四万十市情報セキュリティポリシー

○四万十市情報セキュリティポリシー

平成27年12月28日

訓令第29号

(趣旨)

第1条　このポリシーは、四万十市情報資産管理運営規程(平成27年四万十市訓令第27号。以下「規程」という。)第29条の規定に基づき、情報セキュリティに関する対策(以下「セキュリティ対策」という。)に関し必要な事項を定めるものとする。

(定義)

第2条　このポリシーで使用する用語の意義は、規程で使用する用語の例によるもののほかに、次項に定めるところによる。

2　このポリシーにおいて次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　委託事業者等　実施機関が業務を委託する民間事業者等をいう。

(2)　コンピュータウイルス　情報システムの破壊、情報漏えい等を目的に作成された特殊なプログラムをいう。

(適用範囲)

第3条　このポリシーは、実施機関が管理する情報資産について適用する。

(セキュリティ対策)

第4条　セキュリティ対策は、次に挙げる事項からなる。

(1)　人的セキュリティ対策　職員の権限及び責任を定めるとともに、職員に対する情報セキュリティに係る教育及び啓発の実施からなる対策をいう。

(2)　物理的セキュリティ対策　情報システム機器の安全を確保し、情報資産を保護するために必要な物理的対策をいう。

(3)　技術的セキュリティ対策　コンピュータウイルス対策、不正アクセス対策及びソフトウェアの脆弱性対策からなる、情報システム及び情報資産を適切に保護するために必要な技術的対策をいう。

(セキュリティ事故)

第5条　情報セキュリティにおける事故又は問題(以下「セキュリティ事故」という。)は、次に挙げる事項をいう。

(1)　保有情報が記録された情報システム機器を紛失、又は盗難にあったとき。

(2)　情報システムに対する不正アクセス又は不正操作による保有情報の漏えい、改ざん又は消去があったとき。

(3)　地震、落雷、火災等の災害、事故及び故障等による情報システム及び業務の停止があったとき。

(4)　上記以外のもので保有情報が流出又はその可能性があるとき。

(運営体制)

第6条　セキュリティ対策に関する運営体制は、規定に定める体制に順ずる。

(情報統括責任者の事務)

第7条　情報統括責任者は、次に掲げる事務を所掌する。

(1)　実施機関におけるセキュリティ対策の実施及び情報セキュリティポリシーの策定及び見直しに関すること。

(2)　情報資産管理運営委員会に関すること。

(情報責任者の事務)

第8条　情報責任者は、次に掲げる事務を所掌する。

(1)　実施機関におけるセキュリティ対策及び情報セキュリティポリシーの実施に関すること。

(2)　セキュリティ対策を行うシステム運用責任者又は職員への支援に関すること。

(システム運用責任者の事務)

第9条　システム運用責任者は、所属する部署におけるセキュリティ対策の実施及び緊急時の対応作業に関する事務を所掌する。

(情報資産管理運営委員会)

第10条　情報統括責任者は、次に挙げる事項に該当するとき、情報資産管理運営委員会(以下「運営委員会」という。)を招集するとともに、委員長を務める。

(1)　セキュリティ事故が発生したとき。

(2)　委員長が必要と認めるとき。

2　前項第1号により運営委員会を招集したとき、運営委員会では次に挙げる事項を協議する。

(1)　セキュリティ事故の情報共有

(2)　セキュリティ事故後の対応

(3)　再発防止策

(4)　その他委員長が必要と認めること

(連絡体制)

第11条　職員は、セキュリティ事故を察知した場合、システム運用責任者又は課等の長に報告しなくてはならない。ただし、システム運用責任者又は課等の長が不在等の理由により報告できない場合は、情報責任者へ報告するものとする。

2　システム運用責任者又は課等の長は、前項の規程によりセキュリティ事故の報告を受けた場合、情報責任者へ報告しなければならない。ただし、情報責任者が不在等の理由により報告できない場合は、情報担当部署の職員へ報告するものとする。

3　情報責任者又は情報担当部署の職員は、前項の規程によりセキュリティ事故の報告を受けた場合、情報統括責任者に報告しなくてはならない。

(サーバ等の設置)

第12条　課等の長は、サーバ等を設置する際、盗難、災害等の危険性に備えた場所に設置することや停電に備えた対策等の措置を講じなければならない。

2　課等の長は、サーバ等を庁外へ設置又は庁外のサーバ等を利用する場合、定期的に当該機器へのセキュリティ対策状況について確認しなければならない。

(情報システム機器の廃棄)

第13条　課等の長は、所管する情報システム機器を廃棄、又はリース返却する場合、機器内部に記録された全ての情報を復元不可能な状態にする措置を講じなければならない。

(サーバ室の管理)

第14条　サーバ室及びモニター室の管理は、情報担当部署又は支所で行うとともに、次に挙げる事項を実施するものとする。

(1)　情報担当部署又は支所の職員は、サーバ室及びモニター室の入退出情報を記録するものとする。

(2)　委託事業者等がサーバ室及びモニター室で作業をする場合は、情報担当部署又は支所の職員が立ち会う等、必要な措置を取るものとする。

(職員等の遵守事項)

第15条　職員等は、この情報セキュリティポリシーを遵守しなければならない。また、セキュリティ対策について不明な点、遵守することが困難な点がある場合は、速やかに情報責任者に相談し、指示を仰がなければならない。

(不正利用の防止)

