(趣旨)

第1条　東近江市における情報セキュリティ確保のための対策基準については、東近江市情報セキュリティ基本方針(平成27年東近江市訓令第41号。以下「基本方針」という。)に定めるもののほか、この対策基準に定めるところによる。

(定義)

第2条　この対策基準において使用する用語の意義は、基本方針に定めるもののほか、それぞれ当該各号に定めるところによる。

(行政機関)

第3条　この対策基準が適用される行政機関は、東近江市個人情報の保護に関する法律施行条例(令和4年東近江市条例第26号)第2条第1項に規定する実施機関及び議会とする。

(最高情報セキュリティ責任者)

第4条　市長は、情報セキュリティ対策を推進及び管理するための組織体制を整備する。

(総括情報セキュリティ責任者)

第5条　総務部長を総括情報セキュリティ責任者とし、CISOを補佐する。

(情報セキュリティ責任者)

第6条　情報システムを所有する市長直轄組織又は部の長を情報セキュリティ責任者とし、その所管する部局等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約、職員等に対する必要な助言及び指示を行う。

(情報セキュリティ管理者)

第7条　課長等を情報セキュリティ管理者とし、その所管する課室等の情報セキュリティ対策が円滑に実施されるよう努めなければならない。

(管理責任)

第8条　情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

(情報システム所管管理者)

第9条　情報セキュリティ管理者のうち、その所管する情報システムについてデータを保有し、かつ、当該情報システムの開発、設定の変更、廃止等を行う権限及び責任を有する者を情報システム所管管理者という。

(情報システム管理者)

第10条　情報推進課長を情報システム管理者とし、市の情報システムを管理し、開発、設定の変更、運用、見直し等に関し必要な調整を行う権限及び責任を有する。

(情報資産の分類)

第11条　市における情報資産の分類は、機密性、完全性及び可用性により、別表のとおり分類し、必要に応じ取扱制限を行うものとする。

(分類の明示)

第12条　職員等は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダー・フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限事項を明示して、適切な管理を行わなければならない。

(情報の作成)

第13条　業務に係る情報を作成する者は、情報の作成時に第11条の分類に基づき、当該情報の分類及び取扱制限を定めなければならない。

(情報資産の入手)

第14条　庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

(情報資産の利用)

第15条　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(情報資産の保管)

第16条　情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

(情報の送信)

第17条　電子メール等により機密性2以上の情報を送信する者は、必要に応じパスワード等による暗号化を行わなければならない。

(情報資産の運搬)

第18条　車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

(情報資産の提供及び公表)

第19条　機密性2以上の情報資産を外部に提供する者は、必要に応じパスワード等による暗号化の設定を行わなければならない。

(情報資産の廃棄)

第20条　機密性2以上の情報資産を廃棄する者は、情報を記録している電磁的記録媒体が不要になった場合、電磁的記録媒体の初期化等、情報を復元できないように処置した上で廃棄しなければならない。

(マイナンバー利用事務系と他の領域との分離)

第21条　マイナンバー利用事務系と他の領域を通信できないようにしなければならない。

(情報のアクセス及び持ち出しにおける対策)

第22条　情報システムが正規の利用者かどうかを判断する認証手段のうち、二つ以上を併用する認証(多要素認証)を利用しなければならない。また、原則として、業務ごとに専用端末を設置するものとする。

(LGWAN接続系とインターネット接続系の分割)

第23条　LGWAN接続系とインターネット接続系は両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。この場合において、メール又はデータをLGWAN接続系に取り込む場合は、次に掲げる実現方法等により、無害化通信を図らなければならない。

(インターネット接続系)

第24条　インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見及び対処並びにLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

(機器の取付け)

第25条　情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等、必要な措置を講じなければならない。

(サーバの冗長化)

第26条　情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。

(機器の電源)

第27条　情報システム管理者は、総括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

(通信ケーブル等の配線)

第28条　総括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

(機器の定期保守及び修理)

第29条　情報システム管理者及び情報システム所管管理者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。

(庁外への機器の設置)

第30条　総括情報セキュリティ責任者及び情報セキュリティ責任者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。

(機器の廃棄等)

第31条　情報システム管理者及び情報システム所管管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(電算室の構造等)

