同様の取扱いとする。
(1)
情報セキュリティポリシーの遵守
(2)
業務上知り得た情報の守秘義務
(3)
提供された情報の目的外利用及び受託者以外の者への提供の禁止
(4)
提供された情報の返還義務
(5)
情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(教育・訓練)
第29条
情報セキュリティ統括責任者は、説明会の実施等により職員等に対し情報セキュリティポリシーについて啓発しなければならない。
2
職員等は、情報システムに関する研修を受けなければならない。
(事故、欠陥に対する報告)
第30条
職員等は、情報セキュリティに関する事故、情報システム上の欠陥及び誤動作を発見した場合には、速やかに情報セキュリティ責任者及び情報システム管理者に報告し、情報システム管理者の指示に従い必要な措置を講じなければならない。情報セキュリティ責任者は、報告のあった事故等について全て情報セキュリティ統括責任者に報告しなければならない。
2
情報システム管理者は、これらの事故等を分析し、再発防止のための情報資産として記録を保存しなければならない。
(パスワードの管理)
第31条
職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
(1)
パスワードを秘密にし、パスワードの照会等には一切応じないこと。
(2)
パスワードを記録したメモ等を第三者が容易に発見できる場所に保管しないこと。
(3)
職員等間でパスワードを共有しないこと。
(4)
パスワードは、端末機に記憶させないこと。
(ICカード等の取扱い)
第32条
職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。
(1)
認証に用いるICカード等を、職員等間で共有してはならない。
(2)
業務上必要のないときは、ICカード等を他人に使用されることのないよう適切に管理しなければならない。
(3)
ICカード等を紛失した場合には、速やかに情報システム管理者に通報し、指示に従わなければならない。
(4)
情報システム管理者は、ICカード等の紛失等の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。
(5)
情報システム管理者は、ICカード等を廃棄する場合、破砕するなど復元不可能な処理を行なければならない。
第5節 技術的セキュリティ
(ネットワーク、情報システム及び情報資産の管理)
第33条
ネットワーク、情報システム及び情報資産を以下のとおり管理する。
(1)
情報システムにおいて行ったシステムの変更作業は記録し、適切に管理しなければならない。
(2)
情報システム管理者は、ネットワーク構成図、情報システム仕様書等に関し、記録媒体の形態に関わりなく適切な保管をしなければならない。
(3)
情報システム管理者は、情報資産の重要度に応じて期間を設定し、定期的に情報資産のバックアップ用の複製をとらなければならない。
(4)
情報システム管理者は、閲覧権限がない職員等が所管するシステムにアクセスすることが不可能となるように、システム上制限しなければならない。
(5)
ネットワークに接続する情報システムは、えびの市が導入したものに限り、職員等は個人所有の機材を利用してネットワークに接続してはならない。
(6)
新たにネットワークに情報システムを接続する場合は、情報システム管理者の許可を受けなければならない。
(7)
職員等以外の者が利用できる情報システムにおいては、必要に応じ他のネットワーク及び情報システムと物理的に分ける等、情報セキュリティ対策について特に強固に対策をとらなければならない。
(業務目的以外の使用の原則禁止)
第34条
職員等によるネットワーク及び情報システム資源の使用は、業務目的に沿ったもののみが許可される。業務目的以外での情報システムヘのアクセス、メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
(情報資産の持ち出し等の禁止)
第35条
職員等は、重要性分類Ⅰ・Ⅱに該当する情報資産を取り扱う場合、庁外への持ち出しを行ってはならない。
ただし、情報資産のバックアップ等の合理的理由のある場合で、かつ情報セキュリティ責任者の事前の許可を得た場合に限り、庁外への持ち出しができるものとする。
(私物パソコンの使用禁止)
第36条
えびの市の業務において、職員等が使用できるパソコンは、えびの市が支給・貸与したパソコンのみとする。
