○佐川町住民基本台帳ネットワークシステム運用管理要綱
平成23年9月30日
訓令第3号
佐川町住民基本台帳ネットワークシステム運用管理要綱(平成14年佐川町訓令第4号)の全部を改正する。
目次
第1章 総則(第1条―第3条)
第2章 管理体制(第4条―第11条)
第3章 入退室管理(第12条―第14条)
第4章 アクセス管理(第15条―第25条)
第5章 情報資産の管理(第26条―第38条)
第6章 個人番号カードの管理(第39条―第42条)
第7章 障害時の対応(第43条・第44条)
第8章 委託管理(第45条―第47条)
第9章 雑則(第48条・第49条)
附則
第1章 総則
(目的)
第1条 この要綱は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用及び管理に関し必要な事項を定め、住基ネットの適正な運用及び管理を図り、併せて本人確認情報の漏えい、滅失及び毀損を防止し、本人確認情報の適正な管理を図ることを目的とする。
(1) 住基ネット コミュニケーションサーバ、都道府県サーバ(以下「サーバ」という。)、指定情報処理機関サーバ、認証業務連携サーバ、業務端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長(特別区の区長を含む。以下同じ。)が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構法(平成25年法律第29号)第1条に規定する地方公共団体情報システム機構(以下「機構」という。)に通知し、並びに都道府県知事及び機構が当該本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) 既存住民基本台帳システム 佐川町において住民基本台帳に関する事務を処理する電子計算組織(以下「既存住基システム」という。)をいう。
(3) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知)を行うための市町村長の使用に係る電子計算機をいう。
(4) サーバ 市町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、指定情報処理機関に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機をいう。
(5) 指定情報処理機関サーバ 都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための指定情報処理機関の使用に係る電子計算機をいう。
(6) 認証業務連携サーバ 電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号。以下「公的個人認証法」という。)第3条第1項に規定する署名用電子証明書及び公的個人認証法第22条第1項に規定する利用者証明用電子証明書の発行を受けている者に係る機構保存本人確認情報(法第30条の9に規定する機構保存本人確認情報をいう。)のうち行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第5項に規定する個人番号以外のものを利用するための機構の使用に係る電子計算機をいう。
(7) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。
(8) プログラム 電子計算機を機能させて住基ネットを作動させるための命令を組み合わせたものをいう。
(9) データ 住基ネットにおいて通知、記録、保存又は提供をされる情報をいう。
(10) ファイル 磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されているデータ及びプログラムをいう。
(11) ドキュメント 住基ネットの設計、プログラム作成及び運用に関する記録及び文書をいう。
(12) 磁気ディスク保管室 磁気ディスク等を保管する室をいう。
(13) ドキュメント保管室 ドキュメント等を保管する室をいう。
(14) 重要機能室 電子計算機室、磁気ディスク等の保管施設及び受電設備等を設置する室をいう。
(15) 端末機 コミュニケーションサーバを利用した業務処理を行うためのディスプレイ、プリンタその他の入出力装置をいう。
(適用範囲)
第3条 この要綱は、佐川町が運用管理する住基ネットに適用する。
第2章 管理体制
(セキュリティ統括責任者)
第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、副町長をもって充てる。
