○三木市住民基本台帳ネットワークシステム運用管理規程
平成14年8月5日
訓令第6号
目次
第1章 総則(第1条・第2条)
第2章 組織(第3条―第7条)
第3章 入退室及び扉の開閉管理(第8条―第12条)
第4章 アクセス管理(第13条―第16条)
第5章 情報資産管理(第17条―第26条)
第6章 委託管理(第27条―第30条)
第7章 緊急時対応計画(第31条)
附則
第1章 総則
(目的)
第1条 この訓令は、三木市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の正確性、機密性及び継続性の維持(以下「セキュリティ」という。)を目的として、別に定めるもののほか、必要な事項を定めることを目的とする。
(1) 住民基本台帳ネットワークシステム
市町村の区域を越えた住民基本台帳に関する事務の処理と住民基本台帳法(昭和42年法律第81号)第30条の6第1項に規定する本人確認情報を国の行政機関等に提供するため、すべての自治体が共同で運営する全国規模のネットワークシステム
(2) コミュニケーションサーバ(以下「CSサーバ」という。)
本人確認情報の登録、県知事への本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための電子計算機
(3) CS端末
CSサーバを利用した業務処理を行い、ICカードリーダ/ライターを接続する端末
(4) ファイアウォール
ネットワークにおいて不正侵入を防御する電子計算機
(5) 生体認証
操作者の手の静脈を識別することにより、当該操作者がサーバ等の操作に係る権限を有する本人であるかを認証する方法
(6) ドキュメント
住基ネットの設計、プログラム作成及び運用に関する記録及び文書
第2章 組織
(住基ネット統括責任者)
第3条 住基ネットのセキュリティを確保するため、住基ネット統括責任者(以下「統括責任者」という。)を置く。
2 統括責任者は、市民生活部長をもって充てる。
(住基ネット管理者)
第4条 住基ネットの適切な管理を行うため、住基ネット管理者(以下「管理者」という。)を置く。
2 管理者は、市民課長をもって充てる。
(セキュリティ会議)
第5条 統括責任者は、住基ネットのセキュリティの確保のため、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、統括責任者のほか、次に掲げる者をもって組織する。
(1) 管理者
(2) 総合政策部デジタル推進課長
(3) 前2号に掲げるもののほか、統括責任者が必要と認めたもの
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) セキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
4 議長は、必要と認めたときは、三木市情報公開及び個人情報保護制度調整委員会の意見を聴くことができる。
5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、市民生活部市民課において処理する。
(関係部署に対する指示等)
第6条 統括責任者は、セキュリティ会議の結果に基づき、関係部署の長に対し、必要な措置を指示し、要請することができる。
(教育・研修)
第7条 管理者は、住基ネットの業務を行う職員に対して、住基ネットの操作及びセキュリティ対策に関する教育・研修を行う。
第3章 入退室及び扉の開閉管理
(入退室及び扉の開閉管理)
第8条 次に掲げる室及び場所並びに設備(以下「室及び場所等」という。)において、それぞれの保安区分に応じた入退室及び扉の開閉管理(以下「入退室管理等」という。)を行う。
保安区分 | 室及び場所等 |
第1順位 | 県ネットワーク機器の保管室 |
第2順位 | CSサーバ及びファイアウォールの設置ラック |
第3順位 | CS端末の設置室 |
2 前項に規定するそれぞれの保安区分に応じた入退室管理等の方法は次のとおりとする。
保安区分 | 入退室管理等の方法 |
第1順位 | 入室を行うときは、その都度、鍵の貸与を受けて入室し、又は退室するときは、必ず施錠をし、退室したことを室の管理者に報告しなければならないものとする。なお、保守作業等のため入退室等を行う場合には、必ず立会者を伴わなければならないものとする。 |
第2順位 | 扉の開閉を行う際には、鍵の貸与を受け、業務が終了したときは、直ちに施錠し、鍵を返却するとともにその旨を管理者に報告しなければならないものとする。 |
第3順位 | 管理者は、目視により入退室者を監視する。 |
(入退室及び扉の開閉管理の資格)
第9条 管理者は、第1順位及び第2順位の保安区分に係る室への入退室及び扉の開閉をデジタル推進課職員、市民課職員、保守点検業者の職員その他住基ネット業務に必要な者に限り許可する。
(住基ネットのデータ及びセキュリティ情報等の管理)
第10条 住基ネットのデータ及びセキュリティ情報等は、保管庫に入れ、執務時間中は、常に手元において監視し、執務時間外は会計室の金庫に保管する。
(鍵の管理)
第11条 第1順位の保安区分に係る室の鍵の保管は、デジタル推進課長が行う。
2 デジタル推進課長は、第1順位の保安区分に係る室には、デジタル推進課長及び管理者が入退室等の許可を与えたものに限り入室の都度、鍵を貸与する。