ただし、えびの市が支給・貸与したパソコンがなく、業務上やむをえない場合に限り、私物パソコンの利用を認める。
(無許可ソフトウエアの導入の禁止)
第37条
職員等は、業務用端末等に対して、情報システム管理者が定める以外のソフトウエアの導入を行ってはならない。
ただし、業務を円滑に遂行するために必要なソフトウエアについては、合理的理由のある場合で、かつ情報システム管理者の事前の許可を得た場合に限り、導入することができる。
2
職員等は、正規のライセンスのないソフトウエアを導入してはならない。
(機器構成の変更の禁止)
第38条
職員等は、業務用端末等に対して機器の増設又は改造を行ってはならない。
ただし、業務を円滑に遂行するための合理的理由がある場合で、かつ情報システム管理者の事前の許可を得た場合に限り、機器の増設又は変更を行うことができる。
2
職員等は、企画課情報係が設置している以外のハブ、ルータ、モデム等を導入してネットワーク形態を変更してはならない。また、それらを利用して他のネットワークに接続してはならない。
ただし、業務を円滑に遂行するための合理的理由がある場合で、かつ情報システム管理者の事前の許可を得た場合に限り、機器の増設又は変更を行うことができる。
(文書サーバの設定等)
第39条
情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。
2
情報システム管理者は、文書サーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。
3
情報システム管理者は、住民の個人情報、人事記録等、特定の職員等しか取扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。
(電子メールの送受信)
第40条
電子メールの送受信等は、次に定めるところにより行うものとする。
(1)
情報システム管理者は、電子メールの容量の上限を定め、職員等に周知徹底しなければならない。
(2)
重要性分類Ⅰ・Ⅱの情報資産は、原則として電子メールを用いて送信してはならない。
(3)
業務上やむを得ず重要性分類Ⅰ・Ⅱの情報資産を送受信する場合は、情報システム管理者の指示に従い、内容に応じて暗号化、電子署名などの処置を施さなければならない。
(4)
複数のメールアドレスに対し、1通の電子メールで同報送信する場合は、送信先メールアドレスが受信者間で閲覧できないよう、設定しなければならない。
(5)
無用な電子メールを送受信することにより、ネットワークに負荷をかけてはならない。
(6)
電子メール送信時にHTMLメールにて送信しないように電子メールソフトウェアを設定しなければならない。
(7)
電子メールの利用状況は、情報システム管理者によって監視されていることを理解しなければならない。
(8)
職員等は、メールの自動転送機能を用いて、業務上不必要な者へ職場のメールを転送してはならない。
(9)
職員等は、チェーンメールや不審な電子メールを他者に転送してはならない。
(10)
職員等は、差出人が不明な又は不自然なファイルが添付された電子メールを受信した場合は、直ちに廃棄しなければならない。
(11)
職員等は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。
(12)
職員等は、ウェブで利用できるフリーメール、ネットワークストレージサービス等を使用してはならない。
(アクセスの制御等)
第41条
アクセスの制御等は、次に定めるところにより行うものとする。
(1)
利用者登録
ア
情報システム管理者は、利用者の登録、変更、抹消、登録した情報資産の管理については、定められた方法に従って行わなければならない。
イ
利用者登録・変更は、情報システム管理者に対する申請により行う。
(2)
情報システム管理者は、不正アクセスを防止するため、適切なネットワーク経路制御を施さなければならない。
(3)
外部からのアクセス
ア
外部からのアクセスの許可は、必要最低限にしなければならない。
イ
外部からのアクセスを認める場合には、内部のネットワーク及び情報システムとの間に問題が発生しないように機器を構成しなければならない。
ウ
接続した外部ネットワークのセキュリティに問題が認められ、えびの市の情報資産に脅威が生じることが想定される場合には、情報システム管理者の判断に従い速やかに当該外部ネットワークを物理的に遮断しなければならない。
2
パスワードの設定方法は以下のとおりとする。
