○室戸市住民基本台帳ネットワークシステム運用及び管理要綱

平成19年4月2日

訓令第23号

室戸市住民基本台帳ネットワークシステム運用及び管理要綱(平成14年訓令第15号)の全部を改正する。

第1章 総則

(目的)

第1条 この要綱は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用及び管理に関し必要な事項を定め、住基ネットの適正な運用及び管理を図り、併せて本人確認情報の漏えい、滅失及びき損を防止し、本人確認情報の適正な管理を図ることを目的とする。

(用語の定義)

第2条 この要綱において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、機構サーバ、認証業務連携サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長(特別区の区長を含む。以下同じ。)が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、市町村の区域を越えた住民基本台帳に関する事務を処理し、並びに市町村長、都道府県知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステム

(2) 既存住民基本台帳システム 室戸市において住民基本台帳に関する事務を処理する大型電子計算組織をいう。(以下「既存住基システム」という。)

(3) アプリケーションサーバ 既存住基システムと住基ネットのデータ連携を自動化し、既存住基システムの副本データベースの役割を担う電子計算機で、運用時間外にも他市町村からの要求に答えることができる。

(4) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(施行令第13条第3項の規定による通知)を行うための市町村長の使用に係る電子計算機をいう。

(5) サーバ 市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、機構に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機

(6) 機構サーバ 都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行い、並びに市町村長から個人番号とすべき番号の生成のために必要な情報を受け、及び市町村長に個人番号とすべき番号を通知するための機構の使用に係る電子計算機

(7) 認証業務連携サーバ 都道府県知事が電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号。以下「公的個人認証法」という。)第3条第1項に規定する署名用電子証明書をいう。以下同じ。)の発行を受けている者に係る異動等情報を利用し、又は都道府県知事若しくは機構が指定認証機関(同法第34条第1項に規定する指定認証機関をいう。以下同じ。)に対し、電子証明書の発行を受けている者に係る異動等情報の提供を行うための都道府県知事若しくは機構の使用に係る電子計算機

(8) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機

(9) プログラム 電子計算機を機能させて住基ネットを作動させるための命令を組み合わせたもの。

(10) データ 住基ネットにおいて通知、記録、保存又は提供される情報

(11) ファイル 磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されているデータ及びプログラム

(12) ドキュメント 住基ネットの設計、プログラム作成及び運用に関する記録及び文書

(13) 磁気ディスク保管室 磁気ディスク等を保管する室

(14) ドキュメント保管室 ドキュメント等を保管する室

(15) 重要機能室 電子計算機室、磁気ディスク等の保管施設、及び受電設備等を設置する室

(16) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の入出力装置

(適用範囲)

第3条 この要綱は、室戸市が運用管理する住基ネットに適用する。

第2章 管理体制

(セキュリティ統括責任者)

第4条 住基ネット及び既存住民基本台帳システム(以下「住基ネット等」という。)のセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副市長をもって充てる。

3 セキュリティ統括責任者は、住基ネット等の管理状況及びこれに関する設備の状況について常に把握し、住基データの漏えいの防止及び正確性の維持を図り、住基ネット等が適正に管理及び運用されるように努めなければならない。

4 セキュリティ統括責任者は、住基ネット等について、火災、盗難その他の災害(以下この項において「事故」という。)に備えて必要な保安措置をとるものとし、事故が発生したときは、速やかに事故の経緯及び被害状況を調査し、市長に報告しなければならない。

5 セキュリティ統括責任者は、住基ネット等の管理運営上、住基データの保護が確保できないと認められる場合には、住民サービスの継続に優先して住基データ保護のため必要な措置をとらなければならない。

(セキュリティ責任者)

第5条 住基ネット等について適切な管理及び運用を行い、セキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、市民課長をもって充てる。

3 セキュリティ責任者は、住基データの漏えい、滅失及びき損の防止その他住基データの適正な管理のため必要な措置をとらなければならない。

4 セキュリティ責任者は、端末機の設置された室の入退室に関し、必要な措置をとらなければならない。

(システム管理者)

