○南部町住民基本台帳ネットワークシステム管理運営要綱
平成16年10月1日
訓令第11号
(趣旨)
第1条 この訓令は、南部町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の管理及び運営について必要な事項を定めるものとする。
(1) 住基ネット 市町村長、知事及び指定情報処理機関(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)の使用に係る電子計算機、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、町長が本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を知事に通知し、知事が本人確認情報を指定情報処理機関に通知し、並びに知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステム
(2) セキュリティ 住基ネットの正確性、機密性及び継続性の維持を図ることを目的とした行為
(3) サーバ 本人確認情報の記録、保存及び提供を行い、県及び指定情報処理機関に本人確認情報の通知を行うための使用に係る電子計算機
(4) ファイアウォール 住基ネットにおいて不正な侵入を防御する電子計算機
(5) 業務端末システム 住基ネットを利用する際に使用する電子計算機、ICカードリーダライタ及びプリンタ
(6) 照合情報認証 サーバ又は業務端末システムを動作させる際に操作者を認証する認証方式。操作者の生体情報を利用する。
(7) 照合ID 操作者を識別するID
(8) 操作者ID 操作権限を識別するID
(9) 操作者照合暗証番号 照合情報認証が不可能な際、必要の都度発行される暗証番号
(10) プログラム 電子計算機を機能させて住基ネットを動作させるための命令
(11) 電子計算機室 電子計算機及び電気通信関係装置を設置する室
(12) ドキュメント 住基ネットの設計及び運用に関する記録及び文書
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、情報基盤整備所管課長をもって充てる。
(セキュリティ責任者)
第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、町民生活課長及び本人確認情報を利用する課等の課長等をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) その他セキュリティ統括責任者が指定する者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
(5) その他必要な事項
4 議長は、必要と認めるときは、関係職員に対して意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、住基ネット担当課において処理する。
(関係部署に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し必要な要請、又は指示をすることができる。
(入退室等管理)
第8条 次に掲げる住基ネットの運用が行われる室等において、それぞれのセキュリティ区分に応じた、入退室等管理を行うものとする。
セキュリティ区分 | 室等 |
レベル2 | 住基ネットのデータ、セキュリティ情報等の保管庫 |
レベル1 | 業務端末の設置室(町民生活課執務室内) |
2 それぞれのセキュリティ区分に応じた、入退室等管理方法は、次のとおりである。
セキュリティ区分 | 入退出管理の方法 |
レベル2 | 保管庫を開閉する場合には、入退室等管理者から事前に許可を得ている者のみが鍵を用いて開閉を行う。識別を行うために、開閉する者には、名札の着用を義務付ける。また、当該保管庫開閉に関する記録を行う。 |
レベル1 | 入退室を行う場合には、入退室等管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務づける。 |
3 入退室等管理者は、住基ネットのデータ、セキュリティ情報等の保管庫及び業務端末の設置室にあっては、セキュリティ責任者をもって充てる。
(鍵の管理)
第9条 鍵の管理については、入退室等管理者が行う。
2 入退室等管理者は、レベル2のセキュリティ区分に係る保管庫については、入退出等管理者から許可を得ている者に限り、鍵を貸与するものとする。
(管理簿の作成)
第10条 入退室等管理者は、レベル2のセキュリティ区分に係る保管庫については、保管庫開閉管理簿(様式第1号)を作成し、これを保管するものとする。
(委託先における入退出管理)
第10条の2 サーバ、ネットワーク機器の設置室及び場所については、システム管理者が、委託先からの報告書等により入退出管理が適正に運用されていることを確認する。
(改善の要求)
第11条 セキュリティ統括責任者は、入退室等の管理が適切に行われているかどうか入退室等管理者から報告を聴収し、調査を行い、必要な改善を求めることができる。
(アクセス管理)
第12条 次に掲げる住基ネットの構成機器について、本人確認情報を検索するに当たっての管理(以下「アクセス管理」という。)を行うものとする。
(1) サーバ
(2) 業務端末システム
2 前項のアクセス管理は、照合ID、操作者ID及び照合情報認証により操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
3 業務端末システムが設置された所属のセキュリティ責任者は、業務端末システム使用簿(様式第2号)を備え付け、操作者は業務端末を使用する都度業務端末使用簿に使用状況を記載しなければならない。
(アクセス管理責任者)
第13条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、システム管理者をもって充てる。
(照合ID及び操作者IDの付与)
第14条 アクセス管理者は、セキュリティ責任者が業務端末システム使用者報告書(様式第3号)により指定した職員に照合ID及び操作者IDを付与するものとし、退職、人事異動等に際しては、削除する。
2 アクセス管理者は、付与する際、照合情報認証管理簿(様式第4号)」に記載しなければならない。
(照合ID、操作者ID及び照合情報の管理)
第15条 セキュリティ責任者は、照合ID、操作者ID及び照合情報に関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること。
2 操作者は、照合ID、操作者ID及び照合情報の管理方法を遵守しなければならない。
3 セキュリティ責任者は、所属の職員に付与された照合ID及び操作者IDについて、適正な利用及び管理が行われるよう必要な措置を講じなければならない。
4 アクセス管理者は、適正に照合ID及び操作者ID、利用されるよう、セキュリティ責任者及び各操作者に対して指導を行うこととする。
(操作者照合暗証番号)
第16条 各操作者は、操作者照合暗証番号の利用について、次に掲げる事項を遵守しなければならない。
(1) 操作者は、操作者照合暗証番号を発行する必要が生じたときは、操作者照合暗証番号発行申請書(様式第5号)によりセキュリティ責任者に申請すること。
(2) 操作者は、操作者照合暗証番号について、他者への漏えいを防止する手段を講ずるとともに、他者が知り得る状態においてはならないこと。
(操作履歴の記録及び解析)
