○奥州市情報セキュリティ規程
平成22年3月30日
共同訓令第1号
目次
第1章 総則(第1条―第3条)
第2章 情報資産管理組織(第4条―第14条)
第3章 情報セキュリティ対策
第1節 情報資産(第15条―第20条)
第2節 情報システム全体の強靭性の向上(第21条)
第3節 情報セキュリティ対策の実施(第22条)
第4節 物理的セキュリティの確保(第23条―第26条)
第5節 技術的セキュリティの確保(第27条―第48条)
第6節 人的セキュリティの確保(第49条―第57条)
第7節 運用及び監視(第58条―第65条)
第8節 業務委託及び外部サービスの利用(第66条―第67条の8)
第9節 評価(第68条・第69条)
第4章 雑則(第70条・第71条)
附則
第1章 総則
(目的)
第1条 この訓令は、市が保有する情報資産の機密性、完全性及び可用性を維持するため、情報セキュリティ対策に関し必要な事項を定めることを目的とする。
(1) 市 市長、議会、教育委員会、選挙管理委員会、監査委員、農業委員会及び固定資産評価審査委員会並びに上下水道事業管理者の権限を行う市長及び病院事業管理者をいう。
(2) ネットワーク サーバ及びパソコンを相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。
(3) 情報資産 情報システム、情報システムの開発及び運用に係る情報並びに情報システムで取り扱う情報(紙等に出力された情報を含む。)をいう。
(4) 機密性 情報にアクセスすることを認められた者のみが、情報にアクセスできる状態を確保することをいう。
(5) 完全性 情報に誤びゅうがなく、かつ、情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(6) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく情報にアクセスできる状態を確保することをいう。
(7) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(8) 情報セキュリティ実施手順 情報セキュリティ対策を実施するため、情報資産を取り扱う際の具体的な手順を定めたものをいう。
(9) 個人番号利用事務系 個人番号利用事務(社会保障、地方税又は防災に関する事務)又は戸籍事務等に関わる情報システム及び当該情報システムで取り扱うデータをいう。
(10) LGWAN接続系 LGWANに接続された情報システム及び当該情報システムで取り扱うデータであって個人番号利用事務系を除いたものをいう。
(11) インターネット接続系 インターネットメール等に関わるインターネットに接続された情報システム及び当該情報システムで取り扱うデータをいう。
(12) 通信経路の分割 LGWAN接続系とインターネット接続系との両領域間の通信環境を分離したうえで、安全が確保された通信だけを許可できるようにすることをいう。
(13) 無害化通信 インターネットメール本文のテキスト化や画面転送等により、コンピュータウイルス等の不正プログラム(以下「不正プログラム」という。)の付着がない等、安全が確保された通信をいう。
(14) ガバメントクラウド デジタル社会形成基本法(令和3年法律第35号)第29条の規定に基づき国が環境を整備するクラウドサービス又はこれと同等のクラウドサービスをいう。
(適用範囲)
第3条 この訓令は、市がその業務遂行上取り扱う全ての情報資産(病院又は診療所における医療のために用いる情報システム及び小中学校における教育のために用いる情報システムを除く。以下同じ。)及び市の情報資産を取り扱う全ての職員に適用する。
第2章 情報資産管理組織
(最高情報セキュリティ責任者)
第5条 最高情報セキュリティ責任者(CISO:Chief Information Security Officer。以下「CISO」という。)は、副市長をもって充てる。
2 CISOは、次に掲げる事項についての権限及び責任を有する。
(1) 情報資産の管理及び情報セキュリティ対策に関する最終決定に関すること。
(2) 情報セキュリティ対策を徹底するための職員に対する教育、指導及び指示に関すること。
(3) 情報資産に対するセキュリティ侵害の発生又はセキュリティ侵害のおそれ(以下「セキュリティ侵害の危機」という。)がある場合における必要な措置に関すること。
(4) 情報セキュリティインシデントに対処するための体制(CSIRT:Computer Security Incident Response Team。以下「CSIRT」という。)の整備及び役割の明確化に関すること。
(統括情報セキュリティ責任者)
第6条 統括情報セキュリティ責任者は、総務部長をもって充てる。
2 統括情報セキュリティ責任者は、CISOを補佐し、CISOに事故があるとき、又は欠けたときは、その職務を代理する。
3 統括情報セキュリティ責任者は、次に掲げる事項についての権限及び責任を有する。
(1) 市の共通的な情報システムの開発、設定の変更、運用、見直し等に関すること。
(2) 市の共通的な情報システムの情報セキュリティ対策に関すること。
(3) 情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に対する情報セキュリティに関する指導及び助言に関すること。
(4) 市の共通的な情報資産の取扱いに関する情報セキュリティ実施手順の策定及びその見直しに関すること。
(5) 情報セキュリティ実施手順の適切な履行のための職員に対する指導に関すること。
(6) セキュリティ侵害の危機その他の緊急時における円滑な情報共有を図るための連絡体制の整備に関すること。
(7) この訓令その他の情報セキュリティ関係規程に係る運用状況(その運用に係る課題及び問題点を含む。)の把握及びCISOへの報告に関すること。
(統括情報セキュリティ管理者)
第7条 統括情報セキュリティ管理者は、総務部行革デジタル戦略課長をもって充てる。
2 統括情報セキュリティ管理者は、統括情報セキュリティ責任者を補佐し、情報資産に関して適正な情報セキュリティ対策が実施されるよう管理する。
情報セキュリティ責任者 | 組織 |
政策企画部長 | 政策企画部 |
総務部長 | 総務部 固定資産評価委員会委員長が所掌する組織 |
財務部長 | 財務部 |
協働まちづくり部長 | 協働まちづくり部 |
市民環境部長 | 市民環境部 |
商工観光部長 | 商工観光部 |
農林部長 | 農林部 |
福祉部長 | 福祉部 |
健康こども部長 | 健康こども部 |
都市整備部長 | 都市整備部 |
会計管理者 | 会計管理者の補助組織 |
議会事務局長 | 議会事務局 |
教育部長 | 教育委員会事務局 教育機関 |
選挙管理委員会事務局長 | 選挙管理委員会事務局 |
監査委員事務局長 | 監査委員事務局 |
農業委員会事務局長 | 農業委員会事務局 |
上下水道部長 | 上下水道部 |
医療局経営管理部長 | 医療局 |
水沢総合支所長 | 水沢総合支所事務局 |
江刺総合支所長 | 江刺総合支所に置くグループ |
前沢総合支所長 | 前沢総合支所に置くグループ |
胆沢総合支所長 | 胆沢総合支所に置くグループ |
衣川総合支所長 | 衣川総合支所に置くグループ |
2 情報セキュリティ責任者は、次に掲げる事項についての権限及び責任を有する。
(1) 所管する組織における情報セキュリティ対策の承認及び統括に関すること。
(2) 所管する組織における情報システムの開発、設定の変更、運用、見直し等の承認及び統括に関すること。
(3) 所管する組織におけるこの訓令に規定する事項に関する意見の集約並びに職員に対する教育、訓練、助言及び指示に関すること。
(4) 所管する組織におけるセキュリティ侵害の危機その他緊急時における連絡体制の整備及び必要な措置に関すること。
(情報セキュリティ管理者)
第9条 情報セキュリティ管理者は、課長等(奥州市個人情報保護管理規程(平成18年奥州市共同訓令第1号)第2条第2号に規定する課長等及び奥州市議会事務局組織規程(平成18年奥州市議会訓令第1号)第4条第1項に規定する事務局次長をいう。以下同じ。)をもって充てる。
2 情報セキュリティ管理者は、情報セキュリティ責任者の承認を得て行う次に掲げる事項についての権限及び責任を有する。
(1) 所管する課等(奥州市個人情報保護管理規程第2条第1号に規定する課等及び議会事務局をいう。以下同じ。)における情報セキュリティ対策に関すること。
(2) 所管する課等におけるこの訓令の規定及び情報セキュリティ実施手順の適正な履行のための必要な措置に関すること。
(情報セキュリティ担当者)
第10条 情報セキュリティ担当者は、情報セキュリティ管理者がその所管する課等の職員の中から指名する。
2 情報セキュリティ担当者は、情報セキュリティ管理者の指示等に従い、課等内における情報セキュリティ対策に関する作業を行うものとする。
(情報システム管理者)
第11条 情報システム管理者は、各情報システムを担当する課長等をもって充てる。
2 情報システム管理者は、情報セキュリティ責任者の承認を得て行う次に掲げる事項についての権限及び責任を有する。
