○日吉津村住民基本台帳ネットワークシステム管理運営要綱
平成14年8月2日
要綱第3号
(趣旨)
第1条 この要綱は、日吉津村における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の管理及び運営について必要な事項を定めるものとする。
(1) 住基ネット 村長、知事及び指定情報処理機関(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)の使用に係る電子計算機、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、村長が本人確認情報(法第30条の5第1項に規定する本人確認情報をいう。以下同じ。)を知事に通知し、知事が本人確認情報を指定情報処理機関に通知し、並びに知事及び指定情報処理機関が本人確認情報の記録、保存及び提供を行うためのシステム
(2) セキュリティ 住基ネットの正確性、機密性及び継続性の維持を図ることを目的とした行為
(3) サーバ 知事及び指定情報処理機関に本人確認情報の通知を行うための村長の使用にかかる電子計算機
(4) ファイアウォール 住基ネットにおいて不正な侵入を防御する電子計算機
(5) 業務端末システム 村において本人確認情報を検索する際に使用する電子計算機、ICカードリーダライタ及びプリンタ
(6) 共同利用所属 業務端末システムを設置しない所属
(7) 操作者用ICカード サーバ又は業務端末システムを動作させる際に操作者を識別するカード
(8) プログラム 電子計算機を機能させて住民基本台帳ネットワークシステムを動作させるための命令
(9) 電子計算機室 電子計算機及び電気通信関係装置を設置する室
(10) ドキュメント 住民基本台帳ネットワークシステムの設計及び運用に関する記録及び文書
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、総務課長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務課課長補佐をもって充てる。
(セキュリティ責任者)
第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は住民課長をもって充てる。
(セキュリティ運用に係る意見聴取)
第6条 システム管理者は、住基ネットのセキュリティ運営に関して次の各号に掲げる事項についてセキュリティ責任者に意見を聴くことができる。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) その他、必要な事
2 システム管理者は、必要と認めるときは、関係職員に対して意見又は説明を聴くことができる。
(関係部署に対する指示等)
第7条 システム管理者は、セキュリティ責任者に対し必要な要請、又は指示をすることができる。
(電子計算機室の入退室管理)
第8条 電子計算機室への入退室については、総務課長が事前に許可した者についてのみ、これを行うことができる。
(改善の要求)
第9条 システム管理者は、電子計算機室への適切な入退室管理が行われているかどうか、事前に許可した者から報告を求め、調査を行い、必要な改善を求めることができる。
(アクセス管理)
第10条 システム管理者は、次の各号に掲げる住基ネットの構成機器について、電子計算機を動作させ、本人確認情報を検索するに当たっての管理(以下「アクセス管理」という。)を行うものとする。
(1) サーバ
(2) 業務端末システム
2 前項のアクセス管理は、操作者用ICカード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。
3 セキュリティ責任者は、業務端末システム使用簿(様式第1号)を備え付け、操作者は業務端末を使用する都度業務端末使用簿に使用状況を記載しなければならない。
(操作者用ICカードの発行)
第11条 システム管理者は、セキュリティ責任者が業務端末システム使用者報告書(様式第2号)により指定した職員に操作者用ICカードを貸与するものとし、退職、人事異動等に際しては、回収する。
(操作者用ICカードの管理)
第12条 セキュリティ責任者は、操作者用ICカードの不正使用及び損傷がないよう管理し、操作者用ICカードを施錠可能な保管庫等に保管しなければならない。
2 操作者用ICカードの貸与を受けた職員は、次に掲げる事項を遵守しなければならない。
(1) 操作者用ICカードを紛失し又は盗難されないよう、責任をもって管理すること。
(2) 操作者用ICカードを他者に貸与し、若しくは職員間で共有を行ってはならないこと。
(3) 操作者用ICカードを目的外に利用してはならないこと。
(4) 操作者用ICカードをカードリーダに常時挿入しないこと。
(5) 操作者用ICカードを紛失し又は盗難された場合は、セキュリティ責任者を通じて、直ちにシステム管理者に報告すること。
3 システム管理者は、操作者用ICカード管理簿(様式第5号)を作成しなければならない。
4 セキュリティ責任者は、所属の職員に貸与された操作者用ICカードについて、適正な利用及び管理が行われるよう必要な措置を講じなければならない。
5 システム管理者は、適正に操作者用ICカードが管理、利用されるよう、セキュリティ責任者及び各操作者に対して指導を行うこととする。
6 操作者用ICカードの紛失又は盗難の届出があった場合は、システム管理者は速やかに失効の手続きをとらなければならない。
(パスワード)
第13条 各操作者は、操作者用ICカードに設定したパスワードの管理について、次に掲げる事項を遵守しなければならない。
(1) 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知り得る状態においてはならないこと。
(2) 操作者は、規則性のあるものや、容易に推測可能なものをパスワードに設定してはならないこと。
