○白石市住民基本台帳ネットワークシステム管理規程

令和元年8月29日

告示第45号

目次

第1章 総則(第1条・第2条)

第2章 セキュリティ組織(第3条―第7条)

第3章 入退室管理(第8条―第12条)

第4章 アクセス管理(第13条―第18条)

第5章 本人確認情報管理(第19条―第26条)

第6章 情報資産管理(第27条―第29条)

第7章 緊急時対応(第30条)

第8章 委託管理(第31条―第34条)

第9章 雑則(第35条)

附則

第1章 総則

(趣旨)

第1条 この規程は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)、個人情報の保護に関する法律(平成15年法律第57号)及び白石市行政情報ネットワークシステムの管理及び運営に関する規程(平成15年白石市訓令甲第4号)に定めるもののほか、白石市住民基本台帳ネットワークシステムに係る本人確認情報の保護及び適正な管理並びに運用に関し、必要な事項を定めるものとする。

(定義)

第2条 この規程において使用する用語は、「電気通信回線を通じた送信又は磁気ディスクの送付の方法並びに磁気ディスクへの記録及びその保存の方法に関する技術的基準(平成14年総務省告示第334号)」において使用する用語の例によるほか、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 住基ネット 白石市住民基本台帳ネットワークシステムをいう。

(2) データセンター 住基ネットのサーバ及びネットワーク機器を設置する委託業者のデータセンター

(3) 運用場所 住基ネットの運用が行われる場所(データセンターを除く。)をいう。

(4) 統合端末 住基ネットの業務を実施するための端末をいう。

(5) 照合情報 手の静脈その他の生体情報に不可逆演算を施して登録された情報をいう。

(6) 照合情報認証 照合情報と認証時に読み取られる情報を照合することにより認証する方法をいう。

(7) 操作者 住基ネットの構成機器を操作する者をいう。

(8) 照合ID 操作者を識別するために使用される符号をいう。

(9) 操作者ID 操作権限を識別するために使用される符号をいう。

(10) オペレーティングシステム コンピュータの操作等のための中核的位置付けのソフトウェアをいう。

(11) 情報資産 住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び次期ディスクをいう。

(12) 本人確認情報 法第30条の6第1項に規定する本人確認情報をいう。

(13) 緊急時 本人確認情報に脅威を及ぼすおそれがある場合をいう。

第2章 セキュリティ組織

(セキュリティ統括責任者)

第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副市長をもって充てる。

(システム管理者)

第4条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、市民経済部長をもって充てる。

(セキュリティ責任者)

第5条 住基ネットを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、住基ネットの統合端末を設置する部署の長をもって充てる。

(セキュリティ会議)

第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。

2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者

(3) 総務部総務課長

(4) 総務部財政課長

(5) 総務部デジタル推進課長

(6) その他セキュリティ統括責任者が指定する者

3 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直し

(2) 前号のセキュリティ対策の遵守状況の確認

(3) 監査の実施

(4) 教育・研修の実施

4 議長は、前項の審議事項のうち重要と認められる事項を審議するときは、白石市情報公開・個人情報保護審査会条例(平成16年白石市条例第29号)第2条第2項に規定する白石市情報公開・個人情報保護審査会の意見を聴くことができる。

5 議長は、必要と認めるときは、セキュリティ会議に関係職員の出席を求め、その意見又は説明を聴くことができる。

6 セキュリティ会議の庶務は、市民経済部市民課において処理する。

(関係部署に対する指示等)

第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

第3章 入退室管理

(セキュリティ区分等)

第8条 セキュリティ統括責任者は、運用場所の入退室管理を適切に行うため、運用場所の重要度に応じたセキュリティ区分を設定し、セキュリティ区分に応じた入退室管理の方法を定める。

2 運用場所の入退室管理を適切に行うため、運用場所ごとに入退室管理者を置く。

3 前2項の規定によるセキュリティ区分、セキュリティ区分に応じた入退室管理の方法、セキュリティ区分を設定する運用場所、運用場所の入退室管理者となる者は、次のとおりとする。

セキュリティ区分

入退室管理の方法

設定する運用場所

入退室管理者となる者

レベル2

入退室管理者から事前に許可された者のみが鍵及び入退室管理カードを用いて入退室を行う。識別を行うため、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。