(1) 所管する情報システムの開発、設定の変更、運用、見直し等に関すること。
(2) 所管する情報システムの運用における情報セキュリティ対策に関すること。
(3) 所管する情報システムの情報セキュリティ実施手順の策定及び見直しに関すること。
(4) 所管する情報システムのアクセス権限の付与等に関すること。
(情報システム担当者)
第12条 情報システム担当者は、情報システム管理者がその所管する課等の職員の中から指名する。
2 情報システム担当者は、情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、見直し等の作業を行うものとする。
(兼務の禁止)
第13条 情報セキュリティ対策の実施において、承認又は許可の権限を有する者は、やむを得ない場合を除き、その権限に属するものの承認又は許可の申請をしてはならない。
2 監査を行う権限を有する者は、やむを得ない場合を除き、その権限に属するものの監査を行ってはならない。
(CSIRT)
第14条 CISOは、CSIRTを整備し、その役割を明確化しなければならない。
2 CISOは、CSIRTに所属する職員を指名し、その中からCSIRT責任者を置き、並びにCSIRT内の統括及び外部との連携等を行う者を定めなければならない。
3 CISOは、情報セキュリティに関する統一的な窓口機能を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。
4 CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供しなければならない。
5 CSIRTは、情報セキュリティインシデントを認知した場合には、CISO、総務省、県等へ報告を行わなければならない。
6 情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知及び公表を行わなければならない。
7 CSIRTは、情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、業務委託事業者等との情報共有を行わなければならない。
第3章 情報セキュリティ対策
第1節 情報資産
(情報資産の分類)
第15条 情報セキュリティ管理者は、その所管する課等が保有する情報資産を機密性、完全性及び可用性により、次の各号の表のとおり分類するものとする。
(1) 機密性による情報資産の分類
分類 | 分類基準 |
機密性3 | 秘密文書に相当する機密性を要する情報資産 |
機密性2 | 秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 |
機密性1 | 機密性3又は機密性2の情報資産以外の情報資産 |
(2) 完全性による情報資産の分類
分類 | 分類基準 |
完全性2 | 誤びゅうの発生又は改ざん、消去若しくは破損された場合に、住民の権利が侵害され、又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 |
完全性1 | 完全性2の情報資産以外の情報資産 |
(3) 可用性による情報資産の分類
分類 | 分類基準 |
可用性2 | 滅失、紛失又は利用が不可能な場合に、住民の権利が侵害され、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 |
可用性1 | 可用性2の情報資産以外の情報資産 |
(情報資産の管理責任等)
第16条 情報セキュリティ管理者は、その所管する情報資産(複製又は伝送されたもの及びガバメントクラウド上に保存されるものを含む。)における管理責任を有する。
2 情報セキュリティ管理者は、情報資産を管理するに当たっては、情報の内容及び情報資産の分類を表示しなければならない。
3 職員は、業務以外の目的で情報資産を作成してはならない。
4 職員は、情報資産を作成するときは、当該情報資産の分類を定めなければならない。
5 職員は、作成中の情報についても、紛失や流出等を防止しなければならない。この場合において、情報が不要になった場合は、当該情報を復元できないように処理したうえで廃棄しなければならない。
6 職員は、他の職員が作成した情報資産を入手したときは、入手元の情報資産の分類に基づいた取扱いをしなければならない。この場合において、入手した情報資産の分類が不明なときは、情報セキュリティ管理者の指示を受けるものとする。
7 職員は、職員以外の者が作成した情報資産を入手したときは、当該情報資産の分類を定めなければならない。
(情報資産の利用)
第17条 職員は、情報を利用するに当たっては、次に掲げる事項を行ってはならない。
(1) 業務以外の目的で情報資産を利用すること。
(2) 業務以外の目的で情報資産を外部に持ち出すこと。
(3) 機密性3又は機密性2に分類される情報資産を取り扱う作業を支給以外のパソコン、モバイル端末で行うこと。
(情報資産の保管)
第18条 情報セキュリティ管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。
2 情報セキュリティ管理者は、機密性3若しくは機密性2、完全性2又は可用性2に分類される情報資産を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を講じた場所に施錠して保管するよう努めなければならない。
3 情報セキュリティ管理者は、情報資産を記録した電磁的記録媒体を長期に保管する場合は、書込禁止の措置を講じて保管するとともに、保管した情報資産に係る改ざん等の有無について定期的に確認しなければならない。
(情報資産の提供等)
第19条 職員は、機密性3に分類される情報資産を外部に提供し、又は運搬するときは、情報セキュリティ管理者の許可を得なければならない。
2 職員は、機密性3又は機密性2に分類される情報資産を外部に提供し、又は運搬するときは、必要に応じてパスワードの設定等による暗号化を行わなければならない。電子メールにより送信するときも、同様とする。
3 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。
(情報資産の廃棄等)
第20条 職員は、機密性3に分類される情報資産の廃棄、リース返却等をするときは、情報セキュリティ管理者の許可を得たうえで、情報を復元できないよう措置を講じるとともに、日時、担当者、処理内容等を記録しなければならない。
2 職員は、ガバメントクラウドの利用終了時期を確認し、ガバメントクラウド上で取り扱う全ての情報資産が適切に移行又は消去されるよう管理しなければならない。
第2節 情報システム全体の強靭性の向上
(情報セキュリティ対策の抜本的強化)
第21条 統括情報セキュリティ責任者は、情報システム全体の強靭性の向上を図るため、次に掲げる情報セキュリティ対策の抜本的強化を図るものとする。
(1) 個人番号利用事務系においては、他の領域との通信をできないようにしたうえで、パソコンからの情報持出し不可設定や多要素認証(認証手段のうち2以上の手段を併用する認証をいう。以下同じ。)の導入等により、住民情報の流出を防ぐこと。ただし、国等の公的機関が構築した情報システム等の十分に安全性が確保された外部接続先に通信する場合は、LGWANを経由してインターネット等と双方向でのデータ移送ができるものとする。
(2) 個人番号利用事務系のパソコン及びサーバと専用回線で接続されるガバメントクラウド上の情報システムの領域については、個人番号利用事務系の領域とし、前号に規定する他の領域とのネットワークの分離等の対策を実施するとともに、個人番号利用事務系の情報システムをガバメントクラウドにおいて利用する場合は、取り扱う情報資産の機密性を考慮して暗号化による対策を実施すること。
(3) LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割し、両システム間で通信する場合には、無害化通信を実施すること。
(4) インターネット接続系においては、インターネットとの通信を集約する自治体情報セキュリティクラウドに参加したうえで、県と連携しながら不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施すること。
第3節 情報セキュリティ対策の実施
(情報セキュリティ対策)
第22条 CISOは、情報セキュリティを確保するため、次に掲げる対策を講じるものとする。
(1) 物理的セキュリティ対策(サーバ及び重要な通信装置等のサーバ周辺機器(以下「サーバ等」という。)、管理区域、通信回線等、職員のパソコン並びに電磁的記録媒体に対して講じる物理的なセキュリティ対策をいう。)
(2) 技術的セキュリティ対策(サーバ等及びパソコンの管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的なセキュリティ対策をいう。)
(3) 人的セキュリティ対策(情報セキュリティに関して職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的なセキュリティ対策をいう。)
