○住民基本台帳ネットワークシステム管理規程
平成14年11月14日
規程第10号
第1章 総則
(目的)
第1条 この規程は、「住民基本台帳法(昭和42年法律第81号)」及び「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)」に基づき、住民基本台帳ネットワークシステムの運営、管理等を適切に行うことを目的とする。
第2章 組織
(セキュリティ総括責任者)
第2条 住民基本台帳ネットワークシステムのセキュリティ対策を総合的に実施するため、セキュリティ総括責任者を置く。
2 セキュリティ総括責任者は、副町長をもって充てる。
(システム管理責任者)
第3条 住民基本台帳ネットワークシステムの総合的な管理を適正に行うため、システム管理責任者を置く。
2 システム管理責任者は、次の各号に掲げる事務を統括する。
(1) アクセス管理
(2) 情報資産管理
(3) 緊急時対応
(4) その他セキュリティ統括責任者が必要と認める事項
3 システム管理責任者は、総務課長をもって充てる。
(セキュリティ責任者)
第4条 住民基本台帳ネットワークシステムを利用する担当課において、セキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住民基本台帳ネットワークシステム担当課長をもって充てる。
(セキュリティ会議)
第5条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次の各号に掲げる者をもって組織する。
(1) システム管理責任者
(2) セキュリティ責任者
(3) その他セキュリティ統括責任者が必要と認める者
3 セキュリティ会議は、住民基本台帳ネットワークシステムの運用上、特に重要なものとして、次の各号に掲げる事項を審議する。
(1) セキュリティ対策
(2) 緊急時計画に基づく対策
(3) 監査及び教育・研修
(4) その他必要な事項
4 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができるものとする。
5 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部局の長に対し指示することができるものとする。
6 セキュリティ会議の事務局は、住民基本台帳ネットワークシステム担当課に置く。
第3章 施設管理
(入退室管理を行う室)
第6条 セキュリティ統括責任者は、次の表に掲げる住民基本台帳ネットワークシステムの管理及び運用が行われる室において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。
セキュリティ区分 | 室 |
レベル2 | 住民基本台帳ネットワークシステムのデータ、個人情報等の保管室並びにサーバ及びネットワーク機器の施設設置箇所 |
レベル1 | 業務端末の設置室(住民生活課窓口) |
セキュリティ区分 | 入退室管理の方法 |
レベル2 | (1) 入退室を行う場合には、総務課長から事前に許可を得ている者のみが入退室を行い、その都度、鍵を用いて入退室を行う。 (2) 識別を行うために、入退室者には、名札の着用を義務付ける。 (3) 入退室に関する記録をつける。 |
レベル1 | (1) 入退室を行う場合には、住民生活課長から事前に許可された者のみが入退室を行う。 (2) 識別を行うために、入退室者には、名札の着用を義務付ける。 (3) 入退室に関する記録をつける。 |
3 総務課長及び住民生活課長は、前2項に定めるもののほか、住民基本台帳ネットワークシステムのセキュリティを確保するため、入退室の管理に関し、必要な措置を講じなければならない。
(鍵の管理)
第7条 前条第1項の表に掲げるレベル2のセキュリティ区分に係る室の鍵の管理は、総務課長が行う。
2 総務課長は、前条第1項の表に掲げるレベル2のセキュリティ区分に係る室については、許可を得ている者に限り、鍵を貸与するものとする。
(指示)
第9条 セキュリティ総括責任者は、適切な入退室管理が行われているかどうか、総務課長及び住民生活課長から報告を聴取し、調査を行い、必要な指示を行うものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第10条 第3条に掲げるシステム管理責任者は、次に掲げる住民基本台帳ネットワークシステムの構成機器(以下「サーバ等」という。)について、アクセス管理を行うものとする。
(1) サーバ
(2) 業務端末
(アクセス管理)
第11条 前条のアクセス管理は、サーバ等の操作を行う者(以下「操作者」という。)が使用する操作用ICカード(以下「ICカード」という。)及びパスワードにより操作者の個人認証を行うこと並びにその操作履歴を記録することにより行うものとする。
(操作者の責務)
第12条 操作者は、この規程に定めるICカード及びパスワードの管理方法を遵守しなければならない。
(ICカードの貸与)
第13条 セキュリティ責任者は、ICカードを必要とする場合には、ICカード貸与申出書(様式第2号)により、ICカードの貸与をシステム管理責任者に申し出るものとする。
(ICカードの管理)
第14条 操作者は、ICカードを紛失又は盗難等にあわないよう、責任をもって管理するものとし、またICカードの他者への貸与及び申出の業務の目的以外の利用を行ってはならない。
2 セキュリティ責任者は、操作者のICカードの管理状況をICカード管理簿(セキュリティ責任者用)等により常に把握するとともに、その利用状況について定期的に監査するものとする。
(パスワードの設定)
第15条 システム管理責任者がパスワードの設定又は変更を行う場合には、外部に漏えいしないよう十分配慮の上、操作者が希望するパスワードを聴取するとともに、当該パスワードが適正であると認める場合に限り行うものとする。