ネットワーク機器の設置場所(市役所本庁舎サーバ室)

総務部財政課長

レベル1

入退室管理者から事前に許可された者のみが入退室を行う。識別を行うため、入退室者には、名札の着用を義務付ける。

統合端末の設置場所

各統合端末設置場所のセキュリティ責任者

(入退室管理者の責務)

第9条 入退室管理者は、運用場所の入退室管理を適切に行うため、入退室管理簿を作成し、これを保存するものとする。

2 セキュリティ区分レベル2が設定された運用場所の入退室管理者は、鍵及び入退室カードを管理し、入退室の許可を与えた者に限りこれを貸与するものとする。

3 入退室管理者は、前2項に掲げるもののほか、運用場所の入退室管理を適切に行うために必要な措置を講じるものとする。

(保守作業)

第10条 保守業務等の委託を受けた者が作業のために運用場所に入退室する場合は、入退室管理者から許可を得ている者が立会うものとする。

(データセンターの入退室管理)

第11条 データセンターの入退室管理については、委託業者に第8条に規定するセキュリティ区分レベル2相当以上の管理を行わせるものとする。

2 市民経済部市民課長は、データセンターの入退室管理を監督する。

3 市民経済部市民課長は、データセンターの入退室管理が適正に行われていることを確認するため、委託業者に報告を求め、調査を行い、又は必要な指示を行うものとする。

(報告等)

第12条 セキュリティ統括責任者は、運用場所及びデータセンターの入退室管理が適正に行われていることを確認するため、入退室管理者等に報告を求め、調査を行い、又は必要な指示を行うものとする。

第4章 アクセス管理

(アクセス管理を行う機器)

第13条 次に掲げる住基ネットの構成機器について、アクセス管理を行うものとする。

(1) サーバ

(2) 統合端末

2 前項のアクセス管理は、照合情報認証により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。

(アクセス管理責任者)

第14条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。

2 アクセス管理責任者は、市民経済部市民課長をもって充てる。

(照合ID、照合情報及び操作者ID)

第15条 アクセス管理責任者は、照合ID、照合情報及び操作者IDに関し、次に掲げる事項を実施する。

(1) 照合ID及び操作者IDの管理方法を定めること。

(2) 照合情報の登録及び削除の管理方法を定めること。

(3) 操作者IDの種類ごとの操作者について、住基ネットを利用する部署のセキュリティ責任者と協議して定めること。

(4) 照合ID及び操作者IDの管理簿を作成すること。

(操作者の責務)

第16条 操作者は、照合ID、照合情報及び操作者IDの管理方法を遵守しなければならない。

(操作履歴の記録)

第17条 アクセス管理責任者は、操作履歴について、7年前まで遡って解析できるように保管するものとする。

(オペレーティングシステムの管理)

第18条 アクセス管理責任者は、住基ネットの構成機器等のオペレーティングシステムについて必要なセキュリティ対策を実施するものとする。

第5章 本人確認情報管理

(本人確認情報管理)

第19条 住基ネットの情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カード等について本人確認情報管理を行う。

(本人確認情報管理責任者)

第20条 前条に掲げる情報資産の適切な管理を行うため、本人確認情報管理責任者を置く。

2 本人確認情報管理責任者は、市民経済部市民課長をもって充てる。

3 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者(以下「取扱者」という。)を指定するとともに、本人確認情報の漏えい、滅失及び毀損の防止その他の本人確認情報の適切な管理のための必要な措置を講じなければならない。

(本人確認情報管理方法)

第21条 本人確認情報管理責任者は、住基ネットのオペレーション計画を定めるものとする。

2 本人確認情報管理責任者は、不正アクセス又は不正アクセスのおそれがあり、本人確認情報の漏えい、毀損等の被害を受けるおそれがある場合には、本人確認情報の保護を優先し、ネットワークの遮断等の対応の判断を行うとともに、できるだけ速やかに改善措置を講ずるものとする。

(本人確認情報の取扱方法)