第6条 住基ネット等の適切な管理を行うため、システム管理者を置く。

2 システム管理者は、総務課長をもって充てる。

3 システム管理者は、重要機能室の入退室に関し、必要な措置をとらなければならない。

4 システム管理者は、電気的及び機械的障害等の発生を防止し、検知し、並びに障害が発生した場合の対策を講ずるため、重要機能室における設備の整備等について、必要な措置をとらなければならない。

5 システム管理者は、既存住基システムにおいて、住基ネットとの連携接続に関する業務を統括的に管理しなければならない。

(利用管理者)

第7条 住基ネット等を利用する課等(以下「利用課等」という。)においてセキュリティ対策を実施するため、利用管理者を置く。

2 利用管理者は、利用課等の所属長とする。

3 利用管理者は、利用課等に配置している端末機を適正に管理しなければならない。

(セキュリティ会議)

第8条 セキュリティ統括責任者は、適時、セキュリティ会議を招集する。

2 セキュリティ会議の議長は、セキュリティ統括責任者が務める。

3 セキュリティ会議は、セキュリティ統括責任者、システム管理者、セキュリティ責任者、利用管理者他、セキュリティ統括責任者が必要と認めた者をもって組織する。

4 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネット等のセキュリティ対策の決定及び見直し

(2) 前号のセキュリティ対策の遵守状況の確認

(3) 監査の実施

(4) 教育・研修の実施

5 議長は、前項のうち重要と認められる事項を審議するときは、室戸市個人情報保護審査会の意見を聴くものとする。

6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

7 会議の庶務は、総務課において処理する。

(関係課等に対する指示等)

第9条 セキュリティ統括責任者は、会議の結果を踏まえ、関係所属長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

(教育及び研修)

第10条 セキュリティ統括責任者は、プライバシー保護に関する意識の高揚及び住基ネット等のセキュリティ対策の推進を図るため、職員に対し計画的に教育及び研修を行わなければならない。

(緊急時の体制)

第11条 セキュリティ統括責任者は、住基ネット等の障害等によりシステムの全部又は一部が停止したとき及び住基データが漏えいした、又は漏えいのおそれがあると認めるときの緊急時対応計画を作成するものとする。

2 セキュリティ統括責任者は、前項の緊急時対応計画に基づき、会議の決定を経て、既存住基の住基ネットからの切り離しを行うものとする。ただし、緊急かつ重大な事象が発生したときは、セキュリティ統括責任者は、市長に報告の上、会議の決定を経ることなく既存住基の住基ネットからの切り離しを行うことができる。

第3章 入退室管理

(入退室管理)

第12条 外部の者又は権限のない者(以下「訪問者」という。)による重要機能室等への侵入、危険物の持ち込み、住基ネットの構成機器、データ等の持ち出し等を防止するため、重要機能室等への入退室管理を行う。

(入退室管理を行う場所)

第13条 次に掲げる住基ネットの運用が行われる場所において、入退室管理を行う。

入退室管理を行う室

入退室の管理方法

住基ネット等のデータ、セキュリティ情報等の保管室サーバ、ネットワーク機器の設置室

入退室管理者が別に定める

(入退室管理者)

第14条 入退室管理者は、総務課長をもって充てる。

2 入退室管理者は、前条に掲げる場所について、入退室等の管理を行うほか、住基ネット等のセキュリティを確保するため、入退室の管理に関し、必要な措置をとらなければならない。

(指示)

第15条 セキュリティ統括責任者は、適切な入退室の管理が行われているか、入退室管理者から報告を聴取し、調査し、必要な指示を行う。

第4章 システムの管理

(通信制御)

第16条 セキュリティ責任者は、電子計算機への不正侵入から住基ネット等を保護するため、電気通信回線は専用回線を使用するとともに、システムの必要な部分はファイアウォールを設置し、通信制御を行わなければならない。

