○笠間市情報セキュリティ基本方針を定める規程
令和元年5月7日
訓令第1号
(目的)
第1条 この訓令は、笠間市(以下「本市」という。)が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めるものとする。
(1) 情報システム コンピュータ、ネットワーク、電磁的記録媒体、周辺機器、ソフトウェア等で構成され、情報処理を行う仕組みをいう。
(2) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(3) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(5) 完全性 情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(6) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(7) マイナンバー利用事務系 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第10項に規定する個人番号利用事務、戸籍事務等に関わる情報システム及びデータをいう。
(8) LGWAN接続系 人事給与、財務会計、文書管理、情報共有その他の総合行政ネットワーク(以下「LGWAN」という。)に接続された情報システム及びその情報システムで取り扱うデータをいう。
(9) インターネット接続系 ホームページ閲覧、インターネットメール、ホームページ管理システムその他のインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(10) 情報資産 情報システム、情報システムで取り扱う情報(当該情報の内容を印刷した文書を含む。)並びに情報システムの仕様書及びネットワーク構成図等のシステム関連文書をいう。
(11) 情報セキュリティポリシー この訓令及び情報セキュリティ対策基準をいう。
(12) 課長等 各課、各事務局及び各施設の長をいう。
(情報セキュリティ対策)
第3条 市長は、次に掲げる情報資産に対する脅威に対処するため、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃その他のサイバー攻撃及び部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん、消去、重要情報の詐取、内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計又は開発の不備、プログラム上の欠陥、操作又は設定誤り、メンテナンス不備、内部又は外部監査機能の不備、外部委託管理の不備、情報資産管理の欠陥、機器故障等の非意図的要因による情報資産の漏えい、破壊、消去等
(3) 地震、落雷、火災等の災害による情報システムの停止及びこれに伴う業務の停止等
(4) 大規模、かつ、広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等による情報システムの停止等
2 情報セキュリティ対策の内容は、次に掲げるものとする。
(1) 本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
(2) 情報システムのサイバー攻撃等に対する強靱性を向上するため、マイナンバー利用事務系、LGWAN接続系及びインターネット接続系の3つのネットワークに領域を区分し、各領域の特性に応じた情報セキュリティ対策を実施する。
(3) インターネット接続系とLGWAN接続系との通信は、次に掲げる内容により情報セキュリティ対策を実施する。
ア LGWAN接続系とインターネット接続系の両領域間の通信を分離した上で、安全が確保された通信だけを許可できるように通信経路を分割する。
イ インターネットメール本文のテキスト化やインターネット接続系端末からLGWAN接続系端末への画面転送等により、コンピュータウイルス等不正なソフトウェアを削除することで安全が確保できるよう無害化通信をする。
(4) 情報システムを設置し、管理する場所への不正な立ち入り、情報資産の損傷等を防止するための物理的な対策を実施する。
(5) 情報セキュリティに関し、職員等が遵守すべき事項の策定並びに職員に対する必要な教育及び啓発を実施する。
(6) コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(7) 情報資産に対するセキュリティ侵害が発生した場合等に迅速、かつ、適正に対応するため、緊急時対応計画を策定する。
(8) 外部委託を行う場合の外部委託先が遵守すべき情報セキュリティ要件や約款による外部サービスの利用に関する規定を定める。
(適用範囲)
第4条 この訓令が適用される行政機関は、市長、教育委員会、笠間市立学校の設置に関する条例(平成18年笠間市条例第180号)第2条から第4条までに規定する学校(以下「学校」という。)、議会事務局、監査委員、公平委員会、農業委員会、選挙管理委員会、固定資産評価審査委員会、消防長及び公営企業管理者並びに財産区とする。
(令5訓令6・一部改正)
(職員等の責務)
第5条 情報資産を取り扱う職員(非常勤職員、臨時職員及び派遣職員を含む。以下「職員等」という。)は、情報資産を取り扱うに当たり情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たっては、関係法令及びこの訓令(以下「法令等」という。)を遵守し、市民の権利及び利益の保護に努めなければならない。
2 職員等は、情報システムの導入、保守その他の情報資産に関する業務を外部に委託するときは、当該業務の受託者に法令等を遵守させなければならない。
(組織体制)
第6条 市長は、本市の情報資産について、情報セキュリティ対策を推進するため、情報セキュリティ委員会を置く。
2 情報セキュリティ委員会は、次の組織体制とする。
(1) 最高情報セキュリティ責任者(CISO:Chief Information Security Officer)
(2) 統括情報セキュリティ責任者
(3) 情報セキュリティ責任者
(情報セキュリティ監査及び自己点検の実施)
第7条 情報セキュリティ委員会及び課長等は、情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて随時に、情報セキュリティ委員会にあっては情報セキュリティ監査及び自己点検を、課長等にあっては自己点検を実施するものとする。
(見直しの実施)
第8条 情報セキュリティ委員会は、情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直すものとする。
(情報セキュリティ対策基準)
第9条 情報セキュリティ委員会は、第3条に規定する情報セキュリティ対策を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を定めるものとする。
2 学校における情報セキュリティ対策基準は、教育委員会で別に定めるものとする。
(情報セキュリティ実施手順)
第10条 情報セキュリティ委員会及び情報システムを所管する課長等は、情報セキュリティポリシーに基づき情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。
(委任)
第11条 この訓令に定めるもののほか、情報セキュリティに関し必要な事項は、市長が別に定める。
附則
この訓令は、公布の日から施行する。
附則(令和5年訓令第6号)
この訓令は、令和5年4月1日から施行する。