○東洋町住民基本台帳ネットワークシステム運用管理要綱
平成18年11月1日
訓令第11号
第1章 総則
(目的)
第1条 この要綱は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用及び管理に関し必要な事項を定め、住基ネットの適正な運用及び管理を図り、併せて本人確認情報の漏えい、滅失及びき損を防止し、本人確認情報の適正な管理を図ることを目的とする。
(1) 住基ネット コミュニケーションサーバ、都道府県サーバ(以下「サーバ」という。)、機構サーバ、認証業務連携サーバ、業務端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、市町村の区域を越えた住民基本台帳に関する事務を処理し、並びに市町村長、都道府県知事及び機構が本人確認情報の記録、保存及び提供を行い、法第30条の7第1項若しくは第30条の15第3項の通知があった旨の情報の提供を行うためのシステム
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令第13条第3項の規定による通知をいう。)を行うための市町村長の使用に係る電子計算機
(3) サーバ 市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、機構に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機
(4) 機構サーバ 都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための機構の使用に係る電子計算機
(5) 認証業務連携サーバ 機構が電子証明書(電子署名に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号)第3条第1項に規定する署名用電子証明書及び同法第22条第1項に規定する利用者証明用電子証明書をいう。)の発行を受けている者に係る機構保存本人確認情報(法第30条の9に規定する機構保存本人確認情報をいう。)のうち個人番号以外のものを利用するための機構の使用に係る電子計算機
(6) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機
(7) プログラム 電子計算機を機能させて住基ネットを作動させるための命令を組み合わせたもの
(8) データ 住基ネットにおいて通知され、記録され、保存され、又は提供される情報
(9) ファイル 磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されているデータ及びプログラム
(10) ドキュメント 住基ネットの設計、プログラム作成及び運用に関する記録及び文書
(11) 電子計算機室 電子計算機及び電気通信関係装置を設置する室
(12) 磁気ディスク保管室 磁気ディスク等を保管する室
(13) ドキュメント保管室 ドキュメント等を保管する室
(14) 重要機能室 電子計算機室、磁気ディスク保管室、受電設備、定電圧・定周波電源装置等の設備を設置する室並びに電子計算機室及び磁気ディスク保管室の空気調和をする空気調和機及びその付属設備を設置する室
(適用範囲)
第3条 この要綱は、東洋町が運用管理する住基ネットに適用する。
第2章 管理体制
(セキュリティ統括責任者)
第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、情報システム担当課長をもって充てる。
(セキュリティ責任者)
第6条 住基ネットを利用する課等において、セキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住基ネットを利用する課等の長とする。
(セキュリティ会議)
第7条 セキュリティ統括責任者は、適時、セキュリティ会議を招集する。
2 セキュリティ会議の議長は、セキュリティ統括責任者が務める。
3 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 情報担当課長
4 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
5 議長は、前項のうち重要と認められる事項を審議するときは、東洋町情報公開・個人情報保護審査会の意見を聴く。
6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
7 セキュリティ会議の庶務は、住基ネットを利用する課において処理する。
(関係課等に対する指示等)
第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
第3章 入退室管理
(入退室管理)
