○下仁田町セキュリティ対策に関する規程

令和5年2月21日

訓令甲第1号

庁中一般

出先機関

下仁田町セキュリティ対策に関する規程(平成15年下仁田町訓令第2号)の全部を改正する。

第1章 総則

(趣旨)

第1条 この訓令は、下仁田町情報セキュリティ対策に関する規則(平成15年下仁田町規則第20号。以下「規則」という。)に基づき、全ての情報資産共通の情報セキュリティ対策基準に関し、必要な事項を定めるものとする。

(定義)

第2条 この訓令で使用する用語は、規則において使用する用語の例による。

2 この訓令において、次に掲げる用語の意義は、それぞれ当該各号の定めるところによる。

(1) 電子データ 電磁気的に記録された情報のことをいう。

(2) 接続 ネットワーク同士又はネットワークと電子計算機等を物理的にケーブルなどでつなぐ行為又はその設定を行うことをいう。

(3) 侵入 電子計算機室等、物理的に立ち入ってはいけない場所に立ち入ること、また権限外のシステム及びデータにアクセスすることをいう。

(4) 通信 離れた電子計算機同士で電子データ等の情報のやり取りを行うことをいう。

(5) ID 特定の情報システムにアクセスする際に個人を特定するために使用される文字列の情報などのことをいう。通常、パスワードとともに使用される。

(6) IDカード 特定の情報システムにアクセスする際に個人を特定するために使用される磁気カードなどのことをいう。

(7) バックアップ プログラムやデータが壊れたり紛失する場合に備えて、同じファイルを作成したり、予備のディスク装置や磁気テープ記録装置にプログラムやデータを複写しておくことをいう。

(8) メール コンピューターネットワークに接続できる環境を持っている人あてに、メッセージを記録したデータを配信するシステムをいう。

(9) 攻撃 ファイルの改ざんや破壊等を目的とする、悪意のあるプログラムを仕掛ける技術的手法のことをいう。

(管理体制)

第3条 情報セキュリティの管理については、次の体制とする。

(1) 最高情報統括責任者(CIO:Chief Information Officer)

 下仁田町(以下「町」という。)副町長を、最高情報統括責任者とし、副町長が不在の時は、情報ネットワークの開発や運用等を主管する部門の長にその任を充てる。

 最高情報統括責任者は、町における情報通信技術の活用による住民の利便性の向上及び行政運営改善等に関する最終決定権限及び責任を有する。

 最高情報統括責任者を補佐するもの(「CIO補佐官」という。)として、情報ネットワークの開発、運用等を主管する課長を充てる。

 最高情報統括責任者に事故がある時又は欠けた時は、情報ネットワークの開発や運用等を主管する部門の長がその職務を代理する。

(2) 最高情報セキュリティ責任者(CISO:Chief Information Security Officer)

 町副町長の職にある者を最高情報セキュリティ責任者とし、副町長が不在の時は、情報ネットワークの開発や運用等を主管する部門の長にその任を充てる。

 最高情報セキュリティ責任者は、町における全てのネットワーク、情報システム等の情報資産及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

 最高情報セキュリティ責任者は、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定めるものとする。

 最高情報セキュリティ責任者は、情報セキュリティインシデントに対処するための体制(CSIRT:Computer Security Incident Response Team、以下「CSIRT」という。)を整備し、役割を明確化する。

 最高情報セキュリティ責任者は、最高情報セキュリティ責任者を助けて町における情報セキュリティに関する事務を整理し、最高情報セキュリティ責任者の命を受けて町の情報セキュリティに関する事務を統括する最高情報セキュリティ副責任者(以下「副CISO」という。)1人を必要に応じて置く。

 最高情報セキュリティ責任者は、本規程に定められた自らの担務を、副CISOその他の本規程に定める責任者に担わせることができる。

 最高情報セキュリティ責任者は、最高情報統括責任者を兼務することとする。

(3) 統括情報セキュリティ責任者

 情報ネットワークの開発、運用等を主管する課長を、最高情報セキュリティ責任者直属の統括情報セキュリティ責任者とし、統括情報セキュリティ責任者は最高情報セキュリティ責任者及び副CISOを補佐しなければならない。