第32条　総括情報セキュリティ責任者は、電算室を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁にしなければならない。

(入退室管理等)

第33条　情報システム管理者は、電算室への入退室を許可された者のみに制限し、ICカード等による入退室管理を行わなければならない。

(機器等の搬入出)

第34条　情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。

第35条　情報システム管理者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適切に管理し、かつ、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

第36条　総括情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

第37条　総括情報セキュリティ責任者は、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。

第38条　総括情報セキュリティ責任者は、機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適切な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

第39条　総括情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報の破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

第40条　総括情報セキュリティ責任者は、可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択し、必要に応じ回線を冗長構成にする等の措置を講じなければならない。

第41条　情報システム管理者は、盗難防止のため、執務室等で利用するパーソナルコンピュータのワイヤーによる固定、モバイル端末及び電磁的記録媒体の使用時以外の施錠管理等の物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。

第42条　情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、生体認証等複数の認証情報の入力を必要とするように設定しなければならない。

第43条　情報システム管理者は、端末の電源起動時のパスワード(BIOSパスワード、ハードディスクパスワード等)を併用しなければならない。

第44条　情報システム管理者は、マイナンバー利用事務系では「知識」、「所持」、「存在」を利用する認証手段のうち二つ以上を併用する認証(多要素認証)を行うよう設定しなければならない。

第45条　情報システム管理者は、パーソナルコンピュータやモバイル端末等におけるデータの暗号化等の機能を有効に利用しなければならない。端末にセキュリティチップが搭載されている場合についても、同様とする。

(情報セキュリティポリシー等の遵守)

第46条　職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。

(業務以外の目的での使用の禁止)

第47条　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

(モバイル端末や電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限)

第48条　CISOは、機密性2以上、可用性2、完全性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(支給以外のパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等の業務利用)

第49条　職員等は、支給以外のパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等を原則として業務に利用してはならない。ただし、業務上必要な場合は、情報セキュリティ管理者の許可を得て利用することができる。

(持ち出し及び持込みの記録)

第50条　情報セキュリティ管理者は、端末等の持ち出し及び持込みについて、記録を作成し、保管しなければならない。

(パーソナルコンピュータ等におけるセキュリティ設定変更の禁止)

第51条　職員等は、パーソナルコンピュータ及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を情報システム管理者又は情報システム所管管理者の許可なく変更してはならない。

(机上の端末等の管理)

第52条　職員等は、パーソナルコンピュータ、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパーソナルコンピュータ、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。

(退職時等の遵守事項)

第53条　職員等は、異動、退職等により業務を離れる場合、利用していた情報資産を、返却しなければならない。

(情報セキュリティポリシー等の掲示)

第54条　情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(委託事業者に対する説明)

第55条　情報システム所管管理者及び情報セキュリティ管理者は、ネットワーク及び情報システムの開発、保守等を委託事業者に発注する場合、委託事業者から再委託を受ける事業者も含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。

(情報セキュリティに関する研修及び訓練)

第56条　総括情報セキュリティ責任者は、定期的に情報セキュリティに関する研修及び訓練を実施しなければならない。

(研修計画の策定及び実施)

第57条　CISOは、全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、情報セキュリティ委員会の承認を得なければならない。

(緊急時対応訓練)

第58条　CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるようにしなければならない。

(研修及び訓練への参加)

第59条　職員等は、定められた研修及び訓練に参加しなければならない。

(庁内からの情報セキュリティインシデントの報告)

第60条　職員等は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者に報告しなければならない。

第61条　報告を受けた情報セキュリティ管理者は、速やかに情報セキュリティ責任者、情報システム管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。

第62条　情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISO及び総括情報セキュリティ責任者に報告しなければならない。

(住民等外部からの情報セキュリティインシデントの報告)

第63条　職員等は、市が管理する情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。

第64条　総括情報セキュリティ責任者は、情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

(情報セキュリティインシデント原因の究明、記録、再発防止等)

第65条　総括情報セキュリティ責任者は、情報セキュリティインシデントを引き起こした部署の情報セキュリティ管理者及び情報システム管理者及び情報セキュリティに関する統一的な窓口と連携し、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。

