南但広域行政事務組合住民基本台帳ネットワークシステム運用管理規程

○南但広域行政事務組合住民基本台帳ネットワークシステム運用管理規程

平成14年8月15日

規程第5号

第1章　総則

(目的)

第1条　この規程は、南但広域行政事務組合電子計算組織の管理運営及び個人情報の保護に関する規則(平成5年南但広域行政事務組合規則第1号。以下「情報保護規則」という。)第22条の規定に基づき、南但広域行政事務組合における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するとともに、適切な運用管理に関して必要な事項を定める。

(定義)

第2条　この規則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　住基ネット　コミュニケーションサーバ(以下「CS」という。)、都道府県サーバ、指定情報処理機関サーバ、端末機、電気通信関係装置(ファイヤーウォールを含む。以下同じ。)、電気通信回路、プログラム等により構成され、関係町の長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を知事(法第30条の10第3項に規定する委任知事をいう。以下同じ。)に、知事が本人確認情報を指定情報処理機関(法第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)に通知し、並びに知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステムをいう。

(2)　CS　知事に本人確認情報の通知及び転出確定通知((法施行令昭和42年政令第292号。以下「令」という。)第13条第3項の規定による通知をいう。以下同じ。)を行うための電子計算機をいう。

(3)　都道府県サーバ　構成町の長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、並びに委任知事にあっては、指定情報処理機関に本人確認情報の通知を行うための知事の使用に係る電子計算機をいう。

(4)　指定情報処理機関サーバ　委任知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための指定情報処理機関の使用に係る電子計算機をいう。

(5)　ファイヤーウォール　ネットワークにおいて不正侵入を防御する電子計算機をいう。

第2章　体制の整備

(セキュリティ統括責任者)

第3条　住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、事務局長をもって充てる。

(システム管理者)

第4条　住基ネットの適切な管理を行うため、システム管理者を置く。

2　システム管理者は、総務係長をもって充てる。

(セキュリティ責任者)

第5条　住基ネットの適正な運用及びデータ保護について統括的管理を図るため、セキュリティ責任者を置く。

2　セキュリティ責任者は、電算係長をもって充てる。

(セキュリティ会議)

第6条　セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1)　関係市情報保護担当部署の長

(2)　システム管理者

(3)　セキュリティ責任者

(4)　その他セキュリティ統括責任者が審議に必要と認めた者

3　セキュリティ会議は、次に掲げる事項を審議する。

(1)　住基ネットのセキュリティ対策の決定及び見直し

(2)　前号のセキュリティ対策の遵守状況の確認

(3)　監査の実施

(4)　教育・研修の実施

4　議長は、前項のうち重要と認められる事項を審議するときは、電算業務運用管理委員会の意見の意見を求めるものとする。

5　議長は、必要と認めるときは、関係職員等の出席を求め、その意見又は説明を聴くことができる。

6　セキュリティ会議の庶務は、電算係において処理する。

(関係町に対する要請等)

第7条　組合管理者は、セキュリティ会議の結果を踏まえ、関係町の長に対し必要な措置を要請することができる。

(監査体制)

第8条　セキュリティ統括責任者は、住基ネットのセキュリティを確保するために、定期又は必要に応じて随時、監査を受ける。

(教育・研修)

第9条　統括責任者は、住基ネットの運用に携わる職員に対して、住基ネットの操作及びセキュリティ対策に関する教育・研修を計画的に行う。

第3章　入退室管理

(入退室管理)

第10条　セキュリティ責任者は、次に掲げる住基ネットの管理及び運用が行われる室において、入退室管理を行うものとする。

(1)　住基ネットのデータ、セキュリティ情報等の保管室

(2)　サーバ、ネットワーク機器、業務端末の設置室

2　前項の電算室への入退室は、セキュリティ責任者から事前に許可を得ている者のみが行うことができる。事務局職員及びプログラム開発受託業者等で、恒常的に事務組合で作業する者以外の者(以下「部外者」という。)は、入退室の都度、セキュリティ責任者の許可を得なければならない。なお、部外者が入室するときは、名札の着用を義務付け、必要に応じて事務局職員が立ち会うものとする。

(指示)

第11条　セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、セキュリティ責任者から報告を聴取し、調査を行い、必要な指示を行うものとする。

第4章　アクセス管理

(アクセス管理を行う機器)

第12条　システム管理者は、次に掲げる住基ネットの構成機器について、アクセス管理を行う。

(1)　サーバ

(2)　業務端末

2　前項のアクセス管理は、操作者識別カード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

(操作者識別カードの管理)

