○香南市住民基本台帳ネットワークシステム運用管理要綱

平成19年7月6日

訓令第34号

香南市住民基本台帳ネットワークシステム運用管理要綱(平成18年香南市訓令第11号)の全部を改正する。

(目的)

第1条 この訓令は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)の運用及び管理に関し必要な事項を定め、住基ネットの適正な運用及び管理を図り、併せて本人確認情報の漏えい、滅失及び毀損を防止し、本人確認情報の適正な管理を図ることを目的とする。

(用語の定義)

第2条 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、機構サーバ、認証業務連携サーバ、端末機、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回線、プログラム等により構成され、市町村長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を都道府県知事に通知し、都道府県知事が本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、市町村の区域を越えた住民基本台帳に関する事務を処理し、並びに市町村長、都道府県知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステムをいう。

(2) コミュニケーションサーバ 都道府県知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。)を行うための市区町村長の使用に係る電子計算機をいう。

(3) 都道府県サーバ 市区町村長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、機構に本人確認情報の通知を行うための都道府県知事の使用に係る電子計算機をいう。

(4) 機構サーバ 都道府県知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行うための機構の使用に係る電子計算機をいう。

(5) 認証業務連携サーバ 機構が電子証明書(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年法律第153号)第3条第1項に規定する署名用電子証明書及び同法第22条第1項に規定する利用者証明用電子証明書をいう。以下同じ。)の発行を受けている者に係る機構保存本人確認情報(法第30条の9に規定する機構保存本人確認情報をいう。)のうち個人番号以外のものを利用するための機構の使用に係る電子計算機をいう。

(6) ファイアウォール ネットワークにおいて不正侵入を防御するシステムをいう。

(7) プログラム 電子計算機を機能させて住基ネットを作動させるための命令を組み合わせたものをいう。

(8) データ 住基ネットにおいて通知、記録、保存又は提供される情報をいう。

(9) ファイル 磁気ディスク(これに準ずる方法により一定の事項を確実に記録しておくことができる物を含む。以下同じ。)に記録されているデータ及びプログラムをいう。

(10) ドキュメント 住基ネットの設計及びプログラム作成運用に関する記録文書をいう。

(11) サーバー室 電子計算機及び電気通信関係装置を設置及び磁気ディスク等を保管する室をいう。

(12) 生体認証システム 指紋、虹彩及び血管等の身体的特徴(以下「生体情報」という。)により、個人を特定し、操作者の権限を管理するシステムをいう。

(適用範囲)

第3条 この訓令は、香南市が運用管理する住基ネットに適用する。

(セキュリティ統括責任者)

第4条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。

2 セキュリティ統括責任者は、副市長をもって充てる。

(システム管理者等)

第5条 住基ネットの適切な管理を行うため、システム管理者を置く。

2 システム管理者は、情報政策課長をもって充てる。

3 システム担当職員は、情報推進係長をもって充てる。

(セキュリティ責任者)

第6条 住基ネットを利用する課等において、セキュリティ対策を実施するため、セキュリティ責任者を置く。

2 セキュリティ責任者は、市民保険課長をもって充てる。

(セキュリティ会議)

第7条 セキュリティ統括責任者は、少なくとも年に1回、セキュリティ会議を招集する。

2 セキュリティ会議の議長は、セキュリティ統括責任者が務める。

3 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。

(1) システム管理者

(2) セキュリティ責任者及びセキュリティ統括責任者が指名する者

4 セキュリティ会議は、次に掲げる事項を審議する。

(1) 住基ネットのセキュリティ対策の決定及び見直し

(2) 前号のセキュリティ対策の遵守状況の確認

(3) 監査の実施

(4) 教育及び研修の実施

(5) 緊急時対応計画に基づく住基ネットからの切り離し

5 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を聴くことができる。

6 セキュリティ会議の庶務は、市民保険課において処理する。

(関係課等に対する指示等)