3 セキュリティ統括責任者は、住基ネットの管理状況及びこれに関する設備の状況について常に把握し、住基データの漏えいの防止及び正確性の維持を図り、住基ネットが適正に管理及び運用されるように努めなければならない。
4 セキュリティ統括責任者は、住基ネットについて、火災、盗難その他の災害(以下この項において「事故」という。)に備えて必要な保安措置をとるものとし、事故が発生したときは、速やかに事故の経緯及び被害状況を調査し、町長に報告しなければならない。
5 セキュリティ統括責任者は、住基ネットの管理運営上、住基データの保護が確保できないと認められる場合には、住民サービスの継続に優先して住基データ保護のため必要な措置をとらなければならない。
(システム管理者)
第5条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、情報システム部門の主管課長をもって充てる。
(セキュリティ責任者)
第6条 住基ネットについて適切な管理及び運用を行い、セキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住民基本台帳主管課長をもって充てる。
3 セキュリティ責任者は、住基データの漏えい、滅失及び毀損の防止その他住基データの適正な管理のため必要な措置をとらなければならない。
4 セキュリティ責任者は、端末機の設置された室の入退室に関し、必要な措置をとらなければならない。
(利用管理者)
第7条 住基ネットを利用する課等(以下「利用課等」という。)においてセキュリティ対策を実施するため、利用管理者を置く。
2 利用管理者は、利用課等の所属長とする。
3 利用管理者は、利用課等に配置している端末機を適正に管理しなければならない。
(セキュリティ会議)
第8条 セキュリティ統括責任者は、適時、セキュリティ会議を招集する。
2 セキュリティ会議の議長は、セキュリティ統括責任者が務める。
3 セキュリティ会議は、セキュリティ統括責任者、システム管理者、セキュリティ責任者、利用管理者のほか、セキュリティ統括責任者が必要と認めた者をもって組織する。
4 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の実施
(4) 教育・研修の実施
5 議長は、前項の事項のうち重要と認められる事項を審議するときは、佐川町個人情報保護審査会の意見を聴くものとする。
6 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
7 会議の庶務は、住民基本台帳主管課において処理する。
(関係部局等に対する指示等)
第9条 セキュリティ統括責任者は、会議の結果を踏まえ、関係所属長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。
(教育及び研修)
第10条 セキュリティ統括責任者は、プライバシー保護に関する意識の高揚及び住基ネットのセキュリティ対策の推進を図るため、職員に対し計画的に教育及び研修を行わなければならない。
(緊急時の体制)
第11条 セキュリティ統括責任者は、住基ネットの障害等によりシステムの全部又は一部が停止したとき及び住基データが漏えいした、又は漏えいのおそれがあると認めるときの緊急時対応計画を、関係機関と連携をとり作成するものとする。
2 セキュリティ統括責任者は、前項の緊急時対応計画に基づき、会議の決定を経て、既存住基システムの住基ネットからの切離しを行うものとする。ただし、緊急かつ重大な事象が発生したときは、セキュリティ統括責任者は、町長に報告の上、会議の決定を経ることなく既存住基システムの住基ネットからの切離しを行うことができる。
第3章 入退室管理
(入退室管理)
第12条 外部の者又は権限のない者による重要機能室への侵入、危険物の持込み、住基ネットの構成機器、データ等の持出し等を防止するため、入退室管理者が別に定める管理方法によって、重要機能室への入退室管理を行う。
(入退室管理者)
第13条 入退室管理者は、電子計算機主管課長をもって充てる。
2 入退室管理者は、前条に掲げる場所について、入退室等の管理を行うほか、住基ネットのセキュリティを確保するため、入退室の管理に関し必要な措置をとらなければならない。
(指示)
第14条 セキュリティ統括責任者は、適切な入退室の管理が行われているか、入退室管理者から報告を聴取し、調査し、必要な指示を行う。
第4章 アクセス管理
(通信制御)
第15条 セキュリティ責任者は、電子計算機への不正侵入から住基ネット及び既存住基システムを保護するため、電気通信回線は専用回線を使用するとともに、システムの必要な部分はファイアウォールを設置し、通信制御を行わなければならない。