第13条　事務局職員、プログラム開発受託業者の社員及び保守委託業者の社員のうち、住基ネットの業務に必要な者としてシステム管理者が承認した者(以下「住基ネット操作者」という。)は住基ネットの操作を行うことができる。

2　システム管理者は、前項により住基ネットの操作を行うことを承認された者に、町から貸与された操作者識別カードを使用させることができる。

3　システム管理者は、操作者識別カードを施錠により保管する。

4　システム管理者は、住基ネット操作者以外には、サーバ及び業務端末を操作させてはならない。

5　システム管理者並びに住基ネット操作者は、操作者識別カードに関し、次に掲げる事項を遵守しなければならない。

(1)　操作者識別カードを業務の処理以外に使用してはならない。

(2)　操作者識別カードを紛失し、若しくはき損をしないよう、又は盗難若しくは詐取にあわないよう、高度の注意をもって管理する。

(3)　操作者識別カードを紛失若しくはき損した場合、又は盗難若しくは詐欺にあった場合は、直ちにシステム管理者に報告する。

6　システム管理者は、操作者識別カードの紛失等の届出を受けた場合は、直ちに関係市に報告するとともに、失効の手続きを取らなければならない。

7　住基ネット操作者は、使用の都度、システム管理者から操作者識別カードを借り受け、業務終了後直ちにその者に返却する。

8　住基ネット操作者は、離席するときに、操作者識別カードをサーバ及び業務端末から抜き取るものとする。

9　住基ネット操作者は、操作者識別カードを他者に貸与又は譲渡してはならない。

10　システム管理者は、操作者識別カードの利用に関する検査を随時行う。

(パスワードの管理)

第14条　システム管理者は、操作者識別カードのパスワードに関し、次に掲げる事項を遵守させなければならない。

(1)　パスワードを必要に応じて随時更新する。

(2)　規則性のあるパスワード又は推測可能なパスワードを設定してはならない。

2　住基ネット操作者は、パスワードを他者に漏らしてはならない。また、パスワードを漏洩できる状態や他者が知り得る状態においてはならない。

(システム管理者の責務)

第15条　システム管理者は、住基ネット操作者を含む本人確認情報を取り扱う者に対し、本人確認情報の安全確保措置、本人確認情報に関する秘密及び本人確認情報の電子計算機処理に関する秘密の保持義務、本人確認情報の義務外利用・提供の禁止、その他この規程に定めるセキュリティの確保、適切な運用を図るための事項について指導し、遵守させなければならない。

(操作履歴等の記録)

第16条　システム管理者は、サーバに記録された操作履歴及びファイアウォールに記録された通信履歴について、7年前までさかのぼって解析できるよう保管するものとする。

(端末装置の運用時間)

第17条　端末装置の運用時間は、月曜日から金曜日の午前8時30分から午後5時15分までとする。

第5章　情報資産管理

(情報資産の管理)

第18条　住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の管理を行うものとする。

2　システム管理者は、情報資産の構成を明確化するほか、それぞれの情報資産に関し、次に掲げる管理を行うとともに、情報資産管理簿を作成し、情報資産の導入、移設及び廃棄等の異動処理に伴う変更履歴を記録する。

(1)　情報資産の障害に関すること。

(2)　情報資産の保守に関すること。

(3)　情報資産の性能に関すること。

(本人確認情報等の管理)

第19条　本人情報を取り扱う者は、本人確認情報の漏洩、滅失及びき損の防止、その他のその他の本人確認情報等の適切な管理を行うために、以下に掲げる事項を遵守しなければならない。

(1)　本人確認情報が記載されている電子媒体、帳票を適正に管理し、又は廃棄すること。特に、電子媒体は、初期化してから廃棄するとともに、帳票は鍵のかかる場所、その他十分管理できる場所に保管し、シュレッダー又は溶解処理等により廃棄すること。

(2)　本人確認情報に関する秘密及び住基ネットのセキュリティに関する技術情報、パスワード、具体的な運用方法及びマニュアル等本人確認情報の電子計算機処理に関する秘密を漏らさないこと。事務に従事しなくなった者、退職した者も同様とする。

2　住基ネット操作者は、次に掲げる事項を遵守しなければならない。

(1)　業務上必要のない本人確認情報を検索、表示、保存又は印刷しないこと。また、業務上必要のない帳票の出力(ハードコピーを含む。)を行わないこと。

(2)　長期にわたり本人確認情報をディスプレイに表示したままの状態にしないこと。

(オペレーション計画)

第20条　システム管理者は、運用計画を事前に作成し、進捗管理を行い、必要に応じ随時、計画の見直しを行う。

(ハードウェアの管理)

