○赤平市住民基本台帳ネットワークシステム管理規程
平成29年6月19日
訓令第6号
赤平市住民基本台帳ネットワークシステム管理規程(平成24年訓令第3号)の全部を改正する。
目次
第1章 総則(第1条)
第2章 セキュリティ組織(第2条~第6条)
第3章 入退室管理(第7条~第11条)
第4章 アクセス管理(第12条~第17条)
第5章 本人確認情報管理(第18条~第25条)
第6章 情報資産管理(第26条~第32条)
第7章 委託管理(第33条~第36条)
第8章 雑則(第37条)
附則
第1章 総則
(趣旨)
第1条 この規程は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)により取り扱われる本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)等の個人情報の安全確保を図るため住基ネットの適正かつ円滑な管理運営について必要な事項を定めるものとする。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第2条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充てる。
(システム管理者)
第3条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
(セキュリティ責任者)
第4条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、市民生活課長をもって充てる。
(セキュリティ会議)
第5条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) その他必要と認める者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
4 議長は、前項のうち重要と認められる事項を審議するときは、赤平市情報公開・個人情報保護審査会の意見を聴くものとする。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、市民生活課において処理する。
(関係課等に対する指示)
第6条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課等の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
第3章 入退室管理
(入退室管理を行う室)
第7条 次に掲げる住基ネットの運用が行われる室又は場所において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室又は場所 |
レベル2 | (1) 住基ネットのデータ、セキュリティ情報等の保管室 (2) サーバ、ネットワーク機器の設置室 |
レベル1 | 統合端末の設置室又は場所(市民生活課窓口等) |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりとする。
セキュリティ区分 | 入退室の管理の方法 |
レベル2 | (1) 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、鍵を用いて入退室を行う。 (2) 識別を行うために、入退室者には、名札の着用を義務付ける。 (3) 入退室に関する記録を行う。 |
レベル1 | (1) 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。 (2) 識別を行うために、入退室者には、名札の着用を義務付ける。 (3) 訪問者(住基ネット担当者以外)の入退室に関する記録を行う。 |
(入退室管理者)
第8条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室並びにサーバ及びネットワーク機器の設置室にあっては総務課長を、統合端末の設置室にあっては市民生活課長をもって充てる。
(鍵の管理)
第9条 レベル2のセキュリティ区分に係る室の鍵の管理は、システム管理者が行う。
2 システム管理者は、前項の室又は場所への入室を許可した者に限り、鍵を貸与するものとする。
(管理簿の作成)
第10条 入退室管理者は、レベル2のセキュリティ区分に係る室又は場所については、入退室記録簿(様式第1号)を作成し、これを保存するものとする。
2 システム管理者は、レベル2のセキュリティ区分に係る室又は場所については、鍵管理簿(様式第2号)を作成し、これを保存するものとする。
(指示)
第11条 セキュリティ統括責任者は、適切な入退室等が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第12条 次に掲げる住基ネットの構成機器について、業務アプリケーションに対するアクセス管理を行う。
(1) コミュニケーションサーバ
(2) 統合端末
2 前項のアクセス管理は、照合情報認証により住基ネットの操作者(以下「操作者」という。)の正当な権限を確認すること、及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第13条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、総務課長をもって充てる。
(照合ID、照合情報及び操作者ID)
第14条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を行う。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、セキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者ID管理簿(様式第3号)を作成すること。
(操作者の責務)
第15条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第16条 アクセス管理責任者は、操作履歴について、7年前まで遡って解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第17条 アクセス管理責任者は、第12条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
