○住民基本台帳ネットワークシステムのセキュリティに関する規程
平成14年8月5日
訓令第4号
目次
第1章 総則(第1条・第2条)
第2章 住民基本台帳ネットワークシステムセキュリティ組織(第3条―第6条)
第3章 住民基本台帳ネットワークシステム入退室管理(第7条―第11条)
第4章 住民基本台帳ネットワークシステムアクセス管理(第12条―第15条)
第5章 住民基本台帳ネットワークシステム情報資産管理(第16条―第18条)
附則
第1章 総則
(趣旨)
第1条 この規程は、上松町における住民基本台帳ネットワークシステムに係る本人確認情報(住民基本台帳法(昭和42年法律第81号)第30条の5第1項の規定する本人確認情報をいう。)等の住基データの保護並びにシステムの適正な管理及び運用について必要な事項を定めるものとする。
(1) 住民基本台帳ネットワークシステム コミュニケーションサーバ、長野県サーバ、指定情報処理機関サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)電気通信回線、プログラム等により構成され、住民基本台帳法の規定に基づき、本人確認情報の記録、保存及び提供を行うためのシステム
(2) コミュニケーションサーバ 本人確認情報を記録し、既存住基システムと長野県サーバ、他の市町村コミュニケーションサーバとデータ交換を行うためのコンピュータ
(3) 長野県サーバ 上松町長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、指定情報処理機関に本人確認情報の通知を行うための長野県知事の使用に係る電子計算機
(4) 指定情報処理機関サーバ 長野県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための指定情報処理機関の使用に係る電子計算機
(5) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の入出力装置
(6) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機プリンタその他の入出力装置
(7) プログラム
電子計算機を機能させて住民基本台帳ネットワークシステムを作動させるための命令を組み合わせたもの
第2章 住民基本台帳ネットワークシステムセキュリティ組織
(セキュリティ総括責任者)
第3条 住民基本台帳ネットワークシステムのセキュリティ対策を総合的に実施するため、セキュリティ総括責任者を置く。
2 セキュリティ総括責任者は、副町長をもって充てる。
3 総括責任者は、住基ネットワークシステムの管理状況及びこれに関連する設備の状態について常に把握し住基データの漏えいの防止及び正確性の維持を図り住基ネットワークシステムが適正に管理及び運用されるよう努めなければならない。
4 総括責任者は、住基ネットワークシステムについて、火災、盗難その他の災害に備えて必要な保安措置を採らなければならない。事故が発生したときは、速やかに事故の経緯及び被害状況を調査し、町長に報告しなければならない。
5 総括責任者は住基ネットワークシステムの障害等により、システムの全部又は一部が停止した場合及び住基データの漏えい又は漏えいのおそれがあると認める場合は、緊急時対応計画を、関係機関と連携を取り作成するものとする。
(システム管理者)
第4条 住民基本台帳ネットワークシステムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課長をもって充てる。
(セキュリティ責任者)
第5条 住民基本台帳ネットワークシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住民福祉課長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ総括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、次に掲げる者をもって組織する。
(1) セキュリティ総括責任者
(2) システム管理者
(3) セキュリティ責任者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住民基本台帳ネットワークシステムのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
4 セキュリティ会議の庶務は、住民福祉課住民係が行う。
第3章 住民基本台帳ネットワークシステム入退室管理
(入退室管理を行う場所)
第7条 次に掲げる住民基本台帳ネットワークシステムの運用が行われる場所において、それぞれのセキュリティ区分に応じた、入退室管理を行うものとする。
セキュリティ区分 | 場所 |
レベル3 | 住民基本台帳ネットワークシステムのデータ、セキュリティ情報等の保管場所 |
レベル2 | サーバ、ネットワーク機器の設置場所 |
レベル1 | 業務端末の設置場所(住民福祉課窓口) |
2 それぞれのセキュリティ区分に応じた、入退室管理の方法は、次のとおりである。
セキュリティ区分 | 入退室管理の方法 |
レベル3 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行う。また、入退室に関する記録を行う。 |
レベル2 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行う。また、入退室に関する記録を行う。 |
(入退室管理者)
第8条 入退室管理者は、住民基本台帳ネットワークシステムのデータ、セキュリティ情報等の保管及びサーバ、ネットワーク機器の設置の場所にあっては、総務課長、業務端末の設置場所にあっては、住民福祉課長をもって充てる。
(鍵の管理)
第9条 鍵の管理は、総務課長が行う。
2 入退室管理者は、レベル3及び2のセキュリティ区分に係る室については、許可を得ている者に限り、鍵を貸与するものとする。
(管理簿の作成)
第10条 入退室管理者は、レベル3及び2のセキュリティ区分に係る場所については、入退室管理簿を作成し、これを保存するものとする。
(指示)
第11条 セキュリティ総括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 住民基本台帳ネットワークシステムアクセス管理
(アクセス管理を行う機器)
第12条 次に掲げる住民基本台帳ネットワークシステムの構成機器についてアクセス管理を行う。
(1) コミュニケーションサーバ
(2) 業務端末
2 前項のアクセス管理は、操作者用ICカード(住基ネットワークシステムの業務アプリケーションを起動するときに、操作者が本人であるかどうか認証・識別できるICカードをいう。以下同じ。)及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
(通信制御)
第13条 システム管理者は、コンピュータへの不正侵入に対して住基ネットワークシステム及び既存住基システムを保護するため、電気通信回線を使用するときも、システムの必要な部分にはファイアウォールを設置し、通信制御を行わなければならない。
2 システム管理者は、住基ネットワークシステムでの通信について、通信相手相互の認証を行うとともに、送受信する住基データの暗号化を行わなければならない。
(端末機操作の管理)
第14条 職員は、住基データを住基ネットワークシステム関連業務に必要な場合以外は検索してはならない。
2 システム管理者は、端末機の使用状況を定期的に把握しなければならない。
3 システム管理者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、総括責任者に報告しなければならない。
(操作者識別カード、及びパスワードの管理)
第15条 システム管理者は、取扱職員に入出力を制御する操作者識別カードを取扱職員に貸与しなければならない。
2 取扱職員は、操作者識別カードを他者へ貸与等してはならない。
3 取扱職員は、操作者識別カードの紛失等をしないようにするとともに自己のパスワードを他人に漏らしてはならない。
第5章 住民基本台帳ネットワークシステム情報資産管理
(情報資産管理)
第16条 住民基本台帳ネットワークシステムの情報資産(住民基本台帳ネットワークシステムに係る全ての情報並びにソフトウエア、ハードウエア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カードの管理責任者(以下「本人確認情報管理責任者」という。)は、住民福祉課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長をもって充てる。
(本人確認情報管理責任者)
第17条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のため必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び住民基本台帳カードの管理方法を定めるものとする。
(情報資産管理責任者)
第18条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、住民福祉課長と協議して、住民基本台帳ネットワークシステムのオペレーション計画を定めるものとする。
附則
この規程は、平成14年8月5日から施行する。