○港区住民基本台帳ネットワークシステム情報安全対策基準
平成16年3月26日
15港政情第945号
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第6条)
第3章 情報資産管理(第7条・第8条)
第4章 アクセス管理(第9条―第14条)
第5章 入退管理(第15条―第18条)
第6章 委託管理(第19条―第23条)
第7章 監査等(第24条・第25条)
第8章 雑則(第26条)
付則
第1章 総則
(目的)
第1条 この基準は、港区における住民基本台帳ネットワークシステムの運用管理に関し、港区情報安全対策指針(平成15年8月15日15港政情第312号)に定めるもののほか、必要な事項を定めることにより、当該システムの適切かつ確実な運用及びセキュリティの確保を図ることを目的とする。
(用語の意義)
第2条 この基準で使用する用語の意義は、港区情報安全対策指針で使用する用語の例によるほか、次に定めるところによる。
(1) 住民基本台帳ネットワークシステム 電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)第1の1に規定する住民基本台帳ネットワークシステム(以下「住基ネット」という。)をいう。
(2) 情報資産 住基ネットに係る全ての情報、ソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。
(3) 本人確認情報 住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。
(4) 照合情報認証 手の静脈の情報に不可逆演算を施して登録された情報(以下「照合情報」という。)と認証時に読み取られる情報とを照合することにより認証する方法をいう。
(5) 照合ID 操作者を識別するためのIDをいう。
(6) 操作者ID 操作権限を識別するためのIDをいう。
(対象範囲)
第3条 この基準の対象範囲は、住基ネットのうち港区が所管する範囲の情報資産、建物・関連設備及び情報資産を取り扱う者とする。
第2章 管理体制
(セキュリティ副統括責任者)
第4条 住基ネットのセキュリティ対策においては、セキュリティ副統括責任者として、デジタル改革担当部長のほかに、芝地区総合支所長、麻布地区総合支所長、赤坂地区総合支所長、高輪地区総合支所長及び芝浦港南地区総合支所長のうち1名を充てる。
(住基ネットセキュリティ責任者)
第5条 住基ネットを利用する課等においてセキュリティ対策を実施するため、住基ネットセキュリティ責任者を置く。
2 住基ネットセキュリティ責任者は、別表に掲げる住基ネット利用課長をもって充てる。
(セキュリティ会議)
第6条 住基ネットのセキュリティを総合的に確保するため、セキュリティ統括責任者はセキュリティ会議を招集する。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) セキュリティ副統括責任者
(2) 住基ネットセキュリティ責任者
(3) システム統括管理者
3 セキュリティ会議は、住基ネットのセキュリティを総合的に確保するため、次の事項を審議する。
(1) 住基ネットセキュリティ対策の決定及び見直し
(2) 前号に定めるセキュリティ対策の遵守状況の確認
(3) 緊急時における措置
(4) その他必要な事項
第3章 情報資産管理
(情報資産の管理責任者)
第7条 住基ネットセキュリティ責任者は、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票を管理する。
2 システム統括管理者は、ハードウェア、ソフトウエア、ネットワーク、磁気ディスク及び設計書・仕様書等システムに係るセキュリティ情報を管理する。
(管理方法)
第8条 システム統括管理者及び住基ネットセキュリティ責任者は、管理する情報資産について、取り扱うことができる者を指定するものとする。
2 システム統括管理者及び住基ネットセキュリティ責任者は、管理する情報資産について、適切な管理方法を定めるものとする。
3 システム統括管理者は、住基ネットセキュリティ責任者と協議して、住基ネットのオペレーション計画を定めるものとする。
第4章 アクセス管理
(アクセス管理を行う機器)
第9条 次に掲げる住基ネットの構成機器については、アクセス管理を行わなければならない。
(1) サーバ
(2) 業務端末
(アクセス管理を実施する者)
第10条 システム統括管理者は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することによりアクセス管理を実施する。
(照合ID、照合情報及び操作者ID)
第11条 システム統括管理者は、照合ID、照合情報及び操作者IDの管理について、次に掲げる事項を実施するものとする。
(1) 照合ID及び操作者IDを適切に管理すること。
(2) 照合情報の登録及び削除を適切に管理すること。
(3) 操作者IDの種類ごとの操作者を住基ネットセキュリティ責任者と協議して定めること。
(4) 照合ID及び操作者IDの管理簿を作成すること。
(操作者の責務)
第12条 操作者は、別に定める照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第13条 システム統括管理者は、操作履歴について、7年間保管するものとする。
(オペレーティングシステムの管理)
第14条 システム統括管理者は、第10条に規定するアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施するものとする。
第5章 入退管理
(入退管理を行う区域)
第15条 次に掲げる住基ネットの運用が行われる区域(以下「管理区域」という。)においては、それぞれのセキュリティ区分に応じた入退管理を行うものとする。
セキュリティ区分 | 管理区域 |
レベル3 | 住基ネットのデータ、セキュリティ情報等の保管室 |
レベル2 | サーバ、ネットワーク機器の設置室 |
レベル1 | 業務端末の設置区域(各総合支所区民課、企画経営部情報政策課) |
