えびの市行政情報セキュリティポリシー
目的
えびの市が取り扱う情報資産には、市民の個人情報を始めとし行政運営上重要な情報など、部外に漏洩等した場合には極めて重大な結果を招く情報が多数含まれている。
したがって、情報資産、情報資産を取り扱うネットワークおよび情報システムを様々な脅威から防御することは、市民の財産、プライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことがえびの市に対する市民からの信頼の維持向上に寄与することとなる。
このため、えびの市の情報資産の機密保持および正確性、完全性の維持ならびに定められた範囲での利用可能な状態を維持するための対策を整備するために、えびの市行政情報セキュリティポリシー(以下「情報セキュリティポリシー」という)を定める。
定義
- ネットワーク
電子計算機を相互に接続するための通信網、その構成機器(ハードウエアおよびソフトウエア)で構成され、情報処理を行う仕組みをいう。 - 情報システム
電子計算機と記録媒体で構成され、情報処理を行う仕組みをいう。 - 情報資産
ネットワークや情報システムの開発と運用に係る全ての情報、ネットワークや情報システムで取り扱う全ての情報をいう。 - 情報セキュリティ
情報資産の機密性、完全性および可用性を維持することをいう。
- 機密性:情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
- 完全性:情報および処理の方法の正確さおよび完全である状態を完全防護すること。
- 可用性:許可された利用者が必要なときに情報にアクセスできることを確実にすること。
情報セキュリティポリシーの位置付け
情報セキュリティポリシーは、えびの市が管理する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
対象範囲
- 対象となる組織
えびの市個人情報保護条例第2条第2項に定める実施機関(市長、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会および議会) - 対象となる情報
対象となる組織において取り扱う情報資産 - 対象者
情報資産に関する業務に携わる全職員・非常勤職員・臨時職員(以下、「職員等」という)および外部委託業者(本市との契約により、本市の情報を取り扱う業務または本市のネットワークもしくは情報システムに係る開発、導入、保守等の業務に携わる者をいう)
職員等および外部委託事業者の義務
職員等および外部委託業者は、情報セキュリティの重要性について共通の認識をもつとともに業務の遂行に当たって情報セキュリティポリシーを遵守の義務を負うものとする。
情報セキュリティ管理体制
えびの市の情報資産について、情報セキュリティ対策を適切に推進・管理するための体制を確立するものとする。
情報資産の分類
情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。
情報資産への脅威
情報セキュリティポリシーを講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮すると、特に認識すべき脅威は以下のとおりである。
- 部外者の侵入による機器または情報資産の破壊・盗難
- 部外者による故意の不正アクセス、不正操作による情報資産の破壊・盗聴・改ざん・消去等
- 職員等および外部委託事業者による機器または情報資産の持ち出し、誤操作
- アクセスのための認証情報またはパスワードの不適切管理、故意の不正アクセスまたは不正行為による破壊・盗聴・改ざん・消去等
- 搬送中の事故等による機器または情報資産の盗難、規定外の端末接続によるデータ漏洩等
- コンピュータウイルス、地震、落雷、火災等の災害や事故、故障等
情報セキュリティ対策
上記の脅威から情報資産を保護するため、以下の情報セキュリティ対策を講ずるものとする。
- 物理的セキュリティ対策
情報システムを設置する施設への不正な立入り、情報資産への損傷・妨害等から保護するために物理的な対策を講ずる。 - 人的セキュリティ対策
情報資産に接する職員の情報セキュリティに関する権限や責任等を定め、職員等および外部委託事業者に情報セキュリティポリシーの内容を周知徹底する等、十分な教育および啓発が講じられるように必要な対策を講ずる - 技術および運用におけるセキュリティ対策
情報資産を外部からの不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワーク管理等の技術面の対策、また、ネットワークの監視、情報セキュリティポリシーの遵守状況の確認等の運用面の対策を講ずる。
このほか、緊急事態が発生した際に迅速な対応を可能とするための危機管理対策を講ずる。
情報セキュリティ対策基準の策定
えびの市の情報資産について、上記の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項および判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行ううえで必要となる基本的な要件を明記した「情報セキュリティ対策基準」を策定するものとする。
情報セキュリティ実施手順の策定
情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する対策の手順を具体的に定めておく必要がある。そのため、情報セキュリティ対策基準に基づき、「情報セキュリティ実施手順」を策定するものとする。
なお、情報セキュリティ対策基準および情報セキュリティ実施手順は、公開することによりえびの市の行政運営に重大な支障を及ぼす恐れのある情報であることから、えびの市情報公開条例第7条第4項の規定に基づき非公開とする。
遵守状況の確認
情報セキュリティポリシーが遵守されていることを検証するため、定期的に点検を実施するものとする。
評価・見直し
情報セキュリティポリシーに定める事項および情報セキュリティ対策の評価、情報システムの変更、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティ対策基準の見直しを実施するものとする。
更新日:2022年02月28日