○吉野ヶ里町住民基本台帳ネットワークシステム保護管理運営規程
平成23年11月7日
訓令第22号
(目的)
第1条 この規程は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)及び法に基づく命令(告示を含む。)並びに個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)及び吉野ヶ里町個人情報保護法施行条例(令和5年吉野ヶ里町条例第1号)に定めるもののほか、住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するために必要な事項を定め、もって当該住基ネットの適正な保護及び管理運営を図ることを目的とする。
(定義)
第2条 この規程における用語の意義は、当該各号に定めるところによる。
(1) データ データ処理に係る入出力帳票及び記録媒体に記録されている情報をいう。
(2) データ処理 電子計算機及び端末装置を使用し、与えられた処理手順に従って事務を自動的に行う処理をいう。
(3) 電子計算機 ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器並びに記録媒体をいう。
(4) 端末装置 基幹系システム専用端末装置、パーソナルコンピュータその他ネットワークを利用して電子計算機を使用するための装置をいう。
(5) サーバ 電気通信回線を通じて端末装置又は他の電子情報処理装置からの要求に基づき処理をする電子情報処理装置をいう。
(6) 電子計算機室 電子計算機及び電気通信関係装置を設置する室をいう。
(7) 記録媒体 情報を記録する磁気ディスク及び磁気テープその他これらに類するものをいう。
(8) 個人情報 個人情報保護法第2条第1項に規定する個人情報をいう。
(9) 本人確認情報 法第30条の6第1項に規定する本人確認情報をいう。
(10) ドキュメント システム設計書、プログラム仕様書、操作手順書及びコード一覧表その他データ処理に必要な仕様書類をいう。
(11) ネットワーク 電子計算機を相互に接続するための通信網及びその構成機器で構成され、データ処理を行う仕組みをいう。
(12) ファイアウォール ネットワークにおいて不正侵入を防御する電子情報処理装置をいう。
(13) 住基ネット 電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)に規定する住基ネットをいう。
(14) 個人番号カード 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第7項に規定する個人番号カードをいう。
(15) 不正行為 住基ネットの目的外利用、管理運営を阻害する行為等をいう。
(16) 職員 地方公務員法(昭和25年法律第261号)第3条第2項に規定する一般職の職員及び同条第3項第3号に規定する嘱託員をいう。
(17) 照合ID 住基ネットの構成機器を操作する者(以下「操作者」という。)を識別するための符号をいう。
(18) 照合情報認証 静脈等の生体情報に不可逆演算を施して登録された情報(以下「照合情報」という。)及び認証時に読み取られる情報を照合することにより、操作者が正当なアクセス権限を有していることを認証する方法をいう。
(19) 操作者ID 操作者の権限を識別するための符号をいう。
(職員の責務)
第3条 職員は、住基ネットの管理運営に当たっては、次の各号に掲げる事項を遵守しなければならない。
(1) 住基ネットにおいて、法令に定めがない限り、本人確認情報以外の個人情報を扱ってはならない。
(2) 住基ネットに係る業務に従事する者は、本人確認情報の漏えい、改ざん、滅失及びき損の防止等に必要な措置を講じなければならない。
(セキュリティ統括者等)
第4条 住基ネットのセキュリティを確保するための対策(以下「セキュリティ対策」という。)を総合的に実施するため、セキュリティ統括者を置き、副町長をもって充てる。
2 セキュリティ統括者を補佐するため、セキュリティ副統括者2人を置き、総務課長及び住民課長をもって充てる。
3 セキュリティ統括者に事故があるとき、又はセキュリティ統括者が欠けたときは、総務課長及び住民課長の順序によりその職務を代理する。
(セキュリティ管理者)
第5条 住基ネットのセキュリティを確保するため、セキュリティ管理者を置き、総務課長をもって充てる。
(本人確認情報管理者)
第6条 本人確認情報のセキュリティを確保するため、本人確認情報管理者を置き、住民課長をもって充てる。
(セキュリティ責任者)
第7条 住基ネットを利用している担当課等において、セキュリティを確保するため、セキュリティ責任者を置き、担当課長等をもって充てる。
(セキュリティ統括者の指示等)
第8条 セキュリティ統括者は、次の各号に掲げる事項に関し住基ネットに関係する職員に指示し、又は教育委員会その他の執行機関に必要な措置を要請するものとする。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 住基ネットのセキュリティ対策の遵守事項の確認
(3) 住基ネットのセキュリティ対策の評価の実施
(4) 住基ネットのセキュリティ対策の教育及び研修の実施
(電子計算機室の管理)
第9条 セキュリティ管理者は、住基ネットに係る電子計算機室の管理及び当該電子計算機室への入退室の管理に関して必要な措置を講じなければならない。
2 電子計算機室に入退室できる者は、セキュリティ管理者から事前に許可を得た者のみとする。
3 セキュリティ管理者は、電子計算機室入退室記録簿を作成し、電子計算機室を入退室する者に記録させるものとする。
(端末装置設置室等の管理)
第10条 セキュリティ責任者は、住基ネットに係る端末装置の設置及び入出力帳票の保管をしている室及び場所(以下「端末装置設置室等」という。)の管理並びに当該端末装置設置室等への入退室等(当該場所への立ち入りを含む。)の管理に関して必要な措置を講じなければならない。
(入退室等の管理に係る調査等)
第11条 セキュリティ統括者は、前2条に規定する入退室等の管理が適切に行われているかどうか、セキュリティ管理者及びセキュリティ責任者から報告を聴取し、必要に応じて調査し、指示するものとする。
(1) サーバ セキュリティ管理者
(2) ファイアウォール セキュリティ管理者
(3) 業務端末装置 セキュリティ責任者
2 前項各号に掲げる電子情報処理装置を操作することができる者(以下「操作者」という。)は、本人確認情報管理者から事前に許可を得なければならない。
3 操作者は、本人確認情報管理者が管理する照合識別符号、照合情報認証、暗証番号(照合情報認証を用いることができないときに限る。)及び操作者識別符号を用いることによって当該電子情報処理装置を操作しなければならない。
4 操作者は、次の各号に掲げる行為をしてはならない。