第9条 外部の者又は権限のない者(以下「訪問者」という。)による重要機能室等への侵入、危険物の持ち込み、住基ネットの構成機器、データ等の持ち出し等を防止するため、重要機能室等への入退室管理を行う。
(入退室管理を行う場所)
第10条 次に掲げる住基ネットの運用が行われる場所において、それぞれのセキュリティ区分に応じた入退室管理を行う。
セキュリティ区分 | 場所 |
レベル2 | 電子計算機室 |
レベル1 | 端末の設置場所 |
(入退室管理者)
第11条 入退室管理者は、情報システム担当課長をもって充てる。
3 入退室管理者は、その管理を委任することができる。
(鍵又は入退室カードの管理)
第12条 レベル2のセキュリティ区分に係る場所における鍵又は入退室カードの管理は、入退室管理者が行う。
(訪問者の管理)
第13条 入退室管理者は、訪問者が、レベル1及びレベル2のセキュリティ区分に係る場所に立ち入る際には、入退室又は訪問の許可を求めさせる。
2 入退室管理者は、レベル2のセキュリティ区分に係る場所について、電算室入退室管理及び各鍵管理簿(様式第1号)に記録する。
3 入退室管理者は、訪問者がレベル2のセキュリティ区分に係る場所に立ち入る際には、申請書等により入退室の許可を求めさせる。
(レベル1のセキュリティ区分における訪問者の管理)
第14条 入退室管理者は、レベル1のセキュリティ区分に係る場所について、職員が不在となる場合、施錠を行う。
2 前項について、その場所がオープンスペースなど当該区画のみの施錠が困難である場合、当該区画を包括する室を施錠する。
3 入退室管理者は、東洋町職員でない訪問者が、レベル1のセキュリティ区分に係る場所に立ち入る際には、訪問記録簿(様式第2号)に記入させる。
(物品の搬出入)
第15条 入退室管理者は、レベル2のセキュリティ区分に係る場所において、物品の搬出入を行う場合、物品リストに基づき搬出入物品を確認し、記録する。
(指示)
第16条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査し、必要な指示を行う。
第4章 アクセス管理
(アクセス管理を行う機器)
第17条 第2条第1項第1号における住基ネットの構成機器のうち、東洋町で管理するものについて、アクセス管理を行う。
(アクセス管理責任者)
第18条 住基ネットにおけるアクセス管理を適正に行うため、アクセス管理責任者を置く。
2 アクセス管理責任者は、システム管理者がこれを兼ねる。
(操作者用ICカード)
第19条 アクセス管理責任者及び操作者は、操作者用ICカードに関し、次に掲げる事項を実施する。
(1) 操作者は、操作者用ICカードの他者への貸与、目的外の利用等を行わない。
(2) 操作者は、操作者用ICカードを紛失又は盗難されないよう、施錠のできる机・キャビネット等で責任を持って保管する。
(3) 操作者は、操作者用ICカードを紛失し又は盗難された場合は、直ちにアクセス管理責任者に届出をする。
(4) 操作者は、操作記録及び帳票管理簿に操作内容を記録する。
(5) アクセス管理責任者は、前号において、適正に操作者用ICカードの利用が行われているか、確認し、これを記録する。
(6) アクセス管理責任者は、操作者用ICカードは職員個人に対し貸与するものとし、退職、人事異動等に際して、回収する。
(7) アクセス管理責任者は、操作者用ICカード管理簿(様式第4号)を作成し、操作者用ICカードの貸与、回収及び失効等の管理を行う。
(8) 操作者用ICカードの紛失又は盗難の届出があった場合は、アクセス管理責任者は速やかに失効の手続きをとる。
(9) その他、アクセス管理責任者は、必要に応じ操作者用ICカードの管理について管理方法を定め、操作者は定められた管理方法を遵守しなければならない。
(操作者用ICカードのパスワード)
第20条 アクセス管理責任者及び操作者は、操作者用ICカードのパスワードに関し、次に掲げる事項を実施する。
(1) パスワードの有効期限は6ヶ月とし、アクセス管理責任者は、適正に変更されているか確認し、記録する。
(2) 操作者は、パスワードを定期的又は必要に応じて随時に更新する。
(3) パスワードは8桁以上の英数字を組み合わせたものとし、かつ、辞書単語、単純な文字列など推測可能な番号を用いない。
(4) 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知りえる状態に置いてはならない。
(5) パスワードは操作者が設定する。ただし、やむを得ずアクセス管理責任者が設定する場合は、他者へのパスワードの漏えいを防止する手段を講ずる。
(6) その他、アクセス管理責任者は、必要に応じパスワードについて管理方法を定め、操作者は定められた管理方法を遵守しなければならない。
(オペレーティングシステムの管理)
第21条 アクセス管理責任者は、アクセス管理を行う機器のオペレーティングシステムについて、次に掲げる事項を実施する。