2 セキュリティ責任者は、住基ネットでの通信について、通信相手相互の認証を行うとともに、送受信する住基データの暗号化を行わなければならない。この場合において、必要な耐タンパー装置をコミュニケーションサーバに搭載することにより秘密鍵を厳重に保護し、外部に漏えいすることを防止するための措置をとらなければならない。

(アクセス管理を行う機器)

第17条 次に掲げる住基ネット等を構成する機器(以下「構成機器」という。)について、アクセス管理を実施する。

(1) コミュニケーションサーバ

(2) 業務端末機

2 前項のアクセス管理は、操作者用ICカード及びパスワードにより操作者の正当な権限の確認及び操作者が記録する操作履歴簿の確認により行う。

(アクセス管理責任者)

第18条 住基ネットにおけるアクセス管理を適正に行うため、アクセス管理責任者を置く。

2 アクセス管理責任者は、セキュリティ責任者がこれを兼ねる。

(操作者用ICカード)

第19条 アクセス管理責任者及び操作者は、操作者用ICカードに関し、次に掲げる事項を実施する。

(1) 操作者は、操作者用ICカードの他者への貸与、目的外の利用等を行わない。

(2) 操作者は、操作記録簿に操作内容を記録する。

(3) アクセス管理責任者は、前号において、適正に操作者用ICカードの利用が行われているか確認し、これを記録する。

(4) アクセス管理責任者は、操作者用ICカードを職員個人に対し貸与するものとし、退職、人事異動等があった時には、これを回収する。

(5) アクセス管理責任者は、操作者用ICカード管理簿を作成し、操作者用ICカードの貸与、回収及び失効等の管理を行う。

(6) 操作者は、操作者用ICカードを紛失又は盗難されないよう、施錠のできる机、キャビネット等で責任を持って保管する。

(7) 操作者は、操作者用ICカードを紛失し又は盗難された場合は、直ちにアクセス管理責任者に届出をする。

(8) 操作者用ICカードの紛失又は盗難の届出があった場合は、アクセス管理責任者は速やかに失効の手続きをとる。

(9) アクセス管理責任者が、操作者用ICカードの利用に関する検査を行った場合には、操作者は協力する義務を負う。

(10) その他、アクセス管理責任者は、必要に応じ操作者用ICカードの管理について管理方法を定め、操作者は定められた管理方法を遵守しなければならない。

(操作者用ICカードのパスワード)

第20条 アクセス管理責任者及び操作者は、操作者用ICカードのパスワードに関し、次に掲げる事項を実施する。

(1) パスワードの有効期限は半年とし、アクセス管理責任者は、適正に変更されているか確認し、記録する。

(2) 操作者は、パスワードを定期的又は必要に応じて随時に更新する。

(3) パスワードは8桁以上の英数字を組み合わせたものとし、かつ、辞書単語、単純な文字列など推測可能な番号を用いない。

(4) 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知りえる状態に置いてはならない。

(5) パスワードは操作者が設定する。ただし、やむを得ずアクセス管理責任者が設定する場合は、他者へのパスワードの漏えいを防止する手段を講ずる。

(6) その他、アクセス管理責任者は、必要に応じパスワードについて管理方法を定め、操作者は定められた管理方法を遵守しなければならない。

(オペレーティングシステムの管理)

第21条 アクセス管理責任者は、アクセス管理を行う機器のオペレーティングシステムについて、次に掲げる事項を実施する。

(1) アクセス管理責任者は、ユーザID管理簿を作成する。

(2) アクセス管理責任者は、ユーザIDと操作者との対応づけを行う。

(3) アクセス管理責任者は、ユーザIDに付与する権限を業務上必要最低限のものとする。

(4) アクセス管理責任者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限する。

(5) アクセス管理責任者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。

(オペレーティングシステムのパスワードの管理)

第22条 アクセス管理責任者及び操作者は、オペレーティングシステムのパスワードに関し、第20条の規定に基づいて適切に管理するものとする。

(不正なアクセスの防止)

