第1　趣旨

近年、インターネットに代表されるコンピュータネットワークの普及により、紙で流通・蓄積していた情報が電子化されるようになり、紙の情報が中心だった時代に比べ、1度に大量の情報が漏えい、破壊及び改ざんされるおそれが高まっている。また、不正アクセスを規制する「不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)」では、情報システムを管理する者に対して、不正アクセスからの防御措置を法律上の義務として定めている。したがって、情報資産の安全性、信頼性を確保するため情報セキュリティポリシーを定め、勝浦市(以下「市」という。)の情報システムの制度、技術及び運用の各方面にわたる総合的なセキュリティ確保対策を実施しなければならない。この対策基準は、市の情報資産を不正アクセス、データの破壊・改ざん、コンピュータウイルス等から保護するために必要なセキュリティ対策の基本となる事項を規定することを目的とする。なお、基準の策定に当たっては、「地方公共団体のためのコンピュータセキュリティに関する調査報告書(平成12年3月地方公共団体のためのセキュリティ対策基準のあり方検討委員会)」との整合性を図るものとする。

第2　範囲

この基準の適用範囲は、市の職員及び市の業務とする。

第3　定義

この基準において次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　アクセス　情報システムの各種資源への物理的接近。ネットワークを通じての情報システムの各種資源への接近。情報システムを通じてのデータの入力、検索、更新の実施

(2)　アクセス権限　情報システムの各種資源へのアクセスに関する権限

(3)　外部ネットワーク　内部ネットワーク以外のネットワーク

(4)　緊急時　地震、火災、落雷、風水害、爆発、爆破等による物理的災害・破壊の発生により、業務遂行が停止・停滞している、あるいは停止・停滞しようとしている状態

(5)　コンピュータウイルス　他人のプログラムやデータに対して被害を及ぼすことを意図した、自己伝染機能、潜伏機能又は発病機能のいずれか1つ以上を有するプログラム等

(6)　事務室　ユーザ部門の職員の執務室

(7)　重要機能室　電子計算機室、情報システムに係る空調設備室、電源設備室、データ保管室、ソフトウェア保管室の総称

(8)　縮退、再編成　情報システムの障害が発生した場合に、障害箇所を分離した上で、システムを組み替えること。

(9)　障害時　情報システムのハードウェア又はソフトウェアに異常が発生し、正常に稼働しない状態

(10)　資源　ハードウェア、ソフトウェア、データの総称

(11)　識別カード　重要機能室の入室資格者、情報システムの利用資格者を識別するためのカード

(12)　情報資産　市が取得し、紙データ又は電子データで管理・保存する地域住民の個人情報及び地域で経済・社会活動を営む企業や団体にかかわる情報等並びに職員の人事情報、予算等に関する財務会計情報等の組織運営にかかわる内部情報をいう。

(13)　情報システム　電子計算機、端末、通信装置、通信回線及びその周辺装置並びにプログラム等の全部又は一部により構成されるデータを処理するためのシステム

(14)　通信設備　端末、通信回線、通信装置及びこれらを収容する棚、ラック等の総称

(15)　通信装置　通信制御装置、モデム、回線終端装置等の総称

(16)　データ　情報システムにおいて、業務プログラム及びシステムプログラムが取り扱う情報

(17)　データ等　データ、プログラム及び文書

(18)　データ保管設備　磁気媒体、ドキュメント等を収容する棚ラック等のじゅう器類

(19)　電子計算機　演算装置(CPU)、記憶装置(メモリ、ハードディスク等)、制御装置及び入出力装置(キーボード、ディスプレイ等)

