○住民基本台帳ネットワークシステムのセキュリティ確保に関する要綱

平成15年6月27日

要綱第19号

(趣旨)

第1条 この要綱は,住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用に当たり,個人情報を保護するため必要な事項を定めるものとする。

(定義)

第2条 この要綱において,次の各号に掲げる用語の定義は,当該各号に定めるところによる。

(1) サーバ コミュニケーションサーバ(CSサーバ)

(2) 業務端末機 住基ネット用端末機

(3) 通信回線機器 サーバと業務端末機を回線で接続するための機器をいう。

(4) カード 住民基本台帳カード,操作者用ICカードをいう。

(5) 記憶媒体 データが記憶されている磁気テープ,磁気ディスク,電子ディスク,フロッピディスク等をいう。

(セキュリティ統括責任者)

第3条 住基ネットのセキュリティ対策を総合的に実施するため,セキュリティ統括責任者をおく。

2 セキュリティ統括責任者は総括参事をもって充てる。

(システム管理者)

第4条 住基ネットの適切な管理を行うため,システム管理者を置く。

2 システム管理者は住民課長をもって充てる。

3 システム管理者の役割は表1に示すとおりとする。

表1

システム管理者の役割

・システム監視

・ハードウエア保守

・ソフトウエア保守

(セキュリティ責任者)

第5条 住基ネットを利用する部署においてセキュリティ対策を実施するためセキュリティ責任者を置く。

2 セキュリティ責任者は,住民課長をもって充てる。

(セキュリティ会議)

第6条 住基ネットのセキュリティ対策を確実なものにするためセキュリティ会議(以下「会議」という。)を設置する。

2 会議は,次に掲げるものをもって組織する。

(1) セキュリティ統括責任者

(2) システム管理者

(3) セキュリティ責任者

(4) その他セキュリティ統括責任者が必要と認めた者

3 会議は,セキュリティ統括責任者が招集するとともに議長を務める。

4 会議は,次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直し

(2) 前項のセキュリティ対策の遵守状況の確認

(3) 緊急時の対応措置

(4) 検査内容の確認

(5) 教育・研修の実施

5 議長は,必要と認めるときは,関係職員の出席を求め,その意見又は説明を聴くことができる。

6 会議の庶務は,住民課において処理する。

(関係部署に対する指示等)

第7条 セキュリティ統括責任者は,会議の結果を踏まえ,関係部署の長に対し,指示をし,必要な措置を要請することができる。

(アクセス管理を行う機器)

第8条 次に掲げる住基ネットの構成機器について,アクセス管理を行う。

(1) サーバ

(2) 業務端末

2 前項のアクセス管理は,操作者用ICカード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第9条 前条のアクセス管理を実施するため,アクセス管理責任者を置く。

2 アクセス管理責任者は,住民課長をもって充てる。

(操作者用ICカード)

第10条 アクセス管理責任者は,操作者用ICカード及びパスワードに関し,次に掲げる事項を定めなければならない。

(1) 操作者用ICカード及びパスワードの管理方法 別紙1

(2) 操作者用ICカードの種類ごとの操作者 別紙1

2 アクセス管理責任者は,前項の内容を定めるときは,セキュリティ統括責任者と協議するものとする。

(操作者の責務)

第11条 操作者は,操作者用ICカード及びパスワードの管理方法を遵守しなければならない。

(操作履歴の記録保管)

第12条 アクセス管理責任者は,操作履歴の記録を7年間保管するものとする。

(情報資産管理)

第13条 住基ネットの情報資産(住基ネットに係る全ての情報,ソフトウェア,ハードウェア,ネットワーク及び磁気ディスクをいう。以下同じ。)について,管理責任者を置く。

2 前項の情報資産のうち,本人確認情報及び当該本人確認情報が記録されたサーバにかかる帳票の管理責任者(以下「本人確認情報管理責任者」という。)は,住民課長をもって充てる。

(本人確認情報管理責任者)

第14条 本人確認情報管理責任者は,本人確認情報を取扱うことができる者を指定するとともに,当該本人確認情報の漏えい,滅失及びき損の防止その他当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

2 本人確認情報管理責任者は,本人確認情報の記録されたサーバに係る帳票の管理方法を定めるものとする。

(情報資産管理者)

第15条 情報資産管理者は,当該情報資産の管理方法(操作者の指定を含む。)及び住基ネットの運用計画を定めるものとする。

(緊急時対応計画)

第16条 本人確認情報に脅威を及ぼす恐れが発生したとき(以下「緊急時」という。)は被害を未然に防ぎ,又は被害の拡大を防止し,早急な復旧を図るため,緊急時対応計画を策定する。

(本人確認情報の優先)

第17条 運用に当たり,本人確認情報の保護ができないおそれのあるときは,本人確認情報の保護を住民サービスに優先させるものとする。

(雑則)

第18条 この要綱の施行に関し必要な事項は,別に定める。

附 則

この要綱は,公布の日から施行する。

附 則(平成16年要綱第5号)

この要綱は,平成16年4月1日から施行する。

附 則(平成17年要綱第13号)

この規程は,公布の日から施行し,平成17年4月1日から適用する。

附 則(平成20年要綱第2号)

この要綱は,平成20年4月1日から施行する。

別紙1

(1) 操作者識別カードの管理方法

・アクセス管理責任者は,操作者識別カードを職員個人に対し貸与するものとし,退職,人事異動に際しては,回収する。

・操作者は,操作者識別カードの他者への目的外の利用等を行わない。

・操作者は,操作者識別カードの紛失等をおこさないよう,責任をもって利用する。

・操作者は,操作者識別カードを紛失した場合は,速やかにアクセス管理責任者に報告する。

・操作者識別カードの紛失等の届出があった場合は,アクセス管理責任者は速やかに失効の手続きをとる。

・アクセス管理責任者は,適正に操作者識別カードが利用されているか検査を行う。

・アクセス管理責任者が操作者識別カードの利用に関する検査を行うときには,操作者は協力する義務を負う。

(2) パスワードの管理方法

・アクセス管理責任者は,パスワードの有効期間を設ける。

・アクセス管理責任者は,単純なパスワードの設定を拒否する。

・操作者は,パスワードについて,他者への漏えい,他者が知り得る状態に置くこと等はできない。

・操作者は,パスワードに規則性のある番号又は推測可能な番号を用いない。

・操作者は,パスワードを定期的に又は利用頻度に応じて更新する。

住民基本台帳ネットワークシステムのセキュリティ確保に関する要綱

平成15年6月27日 要綱第19号

(平成20年4月1日施行)