○野洲市住民基本台帳ネットワークシステム本人確認情報管理規程
平成16年10月1日
訓令第46号
目次
第1章 総則(第1条―第7条)
第2章 管理体制(第8条―第13条)
第3章 入退室管理(第14条―第18条)
第4章 アクセス管理(第19条―第24条)
第5章 情報資産管理(第25条―第27条)
第6章 本人確認情報管理(第28条―第30条)
第7章 委託管理(第31条―第34条)
第8章 その他(第35条―第38条)
付則
第1章 総則
(目的)
第1条 この訓令は、本市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用管理及びセキュリテイ(正確性、機密性及び継続性の維持をいう。以下同じ。)対策について、適正かつ確実に実施し、本人確認情報の安全確保を図るため、必要な基本的事項を定めることを目的とする。
(平29訓令15・一部改正)
(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、地方公共団体情報システム機構(地方公共団体情報システム機構法(平成25年法律第29号)第1条の地方公共団体情報システム機構をいう。以下「機構」という。)サーバ、統合端末、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等(以下これらを「構成機器」という。)により構成され、市町村長(特別区の区長を含む。以下同じ。)が本人確認情報を都道府県知事に通知し、当該通知を受けた都道府県知事が本人確認情報を機構に通知し、並びに当該それらの通知を受けた都道府県知事及び機構が本人確認情報の記録し、保存し、及び提供するためのシステムをいう。
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための市町村長の使用に係る電子計算機をいう。
(3) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。
(4) 従事者 本市の特別職及び職員のうち本人確認情報処理事務等に従事する者をいう。
(5) 情報資産 住基ネットに係る全ての情報(データを含む。)、ソフトウェア、ハードウェア、ネットワーク及び記録媒体をいう。
(6) 本人確認情報 氏名、住所、性別、生年月日、住民票コード及び付随情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)をいう。
(平29訓令15・一部改正)
(適用範囲)
第3条 この訓令は、従事者並びに住基ネットのうち、本市が整備、管理責任をもつ範囲における情報資産、建物及び関連設備に適用するものとする。
(基本原則)
第4条 本市住基ネットの運用管理に当たっては、制度面、技術面及び運用面から抑止、予防、検出及び回復の措置を講じ、総合的なセキュリティ対策を確保しなければならない。
2 本市住基ネットの運用管理及びセキュリティ対策を実施するに当たっては、次に掲げる基本原則によるものとする。
(1) 機密性の確保 本人確認情報をその漏洩から保護するための措置を講じなければならない。
(2) 正確性の確保 本人確認情報を常に最新かつ正確な状態に保つとともに、滅失及びき損から保護するための措置を講じなければならない。
(3) 継続性の確保 本人確認情報処理事務等の継続性を確保し、住基ネットの運営に支障を来さないための措置を講じなければならない。
(平19訓令3・平29訓令15・一部改正)
(使用の限定)
第5条 本人確認情報処理事務等に係る情報資産は、当該処理事務等に必要なものに限定するとともに、法令等に定める場合以外に使用してはならない。
(情報資産への脅威)
第6条 本市住基ネットの運用管理及びセキュリティ対策を実施するに当たり、特に認識すべき脅威は、次に掲げるとおりとする。
(1) 部外者又は正当な操作権限のない職員による故意の不正アクセス及び不正操作並びにデータ及びプログラムの持出、改ざん及び消去並びに本市住基ネットの構成機器、磁気ディスク及びドキュメントの破壊及び盗難等
(2) 本市業務端末操作責任者及びコミュニケーションサーバ操作責任者による意図しない操作及び不注意な操作並びに故意の不正アクセス及び不正操作によるデータ及びプログラムの持出、改ざん及び消去並びに本市住基ネットの構成機器、磁気ディスク及びドキュメントの破壊及び盗難等
(3) 事故及び故障並びに地震、落雷及び火災等の天災
(緊急時対応計画)
第7条 住基ネット及び本市住基ネットの構成機器に係る障害、天災により住民へのサービスが停止するとき若しくはその恐れがあるとき又は不正行為により本人確認情報に脅威を及ぼすとき又はその恐れがあるときに、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、指定情報処理機関及び滋賀県等と連携した緊急時対応計画を策定するものとする。
第2章 管理体制
(セキュリティ統括責任者)
第8条 本市住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副市長をもって充てる。
(平19訓令3・一部改正)
(セキュリティ副統括責任者)
第9条 セキュリティ統括責任者を補佐するため、セキュリティ副統括責任者を置く。
2 セキュリティ副統括責任者は、市民部長をもって充てる。
3 セキュリティ副統括責任者は、セキュリティ統括責任者に事故があるとき又は統括責任者が欠けたときは、セキュリティ統括責任者に代わり、本市住基ネットのセキュリティ対策の総合的な実施に努める。