第23条 アクセス管理責任者は、オペレーティングシステムの不正なアクセスを防止するため、次に掲げる事項を実施する。

(1) アクセス管理責任者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。

(2) アクセス管理責任者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定する。

(3) アクセス管理責任者は、フォルダの共有ができないように設定する。

(4) 業務及び運用管理で必要なプログラム(サービス)以外は起動しない。

(5) アクセス管理責任者は、業務に必要なアプリケーションの操作履歴について不正な操作がないことを、操作記録簿との整合性を突合するなど適切な方法によって確認する。

(6) 前号について、確認は毎年度1回以上行うものとし、その結果を記録する。

(7) 業務に必要なアプリケーションの操作履歴は、磁気ディスク又はドキュメントと同じ場所に保管する。

(8) アクセス管理責任者は、第1号から第4号及び第7号に規定する事項について適宜確認し、記録する。

(9) その他、アクセス管理者は、必要に応じ不正なアクセスを防止する方法を講じる。

(他のソフトウェアの導入禁止)

第24条 第17条第1項に規定する機器に導入する住基ネットの管理及び運用に必要なソフトウェアを、標準的にインストールするソフトウェアとし、これ以外のソフトウェアは導入しないものとする。

2 アクセス管理責任者は、サーバ及び業務端末機にアクセス制限ツール等を適用し、ソフトウェアを追加できないように設定する。

3 アクセス管理責任者は、標準的にインストールするソフトウェア以外がインストールされていないこと及びアクセス制限ツール等の適用について、適宜確認し、記録する。

(コンピュータウイルス等の対策)

第25条 アクセス管理責任者は、住基ネットに対しウイルス等の不正プログラムの混入を防止するため、サーバ及び業務端末機がインターネットに接続できないよう、物理的又は論理的に分断する設定を行う。

2 アクセス管理責任者は、インターネットに接続できないことを適宜確認し、記録する。

(ネットワーク設定の管理)

第26条 アクセス管理責任者は、ネットワークの設定について内容を把握し、又は委託業者等に確認することで速やかに内容を確認できるようにする。

2 アクセス管理責任者は、委託業者等と共にネットワークの設定が適切であるか適宜確認し、記録する。

3 アクセス管理責任者は、委託業者等の設定した内容について、文書又はその他適当な方法により内容が適切であるか確認し、記録する。

4 機構及び委託業者等からセキュリティ情報を提供された際には、その助言及び指示に従い、必要な措置を講じ、それを記録する。

第5章 情報資産の管理

(情報資産の管理)

第27条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク、個人番号カード及び磁気ディスク等をいう。以下同じ。)の管理については、セキュリティ責任者が行う。

(本人確認情報管理責任者)

第28条 前条の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カードの管理を適正に行うため、本人確認情報管理責任者を置く。

2 本人確認情報管理責任者は、セキュリティ責任者がこれを兼ねる。

3 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のために必要な措置をとらなければならない。

4 本人確認情報管理責任者は、本人確認情報の記載されたサーバに係る帳票の管理方法を定めるものとする。

5 本人確認情報管理責任者は、本人確認情報以外の情報資産の管理方法を定めるものとする。

(情報資産管理簿)

第29条 セキュリティ責任者は、情報資産管理簿を作成するものとする。

2 情報資産管理簿には、次に掲げる台帳等により構成する。

(1) システム構成表 システムを構成する機器についての一覧表

(2) システム(ネットワーク)構成図 電子計算機及び電気通信関係装置(ルータ、ハブ、ファイアウォール)の物理的設置位置がわかる配線図及びそれらの接続関係がわかるもの

