佐渡市住民基本台帳ネットワークシステムセキュリティ要綱

○佐渡市住民基本台帳ネットワークシステムセキュリティ要綱

平成21年12月28日

訓令第35号

佐渡市住民基本台帳ネットワークシステムセキュリティ要綱(平成16年佐渡市訓令第18号)の全部を改正する。

(趣旨)

第1条　この訓令は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の適正な管理及び運用を図り、並びに本人確認情報の漏えい、滅失及びき損を防止し、当該本人確認情報の適正な管理を図るため、住基ネットの管理及び運用に関し必要な事項を定めるものとする。

(定義)

第2条　この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　セキュリティ　機密性、正確性及び継続性の維持をいう。

(2)　コミュニケーションサーバ　都道府県知事に本人確認情報の通知及び転出確定通知を行うための電子計算機をいう。

(3)　CS端末　コミュニケーションサーバに接続する端末機をいう。

(4)　アクセス　コミュニケーションサーバ又はCS端末から住基ネットに接続することをいう。

(5)　重要機能室　サーバ、ファイアウォール及びネットワーク機器等が設置されている場所(データが保管されている場所を含む。)をいう。

(6)　本人確認情報　住民基本台帳法(昭和42年法律第81号)第30号の5第1項に規定する本人確認情報をいう。

(7)　操作者　CS端末を利用し、住基ネットにアクセスする権限を有する者をいう。

(8)　照合情報認証　指紋、手の静脈その他の個人を識別することができる生体情報を使用してアクセス権限を有する操作者であることを確認する認証方式をいう。

(9)　照合ID　照合情報認証を行う際に操作者を識別するために使用される符号をいう。

(10)　操作者ID　操作者に付与する一の操作権限ごとに当該操作者に対して割り当てられた符号をいう。

(11)　情報資産　住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等をいう。

(平26訓令23・一部改正)

(セキュリティ統括責任者)

第3条　住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置き、市民課長をもって充てる。

2　セキュリティ統括責任者は、セキュリティ対策に関する最終的な権限及び責任(緊急時等における対応策を決定し、実施する権限及び責任を含む。)を有し、個人情報の保護及び住基ネットの継続的な運用を行う。

(平22訓令9・平26訓令23・令4訓令7・一部改正)

(システム管理者)

第4条　住基ネットの適切な管理を行うため、システム管理者を置き、総務課長をもって充てる。

2　システム管理者は、情報資産に関する総括的な管理(セキュリティ責任者の管理責任部分を除く。)、アクセス管理及び重要機能室への入退室管理を行う。

(平22訓令9・平29訓令12・一部改正)

(セキュリティ責任者)

第5条　住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置き、市民課長補佐をもって充てる。

2　セキュリティ責任者は、本人確認情報の管理、業務端末の管理(操作を含む。)及びアクセス管理(システム管理者の管理責任部分を除く。)を行うほか、システム管理者と連携を取り、セキュリティ対策に関する職員への徹底、緊急時における情報収集、セキュリティ統括責任者への報告等を行う。

(平22訓令9・平26訓令23・令4訓令7・一部改正)

(セキュリティ会議)

第6条　住基ネットのセキュリティ対策を講ずるため、セキュリティ会議を設置する。

2　セキュリティ会議は、次の者をもって組織する。

(1)　セキュリティ統括責任者

(2)　システム責任者

(3)　セキュリティ責任者

(4)　セキュリティ会議が指定する者

3　セキュリティ会議は、次の事項を審議する。

(1)　セキュリティ対策の決定及び見直し(緊急時を含む。)

(2)　セキュリティ対策の遵守状況の確認

(3)　監査の実施

(4)　教育又は研修の実施

4　セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

5　セキュリティ会議の庶務は、市民課において処理する。

6　セキュリティ会議は、年1回以上開催するものとする。

(平22訓令9・平26訓令23・令4訓令7・一部改正)

(入退室管理者)

第7条　住基ネットの管理及び運用が行われる室及び場所の入退室を管理する者(以下「入退室管理者」という。)は、重要機能室にあってはシステム管理者を、業務端末の設置場所にあってはセキュリティ責任者をもって充てる。

2　入退室管理者は、次条に掲げる室及び場所について、入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。

(入退室管理を行う室及び場所)

第8条　住基ネットの管理及び運用が行われる場所の入退室管理の方法は、次の表に掲げるとおりとする。


室及び場所	入退室管理の方法
重要機能室	(1)　入退室は、システム管理者があらかじめ指定又は承認をした者のみが、名札を着用の上、入退室者識別装置(生体証装置)を用いて行うものとする。また、入退室の際には、入退室に関する記録を行うものとする。 (2)　システム管理者は、業務上必要があると認めるときは、前号に規定する者以外の者を臨時に入退室させることができる。この場合において、入退室の際には、前号に規定する者を同行させるものとする。 (3)　システム管理者は、搬出入物品について、その内容を確認するものする。 (4)　システム管理者は、入退室に関する記録を行うための入退室管理簿を作成し、5年間保管しなければならない。
業務端末の設置場所	入退室は、セキュリティ責任者から事前に許可された者のみが、名札を着用の上、行うものとする。