 統括情報セキュリティ責任者は、町の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

 統括情報セキュリティ責任者は、町の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。

 統括情報セキュリティ責任者、町の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、最高情報セキュリティ責任者の指示に従い、最高情報セキュリティ責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。

 統括情報セキュリティ責任者は、町の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持並びに管理を行う権限及び責任を有する。

 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高情報セキュリティ責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

 統括情報セキュリティ責任者は、緊急時には最高情報セキュリティ責任者に早急に報告を行うとともに、回復のための対策を講じなければならない。

 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じて最高情報セキュリティ責任者にその内容を報告しなければならない。

(4) 情報セキュリティ責任者

 各情報システムの開発、運用等を主管する課長等を情報セキュリティ責任者とする。

 情報セキュリティ責任者は、当該課等の情報セキュリティ対策に関する統括的な権限及び責任を有する。

 情報セキュリティ責任者は、その所管する課等において主有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。

 情報セキュリティ責任者は、その所管する課等において所有している情報システムについて、緊急時等における連絡体制の整備、下仁田町情報セキュリティポリシー(以下、「セキュリティポリシー」という。)の遵守に関する意見の集約及び職員、非常勤職員及び臨時職員等(以下「職員」という。)に対する教育、訓練、助言及び指示を行う。

(5) 情報セキュリティ管理者

 町及び町の行政委員会等の職員で課長及び出先機関の長を、情報セキュリティ管理者とする。

 情報セキュリティ管理者は、その所管する課等の情報セキュリティ対策に関する権限及び責任を有する。

 情報セキュリティ管理者は、その所管する課等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、セキュリティ責任者、統括情報セキュリティ責任者及び最高情報セキュリティ責任者へ速やかに報告を行い、指示を仰がなければならない。

(6) 情報システム管理者

 各情報システムの開発、運用等を主管する課長等を、当該情報システムに関する情報システム管理者とする。

 情報システム管理者は、所管する情報システムにおける啓発、設定の変更、運用、見直し等を行う権限及び責任を有する。

 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。

 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

(7) 情報システム担当者

 情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、情報システム担当者とする。

(8) 情報セキュリティ委員会

 町の情報セキュリティ対策を統一的に行うため、情報セキュリティ委員会において、セキュリティポリシー等、情報セキュリティに関する重要な事項を決定する。

 情報セキュリティ委員会は、町及び町の行政委員会等の職員で課長及び出先機関の長等をもって組織する。

 情報セキュリティ委員会は、定期的又は必要に応じて、町における情報セキュリティ対策の改善計画を策定し、その実施状況を確認しなければならない。

(9) 情報管理研究会

 情報セキュリティ対策の向上を図るため、情報管理研究会(以下「研究会」という。)を設置する。

 研究会は、統括情報セキュリティ責任者及び情報システムに精通した職員若干名で組織する。

 会長に統括情報セキュリティ責任者を充て、職員若干名は、統括情報セキュリティ責任者が任命する。

 研究会の運営に関し必要な事項は、別に定める。

(10) 行政情報化推進委員会

 町における情報セキュリティ対策を統一的な視点で行うため、行政情報化推進委員会において、規則、規程、実施手順等の策定その他、情報セキュリティに関する重要な事項を審議する。

(11) 情報セキュリティ監査委員

 情報セキュリティ監査委員は、情報セキュリティの適正な運用及び管理が行われていることを定期的に監査する。

 情報セキュリティ監査委員は、統括情報セキュリティ責任者、情報セキュリティ責任者とは別に組織し、統括情報セキュリティ責任者、情報セキュリティ責任者が行う運用及び管理を監査するものとする。

(情報資産の分類)

第4条 対象となる全ての情報資産は、次の重要性分類に従って分類する。

(1) 重要性分類Ⅰ

 個人情報保護に関する条例(平成12年下仁田町条例第60号)第2条第1号に規定する個人情報のうち、非公開を前提とするもの

 法令又は条例(以下「法令等」という。)の定めにより守秘義務を課されている行政情報(ただし、前号の個人情報を除く。)