2 それぞれのセキュリティ区分に応じた入退管理の方法は、次に掲げるとおりとする。
セキュリティ区分 | 入退管理の方法 |
レベル3 | 入退管理者が事前に指定した者が認証システムにより入退を行う。 また、入退に関する記録を行う。 入退者には、名札の着用を義務付ける。 |
レベル2 | 入退管理者が事前に指定した者が認証システムにより入退を行う。 また、入退に関する記録を行う。 入退者には、名札の着用を義務付ける。 |
レベル1 | 入退管理者が事前に指定した者が入退を行う。 入退者には、名札の着用を義務付ける。 |
(入退管理者)
第16条 入退管理者は、住基ネットのデータ、セキュリティ情報等の保管室及びサーバ、ネットワーク機器の設置室にあっては、システム統括管理者を、業務端末の設置区域にあっては、住基ネットセキュリティ責任者をもって充てる。
(職員等以外の者への措置)
第17条 入退管理者は、職員等以外の者の管理区域への入退を承認した場合には、名札の着用を義務付けるものとする。
2 入退管理者は、前項に定める者がレベル3及び2のセキュリティ区分に係る管理区域への入退を行う場合は、入退管理簿に記録し、職員を立ち会わせるものとする。
(指示)
第18条 セキュリティ統括責任者は、必要と認めるときは、適切な入退管理に関し、入退管理から報告を聴取し、調査し、及び指示するものとする。
第6章 委託管理
(外部委託)
第19条 システム統括管理者は、システムの保守、運用等を外部委託するときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について、次に掲げる事項を調査するものとする。
(1) 情報の保護に関する管理体制等に関すること。
(2) 要員の技術力や要員の教育体制、個人情報保護措置やセキュリティ対策の実施状況等に関すること。
(外部委託の承認)
第20条 システム統括管理者は、システムの保守、運用等を外部委託するときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者に報告し、その承認を受けなければならない。
(委託契約書への記載事項)
第21条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関すること。
(2) 情報が記録された資料の保管、返還又は廃棄に関すること。
(3) 情報が記録された資料の目的外使用、複製・複写及び第三者への提供の禁止に関すること。
(4) 情報の秘密保持に関すること。
(5) 事故等の報告に関すること。
(秘密保持)
第22条 システム統括管理者は、システムの保守・運用等を外部委託するときは、受託事業者に対し、秘密保持等に関する誓約書を提出させるものとする。
(受託事業者の管理状況の調査)
第23条 システム統括管理者は、必要に応じ受託事業者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第7章 監査等
(監査)
第24条 セキュリティ統括責任者は、住基ネットのセキュリティを確保するため、監査を実施するものとする。
2 システム統括管理者及び住基ネットセキュリティ責任者は、監査の結果に基づき、改善策を実施しなければならない。
3 システム統括管理者及び住基ネットセキュリティ責任者は、前項の改善策の実施状況について、セキュリティ統括責任者に報告し、その承認を受けるものとする。
(障害時の対応)
第25条 セキュリティ統括責任者は、住基ネットに障害が発生した場合は、別に定める緊急時対応計画書に基づき、必要な処置をとらなければならない。
第8章 雑則
(委任)
第26条 この基準に定めるもののほか必要な事項は、セキュリティ統括責任者が定める。
付則
1 この基準は、平成16年4月1日から施行する。
2 住民基本台帳ネットワークシステムセキュリティ会議設置要綱(平成14年8月1日14港政情第212号)及び港区住民基本台帳ネットワークシステムアクセス管理基準(平成14年7月31日14港政情第250号)は、廃止する。
付則
この基準は、平成18年4月1日から施行する。
付則
この基準は、平成21年4月1日から施行する。
付則
この基準は、平成22年4月1日から施行する。
付則
1 この基準は、平成25年12月2日から施行する。
2 この基準による改正前の港区住民基本台帳ネットワークシステム情報安全対策基準第7条第2項及び第10条から第12条までの規定は、照合情報認証への移行が終了する日までの間、改正後の当該規定にかかわらず、なお従前の例による。
付則
この基準は、平成27年10月5日から施行する。ただし、第2条第3項及び第9条の規定は、平成28年1月1日から施行する。
なお、この基準の施行の際、現に交付されている行政手続における特定の個人を識別するための番号の利用等に関する法律の施行に伴う関係法律の整備等に関する法律(平成25年法律第28号)による改正前の住民基本台帳法(昭和42年法律第81号)第30条の44第1項に規定する住民基本台帳カードの利用については、この基準の施行後もなおその効力を有する。
付則
この基準は、平成28年4月1日から施行する。
付則
この基準は、平成29年4月1日から施行する。
付則
この基準は、平成30年4月1日から施行する。
付則
この基準は、平成30年6月15日から施行する。
付則
この基準は、令和3年4月1日から施行する。
付則
この基準は、令和5年4月1日から施行する。
別表(第5条関係)
芝地区総合支所区民課長
麻布地区総合支所区民課長
赤坂地区総合支所区民課長
高輸地区総合支所区民課長
芝浦港南地区総合支所区民課長
産業・地域振興支援部税務課長
保健福祉支援部高齢者支援課長
保健福祉支援部介護保険課長
保健福祉支援部障害者福祉課長
保健福祉支援部生活福祉調整課長
保健福祉支援部国保年金課長
みなと保健所生活衛生課長
みなと保健所保健予防課長
みなと保健所健康推進課長
子ども家庭支援部子ども若者支援課長
子ども家庭支援部保育課長
子ども家庭支援部子ども家庭支援センター所長
子ども家庭支援部児童相談所児童相談課
街づくり支援部住宅課長
防災危機管理室防災課長
教育委員会事務局学校教育部学務課長