(1) 定められた機器以外の機器を住基ネットに接続すること。
(2) 許可なく住基ネットに係る端末装置に組み込まれているプログラム等を変更し、若しくは削除すること又は当該端末装置に新たにプログラム等を追加すること。
(3) その他住基ネットのセキュリティの確保に支障をきたすおそれのある行為をすること。
(操作履歴の記録等)
第13条 セキュリティ管理者は、不正操作を防止するため、操作履歴を記録し、及び7年前まで遡及して、解析できるよう保管するものとする。
(個人番号カード等の管理)
第14条 本人確認情報管理者は、個人番号カード及び本人確認情報の記録されたサーバに係る帳票の管理に関して必要な措置を講じなければならない。
(データ等の管理)
第15条 セキュリティ管理者、本人確認情報管理者及びセキュリティ責任者(以下「セキュリティ管理者等」という。)は、住基ネットに係るデータ、プログラム、ドキュメント等を定められた場所に保管し、取扱い及び管理に関して必要な措置を講じなければならない。
(緊急時の措置)
第16条 セキュリティ管理者等は、災害等により住基ネットを構成する電子情報処理が障害を受ける場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合は、直ちにその状況をセキュリティ統括者に報告しなければならない。
2 前項の報告を受けたセキュリティ統括者は、住基ネットの被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、住基ネット緊急時対応計画書に基づいて、必要な措置を講じなければならない。
(監査)
第17条 セキュリティ統括者は、住基ネットのセキュリティの確保について、必要に応じて監査を行い、改善措置を講ずるものとする。
(アクセス管理を行う機器)
第18条 住基ネットの端末について、アクセス管理を行う。
2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第19条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、住民課長をもって充てる。
(照合ID、照合情報及び操作者ID)
第20条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。
(1) 照合ID及び操作者IDの管理方法を定めること。
(2) 照合情報の登録及び消除について、管理方法を定めること。
(3) 住基ネットを利用する部署のセキュリティ責任者と協議して照合IDごとに業務に必要な操作者IDを付与すること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第21条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第22条 アクセス管理責任者は、操作履歴について、7年前まで遡って解析できるよう保管するものとする。
(オペレーティングシステムの管理)
第23条 アクセス管理責任者は、第18条のアクセス管理を実施するほか、住基ネットに係る端末のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
(委託を受けようとする者の管理体制等の調査)
第24条 セキュリティ管理者は、外部委託をしようとするときは、あらかじめ委託(2以上の段階にわたる委託を含む。)を受けようとする者における情報の保護に関する管理体制について調査するものとする。
(外部委託の承認)
第25条 セキュリティ管理者は、外部委託(2以上の段階にわたる委託を含む。)をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめセキュリティ委員会の審議を経て、セキュリティ統括者の承認を得なければならない。
(委託契約書への記載事項)
第26条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(受託者の管理状況の調査)
第27条 セキュリティ管理者は、必要に応じ、受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
(エリア入退の管理を行う場所)
第28条 次の住基ネットの運用が行われるエリアにおいて、入退室管理を行うものとする。
セキュリティ区分 | エリア |
レベル1 | 業務端末の設置エリア |
2 セキュティ区分に応じた入退室エリアの管理方法は、次のとおりとする。
セキュリティ区分 | 入退室エリアの管理方法 |
レベル1 | 入退室を行おうとする者は、入退室管理者から事前に許可を受けなければならない。 |
(入退室管理者)
第29条 入退室管理者は、住基ネット業務端末設置エリアにあっては、セキュリティ責任者をもって充てる。
(管理簿の作成)
第30条 入退室管理者は、入退室管理簿を作成し、これを保存するものとする。
(指示)
第31条 セキュリティ統括者は、適切な入退室管理が行われているかどうか、入退室管理者等から報告を聴取し、調査を行い、必要な指示を行うものとする。
(補則)
第32条 この規程に定めるもののほか必要な事項は、町長が別に定める。
附則
(施行期日)
1 この規程は、平成23年11月7日から施行する。
(吉野ヶ里町住民基本台帳ネットワークシステムのセキュリティに関する規程の廃止)
2 吉野ヶ里町住民基本台帳ネットワークシステムのセキュリティに関する規程(平成18年吉野ヶ里町訓令第10号)は、廃止する。
附則(平成24年訓令第1号)
この規程は、平成24年1月17日より施行する。
附則(平成27年訓令第10号)
この規程は、平成27年8月10日から施行し、平成26年6月1日から適用する。
附則(平成27年訓令第15号)
(施行期日)
第1条 この訓令は、平成28年1月1日から施行する。ただし、第1条の規定は、公布の日から施行する。
(吉野ヶ里町住民基本台帳ネットワークシステム保護管理運営規程の一部改正に伴う経過措置)
第2条 平成28年1月1日から平成37年12月28日までの間における第2条の規定による改正後の吉野ヶ里町住民基本台帳ネットワークシステム保護管理運営規程第14条の規定の適用については、同条中「個人番号カード及び」とあるのは、「住民基本台帳カード(行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律(平成25年法律第28号)第20条第1項の規定によりなお従前の例によることとされた住民基本台帳カードをいう。)、個人番号カード及び」とする。
附則(令和元年訓令第4号)
この規程は、令和元年7月1日から施行する。
附則(令和5年訓令第6号)
この規程は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。