(3) 操作者は、パスワードを変更する必要が生じたときは、セキュリティ責任者を経由してパスワード変更申請書(様式第6号)によりシステム管理者に依頼すること。
(操作者用ICカードの再発行)
第14条 操作者は、操作者用ICカードの紛失、損傷又はその他の事由によりICカードの再発行を受ける必要があるときは、セキュリティ責任者を経由して操作者用ICカード再発行申請書(様式第7号)をシステム管理者に提出しなければならない。
2 システム管理者は、前項の操作者用ICカード再発行申請書の提出を受けたときは、内容を調査し、再発行の必要を認めた場合は再発行する。
(操作履歴の記録及び解析)
第15条 システム管理者は、電子計算機の操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
2 システム管理者は、定期的に前項の操作履歴を解析し、住基ネットの適正な利用を確保しなければならない。
(情報資産の管理)
第16条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア及びネットワークをいう。以下「情報資産」という。)について、管理責任者を置くものとする。
2 前項の情報資産のうち、住基ネットを利用する部署に設置する業務端末システムの情報資産に関する管理責任者はセキュリティ責任者とする。
3 本人確認情報、当該本人確認情報が記録されたサーバに係る帳票のほか、業務端末システムを除く住基ネットの情報資産に関する管理責任者は総務課長とする。
(本人確認情報を取り扱うことができる者)
第17条 本人確認情報は次の者に限り、取り扱うことができる。
(1) 住民基本台帳ネットワークシステムに関する事務に従事する職員
(2) 日吉津村から本人確認情報の管理について委託を受けた事業者のうち、別に指定するもの
(本人確認情報に関する秘密保持義務)
第18条 次の各号に掲げるものは、法第30条の31第1項の秘密保持義務の対象となるものであるので、その取扱いについては留意しなければならない。
(1) 本人確認情報
(2) 住基ネットのセキュリティに関する情報技術
(3) 操作者用ICカードのパスワード
(4) 住基ネットの具体的な運用に関する情報
(5) 運用手引書
(本人確認情報を取扱うに当たっての留意事項)
第19条 本人確認情報を取扱うに当たっては、次の各号について留意すること。
(1) 本人確認情報の検索は、業務上必要な場合に限り行うものであること。
(2) 本人確認情報画面を表示する場合は、業務上必要のない本人確認情報を表示しないこと。
(3) 業務端末システムから離れる際には、スクリーンセーバー機能を活用し、長時間にわたり本人確認情報を表示したままの状態にしないこと。
(4) 表示された本人確認情報が、来庁者から見えない位置に業務端末機を設置すること。
(5) 本人確認情報を表示した画面のハードコピーは、業務上必要な場合に限り取得又は出力すること。
(6) 本人確認情報の出力は、業務上必要な場合に限り行うこと。
(7) 前号により出力した帳票は、適正に管理し、本人確認情報が出力された帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずること。
(本人確認情報の記録されたサーバにおいて出力される帳票の取扱い)
第20条 システム管理者は、本人確認情報の記録されたサーバにおいて出力される帳票において以下の事項を記録するものとする。
(1) 出力帳票の種類
(2) 出力年月日
(3) 使用目的
(4) 申請者
(5) 数量
2 システム管理者は前項に掲げる帳票を施錠が可能な保管庫に保管し、紛失及び盗難を防止するための措置を講じるものとする。
3 システム管理者は、前項に掲げる帳票を廃棄する場合においては、シュレッダー等により裁断する等の措置を講ずるものとする。
(業務の委託)
第21条 システム管理者及びセキュリティ責任者は、外部委託をしようとする場合においては、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について確認するものとする。
(外部委託の承認)
第22条 セキュリティ責任者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、システム管理者の承認を受けなければならない。
(委託契約書への記載事項)
第23条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の制限に関する事項
(2) 本人確認情報等の保管、返還又は廃棄に関する事項
(3) 本人確認情報等の目的外使用の禁止、複製・複写及び第三者への提供の禁止に関する事項
(4) 本人確認情報等の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第24条 システム管理者及びセキュリティ責任者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(オペレーション計画)
第25条 システム管理者は、指定情報処理機関、県及び住基ネットを利用する部署と協議の上、次の各計画を策定するものとする。
(1) システム運用計画
(2) 緊急時対応計画
2 システム管理者は、オペレーションに関する各計画の見直しを必要に応じて行う。また、セキュリティ責任者は、障害が発生する確率を下げるため、オペレーションミスの原因分析、再現防止策の策定など、必要な措置を講じるものとする。
(監査)
第26条 システム管理者は、住基ネットの本人確認情報処理事務等について、定期的に内部監査を実施するほか、必要に応じて外部監査を実施するよう努めなければならない。
2 システム管理者は、監査結果をもとに必要な改善措置を講じるものとする。
3 システム管理者は、監査結果及び改善措置について、セキュリティ統括責任者に報告するものとする。
附則
この要綱は、平成14年8月5日から施行する。
附則(平成20年要綱第2号)
この要綱は、平成20年2月1日から施行する。