(平21訓令7・一部改正)
(システム管理者)
第10条 本市住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務部情報システム課長(以下「情報システム課長」という。)をもって充てる。
(セキュリティ責任者)
第11条 本市住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、本市住基ネットを利用する部署の所属長をもって充てる。
(平21訓令7・平29訓令15・一部改正)
(セキュリティ会議)
第12条 セキュリティ会議は、次に掲げる場合にセキュリティ統括責任者が招集及び開催するとともに、セキュリティ統括責任者は、会議の議長を務める。
(1) セキュリティ統括責任者が必要と認めるとき。
(2) システム管理者等から要求があるとき。
2 セキュリティ会議は、セキュリティ統括責任者及びセキュリティ副統括責任者のほか、次に掲げる者をもって組織する。
(1) 情報システム課長(システム管理者)
(2) 市民部市民課長(以下「市民課長」という。)(アクセス管理責任者)
(3) 本市住基ネットを利用する部署の所属長(セキュリティ責任者)
(4) 総務部総務課長
(5) 総務部人事課長
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 本市住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育及び研修の実施
4 議長は、前項のうち重要と認められる事項を審議するときは、野洲市個人情報保護審査会の意見を聴くものとする。
5 議長は、必要と認められるときは、関係職員及び本市住基ネット保守ベンダーの出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、市民部市民課において行う。
(平21訓令7・平23訓令1・平29訓令15・一部改正)
(関係部署に対する指示等)
第13条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し必要な指示を行い、又は教育委員会等に対し必要な措置を要請することができる。
第3章 入退室管理
(入退室管理を行う室等)
第14条 次に掲げる本市住基ネットの運用が行われる室等において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室等 |
レベル2 | サーバ室 住基ネットのデータ、セキュリティ情報等の保管 サーバ、ネットワーク機器等の設置 |
レベル1 | 市民課及び情報システム課 統合端末の設置 |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次の表のとおりとする。
セキュリティ区分 | 入退室管理方法 |
レベル2 | 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、生体認証(以下「照合情報」という。)を用いて入室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル1 | 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、訪問者(住基ネット担当者以外)の入退室に関する記録を行う。 |
(平22訓令10・平29訓令15・一部改正)
(入退室管理者)
第15条 入退室管理者は、サーバ室にあっては情報システム課長、統合端末の設置室にあっては当該統合端末が設置されている部署の所属長をもって充てる。
(平23訓令1・平29訓令15・一部改正)
(照合情報の管理)
第16条 照合情報の管理は、情報システム課長が行う。
2 情報システム課長は、入退室の必要を認めた者に限り、照合情報の登録を行うものとする。
(平29訓令15・一部改正)
(管理簿の作成)
第17条 情報システム課長は、サーバ室については、入退室管理簿及び照合情報の管理簿を作成し、又はシステムで管理し、これを保存するものとする。
(平29訓令15・一部改正)
(指示)
第18条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうかについて、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第19条 次に掲げる本市住基ネットの構成機器について、アクセス管理を行うものとする。
(1) コミュニケーションサーバ
(2) 統合端末
2 前項のアクセス管理は、照合情報の認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(平29訓令15・一部改正)
(アクセス管理責任者)
第20条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、市民課長をもって充てる。
(平29訓令15・一部改正)
(照合ID及び操作者ID)
第21条 アクセス管理責任者は、照合ID及び操作者IDに関し、次に掲げる事項を実施するものとする。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDごとの操作者について、本市住基ネットを利用する部署のセキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(平29訓令15・一部改正)