第22条 取扱者は、本人確認情報の取扱いに当たって、次に掲げる事項に留意しなければならない。

(1) 統合端末の画面情報に関すること。

 ディスプレイの画面を来庁者その他取扱者以外の者に漫然と見られることがないよう設置すること。

 ディスプレイに斜視防止フィルタを適用する等の覗き見防止措置を講ずること。

 タッチパネルを利用した入力については、タッチパネルの画面を利用者以外の第三者に見られることがないように配慮すること。

 スクリーンセーバを利用し、画面を長時間連続して表示させ続けないようにすること。

 スクリーンセーバの起動までの時間を適宜設定し、解除にパスワードの入力が要求されるよう設定すること。

(2) 本人確認情報の入力、訂正及び削除(以下「入力等」という。)時に関すること。

 入力等を行った取扱者以外の取扱者が、入力等の内容を確認すること。

 入力等から確認に至るまでを2名の取扱者で行うこと。

 入力等に用いた帳票等は、シュレッダー等を用いて廃棄すること。ただし、保管が必要な帳票等は、本人確認情報管理簿に記載し、書庫等に施錠保管すること。

 訂正は、管理責任者の許可を得てから行い、訂正した日から1年間、当該訂正に係る記録を書庫等に施錠保管すること。

 本人確認情報をメモに書き込み、又は端末にテキスト文書として保存したりしないこと。

 入力等を行った際は、その実施年月日、取扱者の氏名及び処理内容を記録すること。

(3) 本人確認情報の検索・抽出時に関すること。

 業務上必要のない検索を行ってはならないこと。

 あらかじめ、検索・抽出条件を明確にしなければならないこと。

 検索・抽出によってディスプレイ上に表示された本人確認情報について、画面のハードコピーを取ってはならないこと。ただし、やむを得ずその必要があると認められる場合には、事前に本人確認情報管理責任者の許可を得て、その記録を残さなければならないこと。

 本人確認情報の入出力を行う際に、可搬性のある記録媒体(DVD―RW、USBメモリ、MO等)を一時的に使用するときは、住基ネット専用の記録媒体を用いるとともに、接続前にウィルスチェックを行うものとすること。

 一時的に使用した記録媒体に存在する本人確認情報は、必ず削除等を行うこと。

(4) 離席時には、業務アプリケーションを必ずログオフし、又は終了させなければならないこと。ただし、サーバの運用時間中においては、そのうち1台の端末は、終了させてはならないこと。

(5) 大量に本人確認情報を出力する場合に関すること。

 一度に大量に本人確認情報を出力してはならないこと。ただし、やむを得ずその必要が認められる場合には、事前に本人確認情報管理責任者の許可を得て、その記録を残さなければならないこと。

 この号において大量と定義される印刷物(整合性確認処理時のファイルへの出力数)等の量は、本人の数が20名以上とすること。

(6) 統合端末の配置及び状況把握に関すること。

 統合端末は、セキュリティ責任者から目視することができる位置に設置すること。

 セキュリティ責任者は、統合端末の利用状況を目視等により確認すること。

(実施状況の確認)

第23条 本人確認情報管理責任者は、少なくとも月1回以上、次の各項目について、実施状況の確認を行い、その結果を記録するものとする。

(1) 前条各号に定める留意事項が実際の業務において遵守されていること。

(2) 操作ログに、業務上必要のない操作履歴が残されていないこと。

(3) 業務上必要のない検索又は抽出が行われていないことについて、取扱者へのヒアリングにより確認していること。

(帳票の管理方法)

第24条 本人確認情報管理責任者は、次の各項目を記録するための帳票管理簿を作成し、帳票の出力、保管、廃棄等を行うに当たっては、取扱者に必要事項を記録させるものとする。ただし、住民からの申請書に基づき、当該住民に交付する部数に限り帳票を印刷する場合には、当該申請書を管理対象とし、帳票の出力は管理対象外とする。

(1) 出力に関する項目

 帳票の内容(数量及び内訳)