第16条　情報責任者又は課等の長は、情報システムを所管する職員以外のものが情報システムを操作できないよう、情報システム又は情報システム機器にパスワードの設定等必要な措置を講じるものとする。

2　職員は、前項で設定したパスワードを他者に知られないよう管理しなければならない。

3　職員は、使用中の情報システム機器から離れるときは、他の者が操作できないよう措置を講じなければならない。

4　職員は、第1項のパスワードが外部に漏洩又はその恐れがあると発覚した場合は、直ちに情報責任者へ報告しなければならない。

5　情報責任者は、前項で報告を受けた場合、直ちにパスワードを変更する。

6　パスワードは、定期的に見直し、必要に応じて変更を行う。

(監視及び閲覧)

第17条　情報責任者は、次に掲げる作業を行うためであれば、情報システム上の保有情報を監視及び閲覧することができる。この場合、監視及び閲覧する保有情報は、必要最小限にしなければならない。

(1)　情報システムを適性に管理運営するための作業

(2)　セキュリティ事故が発生した場合、又はその可能性がある場合における作業

(3)　第29条に定めるセキュリティ調査に係る作業

(ログの取得)

第18条　情報セキュリティを確保するために情報システム及びネットワークの利用に係るログを取得し、一定期間保存する。

2　情報責任者は、前項で取得したログを定期的に点検又は分析することができる。

(個人所有等の電子機器の接続禁止)

第19条　個人が所有するパソコン等実施機関所管外の情報システム機器を庁内のネットワークや情報システム機器に接続してはならない。ただし、情報責任者がやむを得ない事情と認め、セキュリティ上の安全を確認できた場合は、例外的に接続を認める。

(IPアドレスの管理)

第20条　IPアドレスの管理は、情報責任者が負うものとする。

2　情報システム機器に設定してあるIPアドレスは、情報責任者の許可無く変更してはならない。

(外部ネットワークとの接続制限)

第21条　法令等により外部非公開となっている保有情報を管理する情報システム機器は、外部ネットワークからの不正侵入を防ぐために外部ネットワークへのアクセスを制限する。

(ネットワークの監視)

第22条　情報責任者は、ネットワークをセキュリティ確保のために基幹系ネットワーク、情報系ネットワーク及び公開用ネットワークを監視することができる。

(コンピュータウイルス及び不正アクセス対策)

第23条　情報責任者は、セキュリティ対策として次に挙げる事項を実施するものとする。

(1)　実施機関が所管するすべてのパソコンやサーバ等にコンピュータウイルスに関する対策を講じるソフトウェアを導入すること。

(2)　基幹系ネットワーク、情報系ネットワーク、公開用ネットワーク上にコンピュータウイルス及び不正アクセスに関する対策を講じること。

(3)　コンピュータウイルス及び不正アクセスに関する対策は、特段の理由がない限り常に最新の状態を維持すること。

(4)　コンピュータウイルスに関する最新の情報を収集するとともに、当該情報に対する職員の注意喚起に努めること。

(5)　ソフトウェアの脆弱性を発見した場合、それに係る対策を講じること。

(セキュリティ設定の変更の禁止)

第24条　職員は、情報システム機器のセキュリティ設定を情報責任者の許可なく変更してはならない。

(コンピュータウイルスを検知した場合の対応)

第25条　職員は、コンピュータウイルスを検知した場合は、直ちに当該情報システム機器の使用を中止するとともに、情報責任者に報告し、その指示を受けなければならない。

2　前項の規定による報告を受けた情報責任者は、コンピュータウイルスに係る被害状況の把握及び侵入経路の調査を実施し、関係機関への報告、被害の拡大防止及び修復その他必要な措置等を講ずるものとする。

3　情報責任者は、前項の措置等について、必要に応じて情報統括責任者に報告するとともに、職員に対して当該コンピュータウイルスに関する対策について情報を提供するものとする。

(ソフトウェアの管理)

第26条　課等の長は、その所管する情報システムに係るソフトウェアのライセンスを適正に管理しなければならない。

2　職員は、所管する情報システム機器へ新たなソフトウェアを導入しようとするときは、事前に情報担当部署と協議すること。

(最新版の適応)

第27条　職員は、特段の理由がない限り、所管する情報システム機器に導入しているソフトウェアに対し、常に最新版を適応しなければならない。

(ソフトウェア管理上の禁止事項)

第28条　職員は、その所管する情報システム機器に業務上必要のないソフトウェアを導入してはならない。

2　職員は、職務に対し不要な又はセキュリティ上の安全性を損なうおそれのあるソフトウェアを起動してはならない。

(セキュリティ調査の実施)

第29条　セキュリティ調査は、実施機関の情報セキュリティの安全確保を目的とし、情報統括責任者の下、情報責任者が必要に応じて実施する。

(セキュリティ調査の内容)

第30条　セキュリティ調査の内容は、セキュリティ対策の範囲にとどめなければならない。

(結果報告)

第31条　情報責任者は、セキュリティ調査の結果を情報統括責任者に報告しなくてはならない。このとき、規程又はこのポリシーの見直しが必要であればこれも報告しなくてはならない。

(例外措置)

第32条　事故や災害等により緊急を要し、このポリシーを遵守することが困難な場合は、例外措置を取ることができる。この場合、情報責任者に報告しなければならない。

附則

この訓令は、公布の日から施行する。

附則(平成28年7月28日訓令第27号)

この訓令は、公布の日から施行する。

◆	平成27年12月28日	訓令第29号
◇	平成28年7月28日	訓令第27号