第66条　CISOは、総括情報セキュリティ責任者から情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を講じなければならない。

(ICカード等の取扱い)

第67条　職員等は、認証に用いるICカード等を、職員等間で共有してはならない。

第68条　総括情報セキュリティ責任者及び情報システム管理者は、ICカード等の紛失等の通報があった場合、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

第69条　総括情報セキュリティ責任者及び情報システム管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕する等復元不可能な処理を行った上で廃棄しなければならない。

(IDの取扱い)

第70条　職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(パスワードの取扱い)

第71条　職員等は、パスワードを他者に知られないように管理しなければならない。

(文書サーバの設定等)

第72条　情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員に周知しなければならない。

(バックアップの実施)

第73条　総括情報セキュリティ責任者及び情報システム管理者は、業務システムのデータベース、ファイルサーバ等に記録された情報について、サーバの冗長化対策に関わらず、必要に応じて定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第74条　情報システム管理者及び情報システム所管管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、総括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。

(システム管理記録及び作業の確認)

第75条　情報システム管理者及び情報システム所管管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

第76条　情報システム管理者及び情報システム所管管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適切に管理しなければならない。

第77条　情報システム管理者及び情報システム所管管理者は、契約により操作を認められた委託事業者がシステム変更等の作業を行う場合は、2人以上で作業し、互いにその作業を確認しなければならない。

(情報システム仕様書等の管理)

第78条　情報システム管理者及び情報システム所管管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧又は紛失することがないよう適切に管理しなければならない。

(ログの取得等)

第79条　情報システム管理者及び情報システム所管管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

第80条　情報システム管理者及び情報システム所管管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。

第81条　情報システム管理者及び情報システム所管管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(障害記録)

第82条　情報システム管理者は、職員からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第83条　総括情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

第84条　総括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。

(外部の者が利用できるシステムの分離等)

第85条　情報システム管理者は、電子申請の受付システム等の外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限等)

第86条　情報セキュリティ責任者は、所管するネットワークを外部ネットワークと接続しようとする場合、CISOの許可を得なければならない。

第87条　情報セキュリティ責任者及び情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

第88条　情報システム管理者又は情報システム所管管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

第89条　総括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、次に掲げるセキュリティ対策を実施しなければならない。

第90条　情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、総括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

(複合機のセキュリティ管理)

第91条　総括情報セキュリティ責任者は、複合機を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

第92条　総括情報セキュリティ責任者は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

第93条　総括情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

(特定用途機器のセキュリティ管理)

第94条　総括情報セキュリティ責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

(無線LAN及びネットワークの盗聴対策)

第95条　情報システム管理者は、所管するシステムにおいて無線LANの利用を認める場合、総括情報セキュリティ責任者の承認を得なければならない。

第96条　情報システム管理者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

(電子メールのセキュリティ管理)

第97条　情報システム管理者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

第98条　情報システム管理者は、大量のスパムメール等の受信又は送信を検知した場合、メールサーバの運用を停止しなければならない。

第99条　情報システム管理者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

第100条　情報システム管理者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

第101条　情報システム管理者及び情報システム所管管理者は、システム開発や運用、保守等のため庁舎内に常駐している委託事業者の作業員による電子メールアドレス利用について、委託事業者との間で利用方法を取り決めなければならない。

第102条　情報システム管理者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等によりシステム上措置しなければならない。

(電子メールの利用制限)

第103条　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

第104条　職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

第105条　職員等は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。

(電子署名及び暗号化)

第106条　職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、市が定めた電子署名、暗号化又はパスワード設定等、セキュリティを考慮して、送信しなければならない。

第107条　職員等は、暗号化を行う場合に市が定める以外の方法を用いてはならない。また、市が定めた方法で暗号のための鍵を管理しなければならない。

第108条　市は、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。

(無許可ソフトウェアの導入等の禁止)

第109条　職員等は、パーソナルコンピュータやモバイル端末に無断でソフトウェアを導入してはならない。

第110条　職員等は、業務上の必要がある場合は、情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、情報セキュリティ管理者又は情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。

第111条　職員等は、不正にコピーしたソフトウェアを利用してはならない。

(機器構成の変更の制限)

