○下野市本人確認情報管理規程
平成27年12月24日
訓令第30号
目次
第1章 総則(第1条―第3条)
第2章 基本原則(第4条―第7条)
第3章 管理体制(第8条・第9条)
第4章 安全管理(第10条―第20条)
第5章 委託管理(第21条―第24条)
第6章 その他(第25条・第26条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の29の規定その他の関係法令等の規定に基づき、本市における本人確認情報処理事務等を適正かつ確実に実施し、本人確認情報の安全確保を図るため、必要な基本的事項を定めるものとする。
(1) 住民基本台帳ネットワークシステム(以下「住基ネット」という。) コミュニケーションサーバ、都道府県サーバ、指定情報処理機関サーバ、業務端末、電気通信関係装置(ファイアウォールを含む。)、電気通信回線、プログラム等(以下「構成機器」という。)により構成され、市長が本人確認情報を都道府県知事に通知し、委任都道府県知事が本人確認情報を機構(法第30条の2第1項に規定する機構をいう。以下同じ。)に通知し、並びに都道府県知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための市町村長の使用に係る電子計算機をいう。
(3) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。
(4) 従事者 本市の特別職及び一般職の職員のうち本人確認情報処理事務等に従事する者をいう。
(5) 情報資産 住基ネットに係る全ての情報(データを含む。)、ソフトウェア、ハードウェア、ネットワーク及び記録媒体をいう。
(6) 本人確認情報 法第30条の6第1項に規定する本人確認情報をいう。
(適用範囲)
第3条 この訓令は、従事者並びに住基ネットのうち、本市が整備、管理責任をもつ範囲における情報資産、建物及び関連設備に適用するものとする。
第2章 基本原則
(基本原則)
第4条 住基ネットの運用管理に当たっては、制度面、技術面及び運用面から抑止、予防、検出及び回復の措置を講じ、総合的なセキュリティ対策を確保しなければならない。
2 住基ネットの運用管理及びセキュリティ対策を実施するに当たっては、次に掲げる基本原則によるものとする。
(1) 機密性の確保 本人確認情報の保護を優先事項として、漏えい等から保護するための措置を講じなければならない。
(2) 正確性の確保 本人確認情報を常に最新かつ正確な状態に保つとともに、滅失及びき損から保護するための措置を講じなければならない。
(3) 継続性の確保 本人確認情報処理事務等の継続性を確保し、住基ネットの運営に支障を来さないための措置を講じなければならない。
(使用の限定)
第5条 本人確認情報処理事務等に係る情報資産は、当該処理事務等に必要なものに限定するとともに、法令等に定める場合以外に使用してはならない。
(情報資産への脅威)
第6条 住基ネットの運用管理及びセキュリティ対策を実施するに当たり、特に認識すべき脅威は、次に掲げるとおりとする。
(1) 部外者又は正当な操作権限のない職員による故意の不正アクセス及び不正操作並びにデータ及びプログラムの持出、改ざん及び消去並びに住基ネットの構成機器、磁気ディスク及びドキュメントの破壊及び盗難等
(2) 業務端末操作者及びコミュニケーションサーバ操作者による意図しない操作及び不注意な操作並びに故意の不正アクセス及び不正操作によるデータ及びプログラムの持出、改ざん及び消去並びに住基ネットの構成機器、磁気ディスク及びドキュメントの破壊及び盗難等
(3) 事故及び故障並びに地震、落雷及び火災等の災害
(緊急時対応計画)
第7条 住基ネット及び住基ネットの構成機器に係る障害、災害により住民へのサービスが停止するとき若しくはその恐れがあるとき又は不正行為により本人確認情報に脅威を及ぼすとき、若しくはその恐れがあるときに、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、指定情報処理機関及び県等と連携した緊急時対応計画を市は策定するものとする。
第3章 管理体制
(統括管理責任者)
第8条 本人確認情報処理事務等の実施に係る事務を統括管理する者として統括管理責任者をおく。
2 統括管理責任者は、副市長をもって充てる。
(セキュリティ統括会議)
第9条 セキュリティ統括会議は、統括管理責任者が招集及び開催するとともに、統括管理責任者は、会議の議長を務める。
2 セキュリティ統括会議は、統括管理責任者及び関連部門の責任者により構成する。
3 セキュリティ統括会議においては、本人確認情報処理事務等を適正かつ確実に実施するため、次に掲げる事項を検討する。
(1) 本人確認情報管理規程の管理及び見直し
(2) 本人確認情報管理規程に基づく各種規則等の管理及び見直し
(3) 本人確認情報管理規程の遵守状況の確認