(操作者の責務)
第22条 操作者は、照合ID及び操作者IDの管理方法を遵守しなければならない。
(平29訓令15・一部改正)
(操作履歴の記録)
第23条 アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第24条 アクセス管理責任者は、第19条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
(平29訓令15・追加)
第5章 情報資産管理
(情報資産管理)
第25条 本市住基ネットに係る情報資産について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及びマイナンバーカード等の管理責任者(以下「本人確認情報管理責任者」という。)は、市民課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報システム課長をもって充てる。
(平29訓令15・旧第24条繰下・一部改正)
(本人確認情報管理責任者)
第26条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏洩、滅失及びき損の防止その他当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及びマイナンバーカード等の管理方法を定めるものとする。
(平19訓令3・一部改正、平29訓令15・旧第25条繰下・一部改正)
(情報資産管理責任者)
第27条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、統合端末を利用する部署の所属長等と協議して、本市住基ネットのオペレーション計画を定めるものとする。
(平29訓令15・旧第26条繰下・一部改正)
第6章 本人確認情報管理
(平29訓令15・追加)
(本人確認情報の安全管理)
第28条 本人確認情報の安全管理を行うため、次に掲げる措置を講ずるものとする。
(1) 本人確認情報の入力、削除及び訂正、検索等の画面出力、受渡し、交付等を適正に実施するために必要な措置
(2) 本人確認情報処理事務に関する記録媒体及び帳票等への出力、保管、廃棄を適正に実施するために必要な措置
(3) その他本人確認情報の漏えい、滅失及び毀損を防止するための措置
(平29訓令15・追加)
(施設等の管理)
第29条 本人確認情報の処理に係る電子計算機及び端末装置並びに帳票を出力するプリンター等を設置する場所の入退室の管理その他これらの施設等への不正なアクセスを予防するため、入退室管理者と協議し、必要な措置を講ずるものとする。
(平29訓令15・追加)
(オペレーション管理)
第30条 本市住基ネットの係る電子計算機の操作手順等に関して適正な管理を行うため、情報資産管理責任者及びアクセス管理責任者と協議を行い、必要な措置を講ずるものとする。
(平29訓令15・追加)
第7章 委託管理
(平29訓令15・旧第6章繰下)
(委託を受けようとする者の管理体制等の調査)
第31条 本市住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。
(平29訓令15・旧第27条繰下)
(外部委託の承認)
第32条 本市住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会義の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(平29訓令15・旧第28条繰下)
(委託契約書への記載事項)
第33条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(平29訓令15・旧第29条繰下)
(受託者の管理状況の調査)
第34条 本市住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(平29訓令15・旧第30条繰下)
第8章 その他
(平29訓令15・旧第7章繰下)
(法令の遵守)
第35条 従事者及び従事者であった者は、法及び住基ネットに関連する他の法令を遵守しなければならない。
(平29訓令15・旧第31条繰下)
(秘密保持義務)
第36条 従事者及び従事者であった者に対しては、本人確認情報処理事務等に関して知り得た秘密の保持義務を徹底させるものとする。
(平29訓令15・旧第32条繰下)
(意識の啓発及び教育)
第37条 従事者に対しては、本人確認情報を扱うことの重要性に鑑み、本市住基ネットの適正な管理に関する意識の啓発を行うとともに、教育を実施するものとする。
(平29訓令15・旧第33条繰下)
(その他)
第38条 この訓令については、法の改正、情報技術の進展に伴う住基ネットの変更又はその他の事由により、適時見直しを行うものとする。
2 この訓令の実施のための手続その他その施行に関し必要な事項は、市長が別に定める。
(平29訓令15・旧第34条繰下)
付則
この訓令は、平成16年10月1日から施行する。
付則(平成19年訓令第3号)
この訓令は、平成19年4月1日から施行する。
付則(平成21年訓令第7号)
この訓令は、平成21年4月1日から施行する。
付則(平成22年訓令第10号)
この訓令は、平成22年5月1日から施行する。
付則(平成23年訓令第1号)
この訓令は、平成23年4月1日から施行する。
付則(平成29年訓令第15号)
この訓令は、平成29年10月1日から施行する。