第112条　職員等は、パーソナルコンピュータやモバイル端末に対し機器の改造、増設及び交換を行ってはならない。

第113条　職員等は、業務上、パーソナルコンピュータやモバイル端末に対し機器の改造、増設及び交換を行う必要がある場合、情報システム管理者の許可を得なければならない。

(業務外ネットワークへの接続の禁止)

第114条　職員等は、支給されたパーソナルコンピュータ、モバイル端末等を、情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。

(業務以外の目的でのウェブ閲覧の禁止)

第115条　職員等は、業務以外の目的でウェブを閲覧してはならない。

第116条　総括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し、適正な措置を求めなければならない。

(ウェブ会議サービスの利用時の対策)

第117条　総括情報セキュリティ責任者は、ウェブ会議を適切に利用するための利用手順を定めなければならない。

第118条　職員等は、市の定める利用手順に従い、ウェブ会議の参加者及び取り扱う情報に応じた情報セキュリティ対策を実施しなければならない。

第119条　職員等は、ウェブ会議を主催する場合、会議に無関係の者が参加できないよう対策を講じなければならない。

第120条　職員等は、外部からウェブ会議に招待される場合は、市の定める利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。

(ソーシャルメディアサービスの利用)

第121条　情報セキュリティ管理者は、市が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次に掲げる事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(アクセス制御)

第122条　情報セキュリティ責任者又は情報システム管理者は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。

(利用者IDの取扱い)

第123条　情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。

(特権を付与されたIDの管理等)

第124条　情報システム管理者及び情報システム所管管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(職員等による外部からのアクセス等の制限)

第125条　職員等が外部から内部のネットワーク又は情報システムにアクセスする場合、情報システム管理者又は情報システム所管管理者の許可を得なければならない。

(自動識別の設定)

第126条　情報システム管理者及び情報システム所管管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

(ログイン時の表示等)

第127条　情報システム管理者及び情報システム所管管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定、ログイン及びログアウト時刻の表示等により、正当なアクセス権を持つ職員がログインしたことを確認することができるようシステムを設定しなければならない。

(認証情報の管理)

第128条　情報システム管理者及び情報システム所管管理者は、職員等の認証情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

(特権による接続時間の制限)

第129条　情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

(情報システムの調達)

第130条　情報システム管理者及び情報システム所管管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。また、業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に記載しなければならない。

(システム開発における責任者及び作業者の特定)

第131条　情報システム管理者及び情報システム所管管理者は、システム開発の責任者及び作業者を特定しなければならない。

(システム開発における責任者、作業者のIDの管理)

第132条　情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

(システム開発に用いるハードウェア及びソフトウェアの管理)

第133条　情報システム管理者及び情報システム所管管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

(アプリケーション及びコンテンツの開発時の対策)

第134条　情報システム管理者及び情報システム所管管理者は、ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。

(開発環境と運用環境の分離及び移行手順の明確化)

第135条　情報システム管理者及び情報システム所管管理者は、システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。

(テスト)

第136条　情報システム管理者及び情報システム所管管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。

(機器等の納入時又は情報システムの受入れ時)

第137条　情報システム管理者及び情報システム所管管理者は、機器等の納入時又は情報システムの受入れ時の確認及び検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。

(情報システムの基盤を管理又は制御するソフトウェア導入時の対策)

第138条　情報システム管理者及び情報システム所管管理者は、情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講じなければならない。

(情報システムの基盤を管理又は制御するソフトウェア運用時の対策)

第139条　情報システム管理者及び情報システム所管管理者は、情報システムの基盤を管理又は制御するソフトウェアを運用又は保守する場合は、次に掲げるセキュリティ対策を実施しなければならない。

(システム開発又は保守に関連する資料等の整備及び保管)

第140条　情報システム管理者及び情報システム所管管理者は、システム開発又は保守に関連する資料及びシステム関連文書を適切に整備し、かつ、保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第141条　情報システム管理者及び情報システム所管管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

(情報システムの変更管理)

第142条　情報システム管理者及び情報システム所管管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

(開発及び保守用のソフトウェアの更新等)

第143条　情報システム管理者及び情報システム所管管理者は、開発又は保守用のソフトウェア等の更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

(システム更新又は統合時の検証等)