第5章 本人確認情報管理
(本人確認情報管理)
第18条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票並びに個人番号カード及び住民基本台帳カード(以下「個人番号カード等」という。)について、本人確認情報管理を行うものとする。
(本人確認情報管理責任者)
第19条 前条の本人確認情報管理を実施するため、本人確認情報管理責任者を置き、市民生活課長をもって充てる。
2 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
3 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。
(本人確認情報管理方法)
第20条 本人確認情報の管理方法(操作者の指定を含む。)は、次に掲げるとおりとする。
(1) 本人確認情報管理責任者は、住基ネットのオペレーション計画を定めるものとする。
(2) 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えい、毀損等の被害を受けるおそれがある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。
(本人確認情報の取扱方法)
第21条 職員は、本人確認情報を取り扱う際に、次の各号に留意しなければならない。
(1) 統合端末の画面情報に関する留意事項
ア ディスプレイを、来庁者等に画面を見られないように設置すること。
イ ディスプレイに、斜視防止フィルタを適用する等の覗き見防止措置を行うこと。なお、タッチパネルを利用した入力に関しては、タッチパネル画面からも本人確認情報等が第三者から確認できないように配慮を施すこと。
ウ 画面を長時間表示させないため、スクリーンセーバの起動までの時間を適宜設定し、解除にパスワードの入力が要求されるよう設定すること。
(2) 本人確認情報の入力、削除及び訂正時の留意事項
ア 入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を確認すること。
イ 本人確認情報の入力、削除及び訂正から確認に至るまでを2名の担当者にて行うこと。
ウ 入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄すること。また、帳票の内容によっては、本人確認情報変更管理簿(様式第4号)に記載し、施錠可能な書庫等に施錠保管すること。
エ 訂正は、本人確認情報管理責任者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保管すること。
オ 本人確認情報をメモに書き込む及び端末にテキスト文書として保存したりしないこと。
カ 本人確認情報の入力、削除及び訂正を行った際、実施月日、実施者及び処理内容の記録を残していること。
(3) 本人確認情報の検索・抽出時の留意事項
ア 業務上必要のない検索は行わないこと。
イ 事前に、検索・抽出条件を明確にすること。
ウ 検索・抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーを取らないこと。必要があってハードコピーを取る場合は、事前に本人確認情報管理責任者の承認を得て、その記録を残すこと。
(4) 職員離席時又は業務交代時の留意事項
ア 業務アプリケーションを必ずログオフ又は終了させること。
(5) 大量に本人確認情報を出力する場合の留意事項
ア 大量に本人確認情報を出力することは基本的に実施しないこと。必要があって大量に本人確認情報を出力する場合は、事前に本人確認情報管理責任者の決裁・承認を得て、その記録を残すこと。
イ 大量を定義する印刷物(整合性確認処理時のファイルへの出力数)等の量は20人以上とする。
(6) 統合端末の配置及び状況把握
ア 本人確認情報管理責任者から目視することができる位置に統合端末を配置すること(配置できない場合は統合端末の配置及び操作状況を確認するためのカメラを設置等すること。)。
イ 本人確認情報管理責任者は、統合端末の利用状況を目視等により確認すること。
(実施状況の確認)
第22条 本人確認情報管理責任者は、月1回以上、次の各号について確認し、その結果を記録する。
(1) 前条の留意事項について、実際の業務の中で遵守されていること。
(2) 操作ログに、業務上必要のない操作履歴が残っていないこと。
(3) 業務上必要のない検索又は抽出が行われていないことについて、担当者へのヒアリングにより確認していること。
(帳票の管理方法)
第23条 管理対象とする帳票は、次の各号に掲げるものとする。
(1) 広域交付住民票
(2) 転出証明確認書
(3) 転入通知確認書
(4) 住民票コード通知票
(5) 住民票コード変更通知票
(6) 住民票の写しの広域交付・転入出処理件数一覧表
(7) 住民票コード要求・付番処理件数一覧表
(8) 本人確認情報更新処理件数一覧表
(9) 本人確認情報整合結果リスト
(10) 本人確認情報リスト
(11) 住民票の写しの広域交付・転入出処理件数年合計一覧表
(12) 住民票コード要求・付番処理件数年合計一覧表
(13) 本人確認情報更新処理件数年合計一覧表
(14) 戸籍附票記載事項通知処理件数一覧表
(15) 戸籍附票記載事項通知確認書
(16) 個人番号カード交付申請者一覧表等
2 本人確認情報管理責任者は、以下の項目を記録するための帳票管理簿(様式第5号)を作成し、帳票の出力、保管、廃棄等を行う際、職員に必要項目を記録させるものとする。ただし、住民からの申請書に基づき、住民に交付する部数のみを印刷する場合は、住民からの申請書が管理対象であり、出力は管理対象外とする。
(1) 出力に関する項目
ア 帳票の内容(数量及び内訳)
イ 出力年月日
ウ 出力する職員の氏名及び所属課等名
エ 使用理由
オ 管理者の承認
カ 使用の際の注意項目
(2) 保管に関する項目
ア 保管場所
イ 保管期間
(3) 廃棄に関する項目
ア 廃棄年月日
イ 廃棄する職員の氏名及所属課等名
ウ 廃棄理由
エ 管理者の承認
オ 廃棄方法
3 出力時の留意事項は、次の各号に掲げるとおりとする。
(1) 職員は、出力装置を、来庁者等に出力帳票を見られないように設置すること。
(2) 職員は、帳票を出力した際、出力装置上に放置せず、速やかに回収すること。
