○栄町住民基本台帳ネットワークシステムセキュリティ対策規程
平成14年8月5日
訓令第23号
注 平成24年3月から改正経過を注記した。
目次
第1章 総則(第1条―第3条)
第2章 セキュリティ組織(第4条―第8条)
第3章 入退室管理(第9条―第11条)
第4章 アクセス管理(第12条―第16条)
第5章 情報資産管理(第17条・第18条)
第6章 委託(第19条・第20条)
第7章 緊急時等における対応(第21条・第22条)
第8章 補則(第23条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)その他の関係法令及び電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号。次条第2項において「技術的基準」という。)に定めるもののほか、栄町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ(正確性、機密性及び継続性の維持をいう。以下同じ。)を確保するための対策(以下「セキュリティ対策」という。)について必要な事項を定めるものとする。
(平24訓令4・一部改正)
(1) 町システム 住基ネットのうち、栄町が整備し、運用管理を行うもので、コミュニケーションサーバ、端末機、電気通信関係装置(ファイアウォールを含む。第3号において同じ。)、電気通信回線、プログラム等により構成されるシステムをいう。
(2) コミュニケーションサーバ 転入通知(法第9条第1項の規定による通知をいう。)、住民票の写しの交付の特例(法第12条の4の規定による住民票の写しの交付をいう。)、戸籍の附表記載事項通知(法第19条第1項の規定による通知をいう。)及び転入届の特例(法第24条の2の規定による住民基本台帳カード(法第30条の44第1項に規定する住民基本台帳カードをいう。以下同じ。)の交付を受けている者等に関する届出の特例をいう。)のために必要な情報を市町村長間で通知し、並びに千葉県知事に本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行い、住民基本台帳カードを発行するための町長の使用に係る電子計算機をいう。
(3) サーバ室 コミュニケーションサーバ及び電気通信関係装置を設置し、並びにデータ及びプログラムが記録された磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。第6号において同じ。)を保管する他の部屋と区別された専用の部屋をいう。
(4) 照合ID 町システムを操作するに当たり、操作者が本人であることを認証し、及び識別するための記号又は番号をいう。
(5) 操作者 コミュニケーションサーバ又は端末機を操作し、本人確認情報を取り扱う者をいう。
(6) 情報資産 町システムを構成するソフトウェア、ハードウェア及びネットワーク並びに町システムに係る全ての情報及びこれらが記録された磁気ディスクをいう。
(7) 照合情報 静脈等の生体情報に不可逆演算を施して登録された情報をいう。
(8) 操作者ID 町システムを操作するに当たり、操作権限を識別するための記号又は番号をいう。
2 前項に定めるもののほか、この訓令において使用する用語は、技術的基準において使用する用語の例による。
(平24訓令4・平26訓令1・一部改正)
(基本原則)
第3条 セキュリティ対策は、本人確認情報を保護することを最優先事項として、本人確認情報の漏えい、滅失及び毀損を防止するとともに、本人確認情報を常に最新かつ正確な状態に保ち、及び住基ネットの継続的な運用を行うことができるよう必要な措置を講じることにより実施するものとする。
2 セキュリティ対策は、前項に定めるところにより、制度面、技術面及び運用面から必要な措置を講じ、継続的に実施しなければならない。
(平24訓令4・一部改正)
第2章 セキュリティ組織
(セキュリティ統括責任者)
第4条 セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(平24訓令4・一部改正)
(システム管理者)
第5条 町システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、住民課長をもって充てる。
3 システム管理者は、セキュリティ統括責任者を補助し、町システムにおける情報資産の管理その他町システムの運用管理に関する事務を総括する。
(平24訓令4・令5訓令2・一部改正)
