○浅川町本人確認情報管理規程
平成15年6月27日
規程第3号
第1章 総則
(目的)
第1条 この規程は,住民基本台帳ネットワークシステム(以下「住基ネット」という。)を利用した本人確認情報の利用及び提供並びに保有個人情報に係る開示請求等の義務を行うに当たり,住基ネットのセキュリティに関する基本的な考え方及び方策を定めることを目的とする。
(1) 住基ネット コミュニケーションサーバ,都道府県サーバ,指定情報処理機関サーバ,端末機,電気通信関係装置(ファイアウォールを含む。以下同じ。)電気通信回線,プログラム等により構成され,町長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の5第1号に規定する本人確認情報をいう。)を都道府県知事に通知し,委任都道府県知事(法第30条の10第3項に規定する委任都道府県知事をいう。以下同じ。)が確認情報を指定情報処理機関(法第30条の10第1項に規定する指定情報処理機関をいう。以下同じ。)に通知し,並びに都道府県知事及び指定情報処理機関が本人確認情報の記録,保存及び提供を行うためのシステム
(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号。以下「令」という。)第13条第3項の規定による通知をいう。以下同じ。)を行うための町長の使用に係る電子計算機
(3) 都道府県サーバ 本人確認情報の通知及び転出確認通知を受け,本人確認情報の記録,保存及び提供を行い,並びに委任都道府県にあっては,指定情報処理機関に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機
(4) 指定情報処理機関サーバ 委任都道府県知事から本人確認情報の通知を受け,本人確認情報の記録,保存及び提供を行うための指定情報処理機関の使用に係る電子計算機
(5) ファイアウォール ネットワークにおいて不正進入を防御する電子計算機
(6) 情報資産 住基ネットに係る全ての情報(データを含む。)及び情報システム(ハードウェア,ソフトウェア,ネットワーク及び磁気ディスクなどをいう。以下同じ。)の総称
(7) データ 住基ネットにおいて通知され,記録され,保存され,又は提供される情報
(8) 情報セキュリティ 情報資産をさまざまな危険や脅威から保護し,正常な機能・状態を保持すること。
(9) 重要機能室 電子計算機,磁気ディスク等保管室,受電設備,低周波電源装置等の設備を設置する室並びに電子計算機室及び磁気ディスク等保管室の空気調和をする空気調和機及びその付属設備を設置する室
(10) 従事者 浅川町職員のうち,本人確認情報処理事務に従事する者
(適用範囲)
第3条 この規程は,管理責任者及び従事者並びに住基ネットのうち,浅川町が整備・管理責任を持つ範囲における情報資産及びその構成機器や関連設備を設置する付属施設等に適用する。
第2章 基本原則
(利用又は提供目的の明確化)
第5条 本人確認情報の利用又は提供は,法令等の定める事由でなければならない(法第30条の7第3項から第7項まで及び法第30条の8関係)。
(適正な取得)
第6条 本人確認情報は,適法かつ適正な方法で収集・提供されなければならない(法第30条の5関係)。
(利用及び提供の制限)
第7条 本人確認情報は,法令等に定める目的以外に利用し,又は提供してはならない(法第30条の30第1項及び法第30条の34関係)。
(正確性の確保)
第8条 本人確認情報は常に最新かつ正確な状態に保たなければならない(法第12条の3及び法第30条の5関係)。
(安全性の確保)
第9条 本人確認情報の取扱いに当たっては,漏えい,滅失又はき損の防止その他の本人確認情報の適切な管理のために必要な措置を講ずるものとする(法第30条の29及び法第30条の33関係)。
(公開の原則)
第10条 本人確認情報の取扱い状況を明らかにするものとする(法第30条の7第8項(ただし,指定情報処理機関へ委任した部分を除く。)及び法第30条の23第2項関係)。
(個人参加の確保)
第11条 本人確認情報の取扱いに当たっては,本人確認情報の所在及び内容が確認でき,かつ,訂正等に対応できる体制を講ずるものとする(法第30条の37及び法第30条の40関係)。
第3章 管理体制
(最高情報統括責任者)
第12条 住基ネットのセキュリティ対策に関する最高責任者として最高情報統括責任者を置く。
2 最高情報統括責任者は,副町長とする。
(セキュリティ会議)
第13条 最高情報統括責任者の下にセキュリティ会議を設置する。
2 セキュリティ会議は,住基ネットの関係部門の責任者及び職員で構成し,住基ネッ卜のセキュリティ対策の管理及び見直し,本人確認情報保護の遵守状況の確認,緊急時の対応等について検討する。