2 システム管理責任者は、前項において設定又は変更を行うパスワードを、当該ICカード内以外の場所に保存しないものとする。
(パスワードの管理)
第16条 パスワードの有効期限は住民基本台帳ネットワークシステムに携わる期間とする。
2 システム管理者は、パスワードの設定に当たり、他者に容易に推測されるような規則性のある番号又は特定の番号を用いないものとする。また、システム管理者は必要に応じ、前項の期間内においてもパスワードの変更を行うことができるものとする。
3 システム管理責任者又は操作者は、パスワードが外部に漏えいすることがないよう責任を持って管理するものとする。
4 セキュリティ責任者は、パスワードが外部に漏えいしないように、定期的に状況を確認するものとする。
(ICカードの紛失等)
第17条 操作者は、ICカードを紛失、盗難、汚損及び破壊(以下「紛失等」という。)した場合は、直ちにセキュリティ責任者に報告しなければならない。
3 システム管理責任者は、セキュリティ責任者から前項の報告を受けたときは、直ちに当該ICカードを廃止するものとする。
2 セキュリティ責任者は、前項により、再貸与の申出及び再貸与を受けたときは、その旨をICカード管理簿(セキュリティ責任者用)に記載するものとする。
(ICカードの返還)
第19条 セキュリティ責任者は、操作者の退職、人事異動等に際しては、操作者からICカードを速やかにかつ確実に回収するものとする。
3 システム管理責任者は、前項によりICカードの返還を受けたときは、ICカード管理簿(総括)にその旨記載するものとする。
(ICカードの使用)
第20条 操作者は、ICカードを使用するときには、必ずICカード使用簿(様式第9号)に記録するものとする。ただし、住民基本台帳ネットワークシステム担当係員は、この記録を省略できる。
(操作履歴の記録)
第21条 システム管理責任者は、サーバ本体に蓄積される住民基本台帳ネットワークシステムの操作履歴を、サーバ本体から、記録媒体に定期的に記録し、5年間保存するものとする。
(システム担当者の指定)
第22条 システム管理責任者は、この規程に定めるもののほか、アクセス管理において必要な事項について、システム担当者を指定して行わせることができるものとする。
第5章 情報資産管理
(情報資産管理)
第23条 住民基本台帳ネットワークシステムの情報資産(住民基本台帳ネットワークシステムに係る全ての情報並びにソフトウェアー、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、住民基本台帳ネットワークシステム担当課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、総務課長をもって充てる。
(本人確認情報管理責任者)
第24条 本人確認情報管理責任者は本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理方法を定めるものとする。
(情報資産管理責任者)
第25条 情報資産管理責任者は、当情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、住民基本台帳ネットワークシステム担当課長と協議して、住民基本台帳ネットワークシステムのオペレーション計画を定めるものとする。
(設置環境の整備)
第26条 システム管理責任者は、情報資産を設置する建物、室及びスペースに関する環境について、必要な措置を講ずるものとする。
(情報資産の管理)
第27条 システム管理責任者は、情報資産について、次に掲げる区分に応じ適切な管理を行うものとする。
(1) 本人確認情報
(2) 出力帳票
(3) 操作用ICカード
(4) ハードウエアー
(5) ソフトウエアー
(6) その他情報資産
第6章 委託管理
(委託を受けようとする者の管理体制等の調査)
第28条 住民基本台帳ネットワークシステムを管理し、又は利用する部署の長は、外部委託(2以上の段階にわたる委託を含む。)をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(委託契約書の記載事項等)
第29条 外部委託(2以上の段階にわたる委託を含む。)に係る契約書には、次の各号に掲げる事項を記載するものとする。
(1) 情報の秘密保持に関する事項
(2) 委託の禁止又は制限に関する事項
(3) 損害責任に関する事項
(4) 情報資産の物理的保護に関する事項
(5) 情報が記録された資料の保管、返還又は廃棄に関する事項
(6) 事故等の報告に関する事
(7) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
2 システム管理責任者は、委託契約を締結する際に、受託者に対し、秘密保持に関する誓約者を提出させるものとする。
(連絡体制)
第30条 システム管理責任者は、障害時や緊急時に備え、受託者(2以上の段階にわたる受託者を含む。)との連絡体制を構築するものとする。
(管理状況の調査)
第31条 システム管理責任者は、外部委託(2以上の段階にわたる委託を含む。)に係るセキュリティ対策の実施状況について、定期的に調査するものとする。
(その他)
第32条 この規程に定めるもののほか、必要な事項については、システム管理者が別に定めるものとし、セキュリティ責任者に対し、その都度通知するものとする。
附則
この規程は、公布の日から施行し、平成14年8月5日から適用する。
附則(平成19年3月20日規程第2号)
この規程は、平成19年4月1日から施行する。
附則(平成27年12月29日規程第7号)
この規程は、公布の日から施行する。ただし、第2条の改正規定(「及び住民基本台帳カード」を「、住民基本台帳カード及び個人番号カード」に改める部分に限る。)は、平成28年1月1日から施行する。
附則(平成31年3月29日規程第2号)
この規程は、公布の日から施行する。
