○嬬恋村住民基本台帳ネットワークシステム運用管理規程

平成28年10月17日

訓令第13号

目次

第1章 情報セキュリティ基本方針(第1条―第3条)

第2章 セキュリティ組織(第4条―第8条)

第3章 入退室管理(第9条―第14条)

第4章 アクセス管理(第15条―第20条)

第5章 情報資産管理(第21条―第23条)

第6章 本人確認情報管理(第24条―第30条)

第7章 委託管理(第31条―第34条)

附則

第1章 情報セキュリティ基本方針

(目的)

第1条 この訓令は、住民基本台帳法(昭和42年法律第81号)に基づく住民基本台帳ネットワークシステム(以下「住基ネット」という。)について、嬬恋村において安全で良好に運用するために、セキュリティ確保と本人確認情報等のデータの漏えいの防止及び正確性の維持とシステムの継続的な運用を図ることを目的とする。

(用語の定義)

第2条 この訓令における用語の定義は、特段の定めがない限り、電気通信回線を通じた送信又は磁気ディスクの送信の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)で使用する用語の定義による。

(適用範囲)

第3条 この訓令は、住基ネットのうち、嬬恋村が整備及び管理責任をもつ範囲における情報、資産建物及び関連設備に適用する。

第2章 セキュリティ組織

(セキュリティ統括責任者)

第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副村長をもって充てる。ただし、副村長不在時は、総務課長をもって充てる。

(システム管理者)

第5条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、情報担当課長である総務課長をもって充てる。

(セキュリティ責任者)

第6条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、住基ネットを利用する課の各課長をもって充てる。

(セキュリティ会議)

第7条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) 関連設備課長

(4) 人事担当課長

3 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直し

(2) 前号のセキュリティ対策の遵守状況の確認

(3) 監査の実施

(4) 教育及び研修の実施

4 議長は、前項のうち重要と認められる事項を審議するときは、個人情報保護委員会の意見を聴くものとする。

5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

6 セキュリティ会議の庶務は、情報担当課において処理する。

(関係各課に対する指示等)

第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係各課の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

第3章 入退室管理

(入退室管理を行う室又は場所)

第9条 次に掲げる住基ネットの運用が行われる室において、それぞれのセキュリティ区分に応じた入退室管理を行うものとする。

セキュリティ区分

室又はエリア

レベル3

住基ネットのデータ、セキュリティ情報等の保管室

レベル2

サーバ、ネットワーク機器の設置室

レベル1

統合端末の設置エリア(住民福祉課窓口)

2 それぞれのセキュリティ区分に応じた入退室管理の方法は、次に掲げるとおりとする。

セキュリティ区分

入退室管理の方法

レベル3

入退室を行う場合には、入退室管理者から事前に許可を得ている者のみが入退室を行い、その都度、鍵を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。

レベル2

入退室を行う場合には、入退室管理者から事前に許可された者のみが鍵を用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。

レベル1

設置エリアへ立ち入ることができるのは、入退室管理者から事前に許可された者のみとする。識別を行うために、名札の着用を義務付ける。

(入退室管理者)

第10条 入退室管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては、情報担当課長、統合端末の設置エリアにあっては、住民福祉課長、住民基本台帳法別表第二及び第四に規定する事務の担当課長(統合端末を設置する場合)等をもって充てる。

2 入退室管理者は、前条第1項に掲げる室及びエリアについて、同条第2項に定める入退室の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。

(鍵等の管理)

第11条 鍵の管理は、関連設備課長が行う。

2 関連設備課長は、レベル3及び2のセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、鍵を貸与するものとする。

(訪問者の入室管理)

第12条 訪問者(入退室の資格のない者をいう。)の第9条第1項に掲げる室及びエリアへの立ち入りについては事前に申請を行い入退室管理者からの許可を得る。

2 関連設備課長は、レベル3及び2のセキュリティ区分に係る室については、入退室管理者から許可を得ている者に限り、鍵を貸与するものとする。

3 訪問者は、訪問後に入退室管理簿(様式第1号)に記録を行い、又は作業報告書を必ず提出させ、入退室管理者はこれを保管する。

(管理簿の作成)

第13条 入退室管理者は、レベル3及び2のセキュリティ区分に係る室については、入退室管理簿を作成し、これを保存するものとする。

2 関連設備課長は、レベル3及び2のセキュリティ区分に係る室については、鍵の管理簿(様式第2号)を作成し、これを保存するものとする。

(指示)

第14条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうかについて、入退室管理者等から報告を聴取し、調査を行い、又は必要な指示を行うものとする。

第4章 アクセス管理

(アクセス管理を行う機器)

第15条 次に掲げる住基ネットの構成機器について、アクセス管理を行うものとする。

(1) コミュニケーションサーバ

(2) 統合端末

2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること、及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第16条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2 アクセス管理責任者は、住民福祉課長をもって充てる。

(照合ID及び操作者用ID)