2 セキュリティ責任者は、住基ネットでの通信について、通信相手相互の認証を行うとともに、送受信する住基データの暗号化を行わなければならない。この場合において、必要な耐タンパー装置をコミュニケーションサーバに搭載することにより秘密鍵を厳重に保護し、外部に漏えいすることを防止するための措置をとらなければならない。
(アクセス管理を行う機器)
第16条 次に掲げる住基ネット等を構成する機器(以下「構成機器」という。)について、アクセス管理を実施する。
(1) コミュニケーションサーバ
(2) 端末機
2 前項のアクセス管理は、操作者用ICカード及びパスワードにより操作者の正当な権限の確認及び操作者が記録する操作履歴簿の確認により行う。
(アクセス管理責任者)
第17条 住基ネットにおけるアクセス管理を適正に行うため、アクセス管理責任者を置く。
2 アクセス管理責任者は、セキュリティ責任者がこれを兼ねる。
(操作者用ICカード)
第18条 アクセス管理責任者及び操作者は、操作者用ICカード及びパスワードに関し、次に掲げる事項を実施する。
(1) 操作者は、操作者用ICカードの他者への貸与、目的外の利用等を行わない。
(2) 操作者は、操作者用ICカードを紛失し、又は盗難されないよう、施錠のできる机、キャビネット等で責任を持って保管する。
(3) 操作者は、操作者用ICカードを紛失し、又は盗難された場合は、直ちにアクセス管理責任者に届出をする。
(4) 操作者は、操作記録簿に操作内容を記録する。
(5) アクセス管理責任者は、前号において、適正に操作者用ICカードの利用が行われているか確認し、これを記録する。
(6) アクセス管理責任者は、操作者用ICカードを職員個人に対し貸与するものとし、退職、人事異動等があったときには、これを回収する。
(7) アクセス管理責任者は、操作者用ICカード管理簿を作成し、操作者用ICカードの貸与、回収及び失効等の管理を行う。
(8) 操作者用ICカードの紛失又は盗難の届出があった場合は、アクセス管理責任者は速やかに失効の手続をとる。
(9) その他アクセス管理責任者は、必要に応じ操作者用ICカードの管理について管理方法を定め、操作者は定められた管理方法を遵守しなければならない。
(生体認証)
第18条の2 システム管理者は、生体認証における操作者の情報を適切に管理し、外部に漏えいすることを防止するための措置を講じなければならない。
(操作者用ICカードのパスワード)
第19条 アクセス管理責任者及び操作者は、操作者用ICカードのパスワードに関し、次に掲げる事項を実施する。
(1) パスワードの有効期限は半年とし、アクセス管理責任者は、適正に変更されているか確認し、記録する。
(2) 操作者は、パスワードを定期的又は必要に応じて随時に更新する。
(3) パスワードは5桁以上の英数字を組み合わせたものとし、かつ、辞書単語、単純な文字列など推測可能な番号を用いない。
(4) 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知り得る状態に置いてはならない。
(5) パスワードは操作者が設定する。ただし、やむを得ずアクセス管理責任者が設定する場合は、他者へのパスワードの漏えいを防止する手段を講ずる。
(6) その他アクセス管理責任者は、必要に応じパスワードについて管理方法を定め、操作者は定められた管理方法を遵守しなければならない。
(オペレーティングシステムの管理)
第20条 アクセス管理責任者は、アクセス管理を行う機器のオペレーティングシステムについて、次に掲げる事項を実施する。
(1) アクセス管理責任者は、ユーザID管理簿を作成する。
(2) アクセス管理責任者は、ユーザIDと操作者との対応付けを行う。
(3) アクセス管理責任者は、ユーザIDに付与する権限を業務上必要最低限のものとする。
(4) アクセス管理責任者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限する。
(5) アクセス管理責任者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。
(オペレーティングシステムのパスワードの管理)
第21条 アクセス管理責任者及び操作者は、オペレーティングシステムのパスワードに関し、前条の規定に基づいて適切に管理するものとする。
(不正なアクセスの防止)
第22条 アクセス管理責任者は、オペレーティングシステムの不正なアクセスを防止するため、次に掲げる事項を実施する。
(1) アクセス管理責任者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。