(4) 運用におけるセキュリティ対策(この訓令の規定の遵守状況の確認、情報システムの監視、業務委託を行う際のセキュリティ確保等の運用面からのセキュリティ対策をいう。)
第4節 物理的セキュリティの確保
(サーバ等の管理)
第23条 情報システム管理者は、サーバ等の機器の取付けを行う場合は、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置するとともに、容易に取り外せないよう適正に固定する等必要な措置を講じなければならない。
2 情報システム管理者は、停電等によるサーバ等の機器への電源供給の停止に備えるため、当該機器が適正に停止するまでに必要な容量の予備電源を備え付けなければならない。
3 情報システム管理者は、落雷等による過電流からサーバ等の機器を保護するための必要な措置を講じなければならない。
4 情報システム管理者は、通信ケーブル及び電源ケーブルの損傷等を防止するため、配線収納管を使用する等必要な措置を講じなければならない。この場合において、主要な箇所の通信ケーブル及び電源ケーブルの損傷等の報告があったときは、施設管理者と連携して対応しなければならない。
5 情報システム管理者は、職員以外の者が容易にネットワークに接続し、又はネットワークを遮断することができないようにネットワーク接続口を適正に管理しなければならない。
6 情報システム管理者は、契約により操作を認められた業務委託事業者以外の者が配線の変更又は追加をできないように必要な措置を講じなければならない。
7 情報システム管理者は、可用性2に分類される情報資産のサーバ等の機器の定期保守を実施しなければならない。
8 情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合は、その修理する事業者との間において、守秘義務契約の締結及び秘密保持体制の確認を行わなければならない。
9 情報システム管理者は、庁外にサーバ等の機器を設置する場合は、CISOの承認を得なければならない。この場合において、情報システム管理者は、当該機器への情報セキュリティ対策状況について定期的に確認しなければならない。
10 情報システム管理者は、機器の廃棄、リース返却等をする場合は、記録されている情報の機密性に応じて機器内部の電磁的記録媒体から、全ての情報を消去する等復元不可能な状態にする措置を講じなければならない。
11 情報システム管理者は、ガバメントクラウドの外部サービス提供者が利用するサーバ等を廃棄する場合は、情報セキュリティを確保した措置が講じられているか確認しなければならない。ただし、当該外部サービス提供者が第三者による監査報告書、認証等を取得している場合は、この限りでない。
(管理区域の管理)
第24条 情報システム管理者は、管理区域(ネットワークの基幹機器及び重要な情報システムを設置して当該機器等の管理及び運用を行うための部屋並びに電磁的記録媒体の保管庫をいう。以下同じ。)から外部に通じるドアの設置を必要最小限とし、鍵、監視機能、警報装置等によって、許可されていない入退室を防止しなければならない。
2 情報システム管理者は、管理区域内の機器等に対して転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。
3 情報システム管理者は、管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。
4 情報システム管理者は、前3項の規定による措置等を講じるときは、統括情報セキュリティ責任者及び施設管理者と連携を図るものとする。
5 統括情報セキュリティ責任者は、管理区域への入退室を許可された者のみに制限するとともに、ICカード等の所有物認証、指紋認証等の生体認証や入退室管理簿の記載による入退室管理を行わなければならない。
6 統括情報セキュリティ責任者は、機密性3又は機密性2に分類される情報資産を取り扱う情報システムを設置している管理区域には、当該情報システムに関連しない、又は個人が所有するパソコン、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。
7 統括情報セキュリティ責任者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立入り区域を制限したうえで、管理区域への入退室を許可された職員を付き添わせなければならない。
8 統括情報セキュリティ責任者は、搬出入する機器等が既存の情報システムに与える影響について、あらかじめ職員又は業務委託事業者に確認を行わせなければならない。
9 統括情報セキュリティ責任者は、管理区域内の機器等の搬出入については、必ず職員を立ち会わせなければならない。
(ネットワーク等の管理)
第25条 統括情報セキュリティ責任者は、施設管理者と連携を図り、庁内ネットワーク及びこれに関連する文書を適正に管理しなければならない。
2 統括情報セキュリティ責任者は、外部ネットワークへの接続を必要最小限にしなければならない。
3 統括情報セキュリティ責任者は、機密性3又は機密性2に分類される情報資産を取り扱う情報システムに通信回線の接続をする場合は、必要なセキュリティ水準を検討のうえ、適正な回線を選択しなければならない。
4 統括情報セキュリティ責任者は、ネットワークに使用する回線については、通信途上で情報の漏えい、改ざん等が生じないように十分な情報セキュリティ対策を実施しなければならない。
5 統括情報セキュリティ責任者は、可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。
(パソコン及び電磁的記録媒体の管理)
第26条 情報セキュリティ管理者は、執務室等のパソコン及び電磁的記録媒体の適正管理に努め、盗難防止の対策等必要な措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
2 情報システム管理者は、情報システムを利用する際にはパスワードの入力を必要とするよう設定しなければならない。
3 情報セキュリティ管理者は、個人番号利用事務系において多要素認証を行うよう設定しなければならない。
第5節 技術的セキュリティの確保
(ファイルサーバの設定等)
第27条 情報システム管理者は、ファイルサーバを課等単位で構成し、職員が他の課等のフォルダ及びファイルを閲覧及び使用できないよう設定しなければならない。この場合において、特に機密性が高い情報については、別途フォルダを作成する等の措置を講じ、同一課等であっても、担当者以外の職員が閲覧及び使用できないようにしなければならない。
(バックアップの実施)
第28条 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、サーバ等に記録された情報について、サーバ等の冗長化の実施の有無にかかわらず、定期的にバックアップを実施しなければならない。
2 情報システム管理者は、ガバメントクラウドのバックアップ機能を利用する場合は、ガバメントクラウドの外部サービス提供者にバックアップ機能の仕様の提供を求め、当該仕様が適正なセキュリティ要件を満たすことを確認しなければならない。
(他団体との情報システムに関する情報等の交換)
第29条 情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合は、その取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者の許可を得なければならない。
(情報システム仕様書等の管理)
第30条 情報システム管理者は、ネットワーク構成図及び情報システム仕様書について、紛失、改ざん、業務上必要とする者以外の者の閲覧等がないよう適正に管理しなければならない。
2 情報システム管理者は、所管する情報システムにおいて、システム変更等の作業を行った場合は、その作業内容について記録を作成し、窃取、改ざん等をされないように適正に管理しなければならない。
3 情報システム管理者は、所管する情報システムにおいて、業務委託事業者がシステム変更等の作業を行う場合、2名以上で作業させることとし、その作業を確認するものとする。
4 情報システム管理者は、前3項の規定による情報システム仕様書等の管理等においては、統括情報セキュリティ責任者と連携を図るものとする。
(ログの取得等)
第31条 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、各種ログ、システム障害に関する記録等、情報セキュリティの確保に必要な記録を取得し、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、一定の期間、適正にログを保存しなければならない。
2 情報システム管理者は、ガバメントクラウドの外部サービス提供者が取得し、保存するログについて、ログ管理等に係る対策及び機能に関する情報を確認し、ログに係る保護が実施されていることを確認しなければならない。
3 情報システム管理者は、監査及び調査分析に必要となるログ等の情報について、ガバメントクラウドの外部サービス提供者から提供されるログ等の監視機能で不足する場合は、外部サービス提供者にログ等の提出を求める手続を明確にしておかなければならない。