第17条 アクセス管理責任者は、電子計算機の操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
2 アクセス管理責任者は、定期的に前項の操作履歴を解析し、住基ネットの適正な利用を確保しなければならない。
(オペレーティングシステムの管理)
第18条 アクセス管理責任者は、アクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施しなければならない。
(情報資産の管理)
第19条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等外部記憶媒体をいう。以下「情報資産」という。)について、管理責任者を置くものとする。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記載されたサーバに係る帳票、住民基本台帳カード、個人番号カード及び住基ネットを利用する課に設置する業務端末システムの情報資産に関する管理責任者(以下「本人確認情報管理責任者」という。)はセキュリティ責任者とする。
3 本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カード、個人番号カードのほか、業務端末システムを除く住基ネットの情報資産に関する管理責任者(以下「情報管理責任者」という。)は情報基盤整備所管課長とする。
(本人確認情報管理者)
第20条 本人確認情報管理責任者は、本人確認を取り扱うことができる者を指定するとともに、当該本人確認情報の漏洩、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置をとらなければならない。
2 本人確認情報管理責任者は、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード、個人番号カード及び住基ネットを利用する課に設置する業務端末システムの管理方法を定めるものとする。
(本人確認情報を取り扱うことができる者)
第21条 本人確認情報管理責任者は次の者に限り、本人確認情報を取り扱うことができる者と指定する。
(1) 町民生活課において、住基ネットに関する事務に従事する職員
(2) 住基ネットを利用する課において、法別表第2及び別表第4の事務に従事する職員
(3) 本人確認情報管理責任者の管理について委託を受けた事業者
(本人確認情報に関する秘密保持義務)
第22条 次に掲げるものは、法第30条の31第1項の秘密保持義務の対象となるものであるので、その取扱いについては留意しなければならない。
(1) 本人確認情報
(2) 住基ネットのセキュリティに関する情報及び技術
(3) 住基ネットの具体的な運用に関する情報
(4) 運用手引書及びこれに関する説明書等
(本人確認情報を取り扱うに当たっての留意事項)
第23条 本人確認情報を取り扱うに当たっては、次の各号について留意すること。
(1) 本人確認情報の検索は、業務上必要な場合に限り行うものであること。
(2) 本人確認情報画面を表示する場合は、業務上必要のない本人確認情報を表示しないこと。
(3) 業務端末システムから離れる際には、必要な措置を講じ、長時間にわたり本人確認情報を表示したままの状態にしないこと。
(4) 表示された本人確認情報が、来庁者から見えない位置に業務端末機を設置すること。
(5) 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、複数名にて確認を行うこと。
(6) 本人確認情報の出力は、業務上必要な場合に限り行い、一度に20名以上の本人確認情報を出力することは基本的に実施しない。ただし、必要があって、一度に20名以上の本人確認情報を出力する場合は、事前に本人確認情報管理責任者の承認を得て実施するとともに、その記録を残すこと。
(7) 前号により出力した帳票は、適正に管理し、本人確認情報が出力された帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずること。
(本人確認情報の記録されたサーバにおいて出力される帳票の取扱い)
第24条 本人確認情報管理責任者は、本人確認情報の記録されたサーバにおいて出力される帳票において以下の事項を記録するものとする。
(1) 出力帳票の種類
(2) 出力年月日
(3) 使用目的
(4) 操作者
(5) 数量
2 本人確認情報管理責任者は、前項に掲げる帳票を施錠が可能な保管庫に保管し、紛失及び盗難を防止するための措置を講じるものとする。
3 本人確認情報管理責任者は、前項に掲げる帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずるものとする。
(業務の委託)
第25条 システム管理者及びセキュリティ責任者は、外部委託をしようとする場合においては、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について確認するものとする。
(外部委託の承認)
第26条 セキュリティ責任者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、システム管理者の承認を受けなければならない。
(委託契約書への記載事項)
第27条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の制限に関する事項
(2) 本人確認情報等の保管、返還又は廃棄に関する事項
(3) 本人確認情報等の目的外使用の禁止、複製・複写及び第三者への提供の禁止に関する事項
(4) 本人確認情報等の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第28条 システム管理者及びセキュリティ責任者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(情報資産管理責任者)
第29条 情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。
(オペレーション計画)
第30条 情報資産管理責任者は、県及び住基ネットを利用する課等と協議の上、緊急時対応計画を策定するものとする。
2 情報資産管理責任者は、前項に定める計画の見直しを必要に応じて行う。また、セキュリティ責任者は、障害の発生を防止するため、オペレーションミスの原因分析、再現防止策の策定等、必要な措置を講じるものとする。
(監査)
第31条 システム管理者は、住基ネットの本人確認情報処理事務等について、定期的に内部監査を実施するほか、必要に応じて外部監査を実施するよう努めなければならない。
2 システム管理者は、監査結果をもとに必要な改善措置を講じるものとする。
3 システム管理者は、監査結果及び改善措置について、セキュリティ統括責任者に報告するものとする。
附則
(施行期日)
1 この訓令は、平成16年10月1日から施行する。
(経過措置)
2 この訓令の施行の日の前日までに、西伯町住民基本台帳ネットワークシステム管理運営規定(平成14年8月5日制定)又は会見町住民基本台帳ネットワークシステム管理運営要綱(平成14年8月2日)の規定によりなされた手続その他の行為は、それぞれこの訓令の相当規定によりなされたものとみなす。
附則(平成26年3月17日訓令第1号)
この訓令は、平成26年3月17日から施行する。
附則(平成27年12月28日告示第97号)
この要綱は、平成28年1月1日から施行する。
附則(令和3年3月11日訓令第1号)
この要綱は、令和3年4月1日から施行する。