(3) 機器管理台帳 住基ネットを構成する機器ごとに、管理を行う上で必要となる項目を記載した台帳

(4) ソフトウェア管理台帳 住基ネットで使用するソフトウェアの導入状況等を記載した台帳

(5) ネットワーク概念図 サーバ及び業務端末等を含めた住基ネットに関する当該団体の概念的な図

(6) ネットワーク設定表 住基ネットにおけるネットワークの機器が正常に動作するために設定情報を記載したもの

(7) 操作者一覧表 住基ネットを取り扱う者の所属、氏名及び権限等を記載したもの

(8) その他セキュリティ責任者が必要と認めた台帳

3 前項の情報資産管理簿は変更があった際には更新し、最新の状態とする。

4 セキュリティ責任者は、情報資産管理簿が最新の状態であるか適宜確認し、記録する。

(端末機操作の管理)

第30条 セキュリティ責任者は、端末機の使用状況を定期的に確認しなければならない。

2 セキュリティ責任者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、セキュリティ統括責任者に報告しなければならない。

3 セキュリティ責任者は、端末機に複数回のアクセス失敗があったとき強制的に終了する機能を設けなければならない。

4 セキュリティ責任者は、不正アクセスを分析するため、操作履歴を確認し、適正な期間(7年間)、安全な場所に施錠保管しなければならない。

(機器の接続)

第31条 新たに機器を接続する場合には、システム管理者に申請を行うものとし、システム管理者の承認を得て接続する。

2 前項の場合、システム管理者は、新たな機器が接続されたことを情報資産管理簿に記録する。

3 システム管理者又は委託された者は、新たな機器が接続されていないことを適宜確認し、記録する。

(電気通信関係装置に係る不正操作の防止)

第32条 システム管理者は、電気通信関係装置を操作できる職員を指定し、これらの職員のみにユーザIDの配布及びパスワードの設定を行う。

2 システム管理者は、電気通信関係装置を操作できる職員の名簿を作成し、適切に管理されているか適宜確認し、記録する。

3 電気通信関係装置は、適切に管理を行う。

4 システム管理者は、前項について適切に管理されていることを適宜確認し、その記録を行う。

5 システム管理者は、電気通信関係装置が収納棚に格納して施錠等し、鍵の管理者を定め、その鍵を適切に管理し、貸与する際には、収納棚(鍵)管理簿に記録する。

(磁気ディスクの管理)

第33条 セキュリティ責任者及び磁気ディスクの取り扱い担当者は、磁気ディスク(電子計算機に搭載される磁気ディスクを除く)の管理を適切に行うため、次に掲げる事項を実施する。

(1) 磁気ディスクの取り扱い担当者は、住基ネットに関係する職員とする。

(2) 磁気ディスクは専用の保管庫に保管し、施錠する。

(3) セキュリティ責任者は、磁気ディスク管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。

(4) セキュリティ責任者は、磁気ディスク管理簿と保管状況が一致していることを適時確認し、記録する。

(5) 磁気ディスクは、ラベル等により他と判別できるようにする。

(6) 磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行い、磁気ディスク管理簿に記録する。

(7) セキュリティ責任者は、第2号から第6号について、適宜確認し、記録する。

(記憶媒体の管理)

第34条 セキュリティ責任者は、記憶媒体の適正な管理を行わなければならない。

(構成機器の管理)

第35条 システム管理者は、構成機器を適正に管理するため、次に掲げる事項を実施する。

(1) 利用するハードウェア、ソフトウェア及び磁気ディスクの種類、数量、配置等を記録及び管理するとともに、住基ネットに関係のないハードウェア、ソフトウェア及び磁気ディスクを住基ネットの用に供しないこと。

(2) 構成機器及び関連施設の保守を定期的又は随時に実施すること。

(3) 構成機器にコンピュータウィルス等が混入していないかを監視し、当該構成機器にコンピュータウィルス等が混入していたときは直ちに駆除するとともに、被害の再発を防止するため、その原因を分析し、再発防止のための対策を講ずること。

2 システム管理者は、故障等により構成機器を廃棄又は修理するときは、当該構成機器に存在する情報が第三者に入手されることのないよう適切な措置をとらなければならない。

(ドキュメントの管理)