(ネットワークの接続制御、経路制御等)
第32条 統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。
2 情報システム管理者は、所管する情報システムを外部ネットワークと接続しようとする場合には、許可された通信のみを判断し通過させる装置(以下「ファイアウォール」という。)を外部ネットワークとの境界(以下「ゲートウェイ」という。)に設置し、庁内の全てのネットワーク、情報資産に影響が生じないことを確認したうえで、CISOの許可を得なければならない。
3 情報システム管理者は、接続した外部ネットワークの瑕疵(かし)により、情報の漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者との間で損害賠償責任を明確にしなければならない。
4 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、侵害の危機がある場合は、統括情報セキュリティ責任者に報告するとともに、直ちに当該外部ネットワークを物理的に遮断する等適正な措置を講じなければならない。
(複合機のセキュリティ管理)
第33条 統括情報セキュリティ責任者は、複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定しなければならない。
2 統括情報セキュリティ責任者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。
3 統括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消し、又は再利用できないようにする対策を講じなければならない。
(無線LAN及びネットワークの盗聴対策)
第34条 統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。
2 統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
(電子メールの利用制限)
第35条 職員は、電子メールを利用するに当たっては、次に掲げる事項を遵守しなければならない。
(1) 情報セキュリティ管理者が認める場合を除いて、自動転送機能を用いて電子メールを転送しないこと。
(2) 業務以外の目的で電子メールを送信しないこと。
(3) 複数人に電子メールを送信する場合は、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにすること。
(4) 重要な電子メールを誤送信した場合は、情報セキュリティ管理者に報告すること。
(5) 市のドメイン以外のメールアドレスを使用しないこと。
(外部に送信するデータの機密性及び完全性の確保)
第36条 職員は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定める電子署名、パスワードの設定等による暗号化を行ったうえで送信しなければならない。
(無許可ソフトウェアの導入等の禁止)
第37条 職員は、パソコンにソフトウェアを導入する場合は、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。
2 職員は、ソフトウェアライセンスの不正利用をしてはならない。
(機器構成の変更の制限)
第38条 職員は、パソコン及び周辺機器の改造、増設又は交換を行う場合は、統括情報セキュリティ責任者の許可を得なければならない。
(無許可でのネットワーク接続の禁止)
第39条 職員は、通信回線の種類にかかわらず、統括情報セキュリティ責任者が設定したネットワークと異なるネットワークに接続してはならない。ただし、統括情報セキュリティ責任者の許可を得た場合は、この限りでない。
2 統括情報セキュリティ責任者は、支給したパソコンが異なるネットワークに接続できないよう技術的な措置を講じなければならない。
(ウェブ閲覧の制限)
第40条 職員は、業務以外の目的でウェブを閲覧してはならない。
2 統括情報セキュリティ責任者は、職員のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し、適正な措置を求めなければならない。
(Web会議サービスの利用時の対策)
第40条の2 職員は、Web会議サービスを利用するに当たっては、次に掲げる事項を遵守しなければならない。
(1) 支給されたパソコン又はモバイル端末を利用すること。
(2) 利用するWeb会議サービスのソフトウェアが、最新のバージョンであることを確認すること。
(3) 機密性3に分類される情報資産を取り扱う場合は、Web会議サービスの議事録作成機能及び録画機能を利用しないこと。
(4) 音声を扱う場合には、周囲に会議の内容が漏れないようにすること。
(5) Web会議を主催する場合にあっては、会議に関係のない者が参加できないようパスワード等を設定すること。
(ソーシャルメディアサービスによる情報発信)
第40条の3 情報セキュリティ管理者は、市が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関して次に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(1) 市のアカウントによる情報発信が、真に市のものであることを明らかにするために、市のウェブサイトにその情報を掲載して参照可能にするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。
(2) パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(電磁的記録媒体、紙等)等を適正に管理するなどの方法で、不正アクセス対策を実施すること。
2 機密性3又は機密性2に分類される情報は、ソーシャルメディアサービスで発信してはならない。
3 情報セキュリティ管理者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。
4 情報セキュリティ管理者は、アカウントの不正利用を確認した場合は、被害を最小限にするための措置を講じなければならない。
(情報システムのアクセス制限)
第41条 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、所管する情報システムごとにアクセスする権限のない職員がアクセスできないよう情報システムを設定しなければならない。
(外部からのアクセス等の制限)
第41条の2 職員は、外部から庁内ネットワーク又は情報システムにアクセスする場合は、統括情報セキュリティ責任者及び当該情報システムを所管する情報システム管理者(以下この項及び第5項において「統括情報セキュリティ責任者等」という。)の許可を得なければならない。ただし、事務の遂行に緊急を要する等やむを得ない場合であって、統括情報セキュリティ責任者等の許可を得る時間的余裕がないときは、事後速やかに統括情報セキュリティ責任者等に報告のうえ承認を得なければならない。
2 統括情報セキュリティ責任者は、庁内ネットワーク又は情報システムに対する外部からのアクセス権限の付与を必要最小限としなければならない。
3 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、情報システム上で利用者認証を行う機能を確保しなければならない。
4 統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防ぐため、暗号化等の措置を講じなければならない。
5 統括情報セキュリティ責任者等は、外部からのアクセスに利用するパソコンを職員に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。
(利用者権限の管理)
第42条 統括情報セキュリティ責任者は、情報システムを使用する職員に認証カードを貸与しなければならない。
2 統括情報セキュリティ責任者又は情報システム管理者は、所管する情報システムの利用者IDの登録、変更、抹消等の情報を管理するとともに、アクセス権限の付与を必要最小限としなければならない。
3 統括情報セキュリティ責任者は、個人番号利用事務系等において、機器の固有情報によってネットワークとの接続可否が自動的に識別されるように情報システムを設定しなければならない。
4 統括情報セキュリティ責任者又は情報システム管理者は、認証情報を厳重に管理するとともに、認証情報の不正利用を防止するための措置を講じなければならない。
(情報システムの調達)
第43条 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、機器、ソフトウェア及び情報システムの開発、導入、保守等の調達を行う場合は、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。
(情報システムの開発、運用及び保守)