第21条　セキュリティ責任者は、ハードウェアの管理に関して次に掲げる対策を行う。


	必要な対策
障害に関すること	・指定情報処理機関、県、町、ハードウェアメーカ等との連絡網を整備し、障害が発生した場合の対応手順を整備する。・障害が発生した場合には、障害状況の把握及び障害対応を行う。重大な障害については、緊急時対応計画書に基づいて対応する。・障害が発生しないよう防止対策を講じるとともに、対策が適正に実施されているか確認を行う。
保守に関すること	・保守対象機器を明確にし、保守対象機器については、継続して機器が使用できるように必要な措置を講じる。・保守の時期及び保守内容について、ハードウェアの機能、使用頻度を勘案し、決定する。・保守作業実施時において、データの抹消、漏えい等が発生しないよう、防止策を講じる。・保守作業の結果について必ず報告することを保守業者に義務づける。
性能に関すること	・ハードウェアの利用状況を定期的に分析し、分析結果に基づきハードウェアの適正な設置を図るとともに、ハードウェアの導入を計画的に行う。・ハードウェアの能力をピーク時に対処できるものとするが、運用で対応する方策も併せて実施し、機器の導入が過剰とならないよう配慮する。

(ソフトウェアの管理)

第22条　セキュリティ責任者は、ソフトウェアの管理に関して次に掲げる対策を行う。


	必要な対策
障害に関すること	・サーバ等のソフトウェアにバグを発見した場合は、直ちに指定情報処理機関にバグの状況を報告し、その指示に従う。・サーバ等がコンピュータウイルスに感染した場合は、直ちに当該サーバをネットワークから切り離す等の措置を講じるとともに、被害状況を指定情報処理機関に報告し、その指示に従う。重大な障害については、緊急時対応計画書に基づいて対応する。
保守に関すること	・ソフトウェアのバージョン管理について、指定情報処理機関の指示に従い実施する。・不測事態、障害対応に備えて適切にソフトウェアのバックアップを行う。・業務内容及び処理形態に応じて、バックアップの範囲、記録する磁気ディスク、保管方法を定める。・バックアップしたソフトウェアと運用中のソフトウェアの整合性・同期性に配慮する。・バックアップ及びリカバリ方法について、システムの変更の都度見直しを行う。
性能に関すること	・「指定情報処理機関一括調達ソフト」、「業務アプリケーション」及び「その他指定情報処理機関が指示するソフトウェア」以外に、住基ネットで使用するソフトウェアについて性能管理を行う。・サーバ等に独自で開発又は購入するソフトウェアを導入する場合は、事前に性能に関する調査を行い導入の是非を検討する。何人も、サーバ及び業務端末に、住基ネットの管理及び運用に必要なソフトウェア以外のソフトウェアを導入してはならない。

(ネットワークの管理)

第23条　セキュリティ責任者は、ネットワークの管理に関して次に掲げる対策を行う。


	必要な対策
障害に関すること	・ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止、障害範囲拡大防止、障害の切り分け)、障害運転時対応(代替運転、縮退運転)、状況に応じた復旧作業、障害原因の調査、障害改修後対応(同様障害再発防止策の実施)について、必要な措置を講じる。・障害予測、定期診断、ログの調査・解析を行うことにより、住基システムの継続性の向上に努める。重大な障害については、緊急時対応計画書に基づいて対応する。
保守に関すること	・円滑な運用を確保するため、ハードウェア資源の利用状況、回線トラフィック状況を勘案して適宜、資源の配分について見直しを行う。・ネットワークの運用保守等によりネットワークを停止するときは、あらかじめ、市、県及び指定情報処理機関に通知する。ただし、緊急に保守作業を行う必要がある場合等においては、セキュリティ責任者の判断によりネットワークを停止することができる。
性能に関すること	・性能情報及び統計情報の収集と蓄積を行い、蓄積した性能情報をもとに解析を行う。・解析結果に基づき、パフォーマンス上のボトルネックを検出し、ボトルネックがある場合には改善措置を講じる。・ネットワークの拡張又は縮小を行う際には、計画の立案を行い、住基ネット事務への影響を最小限にして実施する。・ネットワークの性能維持に関して、必要があると判断したときは、取り決めを作成し、町に周知する。何人も、サーバ及び業務端末を、住基ネット以外のネットワーク(取扱責任者が許可したものを除く)に接続してはならない。

第6章　緊急時対応計画

(緊急時対応計画)

第24条　住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼす恐れがある場合に、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、緊急時対応計画を定めるものとする。

附　則

この規程は、平成14年8月5日から施行する。