(セキュリティ責任者)
第6条 町システムの運用に係るセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、総務政策課長をもって充てる。
3 セキュリティ責任者は、町システムにおけるアクセス管理に関する事務を行うものとする。
(令5訓令2・一部改正)
(セキュリティ対策会議)
第7条 セキュリティ対策を適正かつ円滑に実施するため、セキュリティ対策会議を設置する。
2 セキュリティ対策会議は、次に掲げる者をもって組織する。
(1) セキュリティ統括責任者
(2) システム管理者
(3) セキュリティ責任者
3 セキュリティ対策会議は、セキュリティ統括責任者が招集し、その議長となる。この場合において、セキュリティ統括責任者に事故があるときは、システム管理者がその職務を代理する。
4 セキュリティ対策会議は、次に掲げる事項について審議する。
(1) セキュリティ対策の決定及び見直しに関すること。
(2) セキュリティ対策の遵守状況の確認に関すること。
(3) 町システムの運用管理及びセキュリティ対策についての監査に関すること。
(4) 町システムの運用管理及びセキュリティ対策についての教育及び研修の実施に関すること。
(5) その他セキュリティ対策に関し重要な事項
5 セキュリティ対策会議は、前項に掲げる事項のうち特に重要と認められるものを審議するときは、あらかじめ、栄町情報公開・個人情報保護審査会設置条例(平成17年栄町条例第30号)に基づき設置された栄町情報公開・個人情報保護審査会の意見を聴くものとする。
6 セキュリティ対策会議は、必要があると認めるときは、会議に関係職員の出席を求め、その意見若しくは説明を聴き、又は資料の提出を求めることができる。
7 セキュリティ対策会議の庶務は、住民課において処理する。
(平24訓令4・一部改正)
(関係課等に対する指示)
第8条 セキュリティ統括責任者は、セキュリティ対策会議の審議結果を踏まえ、関係課等の長に対し、必要な指示をするものとする。
(平24訓令4・一部改正)
第3章 入退室管理
(サーバ室の入退室管理)
第9条 サーバ室の入退室管理は、システム管理者が行うものとする。
2 サーバ室は、関係者が入室し、又は退出する場合のほかは、常に施錠しておかなければならない。
3 システム管理者は、あらかじめ入室の許可をした者以外の者をサーバ室に入室させてはならない。
4 サーバ室への入室は、暗証番号を入力し、又は鍵を用いて行うものとする。
6 システム管理者は、第4項の暗証番号について、定期的にこれを更新するものとする。
(入退室者管理簿)
第10条 システム管理者は、サーバ室の入退室者管理簿を作成し、入室者の所属及び氏名、入室の用件並びに入室及び退室の日時を記録しておかなければならない。
(入退室管理に係る指示)
第11条 セキュリティ統括責任者は、定期的に、サーバ室の入退室管理についてシステム管理者から報告を聴取することにより、適切な入退室管理がなされているかどうかを調査し、システム管理者に対し、当該入退室管理について必要な指示をするものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第12条 次に掲げる町システムの構成機器について、アクセス管理を行うものとする。
(1) コミュニケーションサーバ
(2) 業務端末機
(3) 住民基本台帳カード発行端末機
2 前項のアクセス管理は、照合ID及び照合情報認証(照合情報及び認証時に読み取られる情報を照合することにより、操作者が正当なアクセス権限を有していることを認証する方法をいう。)により操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
(平26訓令1・一部改正)
(操作者の指定)
第13条 セキュリティ責任者は、あらかじめ操作者を指定しなければならない。
2 前項の規定により操作者の指定をする場合は、その人数は、必要最小限の数としなければならない。
(照合ID、照合情報及び操作者IDの管理)
第14条 セキュリティ責任者は、前条第1項の規定により操作者を指定したときは、当該操作者の照合情報を登録し、当該操作者に対し照合IDを付与するものとする。
2 セキュリティ責任者は、前条第1項の規定による操作者の指定を解除したときは、直ちに、当該指定に当たり付与した照合IDを失効し、当該操作者の照合情報を削除しなければならない。
3 セキュリティ責任者は、照合ID及び操作者IDの管理簿を作成するとともに、適切にこれを管理するものとする。