第4章 情報セキュリティ対策
(情報資産の管理)
第14条 情報資産を適切に管理するため,その管理責任を明確にしなければならない。
2 前項に基づく管理責任者は,情報資産を故意(盗聴,不正アクセス,改ざん,破壊等),過失(入力ミス,操作ミス等),災害(火災,地震等),盗難,故障等の脅威から守るために必要な措置を講ずるものとする。
(本人確認情報の適正な取扱い)
第15条 本人確認情報のセキュリティを確保し,適正に取扱うため,次の各号に掲げる措置を講ずるものとする。
(1) 本人確認情報処理事務に関する記録媒体の保存・廃棄を適正に実施するための必要な措置
(2) 本人確認情報の収集を適正に実施するための必要な措置
(3) 本人確認情報を常に最新かつ正確な状態に保つための必要な措置
(4) 本人確認情報の利用・提供を適正に実施するための必要な措置
(5) 本人確認情報の漏えい,滅失及びき損を防止するための必要な措置
(6) 本人確認情報の取扱い状況を明らかにするための必要な措置
(7) 本人確認情報の開示請求,訂正請求に対応できる体制の整備
(ソフトウェアの適正な管理)
第16条 本人確認情報処理事務におけるセキュリティを確保するため,ソフトウェアの適正な管理(処理状況は書面確認)を行い,不正アクセスの防止及び障害対策等の措置を講ずるものとする。
(ハードウェアの適正な管理)
第17条 本人確認情報処理事務におけるセキュリティを確保するため,ハードウェアの適正な管理を行い,不正アクセスの防止及び障害対策等の措置を講ずるとともに,電源対策,空気調和対策,防災対策,防犯対策等を講ずるものとする。
(施設の適正な管理)
第18条 重要機能室及び端末装置等を設置する場所の入退室の管理,その他これらの施設への不正なアクセスを予防するための措置を講ずるものとする。
(操作管理)
第19条 電子計算機及び端末操作の操作手順に関して,適正な管理を行うために必要な措置を講ずるものとする。
(緊急時における対策)
第20条 住基ネットを構成するハードウェア,ソフトウェア及びネットワークの障害により住民サービスが停止するとき又は不正行為により本人確認情報に脅威を及ぼすおそれがあるとき(以下「緊急時」という。)に,被害を未然に防ぎ,又は被害の拡大を防止し早急な復旧を図るため,緊急時対応計画書を作成するものとする。
2 緊急事態が発生したとき,又はそのおそれが認められるときは,前項の規定に基づき迅速かつ適切な対策を講ずるものとする。
(従事者対策)
第21条 従事者に対し,情報セキュリティの重要性に関する意識の啓発を行うとともに,本人確認情報処理事務の適正な執行を確保するため,必要な措置を講ずるものとする。
(管理責任者及び従事者の義務)
第22条 管理責任者及び従事者は,情報セキュリティの重要性について共通の認識を持つとともに,業務の遂行において,法令等及びこの規程を遵守する義務を負う。
(監査)
第23条 情報セキュリティ対策が遵守されていることを検証するため,定期的に監査を実施するものとする。
(評価及び見直し)
第24条 情報セキュリティ監査の結果及び点検の結果,新たに必要な対策が発生したときは,セキュリティ会議においてこの規程の実効性を評価したうえで適正な見直しを行うものとする。
第5章 その他
(管理業務の委託)
第25条 住基ネットの管理委託に係る業務(以下「管理業務」という。)等を委託するときは,その委託先事業者の選定に当たって,個人情報保護措置の実施状況等を考慮するものとする。
2 管理業務等を委託するときは,情報資産の保護のために次の各号に掲げる事項を委託先事業者と取り交わすものとする。
(1) 法第30条の17第2項に規定する秘密保持義務に関する事項
(2) 法第30条の29第2項に規定する本人確認情報の安全確保に関する事項
(3) 意識の啓発及び教育に関する事項
(4) 損害賠償に関する事項
(5) 法令の遵守に関する事項
(6) 委託事業の一部を第三者に委託又は請け負わせる場合の制限,事前申請及び承認に関する事項
(7) 前各号に掲げるもののほか,必要な措置に関する事項
3 町は,委託先事業者に対し,適切な監督を行うものとする。
(雑則)
第26条 この規程に掲げる必要な措置及びその実施のための手続きその他その執行に関し必要な事項は,別に定める。
附則
この規程は,公布の日から施行する。
附則(平成17年規程第1号)
この規程は,公布の日から施行し,平成17年4月1日から適用する。
附則(平成20年規程第1号)
この規程は,平成20年4月1日から施行する。
附則(令和5年訓令第3号)
この規程は,令和5年4月1日から施行する。