 法人その他の団体に関する行政情報で漏らすことにより当該団体の利益を害するおそれのあるもの

 漏らした場合、行政に対する信頼を著しく害するおそれのある行政情報

 滅失し、又は損傷した場合、その復元が著しく困難となり、行政の円滑な執行を妨げるおそれのある行政情報

 情報システムに係るパスワード及びシステム設定情報

(2) 重要性分類Ⅱ

脅威にさらされた場合に実害を受ける危険性は低いが、行政事務の執行において重要性は高いと評価される行政情報(公開されると行政の円滑な執行に著しい障害を生じるおそれのある行政情報等)

(3) 重要性分類Ⅲ

上記以外の行政情報

第2章 行政情報

(行政情報の取扱い)

第5条 行政情報の取扱いについては、次の各号により行わなければならない。

(1) 行政情報の重要性分類に従い、電子データはパスワード等によるアクセス制限及び暗号等による通信内容の秘匿を、可視的に記録されたもの(以下「プリント」という。)は、鍵のかかる書庫又はキャビネットに保管する等、情報漏えいの防止対策を行わなければならない。

(2) 重要性分類Ⅰの行政情報の送付、送信及び不用意な複製を行ってはならない。

(3) 職員は、業務上必要な場合には、所管する課等の情報セキュリティ責任者の許可を得たうえで行政情報の複製、送付、送信を行わなければならない。

(行政情報の管理)

第6条 行政情報の管理については、次の各号により行わなければならない。

(1) 重要性分類Ⅰ及びⅡの行政情報を記録した取り外し可能なメディア(以下「メディア」という。)及びプリントしたものは、外部からの脅威にさらされないよう施錠ができる等、特に安全な場所に保管しなければならない。また、保管状況等を記録しなければならない。

(2) 重要性分類Ⅰ及びⅡの行政情報を記録したメディア及びプリントを送付、送信及び複製する場合は、職員又は守秘義務を明記した契約を締結した外部業者に行わせるとともに、メディアの物理的な保護措置を講じなければならない。

(行政情報の処分)

第7条 行政情報の処分については、次の各号により行わなければならない。

(1) 行政情報が記録されたメディアが磨耗等により不要となった場合は、当該メディアに記録されている重要性分類Ⅰ及びⅡの行政情報をいかなる方法によっても復元できないように消去等を行った上で破棄しなければならない。

(2) 行政情報のプリントが不要になった場合は、シュレッダーにかける等、適切な方法で破棄しなければならない。

(3) 重要性分類Ⅰ及びⅡの行政情報を記録したメディア及びプリントの廃棄は、情報セキュリティ責任者の許可を得ることとし、破棄を行った日時、担当者及び処理内容を記録しなければならない。

第3章 人的セキュリティ

(職員の遵守事項)

第8条 職員は、次の各号を遵守しなければならない。

(1) 業務上知り得た行政情報を他に漏らしてはならない。

(2) 所管する情報セキュリティ責任者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行わなければならない。

(3) 情報セキュリティ実施手順に定めている事項を遵守しなければならない。

(4) 情報セキュリティ実施手順について不明な点、遵守することが困難な点がある場合には、速やかに情報セキュリティ責任者に相談し、指示を仰がなければならない。

(5) 情報セキュリティ責任者の許可を得ずに、情報システムの機器、メディア等を執務室外に持ち出してはならない。

(6) 重要性分類Ⅰ及びⅡの行政情報を参照する場合は、他へ漏らさないよう特に注意しなければならない。

(職員の教育及び訓練)

第9条 職員の教育及び訓練については、次の各号により行わなければならない。

(1) 統括情報セキュリティ責任者は、職員に対しセキュリティポリシーについて啓発に努めるとともに、職員を対象としたセキュリティポリシーに関する研修を設けなければならない。

(2) 情報セキュリティ責任者は、情報セキュリティ責任者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受けなければならない。

(3) 情報システムを所管する課等の情報セキュリティ責任者は、情報システムの運用に支障をきたさない範囲において緊急時対応を想定した訓練等を職員に行わせなければならない。

(4) 職員は、セキュリティポリシーに関する研修を受講し、セキュリティポリシー及び情報セキュリティ実施手順を理解し、情報セキュリティ上の問題が生じないように努めなければならない。