(1) アクセス管理責任者は、ユーザID管理簿(様式第5号)を作成する。
(2) アクセス管理責任者は、ユーザIDと操作者との対応づけを行う。
(3) アクセス管理責任者は、ユーザIDに付与する権限を業務上必要最低限のものとする。
(4) アクセス管理責任者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限する。
(5) アクセス管理責任者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。
(オペレーティングシステムのパスワードの管理)
第22条 アクセス管理責任者及び操作者はオペレーティングシステムのパスワードに関し、第20条の規定に基づいて適切に管理するものとする。
(不正なアクセスの防止)
第23条 アクセス管理責任者は、オペレーティングシステムの不正なアクセスを防止するため、次に掲げる事項を実施する。
(1) アクセス管理責任者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。
(2) アクセス管理責任者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定する。
(3) アクセス管理責任者は、フォルダの共有ができないように設定する。
(4) 業務及び運用管理で必要なプログラム(サービス)以外は起動しない。
(5) アクセス管理責任者は、業務に必要なアプリケーションの操作履歴について不正な操作がないことを、操作記録及び帳票管理簿との整合性を突合するなど適切な方法によって確認する。
(6) 前号について、確認は毎年度1回以上行うものとし、その結果を記録する。
(7) 業務に必要なアプリケーションの操作履歴は、磁気ディスク又はドキュメントと同じ場所に保管する。
(9) その他、アクセス管理者は、必要に応じ不正なアクセスを防止する方法を講じる。
(他のソフトウェアの導入禁止)
第24条 第17条第1項に規定する機器に導入する住基ネットの管理及び運用に必要なソフトウェアを、標準的にインストールするソフトウェアとし、これ以外のソフトウェアは導入しないものとする。
2 アクセス管理責任者は、サーバ及び業務端末機にアクセス制限ツール等を適用し、ソフトウェアを追加できないように設定する。
3 アクセス管理責任者は、標準的にインストールするソフトウェア以外がインストールされていないこと及びアクセス制限ツール等の適用について、適宜確認し、記録する。
(コンピュータウイルス等の対策)
第25条 アクセス管理責任者は、住基ネットに対しウイルス等の不正プログラムの混入を防止するため、サーバ及び業務端末機がインターネットに接続できないよう、物理的に、又は論理的に分断する設定を行う。
2 アクセス管理責任者は、インターネットに接続できないことを適宜確認し、記録する。
(ネットワーク設定の管理)
第26条 アクセス管理責任者は、ネットワークの設定について内容を把握し、又は委託業者(2以上の段階にわたる委託に係る委託業者等を含む。以下同じ。)等に確認することで速やかに内容を確認できるようにする。
2 アクセス管理責任者は委託業者等と共にネットワークの設定が適切であるか適宜確認し、記録する。
3 アクセス管理責任者は、委託業者等の設定した内容について、文書又はその他適当な方法により内容が適切であるか確認し、ネットワーク設定管理記録(様式第7号)に記録する。
4 機構及び委託業者等からセキュリティ情報を提供された際には、その助言及び指示に従い、必要な措置を講じ、それを記録する。
第5章 情報資産の管理
(情報資産の管理)
第27条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の管理については、システム管理者が行う。
(本人確認情報管理責任者)
第28条 前条の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理を適正に行うため、本人確認情報管理責任者を置く。
2 本人確認情報責任者は、セキュリティ責任者がこれを兼ねる。
3 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のために必要な措置をとらなければならない。
(情報資産管理簿)
第29条 システム管理者は、情報資産管理簿(様式第8号)を作成するものとする。
2 情報資産管理簿には、次に掲げる台帳等により構成する。
(1) システム構成表 システムを構成する機器についての一覧表(様式第9号)
(2) システム(ネットワーク)構成図 電子計算機及び電気通信関係装置(ルータ、ハブ、ファイアウォール)の物理的設置位置がわかる配線図及びそれらの接続関係がわかるもの
(4) ソフトウェア管理台帳 住基ネットで使用するソフトウェアの導入状況等を記載した台帳(様式第12号)