(1)
パスワードは、原則として情報システム管理者が生成して管理を行うものとする。
(2)
パスワードは、原則として8桁以上で、英字と数字を組み合わせたものとする。
(3)
情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。
(情報システムの調達)
第42条
機器及びソフトウエアを購入等する場合は、当該製品が情報セキュリティ上問題にならないかどうか、確認しなければならない。
2
ネットワーク及び情報システムの移行は、擬似環境による動作確認後に行わなければならない。移行の際には情報システムに記録されている情報資産の保存を確実に行わなければならない。
3
情報システムにおいて行ったシステム変更等の作業については、記録を作成し適切に管理を行わなければならない。
(機器の修理及び廃棄)
第43条
情報システムの廃棄を行う者は、情報システム管理者に廃棄申請を提出しなければならない。
2
情報システムの廃棄を行う者は、機密性の高い情報が保管されたハードディスク等を取り外してから、廃棄しなければならない。取り外したハードディスク等は、企画課情報係に持ち込まなければならない。
3
企画課情報係は、重要な情報資産(重要性分類Ⅰ・Ⅱ)が保管されたハードディスク等を、再生不能な状態に破壊しなければならない。
4
機密性の高い情報が保管されたハードディスク等や媒体の処分を外部の事業者に委託する場合、秘密保持及び、処分依頼品の再利用の禁止を契約文書に含めなければならない。
5
記憶媒体の含まれる機器を、外部の事業者に修理させる場合は、可能な範囲でバックアップをとり、記憶媒体内の情報資産が消去された状態で行わなければならない。
6
故障を外部の事業者に修理させる際、情報資産を消去することが難しい場合は、修理を委託する事業者に対し秘密を守ることを契約に定めなければならない。
(コンピュータウイルス対策)
第44条
全てのサーバ及び業務用端末には、コンピュータウイルス対策ソフトを導入しなければならない。
2
情報システム管理者は、コンピュータウイルス対策に関し次の事項を実施しなければならない。
(1)
サーバ及び業務用端末において、ウイルスチェックを行うこと。
(2)
ウイルスチェック用のパターンファイルは常に最新のものにすること。
(3)
常時ウイルスに関する情報収集に努めること。
(4)
ウイルス情報について職員等に対する注意喚起を行うこと。
3
職員等は、コンピュータウイルス対策に関し次の事項を遵守しなければならない。
(1)
外部からデータ及びソフトウエアを取り入れる場合、又は送信する際には、必ずウイルスチェックを行うこと。
(2)
ウイルスチェックの実行を途中で止めないこと。
(3)
添付ファイルのある電子メールを送受信する場合は、ウイルスチェックを行うこと。
(4)
情報システム管理者が提供するコンピュータウイルス情報を常に確認すること。
(不正アクセス対策)
第45条
情報システム管理者は、不正アクセス対策に関し次の事項を実施しなければならない。
(1)
使用終了もしくは使用される予定のないポートを長時間空けた状態のままにしてはならない。
(2)
セキュリティホールの発見に努め、メーカー等からパッチの提供があり次第速やかにパッチを当てなければならない。
(3)
重要な情報システムの設定に係るファイル等について、必要に応じて当該ファイルの改ざんの有無を検査すること。
2
攻撃を受けることが明確な場合には、情報システム管理者は情報システムの停止を含む必要な措置を講じなければならない。また、関係機関との連絡を密にして情報の収集に努めなければならない。
3
攻撃を受け、当該攻撃が不正アクセス禁止法違反等犯罪の可能性がある場合には記録の保存に努めるとともに、警察・関係機関との緊密な連携に努めなければならない。
4
情報システム管理者は、閲覧権限がない職員等が所管するシステムにアクセスすることが不可能となるように、システム上制限しなければならない。
(セキュリティ情報の収集)
第46条
情報システム管理者は、情報セキュリティに関する情報を収集し、えびの市の全てのネットワーク及び情報システムについてソフトウエアにパッチを当てる等、セキュリティ対策上必要な措置を講じなければならない。
第6節 運用
(情報システムの監視)
第47条
セキュリティに関する事実を検知するため、情報システム管理者は、常に情報システムの監視を行わなければならない。
2