(5) 情報システム管理者及び情報システム担当者は、担当者として必要な技術力を習得・維持するための研修を受けなければならない。

(外部委託)

第10条 情報システムの開発・保守・運用管理等を外部事業者に委託する場合は、セキュリティポリシーのうち外部委託事業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し、その遵守を管理しなければならない。

(IDカード及びパスワード)

第11条 職員は、自己の保有するIDカード・パスワード又はその両方について、秘密保持に努め、適切に管理しなければならない。

第4章 物理的セキュリティ

(電子計算機室等への入退室管理)

第12条 情報セキュリティ責任者は、重要性分類Ⅰ及びⅡの行政情報の記録されている媒体保管場所及びそれを取り扱う情報機器の設置場所への入退室の管理について必要な措置を講じなければならない。

(施設の管理)

第13条 職員は執務室に職員が不在となる場合には、施錠する等部外者の侵入を防ぐ措置を講じなければならない。

(機器等の搬入及び搬出)

第14条 電子計算機室等へ機器等を搬入・搬出する場合は、あらかじめ当該機器等の既存情報システムに対する安全性について、職員による確認を行うとともに、職員が立ち会う等の必要な措置を講じなければならない。

(電源対策)

第15条 停電及び電圧異常等によりデータ等が破壊され、業務処理に支障をきたすおそれのある情報システムの機器の電源は、当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。

(配線)

第16条 配線は、傍受又は損傷等を受けることがないよう可能な限りの措置を施さなければならない。また、主要な箇所の配線は、損傷等についての定期的な点検を行わなければならない。

(情報システムの移設)

第17条 火災等の災害により業務処理に壊滅的支障をきたす情報システムについては、順次防災措置が施されている施設に移設する等の措置を講じなければならない。

第5章 技術的セキュリティ

(作業記録の管理)

第18条 情報セキュリティ責任者は、所管する情報システムにおいて行ったシステムの変更作業を記録し、適切に管理しなければならない。

(仕様書の管理)

第19条 情報セキュリティ責任者は、所管する情報システム仕様書を最新の状態に更新し、業務上必要とする者のみが閲覧できる場所に保管しなければならない。また、システムの仕様変更等の処理を行った場合は、その記録を作成しなければならない。

(アクセス記録の取得)

第20条 アクセス記録の取得については、次の各号により行わなければならない。

(1) 情報セキュリティ責任者は、所管する情報システムのアクセス記録及び障害に関する記録を取得し、一定の期間保存しなければならない。

(2) 情報セキュリティ責任者は、所管する情報システムのアクセス記録が、窃取、改ざん又は消去されないよう必要な措置を講じなければならない。

(3) 情報セキュリティ責任者は、可能な範囲で、所管する情報システムのアクセス記録を分析しなければならない。

(障害記録の保存)

第21条 情報セキュリティ責任者は、可能な範囲で、所管する情報システムの障害記録を作成し、一定の期間保存しなければならない。

(バックアップと保管)

第22条 情報セキュリティ責任者は、所管する情報システムの重要性分類Ⅰ及びⅡの行政情報については、外部媒体へのバックアップを行い、施錠等のできる安全な場所へ保管しなければならない。

(ソフトウェア等の交換)

第23条 職員間で、情報システムに関するソフトウェア等を交換する場合は、所管する課等の情報セキュリティ責任者の承認を得るとともに、著作権及び著作隣接権に配慮しなければならない。

(ソフトウェアの導入)

第24条 ソフトウェアの導入については、次の各号により行わなければならない。

(1) 情報セキュリティ責任者は、所管する情報システムのソフトウェアライセンスを適切に管理しなければならない。

(2) 職員は、新たにソフトウェアを導入する場合は、情報システムを所管する課等の情報セキュリティ責任者の承認を得なければならない。

(3) 職員は、正規のライセンスのないソフトウェアや安全性が確認されないソフトウェア等を導入してはならない。

(4) 職員は、個々の情報システムに導入されているソフトウェアを適切に運用しなければならない。

(メールの送受信等)