第36条 セキュリティ責任者及びドキュメントの取扱担当者は、ドキュメントの管理を適切に行うため、次に掲げる事項を実施する。

(1) ドキュメントの取扱担当者は、住基ネットに関係する職員とする。

(2) ドキュメントは専用の保管庫に保管し、施錠する。

(3) セキュリティ責任者は、ドキュメント管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。

(4) セキュリティ責任者は、ドキュメント管理簿と保管状況が一致していることを適時確認し、記録する。

(5) ドキュメントを廃棄する際には、裁断又は溶解等を行い、ドキュメント管理簿に記録する。

(本人確認情報等の管理)

第37条 本人確認情報等の適切な管理を行うため、本人確認情報責任者は次に掲げる事項を実施する。

(1) コミュニケーションサーバ端末のディスプレイや出力装置から出力された帳票は、来庁者から見えない位置に置くこと。

(2) 業務上必要のない本人確認情報を検索、表示、抽出、出力をしないこと。

(3) 業務上の検索、抽出を行う場合には、事前に要件を明確にすること。

(4) 1回の業務で100件以上の本人確認情報を出力する際には、事前にセキュリティ責任者の承認を得ること。

(5) スクリーンセーバの機能を活用するなどして、長時間にわたり本人確認情報を画面に表示したままの状態にしないこと。

(6) 本人確認情報が表示された画面のハードコピーを必要以上に取らないこと。また、必要以上に画像データとして保管したり、紙媒体に出力しないこと。

(7) 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、これらを行った者以外の者が内容を確認すること。

(8) 本人確認情報に誤りがあった際に訂正を行う場合には、セキュリティ責任者の許可を得て行うこと。また、訂正した内容についてはその記録を残し、適正な期間保管すること。

(9) 本人確認情報の記録された帳票の管理対象を明確にし、出力した帳票は記録し、長時間放置しないこと。

(10) 住基データ等の安全を確保するため、保管施設に施錠するなど、その使用に関して厳重な管理をすること。

(11) 離席する際には、業務アプリケーションを終了させ、操作者ICカードを抜くようにする。

(12) 本人確認情報管理責任者は、住基データ等の受渡し及び保管に関し、必要な事項を記録しなければならない。

(13) 本人確認情報管理責任者は、住基データ等を廃棄するときは、裁断、焼却等の復元できない方法により処分しなければならない。

(14) その他、本人確認情報管理責任者は、必要に応じ本人確認情報が不正に利用されることを防止する方法を講じる。

(15) 本人確認情報管理責任者は、前号までの事項について適宜確認を行い、必要に応じて記録する。

(本人確認情報が記載された帳票の管理)

第38条 本人確認情報が記載された帳票(以下「帳票」という。)の適切な管理を行うため、本人確認情報管理責任者は、次に掲げる事項を実施する。

(1) 本人確認情報管理責任者は、帳票管理簿を作成し、受渡し、保管、廃棄の際には記録する。

(2) 帳票の保管については、帳票管理簿に従い、施錠できる書庫等に保管を行い、紛失及び盗難を防止するための措置を講ずる。

(3) 帳簿を廃棄する際には、裁断又は溶解等を行い、帳票管理簿に記録する。

(4) 帳票を出力する際には、来庁者から出力した帳票を見ることができないよう、適切な設置位置及び方向を選択するなどの措置を講ずる。

(5) 出力された帳票は、速やかに回収し、また、出力装置等に帳票が残っていないか、適宜確認する。

(6) その他、本人確認情報管理責任者は、必要に応じ帳票を適正に管理する方法を講じる。

(7) 本人確認情報管理責任者は、前号までの事項について適宜確認し、必要に応じて記録する。

(本人確認情報以外の情報資産の適切な管理方法)