第144条　情報システム管理者及び情報システム所管管理者は、システム更新又は統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。

(情報システムについての対策の見直し)

第145条　情報システム管理者及び情報システム所管管理者は、対策の推進計画等に基づき情報システムの情報セキュリティ対策を適切に見直さなければならない。また、市内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直さなければならない。この場合において、見直しの結果については、総括情報セキュリティ責任者へ報告しなければならない。

(総括情報セキュリティ責任者の措置事項)

第146条　総括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。

(情報システム管理者の措置事項)

第147条　情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。

(職員等の遵守事項)

第148条　職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(専門家の支援体制)

第149条　総括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(総括情報セキュリティ責任者の措置事項)

第150条　総括情報セキュリティ責任者は、不正アクセス対策として、次の事項を措置しなければならない。

(攻撃への対処)

第151条　CISO及び総括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けることが明確になった場合、システムの停止を含む必要な措置を講じなければならない。この場合において、関係機関と連絡を密にして情報の収集に努めなければならない。また、総務省、都道府県等と連絡を密にして情報の収集に努めなければならない。

(記録の保存)

第152条　CISO及び総括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第153条　総括情報セキュリティ責任者及び情報システム管理者は、職員等及び委託事業者が使用しているパーソナルコンピュータ等の端末からの庁内のサーバ等に対する攻撃及び外部のサイトに対する攻撃を監視しなければならない。

(職員等による不正アクセス)

第154条　総括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合、当該職員等が所属する課室等の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第155条　総括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

(標的型攻撃)

第156条　総括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)及び内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。

(セキュリティホールに関する情報の収集、共有及びソフトウェアの更新等)

第157条　総括情報セキュリティ責任者及び情報システム管理者は、サーバ装置、端末、通信回線装置等におけるセキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。

(不正プログラム等のセキュリティ情報の収集及び周知)

第158条　総括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。

(情報セキュリティに関する情報の収集及び共有)

第159条　総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

(情報システムの運用及び保守時の対策)

第160条　総括情報セキュリティ責任者及び情報システム管理者は、情報システムの運用及び保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用しなければならない。

(情報システムの監視機能)

第161条　総括情報セキュリティ責任者及び情報システム管理者は、情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装しなければならない。

(情報システムの監視)

第162条　総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

(遵守状況の確認及び対処)

第163条　総括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合、速やかにCISO及び総括情報セキュリティ責任者に報告しなければならない。

(パーソナルコンピュータ、モバイル端末、電磁的記録媒体等の利用状況調査)

第164条　CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパーソナルコンピュータ、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

(職員等の対処義務)

第165条　職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに総括情報セキュリティ責任者及び情報セキュリティ管理者に報告しなければならない。

(緊急時対応計画の策定)

第166条　CISOは、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するため、緊急時対応計画を定め、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第167条　緊急時対応計画には、次の内容を定めなければならない。

(業務継続計画との整合性確保)

第168条　CISO又は情報セキュリティ委員会は、自然災害、大規模又は広範囲にわたる疾病等に備えて別途業務継続計画を策定し、情報セキュリティ委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第169条　CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

(例外措置の許可)

第170条　情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を取ることができる。

(緊急時の例外措置)

第171条　情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合において、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。

(例外措置の申請書の管理)

第172条　CISOは、例外措置の申請書及び審査結果を適切に保管し、定期的に申請状況を確認しなければならない。

第173条　職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(懲戒処分)

第174条　情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。

(違反時の対応)

第175条　職員等の情報セキュリティポリシーに違反する行動を確認した場合、職員等は、所属する情報セキュリティ責任者に違反内容を報告しなければならない。

(業務委託に係る運用規程の整備)

第176条　総括情報セキュリティ責任者は、業務委託に係る次に掲げる内容を含む運用規程を整備しなければならない。

(外部委託実施前の対策)

第177条　情報セキュリティ管理者又は情報システム管理者は、業務委託の実施までに、次に掲げる内容を含む事項を実施しなければならない。

(契約項目)

第178条　情報システム管理者又は情報システム所管管理者は、情報システムの運用、保守等を委託する場合には、委託事業者との間で必要に応じて次の情報セキュリティ等に係る要件を明記した契約を締結しなければならない。

