○上郡町住民基本台帳ネットワークシステム運用管理規程
平成30年8月17日
訓令第10号
上郡町住民基本台帳ネットワークシステム運用管理規程(平成19年規程第2号)の全部を改正する。
目次
第1章 総則(第1条・第2条)
第2章 管理組織(第3条~第8条)
第3章 入退室等の管理(第9条~第11条)
第4章 アクセスの管理(第12条~第14条)
第5章 情報資産の管理(第15条~第19条)
第6章 事務委託の管理(第20条~第22条)
第7章 緊急時対応計画(第23条)
第8章 雑則(第24条~第26条)
附則
第1章 総則
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号)及び上郡町個人情報保護法施行条例(令和5年条例第4号)に定めるもののほか、本町における住民基本台帳ネットワークシステムのセキュリティ(正確性、機密性及び継続性の維持をいう。)を確保するとともに、その適正な管理運営を行うことに関し、必要な事項を定めるものとする。
(1) 住民基本台帳ネットワークシステム コミュニケーションサーバ、都道府県サーバ、機構サーバ、端末機、電気通信関係装置(ファイアウォールを含む。)、電気通信回線、プログラム等により構成され、市町村長(特別区の区長を含む。以下同じ。)が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構(地方公共団体情報システム機構法(平成25年法律第29号)第2条第1項に規定する地方公共団体情報システム機構をいう。以下「機構」という。)に通知し、並びに市町村長、都道府県知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行い、並びに機構に個人番号とすべき番号の生成(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号。以下「番号法」という。)第8条第1項の規定による個人番号とすべき番号の生成をいう。)のために必要な情報を通知し、並びに機構から個人番号とすべき番号の通知(行政手続における特定の個人を識別するための番号の利用等に関する法律施行令(平成26年政令第155号)第9条の規定による通知をいう。)を受けるための市町村長の使用に係る電子計算機をいう。
(3) 統合端末 住民基本台帳ネットワークシステム業務を行うためにコミュニケーションサーバに接続する端末機をいう。
(4) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。
(5) 照合ID コミュニケーションサーバ及び統合端末の操作者に対して個別に付与される番号等をいう。
(6) 操作者ID 住民基本台帳ネットワークシステムの業務権限ごとに照合IDに対して付与される番号等をいう。
(7) 照合情報 生体情報(個人の識別のために用いられる電子計算機の用に供するための手の静脈の画像情報をいう。)に不可逆演算処理を施して得られる情報をいう。
(8) 照合情報認証 住民基本台帳ネットワークシステムの業務アプリケーションを起動するときに、照合IDを入力し、当該照合IDに対してあらかじめ登録された照合情報と起動の際に読み取る照合情報を照合することにより、住民基本台帳ネットワーク業務の正当な操作権限を有する操作者本人を識別する認証方法をいう。
(9) 情報資産 住民基本台帳ネットワークシステムの運用に係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。
(10) ドキュメント 住民基本台帳ネットワークシステムの設計、プログラムの作成並びに運用に関する記録及び文書をいう。
(11) アクセス 住民基本台帳ネットワークシステム構成機器へ接続し、交信を行うことをいう。
第2章 管理組織
(セキュリティ統括責任者)
第3条 住民基本台帳ネットワークシステムのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者(以下「統括責任者」という。)を置き、副町長をもって充てる。
(システム管理者)
第4条 住民基本台帳ネットワークシステムの適切なシステム構築及び管理を行うため、システム管理者を置き、情報管理事務を担当する課の長をもって充てる。
(セキュリティ責任者)
第5条 住民基本台帳ネットワークシステムの利用課において適正なセキュリティ対策を実施するため、セキュリティ責任者を置き、住民基本台帳事務を担当する課の長をもって充てる。
(セキュリティ会議)
第6条 統括責任者は、必要と認める場合にセキュリティ会議を招集するとともに議長を務める。
2 システム管理者は、統括責任者に事故があるときは、その職務を代理する。
3 セキュリティ会議は、統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) セキュリティ責任者
(3) その他統括責任者が必要と認めた者
4 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住民基本台帳ネットワークシステムのセキュリティ対策の決定及び見直しに関すること。
(2) 前号のセキュリティ対策の遵守状況の確認に関すること。
(3) 監査に関すること。
(4) 教育・研修に関すること。