第44条 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、情報システムの開発、運用及び保守における事故及び不正行為の対策のため、次に掲げる事項を遵守しなければならない。
(1) 情報システム開発の責任者及び作業者を特定すること。
(2) 情報システム開発の責任者及び作業者が使用するIDを管理し、開発完了後はその使用したIDを直ちに削除すること。
(3) 情報システム開発の責任者及び作業者のアクセス権限を設定すること。
(4) 情報システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定すること。
(5) 情報システムを導入し、又は変更する場合には、情報システムの運用環境から分離したテスト環境において、あらかじめ操作確認及び十分なテストを行うこと。
(6) 情報システムの開発及び保守に係る計画を策定する場合には、当該情報システムの開発及び保守並びにテスト環境から運用環境への移行についての手順を明確化すること。
(7) 情報システムを導入する場合には、既に稼働している情報システムに影響が生じないことを確認するとともに、やむを得ず稼動している情報システムの停止等が発生するときは、業務への影響が最低限になるよう配慮すること。
(8) 導入する情報システムやサービスの可用性が確保されていることの確認を行うこと。
(9) 個人情報及び機密性の高い情報をテストデータとして使用しないこと。
(10) 開発したシステムについて受け入れテストを行う場合、開発した組織と導入する組織とで、それぞれ独立したテストを行うこと。
(11) 情報システムの開発及び保守に関連する資料及び文書を適正に整備し、及び保管すること。
(12) 情報システムのテスト結果を一定期間保管すること。
(13) 入力されるデータの妥当性をチェックし、不正な文字列等の入力を除去する機能及び故意又は過失により情報が改ざんされ、又は漏えいするおそれがある場合に、これを検出する機能を組み込むとともに、情報の処理が正しく反映されたデータが出力されるよう情報システムを設計すること。
(14) 情報システムを変更した場合は、プログラム仕様書等の変更履歴を作成すること。
(15) 情報システムの開発又は保守のためにソフトウェア等を更新する場合は、他の情報システムとの整合性を確認すること。
(不正プログラム対策に係る統括情報セキュリティ責任者の措置事項)
第45条 統括情報セキュリティ責任者は、市が所管するサーバ及びパソコンに係る不正プログラム対策として、次に掲げる措置を講じなければならない。
(1) 外部ネットワークから受信したファイルは、ゲートウェイにおいて不正プログラムのチェックを行い、不正プログラムの情報システムへの侵入を防止すること。
(2) 外部ネットワークに送信するファイルは、ゲートウェイにおいて不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止すること。
(3) 不正プログラムに係る情報を収集し、必要に応じ職員に対して注意を喚起すること。
(4) サーバ及びパソコンに、不正プログラムの対策を行うソフトウェア(以下「不正プログラム対策ソフト」という。)を常駐させること。
(5) 不正プログラム対策ソフトを最新の状態に保つこと。この場合において、不正プログラム対策ソフトの更新が自動的に行われないものについては、定期的に更新を行うこと。
(6) パッチやバージョンアップ等の開発元のサポートの終了予定を確認するとともに、サポートが終了したソフトウェアを利用させないこと。ただし、インターネットから分離された環境において当該サポートの終了したソフトウェアを利用させる場合であって、統括情報セキュリティ責任者が適当と認めるときは、この限りでない。
(7) 仮想マシン(ソフトウェアにより疑似的に再現されたコンピュータをいう。)を設定する際に不正プログラム対策を確実に実施すること。ガバメントクラウドを利用する場合においては、必要な情報セキュリティ対策が外部サービス提供者において実施されていることを確認するとともに、定期的に報告を求めること。
(不正プログラム対策に係る情報システム管理者の措置事項)
第46条 情報システム管理者は、所管する情報システムに係る不正プログラム対策として、次に掲げる措置を講じなければならない。
(1) 所管する情報システムのサーバ及びパソコンに、不正プログラム対策ソフトを常駐させること。
(2) 不正プログラム対策ソフトを最新の状態に保つこと。この場合において、不正プログラム対策ソフトの更新が自動的に行われないものについては、定期的に更新を行うこと。
(3) 所管する情報システムに対する不正プログラムに係る情報を収集し、必要に応じ職員に対して注意を喚起すること。
(4) 不正プログラム対策ソフトの設定に係る変更の権限を一括して管理し、許可した者以外の者が設定の変更を行うことができないように設定すること。
(不正プログラム対策に係る職員の遵守事項)
第47条 職員は、不正プログラム対策として、次に掲げる事項を遵守しなければならない。
(1) 不正プログラム対策ソフトの設定を変更しないこと。
(2) 外部からデータ又はソフトウェアを取り入れる場合は、必ず不正プログラム対策ソフトによるチェックを行うこと。
(3) 差出人が不明な電子メール、不正プログラム感染のおそれのある電子メール等を受信した場合は、直ちに削除すること。
(4) パソコンに対して、不正プログラム対策ソフトによる全検索を定期的に実施すること。
(5) インターネット接続系で受信した電子メール又はインターネット経由で入手したファイルをLGWAN接続系に取り込む場合は、無害化を行うこと。
(6) 統括情報セキュリティ責任者及び情報システム管理者が提供する不正プログラムに係る情報を常に確認すること。
(7) パソコン又はモバイル端末が不正プログラムに感染した場合又はそのおそれがある場合は、直ちにその利用を停止するとともに、LANケーブルを取り外し、又は通信を行わない設定にすること。
(不正アクセス対策)
第48条 統括情報セキュリティ責任者は、情報システム管理者と連携を図り、不正アクセスによる情報システムへの侵入を防止し、又はその事実を検知するため、ファイアウォール、ネットワーク侵入検知装置を設置する等適正な対策を行わなければならない。
2 統括情報セキュリティ責任者は、不要なサービスについて、機能を削除又は停止しなければならない。
3 情報システム管理者は、不正アクセスによるウェブページの改ざんを検出し、自らへの通報が行われるように努めなければならない。
4 統括情報セキュリティ責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応などを実施できる体制並びに連絡網を構築しなければならない。
5 情報システム管理者は、ガバメントクラウドを利用する場合において、適正なアクセス制御がガバメントクラウドの外部サービス提供者から提供される機能等により実施できるかどうかについて、事前に外部サービス提供者に確認しなければならない。
6 情報システム管理者は、ガバメントクラウドを利用する場合において、業務委託事業者にアクセス権限を付与するときは、多要素認証を行うよう設定しなければならない。
7 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、情報システムの停止等必要な措置を講じなければならない。この場合において、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)に違反する等犯罪の可能性があるときには、攻撃の記録を保存するとともに、警察及び関係機関に通報しなければならない。
8 統括情報セキュリティ責任者及び情報システム管理者は、職員が使用しているパソコンからの庁内のサーバ又は外部のサイトに対する攻撃を防止する措置を講じなければならない。
9 統括情報セキュリティ責任者及び情報システム管理者は、職員による不正アクセスを発見した場合は、アクセス権限の停止、ネットワークの切断等の適正な措置を講じなければならない。
10 統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
11 統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策、内部に侵入した攻撃を早期に検知して対処する対策、外部との不正通信を検知して対処する対策等を講じなければならない。
12 統括情報セキュリティ責任者及び情報システム管理者は、情報システムのセキュリティ上の弱点に関する情報を収集し、その緊急度に応じてソフトウェアの更新等の対策を実施しなければならない。
13 統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者にガバメントクラウドのセキュリティ上の脆弱性の管理内容について情報の提供を求め、業務及び情報資産に対する影響について特定するとともに、脆弱性管理の手順について、外部サービス事業者に確認しなければならない。
第6節 人的セキュリティの確保
(職員による人的セキュリティの確保)
