(1)　住基ネット　コミュニケーションサーバ、都道府県サーバ(以下「サーバ」という。)、機構サーバ、認証業務連携サーバ、業務端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、市町村の区域を越えた住民基本台帳に関する事務を処理し、並びに市町村長、都道府県知事及び機構が本人確認情報の記録、保存及び提供を行い、法第30条の7第1項若しくは第30条の15第3項の通知があった旨の情報の提供を行うためのシステム

(2)　コミュニケーションサーバ　都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令第13条第3項の規定による通知をいう。)を行うための市町村長の使用に係る電子計算機

(3)　サーバ　市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、機構に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機

(4)　機構サーバ　都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための機構の使用に係る電子計算機

(5)　認証業務連携サーバ　機構が電子証明書(電子署名に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号)第3条第1項に規定する署名用電子証明書及び同法第22条第1項に規定する利用者証明用電子証明書をいう。)の発行を受けている者に係る機構保存本人確認情報(法第30条の9に規定する機構保存本人確認情報をいう。)のうち個人番号以外のものを利用するための機構の使用に係る電子計算機

(6)　ファイアウォール　ネットワークにおいて不正侵入を防御する電子計算機

(7)　プログラム　電子計算機を機能させて住基ネットを作動させるための命令を組み合わせたもの

(8)　データ　住基ネットにおいて通知され、記録され、保存され、又は提供される情報

(9)　ファイル　磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されているデータ及びプログラム

(10)　ドキュメント　住基ネットの設計、プログラム作成及び運用に関する記録及び文書

(11)　電子計算機室　電子計算機及び電気通信関係装置を設置する室

(12)　磁気ディスク保管室　磁気ディスク等を保管する室

(13)　ドキュメント保管室　ドキュメント等を保管する室

(14)　重要機能室　電子計算機室、磁気ディスク保管室、受電設備、定電圧・定周波電源装置等の設備を設置する室並びに電子計算機室及び磁気ディスク保管室の空気調和をする空気調和機及びその付属設備を設置する室

(1)　システム管理者

(2)　セキュリティ責任者

(3)　情報担当課長

(1)　住基ネットのセキュリティ対策の決定及び見直し

(2)　前号のセキュリティ対策の遵守状況の確認

(3)　監査の実施

(4)　教育・研修の実施

(1)　操作者は、操作者用ICカードの他者への貸与、目的外の利用等を行わない。

(2)　操作者は、操作者用ICカードを紛失又は盗難されないよう、施錠のできる机・キャビネット等で責任を持って保管する。

(3)　操作者は、操作者用ICカードを紛失し又は盗難された場合は、直ちにアクセス管理責任者に届出をする。

(4)　操作者は、操作記録及び帳票管理簿に操作内容を記録する。

(5)　アクセス管理責任者は、前号において、適正に操作者用ICカードの利用が行われているか、確認し、これを記録する。

(6)　アクセス管理責任者は、操作者用ICカードは職員個人に対し貸与するものとし、退職、人事異動等に際して、回収する。

(7)　アクセス管理責任者は、操作者用ICカード管理簿(様式第4号)を作成し、操作者用ICカードの貸与、回収及び失効等の管理を行う。

(8)　操作者用ICカードの紛失又は盗難の届出があった場合は、アクセス管理責任者は速やかに失効の手続きをとる。

(9)　その他、アクセス管理責任者は、必要に応じ操作者用ICカードの管理について管理方法を定め、操作者は定められた管理方法を遵守しなければならない。

(1)　パスワードの有効期限は6ヶ月とし、アクセス管理責任者は、適正に変更されているか確認し、記録する。

(2)　操作者は、パスワードを定期的又は必要に応じて随時に更新する。

(3)　パスワードは8桁以上の英数字を組み合わせたものとし、かつ、辞書単語、単純な文字列など推測可能な番号を用いない。

(4)　操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知りえる状態に置いてはならない。

(5)　パスワードは操作者が設定する。ただし、やむを得ずアクセス管理責任者が設定する場合は、他者へのパスワードの漏えいを防止する手段を講ずる。

(6)　その他、アクセス管理責任者は、必要に応じパスワードについて管理方法を定め、操作者は定められた管理方法を遵守しなければならない。

(1)　アクセス管理責任者は、ユーザID管理簿(様式第5号)を作成する。

(2)　アクセス管理責任者は、ユーザIDと操作者との対応づけを行う。

(3)　アクセス管理責任者は、ユーザIDに付与する権限を業務上必要最低限のものとする。

(4)　アクセス管理責任者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限する。

(5)　アクセス管理責任者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。

(1)　アクセス管理責任者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。

(2)　アクセス管理責任者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定する。

(3)　アクセス管理責任者は、フォルダの共有ができないように設定する。

(4)　業務及び運用管理で必要なプログラム(サービス)以外は起動しない。

(5)　アクセス管理責任者は、業務に必要なアプリケーションの操作履歴について不正な操作がないことを、操作記録及び帳票管理簿との整合性を突合するなど適切な方法によって確認する。

(6)　前号について、確認は毎年度1回以上行うものとし、その結果を記録する。

(7)　業務に必要なアプリケーションの操作履歴は、磁気ディスク又はドキュメントと同じ場所に保管する。

(8)　アクセス管理責任者は、第1号から第4号及び前号に規定する事項について適宜確認し、アクセス管理記録(様式第6号)に記録する。

(9)　その他、アクセス管理者は、必要に応じ不正なアクセスを防止する方法を講じる。

(1)　システム構成表　システムを構成する機器についての一覧表(様式第9号)