情報システム管理者は、アクセス記録及び情報セキュリティの確保に必要な記録を全て取得し、盗難、改ざん、消去等を防止する措置を施したうえで一定期間保存しなければならない。また、定期的にそれらを分析しなければならない。
3
職員等は、アクセス記録等が情報システム管理者によって監視及び保存されていることを理解しなければならない。
4
情報セキュリティ責任者及び情報システム管理者は、情報セキュリティポリシーの遵守状況について、また、運用上支障が生じていないかについて確認を行わなければならない。
5
セキュリティ障害が発生した場合には、情報セキュリティ責任者及び情報システム管理者は速やかに対応するとともに、再発防止の措置を講じなければならない。
6
情報システム管理者は、故意の不正アクセス又は不正操作により情報システムに障害を及ぼすことが明らかな場合には、情報システムの停止を含む必要な措置を講じなければならない。
7
情報システム管理者は、情報システムに障害を受け、その障害の原因となる行為が不正アクセス禁止法違反等の可能性がある場合には、行為の記録の保存に努めなければならない。
(障害の調査)
第48条
情報システム管理者は、セキュリティ障害が発生した場合、障害の発生を速やかに情報セキュリティ統括責任者へ報告するとともに、次の項目について調査を行い、その結果を情報セキュリティ統括責任者に報告しなければならない。
ただし、障害の程度が軽微なものについては報告を要しないものとする。
(1)
障害の内容
(2)
障害が発生した原因
(3)
確認した被害、影響範囲
(障害への対応)
第49条
情報システム管理者は、速やかにセキュリティ障害を復旧し、その措置について情報セキュリティ統括責任者に報告しなければならない。
2
障害が外部に重大な影響を及ぼすおそれがある場合には、情報システム管理者は速やかに情報セキュリティ統括責任者に報告のうえ必要な指示を仰がなければならない。
(再発防止の措置)
第50条
情報システム管理者は、必要な再発防止の措置を講じるとともに、その結果を情報セキュリティ運営委員会に報告しなければならない。
2
情報セキュリティ運営委員会は、情報セキュリティポリシー及び実施手順の改善に係る再発防止計画が有効であると認められる場合は、これを承認する。
第7節 法令遵守
(遵守する法令)
第51条
職員等は、職務の遂行において使用する情報資産について、次の法令等を遵守しこれに従わなければならない。
(1)
不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2)
著作権法(昭和45年法律第48号)
(3)
個人情報の保護に関する法律
一部改正〔令和5年告示36号〕
(情報セキュリティに関する違反に対する対応)
第52条
職員等が情報セキュリティポリシーに違反した結果、データの漏洩、破壊、改ざん又はシステムダウン等により行政業務に深刻な影響をもたらした場合、当該職員等を地方公務員法による懲戒の対象とし、悪質な場合には刑事告発の対象とする。
第8節 評価・見直し
(点検及び見直し)
第53条
情報セキュリティ責任者は、各課等における情報セキュリティポリシーの遵守状況を定期的に点検し、遵守されていない場合速やかに適切な処置を講じなければならない。
2
情報システム管理者は、情報セキュリティポリシーに沿った情報セキュリティ対策が実施されているかどうかについて職員等にアンケート等を行う。情報システム管理者はこれを取りまとめ、情報セキュリティ運営委員会に報告する。情報セキュリティ運営委員会は、この報告結果を情報セキュリティポリシー更新の際に参照する情報資産として活用することとする。
3
新たに必要な対策が発生した場合又は点検の結果を踏まえ、情報セキュリティ運営委員会において情報セキュリティポリシーの実効性を評価し、必要な部分の見直しを実施する。
附 則
この情報セキュリティポリシーは、公表の日から施行する。
附 則(平成17年10月20日告示第183号)
この情報セキュリティポリシーは、公表の日から施行する。
附 則(平成19年4月1日告示第128号)
この情報セキュリティポリシーは、公表の日から施行する。
附 則(平成19年11月12日告示第225号)
この情報セキュリティポリシーは公表の日から施行し、平成19年11月1日から適用する。
附 則(平成21年3月27日告示第43号)
この情報セキュリティポリシーは、平成21年4月1日から施行する。
附 則(令和5年3月23日告示第36号)
この情報セキュリティポリシーは、令和5年4月1日から施行する。