第49条 職員は、情報セキュリティ対策の適正な実施のため、次に掲げる事項を遵守しなければならない。
(1) この訓令及び情報セキュリティ実施手順に定められている事項を適正に履行すること。
(2) この訓令及び情報セキュリティ実施手順について、不明な点、履行することが困難な点等がある場合は、速やかに情報セキュリティ管理者の指示を受けること。
(3) 机上のパソコン、電磁的記録媒体、情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないよう適正に管理すること。
(4) 異動、退職等により業務を離れる場合は、利用していた情報資産を返却するとともに、業務上知り得た情報を他に漏らさないこと。
(外部における情報処理作業等の制限)
第50条 CISOは、機密性3若しくは機密性2、完全性2又は可用性2に分類される情報資産を外部で処理する場合は、その情報資産の安全管理のために必要かつ適正な措置を講じなければならない。
2 職員は、市が所管するパソコン、電磁的記録媒体、ソフトウェア等の情報資産を外部に持ち出し、及び外部で情報処理作業を行う場合は、情報セキュリティ管理者の許可を得なければならない。
3 情報セキュリティ管理者は、前項の許可をした場合は、記録を作成し保管しなければならない。
(支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用)
第51条 職員は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を業務に利用してはならない。ただし、支給以外のパソコン及びモバイル端末については、情報セキュリティ管理者の許可を得た場合は、この限りでない。
2 情報セキュリティ管理者は、前項の許可をした場合は、記録を作成し保管しなければならない。
(セキュリティ設定変更の禁止)
第52条 職員は、パソコンのソフトウェアに関するセキュリティ機能の設定を変更する場合は、統括情報セキュリティ管理者の許可を得なければならない。
(研修及び訓練)
第53条 CISOは、職員に対し定期的に情報セキュリティに関する研修又は訓練(以下「情報セキュリティ研修等」という。)を実施しなければならない。
2 CISOは、情報セキュリティ研修等の計画の策定とその実施体制の構築を定期的に行い、委員会(奥州市情報セキュリティ委員会設置規程(平成22年奥州市訓令第1号)第1条に規定する奥州市情報セキュリティ委員会をいう。以下同じ。)の承認を得なければならない。
3 CISOは、毎年度1回、委員会に対して、職員の情報セキュリティ研修等の実施状況について報告しなければならない。
4 CISOは、緊急時対応を想定した訓練を適宜実施しなければならない。
5 職員は、定められた情報セキュリティ研修等に参加しなければならない。
(情報セキュリティインシデントの報告)
第54条 職員は、情報セキュリティインシデントを認知し、又は市が管理する情報資産に関する情報セキュリティインシデントに係る通報を受けた場合は、速やかに情報セキュリティ管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。
2 情報セキュリティ管理者は、前項の報告に係る情報セキュリティインシデントが、情報システムに関連する場合は統括情報セキュリティ責任者及び情報システム管理者に、ネットワークに関連する場合は統括情報セキュリティ責任者に報告しなければならない。
3 前項の場合において、情報セキュリティ管理者は、その情報セキュリティインシデントの内容等から必要と認めるときは、併せてCISO及び情報セキュリティ責任者に報告しなければならない。
4 情報セキュリティ管理者は、第1項の報告に係る情報セキュリティインシデントがガバメントクラウドの利用に関する場合は、CSIRTと連携を図り、外部サービス提供者等に報告しなければならない。
5 CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等の外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。
6 統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者が検知した情報セキュリティインシデントの報告及び状況を追跡する仕組みの構築について明確にしておかなければならない。
7 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認したうえで、情報セキュリティインシデントであるかの評価を行い、情報セキュリティインシデントであると評価した場合には、速やかにCISOに報告しなければならない。
8 CSIRTは、情報セキュリティインシデントの被害が拡大しないよう措置を講じたうえで復旧に努めるとともに、当該情報セキュリティインシデントの原因を究明し、記録を保存しなければならない。
9 CSIRTは、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。
10 CISOは、CSIRTから情報セキュリティインシデントの報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
(認証カードの管理)
第55条 職員は、自己の利用する認証カードを適正に管理するため、次に掲げる事項を遵守しなければならない。
(1) 自己の認証カードを他人に利用させないこと。
(2) 共用認証カードは、利用許可を受けている者以外は、利用しないこと。
(3) 業務上必要のない場合は、認証カードをカードリーダから抜いておくこと。
2 職員は、認証カードを紛失し、又は破損した場合は、直ちに情報セキュリティ管理者に報告しなければならない。
3 情報セキュリティ管理者は、前項の報告を受けた場合は、直ちに統括情報セキュリティ責任者に報告しなければならない。
4 統括情報セキュリティ責任者は、前項の報告を受けた場合は、直ちに当該認証カードを使用したアクセス権を停止しなければならない。
5 統括情報セキュリティ責任者は、認証カードを切り替える場合、切替え前の認証カードを回収し、復元不可能な処理を行ったうえで廃棄しなければならない。
(IDの取扱い)
第56条 職員は、自己の利用するIDを適正に管理するため、次に掲げる事項を遵守しなければならない。
(1) 自己のIDを他人に利用させないこと。
(2) 共用IDは、利用許可を受けている者以外は、利用しないこと。
(パスワードの取扱い)
第57条 職員は、自己のパスワードを適正に管理するため、次に掲げる事項を遵守しなければならない。
(1) パスワードは、他人に知られないように管理すること。
(2) パスワードは、秘密にし、漏えいさせないこと。
(3) パスワードの長さ及び文字列については、情報システム管理者が定める基準によること。
(4) パスワードが流出したおそれがある場合は、速やかに情報システム管理者に報告し、パスワードを変更すること。
(5) 仮のパスワード(初期パスワードを含む。)は、最初のログインの際に変更すること。
(6) パソコンのパスワードの記憶機能を利用しないこと。
(7) パスワードは、職員間で同じものを用いないこと。
第7節 運用及び監視
(情報システムの監視)
第58条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを監視しなければならない。
2 統括情報セキュリティ責任者及び情報システム管理者は、ログを取得するサーバの時刻が、正確なものとなるよう各種設定等の措置を講じなければならない。情報システムをガバメントクラウドにおいて利用する場合も、同様とする。
3 統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドを利用する場合において、必要となる監視機能を確認するとともに、情報システムの監視により、業務継続のうえで必要となる容量及び能力を予測し、業務が維持できるようにしなければならない。
4 統括情報セキュリティ責任者及び情報システム管理者は、ガバメントクラウドの利用において重大な情報セキュリティインシデントにつながるおそれのある次に掲げる事項について手順化しておかなければならない。
(1) サーバ、ネットワーク等の仮想化された機器等の構築、変更及び削除
(2) 外部サービス利用の終了手順
(3) バックアップ及び復旧
(遵守状況の確認及び対処)
第59条 情報セキュリティ管理者は、情報セキュリティ責任者と連携を図り、この訓令の規定の遵守状況について確認を行い、この訓令の規定に反する行為(以下「違反行為」という。)を認めた場合は、適正かつ速やかに対処し、その対処状況について統括情報セキュリティ責任者に報告しなければならない。
2 統括情報セキュリティ責任者は、前項の報告を受けた事項について、その重要度に応じてCISOに報告しなければならない。
3 情報システム管理者は、統括情報セキュリティ責任者と連携を図り、ネットワーク及びサーバ等のシステム設定等におけるこの訓令の規定の遵守状況について、定期的に確認を行い、違反行為を認めた場合は、適正かつ速やかに対処しなければならない。