(2)　システム(ネットワーク)構成図　電子計算機及び電気通信関係装置(ルータ、ハブ、ファイアウォール)の物理的設置位置がわかる配線図及びそれらの接続関係がわかるもの

(3)　機器管理台帳(様式第10号)(様式第11号)　住基ネットを構成する機器ごとに、管理を行う上で必要となる項目を記載した台帳

(4)　ソフトウェア管理台帳　住基ネットで使用するソフトウェアの導入状況等を記載した台帳(様式第12号)

(5)　ネットワーク概念図　サーバ及び業務端末等を含めた住基ネットに関する当該団体の概念的な図

(6)　ネットワーク設定表　住基ネットにおけるネットワークの機器が正常に動作するために設定情報を記載したもの

(7)　操作者一覧表　住基ネットを取り扱う者の所属、氏名及び権限等を記載したもの(様式第13号)

(8)　その他システム管理者が必要と認めた台帳

(1)　磁気ディスクの取り扱い担当者は、住基ネットに関係する職員とする。

(2)　磁気ディスクは専用の保管庫に保管し、施錠する。

(3)　システム管理者は磁気ディスク管理簿(様式第14号)を作成し、使用、複写、消去及び廃棄を行った際には記録する。

(4)　システム管理者は磁気ディスク管理簿と保管状況が一致していることを適時確認し、記録する。

(5)　磁気ディスクはラベル等により他と判別できるようにする。

(6)　磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行い、磁気ディスク管理簿に記録する。

(7)　システム管理者は、第2号から第6号について、適宜確認し、磁気ディスク管理簿に記録する。

(1)　ドキュメントの取り扱い担当者は、住基ネットに関係する職員とする。

(2)　ドキュメントは専用の保管庫に保管し、施錠する。

(3)　セキュリティ責任者はドキュメント管理簿(様式第15号)を作成し、使用、複写、消去及び廃棄を行った際には記録する。

(4)　セキュリティ責任者はドキュメント管理簿と保管状況が一致していることを適時確認し、記録する。

(5)　ドキュメントを廃棄する際には、裁断又は溶解等を行い、ドキュメント管理簿に記録する。

(1)　業務上必要の無い本人確認情報について、検索、抽出を行わない。

(2)　スクリーンセーバの機能を活用するなど、長時間にわたり本人確認情報をディスプレイ上に表示したままの状態にしないようにする。

(3)　離席する際には、業務アプリケーションを終了させ、操作者用ICカードを抜くようにする。

(4)　住基ネットの業務端末に係るディスプレイが、窓口に来庁している住民から見えない位置に置く。

(5)　画面のハードコピーは、必要以外に取らない。やむを得ず取る場合は、記録する。

(6)　本人確認情報をメモに書き込み、またテキスト文書等で保管を行わない。

(7)　本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、入力、削除及び訂正を行ったもの以外の者が確認する等の措置を講ずる。

(8)　一回の業務で100件以上の本人確認情報を出力する際には、アクセス管理責任者の承認を得る。

(9)　その他、本人確認情報管理責任者は、必要に応じ本人確認情報が不正に利用されることを防止する方法を講じる。

(10)　本人確認情報管理責任者は、前号までの事項について適宜確認を行い、必要に応じて記録する。

(1)　本人確認情報管理責任者は、操作記録及び帳票管理簿を作成し、受け渡し、保管、廃棄の際には記録する。

(2)　帳票の保管については、操作記録及び帳票管理簿に従い、施錠できる書庫等に保管を行い、紛失及び盗難を防止するための措置を構ずる。

(3)　帳票を廃棄する際には、裁断又は溶解等を行い、操作記録及び帳票管理簿に記録する。

(4)　帳票を出力する際には、来庁者から出力した帳票を見ることができないよう、適切な設置位置及び方向を選択するなどの措置を構ずる。

(5)　出力された帳票は、速やかに回収し、また、出力装置等に帳票が残っていないか、適宜確認する。

(6)　その他、本人確認情報管理責任者は、必要に応じ帳票を適正に管理する方法を講じる。

(7)　本人確認情報管理責任者は、前号までの事項について適宜確認し、必要に応じて記録する。

(1)　顔写真は、カード発行端末又はCS端末より取り込みを行う。

(2)　デジタルカメラなどで顔写真を撮影した場合で顔写真データを端末に保存したときは、登録又は申請取消後、速やかに削除する。

(3)　電子ファイルでの顔写真の受領は行わない。

(1)　再委託の禁止又は制限に関する事項

(2)　前号において再委託を行う場合には、受託者に対し事前に承認を求める事項

(3)　前号の承認を求める際には、その理由、再委託先、再委託業務の範囲等を明らかにすることを要する事項

(4)　情報が記録された資料の保管、返還又は廃棄に関する事項

(5)　情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項

(6)　情報の秘密保持に関する事項

(7)　事故等の報告に関する事項

(8)　委託業務の範囲及びその作業内容についての報告に関する事項

(9)　前号において、複数の事業者に委託を行う場合、各々の作業範囲並びに受託業務及びその作業内容についての報告に関する事項

(10)　委託作業者の名簿の提出に関する事項