 出力年月日

 出力する取扱者の氏名及び所属部署名

 出力する理由

 本人確認情報管理責任者の許可の有無

 使用の際の注意事項

(2) 保管に関する項目

 保管場所

 保管期間

(3) 廃棄に関する項目

 廃棄年月日

 廃棄する取扱者の氏名及び所属部署名

 廃棄する理由

 本人確認情報管理責任者の許可の有無

 廃棄方法

2 前項の規定により管理対象とする帳票は、次のとおりとする。

(1) 広域交付住民票

(2) 転出証明確認書

(3) 転入通知確認書

(4) 住民票コード通知票

(5) 住民票コード変更通知票

(6) 住民票の写しの広域交付・転入出(住基カード)処理件数一覧表

(7) 住民票コード要求・付番処理件数一覧表

(8) 本人確認情報更新処理件数一覧表

(9) 本人確認情報整合性結果リスト

(10) 本人確認情報リスト

(11) 住民票の写しの広域交付・転入出(住基カード)処理件数年合計一覧表

(12) 住民票コード要求・付番処理件数年合計一覧表

(13) 本人確認情報更新処理件数年合計一覧表

(14) 戸籍附票記載事項通知処理件数一覧表

3 取扱者は、第1項の規定により帳票を出力する場合には、次の事項に留意しなければならない。

(1) 出力装置を来庁者その他取扱者以外の者が出力帳票を見ることができないように設置すること。

(2) 帳票を出力した場合には、出力装置上に放置せず、速やかに回収すること。

(3) 出力装置を適時確認し、帳票が放置されている場合は、出力した取扱者を特定して注意を促し、当該帳票は廃棄すること。

4 取扱者は、第1項の帳票管理簿及び帳票を書庫等に施錠保管して権限のない者がアクセスできないようにし、その鍵は本人確認情報管理責任者が管理するように留意しなければならない。

5 取扱者は、第1項の規定により帳票を廃棄する場合には、次の事項に留意しなければならない。

(1) 事前に、本人確認情報管理責任者の許可を得て廃棄すること。

(2) 廃棄の方法は、帳票の内容を読み出せないように、焼却、裁断又は溶解等の方法によること。

(3) 廃棄状況及び結果を帳票管理簿に記録して、本人確認情報管理責任者に報告すること。

(帳票受渡管理簿)

第25条 本人確認情報管理責任者は、次の各必要事項を記録するための帳票受渡管理簿を作成し、帳票を利用するに当たっては、取扱者に当該必要事項を記録させるものとする。

(1) 帳票名

(2) 利用者の氏名、利用目的、利用年月日及び返却予定年月日

(3) 利用場所

(4) 返却年月日

(5) 本人確認情報管理責任者の許可の有無

2 取扱者は、帳票を持ち出す場合には、次の事項に留意しなければならない。

(1) 帳票受渡管理簿に前項に規定する必要事項を記録して本人確認情報管理責任者の許可を得ること。

(2) 持ち出し利用中は、保管場所と同等の安全を確保し、権限のない者がアクセス可能な場所に放置しないこと。

(3) 原則として、複写を行わないこと。

(4) 帳票の盗難又は紛失時には、直ちに本人確認情報管理責任者へ報告すること。

(5) 返却の際には、帳票受渡管理簿に必要事項を記録して本人確認情報管理責任者に報告すること。

(帳票管理状況の確認)

第26条 本人確認情報管理責任者は、少なくとも月1回以上、次の各項目についてその実施状況等を確認し、その結果を記録するものとする。

(1) 帳票管理簿に前条第1項に定める必要事項が記録されていること。

(2) 帳票管理簿と現況が一致し、紛失等がないこと。

(3) 出力装置が来庁者その他取扱者以外の者が出力帳票を見ることができないように設置されていること。

(4) 帳票及び帳票管理簿が施錠保管され、及び帳票保管庫の鍵が適切に保管されており、権限のない者がアクセス可能な場所に放置されていないこと。

(5) 廃棄状況及び結果の記録が残っていること。

第6章 情報資産管理

(情報資産の管理)

第27条 住基ネットに係る情報資産のうち、本人確認情報を除いたものについては、本章の規定により情報資産管理を行う。

(情報資産管理責任者)

第28条 情報資産の適切な管理を行うため、情報資産管理責任者を置く。

2 情報資産管理責任者は、市民経済部市民課長をもって充てる。

(情報資産管理のための措置)