(5) その他住民基本台帳ネットワークシステムのセキュリティに関すること。
5 統括責任者は、必要と認めるときは、関係者の出席を求め、その意見又は説明を聴くことができる。
6 統括責任者は、第4項各号に掲げる事項のうち重要と認められる事項を審査するときは、上郡町情報公開・個人情報保護・行政不服審査会条例(平成28年条例第7号)第1条に規定する上郡町情報公開・個人情報保護・行政不服審査会の意見を聴くものとする。
7 セキュリティ会議は、意見聴取及び賛否の意向の確認を行うこと並びに審議概要の作成を行うことを条件として、開催に代えて書面又は持ち回りにより意見の聴取及び議決を行うことができるものとする。
8 セキュリティ会議の庶務は、住民基本台帳事務を担当する課において処理するものとする。
(関係部署に対する指示等)
第7条 統括責任者は、セキュリティ会議の結果に基づき、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
(監査体制)
第8条 統括責任者は、住民基本台帳ネットワークシステムのセキュリティを確保するために、定期に又は必要に応じて随時に監査を受けるものとする。
2 監査を行った者は、監査報告書を作成し、統括責任者に報告を行うとともに、必要により問題点の指摘及び改善勧告を行う。
3 統括責任者は、監査報告書の結果を受けて、必要により改善計画書を作成する。
第3章 入退室等の管理
室等の区分 | 入退室等の管理 |
住民基本台帳ネットワークシステムのデータ、セキュリティ情報等の保管室並びにコミュニケーションサーバ、ネットワーク機器の設置室(以下「保管室等」という。) | 1 入退室の資格を許可する人数を必要最小限とする。 2 入退室を行う場合には、システム管理者から事前に許可された者のみが入退室管理カードを用いて入退室を行う。 3 入退室の識別を行うために、入退室者は、名札を着用しなければならない。 4 保守作業のため保守点検業者が入退室を行う場合には、入退室の資格を有する者が立ち会わなければならない。 |
統合端末の設置された事務区画 | 1 統合端末の操作者は、当該事務区画へ出入りする者を監視しなければならない。 2 当該事務区画へ出入りする者は、名札を着用しなければならない。 |
2 システム管理者は、前項の表に掲げる保管室等において、入退室の管理を行うほか、住民基本台帳ネットワークシステムのセキュリティを確保するため、入退室の管理に関し、必要な措置を講じなければならない。
(入退室の資格)
第10条 システム管理者が必要と認めた者に限り許可し、その者に入退室管理カードを貸与するものとする。
2 システム管理者は、前項の規定により入退室を許可された者の用務が終了したときその他必要ないと判断したときは、直ちに入退室管理カードの回収を行わなければならない。
(管理簿の作成)
第11条 システム管理者は、保管室等への入退室について、入退室管理簿及び入退室管理カードの管理簿を作成し、これを保存するものとする。
第4章 アクセスの管理
(アクセス管理を行う機器)
第12条 次に掲げる住民基本台帳ネットワークシステムの構成機器についてアクセス管理を行う。
(1) コミュニケーションサーバ
(2) 統合端末
(3) ファイアウォール
2 前項のアクセスの管理は、照合情報認証により操作者の正当な権限を確認すること並びにコミュニケーションサーバの操作履歴及びファイアウォールの通信履歴を記録することにより行うものとする。
3 システム管理者は、コミュニケーションサーバの操作履歴及びファイアウォールの通信履歴を7年間保管するものとする。
4 システム管理者は、第1項に規定する機器のオペレーティングシステムについて必要なセキュリティ対策を行うものとする。
(照合ID等の管理)
第13条 セキュリティ責任者は、コミュニケーションサーバ又は統合端末を操作して本人確認情報を取り扱う者を指定して照合IDを付与し、これらの者に行わせる住民基本台帳ネットワークシステム業務に応じて、当該照合IDに操作者IDを付与するものとする。
2 セキュリティ責任者は、住民基本台帳ネットワークシステム照合ID等管理簿を作成し、人事異動、組織変更、業務変更その他の事情の変更により記載事項の変更があった場合には、速やかにこれを変更しなければならない。
3 照合ID及び操作者IDの付与を受けた者は、住民基本台帳ネットワークシステムに照合情報を登録しなければならない。
4 照合ID及び操作者IDの付与を受けた者は、次に掲げる事項を遵守しなければならない。
(1) 照合ID及び操作者IDを住民基本台帳ネットワークシステム業務以外に使用しないこと。
(2) 他人に照合ID及び操作者IDを使用させないこと。
(パスワードの管理)
第14条 セキュリティ責任者は、操作上必要なパスワードを定め、定期的に、又は随時に更新するものとする。
2 セキュリティ責任者は、パスワードを適正に管理するため、規則性のある番号又は推測可能な番号を用いてはならない。
3 セキュリティ責任者及び操作者は、パスワードを他人に漏えいすることのないよう必要な措置を講じなければならない。
第5章 情報資産の管理
情報資産の区分 | 管理責任者 |
コミュニケーションサーバに保存する本人確認情報並びに通知カード(番号法第7条第1項に規定する通知カードをいう。以下同じ。)、個人番号カード(番号法第2条第7項に規定する個人番号カードをいう。以下同じ。)及び住民基本台帳カード | セキュリティ責任者 |