第25条 メールの送受信等については、次の各号により行わなければならない。

(1) 職員は、業務上不必要な者へのメール及び業務上不必要な内容のメールを送信してはならない。

(2) 職員は、重要性分類Ⅱの行政情報に該当する添付ファイルのあるメールを送信する必要がある場合には、事前に所管する課等の情報セキュリティ責任者の承認を受けなければならない。

(3) 職員は、差出人が不明な又は不自然なファイルが添付されたメールを受信した場合は、直ちに破棄しなければならない。

(暗号化)

第26条 暗号化については、次の各号により行わなければならない。

(1) 行政情報の分類に応じ、また、通信されるネットワークの安全性に応じて、電子データは適切に暗号化されなければならない。

(2) 暗号化については、統括情報セキュリティ責任者が定める方法を用いなければならない。

(3) 暗号のための鍵は、重要性分類Ⅰの行政情報として厳重に管理しなければならない。

(職員以外の者の利用)

第27条 統括情報セキュリティ責任者は、職員以外の者が利用できる情報システムについては、情報セキュリティ対策について特に強固な対策をとらなければならない。

(入出力データの処理)

第28条 情報セキュリティ責任者は、所管する情報システムに入力されるデータ及び情報システムから出力されるデータの処理が正しく行われていることを確認しなければならない。

(業務目的以外の使用禁止)

第29条 職員は、業務目的以外での情報システムへのアクセスを行ってはならない。

(利用者の登録等)

第30条 利用者の登録等は、所管する情報システムの利用者の登録、変更、抹消等について、各情報システムごとに定められた方法に従って行わなければならない。その方法は、情報セキュリティ責任者への申請により行わなければならない。

(ネットワークサービスのアクセス制限)

第31条 統括情報セキュリティ責任者は、不必要なネットワークサービスにアクセスできないような措置を講じなければならない。

(外部からのアクセスの許可)

第32条 外部からのアクセスの許可は、必要最低限にしなければならない。

(外部ネットワークとの接続)

第33条 外部ネットワークとの接続については、次の各号により行わなければならない。

(1) 外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、町の情報資産に影響が生じないことを明確に確認したうえで、統括情報セキュリティ責任者の許可に基づき行わなければならない。

(2) 情報セキュリティ責任者は、外部ネットワークとの接続を行うことで内部ネットワーク及び、各情報システムの安全性が脅かされることのないよう情報セキュリティ対策に努めなければならない。

(3) 接続した外部ネットワークの情報セキュリティ及び内部ネットワークの情報セキュリティに問題が認められた場合には、所管する課等の情報セキュリティ責任者は、速やかに当該外部ネットワーク及び内部ネットワークを物理的に遮断しなければならない。

(パスワード等の管理)

第34条 統括情報セキュリティ責任者及び情報セキュリティ責任者並びに複数の課等にまたがるネットワークを所管する課等の情報セキュリティ責任者は、各情報システムに係るID、パスワードを厳重に管理しなければならない。

(情報システムの開発及び導入)

第35条 情報システムの開発及び導入については、次の各号により行わなければならない。

(1) 情報セキュリティ責任者は、所管する情報システムのソフトウェアを開発・導入する場合は、情報セキュリティ上問題にならないかどうか、確認しなければならない。

(2) 情報セキュリティ責任者は、所管する情報システムのソフトウェアを開発する場合は、ソフトウェアの仕様書、ネットワーク構成図等を整備しなければならない。

(3) 情報セキュリティ責任者は、開発したソフトウェアを所管する情報システムに取り入れる場合は、既に稼動している情報システムに接続又は既存のネットワーク上で運用する場合は、十分な試験を行わなければならない。

(設定・構成等の履歴の記録・保存)

第36条 情報セキュリティ責任者は、所管する情報システムを追加、変更、廃棄等した場合は、その際の設定・構成等の履歴を記録・保存し、必要な場合には復旧できるようにしなければならない。

(ソフトウェアの保守及び更新)

第37条 ソフトウェアの保守及び更新については、次の各号により行わなければならない。

(1) 情報セキュリティ責任者は、情報セキュリティに重大な影響を及ぼすソフトウェアについては、適切な保守が行われるようにし、その不具合については、速やかに修正等の対応を行わなければならない。

