○新宮町住民基本台帳ネットワークシステム運用管理規程
令和3年9月13日
新宮町訓令第5号
新宮町住民基本台帳ネットワークシステム運用管理規程(平成14年7月訓令第19号)の全部を改正する。
目次
第1章 総則(第1条―第4条)
第2章 セキュリティ組織(第5条―第9条)
第3章 入退室管理(第10条―第14条)
第4章 アクセス管理(第15条―第20条)
第5章 本人確認情報管理(第21条―第26条)
第6章 情報資産管理(第27条―第31条)
第7章 委託管理(第32条―第35条)
第8章 その他(第36条)
附則
第1章 総則
(目的)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)その他の関係法令に定めるもののほか、本町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用管理及びセキュリティの確保に関し、必要な事項を定めることを目的とする。
(1) 本人確認情報 法第30条の6第1項に規定する本人確認情報をいう。
(2) コミュニケーションサーバ 本人確認情報の記録、保存を行い、都道府県サーバ及び市区町村間で本人確認情報の通知を行うための使用に係る電子計算機(以下「CS」という。)をいう。
(3) 統合端末 住基ネット業務を行うためにCSに接続する端末をいう。
(4) 照合情報認証 静脈等の生体情報に不可逆演算を施して登録された情報(以下「照合情報」という。)と認証時に読み取られる情報を照合することにより、操作者が正当なアクセス権限を有していることを認証する方法をいう。
(5) 照合ID 操作者を識別するためのIDをいう。
(6) 操作者ID 操作権限を識別するためのIDをいう。
(7) 情報資産 住基ネットの運用に係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。
(運用管理の基本原則)
第3条 本人確認情報等の個人情報の保護を最優先事項として、漏えい等から保護するための措置を講じなければならない。
2 住基ネットに係る情報資産は、その運用に必要なものに限定するとともに、法令等に定める目的以外に使用してはならない。
(法令遵守義務等)
第4条 住基ネットに関する業務に従事する全ての職員は、住基ネットの運用管理及び利用に際して、法その他の関係法令及びこの訓令を遵守しなければならない。
2 住基ネットに関する業務に従事する職員又は従事した職員は、住基ネットの事務に関し知り得た秘密を漏らしてはならない。
第2章 セキュリティ組織
(セキュリティ統括責任者)
第5条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長とし、次に掲げる事務を所掌する。
(1) 住基ネットの運用に支障をきたすおそれがある重大な障害、不正等の発生に迅速に対処するための緊急時対応計画書の作成及び緊急時における対応策の実施に関すること。
(2) 住基ネットの運用管理についての重要事項に関すること。
(3) その他住基ネットのセキュリティ対策について、必要事項に関すること。
(システム管理者)
第6条 住基ネットの適正な運用管理を行うためシステム管理者を置く。
2 システム管理者は、政策経営課長とし、次に掲げる事務を所掌する。
(1) 情報資産の管理に関すること。
(2) 住基ネットの運用管理及びその利用に係る職員等の研修に関すること。
3 システム管理者は、前号に定める業務をあらかじめ指定した職員等に補助させることができる。
(セキュリティ責任者)
第7条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住民課長とし、次に掲げる事務を所掌する。
(1) 住基ネットに係る業務端末機器の適正管理に関すること。
(2) 本人確認情報の管理に関すること。
(3) 住基ネットのセキュリティ対策の職員への徹底に関すること。
(4) セキュリティへの脅威が発生した場合の情報収集及びセキュリティ統括責任者への報告等に関すること。
(セキュリティ会議)
第8条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、必要により招集することとし、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) 住民課戸籍住民担当課長補佐又は主幹
(4) 政策経営課情報政策管理担当課長補佐又は主幹
(5) その他セキュリティ責任者が指名した者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) セキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
4 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ会議の庶務は、住民課において行う。
(関係部署に対する指示等)
第9条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
第3章 入退室管理
(入退室の管理)
第10条 次に掲げる住基ネットの運用が行われる室及び場所において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室及び場所 |
レベル2 | 住基ネットのデータ、セキュリティ情報等の保管室並びにCS及びネットワーク機器の設置室 |
レベル1 | 統合端末の設置場所(住民課等) |
2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次のとおりとする。
セキュリティ区分 | 入退室管理の方法 |
レベル2 | 1 入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室管理カード又は照合情報認証を用いて入退室を行う。 2 入退室者には、名札の着用を義務づける。 3 入退室に関する記録を行う。 |
レベル1 | 1 入退室を行う場合には、入退室管理者から事前に許可された者のみが入退室を行う。 2 入退室者には、名札の着用を義務づける。 3 訪問者(保守業者等)の入退室に関する記録を行う。 |
(入退室管理カード等の管理)
第12条 入退室管理カード又は照合情報認証の管理は、政策経営課長が行う。
2 政策経営課長は、第10条第1項の表のレベル2のセキュリティ区分に係る室については、入退室の許可を与えた者に限り、入退室管理カードを貸与し、又は照合情報を登録するものとする。
(管理簿の作成)
第13条 入退室管理者は、入退室管理簿を作成し、これを保存するものとする。
2 政策経営課長は、第10条第1項の表のレベル2のセキュリティ区分に係る室については、入退室管理カード又は照合情報認証の管理簿を作成し、これを保存するものとする。
(指示)
第14条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、入退室管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第15条 次に掲げる住基ネットの構成機器について、業務アプリケーションに対するアクセス管理を行う。
(1) CS
(2) 統合端末