(20)　内部ネットワーク　庁舎内に設置されたネットワーク

(21)　ネットワーク　情報システムのうち、庁舎内及び外局を情報通信機器で結んだ通信回線による通信網

(22)　ファイル　記憶装置、記憶媒体に記録されているデータ及びプログラム

(23)　ユーザ部門　情報システム等を利用する情報システム等を運用管理する部門以外の部門

第2章　管理体制、規程等の整備

第1節　管理体制の整備

第4　業務範囲及び責任の明確化

情報システムに係る業務を円滑かつ適正に運営するため、情報システムを運用管理する部門とユーザ部門の業務範囲及び責任を明確にする。

第5　統括管理者の配置

情報システムの安全性、信頼性の確保を図るため、情報システムの企画、開発、運用の各段階のセキュリティ対策を総括的に管理する責任者を置くものとする。

第6　責任体制の確立

情報システムの防災・防犯体制を整備し、平常時及び非常時の責任体制を確立する。

第7　組織の整備

情報システムの継続的なセキュリティ対策を推進するため、関係職員等を構成員とし、重要事項を協議・決定する組織を整備する。

第8　情報システム管理者の配置

情報システム、情報システム機器及び関連設備の管理体制を整備し、管理者を定める。

第9　データ・ファイル責任者の配置

データ、ファイルの管理体制を整備し、統括的な責任者を定める。

第10　情報処理業務担当者の配置

情報システムの管理運用に関する担当者を情報処理業務ごとに定める。

第11　ソフトウェア責任者の配置

ソフトウェアの違法複製等を防止するための管理体制を整備し、責任者を定める。

第2節　規程の整備

第12　基本方針の策定

情報システム等のセキュリティ対策に取り組むための基本的な方針を定める。

第13　情報システム運用に関する規程の整備

情報システム管理者は、情報システムの運用に関する通常時、障害時、緊急時における手順等や防災、防犯に関する手順のほか、内部ネットワークの運用及び外部ネットワークに接続するための手続、方法等を内部規程等で整備する。