(鍵等の管理)

第9条　重要機能室に係る鍵(以下「鍵」という。)の管理は、システム管理者が行うものとする。

2　システム管理者は、業務上必要と認められる者に限り、鍵を貸与するものとし、貸与及び返却時には、当該事項に関する記録を行うものとする。

3　システム管理者は、貸与及び返却に関する記録を行うための鍵の管理簿を作成するものとする。

(アクセス管理責任者)

第10条　次条のアクセス管理を実施するため、アクセス管理責任者を置く。

2　アクセス管理責任者は、照合ID、照合情報及び操作者IDの管理についてはセキュリティ責任者を、操作履歴の管理についてはシステム管理者をもって充てる。

(平26訓令23・一部改正)

(アクセス管理を行う機器)

第11条　アクセス管理責任者は、次に掲げる住基ネットの構成機器について、アクセス管理を行う。

(1)　コミュニケーションサーバ

(2)　業務端末

2　前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。

(平26訓令23・一部改正)

(照合ID、照合情報及び操作者IDの管理)

第12条　セキュリティ責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。

(1)　照合ID及び操作者IDの管理方法を定めること。

(2)　照合情報の登録及び削除の管理方法を定めること。

(3)　操作権限の付与の手続その他必要な事項を定めること。

(平26訓令23・全改)

(操作者の責務)

第13条　操作者は、住基ネットの利用に際し、セキュリティ責任者が定める事項を遵守しなければならない。

(平26訓令23・一部改正)

(操作履歴の記録)

第14条　システム管理者は、操作履歴について、7年前までさかのぼって解析できるよう保管するものとする。

(平26訓令23・一部改正)

(オペレーティングシステムの管理)

第15条　アクセス管理責任者は、第11条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施する。

(情報資産管理)

第16条　住基ネットの情報資産を管理するため、管理責任者を置く。

2　前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び住民基本台帳カード(以下「住基カード」という。)の管理責任者(以下「本人確認情報管理責任者」という。)はセキュリティ責任者をもって、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)はシステム管理者をもって充てる。

(平26訓令23・一部改正)

(本人確認情報管理責任者)

第17条　本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

2　本人確認情報管理責任者は、本人確認情報が記録されたサーバに係る帳票及び住基カードの管理方法を定めるものとする。

(情報資産管理責任者)

第18条　情報資産管理責任者は、情報資産の管理方法を定めるものとする。

(委託を受けようとする者の管理体制等の調査)

第19条　システム管理者又はセキュリティ責任者は、住基ネットに係る業務の外部委託(以下「外部委託」という。)をしようとするときは、あらかじめ、委託を受けようとする者における本人確認情報の保護に関する管理体制等について調査するものとする。

(委託契約書への記載事項)

第20条　外部委託に係る契約書には、本人確認情報の保護に関し、次に掲げる事項を明記しなければならない。

(1)　再委託の禁止又は制限に関する事項

(2)　本人確認情報が記録された資料の保管、返還又は廃棄に関する事項

(3)　本人確認情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項

(4)　本人確認情報の秘密保持に関する事項

(5)　事故等の報告に関する事項

(本人確認情報保護の実施状況の調査)

第21条　システム管理者又はセキュリティ責任者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

(緊急時対応)

第22条　住基ネットにおける、機器等が正常に動作しない障害及び本人確認情報に脅威を及ぼす不正行為が発生した時の緊急時対応計画書を別に定めることとする。

2　障害又は不正行為が発生した場合は、緊急時対応計画書に従い、適切な対応を速やかに行うものとする。

(その他)

第23条　この訓令に定めるもののほか、住基ネットの管理運営に関し必要な事項は、別に定める。

附則

この訓令は、平成21年12月28日から施行する。

附則(平成22年3月31日訓令第9号)

この訓令は、平成22年4月1日から施行する。

附則(平成26年9月16日訓令第23号)

この訓令は、平成26年9月16日から施行する。

附則(平成29年3月31日訓令第12号)

この訓令は、平成29年4月1日から施行する。

附則(令和4年3月31日訓令第7号)

この訓令は、令和4年4月1日から施行する。

◆	平成21年12月28日	訓令第35号
◇	平成22年3月31日	訓令第9号
◇	平成26年9月16日	訓令第23号
◇	平成29年3月31日	訓令第12号
◇	令和4年3月31日	訓令第7号