第8条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係課等の長に対し指示し、又は教育委員会等に対し必要な措置を要請することができる。

(入退室管理)

第9条 外部の者又は権限のない者によるサーバー室への侵入、危険物の持ち込み、住基ネットの構成機器、データ等の持ち出し等を防止するため、サーバー室への入退室管理を行う。

(入退室管理を行う場所)

第10条 住基ネットの運用が行われる場所において、香南市情報セキュリティ対策基準を適用する。

(アクセス管理を行う機器)

第11条 第2条第1号における住基ネットの構成機器のうち、香南市で管理するものについて、アクセス管理を行う。

2 前項のアクセス管理は、生体認証システム及びパスワードによる操作者の正当な権限の確認及び操作者が記録する操作記録簿(様式第1号)の確認により行う。

(アクセス管理責任者)

第12条 住基ネットにおけるアクセス管理を適正に行うため、アクセス管理責任者を置く。

2 アクセス管理責任者は、セキュリティ責任者がこれを兼ねる。

(生体認証システム)

第13条 アクセス管理責任者及び操作者は、生体認証システムの取扱いに関し、次に掲げる事項を実施する。

(1) 操作者は、生体認証システムの目的外利用等を行わないこと。

(2) 操作者は、操作記録簿に操作内容を記録すること。

(3) アクセス管理責任者は、前号において、適正に生体認証システムの利用が行われているか確認し、これを記録すること。

(4) アクセス管理責任者は、必要に応じ職員個人の生体情報及び権限を生体認証システムに対し登録し、設定し、及び解除すること。

(5) アクセス管理責任者は、生体認証システム管理簿(様式第2号)を作成し、生態情報及び権限の記録を行うこと。

(6) アクセス管理責任者は、その他必要に応じ生体認証システムの管理について管理方法を定め、操作者は、定められた管理方法を遵守すること。

(生体認証システムのパスワード)

第14条 アクセス管理責任者及び操作者は、生体認証システムのパスワードに関し、次に掲げる事項を実施する。

(1) 操作者は、パスワードを定期的又は必要に応じて随時に更新すること。

(2) パスワードは、英数字を組み合わせたものとし、かつ、辞書単語、単純な文字列など推測可能な番号を用いないこと。

(3) 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知り得る状態に置かないこと。

(4) パスワードは、操作者が設定すること。ただし、やむを得ずアクセス管理責任者が設定する場合は、他者へのパスワードの漏えいを防止する手段を講ずること。

(5) アクセス管理責任者は、その他必要に応じパスワードについて管理方法を定め、操作者は、定められた管理方法を遵守すること。

(オペレーティングシステムの管理)

第15条 アクセス管理責任者は、アクセス管理を行う機器のオペレーティングシステムについて、次に掲げる事項を実施する。

(1) ユーザID管理簿(様式第3号)を作成すること。

(2) ユーザIDと操作者との対応付けを行うこと。

(3) ユーザIDに付与する権限を業務上必要最低限のものとすること。

(4) 操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないように制限すること。

(5) ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除すること。

(オペレーティングシステムのパスワードの管理)

第16条 アクセス管理責任者及び操作者は、オペレーティングシステムのパスワードに関し、第14条の規定に基づき適切に管理するものとする。

(不正なアクセスの防止)

第17条 アクセス管理責任者は、オペレーティングシステムの不正なアクセスを防止するため、次に掲げる事項を実施する。

(1) ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査すること。

(2) 業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるように設定すること。

(3) フォルダの共有ができないように設定すること。

(4) 業務及び運用管理で必要なプログラム以外は起動しないこと。

(5) 業務に必要なアプリケーションの操作履歴について不正な操作がないことを、操作記録簿との整合性を突合するなど適切な方法によって確認すること。

(6) 前号の確認は、毎年度1回以上行うものとし、その結果を記録すること。

(7) 業務に必要なアプリケーションの操作履歴は、磁気ディスク又はドキュメントと同じ場所に保管すること。

(8) 第1号から第4号まで及び前号に規定する事項について適宜確認し、記録すること。

(9) その他必要に応じ不正なアクセスを防止する方法を講じること。

(他のソフトウェアの導入禁止)

