土佐清水市住民基本台帳ネットワークシステム運用管理要綱

○土佐清水市住民基本台帳ネットワークシステム運用管理要綱

平成14年８月５日訓令第２号

第１章　総則（第１条－第３条）

第２章　管理体制（第４条－第８条）

第３章　入退室管理（第９条－第13条）

第４章　アクセス管理（第14条－第18条）

第５章　情報資産の管理（第19条）

第６章　委託管理（第20条－第23条）

第７章　事故発生時の対応（第24条）

第８章　その他（第25条）

附則

第１章　総則

（目的）

第１条　この要綱は，住民基本台帳ネットワークシステム（以下「住基ネット」という。）の運用及び管理に関し必要な事項を定め，住基ネットの適正な運用及び管理を図り，併せて本人確認情報の漏えい，滅失及びき損を防止し，本人確認情報の適正な管理を図ることを目的とする。

（用語の定義）

第２条　この要綱において，次の各号に掲げる用語の意義は，当該各号に定めるところによる。

(１)　住基ネット　コミュニケーションサーバ（以下「サーバ」という。），都道府県サーバ，指定情報処理機関サーバ，業務端末機，電気通信関係装置（ファイアウォールを含む。），電気通信回線及びプログラム等により構成され，市区町村長が本人確認情報を都道府県知事に通知し，委任都道府県知事が本人確認情報を指定情報処理機関に通知し，並びに都道府県知事及び指定情報処理機関が本人確認情報の記録，保存及び提供を行うためのシステム

(２)　サーバ　都道府県知事に，本人確認情報の通知及び転出確定通知を行うための市区町村長の使用に係る電子計算機

(３)　都道府県サーバ　市区町村長から本人確認情報の通知及び転出確定通知を受け，本人確認情報の記録，保存及び提供を行い，指定情報処理機関に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機

(４)　指定情報処理機関サーバ　委任都道府県知事から本人確認情報の通知を受け，本人確認情報の記録，保存及び提供を行うための指定情報処理機関の使用に係る電子計算機

(５)　プログラム　電子計算機を機能させて住基ネットを作動させるため命令を組み合わせたもの

(６)　データ　住基ネットにおいて通知，記録，保存又は提供される情報

（適用範囲）

第３条　この要綱は，本市が運用管理する住基ネットに適用する。

第２章　管理体制

（セキュリティ統括責任者）

第４条　住基ネットのセキュリティ対策を総合的に実施するため，セキュリティ統括責任者を置く。

２　セキュリティ統括責任者は，副市長をもって充てる。

（システム管理者）

第５条　住基ネットの適切な管理を行うため，システム管理者を置く。

２　システム管理者は，総務課長をもって充てる。

（セキュリティ責任者）

第６条　住基ネットを利用する課等において，セキュリティ対策を実施するため，セキュリティ責任者を置く。

２　セキュリティ責任者は，市民課，３市民センターの所属長とする。

（セキュリティ会議）

第７条　セキュリティ統括責任者は，セキュリティ会議を招集するとともに，議長を務める。

２　セキュリティ会議は，セキュリティ統括責任者のほか，次に掲げる者をもって組織する。

(１)　システム管理者

(２)　セキュリティ責任者

３　セキュリティ会議は，次に掲げる事項を審議する。

(１)　住基ネットのセキュリティ対策の決定及び見直し

(２)　前号のセキュリティ対策の遵守状況の確認

(３)　監査の実施

(４)　教育及び研修の実施

４　議長は，必要と認めるときは，関係職員の出席を求め，その意見又は説明を聴くことができる。

５　セキュリティ会議の庶務は，市民課において処理する。

（関係課等に対する指示等）

第８条　セキュリティ統括責任者は，セキュリティ会議の結果を踏まえ，関係課等の長に対し指示し，必要な措置を要請することができる。

第３章　入退室管理

（入退室管理を行う室及び場所）

第９条　次に掲げる住基ネットの運用が行われる室及び場所において，それぞれのセキュリティ区分に応じた入退室管理を行うものとする。

セキュリティ区分	入退室管理を行う室及び場所
レベル３	住基ネットのデータ，セキュリティ情報等の保管室
レベル２	サーバ，ネットワーク機器の設置室
レベル１	業務端末を設置している場所

２　それぞれのセキュリティ区分に応じた入退室管理の方法は，次のとおりとする。

セキュリティ区分	入退室管理の方法
レベル３	入退室を行う場合には，入退室管理者から事前に許可を得ている者のみが入退室を行い，その都度，鍵を用いて入退室を行う。識別を行うために入退室者には，名札の着用を義務付ける。また，入退室に関する記録を行う。
レベル２	入退室を行う場合には，入退室管理者から事前に許可を得ている者のみが鍵を用いて入退室を行う。識別を行うために入退室者には，名札の着用を義務付ける。また，入退室に関する記録を行う。
レベル１	入退場を行う場合には，入退室管理者から事前に許可された者のみが入退場を行う。識別を行うために入退場者には，名札の着用を義務付ける。