3 管理者は、第2順位の保安区分に係る施設の鍵(以下「第2順位施設の鍵」という。)の保管を行う。
4 管理者は、第2順位施設の鍵を業務のため必要となったときにその都度、貸与する。
(管理簿の作成)
第12条 管理者は、第2順位施設の鍵の管理簿を作成し、これを3年間保存する。
第4章 アクセス管理
(アクセス管理)
第13条 アクセス管理を行うのは、次に掲げる住基ネットの構成機器とする。
(1) CSサーバー
(2) CS端末
(3) ファイアウォール
2 前項のアクセス管理は、生体認証により操作者の正当な権限を確認すること並びに操作履歴及び通信履歴を記録することにより行う。
(操作者管理簿の管理)
第14条 管理者は、生体認証によりサーバ等の操作に係る権限の確認を受ける者の名簿を作成し、これを3年間保存する。
(パスワードの管理)
第15条 管理者は、CSサーバ、CS端末、ファイアウォール等の操作上必要なパスワードを概ね1年で更新する。
2 前項の場合において管理者は、英数文字を用い、推測不可能なパスワードを設定するものとする。
3 管理者、CSサーバ操作者及びCS端末操作者は、パスワードを他者に知られることのないよう、その管理の徹底を図らなければならない。
(操作履歴等の管理)
第16条 管理者は、操作履歴及び通信履歴について、3年間さかのぼって解析できるよう保管する。
第5章 情報資産管理
(情報資産の管理)
第17条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の管理は管理者が行う。
2 管理者は、情報資産の構成を明確化するほか、それぞれの情報資産に関し、次に掲げる管理を行うとともに、情報資産管理簿を作成し、情報資産の導入、移設及び廃棄等の異動処理に伴う変更履歴を記録する。
(1) 情報資産の障害に関すること。
(2) 情報資産の保守に関すること。
(3) 情報資産の性能に関すること。
3 管理者は、情報資産の管理を副課長、課長補佐、係長又は主査に補助執行させることができる。
(本人確認情報の管理)
第18条 管理者、CSサーバ操作者、CS端末操作者その他本人確認情報を取り扱う者(以下「住基ネット業務関係者」という。)は、本人確認情報に関する秘密及び住基ネットのセキュリティに関する技術情報、パスワード、具体的な運用方法、マニュアル等本人確認情報の電子計算機処理に関する秘密を漏らしてはならない。事務に従事しなくなった者及び退職した者も同様とする。
2 住基ネット業務関係者は、本人確認情報の漏洩、滅失及び毀損の防止その他本人確認情報の適切な管理を行うために必要な措置を講じなければならない。
3 住基ネット業務関係者は、本人確認情報等が記載されている電子媒体、帳票を鍵のかかる場所その他十分管理できる場所に保管し、廃棄する場合は、電子媒体は初期化するほか、帳票は、記載内容が判読できない程度に細かく裁断し、若しくは焼却しなければならない。
4 住基ネット業務関係者は、業務上必要のない本人確認情報を検索、表示、保存又は印刷してはならない。
5 住基ネット業務関係者は、業務上必要のない帳票の出力(ハードコピーを含む。)を行ってはならない。
6 住基ネット業務関係者は、長時間にわたり本人確認情報をディスプレイに表示したままの状態にしてはならない。
7 住基ネット業務関係者は、業務端末のディスプレイが、窓口に来庁している住民から見えないように努めるものとする。
(CS端末の利用時間)
第19条 CS端末の利用時間は、原則として、土曜日、日曜日、祝日、年末年始の休日を除く日の午前9時から午後5時までとする。
(ハードウェアの管理)
第20条 管理者は、ハードウェアの管理に関して次に掲げる対策を行う。
(1) 障害に関すること。
ア 地方公共団体情報システム機構(以下「機構」という。)、県、ハードウェアメーカー等と連絡網を整備し、障害が発生した場合の対応手順を整備する。
イ CS端末操作者に対し、障害防止策及び対応手順を周知徹底する。
ウ 障害が発生しないよう防止対策を講じるとともに、対策が適正に実施されているか確認を行う。
エ 障害が発生した場合には、障害状況の把握及び障害対応を行い、重大な障害については、緊急時対応計画書に基づいて対応する。
(2) 保守に関すること。
ア 保守対象機器を明確にし、保守対象機器については、継続して機器が使用できるように必要な措置を講じる。
イ 保守の時期及び保守内容について、ハードウェアの機能、使用頻度を勘案し、決定する。
ウ 保守作業実施時において、データの抹消、漏洩等が発生しないよう、防止策を講じる。
エ 保守作業の結果について、必ず報告することを保守業者に義務付ける。
(ソフトウェアの管理)
第21条 管理者は、ソフトウェアの管理に関して次に掲げる対策を行う。
(1) 障害に関すること。
ア CSサーバ及びCS端末等のソフトウェアにプログラムの誤りを発見したときは、直ちに機構及び県にその状況を報告し、指示に従う。
イ CSサーバ及びCS端末等がコンピュータウィルスに感染した場合は、直ちにこれらをネットワークから切り離す等の措置を講じるとともに、被害状況を県に報告し、その指示に従う。
ウ 重大な障害については、緊急時対応計画書に基づいて対応する。
(2) 保守に関すること。
ア ソフトウェアのバージョン管理を機構の指示に従い実施し、機構の許可なくバージョンアップを行ったり、指示に従わずバージョンアップ作業を怠ってはならない。