4 CISOは、不正アクセス、不正プログラム等の調査のために必要と認めるときは、職員を指名し、当該職員が使用するパソコン及び電磁的記録媒体等のログ、電子メールの送受信記録等の状況を調査することができる。
(職員の報告義務)
第60条 職員は、違反行為を発見した場合は、直ちに情報セキュリティ管理者に報告を行わなければならない。
2 情報セキュリティ管理者は、前項の報告を受けた場合は、統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。
3 統括情報セキュリティ責任者は、違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、次条に規定する緊急時対応計画に従って適正に対処しなければならない。
(緊急時対応計画の策定)
第61条 統括情報セキュリティ責任者は、情報セキュリティインシデント、違反行為等によるセキュリティ侵害の危機に対し、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するため、緊急時対応計画を定め、委員会の承認を得なければならない。緊急時対応計画を変更する場合も、同様とする。
2 統括情報セキュリティ責任者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者と情報セキュリティインシデント管理における責任と役割の分担を明確にし、ガバメントクラウドの障害時を想定した措置を緊急時対応計画の中に定めておかなければならない。
3 統括情報セキュリティ責任者は、自然災害、感染症のまん延等に備えるために、情報通信技術の利用に係る業務継続計画を定め、委員会の承認を得なければならない。業務継続計画を変更する場合も、同様とする。
4 統括情報セキュリティ責任者は、情報セキュリティを取り巻く状況の変化、組織体制の変動等に応じ、緊急時対応計画を見直さなければならない。
(例外措置の許可)
第62条 情報セキュリティ管理者及び情報システム管理者は、この訓令その他の情報セキュリティ関係規程を遵守すること(以下「遵守行為」という。)が困難な状況であり、かつ、事務の適正な遂行を継続するため、遵守行為によらないことについて合理的な理由がある場合は、CISOの許可を得たうえで、例外的な措置を講じることができる。
2 情報セキュリティ管理者及び情報システム管理者は、事務の遂行に緊急を要する等やむを得ない場合であって、前項の許可をとる時間的余裕がないときは、事後速やかにCISOに報告のうえ承認を得なければならない。
3 CISOは、例外的な措置に係る書類等を適正に保管しなければならない。
(法令遵守)
第63条 職員は、業務遂行上取り扱う情報資産を保護するために、情報セキュリティ関係法令を遵守し、これに従わなければならない。
(懲戒処分)
第64条 この訓令の規定に違反した職員は、当該違反により生じた結果の重大性、発生状況等に応じて懲戒処分の対象とする。
(違反時の対応)
第65条 統括情報セキュリティ責任者は、職員の違反行為を確認した場合は、当該職員が所属する組織の情報セキュリティ責任者及び情報セキュリティ管理者に通知し、適正な措置を求めなければならない。
2 情報システム管理者は、職員の違反行為を確認した場合は、統括情報セキュリティ責任者並びに当該職員が所属する組織の情報セキュリティ責任者及び情報セキュリティ管理者に通知し、適正な措置を求めなければならない。
3 統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティ責任者又は情報セキュリティ管理者の指導によっても職員の違反行為が改善されない場合は、当該職員の情報システムにアクセスする権限を停止しなければならない。この場合において、統括情報セキュリティ責任者は、その内容をCISO並びに当該職員が所属する組織の情報セキュリティ責任者及び情報セキュリティ管理者に通知するものとする。
第8節 業務委託及び外部サービスの利用
(業務委託)
第66条 統括情報セキュリティ責任者又は情報システム管理者は、業務委託事業者の選定に当たっては、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。
2 統括情報セキュリティ責任者又は情報システム管理者は、重要な情報資産を取り扱う業務の委託に当たっては、業務委託事業者との間で必要に応じて次に掲げる条件を明記した契約を締結しなければならない。
(1) この訓令及び情報セキュリティ実施手順に定められている事項の遵守義務
(2) 委託業務の責任者、内容、作業者の所属、作業場所等の特定
(3) 提供されるサービスレベルの保証
(4) 情報のライフサイクル全般における業務委託事業者にアクセスを許可する情報の種類、範囲、アクセス方法等の管理の実施
(5) 業務委託事業者の従業員に対する情報セキュリティに関する教育の実施
(6) 提供された情報の目的外利用及び業務委託事業者以外の者への提供の禁止
(7) 業務上知り得た情報の守秘義務
(8) 再委託の制限
(9) 委託業務終了時の情報資産の返還、廃棄等
(10) 委託業務の定期報告及び緊急時報告義務
(11) 市による監査又は検査の実施
(12) 市による情報セキュリティインシデント発生時の公表
(13) 第1号の遵守義務に反した場合の措置
3 統括情報セキュリティ責任者又は情報システム管理者は、業務委託事業者において必要な情報セキュリティ対策が確保されていることを確認し、必要に応じて改善要求等の措置を講じなければならない。この場合において、統括情報セキュリティ責任者又は情報システム管理者は、その内容を重要度に応じてCISOに報告しなければならない。
(外部サービスの利用)
第67条 統括情報セキュリティ責任者は、外部サービス利用判断基準、外部サービス提供者の選定基準等を含む外部サービスの利用に関する規定を整備しなければならない。
2 情報セキュリティ管理者は、外部サービスを利用しようとする場合は、取り扱う情報の分類及び取扱制限を踏まえて、前項に規定する基準等に従って利用の可否を検討しなければならない。
(機密性3又は機密性2に分類される情報資産を取り扱う外部サービスの選定等)
第67条の2 情報システム管理者は、機密性3又は機密性2に分類される情報資産を取り扱う外部サービス(以下この条から第67条の7までにおいて「外部サービス」という。)を利用する場合は、次に掲げる事項を含めた情報セキュリティ対策を外部サービス提供者の選定の条件としなければならない。
(1) 外部サービスで取り扱う情報の外部サービス提供者における目的外利用の禁止
(2) 外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制
(3) 外部サービスの提供に当たり、外部サービス提供者、再委託先又はその他の者によって、市の意図しない変更が加えられないための管理体制
(4) 外部サービス提供者の資本及び役員等の情報並びに従事者の所属、専門性、実績及び国籍に関する情報提供並びに調達仕様書による施設の場所又は地域の指定
(5) 情報セキュリティインシデントへの対処方法
(6) 情報セキュリティ対策その他の契約の履行状況の確認方法
(7) 情報セキュリティ対策の履行が不十分な場合の対処方法
(8) 市による監査の受入れ
(9) 提供されるサービスレベルの保証
2 情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に前項に規定する事項を含む情報セキュリティ対策に係る情報の提供を求め、その内容を確認し、適正なセキュリティ要件を満たすことを評価しなければならない。
3 情報システム管理者は、外部サービスが中断し、又は終了した場合に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定の条件としなければならない。
4 情報システム管理者は、ガバメントクラウドを利用する場合において、ガバメントクラウドの外部サービス提供者と情報セキュリティに関する役割及び責任の分担について確認しなければならない。
5 情報システム管理者は、外部サービスで取り扱われる情報資産に対して国内法以外の法令及び規制が適用されるリスクを考慮して外部サービス提供者を選定し、必要に応じて情報資産が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定の条件としなければならない。
6 情報システム管理者は、外部サービス提供者がその役務の一部を再委託する場合は、再委託により生じる脅威に対して情報セキュリティが十分に確保されるよう、再委託先の情報セキュリティ対策の実施状況を提供することについて、外部サービス提供者の選定の条件としなければならない。
7 情報システム管理者は、外部サービスの特性を考慮したうえで、外部サービス全般にわたる情報セキュリティが適切に確保されるよう、必要な対策を講じなければならない。
8 情報システム管理者は、情報セキュリティ監査による報告書の内容、各種認証制度等の適用状況等から、外部サービス提供者の信頼性が十分であるかを評価しなければならない。
(外部サービスの調達等)