(4) 従事者への意識の啓発並びに計画的な教育及び研修の実施
(5) その他、セキュリティ対策に必要な措置
4 議長は、必要と認められるときは、関係職員及び住基ネット保守ベンダーの出席を求め、その意見又は説明を聴くことができる。
5 セキュリティ統括会議の庶務は、市民生活部市民課において行う。
第4章 安全管理
(本人確認情報の安全管理)
第10条 統括管理責任者は本人確認情報の機密性、正確性及び継続性を確保するため、次の各号に掲げる措置を講ずる。
(1) 本人確認情報の入力を適正に実施するための必要な措置
(2) 本人確認情報処理事務等に関する記録媒体の保存・廃棄を適正に実施するための必要な措置
(3) 本人確認情報の提供を適正に実施するための必要な措置
(4) 本人確認情報の消去を適正に実施するための必要な措置
(5) 本人確認情報の漏えい、滅失及びき損を防止するための措置
(ソフトウェアの適正な管理)
第11条 統括管理責任者は本人確認情報に係る処理における機密性、正確性及び継続性を確保するため、ソフトウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を講ずる。
(ハードウェアの適正な管理)
第12条 統括管理責任者は本人確認情報に係る処理における機密性、正確性及び継続性を確保するため、ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。
(ネットワークの適正な管理)
第13条 統括管理責任者は本人確認情報に係る処理における機密性、正確性及び継続性を確保するため、ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずる。
(施設の適正な管理)
第14条 統括管理責任者は操作者の認証等により、本人確認情報の処理に係る電子計算機及び端末装置を設置する場所の入出場の管理、その他これらの施設への不正なアクセスを予防するための措置を講ずる。
(オペレーション管理)
第15条 統括管理責任者は住基ネットに係る電子計算機の操作手続等に関して、適正な管理を行うために必要な措置を講ずる。
(秘密保持義務)
第16条 統括管理責任者は従事者及び従事者であった者に対し、本人確認情報処理事務等に関して知り得た秘密の保持義務を徹底させる。
(意識の啓発及び教育)
第17条 統括管理責任者は従事者に対し、本人確認情報を扱うことの重要性に鑑み、住基ネットの適正な管理に関する意識の啓発を行うとともに、教育に関する計画を策定し実施する。
(不正な操作への対応)
第18条 統括管理責任者は本人確認情報の処理に係る電子計算機及び端末装置が、不正に操作された疑いがある場合における調査、その他不正な操作に対する連絡手続及び対処方法を定める等の必要な措置を講ずる。
(災害時等の対応)
第19条 統括管理責任者は住基ネットの運用に支障をきたす恐れがある災害等の発生に迅速に対処できるよう連絡手続及び対処方法を定め、従事者に対し周知徹底させる。
(監査)
第20条 本人確認情報処理事務等について、第三者機関による監査及び内部監査を実施する。
第5章 委託管理
(委託を受けようとする者の管理体制等の調査)
第21条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制について調査するものとする。
(外部委託の承認)
第22条 住基ネットを管理し、又は利用する部署の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括会議の審議を経て、統括管理責任者の承認を得なければならない。
(委託契約書への記載事項)
第23条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還又は廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 法第30条の26第4項に規定する秘密保持義務に関する事項
(5) 法第30条の24第3項に規定する本人確認情報の安全確保に関する事項
(6) 事故等の報告に関する事項
(7) 前各号に掲げるものの他、必要な措置に関する事項
(受託者の管理状況の調査)
第24条 住基ネットを管理し、又は利用する部署の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第6章 その他
(法令の遵守)
第25条 従事者及び従事者であった者は、法及び住基ネットに関連する他の法令を遵守しなければならない。
(その他)
第26条 この訓令については、法の改正、情報技術の進展に伴う住基ネットの変更又はその他の事由により、適時見直しを行うものとする。
2 この訓令の実施のための手続その他その施行に関し必要な事項は、市長が別に定める。
附則
この訓令は、公布の日から施行する。