(3) 職員は、出力装置を適時確認し、帳票が放置されている場合は次の措置を行うこと。
ア 出力した職員を特定して注意すること。
イ 長時間放置されたものは廃棄すること。
4 職員は、帳票を保管する際、次の各号に留意しなければならない。
(1) 施錠可能な書庫等に保管し、権限のない者がアクセスできないようにするとともに、鍵は本人確認情報管理責任者が管理すること。
(2) 帳票管理簿についても前号と同様とする。
5 職員は、帳票を廃棄する際、次の各号に掲げる事項に留意しなければならない。
(1) 事前に、管理責任者の承認を得てから廃棄すること。
(2) 帳票の内容を読み出せないよう焼却、裁断、溶解等により廃棄すること。
(3) 廃棄状況を帳票管理簿に記録して本人確認情報管理責任者へ報告すること。
(帳票受渡し管理方法)
第24条 本人確認情報管理責任者は、帳票受渡し管理簿(様式第6号)を作成し、帳票を利用する際、職員に必要項目を記録させる。
2 職員は、帳票を持ち出す場合は、次の各号に留意しなければならない。
(1) 帳票受渡し管理簿に必要項目を記録して本人確認情報管理責任者の承認を得ること。
(2) 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しないこと。
(3) 原則として、複写は行わないこと。
(4) 帳票の盗難又は紛失時には、直ちに本人確認情報管理責任者へ報告すること。
(5) 返却の際、帳票受渡し管理簿に必要項目を記録して本人確認情報管理責任者へ報告すること。
(実施状況の確認)
第25条 本人確認情報管理責任者は、月1回以上、次の各号について確認し、その結果を記録するものとする。
(1) 帳票管理簿に必要項目(帳票の内容、出力年月日、出力した職員の氏名等)が記録されていること。
(2) 帳票管理簿と現況が一致していること、紛失等はないこと。
(3) 出力装置が、来庁者等に出力された帳票を見られないよう設置されていること。
(4) 帳票及び帳票保管庫の鍵が施錠保管されており、権限のない者がアクセス可能な場所に放置されていないこと。
(5) 廃棄状況の記録が残っていること。
第6章 情報資産管理
(情報資産管理)
第26条 住基ネットの情報資産のうち、本人確認情報(記録データ、出力帳票及び個人番号カード等)を除いたデータ並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等(以下この章において「情報資産」という。)について、情報資産管理を行うものとする。
(情報資産管理責任者)
第27条 前条に掲げる情報資産の適切な管理を行うため、情報資産管理責任者を置き、総務課長をもって充てる。
2 情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。
(ソフトウェアの適正な管理)
第28条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講じなければならない。
(ハードウェアの適正な管理)
第29条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講じなければならない。
(ネットワークの適正な管理)
第30条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講じなければならない。
(情報資産管理簿等の適正な管理)
第31条 情報資産管理簿等の適正な管理については、要領・手順書等に定めるものとする。
(施設の適正な管理)
第32条 情報資産管理責任者は、操作者の認証等により、本人確認情報の処理に係る電子計算機及び端末装置を設置する場所の入出場の管理、その他これらの施設への不正なアクセスを予防するために入退室管理責任者と協議を行い、その措置を講じなければならない。
第7章 委託管理
(委託を受けようとする者の管理体制等の調査)
第33条 市民生活課長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第34条 市民生活課長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守に関する事項
(2) 外部委託事業者の責任者、委託内容、作業者の所属、作業場所の特定に関する事項
(3) 提供されるサービスレベルの保証に関する事項
(4) 外部委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法に関する事項
(5) 外部委託事業者の従業員に対する教育の実施に関する事項
(6) 提供された情報の目的外利用及び受託者以外の者への提供の禁止に関する事項
(7) 業務上知り得た情報の守秘義務に関する事項
(8) 再委託に関する制限事項の遵守に関する事項
(9) 委託業務終了時の情報資産の返還、廃棄等に関する事項
(10) 委託業務の定期報告及び緊急時報告義務に関する事項
(11) 地方公共団体による監査、検査に関する事項
(12) 情報セキュリティインシデント発生時の対応に関する事項
(13) 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)に関する事項
(受託者の管理状況の調査)
第36条 市民生活課長は、委託業務の範囲及び委託先のセキュリティ対策の実施状況の確認に当たっては、委託先からの報告内容を検証することのほか、必要に応じ委託先への監査等を実施するなど必要かつ適切な監督体制のもとで実施するものとする。
第8章 雑則
(その他)
第37条 この規程に定めるもののほか、必要な事項は市長が別に定める。
附則
(施行期日)
1 この規程は、平成29年7月1日から施行する。
(経過措置)
2 この規程の施行の際、すでに印刷済の用紙類については、この規程の規定にかかわらず、当分の間、所要の調整をして使用することができる。
附則(平成30年訓令第3号)
(施行期日)
1 この訓令は、公布の日から施行する。
(経過措置)
2 この訓令の施行の際、すでに印刷済の用紙類については、この訓令の規定にかかわらず、当分の間、所要の調整をして使用することができる。
附則(令和2年訓令第7号)
この訓令は、公布の日から施行する。
附則(令和3年訓令第2号)
この訓令は、公布の日から施行する。