住民基本台帳ネットワークシステムを利用する部課における統合端末及び本人確認情報が記載された統合端末に係る帳票 | セキュリティ責任者 |
上記以外の情報資産 | システム管理者 |
2 システム管理者は、ソフトウェア、ハードウェア、ネットワーク及び磁気ディスクについて、その構成を明確化するほか、障害、保守及び性能の管理を行うとともに、機器管理台帳等により、導入、移設及び廃棄等の異動に伴う履歴を記録するものとする。
(本人確認情報等の管理)
第16条 セキュリティ責任者、統合端末の操作者その他本人確認情報を取り扱う者は、法に定められた事務の処理以外の目的で本人確認情報を利用してはならない。
2 セキュリティ責任者は、本人確認情報の記録されたサーバに係る帳票、個人番号カード及び住民基本台帳カードの管理方法を定めるものとする。
3 システム管理者、セキュリティ責任者、統合端末の操作者、コミュニケーションサーバ操作者その他本人確認情報を取り扱う者は、本人確認情報の漏えい、滅失及びき損の防止その他の本人確認情報の適切な管理のための必要な措置を講じなければならない。
4 統合端末の操作者は、本人確認情報の削除又は訂正を行う場合は、セキュリティ責任者の許可を得なければならない。この場合において、セキュリティ責任者は、削除又は訂正に用いた帳票を7年間保管するものとする。
(通知カード等の管理)
第17条 通知カード、個人番号カード及び住民基本台帳カード(以下「通知カード等」という。)を取り扱う者は、通知カード等の管理簿を作成し、通知カード等を紛失し、又は盗難にあわないように厳重に管理しなければならない。
2 通知カード等を取り扱う者は、通知カード等を紛失し、又は盗難にあった場合は、直ちにセキュリティ責任者に報告しなければならない。
3 通知カード等を取り扱う者は、通知カード等を廃棄する場合は、券面印刷の内容が判読できないよう裁断、溶解、焼却又はICチップの情報の読み出しやハードウェア構造分析が行われないよう物理粉砕等を行わなければならない。
(ドキュメントの管理)
第18条 システム管理者は、基本設計書、各種手引書、マニュアルその他のドキュメントを厳重に管理しなければならない。
2 システム管理者は、住民基本台帳ネットワークシステムに係る事務を外部に委託する場合において、関係ドキュメントを貸与するときは、委託契約書に関係ドキュメントを適正に管理する旨を明記しなければならない。
3 システム管理者は、ドキュメントを廃棄する場合は、裁断、溶解、焼却又はデータの消去等の復元できない方法により行わなければならない。
(オペレーションの管理)
第19条 住民基本台帳ネットワークシステムに係る電子計算機の操作手順等に関して、適正な管理を行うために関係部署と協議を行い、必要な措置を講じるものとする。
第6章 事務委託の管理
(外部委託の承認)
第20条 システム管理者は、住民基本台帳ネットワークシステムに係る新たな事務を外部に委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、セキュリティ責任者の協議を経てあらかじめ統括責任者の承認を得なければならない。
(管理体制等の調査)
第21条 システム管理者は、住民基本台帳ネットワークに係る事務を外部に委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
2 システム管理者は、必要に応じ受託者に対して、当該委託事務に係るセキュリティ対策の実施状況について調査するものとする。
(委託契約書への記載事項)
第22条 システム管理者は、住民基本台帳ネットワークシステムに係る事務を外部に委託しようとするときは、その契約書に上郡町電子計算処理及びデータ保護管理規程(平成13年規程第1号)第26条第2項各号に掲げる事項を委託事務の内容に応じて明記するものとする。
第7章 緊急時対応計画
(緊急時対応計画)
第23条 統括責任者は、住民基本台帳ネットワークシステムを構成するソフトウェア、ハードウェア、ネットワーク及び磁気ディスクの障害により住民サービスが停止するおそれがあるとき、又は不正行為により本人確認情報に影響を及ぼすおそれがあるときは、被害を未然に防ぎ、又は被害の拡大を防止し、早急な復旧を図るため、緊急時対応計画を定めるものとする。
第8章 雑則
(研修等)
第24条 統括責任者は、統合端末の利用課の職員に対して、住民基本台帳ネットワークシステムの操作及びセキュリティに関する研修を行うものとする。
2 セキュリティ責任者は、研修の対象者、内容及び実施時期等を明記した計画書を作成するものとする。
(統合端末の利用時間)
第25条 統合端末の利用時間は、上郡町の休日を定める条例(平成元年条例第12号)第2条第1項に規定する休日を除く日の午前8時30分から午後6時までとする。ただし、町長が必要と認めるときは、これを変更することができる。
(その他)
第26条 この訓令に定めるもののほか、住民基本台帳ネットワークシステムに係るデータ保護及び運用に関し必要な事項は、統括責任者が別に定めるものとする。
附則
この訓令は、平成30年8月17日から施行する。
附則(令和5年3月10日訓令第7号)
この訓令は、令和5年4月1日から施行する。