第18条 第11条第1項に規定する機器に導入する住基ネットの管理及び運用に必要なソフトウェアを、標準的にインストールするソフトウェアとし、これ以外のソフトウェアは導入しないものとする。

2 アクセス管理責任者は、コミュニケーションサーバ及び業務端末機にアクセス制限ツール等を適用し、ソフトウェアを追加できないように設定する。

3 アクセス管理責任者は、標準的にインストールするソフトウェア以外のものがインストールされていないこと及びアクセス制限ツール等の適用について、適宜確認し、アクセス管理記録簿(様式第4号)に記録する。

(コンピュータウイルス等の対策)

第19条 アクセス管理責任者は、住基ネットに対しウイルス等の不正プログラムの混入を防止するため、コミュニケーションサーバ及び業務端末機がインターネットに接続できないよう、物理的又は論理的に分断する設定を行う。

2 アクセス管理責任者は、インターネットに接続できないことを適宜確認し、記録する。

(ネットワーク設定の管理)

第20条 システム担当職員は、ネットワークの設定について内容を把握し、確認できるようにする。

2 アクセス管理責任者は、システム担当職員及び委託業者等とともに、ネットワークの設定が適切であるか適宜確認し、記録する。

3 アクセス管理責任者は、委託業者等の設定した内容について、文書又はその他適当な方法により内容が適切であるか確認し、記録する。

4 アクセス管理責任者は、機構及び委託業者等からセキュリティ情報を提供された際には、その助言及び指示に従い、必要な措置を講じ、それを記録する。

(情報資産の管理)

第21条 住基ネットの情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)の管理については、システム管理者が行う。

(本人確認情報管理責任者)

第22条 前条の情報資産のうち、本人確認情報、当該本人確認情報が記録されたコミュニケーションサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理を適正に行うため、本人確認情報管理責任者を置く。

2 本人確認情報管理責任者は、セキュリティ責任者がこれを兼ねる。

3 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他当該本人確認情報の適切な管理のために必要な措置をとらなければならない。

(情報資産管理簿)

第23条 セキュリティ責任者は、情報資産管理簿(様式第5号)及び次に掲げる台帳等を作成するものとする。

(1) システム構成表 システムを構成する機器についての一覧表

(2) システム及びネットワーク構成図 電子計算機及び電気通信関係装置の物理的設置位置が分かる配線図及びそれらの接続関係が分かるもの

(3) 機器管理台帳 住基ネットを構成する機器ごとに、管理を行う上で必要となる項目を記載した台帳

(4) ソフトウェア管理台帳 住基ネットで使用するソフトウェアの導入状況等を記載した台帳

(5) ネットワーク概念図 コミュニケーションサーバ及び業務端末等を含めた住基ネットに関する当該団体の概念的な図

(6) ネットワーク設定表 住基ネットにおけるネットワークの機器が正常に動作するために設定情報を記載したもの

(7) 操作者一覧表 住基ネットを取り扱う者の所属、氏名、権限等を記載したもの

(8) その他システム管理者が必要と認めた台帳

2 前項の情報資産管理簿は、変更があった際には更新し、最新の状態とする。

3 システム管理者は、情報資産管理簿が最新の状態であるか適宜確認し、記録する。

(機器の接続)

第24条 新たに機器を接続する場合にはセキュリティ責任者に申請を行うものとし、セキュリティ責任者の承認を得て接続する。

2 セキュリティ責任者は、新たな機器が接続された場合は、新たに機器管理台帳を作成する。

3 セキュリティ責任者又は委託された者は、新たな機器が接続されていないことを適宜確認し、記録する。

(電気通信関係装置に係る不正操作の防止)