(秘密保持契約)

第179条　委託事業者に重要情報を提供する場合は、秘密保持契約(NDA)を締結しなければならない。

(業務委託実施期間における対策)

第180条　情報セキュリティ管理者又は情報システム管理者は、業務委託の実施期間において、次に掲げる内容を含む対策を実施しなければならない。

(業務委託終了時の対策)

第181条　情報セキュリティ管理者又は情報システム管理者は、業務委託の終了に際して、次に掲げる内容を含む対策を実施しなければならない。

(情報システムに関する業務委託における共通的対策)

第182条　情報システム管理者は、情報システムに関する業務委託の実施までに、情報システムに市の意図しない変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。

(情報システムの構築を業務委託する場合の対策)

第183条　情報システム管理者は、情報システムの運用又は保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めなければならない。

(本市向けに情報システムの一部の機能を提供するサービスを利用する場合の対策)

第184条　情報システム管理者又は情報セキュリティ管理者は、外部の一般の者が本市向けに重要情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託事業者の選定条件に業務委託サービスに特有の選定条件を加えなければならない。

(外部サービスの選定に係る運用規定の整備)

第185条　総括情報セキュリティ管理者は、機密性2以上の情報を取り扱う場合、次に掲げる外部サービス(クラウドサービス)(以下「クラウドサービス」という。)の選定に関する規定を整備しなければならない。この場合において、クラウドサービスの利用では機密性2以上の情報が取り扱われないように規定しなければならない。

(クラウドサービスの選定)

第186条　情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス利用判断基準に従ってクラウドサービスの利用を検討しなければならない。

(クラウドサービスの利用に係る調達及び契約)

第187条　情報セキュリティ責任者は、クラウドサービスを調達する場合は、クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。

(クラウドサービスの利用承認)

第188条　情報セキュリティ責任者は、クラウドサービスを利用する場合には、利用申請の許可権限者へクラウドサービスの利用申請を行わなければならない。

(クラウドサービスを利用した情報システムの導入及び構築時の対策)

第189条　総括情報セキュリティ責任者は、クラウドサービスの特性、責任分界点に係る考え方等を踏まえ、次に掲げる内容を含むクラウドサービスを利用して情報システムを構築する際のセキュリティ対策を規定しなければならない。

(クラウドサービスを利用した情報システムの運用及び保守時の対策)

第190条　総括情報セキュリティ責任者は、クラウドサービスの特性及び責任分界点に係る考え方を踏まえ、次に掲げる内容を含むクラウドサービスを利用して情報システムを運用する際のセキュリティ対策を規定しなければならない。

(クラウドサービスを利用した情報システムの更改及び廃棄時の対策)

第191条　総括情報セキュリティ責任者は、クラウドサービスの特性及び責任分界点に係る考え方を踏まえ、次に掲げる内容を含むクラウドサービスの利用を終了する際のセキュリティ対策を規定しなければならない。

(実施方法)

第192条　CISOは、情報セキュリティ監査責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第193条　情報セキュリティ監査責任者は、監査を実施する場合、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

(監査実施計画の立案及び実施への協力)

第194条　情報セキュリティ監査責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

(外部委託事業者に対する監査)

第195条　外部委託事業者に監査を委託している場合、情報セキュリティ監査責任者は外部委託事業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的又は必要に応じて行わなければならない。

(報告)

第196条　情報セキュリティ監査責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。

(保管)

第197条　情報セキュリティ監査責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(監査結果への対応)

第198条　CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。

(情報セキュリティポリシー及び関係規程等の見直し等への活用)

第199条　情報セキュリティ委員会は、監査結果を情報セキュリティポリシー及び関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

(実施方法)

第200条　総括情報セキュリティ責任者、情報システム管理者及び情報システム所管管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。

(報告)

第201条　総括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

(自己点検結果の活用)

第202条　職員等は、前条の自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

第203条　情報セキュリティ委員会は、情報セキュリティ監査及び第201条の自己点検結果並びに情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認めた場合、改善を行うものとする。この場合において、横断的に改善が必要となる情報セキュリティ対策の運用の見直しについては、内部の職制及び職務に応じた措置の実施又は指示し、措置の結果についてCISOに報告しなければならない。