第14　コンピュータウイルスに関する規程の整備

コンピュータウイルス等自動的に実行される不正なプログラムの予防手順及び発見された場合の対応措置等を内部規程等で定める。

第3節　診断

第15　自主診断体制の確立

情報システムのセキュリティ対策、運用管理に関する自主診断の体制を確立する。

第16　自主診断の実施

情報システムのセキュリティ対策、運用管理に関する自主診断は、定期的に行うほか、必要に応じ、随時実施する。

第17　自主診断結果に基づく改善

情報システムに関する自主診断結果に基づき問題点を改善する。

第4節　危機管理計画

第18　危機管理計画の策定

統括管理者は、障害、不正アクセス発見時等緊急事態の発生時における対応策を危機管理計画として策定し、関係部門の責任者、職員に周知する。

第19　危機管理計画の確認

情報システム管理者は、危機管理計画に定められた対応手順、復旧手順に従って情報システム等が機能することを確認する。

第3章　建物・室のセキュリティ対策

第1節　建物のセキュリティ対策

第20　建物環境への配慮

重要機能室を設置する建物の周辺環境については、災害及び障害等の発生の危険性に配慮する。

第21　延焼防止対策の実施

重要機能室を設置する建物には、隣接する建物、回線等からの延焼防止措置を講ずる。

第2節　建物の構造

第22　耐火・防火対策

重要機能室を設置する建物は、耐火・防火等の措置に配慮する。

第23　耐震対策

重要機能室を設置する建物は、地震等に対する耐震措置に配慮する。

第24　漏水等水害対策

重要機能室を設置する建物は、漏水等の水害に対する措置に配慮する。

第3節　建物の開口部

第25　不正侵入対策

重要機能室を設置する建物の出入口には、不正侵入等に対する監視・管理措置等の防止措置に配慮する。

第4節　建物の内装等

第26　内装の不燃・難燃対策

重要機能室を設置する建物には、内装に不燃・難燃材料を使用し、カーテン・じゅうたん等については、防炎性能を有するものを使用するなど延焼の危険性に配慮する。

第27　構内回線の不燃化等延焼防止対策

重要機能室を設置する建物の構内回線には、不燃化等の延焼防止の措置に配慮する。

第5節　室の配置等

第28　重要機能室の配置

重要機能室は、建物内において、災害及び犯罪の危険性等を考慮して配置し、専用の独立した室とする。

第29　重要機能室の表示

重要機能室には、外部にその所在を示すような表示を避け、不正又は犯罪に対する措置を講ずる。

第6節　室の開口部

第30　出入り口等の防犯対策

重要機能室の出入口は、不正侵入、機器破壊等に対する防犯措置に配慮する。

第7節　室の内装

第31　重要機能室の延焼防止対策

重要機能室は、フリーアクセス床等の内装の不燃化や、カーテン、じゅうたん等に防炎性能を有するものを使用するなどの延焼防止の措置に配慮する。

第32　重要機能室の耐震・免震対策

重要機能室のフリーアクセス床等は、耐震又は免震の措置に配慮する。

第8節　室の設備・機器

第33　配線等の耐火対策

重要機能室の配線、ダクト等には、不燃化、延焼防止、耐火等の措置に配慮する。

第34　設備、機器の耐久性確保

重要機能室の設備、機器の耐久性の確保及び保守スペースを確保する措置を講ずる。

第35　電源設備の機能

重要機能室の電源設備は、受変電、自家発電設備等、電源容量に配慮する。

第36　落雷対策

重要機能室及び事務室の電源設備は、落雷による異常電流に対する措置等、落雷に対する措置を講ずる。

第37　良質な電源の確保

重要機能室の電源設備には、電圧、周波数変動等の障害に対し良質な電源を確保する措置を講ずる。

第38　漏電対策

重要機能室及び事務室の電源設備には、漏電に対する措置を講ずる。

第39　予備電源の確保

防災設備及び防犯設備には、予備電源の設置について配慮する。

第40　空気調和設備の漏水対策等

重要機能室の空気調和設備には、漏水、凍結防止等の措置を講ずる。

第41　空気調和設備のバックアップ

重要機能室の空気調和設備は、重要機能室専用とし、障害時のバックアップ等故障に対する措置を講ずる。

第42　空気調和設備の容量

重要機能室の空気調和設備は、急激な温湿度変化等に対応するため、その容量に配慮する。

第43　空気調和設備の粉じん対策

重要機能室の空気調和設備は、粉じん、腐食性ガス等に対する措置に配慮する。

第44　鼠害等の防止措置

重要機能室は、配線に対する鼠害等の防止措置に配慮する。

第45　電源コンセントの抜け防止対策

重要機能室及び事務室の機器については、電源コンセントの抜け防止対策を講ずる。

第46　禁煙及び飲食物の持込み禁止

機器が多く設置されている室内は、禁煙及び飲食物持込み禁止とする。

第4章　回線設備のセキュリティ対策

第47　障害拡大防止対策

構内の通信系等は、特定の部分の障害が広域に及ばないように構築する。

第5章　入退室管理

第48　入室者の限定

重要機能室への入室者は、資格を付与した者に限定する。

第49　一時的な入室資格

一時的に重要機能室への入室の資格を与える者に対しては、必要に応じて立会人を付け、立入り場所を制御する。

第50　訪問者への対応