(2) 情報セキュリティ責任者は、所管する情報システムのソフトウェアの更新等については、計画的に実施しなければならない。

(機器の修理及び廃棄)

第38条 機器の修理及び廃棄について、メディアの含まれる機器を外部の業者に修理させる場合又は貸借期限終了等により廃棄する場合は、可能な範囲でバックアップを取り、メディア内の全ての行政情報を消去しなければならない。ただし、行政情報を消去することが難しい場合は、修理を委託する業者と守秘義務を明記した契約を締結しなければならない。

(機器構成の変更)

第39条 機器構成の変更については、次の各号により行わなければならない。

(1) 職員は、情報システムの機器について業務を遂行するため機器の改造、増設又は交換を行う必要がある場合には、情報システムを所管する課等の情報セキュリティ責任者の許可を得なければならない。

(2) 職員は、モデム等の機器を増設して、他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には、統括情報セキュリティ責任者の許可を得なければならない。統括情報セキュリティ責任者は、許可に当たって情報システム及び他の情報システムに情報セキュリティ上の問題が生じないことを確認しなければならない。

(情報セキュリティ管理者のコンピュータウイルス対策)

第40条 情報セキュリティ責任者は、所管する情報システムに対して、コンピュータウイルス対策として次の事項を実施しなければならない。

(1) 情報システムのサーバ及び必要な機器にコンピュータウイルス対策ソフトウェアを導入すること。

(2) コンピュータウイルスチェック用のパターンファイルは常に最新のものに保つこと。

(統括情報セキュリティ責任者のコンピュータウイルス対策)

第41条 統括情報セキュリティ責任者は、コンピュータウイルス対策として次の事項を実施しなければならない。

(1) 定期的に新種のコンピュータウイルスに関する情報収集や情報システム内部の感染状況等について情報収集をすること。

(2) コンピュータウイルス情報について、職員に対する注意喚起を行うこと。

(3) コンピュータウイルスについて、職員に対して必要な啓発活動を行うこと。

(職員のコンピュータウイルス対策)

第42条 職員は、コンピュータウイルス対策として次の事項を遵守しなければならない。

(1) 外部からデータ又はソフトウェアを取り入れる必要のあるサーバなどの電子計算機は、常にコンピュータウイルスのチェックを実行していること。

(2) 外部からデータ又はソフトウェアをメディアを介して取り入れる場合及び外部に持ち出す場合には、必ずコンピュータウイルスチェックを行うこと。

(3) 添付ファイルのある外部からメールを受信する場合は、コンピュータウイルスチェックを行うこと。

(4) 統括情報セキュリティ責任者が提供するコンピュータウイルス情報を常に確認すること。

(不正アクセス対策)

第43条 不正アクセス対策について、次の各号により行わなければならない。

(1) 統括情報セキュリティ責任者は、セキュリティホール等の情報収集に努めなければならない。

(2) 情報セキュリティ責任者は、コンピュータウイルス対策ソフトウェア製造業者等から修正プログラムの提供があり次第、速やかに対応するとともに、その修正履歴を記録・保存しなければならない。

(3) 情報セキュリティ責任者は、所管する情報システムに不正な侵入や利用が起こらないように対策をとらなければならない。

(4) 情報セキュリティ責任者は、所管する情報システムに不正な侵入や利用があった場合に探知等できるよう、適切な対策に努めなければならない。

(5) 情報セキュリティ責任者は、所管する情報システムが攻撃を受けていることが明らかな場合には、システムの停止を含め必要な措置を講じなければならない。

(6) 情報セキュリティ責任者は、職員により町ネットワーク及び外部ネットワークに対して不正アクセスがあった場合は、統括情報セキュリティ責任者に報告するとともに、当該職員が属する課等の長に通知し、適切な処置を求めなければならない。

(7) 外部ネットワークより不正アクセスがあった場合は、所管する課等の情報セキュリティ責任者に報告し、適切な措置を講じなければならない。

(セキュリティ情報の収集)

第44条 セキュリティ情報の収集については、次の各号により行わなければならない。

(1) 情報セキュリティ責任者は、所管する情報システムの重要なシステム設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。