4 前3項に定めるもののほか、照合ID、照合情報及び操作者IDの管理方法は、セキュリティ責任者が別に定める。
(平24訓令4・平26訓令1・一部改正)
(操作者の責務)
第15条 操作者は、前条第4項の規定によりセキュリティ責任者が定めた照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(平26訓令1・一部改正)
(操作履歴の保存期間)
第16条 第12条第2項の規定により記録した操作履歴の保存期間は、7年とする。
第5章 情報資産管理
(情報資産の管理)
第17条 システム管理者は、情報資産(次条第1項の規定によりセキュリティ責任者が管理するものを除く。)を管理するものとする。
2 システム管理者は、前項の情報資産の管理方法を定めるものとする。
(セキュリティ責任者による情報資産管理)
第18条 情報資産のうち、本人確認情報等の個人情報、当該個人情報が記録されたコミュニケーションサーバに係る帳票及び住民基本台帳カードは、セキュリティ責任者が管理するものとする。
2 セキュリティ責任者は、本人確認情報等の個人情報を取り扱うことができる者を指定するとともに、当該個人情報の漏えい、滅失及び毀損の防止その他の当該個人情報の適切な管理のための必要な措置を講じなければならない。
3 セキュリティ責任者は、本人確認情報等の個人情報が記録されたコミュニケーションサーバに係る帳票及び住民基本台帳カードの管理方法を定めるものとする。
(平24訓令4・一部改正)
第6章 委託
(外部委託に伴う措置)
第19条 町システムの運用に係る業務を栄町以外の者に委託するときは、町システムのセキュリティを確保するために必要な措置を講じなければならない。
(委託契約書の記載事項)
第20条 前条の規定による委託に係る契約書には、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外利用、複製及び複写並びに第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等発生時における報告に関する事項
(6) 契約解除等の措置及び損害賠償に関する事項
(7) その他情報の保護に関し必要な事項
第7章 緊急時等における対応
(措置命令)
第21条 セキュリティ統括責任者は、セキュリティ対策の実施状況を常に把握し、システム管理者、セキュリティ責任者その他の関係者の行うセキュリティ対策が十分でないと認めるときは、当該関係者に対し、セキュリティを確保するために必要な措置をとるべきことを命ずるものとする。
(緊急時対応計画)
第22条 セキュリティ統括責任者は、緊急時対応計画を作成し、障害(住基ネットで使用するソフトウェア、ハードウェア及びネットワークの機能が正常に継続できない状態となることをいう。)により町システムが停止し、又は不正行為(住基ネットの目的外使用、住基ネットへの不正アクセス、本人確認情報の改ざんその他住基ネットの運用を阻害する行為をいう。)による本人確認情報の漏えい、滅失及び毀損のおそれがある場合に、システム管理者、セキュリティ責任者その他の関係者がとるべき必要な措置を定めておかなければならない。
(平24訓令4・一部改正)
第8章 補則
第23条 この訓令の施行に関し必要な事項は、セキュリティ統括責任者が別に定める。
(平26訓令1・一部改正)
附則
この訓令は、公示の日から施行する。ただし、第7条第5項の規定は同年9月1日から、第12条第1項第3号並びに第18条第1項及び第3項(住民基本台帳カードに係る部分に限る。)の規定は住民基本台帳法の一部を改正する法律(平成11年法律第133号)附則第1条第1項第3号に規定する日から施行する。
附則(平成16年6月30日訓令第7号)
この訓令は、平成16年7月1日から施行する。
附則(平成18年3月23日訓令第8号)
この訓令は、公示の日から施行する。ただし、第5条第2項の改正規定は、平成18年4月1日から施行する。
附則(平成19年3月26日訓令第2号)
この訓令は、平成19年4月1日から施行する。
附則(平成22年3月31日訓令第8号)
この訓令は、平成22年4月1日から施行する。
附則(平成24年3月29日訓令第4号)
この訓令は、平成24年4月1日から施行する。
附則(平成26年10月31日訓令第1号)
この訓令は、公示の日から施行する。
附則(令和5年3月1日訓令第2号)
この訓令は、令和5年4月1日から施行する。