重要機能室への訪問者に対しては、身元及び用件を確認の上、入室を許可する。

第51　出入口の施錠

重要機能室に職員等が不在の場合には、出入口を施錠する。

第52　巡回

職員は、定期的に重要機能室内を巡回する。

第53　搬出入物品の確認

重要機能室への搬出入物品は、重要機能室の職員が内容を確認する。

第54　可燃物持込みの制限

重要機能室への用紙等可燃物の持込みは、必要最小限とする。

第55　危険物等の持込み禁止

重要機能室への危険物又は燃焼器具の持込みは、原則として禁止する。

第6章　情報システムの管理

第1節　アクセス権限の管理

第56　アクセス権限の制限

各種情報資源へのアクセス権限者を定める。

第57　識別と認証機能

アクセス権限を持たない者による不正アクセスを排除するため、各種情報資源へのアクセスの際には、ユーザID及びパスワード等による識別と認証の機能を設ける。

第58　ユーザID、識別カード等の管理

ユーザID、識別カード等の登録、発行、更新、抹消、保管については、管理方法を定め、特定の者が管理する。

第59　パスワードの変更

パスワード保持者は、定期的にパスワードを変更する。

第60　不要なユーザIDの抹消

パスワード保持者は、ユーザIDを使用しなくなった場合は、速やかに情報システム責任者に報告し、権限を抹消する。

第61　パスワードの取扱い

パスワード保持者は、備忘用の紙等他人の目に付くところにパスワードを記録したり、パスワード入力時に他人に盗み見られないよう、パスワードの管理に注意する。

第62　パスワード作成時の注意

パスワード保持者は、他人が容易に推測可能な語句等をパスワードとしない。

第63　パスワードの利用

パスワード保持者は、他人にパスワードを利用させない。

第64　パスワード管理上の問題発生時の対応

パスワード保持者は、不正アクセスの原因となるパスワード管理上の問題が発生した場合には、速やかに情報システム責任者に報告し、その対策をとる。

第2節　管理者権限

第65　情報システムの管理権限

情報システムの管理権限は、業務を遂行する上で必要最小限とする。

第66　情報システムを管理する職員の抹消

情報システムを管理する職員がその資格を喪失した場合は、その権限を速やかに抹消する。

第3節　機器操作の管理

第67　オペレーション手順書の整備

情報システムのオペレーション手順について定めた文書を常備し、情報システムの構成変更等に伴って随時更新する。

第68　オペレーションの依頼、承認

オペレーションの依頼、承認は定められた手続に従って行う。

第69　複数オペレータの配置

専任のオペレータが必要な情報システムのオペレーションは、複数のオペレータが行う。

第70　保護かぎ機能の活用

オペレータは、情報システムの機器に保護かぎ機能がある場合は、これを有効に活用する。

第71　自動化、簡略化の推進

オペレーションについては、自動化、簡略化を図る。

第4節　機器及び設備の管理

第72　管理方法の明確化

情報システムの機器及び設備の管理方法を明確にする。

第73　機器等の予防保守の実施

情報システムの機器及び設備の予防保守を定期又は随時に実施する。

第74　保守作業での立会い

情報システムの保守作業に当たっては、運用担当者がその作業に立会い、定められた作業手順に基づく実施状況を確認し、その結果を把握する。

第75　保守作業時のデータ保護対策

情報システムの機器及び設備の保守作業に当たっては、データ保護のために適切な措置を講ずる。

第76　設定変更時の確認

情報システムの機器及びソフトウェアの設定変更を管理し、変更時に設定内容が適切であるかを十分にチェックする。

第77　不要なプログラム等の排除

情報システムに導入又は稼働させるプログラム及びソフトウェアは必要最小限とし、情報システムの運用に必要のないものは排除する。

第78　不正プログラム発見時の対応措置

コンピュータウイルス等の自動的に実行される不正なプログラムが発見された場合の対応措置を定め、周知する。

第79　情報システム機器の不正プログラム対策

情報システム機器を新たに導入又は再利用する際には、コンピュータウイルス等自動的に実行される不正なプログラムへの対策のため、1度初期化してから用いる。

第80　出所不明なファイル等の利用禁止

コンピュータウイルス等自動的に実行される不正なプログラムへの対策として、出所不明なファイルやソフトウェアを利用しない。

第81　コンピュータウイルス監視機能

情報システム機器等の作動状況に、コンピュータウイルス等自動的に実行される不正なプログラムによる被害等異常が発生していないかを監視する機能を設ける。

第82　情報システムの変更に伴う措置

情報システムの変更、重要機能室のレイアウト変更等の都度、各機器及び設備の容量及び性能を見直し、使用状況を確認する。

第83　障害検知通報機能

障害を検知した場合に、速やかに通報表示する機能を設ける。

第84　縮退・再編成機能

情報システムの機器の障害時における縮退・再編成機能を設ける。

第85　重要な構成機器の代替機能

情報システムの重要な構成機器は、障害時に代替可能な機能を設ける。

第86　重要なファイルの二重化

重要なファイルは、障害時に代替可能にするため二重化する。