(2) アクセス管理責任者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定する。
(3) アクセス管理責任者は、フォルダの共有ができないように設定する。
(4) 業務及び運用管理で必要なプログラム(サービス)以外は起動しない。
(5) アクセス管理責任者は、業務に必要なアプリケーションの操作履歴について不正な操作がないことを、操作記録簿との整合性を突合するなど適切な方法によって確認する。
(6) 前号について、確認は毎年度1回以上行うものとし、その結果を記録する。
(7) 業務に必要なアプリケーションの操作履歴は、磁気ディスク又はドキュメントと同じ場所に保管する。
(9) その他アクセス管理者は、必要に応じ不正なアクセスを防止する方法を講じる。
(他のソフトウェアの導入禁止)
第23条 第16条第1項に規定する機器に導入する住基ネットの管理及び運用に必要なソフトウェアを、標準的にインストールするソフトウェアとし、これ以外のソフトウェアは導入しないものとする。
2 アクセス管理責任者は、サーバ及び業務端末機にアクセス制限ツール等を適用し、ソフトウェアを追加できないように設定する。
3 アクセス管理責任者は、標準的にインストールするソフトウェア以外がインストールされていないこと及びアクセス制限ツール等の適用について、適宜確認し、記録する。
(コンピュータウイルス等の対策)
第24条 アクセス管理責任者は、住基ネットに対しウイルス等の不正プログラムの混入を防止するため、サーバ及び業務端末機がインターネットに接続できないよう、物理的又は論理的に分断する設定を行う。
2 アクセス管理責任者は、インターネットに接続できないことを適宜確認し、記録する。
(ネットワーク設定の管理)
第25条 アクセス管理責任者は、ネットワークの設定について内容を把握し、又は委託業者等に確認することで速やかに内容を確認できるようにする。
2 アクセス管理責任者は、委託業者等と共にネットワークの設定が適切であるか適宜確認し、記録する。
3 アクセス管理責任者は、委託業者等の設定した内容について、文書又はその他適当な方法により内容が適切であるか確認し、記録する。
4 指定情報処理機関及び委託業者等からセキュリティ情報を提供された際には、その助言及び指示に従い、必要な措置を講じ、それを記録する。
第5章 情報資産の管理
(情報資産の管理)
第26条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスク等をいう。以下同じ。)の管理については、セキュリティ責任者が行う。
(本人確認情報管理責任者)
第27条 前条の情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カードの管理を適正に行うため、本人確認情報管理責任者を置く。
2 本人確認情報管理責任者は、セキュリティ責任者がこれを兼ねる。
3 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のために必要な措置をとらなければならない。
4 本人確認情報管理責任者は、本人確認情報の記載されたサーバに係る帳票の管理方法を定めるものとする。
5 本人確認情報管理責任者は、本人確認情報以外の情報資産の管理方法を定めるものとする。
(情報資産管理簿)
第28条 セキュリティ責任者は、情報資産管理簿を作成するものとする。
2 情報資産管理簿には、次に掲げる台帳等により構成する。
(1) システム構成表 システムを構成する機器についての一覧表
(2) ネットワーク構成図 電子計算機及び電気通信関係装置(ルータ、ハブ、ファイアウォール)の物理的設置位置がわかる配線図及びそれらの接続関係がわかるもの
(3) 機器管理台帳 住基ネットを構成する機器ごとに、管理を行う上で必要となる項目を記載した台帳
(4) ソフトウェア管理台帳 住基ネットで使用するソフトウェアの導入状況等を記載した台帳
(5) ネットワーク概念図 サーバ及び業務端末等を含めた住基ネットに関する当該団体の概念的な図
(6) ネットワーク設定表 住基ネットにおけるネットワークの機器が正常に動作するために設定情報を記載したもの
(7) 操作者一覧表 住基ネットを取り扱う者の所属、氏名及び権限等を記載したもの
(8) その他セキュリティ責任者が必要と認めた台帳
3 前項の情報資産管理簿は、変更があった際には更新し、最新の状態とする。
4 セキュリティ責任者は、情報資産管理簿が最新の状態であるか適宜確認し、記録する。
(端末機操作の管理)