(5) ネットワーク概念図 サーバ及び業務端末等を含めた住基ネットに関する当該団体の概念的な図
(6) ネットワーク設定表 住基ネットにおけるネットワークの機器が正常に動作するために設定情報を記載したもの
(7) 操作者一覧表 住基ネットを取り扱う者の所属、氏名及び権限等を記載したもの(様式第13号)
(8) その他システム管理者が必要と認めた台帳
3 前項の情報資産管理簿は変更があった際には更新し、最新の状態とする。
4 システム管理者は、情報資産管理簿が最新の状態であるか適宜確認し、記録する。
(機器の接続)
第30条 新たに機器を接続する場合には、システム管理者に申請を行うものとし、システム管理者の承認を得て接続する。
2 前項の場合、システム管理者は、新たな機器が接続されたことを情報資産管理簿に記録する。
3 システム管理者又は、委託(2以上の段階にわたる委託を含む。)をされた者は、新たな機器が接続されていないことを適宜確認し、記録する。
(電気通信関係装置に係る不正操作の防止)
第31条 システム管理者は、電気通信関係装置を操作できる職員を指定し、これらの職員のみにユーザIDの配布及びパスワードの設定を行う。
2 システム管理者は、電気通信関係装置を操作できる職員の名簿を作成し、適切に管理されているか適宜確認し、記録する。
3 電気通信関係装置は適切に管理を行う。
4 システム管理者は、前項について適切に管理されていることを適宜確認し、その記録を行う。
5 システム管理者は、電子通信関係装置が収納棚等に格納されて施錠されている場合、その鍵を適切に管理し、貸与する際には、電算室入退室管理及び各鍵管理簿に記録する。
(磁気ディスクの管理)
第32条 システム管理者及び磁気ディスクの取り扱い担当者は、磁気ディスク(電子計算機に搭載される磁気ディスクを除く)の管理を適切に行うため、次に掲げる事項を実施する。
(1) 磁気ディスクの取り扱い担当者は、住基ネットに関係する職員とする。
(2) 磁気ディスクは専用の保管庫に保管し、施錠する。
(3) システム管理者は磁気ディスク管理簿(様式第14号)を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) システム管理者は磁気ディスク管理簿と保管状況が一致していることを適時確認し、記録する。
(5) 磁気ディスクはラベル等により他と判別できるようにする。
(6) 磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行い、磁気ディスク管理簿に記録する。
(ドキュメントの管理)
第33条 セキュリティ責任者及びドキュメントの取り扱い担当者は、ドキュメントの管理を適切に行うため、次に掲げる事項を実施する。
(1) ドキュメントの取り扱い担当者は、住基ネットに関係する職員とする。
(2) ドキュメントは専用の保管庫に保管し、施錠する。
(3) セキュリティ責任者はドキュメント管理簿(様式第15号)を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) セキュリティ責任者はドキュメント管理簿と保管状況が一致していることを適時確認し、記録する。
(5) ドキュメントを廃棄する際には、裁断又は溶解等を行い、ドキュメント管理簿に記録する。
(本人確認情報の管理)
第34条 本人確認情報の適切な管理を行うため、本人確認情報管理責任者は次に掲げる事項を実施する。
(1) 業務上必要の無い本人確認情報について、検索、抽出を行わない。
(2) スクリーンセーバの機能を活用するなど、長時間にわたり本人確認情報をディスプレイ上に表示したままの状態にしないようにする。
(3) 離席する際には、業務アプリケーションを終了させ、操作者用ICカードを抜くようにする。
(4) 住基ネットの業務端末に係るディスプレイが、窓口に来庁している住民から見えない位置に置く。
(5) 画面のハードコピーは、必要以外に取らない。やむを得ず取る場合は、記録する。
(6) 本人確認情報をメモに書き込み、またテキスト文書等で保管を行わない。
(7) 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、入力、削除及び訂正を行ったもの以外の者が確認する等の措置を講ずる。
(8) 一回の業務で100件以上の本人確認情報を出力する際には、アクセス管理責任者の承認を得る。
(9) その他、本人確認情報管理責任者は、必要に応じ本人確認情報が不正に利用されることを防止する方法を講じる。
(10) 本人確認情報管理責任者は、前号までの事項について適宜確認を行い、必要に応じて記録する。
(本人確認情報が記載された帳票の管理)
第35条 本人確認情報が記載された帳票(以下「帳票」という。)の適切な管理を行うため、本人確認情報管理責任者は次に掲げる事項を実施する。