第67条の3 情報システム管理者は、外部サービスの調達を行う場合は、調達仕様書に外部サービス提供者の選定基準及び選定条件を明記しなければならない。
2 情報システム管理者は、外部サービス提供者及び外部サービスが調達仕様書の内容を満たすことを確認し、当該内容を明記した契約を締結しなければならない。
(外部サービスの利用承認)
第67条の4 情報セキュリティ管理者は、外部サービスを利用する場合には、統括情報セキュリティ責任者の承認を得なければならない。
2 統括情報セキュリティ責任者は、外部サービスの利用を承認した場合は、承認済み外部サービスとして記録しなければならない。
(外部サービスを利用した情報システム構築時の対策)
第67条の5 統括情報セキュリティ責任者は、外部サービスの特性等を踏まえ、次に掲げる事項を含めた外部サービスを利用して情報システムを構築する際の情報セキュリティ対策を定めなければならない。
(1) 不正なアクセスを防止するためのアクセス制御
(2) 取り扱う情報の機密性保護のための暗号化
(3) 開発時における情報セキュリティ対策
(4) 設計及び設定時の誤りの防止
(5) 外部サービスにおける汎用的なプログラムに対する情報セキュリティ対策
2 情報システム管理者は、前項に規定する情報セキュリティ対策について、情報システムの構築時に実施状況を確認及び記録しなければならない。
3 情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に第1項に規定する情報セキュリティ対策に配慮した構築の手順及び実践がされているかの情報の提供を求め、実施状況を確認及び記録しなければならない。
(外部サービスを利用した情報システム運用時の対策)
第67条の6 統括情報セキュリティ責任者は、外部サービスの特性等を踏まえ、次に掲げる事項を含めた外部サービスを利用して情報システムを運用する際の情報セキュリティ対策を定めなければならない。
(1) 外部サービス利用方針
(2) 外部サービス利用に必要な教育
(3) 取り扱う資産の管理
(4) 不正アクセスを防止するためのアクセス制御
(5) 取り扱う情報の機密性保護のための暗号化
(6) 外部サービス内の通信の制御
(7) 設計及び設定時の誤りの防止
(8) 外部サービスを利用した情報システムの事業継続
(9) 設計時及び設定変更時の情報並びに変更履歴の管理
2 情報システム管理者は、外部サービスの特性等を踏まえ、外部サービスで発生した情報セキュリティインシデントを認知した際の対処手順を整備しなければならない。
3 情報システム管理者は、第1項に規定する情報セキュリティ対策について、情報システムの運用時に実施状況を定期的に確認及び記録しなければならない。
4 情報システム管理者は、ガバメントクラウドを利用する場合において、外部サービス提供者に第1項に規定する情報セキュリティ対策に配慮した運用の手順及び実践がされているかの情報の提供を求め、実施状況を定期的に確認及び記録しなければならない。
(外部サービスの利用終了時の対策)
第67条の7 統括情報セキュリティ責任者は、外部サービスの特性等を踏まえ、次に掲げる事項を含めた外部サービスの利用を終了する場合の情報セキュリティ対策を定めなければならない。
(1) 外部サービスの利用終了時における対策
(2) 外部サービスで取り扱った情報の廃棄
(3) 外部サービスの利用のために作成したアカウントの廃棄
2 情報システム管理者は、前項に規定する情報セキュリティ対策について、外部サービスの利用終了時に実施状況を確認及び記録しなければならない。
3 情報システム管理者は、ガバメントクラウド上で機密性の高い情報を保存する場合は、機密性を維持するために暗号化するとともに、当該情報を廃棄するときは、暗号化した鍵を削除する等の方法により、復元できないようにしなければならない。
(機密性3又は機密性2に分類される情報資産を取り扱わない外部サービスの利用)
第67条の8 職員は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認したうえで機密性3又は機密性2に分類される情報資産を取り扱わない外部サービス(以下この条において「外部サービス」という。)を利用する場合には、情報セキュリティ管理者の許可を得なければならない。
2 情報セキュリティ管理者は、外部サービスの利用を承認した場合は、承認済み外部サービスとして記録しなければならない。
3 職員は、適正な措置を講じたうえで外部サービスを利用しなければならない。
第9節 評価
(情報セキュリティ対策状況の自己点検)
第68条 情報システム管理者は、所管する情報システムにおける情報セキュリティ対策の状況について、定期的に自己点検を行い、統括情報セキュリティ責任者に報告しなければならない。
2 情報セキュリティ管理者は、所管する課等における情報セキュリティ対策の状況について、定期的に自己点検を行い、統括情報セキュリティ責任者に報告しなければならない。
3 統括情報セキュリティ責任者は、情報システム管理者及び情報セキュリティ責任者と連携を図り、自己点検の結果及びその結果に基づく改善策を取りまとめ、委員会に報告しなければならない。
4 統括情報セキュリティ責任者は、自己点検の結果を職員に公表しなければならない。
5 職員は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
(情報セキュリティ対策状況の監査)
第69条 情報セキュリティ監査統括責任者は、ネットワーク及び情報資産における情報セキュリティ対策の実施状況について、定期的に監査を行わなければならない。
2 情報セキュリティ監査統括責任者は、総務部長をもって充てる。
3 情報セキュリティ監査統括責任者は、監査を行うに当たっては、監査実施計画を策定し、委員会の承認を得なければならない。
4 監査を受ける組織は、監査の実施に協力しなければならない。
5 情報セキュリティ監査統括責任者は、別に監査人を指名し、又は依頼したうえで、監査を行わなければならない。
6 監査人は、監査を受ける組織から独立し、かつ、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
7 情報セキュリティ監査統括責任者は、業務委託事業者(再委託する事業者を含む。)に対し、この訓令及び情報セキュリティ実施手順に定められている事項の遵守義務の履行に係る監査を定期的に又は必要に応じて行わなければならない。
8 情報セキュリティ監査統括責任者は、ガバメントクラウドの外部サービス提供者に対し、外部サービス提供者自らが定める情報セキュリティに関する規定の遵守について、定期的に監査を行わなければならない。ただし、当該外部サービス提供者より、第三者の監査人が発行する証明書、監査報告書等の提示があった場合は、この限りでない。
9 情報セキュリティ監査統括責任者は、実施した監査の結果を取りまとめ、委員会に報告しなければならない。
10 情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠及び監査報告書の作成のための監査調書を適正に保管しなければならない。
11 CISOは、監査の結果、指摘事項があった情報セキュリティ管理者に対し、当該指摘事項の是正又は改善を指示しなければならない。この場合において、他の組織にあっても指摘事項と同種の課題及び問題点がある可能性が高い場合は、情報セキュリティ管理者と連携を図り、その有無を確認するものとする。
第4章 雑則
(訓令の見直し)
第70条 委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、必要に応じてこの訓令の見直しを行うものとする。
(補則)
第71条 この訓令に定めるもののほか情報セキュリティに関し必要な事項は、CISOが定める。
附則
(施行期日)
1 この訓令は、平成22年4月1日から施行する。
(奥州市個人情報保護管理規程の一部改正)
2 奥州市個人情報保護管理規程の一部を次のように改正する。
(次のよう 略)
附則(平成23年3月31日共同訓令第1号)
この訓令は、平成23年4月1日から施行する。
附則(平成24年3月21日共同訓令第1号)
この訓令は、平成24年4月1日から施行する。
附則(平成27年4月1日共同訓令第1号)
この訓令は、平成27年4月1日から施行する。
附則(平成27年10月1日共同訓令第2号)
この訓令は、平成27年10月1日から施行する。
附則(平成28年4月1日共同訓令第1号)
この訓令は、平成28年4月1日から施行する。
附則(平成31年3月29日共同訓令第1号)
この訓令は、平成31年4月1日から施行する。
附則(令和2年3月24日共同訓令第2号)
この訓令は、令和2年4月1日から施行する。
附則(令和3年10月28日共同訓令第3号)
この訓令は、令和3年11月1日から施行する。
附則(令和4年3月31日共同訓令第2号)
この訓令は、令和4年4月1日から施行する。
附則(令和5年3月3日共同訓令第1号)
この訓令は、令和5年4月1日から施行する。
附則(令和6年2月29日共同訓令第1号)
この訓令は、令和6年4月1日から施行する。