○美作市情報セキュリティ管理規程
平成29年3月13日
訓令第2号
(目的)
第1条 この訓令は、市が保有する情報資産の取扱いに関し措置すべき事項を定めることにより、当該情報資産の機密性、完全性及び可用性の維持の確保を図ること及び当該情報資産の適正な運用による行政の信頼性の確保を図ることを目的とする。
(1) 部等 美作市組織及び任務に関する条例(平成26年美作市条例第21号)第3条に掲げる部並びに出納部局、教育委員会事務局、議会事務局、農業委員会事務局、監査事務局、選挙管理委員会事務局、消防本部及び総合支所をいう。
(2) 課等 美作市組織に関する規則(平成17年美作市規則第2号)第2条に掲げる課・室及び同規則第12条の規定により設置する会計課、美作市教育委員会事務処理規則(平成17年美作市教育委員会規則第3号)第3条で設置する課及び分室、美作市消防本部の組織に関する規則(平成17年美作市規則第177号)第2条に掲げる課、美作市立中学校、小学校及び幼稚園に関する条例(平成17年美作市条例第68号)第1条に掲げる中学校、美作市立幼保連携型認定こども園条例(平成29年美作市条例第21号)第1条に掲げる認定こども園、小学校及び幼稚園、美作市保育所条例(平成17年美作市条例第115条)第2条で掲げる保育所並びに消防署をいう。
(3) ネットワーク コンピューター等を相互に接続するための通信網、その他構成機器(ハードウェア及びソフトウェア)をいう。
(4) 情報システム コンピューター、ネットワーク及び電磁的記録媒体で構成された情報処理を行う仕組みをいう。
(5) 文書 美作市文書管理規程(平成17年美作市訓令第7号)第3条第1項第1号に規定する文書をいう。
(6) システム関連文書 情報システムの開発又は運用に用いる文書をいう。
(7) 記録媒体 電磁的記録を記録した磁気ディスク、磁気テープその他の媒体をいう。
(8) 個人情報 個人情報の保護に関する法律(平成15年法律第57号)第2条第1項に規定する個人情報をいう。
(9) 特定個人情報 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第8項に規定する特定個人情報をいう。
(10) 情報資産 文書、情報システム、システム関連文書及び記録媒体並びに個人情報及び特定個人情報を含む文書をいう。
(11) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(12) 情報セキュリティポリシー 本訓令及び情報セキュリティ対策基準をいう。
(13) 機密性 情報にアクセスすることを認められた者だけが情報にアクセスできる状態を確保することをいう。
(14) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(15) 可用性 情報にアクセスすることを認められた者が必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(対象とする脅威)
第3条 情報セキュリティ対策の実施に当たっては、情報資産に対する脅威として次に掲げる脅威を想定して行う。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃又は部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の搾取若しくは内部不正等
(2) 情報資産の無断持出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(適用範囲)
第4条 この訓令は、市が保有し、又は外部委託する情報資産を使用する職員(地方公務員法(昭和25年法律第261号)第3条に規定する一般職及び特別職の職員をいう。以下同じ。)に適用する。
(職員の責務)
第5条 職員は、情報セキュリティの重要性について共通の認識を持ち、情報資産を適切に取り扱わなければならない。
2 職員は、情報資産の取扱いに当たっては、情報セキュリティポリシー、情報セキュリティ実施手順及び次に掲げる法令を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2) 著作権法(昭和45年法律第48号)
(3) 個人情報の保護に関する法律(平成15年法律第57号)
(4) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(最高情報セキュリティ責任者等の設置)
第6条 この訓令の目的を達成するため、最高情報セキュリティ責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者を置く。
(1) 最高情報セキュリティ責任者 副市長
(2) 統括情報セキュリティ責任者 企画振興部長
(3) 情報セキュリティ責任者 各部等の長(会計課にあっては会計管理者)
(4) 情報セキュリティ管理者 各課等の長(会計課にあっては会計課長)
(5) 情報セキュリティ担当者 情報セキュリティ管理者が所属する課等の職員のうちから指名する者
(6) 情報システム管理者 各情報システムを所管する課等の長
(7) 情報システム担当者 情報システム管理者が所属する課等の職員のうちから指名する者
(最高情報セキュリティ責任者の責務)
第7条 市における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
(統括情報セキュリティ責任者の責務)
第8条 統括情報セキュリティ責任者は、最高情報セキュリティ責任者を補佐しなければならない。
2 統括情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
3 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
4 統括情報セキュリティ責任者は、市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、最高情報セキュリティ責任者の指示に従い、最高情報セキュリティ責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。
5 統括情報セキュリティ責任者は、市の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。
6 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、最高情報セキュリティ責任者、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。
7 統括情報セキュリティ責任者は、緊急時には最高情報セキュリティ責任者に早急に報告を行うとともに、回復のための対策を講じなければならない。
(情報セキュリティ責任者の責務)
第9条 情報セキュリティ責任者は、当該部等の情報セキュリティ対策に関する統括的な権限及び責任を有する。
2 情報セキュリティ責任者は、その所管する部等において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。
3 情報セキュリティ責任者は、その所管する部等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
(情報セキュリティ管理者の責務)
第10条 情報セキュリティ管理者は、その所管する課等の情報セキュリティ対策に関する権限及び責任を有する。
2 情報セキュリティ管理者は、その所掌する課等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、情報セキュリティ責任者、統括情報セキュリティ責任者及び最高情報セキュリティ責任者へ速やかに報告を行い、指示を仰がなければならない。
(情報セキュリティ担当者の責務)
第11条 情報セキュリティ担当者は、所属する課等における情報セキュリティ対策に関する事務について、当該課等の情報セキュリティ管理者を補佐する。
(情報システム管理者の責務)
第12条 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
2 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
3 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。
(情報システム担当者の責務)
第13条 情報システム担当者は、情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う。
(1) 情報資産の分類と管理 市が保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を行う。
(2) 物理的セキュリティ サーバー、情報システム室、通信回線、職員のパソコンの管理等について、物理的な対策を講じる。
(3) 人的セキュリティ 情報セキュリティに関し、職員が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(4) 技術的セキュリティ コンピューター等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(5) 運用 情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとし、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応するため、緊急時対応計画を策定する。
(情報セキュリティ監査及び自己点検の実施)
第15条 最高情報セキュリティ責任者は、情報セキュリティ対策の遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
(情報セキュリティポリシーの見直し)
第16条 最高情報セキュリティ責任者は、情報セキュリティ監査及び自己点検の結果、情報セキュリティ対策の見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直さなければならない。
(情報セキュリティ対策基準の策定)
第17条 最高情報セキュリティ責任者は、前3条に規定する対策等を実施するために、具体的な遵守事項、判断基準等を定める情報セキュリティ対策基準を策定しなければならない。
(情報セキュリティ実施手順の策定)
第18条 情報システム管理者は、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定しなければならない。
(情報セキュリティ対策基準及び実施手順の非公開)
第19条 情報セキュリティ対策基準及び実施手順は、非公開とする。
(個別システムの情報セキュリティ)
第20条 市長は、この訓令のほか、必要に応じて、個別システムの情報セキュリティに関し、必要な事項を別に定めることができる。
(庶務)
第21条 この訓令に関する庶務は、企画振興部企画情報課において処理する。
(その他)
第22条 この訓令で定めるもののほか、必要な事項は、別に定める。
附則
この訓令は、平成29年4月1日から施行する。
附則(平成29年9月28日訓令第9号)
この訓令は、平成30年4月1日から施行する。
附則(令和5年3月27日訓令第4号)
この訓令は、令和5年4月1日から施行する。