(1) 本人確認情報管理責任者は、操作記録及び帳票管理簿を作成し、受け渡し、保管、廃棄の際には記録する。
(2) 帳票の保管については、操作記録及び帳票管理簿に従い、施錠できる書庫等に保管を行い、紛失及び盗難を防止するための措置を構ずる。
(3) 帳票を廃棄する際には、裁断又は溶解等を行い、操作記録及び帳票管理簿に記録する。
(4) 帳票を出力する際には、来庁者から出力した帳票を見ることができないよう、適切な設置位置及び方向を選択するなどの措置を構ずる。
(5) 出力された帳票は、速やかに回収し、また、出力装置等に帳票が残っていないか、適宜確認する。
(6) その他、本人確認情報管理責任者は、必要に応じ帳票を適正に管理する方法を講じる。
(7) 本人確認情報管理責任者は、前号までの事項について適宜確認し、必要に応じて記録する。
(住民基本台帳カード及び個人番号カードの管理)
第36条 住民基本台帳カード及び個人番号カードは施錠が可能な保管庫に保管する。
2 住民基本台帳カード・個人番号カード管理簿(様式第16号)を作成し、記録する。
(住民基本台帳カード及び個人番号カードの廃棄)
第37条 住民基本台帳カード及び個人番号カードを廃棄する際には、焼却、溶解、裁断等に券面印刷の内容が判読できないようにし、かつ、ICチップを物理的に破壊する。
2 前項において、廃棄したことについて住民基本台帳カード・個人番号カード管理簿に記録する。
(顔写真データの管理)
第38条 利用者より受領した顔写真データについて適切な管理を行うため、本人確認情報管理責任者は次に掲げる事項を実施する。
(1) 顔写真は、カード発行端末又はCS端末より取り込みを行う。
(2) デジタルカメラなどで顔写真を撮影した場合で顔写真データを端末に保存したときは、登録又は申請取消後、速やかに削除する。
(3) 電子ファイルでの顔写真の受領は行わない。
第6章 委託管理
(委託を受けようとする者の管理体制等の調査)
第39条 システム管理者は、外部委託(2以上の段階にわたる委託を含む。)をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査する。
2 委託先事業者を選定する場合には、その事業者に対して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、記録する。
(外部委託の承認)
第40条 システム管理者は、外部委託(2以上の段階にわたる委託を含む。)をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第41条 外部委託(2以上の段階にわたる委託を含む。)に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 前号において再委託を行う場合には、受託者に対し事前に承認を求める事項
(3) 前号の承認を求める際には、その理由、再委託先、再委託業務の範囲等を明らかにすることを要する事項
(4) 情報が記録された資料の保管、返還又は廃棄に関する事項
(5) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(6) 情報の秘密保持に関する事項
(7) 事故等の報告に関する事項
(8) 委託業務の範囲及びその作業内容についての報告に関する事項
(9) 前号において、複数の事業者に委託を行う場合、各々の作業範囲並びに受託業務及びその作業内容についての報告に関する事項
(10) 委託作業者の名簿の提出に関する事項
(委託契約内容の確認)
第42条 システム管理者は、必要に応じ受託者(2以上の段階にわたる委託に係る受託者を含む。)が契約書に基づいて作業を実施していることを確認し、記録する。
(受託者の管理状況の調査)
第43条 システム管理者は、必要に応じ受託者における当該外部委託(2以上の段階にわたる委託を含む。)に係るセキュリティ対策の実施状況について調査する。
第7章 その他
(その他)
第44条 この要綱に定めるものの他、住基ネットの運用及び管理に関して必要な事項は別に定める。
附則
(施行期日)
1 この要綱は、平成18年11月1日から施行する。
(経過措置)
2 平成19年3月31日までの間においては、「副町長」とあるのは、「助役」と読み替えるものとする。
附則(平成28年1月5日訓令第1号)抄
(施行期日)
第1条 この訓令は、公布の日から施行し、平成28年1月1日から適用する。
(東洋町住民基本台帳ネットワークシステム運用管理要綱の一部改正に伴う経過措置)
第2条 この訓令の施行の際、第1条の規定による改正前の東洋町住民基本台帳ネットワークシステム運用管理要綱の様式による用紙で、現に残存するものは、当分の間、所要の修正を加え、なお使用することができる。
附則(令和6年3月15日訓令第9号)
この訓令は、令和6年4月1日から施行する。