イ 不測の事態、障害対応に備えて適切にソフトウェアのバックアップを行い、業務内容及び処理形態に応じて、バックアップの範囲、記録する磁気ディスク、保管方法を定める。
ウ バックアップをしたソフトウェアと運用中のソフトウェアの整合性及び同期性に配慮する。
エ バックアップ及びリカバリ方法について、システムの変更の都度、見直しを行う。
(住民基本台帳カードの管理)
第21条の2 管理者は、住民基本台帳カードの管理方法を定め、適切な運用を図らなければならない。
(ネットワーク全体の管理)
第22条 デジタル推進課長は、三木市ネットワークと住基ネットとの間のセキュリティを確保するとともに、それぞれのネットワークのセキュリティを確保し、三木市ネットワーク全体の円滑な運用が図れるように努めるものとする。
(住基ネット内に係るネットワークの管理)
第23条 管理者は、三木市の住基ネット内に係るネットワークの管理に関して次に掲げる対策を行う。
(1) 障害に関すること。
ア ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止、障害範囲拡大防止、障害の切り分け)、障害運転時対応(代替運転、縮退運転)、状況に応じた復旧作業、障害原因の調査、障害改修後対応(同様障害防止策の実施)について、必要な措置を講じる。なお、重大な障害については、緊急時対応計画書に基づいて対応する。
イ 障害予測、定期診断、ログの調査又は解析を行うことにより、住基ネットの継続性の向上に努める。
(2) 保守に関すること。
ア 円滑な運用を確保するため、ハードウェア資源の利用状況、回線トラフィック状況を勘案して適宜、資源の配分について見直しを行う。
イ ネットワークの運用保守等によりネットワークを停止するときは、あらかじめ、県に通知する。ただし、緊急に保守作業を行う必要がある場合等においては、管理者の判断によりネットワークを停止することができる。
(ドキュメントの管理)
第24条 管理者は、基本設計書、各種手引書、マニュアル等のドキュメントを本人確認情報が記録されている電子媒体若しくは帳票と同様に管理しなければならない。
2 管理者は、委託事業者に関係ドキュメントを貸与する場合においては、契約書等で取扱いに関する事項を規定し、適正な管理を確保しなければならない。
(磁気ディスクの管理)
第25条 管理者は、機器を廃棄する場合、その機器に存在する磁気ディスク内の情報が、廃棄する過程において第三者に入手されることを防ぐため、必要な措置を講じる。
2 管理者は、機器の廃棄又は修理を委託する場合は、委託先に本人確認情報の保護に係る責務を課すことを契約条項に入れるとともに、廃棄作業の実施者が指示したとおりに作業を実施したかを確認する。
(耐タンパー装置の管理)
第26条 管理者は、耐タンパー装置用セットアップディスク及び耐タンパー装置用パスワードを施錠できる保管庫で管理する。
2 管理者は、障害が発生する確率を下げるため、オペレーション品質の向上対策、オペレーションミスの原因分析、再発防止策の策定、実施、評価を行う。
第6章 委託管理
(委託を受けようとする者の管理体制等の調査)
第27条 管理者は、外部委託をしようとするときは、あらかじめ、委託を受けようとするものにおける情報の保護に関する管理体制等について、調査するものとする。
(外部委託の承認)
第28条 管理者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ会議に図って承認を得て行う。
(委託契約書への記載事項)
第29条 外部委託に係る契約書には、情報の保護に関し、三木市電子計算機処理に係るデータ保護管理規程(昭和57年訓令第1号)第17条第1項各号及び第2項各号に掲げる事項を必要に応じ明記しなければならない。
(受託者の管理状況の調査)
第30条 管理者は、必要に応じて受託者における当該外部委託に係るセキュリティ対策の実施状況について、調査するものとする。
第7章 緊急時対応計画
(緊急時対応計画)
第31条 住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合に、被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、緊急時対応計画を定めるものとする。
附則
この訓令は、公布の日から施行する。
附則(平成15年8月1日訓令第4号)
この訓令は、公布の日から施行する。
附則(平成18年3月31日訓令第7号抄)
(施行期日)
1 この訓令は、平成18年4月1日から施行する。
附則(平成19年3月30日訓令第3号)
この訓令は、平成19年4月1日から施行する。
附則(平成19年3月31日訓令第5号)
この訓令は、平成19年4月1日から施行する。
附則(平成22年3月31日訓令第1号)
この訓令は、平成22年4月1日から施行する。
附則(平成24年4月1日訓令第2号)
この訓令は、平成24年4月1日から施行する。
附則(平成26年4月1日訓令第3号)
この訓令は、平成26年4月1日から施行する。
附則(平成26年4月1日訓令第4号)
この訓令は、平成26年4月1日から施行する。
附則(平成30年4月1日訓令第2号)
この訓令は、平成30年4月1日から施行する。
附則(令和2年3月31日訓令第2号)
この訓令は、令和2年4月1日から施行する。
附則(令和4年3月29日訓令第2号)
この訓令は、令和4年4月1日から施行する。