第87　重要なファイル等のバックアップコピーの取得

情報システムを稼働させるために必要なシステムファイル及びプログラム等重要なファイルは、アレイディスク方式により取得する。

第88　最新の安全対策の実施

セキュリティ機能の進展に関する最新情報を収集・分析し、不正アクセスの防止等安全対策に重要な情報については、順次必要な対応措置を講ずる。

第89　不正アクセス等の検知機能

不正又は異常なアクセスがあった場合、検知する機能を設ける。

第5節　データ・プログラム及び文書の保管管理

第90　データ、プログラムなどの保管管理に関する規程の整備

データ、プログラム及び文書の保管管理、受渡し方法を定め、実施する。

第91　重要データ、プログラム等の廃棄手続き

重要なデータ、プログラム及び文書の使用(複写を含む。)、廃棄、消去はそれぞれの管理責任者の承認を得る。

第92　重要データ、プログラム等の保管場所

重要なデータ、プログラム及び文書の保管場所は、施錠可能な保管施設内とし、そのかぎは定められた者が管理する。

第93　重要データ、プログラム等の火災に対する措置

重要なデータ、プログラム及び文書は、火災に対する措置を講ずる。

第94　データ、プログラム等の保管状況の点検

データ、プログラム及び文書の保管管理は、定期的に保管状況を点検する。

第95　設計資料の保管管理

仕様書等設計資料の保管管理は、適正に行う。

第96　磁気ファイル及び文書の外部持出し禁止

磁気ファイル及び文書の外部への持出し、複写については、所定の手続がない限り禁止する。

第97　記憶媒体の廃棄

データ、プログラムの記憶媒体及び文書を廃棄する場合は、消磁、破砕、溶解等の措置を講ずる。

第6節　ネットワークの管理

第98　情報システム責任者の責務

情報システム責任者は、ネットワークの安定運用を維持するため、適切な運用・保守管理を行う。

第99　ネットワークに機器等を接続する場合の手続

ネットワークに機器を接続する場合は、情報システム責任者の許可を得るものとする。

第100　不審な機器の接続有無の確認

情報システム責任者は、ネットワーク構成の状況を適切に把握し、定期又は随時に不審な機器の接続有無等を確認する。

第101　不正な変更からの保護

ネットワーク設定情報は、不正に変更されないための措置を講ずる。

第102　ファイアウォール機能

情報システム責任者は、ファイアウォール機能を有した通信機器の設置等により、不正アクセスを防止する措置を講ずる。

第103　ネットワーク構成の非開示

ネットワーク構成等に関する情報は、関係者以外には開示しない。

第104　不要なネットワークサービスの停止

ネットワークの運用に必要のないネットワークサービスは提供しない。

第7節　外部ネットワークとの接続

第105　契約内容の明確化

回線接続に係る契約内容については、これを明確にする。

第106　接続先の確認

接続先の確認、管理は、回線接続の契約に基づいた方法によって行う。

第107　通信経路の制限

外部ネットワークを経由してアクセス可能な通信経路は、必要最小限とする。

第108　データ、ファイルの保護

外部ネットワークを経由してアクセスする権限を有する者から、内部ネットワークのデータ、ファイルを保護する措置を講ずる。

第109　ネットワークサービスの制限

外部ネットワークから内部ネットワークへの通過を許可するネットワークサービスの範囲は、必要最小限とする。

第110　公開用データ等

外部に公開するデータやサービスは、専用のコンピュータ上に構築する。

第7章　障害時、不正アクセス発見時の対応

第1節　障害時の対応

第111　障害時の連絡手段

障害時の連絡手段を定め、関係部署に周知徹底させる。

第112　障害時の対応手順

障害時の対応手順を定める。

第113　障害時の復旧手順

障害の復旧手順を定める。

第114　障害記録の整理保存

障害の再発を防止し、当該障害についての対策を講じやすくするために、障害発生原因を分析し、障害記録を整理保存する。

第2節　不正アクセス時の対応

第115　被害状況の把握

不正アクセスが判明した場合、関係者と協力して被害状況の把握を行う。

第116　被害拡大防止措置

不正アクセスが判明した場合、関係者と協力して被害拡大を防止するための措置を速やかに講ずる。

第117　復旧措置

不正アクセスの被害を受けた場合には、関係者と協力して、被害復旧に努める。

第118　再発防止対策

不正アクセスの被害を受けた場合には、事後対処として、不正アクセス発生の原因を分析し、関係者と協力して再発防止対策を講ずる。

第8章　外部委託管理

第119　委託先業者

業務を委託する場合には、委託先業者の社会的信用と能力を確認する。

第120　責任分担

外部委託契約には、情報システムのセキュリティ対策及び問題発生時における責任分担を明確にする。

第121　業務の管理、監査

作業の進捗状況及びセキュリティ対策の実施状況を確認するなど委託業務を管理及び監査する。

第122　複数の委託業者の連携確保

情報システムの構築・運用管理に複数の委託先業者がかかわる場合は、分担範囲、責任範囲を明確にし、委託先業者相互間の連携を確保する。

附則