第29条 セキュリティ責任者は、端末機の使用状況を定期的に確認しなければならない。
2 セキュリティ責任者は、端末機が不正に操作された疑いがあるときは、速やかにその状況を調査し、セキュリティ統括責任者に報告しなければならない。
3 セキュリティ責任者は、端末機に複数回のアクセス失敗があったとき強制的に終了する機能を設けなければならない。
4 セキュリティ責任者は、不正アクセスを分析するため、操作履歴を確認し、適正な期間(5年間)、安全な場所に施錠保管しなければならない。
(機器の接続)
第30条 新たに機器を接続する場合には、システム管理者に申請を行うものとし、システム管理者の承認を得て接続する。
2 前項の場合において、システム管理者は、新たな機器が接続されたことを情報資産管理簿に記録する。
3 システム管理者又は委託された者は、新たな機器が接続されていないことを適宜確認し、記録する。
(電気通信関係装置に係る不正操作の防止)
第31条 システム管理者は、電気通信関係装置を操作できる職員を指定し、これらの職員のみにユーザIDの配布及びパスワードの設定を行う。
2 システム管理者は、電気通信関係装置を操作できる職員の名簿を作成し、適切に管理されているか適宜確認し、記録する。
3 電気通信関係装置は、適切に管理を行う。
4 システム管理者は、前項の規定により適切に管理されていることを適宜確認し、その記録を行う。
5 システム管理者は、電気通信関係装置が収納棚に格納して施錠等し、鍵の管理者を定め、その鍵を適切に管理し、貸与する際には、収納棚(鍵)管理簿に記録する。
(磁気ディスクの管理)
第32条 セキュリティ責任者及び磁気ディスクの取扱担当者は、磁気ディスク(電子計算機に搭載される磁気ディスクを除く。)の管理を適切に行うため、次に掲げる事項を実施する。
(1) 磁気ディスクの取扱担当者は、住基ネットに関係する職員とする。
(2) 磁気ディスクは、専用の保管庫に保管し、施錠する。
(3) セキュリティ責任者は、磁気ディスク管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) セキュリティ責任者は、磁気ディスク管理簿と保管状況が一致していることを適時確認し、記録する。
(5) 磁気ディスクは、ラベル等により他と判別できるようにする。
(6) 磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行い、磁気ディスク管理簿に記録する。
(記憶媒体の管理)
第33条 セキュリティ責任者は、記憶媒体の適正な管理を行わなければならない。
(構成機器の管理)
第34条 システム管理者は、構成機器を適正に管理するため、次に掲げる事項を実施する。
(1) 利用するハードウェア、ソフトウェア及び磁気ディスクの種類、数量、配置等を記録及び管理するとともに、住基ネットに関係のないハードウェア、ソフトウェア及び磁気ディスクを住基ネットの用に供しないこと。
(2) 構成機器及び関連施設の保守を定期的又は随時に実施すること。
(3) 構成機器にコンピュータウィルス等が混入していないかを監視し、当該構成機器にコンピュータウィルス等が混入していたときは直ちに駆除するとともに、被害の再発を防止するため、その原因を分析し、再発防止のための対策を講ずること。
2 システム管理者は、故障等により構成機器を廃棄し、又は修理するときは、当該構成機器に存在する情報が第三者に入手されることのないよう適切な措置をとらなければならない。
(ドキュメントの管理)
第35条 セキュリティ責任者及びドキュメントの取扱担当者は、ドキュメントの管理を適切に行うため、次に掲げる事項を実施する。
(1) ドキュメントの取扱担当者は、住基ネットに関係する職員とする。
(2) ドキュメントは、専用の保管庫に保管し、施錠する。
(3) セキュリティ責任者は、ドキュメント管理簿を作成し、使用、複写、消去及び廃棄を行った際には記録する。
(4) セキュリティ責任者は、ドキュメント管理簿と保管状況が一致していることを適時確認し、記録する。
(5) ドキュメントを廃棄する際には、裁断、焼却又は溶解等を行い、ドキュメント管理簿に記録する。
(本人確認情報等の管理)
第36条 本人確認情報等の適切な管理を行うため、本人確認情報責任者は、次に掲げる事項を実施する。
(1) コミュニケーションサーバ端末のディスプレイや出力装置から出力された帳票は、来庁者から見えない位置に置くこと。
(2) 業務上必要のない本人確認情報の検索、表示、抽出及び出力をしないこと。
(3) 業務上の検索、抽出を行う場合には、事前に要件を明確にすること。
(4) 1回の業務で100件以上の本人確認情報を出力する際には、事前にセキュリティ責任者の承認を得ること。