（入退室管理者）

第10条　入退室管理者は，住基ネットのデータ，セキュリティ情報等の保管室及びサーバ，ネットワーク機器の設置室にあってはシステム管理者をもって充て，業務端末の設置場所にあってはセキュリティ責任者をもって充てる。

２　入退室管理者は，前条に掲げる入退室等の管理を行うほか，住基ネットのセキュリティを確保するため，入退室の管理に関し，必要な措置をとらなければならない。

（鍵の管理）

第11条　鍵の管理は，システム管理者が行う。

２　システム管理者は，レベル３及びレベル２のセキュリティ区分に係る室については，入退室管理者から許可を得ている者に限り，鍵を貸与するものとする。

（記録簿の作成）

第12条　入退室管理者は，レベル３及びレベル２のセキュリティ区分に係る室については，入退室に関する記録簿を作成し，これを保存するものとする。

（指示）

第13条　セキュリティ統括責任者は，適切な入退室管理が行われているかどうか，入退室管理者から報告を聴取し，調査を行い，必要な指示を行うものとする。

第４章　アクセス管理

（アクセス管理を行う機器）

第14条　次に掲げる住基ネットの構成機器について，アクセス管理を行う。

(１)　サーバ

(２)　業務端末機

２　前項のアクセス管理は，操作者用ＩＣカード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴を記録することにより行うものとする。

（アクセス管理）

第15条　システム管理者は，前条のアクセス管理を行うものとする。

（操作者用ＩＣカード）

第16条　システム管理者は，操作者用ＩＣカード及びパスワードに関し，次に掲げる事項を実施する。

(１)　操作者用ＩＣカード及びパスワードの管理方法を定めること。

(２)　操作者用ＩＣカードの種類ごとの操作者について，セキュリティ責任者と協議して定めること。

(３)　操作者用ＩＣカードの管理簿を作成すること。

（生体認証）

第16条の２　システム管理者は，生体認証における操作者の情報を適切に管理し，外部に漏えいすることを防止するための措置を講じなければならない。

（操作者の責務）

第17条　操作者は，操作者用ＩＣカード及びパスワードの管理方法を遵守しなければならない。

（操作履歴の記録）

第18条　システム管理者は，操作履歴について，７年前までさかのぼって解析できるよう，保管するものとする。

第５章　情報資産の管理

（情報資産の管理）

第19条　住基ネットの情報資産（住基ネットに係る全ての情報並びにソフトウェア，ハードウェア，ネットワーク及び磁気ディスクをいう。以下同じ。）の管理については，システム管理者及びセキュリティ責任者が行う。

２　セキュリティ責任者は，本人確認情報（情報資産のうち，本人確認情報及び当該本人確認情報が記録されたサーバに係る帳票をいう。以下同じ。）を取り扱うことができる者を指定するとともに，当該本人確認情報の漏えい，滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。

３　セキュリティ責任者は，本人確認情報の記録されたサーバに係る帳票の管理方法を定めるものとする。

４　システム管理者は，本人確認情報以外の情報資産の管理方法を定めるものとする。

第６章　委託管理

（委託を受けようとする者の管理体制等の調査）

第20条　システム管理者は，外部委託をしようとするときは，あらかじめ，委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

（外部委託の承認）

第21条　システム管理者は，外部委託をしようとするときは，委託する事務の内容，理由及び情報の保護に関する事項等について，あらかじめ，セキュリティ統括責任者の承認を得なければならない。

（委託契約書への記載事項）

第22条　外部委託にかかる契約書には，情報の保護に関し，次に掲げる事項を明記しなければならない。

(１)　再委託の禁止又は制限に関する事項

(２)　情報が記録された資料の保管，返還又は廃棄に関する事項

(３)　情報が記録された資料の目的外使用，複製・複写及び第三者への提供の禁止に関する事項

(４)　情報の秘密保持に関する事項

(５)　事故等の報告に関する事項

（受託者の管理状況の調査）

第23条　システム管理者は，必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。

第７章　事故発生時の対応

（事故発生時の対応）

第24条　事故が発生したとき，システム管理者は，事故の経緯及び被害の状況等を調査し，復旧のための必要な措置を講じなければならない。

第８章　その他

（その他）

第25条　この要綱に定めるもののほか，住基ネットの運用及び管理に関して必要な事項は別に定める。

附　則

この要綱は，平成14年８月５日から施行する。

附　則（平成19年３月30日訓令第１号）

この訓令は，平成19年４月１日から施行する。

附　則（平成24年３月30日訓令第16号）

この訓令は，平成24年４月１日から施行する。

附　則（平成26年５月30日訓令第６号）

この訓令は，公布の日から施行し，平成26年５月26日から適用する。