第29条 情報資産管理責任者は、住基ネットに係る処理における機密性、正確性及び継続性を確保するため、次に掲げる事項を行うものとする。

(1) ソフトウェアの適正な管理を行い、不正アクセス止及び障害対策等の措置を講ずること。

(2) ハードウェアの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずること。

(3) ネットワークの適正な管理を行い、不正アクセスの防止及び障害対策等の措置を実施するとともに、電源対策、空気調和対策、防災対策、防犯対策等を講ずること。

(4) 前3号に掲げる事項のほか、情報資産管理を適正に行うために必要な措置を講ずること。

第7章 緊急時対応

(緊急時の対応)

第30条 セキュリティ統括責任者は、緊急時に被害を未然に防ぎ、又は被害の拡大を防止し早急な復旧を図るため、次に掲げる事項を行うものとする。

(1) サーバ及び統合端末が不正に操作された疑いがある場合に迅速かつ適切に対応するため、あらかじめ緊急時における連絡及び対処方法を定め、緊急時には必要な措置を講ずること。

(2) 住基ネットの運用に支障を来すおそれがある災害の発生等に迅速かつ適切に対応するため、あらかじめ緊急時における連絡及び対処方法を定め、緊急時には必要な措置を講ずること。

第8章 委託管理

(委託を受けようとする者の管理体制等の調査)

第31条 セキュリティ責任者は、住基ネットに係る業務を外部に委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

(外部委託の承認)

第32条 セキュリティ責任者は、住基ネットに係る業務を外部に委託をしようとするときは、委託する業務の内容、理由及び情報の保護に関する事項等について、セキュリティ統括責任者の承認を受けなければならない。

(委託契約書等への記載事項)

第33条 外部委託に係る契約書等(契約書及び附則のほか、委託業務仕様書、覚書等を含む。)には、情報の保護に関し、必要に応じて、次に掲げる事項を明記しなければならない。

(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守に関する事項

(2) 外部委託事業者の責任者、委託内容、作業者の所属、作業場所の特定に関する事項

(3) 提供されるサービスレベルの保証に関する事項

(4) 外部委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法に関する事項

(5) 外部委託事業者の従業員に対する教育の実施に関する事項

(6) 提供された情報の目的外利用及び受託者以外の者への提供の禁止に関する事項

(7) 業務上知り得た情報の守秘義務に関する事項

(8) 再委託に関する制限事項の遵守に関する事項

(9) 委託業務終了時の情報資産の返還及び廃棄に関する事項

(10) 委託業務の定期報告及び緊急時報告義務に関する事項

(11) 地方公共団体による監査及び検査に関する事項

(12) 情報セキュリティインシデント発生時の対応に関する事項

(13) 情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)に関する事項

(委託先の管理状況の調査)

第34条 セキュリティ責任者は、委託業務の範囲及び委託先のセキュリティ対策の実施状況の確認に当たっては、委託先からの報告内容を検証するほか、必要に応じ委託先への監査等を実施するなど、必要かつ適切な監督体制のもとで実施するものとする。

第9章 雑則

(委任)

第35条 この規程に定めるもののほか、必要な事項は、別に定める。

(施行期日)

1 この告示は、令和元年9月2日から施行する。

(要綱等の廃止)

2 次に掲げる要綱等は、廃止する。

(1) 白石市住民基本台帳ネットワークシステムセキュリティ管理要綱(平成15年白石市告示第17号)

(2) 白石市住民基本台帳ネットワークシステム本人確認情報管理規程(平成27年12月17日市長決裁)

(令和3年3月23日告示第62号)

この告示は、令和3年4月1日から施行する。

(令和4年12月22日告示第145号)

この告示は、令和4年12月22日から施行する。

(令和5年3月20日告示第29号)

この告示は、令和5年4月1日から施行する。

(令和6年3月22日告示第35号)

この告示は、令和6年4月1日に施行する。

白石市住民基本台帳ネットワークシステム管理規程

令和元年8月29日 告示第45号

(令和6年4月1日施行)

体系情報
第3編 執行機関/第1章 市長部局/第8節 情報管理
沿革情報
令和元年8月29日 告示第45号
令和3年3月23日 告示第62号
令和4年12月22日 告示第145号
令和5年3月20日 告示第29号
令和6年3月22日 告示第35号