第17条 アクセス管理責任者は、照合ID、照合情報及び操作者用IDに関し、次に掲げる事項を実施するものとする。

(1) 照合ID及び操作者用IDの管理方法を定めること

(2) 照合情報の登録及び削除の管理方法を定めること

(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する課のセキュリティ責任者と協議して定めること

(4) 照合ID及び操作者IDの管理簿(様式第3号)を作成すること

(操作者の責務)

第18条 操作者は、照合ID、照合情報及び操作者IDでの管理方法を遵守しなければならない。

(操作履歴の記録)

第19条 アクセス管理責任者は、操作履歴について、7年前までさかのぼって解析できるよう保管するものとする。

(オペレーティングシステムの管理)

第20条 アクセス管理責任者は、第15条のアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施しなければならない。

第5章 情報資産管理

(情報資産管理)

第21条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。

2 前項の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等(住民基本台帳カードを含む。以下同じ。)の管理責任者(以下「本人確認情報管理責任者」という。)は、住民福祉課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、嬬恋村セキュリティポリシーに準じる。

(本人確認情報管理責任者)

第22条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとするとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票の管理方法を定めるものとする。

(情報資産管理責任者)

第23条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。

2 情報資産管理責任者は、統合端末設置を行う課の課長等と協議して、住基ネットのオペレーション計画を定めるものとする。

第6章 本人確認情報管理

(本人確認情報管理を行う機器)

第24条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう)のうち、本人確認情報(データ)、当該本人確認情報が記録された帳票及び個人番号カード等について本人確認情報管理を行う。

(本人確認情報管理方法)

第25条 本人確認情報管理責任者は、当該情報資産の管理方法を定めるものとする。

2 本人確認情報管理責任者は、住基ネットのオペレーション計画を定めるものとする。

3 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えいやき損等の被害を受けるおそれがある場合には、本人確認情報の保護を第一優先とし、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。

(本人確認情報の取扱方法)

第26条 職員は、本人確認情報を取り扱う際には、次ぎに掲げる項目に留意しなければならない。

(1) 統合端末の画面情報に関する留意項目

(ア) ディスプレイを、来庁者等に画面を見られることがないよう設置すること。

(イ) ディスプレイに、斜視防止フィルタを適用する等の覗き見防止措置を行こと。

(ウ) 画面を長時間表示させないこと。

(2) 本人確認情報の入力、削除及び訂正時の留意項目

(ア) 入力、削除及び訂正を行った者以外の者が、入力、削除及び訂正した内容を確認すること。

(イ) 本人確認情報の入力、削除及び訂正から確認に至るまでを2名の担当者にて行うこと。

(ウ) 入力、削除及び訂正に用いた帳票等は、シュレッダー等で廃棄すること。また、帳票の内容によっては、本人確認情報変更管理簿(様式第4号)に記載し、施錠可能な書庫等に施錠保管すること。

(エ) 訂正は、本人確認情報管理責任者の許可を得てから行い、訂正した内容の記録を1年間、施錠可能な書庫等に施錠保存すること。

(オ) 本人確認情報をメモに書き込む及び端末にテキスト文書として保存しないこと。

(カ) 本人確認情報の入力、削除及び訂正を行った際、実施月日、実施者、処理内容の記録を残すこと。

(3) 本人確認情報の検索及び抽出時の留意項目

(ア) 業務上必要のない検索は行わないこと。

(イ) 事前に、検索及び抽出条件を明確にすること。

(ウ) 検索及び抽出の結果によってディスプレイ上に表示された本人確認情報について、基本的には画面のハードコピーを取らないこと。必要があってハードコピーを取る場合には、事前に本人確認情報管理責任者の承認を得て、その記録を残すこと。

(4) 離席時の留意項目

(ア) 業務アプリケーションを必ずログオフ又は終了させること。

(イ) 離席時に終了する場合でも、サーバの運用時間中は、端末1台は終了させないこと。

(5) 大量に本人確認情報を出力する場合の留意項目

(ア) 大量に本人確認情報を出力することは基本的に実施しないこと。必要があって大量に本人確認情報を出力する場合には、事前に本人確認情報管理責任者の決裁又は承認を得て、その記録を残すこと。

(イ) 大量を定義する印刷物(整合性確認処理時のファイルへの出力数)等の量は20名以上とすること。

(実施状況の確認)

第27条 本人確認情報管理責任者は以下のとおり実施状況の確認をする。

(1) 確認時期 月1回以上

(2) 確認内容は、次ぎに掲げる項目とし、その結果を記録するものとする。

(ア) 前条の留意項目について、実際の業務の中で遵守されていること。

(イ) 操作ログに、業務上必要の無い操作履歴が残っていないこと。

(ウ) 業務上必要のない検索又は抽出が行われていないことについて、担当者へのヒアリングにより確認していること。

(帳票の管理方法)

第28条 管理対象とする帳票は、別表のとおりとする。

2 本人確認情報管理責任者は、次ぎに掲げる項目を記録するための帳票管理簿(様式第5号)を作成し、帳票の出力、保管、廃棄等を行う際には、職員に必要項目を記録させるものとする。ただし、住民からの申請書に基づき、住民に交付する部数のみを印刷する場合には、住民からの申請書が管理対象であり、出力は管理対象外とする。