(5) スクリーンセーバの機能を活用するなどして、長時間にわたり本人確認情報を画面に表示したままの状態にしないこと。
(6) 本人確認情報が表示された画面のハードコピーを必要以上に取らないこと。また、必要以上に画像データとして保管したり、紙媒体に出力しないこと。
(7) 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、これらを行った者以外の者が内容を確認すること。
(8) 本人確認情報に誤りがあった際に訂正を行う場合には、セキュリティ責任者の許可を得て行うこと。また、訂正した内容についてはその記録を残し、適正な期間保管すること。
(9) 本人確認情報の記録された帳票の管理対象を明確にし、出力した帳票は記録し、長時間放置しないこと。
(10) 住基データ等の安全を確保するため、保管施設に施錠するなど、その使用に関して厳重な管理をすること。
(11) 離席する際には、業務アプリケーションを終了させ、操作者ICカードをカードリーダライタ等から外しておくこと。
(12) 本人確認情報管理責任者は、住基データ等の受渡し及び保管に関し必要な事項を記録しなければならないこと。
(13) 本人確認情報管理責任者は、住基データ等を廃棄するときは、裁断、焼却等の復元できない方法により処分しなければならないこと。
(14) その他本人確認情報管理責任者は、必要に応じ本人確認情報が不正に利用されることを防止する方法を講じること。
(15) 本人確認情報管理責任者は、前各号に掲げる事項について適宜確認を行い、必要に応じて記録すること。
(本人確認情報が記載された帳票の管理)
第37条 本人確認情報が記載された帳票(以下「帳票」という。)の適切な管理を行うため、本人確認情報管理責任者は、次に掲げる事項を実施する。
(1) 本人確認情報管理責任者は、帳票管理簿を作成し、受渡し、保管、廃棄の際には記録すること。
(2) 帳票の保管については、帳票管理簿に従い、施錠できる書庫等に保管を行い、紛失及び盗難を防止するための措置を講ずること。
(3) 帳簿を廃棄する際には、裁断又は溶解等を行い、帳票管理簿に記録すること。
(4) 帳票を出力する際には、来庁者から出力した帳票を見ることができないよう、適切な設置位置及び方向を選択するなどの措置を講じること。
(5) 出力された帳票は、速やかに回収し、また、出力装置等に帳票が残っていないか、適宜確認すること。
(6) その他本人確認情報管理責任者は、必要に応じ帳票を適正に管理する方法を講じること。
(7) 本人確認情報管理責任者は、前各号に掲げる事項について適宜確認し、必要に応じて記録すること。
(本人確認情報以外の情報資産の適切な管理方法)
第38条 システム管理者は、本人確認情報以外の情報資産の管理について次に掲げる事項を実施する。
(1) ハードウェア(サーバ・耐タンパー装置・操作者用ICカードリーダライタ・端末機・プリンタ・個人番号カードリーダライタ)の管理
(ア) ハードウェアの障害が発生した場合には、障害状況の把握及び障害対応を行うこと。
(イ) 保守対象機器を明確にするとともに、保守作業の実施の際にはデータの抹消、漏えい等が発生しないよう防止策を施すこと。
(ウ) ハードウェアの利用状況を把握し、ハードウェアの適正な設置を図ること。
(2) ソフトウェア(OS・業務アプリケーション・データベースソフトウェア・ウイルス対策ソフト)の管理
(ア) コンピュータウイルス対策は、「コンピュータウイルス対策基準」等を考慮して行い、操作者に対して周知するとともに、コンピュータウイルスに感染した場合は、適切な対応措置を講ずるものとすること。
(イ) ソフトウェアのバージョン管理については、指定情報処理機関の指示に従い実施すること。
(3) ネットワーク(ファイアウォール・ハブ・ケーブル・ラック)の管理
(ア) ネットワークの障害予測、定期診断、ログの調査・解析を行い、システムの継続性の向上に努めること。
(イ) ネットワークの運用保守等のためネットワークを停止するときは、あらかじめ住基ネットを利用する課室等及び指定情報処理機関に通知するものとする。ただし、緊急に保守等の作業を行う必要がある場合や、災害、停電等通知する十分な時間がないと判断するときは、システム管理者の判断でネットワークを停止することができる。
第6章 個人番号カードの管理
(個人番号カードの管理)
第39条 個人番号カードは、施錠のできる保管庫等に保管する。
2 個人番号カードの管理簿を作成し、記録する。
(個人番号カードの廃棄)