(2) 統括情報セキュリティ責任者は、国及び関係団体、民間事業者等から情報セキュリティに関する情報について、適宜収集しなければならない。

第6章 運用

(情報システムの監視)

第45条 情報セキュリティ責任者は、所管する情報システムの運用に当たっては、常に情報システムを監視するとともに障害に対して注意を払わなければならない。

(障害に対する準備)

第46条 情報セキュリティ責任者は、所管する情報システムが被る可能性のある障害に対して、対策手順を作成するなど障害の影響を最小限にとどめる適切な準備をしなければならない。

(障害発生時の対応)

第47条 障害が発生した場合には、次の各号により統括情報セキュリティ責任者及び情報セキュリティ責任者は速やかに対応するとともに再発防止の措置を講じなければならない。

(1) 情報セキュリティ責任者は、故意の不正アクセス、不正操作及びコンピュータウイルスにより情報システムに障害を及ぼすことが明らかになった場合には、情報システムの停止を含む必要な措置を講じなければならない。

(2) 情報セキュリティ責任者は、情報システムに障害を受け、その障害の原因となる行為が不正アクセス禁止法(平成11年法律第128号)違反等の可能性がある場合には、行為の記録の保存に努めなければならない。

(3) 情報セキュリティ責任者は、所管する情報システムに障害が発生した場合、障害の発生を速やかに統括情報セキュリティ責任者へ報告するとともに次の項目について調査をしなければならない。ただし、障害の程度が軽微なものについては報告を要しないものとする。

 障害の内容

 障害が発生した原因

 確認した被害、影響範囲

(4) 情報セキュリティ責任者は、統括情報セキュリティ責任者の指示の下に速やかに障害を復旧し、その措置について統括情報セキュリティ責任者に報告しなければならない。

(5) 障害が外部に重大な影響を及ぼすおそれがある場合には、統括情報セキュリティ責任者は速やかに対応を検討し、影響を最小限にとどめる努力をしなければならない。

(6) 統括情報セキュリティ責任者は、必要な再発防止の措置を講じなければならない。

(情報セキュリティの運用)

第48条 継続的に情報セキュリティを確保するために、次の各項によりセキュリティポリシー及び情報セキュリティの管理方法等を適切に運用し、定期的に監査を実施する。

(1) リスク分析 情報資産に対するリスク調査及び分析を、統括情報セキュリティ責任者の指示により、定期的に実施する。

(2) ポリシー策定 監査結果に基づき、統括情報セキュリティ責任者は、セキュリティポリシーの評価及び見直しを下仁田町行政情報化推進委員会において実施する。情報セキュリティ実施手順に関しては、情報システムを所管する課等の情報セキュリティ責任者が策定し、運用しなければならない。

(3) 対策の実施 セキュリティポリシーに記述した対策は、計画的に実施しなければならない。統括情報セキュリティ責任者は、情報セキュリティ対策実施計画を策定し、実施する。また、情報資産への脅威となる事象が発生した場合には、統括情報セキュリティ責任者は速やかに対策を検討し、実施する。

(4) 監査 情報セキュリティ監査委員は、統括情報セキュリティ責任者及び情報セキュリティ責任者により実施されるリスク分析、ポリシー策定及び各情報セキュリティ対策を検討し、「セキュリティポリシー」の修正及び新たな情報セキュリティ対策を指示しなければならない。

第7章 雑則

(関係法令等の遵守)

第49条 職員は、使用する情報資産について、次の法令等を遵守するとともに、マナーと倫理をもって情報システムを利用しなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(2) 著作権法(昭和45年法律第48号)

(3) 行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律(昭和63年法律第95号)

(4) 下仁田町情報公開及び個人情報保護に関する条例(平成12年下仁田町条例第60号)

(委任)

第50条 この訓令に定めるもののほか必要な事項は、別に定める。

この告示は、公布の日から施行し、令和4年10月1日から適用する。

下仁田町セキュリティ対策に関する規程

令和5年2月21日 訓令甲第1号

(令和5年2月21日施行)

体系情報
第3類 行政通則/第1章 組織・処務
沿革情報
令和5年2月21日 訓令甲第1号