(1) 出力に関する項目

(ア) 帳票の内容(数量及び内訳)

(イ) 出力年月日

(ウ) 出力する職員の氏名及び所属課名

(エ) 使用理由

(オ) 管理者の承認

(カ) 使用の際の注意項目

(2) 保管に関する項目

(ア) 保管場所

(イ) 保管期間

(3) 廃棄に関する項目

(ア) 廃棄年月日

(イ) 廃棄する職員の氏名及び所属課名

(ウ) 廃棄理由

(エ) 管理者の承認

(オ) 廃棄方法

3 出力時の留意事項は、次ぎに掲げるとおりとする。

(1) 職員は、出力装置を、来庁者等に出力帳票を見られないように設置すること。

(2) 職員は、帳票を出力した際、出力装置上に放置せず、速やかに回収すること。

(3) 職員は、出力装置を適時確認し、帳票が放置されている場合は以下の措置を行うこと。

(4) 出力した職員を特定して注意すること。

(5) 長時間放置されたものは廃棄すること。

4 職員は、帳票を保管する際には、次ぎに掲げる項目に留意するものとする。

(1) 施錠可能な書庫等に保管し、権限のない者がアクセスできないようにすること。

(2) 鍵については、管理者が管理すること。

(3) 帳票管理簿についても前号と同様とする。

5 廃棄時の留意項目は、次ぎに掲げるとおりとする。

(1) 事前に管理者の承認を得てから廃棄すること。

(2) 帳票の内容を読み出せないよう焼却、裁断、溶解等により廃棄すること。

(3) 廃棄状況を帳票管理簿に記録して、管理者へ報告すること。

(帳票受渡管理方法)

第29条 本人確認情報管理責任者は、次ぎに掲げる項目を記録するための帳票受渡管理簿(様式第6号)を作成し、帳票を利用する際には、職員に必要項目を記録させるものとする。

(1) 帳票名

(2) 利用者

(3) 利用目的

(4) 利用年月日

(5) 返却予定年月日

(6) 利用場所

(7) 返却年月日

(8) 管理者の確認

2 受渡者(職員)は、帳票を持ち出す場合には、次ぎに掲げる項目に留意するものとする。

(1) 帳票受渡管理簿に必要項目を記録して、管理者の承認を得ること。

(2) 利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しないこと。

(3) 原則として、複写は行わないこと。

(4) 帳票の盗難又は紛失時には、直ちに管理者へ報告すること。

(5) 返却の際には、帳票受渡管理簿に必要項目を記録して管理者へ報告すること。

(実施状況の確認)

第30条 実施状況の確認は、次ぎに掲げる方法によるものとする。

(1) 確認者 本人確認情報管理責任者

(2) 確認時期 月1回以上

(3) 確認方法 確認方法については、次ぎに掲げる項目について確認し、その結果を記録するものとする。

(ア) 帳票管理簿に必要項目(帳票の内容、出力年月日、出力した職員の氏名等)が記録されていること。

(イ) 帳票管理簿と現況が一致していること、紛失等はないこと。

(ウ) 出力装置が、来庁者等に出力された帳票を見られないよう設置されていること。

(エ) 帳票及び帳票保管庫の鍵が施錠保管されており、権限のない者がアクセス可能な場所に放置されていないこと。

(オ) 廃棄状況の記録が残っていること。

第7章 委託管理

(委託を受けようとする者の管理体制等の調査)

第31条 住基ネットを管理し、又は利用する住民福祉課長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第32条 住基ネットを管理し、又は利用する住民福祉課長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第33条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1) 再委託の禁止又は制限に関する事項

(2) 情報が記録された資料の保管、返還又は廃棄に関する事項

(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

(受託者の管理状況の調査)

第34条 住基ネットを管理し、又は利用する住民福祉課長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

附 則

この訓令は、公布の日から施行する。

附 則(平成29年訓令第10号)

この訓令は、公布の日から施行する。

別表 本人確認情報管理対象とする帳票

項番

帳票名称

1

広域交付住民票

2

転出証明確認書

3

転入通知確認書

4

住民票コード通知票

5

住民票コード変更通知票

6

住民票の写しの広域交付・転入出(住基カード)処理件数一覧表

7

住民票コード要求・付番処理件数一覧表

8

本人確認情報更新処理件数一覧表

9

本人確認情報整合結果リスト

10

本人確認情報リスト

11

住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表

12

住民票コード要求・付番処理件数年合計一覧表

13

本人確認情報更新処理件数年合計一覧表

14

戸籍附票記載事項通知処理件数一覧表

15

住基カード交付申請書

16

個人番号カード交付申請者一覧表

画像

画像

画像

画像

画像

画像

嬬恋村住民基本台帳ネットワークシステム運用管理規程

平成28年10月17日 訓令第13号

(平成29年7月3日施行)

体系情報
第3編 執行機関/第1章 長/第7節
沿革情報
平成28年10月17日 訓令第13号
平成29年7月3日 訓令第10号