第25条 セキュリティ責任者は、電気通信関係装置を操作することができる職員を指定し、これらの職員のみにユーザIDの配布及びパスワードの設定を行う。

2 セキュリティ責任者は、電気通信関係装置を操作することができる職員の名簿を作成し、適切に管理されているか適宜確認し、記録する。

3 セキュリティ責任者は、電気通信関係装置の管理を適切に行う。

4 セキュリティ責任者は、前項について適切に管理されていることを適宜確認し、その記録を行う。

5 セキュリティ責任者は、電子通信関係装置が収納棚等に格納されて施錠されている場合、その鍵を適切に管理し、貸与する際には、収納棚(鍵)管理簿(様式第6号)に記録する。

(磁気ディスクの管理)

第26条 システム管理者及び磁気ディスクの取扱担当者は、磁気ディスク(電子計算機に搭載される磁気ディスクを除く。)の管理を適切に行うため、次に掲げる事項を実施する。

(1) 磁気ディスクの取扱担当者は、住基ネットに関係する職員とすること。

(2) 磁気ディスクは専用の保管庫に保管し、施錠すること。

(3) システム管理者は、磁気ディスク管理簿(様式第7号)を作成し、使用、複写、消去及び廃棄を行った際には記録すること。

(4) システム管理者は、磁気ディスク管理簿と保管状況が一致していることを適時確認し、記録すること。

(5) 磁気ディスクは、ラベル等により他と判別できるようにすること。

(6) 磁気ディスク及び電子計算機に搭載される磁気ディスクを廃棄する際には、専用のソフトウェアによる消去又は媒体の物理的破壊等を行うこと。

(7) システム管理者は、第2号から前号までの規定について、適宜確認し、記録すること。

(ドキュメントの管理)

第27条 セキュリティ責任者及びドキュメントの取扱担当者は、ドキュメントの管理を適切に行うため、次に掲げる事項を実施する。この場合において、ドキュメントの取扱担当者は、住基ネットに関係する職員とする。

(1) ドキュメントの取扱担当者は、ドキュメントを専用の保管庫に保管し、施錠すること。

(2) セキュリティ責任者は、ドキュメント管理簿(様式第8号)を作成し、使用、複写、消去及び廃棄を行った際には記録すること。

(3) セキュリティ責任者は、ドキュメント管理簿と保管状況が一致していることを適時確認し、記録すること。

(4) ドキュメントの取扱担当者は、ドキュメントを廃棄する際には、裁断又は溶解等を行うこと。

(本人確認情報の管理)

第28条 本人確認情報の適切な管理を行うため、本人確認情報管理責任者は次に掲げる事項を実施する。

(1) 業務上必要のない本人確認情報について、検索又は抽出を行わないこと。

(2) スクリーンセーバの機能を活用するなど、長時間にわたり本人確認情報をディスプレイ上に表示したままの状態にしないようにすること。

(3) 離席する際には、業務アプリケーションを終了させること。

(4) 住基ネットの業務端末に係るディスプレイは、窓口に来庁している住民から見えない位置に置くこと。

(5) 画面のハードコピーは、取らないこと。

(6) 本人確認情報をメモに書き込み、又はテキスト文書等で保管を行わないこと。

(7) 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、入力、削除及び訂正を行った者以外の者が確認する等の措置を講ずること。

(8) 1回の業務で100件以上の本人確認情報を出力する際には、アクセス管理責任者の承認を得ること。

(9) その他必要に応じ、本人確認情報が不正に利用されることを防止する方法を講ずること。

(10) 前各号に掲げる事項について適宜確認を行い、必要に応じて記録すること。

(本人確認情報が記載された帳票の管理)