第39条 システム管理者は、本人確認情報以外の情報資産の管理について次に掲げる事項を実施する。

1 ハードウェア(サーバ・耐タンパー装置・操作者用ICカードリーダライタ・業務端末機・プリンタ・個人番号カードリーダライタ)の管理

(1) ハードウェアの障害が発生した場合には、障害状況の把握及び障害対応を行うこと。

(2) 保守対象機器を明確にするとともに、保守作業の実施の際にはデータの抹消、漏えい等が発生しないよう防止策を施すこと。

(3) ハードウェアの利用状況を把握し、ハードウェアの適正な設置を図ること。

2 ソフトウェア(OS・業務アプリケーション・データベースソフトウェア・ウイルス対策ソフト)

(1) コンピュータウイルス対策は、「コンピュータウイルス対策基準」等を考慮して行い、操作者に対して周知するとともに、コンピュータウイルスに感染した場合は、適切な対応措置を講ずるものとすること。

(2) ソフトウェアのバージョン管理については、機構の指示に従い実施すること。

3 ネットワーク(ファイアウォール・ハブ・ケーブル・ラック)の管理

(1) ネットワークの障害予測、定期診断、ログの調査・解析を行いシステムの継続性の向上に努めること。

(2) ネットワークの運用保守等のためネットワークを停止するときは、あらかじめ住基ネットを利用する課室等及び機構に通知するものとする。ただし緊急に保守等の作業を行う必要がある場合や、災害、停電等通知する十分な時間がないと判断するときは、システム管理者の判断でネットワークを停止することができる。

第6章 個人番号カードの管理

(個人番号カードの保管及び管理)

第40条 セキュリティ責任者は、個人番号カードの保管及び管理について、次に掲げる事項を実施する。

(1) カードの保管については、券面印刷の有無にかかわらず、保管している状態(発行前、発行済、廃止済など)及び枚数を記録し、施錠のできる書庫等に保管し、紛失及び盗難を防止する。

(2) カードの各業務において管理する項目を定め、記録すること。

(個人番号カードの廃棄)

第41条 セキュリティ責任者は、カード発行失敗、カード交付申請取消又はカード廃止(回収済)により、カードを廃棄する場合には、次の点に留意して廃棄を行う。

(1) 廃棄するカードは、セキュリティ確保のため、速やかに廃棄すること。

(2) 廃棄するまでの間は、紛失及び盗難を防止するため、廃棄するカードを厳重に保管すること。

(3) 廃棄するカードは、焼却、溶解、裁断等により券面印刷の内容が判読できないようにし、かつ、ICチップ内の情報の読み出しやICチップのハードウェア構造分析等の脅威を防ぐためにICチップを物理的に破壊し、その記録を残すこと。

(個人番号カードのパスワードの取扱い)

第42条 セキュリティ責任者は、担当の職員及び来庁した住民に対して、次に掲げる事項を周知徹底する。

(1) パスワードは、誕生日等、容易に推測できるものを用いない。

(2) パスワードの入力は、申請者自身が行うことを原則とする。

(3) パスワードの入力を3回失敗した場合は、個人番号カードがロックされるので、個人番号カードの利用に関しては、慎重にパスワードを入力する。

(4) カードがロックされた場合等においては、本人確認を行った上でパスワードを初期化し、再設定を行う。

(5) カードのカードリーダライタへの抜き差しは、申請者自身が行うことを原則とする。

(個人番号カード関連の機器及び情報の管理)

第43条 セキュリティ責任者は、輸送鍵が第三者に漏えいしないように厳重に管理し、万が一、輸送鍵が不正に使用された場合、カード輸送途中に盗難が発生した場合等は、直ちに輸送鍵を変更しなければならない。

2 セキュリティ責任者は、顔写真データは重要な個人情報であるため、次に掲げる事項に留意して管理を行う。

(1) 顔写真は、コミュニケーションサーバ端末から取り込みを行う。

(2) 電子ファイルでの顔写真の受領は行わない。

(3) セキュリティ責任者は、カードに関する帳票について、適正な管理を行わなければならない。

第7章 障害時の対応

(データ及びシステムのバックアップ)