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること、及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第16条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、住民課長をもって充てる。
(照合ID、照合情報及び操作者ID)
第17条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第18条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第19条 アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第20条 アクセス管理責任者は、第15条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステム(プログラムの実行を制御するためのソフトウェア)について、必要なセキュリティ対策を実施する。
第5章 本人確認情報管理
(本人確認情報管理)
第21条 住基ネットの情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票並びに個人番号カード等について、本人確認情報管理を行うものとする。
(本人確認情報管理責任者)
第22条 前条の本人確認情報管理を実施するため、本人確認情報管理責任者(以下「管理責任者」という。)を置く。
2 管理責任者は、住民課長をもって充てる。
3 管理責任者は、本人確認情報を取り扱うことができる者(以下「取扱者」という。)を指定するとともに、当該本人確認情報の漏えい、滅失及び毀損等の防止、その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
4 管理責任者は、本人確認情報の記録されたサーバに係る帳票及び個人番号カード等の管理方法を定めるものとする。
(本人確認情報の管理方法)
第23条 本人確認情報の管理は次に掲げるとおりに行うものとする。
(1) 管理責任者は、住基ネットのオペレーション計画を定めること。
(2) 管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えい、毀損等の被害を受けるおそれのある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。
(本人確認情報の取扱方法)
第24条 取扱者は、本人確認情報の取扱いに関し、次の各号に掲げる事項に留意しなければならない。
(1) 統合端末の画面を来庁者に見られることがないよう設置し、斜視防止フィルタを適用する等の覗き見防止措置を講ずること。なお、タッチパネルを利用した入力に関しては、タッチパネルの画面を利用者以外の第三者に見られることがないよう配慮を施すこと。
(2) 統合端末の画面を長時間表示させないため、スクリーンセーバー起動までの時間を適宜設定し、解除にパスワードが要求されるよう設定すること。
(3) 本人確認情報の入力、削除及び訂正を行う際は、整合性を確保するため、複数名にて確認を行い、その記録を残すこと。
(4) 業務上必要のない本人確認情報の検索・抽出を行わないこと。
(5) 本人確認情報が表示された画面のハードコピーは取らないこと。
(6) 本人確認情報の出入力を行う際に可搬性のある記録媒体(DVD―RW、USBメモリ等)を一時的に使用するときは、必ず住基ネット専用の記録媒体を用いるとともに、接続前にウイルスチェックを行った後に接続し、使用後の記録媒体に存在する本人確認情報は必ず削除すること。
(7) 統合端末から離れる際は、業務アプリケーションを必ずログオフ又は終了させること。
(8) 本人確認情報の出力は、業務上必要な場合に限り行い、一度に100名以上の本人確認情報を出力する場合は、事前に管理責任者の承認を得て行い、その記録を残すこと。
(実施状況の確認)
第25条 管理責任者は月1回以上、次の各号について確認し、その結果を記録するものとする。
(1) 前条の留意事項について、実際の業務の中で遵守されていること。
(2) 操作ログに、業務上必要のない操作履歴が残っていないこと。
(3) 業務上必要のない検索又は抽出が行われていないことについて、取扱者へのヒアリングにより確認していること。
(帳票の管理)
第26条 管理責任者は本人確認情報が記載された帳票について、管理するものとする。
2 管理責任者は、帳票管理簿を作成し帳票の出力、保管、廃棄等を行う際、取扱者に記録させるものとする。
3 管理責任者は、出力装置から出力される帳票が来庁者から見ることができないことを適時確認し、その記録を残すものとする。
4 管理責任者は、帳票を保管するときは施錠可能な書庫等に保管し、紛失及び盗難を防止するための措置を講ずるものとする。
5 管理責任者は、帳票を廃棄する場合においては、裁断、溶解等により記載内容が判読できないようにする措置を講ずるものとする。
第6章 情報資産管理
(情報資産管理)
第27条 住基ネットの情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等を除いたデータ並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等(以下この章において「情報資産」という。)について情報資産管理を行うものとする。
(情報資産管理責任者)
第28条 前条の情報資産管理を実施するため、情報資産管理責任者を置く。
2 情報資産管理責任者は、政策経営課長をもって充てる。
3 情報資産管理責任者は、当該情報資産の管理方法を定めるものとする。
(ソフトウェアの適正な管理)
第29条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずるものとする。
(ハードウェア及びネットワークの適正な管理)
第30条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、ハードウェア及びネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずるものとする。
(情報資産管理簿等の適正な管理)
第31条 情報資産管理簿等の適正な管理については、要領、手順書等に定めるものとする。
第7章 委託管理
(委託を受けようとする者の管理体制等の調査)
第32条 住基ネットを管理し、又は利用する部署の長は外部委託をしようとするときは、あらかじめ、委託先事業者の個人情報保護措置の状況等を考慮しなければならない。
(外部委託の承認)
第33条 住基ネットを管理し、又は利用する部署の長は外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第34条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 本人確認情報等が記録された資料の保管、返還又は廃棄に関する事項
(3) 本人確認情報等が記録された資料の目的外使用及び複製、複写並びに第三者への提供の禁止に関する事項
(4) 本人確認情報等の秘密保持に関する事項
(5) 事故等の報告に関する事項
(6) 損害賠償に関する事項
(受託者の管理状況の調査)
第35条 住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第8章 その他
(委任)
第36条 この訓令に定めるもののほか、特に必要な事項は町長が別に定める。
附則
この訓令は、公布の日から施行する。