第29条 本人確認情報が記載された帳票(以下「帳票」という。)の適切な管理を行うため、本人確認情報管理責任者は、次に掲げる事項を実施する。

(1) 帳票管理簿(様式第9号)を作成し、受け渡し、保管及び廃棄の際には記録すること。

(2) 帳票の保管については、帳票管理簿に従い、施錠できる書庫等に保管を行い、紛失及び盗難を防止するための措置を構ずること。

(3) 帳票を廃棄する際には、裁断又は溶解等を行うこと。

(4) 帳票を出力する際には、来庁者から出力した帳票を見ることができないよう、適切な設置位置及び方向を選択するなどの措置を構ずること。

(5) 出力された帳票は、速やかに回収し、又は出力装置等に帳票が残っていないか、適宜確認すること。

(6) その他必要に応じ、帳票を適正に管理する方法を講ずること。

(7) 前各号に掲げる事項について適宜確認し、必要に応じて記録すること。

(住民基本台帳カード及び個人番号カードの管理)

第30条 住民基本台帳カード及び個人番号カードは、施錠が可能な保管庫に保管する。

2 住民基本台帳カード(個人番号カード)管理簿(様式第10号)を作成し、記録する。

(住民基本台帳カード及び個人番号カードの廃棄)

第31条 住民基本台帳カード及び個人番号カードを廃棄する際には、焼却、溶解、裁断等に券面印刷の内容が判読できないようにし、かつ、ICチップを物理的に破壊する。

2 前項において、廃棄したことについて記録する。

(委託を受けようとする者の管理体制等の調査)

第32条 システム管理者は、外部委託をしようとするときは、あらかじめ、委託(2以上の段階にわたる委託を含む。)を受けようとする者における情報の保護に関する管理体制等について調査する。

2 委託先事業者を選定する場合には、その事業者に対して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、記録する。

(外部委託の承認)

第33条 システム管理者は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ統括責任者の承認を得なければならない。

(委託契約書への記載事項)

第34条 外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。

(1) 再委託の禁止又は制限に関する事項

(2) 情報が記録された資料の保管、返還又は廃棄に関する事項

(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項

(4) 情報の秘密保持に関する事項

(5) 事故等の報告に関する事項

(6) 委託業務の範囲及びその作業内容についての報告に関する事項

(7) 前号において、複数の事業者に委託を行う場合には、各々の作業範囲並びに受託業務及びその作業内容についての報告に関する事項

(8) 委託作業者の名簿の提出に関する事項

(委託契約内容の確認)

第35条 システム管理者は、必要に応じ、委託業者が契約書に基づいて作業を実施していることを確認し、記録する。

(委託業者の管理状況の調査)

第36条 システム管理者は、必要に応じ、委託業者における当該外部委託(2以上の段階にわたる委託を含む。)に係るセキュリティ対策の実施状況について調査する。

(その他)

第37条 この訓令に定めるもののほか、住基ネットの運用及び管理に関して、必要な事項は別に定める。

この訓令は、公布の日から施行する。

(平成20年3月25日訓令第17号)

この訓令は、平成20年4月1日から施行する。

(平成22年4月1日訓令第25号)

この訓令は、平成22年4月1日から施行する。

(平成26年3月25日訓令第9号)

この訓令は、平成26年4月1日から施行する。

(平成27年12月28日訓令第22号)

(施行期日)

第1条 この訓令は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)附則第1条第4号に掲げる規定の施行の日(平成28年1月1日)から施行する。

(平成30年5月14日訓令第8号)

この訓令は、公表の日から施行する。

(令和5年3月22日訓令第11号)

この訓令は、令和5年4月1日から施行する。

画像

画像

画像

画像

画像

画像

画像

画像

画像

画像

香南市住民基本台帳ネットワークシステム運用管理要綱

平成19年7月6日 訓令第34号

(令和5年4月1日施行)

体系情報
第3編 執行機関/第1章 長/第7節
沿革情報
平成19年7月6日 訓令第34号
平成20年3月25日 訓令第17号
平成22年4月1日 訓令第25号
平成26年3月25日 訓令第9号
平成27年12月28日 訓令第22号
平成30年5月14日 訓令第8号
令和5年3月22日 訓令第11号