第44条 セキュリティ責任者は、住基ネットに係る障害に備えて、次に掲げる事項を実施する。

(1) 重要な機器装置は、二重化構成とすること。

(2) プログラム、住基データ、その他のデータのバックアップを取得すること。

(3) 住基ネットの通信が途絶えないようにするため、電気通信回線に予備回線を設けること。

(障害発生時の対応)

第45条 障害発生時には、発見者は速やかにシステム管理者へ状況を報告するものとする。

2 システム管理者は、管理対象ごとに障害発生時の対処手順を明確にするものとし、当該対処手順には、次に掲げる事項を含めるものとする。

(1) 連絡手順

(2) システムの中断又は停止時の代替手段

(3) 復旧手順

3 システム管理者は、障害や不正アクセス発見の報告を受けたときは、その発生原因及び対処等の記録を取り、整備保管するものとする。

4 システム管理者は、障害発生後、再発防止のための対策を検討し、実施するものとする。

第8章 委託管理

(委託を受けようとする者の管理体制等の調査)

第46条 セキュリティ責任者は、住基ネットに係る業務を外部に委託をしようとするときは、あらかじめ委託(2以上の段階にわたる委託を含む。)を受けようとする者の情報の保護に関する管理体制等について調査するとともに、委託する業務の内容、理由及び情報の保護に関する事項について、あらかじめセキュリティ統括責任者の承認を得なければならない。

2 委託先事業者を選定する場合には、その事業者に対して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、記録する。

3 セキュリティ責任者は、外部委託(2以上の段階にわたる委託を含む。)の受託者に作業者の名簿を提出させ、保守内容及び点検項目を明確にし、保守作業の結果について報告させ、その記録を保管しなければならない。

4 その他委託管理に関しては、電子計算処理を委託する場合におけるデータ保護取扱要領に準じて行うものとする。

第9章 雑則

(法令等の遵守)

第47条 住基ネット等に係る業務に従事する職員等は、職務の遂行において使用する情報資産に関し、次に掲げる法令等を遵守し、これに従わなければならない。

(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)

(4) 室戸市情報通信ネットワーク運営管理要綱(平成15年2月10日室戸市訓令第2号)

(5) 室戸市情報セキュリティポリシー(平成17年3月7日室戸市情報セキュリティ委員会了承)

(その他)

第48条 この要綱に定めるものの他、住基ネットの運用及び管理に関して必要な事項は別に定める。

附 則

この訓令は、平成19年4月5日から施行する。

附 則(平成27年訓令第21号)

(施行期日)

第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)附則第1条第4号に掲げる規定の施行の日(平成28年1月1日)から施行する。ただし、第2条の規定は、平成27年12月28日から施行する。

(室戸市住民基本台帳ネットワークシステム運用及び管理要綱の一部改正に伴う経過措置)

第2条 平成28年1月1日から平成37年12月27日までの間における第3条の規定による改正後の室戸市住民基本台帳ネットワークシステム運用及び管理要綱第27条、第28条第1項、第39条及び第6章の規定の適用については、第27条中「個人番号カード」とあるのは「住民基本台帳カード、個人番号カード」と、第28条第1項中「及び個人番号カード」とあるのは「、住民基本台帳カード及び個人番号カード」と、第39条中「個人番号カードリーダライタ」とあるのは「住民基本台帳カードリーダライタ・個人番号カードリーダライタ」と、第6章の章名中「個人番号カード」とあるのは「住民基本台帳カード及び個人番号カード」と、第40条から第43条までの規定(これらの規定の見出しを含む。)中「個人番号カード」とあるのは「住民基本台帳カード又は個人番号カード」とする。

室戸市住民基本台帳ネットワークシステム運用及び管理要綱

平成19年4月2日 訓令第23号

(平成28年1月1日施行)

体系情報
第8編 生/第6章 市民生活/第1節 戸籍・印鑑
沿革情報
平成19年4月2日 訓令第23号
平成27年12月28日 訓令第21号