第40条 個人番号カードは、焼却、溶解、裁断等により券面印刷の内容が判読できないようにし、かつ、ICチップ内の情報の読出しやICチップのハードウェア構造分析等の脅威を防ぐためにICチップを物理的に破壊する。
2 前項において、廃棄したことについて記録する。
(個人番号カードのパスワードの取扱い)
第41条 セキュリティ責任者は、担当の職員及び来庁した住民に対して、次に掲げる事項を周知徹底する。
(1) パスワードは、誕生日等容易に推測できるものを用いない。
(2) パスワードの入力は、申請者自身が行うことを原則とする。
(3) パスワードの入力を3回失敗した場合は、個人番号カードがロックされるので、個人番号カードの利用に関しては、慎重にパスワードを入力する。
(4) カードがロックされた場合等においては、本人確認を行った上でパスワードを初期化し、再設定を行う。
(個人番号カード関連情報の管理)
第42条 利用者から受領した顔写真データについて適切な管理を行うため、本人確認情報管理責任者は次に掲げる事項を実施する。
(1) 顔写真は、コミュニケーションサーバ端末から取込みを行う。
(2) 電子ファイルでの顔写真の受領は行わない。
(3) セキュリティ責任者は、カードに関する帳票について、適正な管理を行わなければならない。
第7章 障害時の対応
(データ及びシステムのバックアップ)
第43条 セキュリティ責任者は、住基ネットに係る障害に備えて、次に掲げる事項を実施する。
(1) プログラム、住基データその他のデータのバックアップを取得すること。
(2) 住基ネットの通信が途絶えないようにするため、電気通信回線に予備回線を設けること。
(障害発生時の対応)
第44条 障害発生時には、発見者は速やかにシステム管理者へ状況を報告するものとする。
2 システム管理者は、管理対象ごとに障害発生時の対処手順を明確にするものとし、当該対処手順には、次に掲げる事項を含めるものとする。
(1) 連絡手順
(2) システムの中断又は停止時の代替手段
(3) 復旧手順
3 システム管理者は、障害や不正アクセス発見の報告を受けたときは、その発生原因及び対処等の記録を取り、整備保管するものとする。
4 システム管理者は、障害発生後、再発防止のための対策を検討し、実施するものとする。
第8章 委託管理
(委託を受けようとする者の管理体制等の調査)
第45条 システム管理者は、住基ネットに係る業務を外部に委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査する
2 委託先事業者を選定する場合には、その事業者に対して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、記録する。
(外部委託の承認)
第46条 システム管理者は、外部委託しようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者の承認を受けなければならない。
(委託契約書の作成)
第47条 業務の委託に関する契約書の作成は、佐川町電子計算機処理データ保護管理規程(平成12年佐川町訓令第2号)に準じて行うものとする。
第9章 雑則
(法令等の遵守)
第48条 住基ネット等に係る業務に従事する職員等は、職務の遂行において使用する情報資産に関し、法その他の関係法令及び訓令等を遵守しなければならない。
2 住基ネット等に係る業務に従事する職員等又は従事した職員は、住基ネット等の事務に関し知り得た秘密を漏らしてはならない。
(その他)
第49条 この要綱に定めるもののほか、住基ネットの運用及び管理に関して必要な事項は、別に定める。
附則
この訓令は、公布の日から施行する。
附則(平成26年9月16日訓令第3号)
この訓令は、公布の日から施行する。
附則(平成27年6月23日訓令第3号)
この訓令は、公布の日から施行する。
附則(平成28年9月1日訓令第5号)
(施行期日)
1 この訓令は、公布の日から施行する。
(経過措置)
2 この訓令の施行の日から平成37年12月27日までの間における改正後の佐川町住民基本台帳ネットワークシステム運用管理要綱第27条第1項及び第38条第1号の規定並びに第6章の章名及び第39条から第41条までの規定の適用については、第27条第1項中「及び個人番号カード」とあるのは、「、住民基本台帳カード及び個人番号カード」と、第38条第1号中「個人番号カードリーダライタ」とあるのは「住民基本台帳カードリーダライタ及び個人番号カードリーダライタ」と、第6章の章名及び第39条から第41条までの規定(これらの規定の見出しを含む。)中「個人番号カード」とあるのは「住民基本台帳カード及び個人番号カード」とする。
附則(平成30年3月30日訓令第2号)
この訓令は、公布の日から施行する。