○勝浦市情報システム運用に関する規程
平成18年3月27日
訓令第4号
勝浦市情報システム運用に関する規程(平成15年勝浦市訓令第4号)の全部を改正する。
(趣旨)
第1条 この規程は、勝浦市(以下「市」という。)の勝浦市情報セキュリティ対策基準(平成15年勝浦市告示第57号)第13に基づき情報システムの運用に関する通常時、障害時、緊急時における手順等や防災、防犯に関する手順のほか、内部ネットワークの運用及び外部ネットワークに接続するための手続、方法等を整備し、情報システムを円滑かつ適正に運用するために定めるものとする。
(範囲)
第2条 この規程の適用範囲は、市の職員及び市の業務とする。
(1) 情報システム 電子計算機、端末、通信装置、通信回線及びその周辺装置並びにプログラム等の全部又は一部により構成されるデータを処理するためのシステム
(2) ネットワーク 市の庁舎内及び出先施設内(以下「施設内」という。)を情報通信機器で結んだ通信回線による通信網
(3) 内部ネットワーク 庁舎内に設置された情報通信機器で結んだ通信回線による通信網
(4) 外部ネットワーク 内部ネットワーク以外のネットワーク
(5) データ 情報システムにおいて、業務プログラム及びシステムプログラムが取り扱う情報
(6) ファイル 記憶装置、記憶媒体に記録されているデータ及びプログラム
(7) アクセス 情報システムの各種資源への物理的接近。ネットワークを通じての情報システムの各種資源への接近。情報システムを通じてのデータの入力、検索、更新の実施
(8) ユーザー部門 情報システム等を運用管理する部門以外の部門
(統括管理者の配置)
第4条 情報システムの安全性、信頼性の確保を図るため、情報システムの企画、開発、運用の各段階でのセキュリティ対策を総括的に管理するため、総括管理者を置き、副市長をもって充てる。
(情報システム管理者の配置)
第5条 情報システム、情報システム機器及び関連設備の管理者として、情報システム管理者を置き、情報政策課長をもって充てる。
(情報システム責任者の配置)
第6条 情報システム管理者を補佐し、情報システム、情報システム機器及び関連設備の運用責任者として、情報システム責任者を置き、情報政策課情報政策係長をもって充てる。
(データ・ファイル責任者の配置)
第7条 データ及びファイルを管理する責任者として、データ・ファイル責任者を置き、情報政策課情報政策係長をもって充てる。
(ソフトウェア責任者の配置)
第8条 ソフトウェアの違法複製等を防止するための責任者として、ソフトウェア責任者を置き、情報政策課情報政策係長をもって充てる。
(オペレーション管理責任者の配置)
第9条 オペレーション実施の責任者として、オペレーション管理責任者を置き、情報政策課情報政策係長をもって充てる。
(利用目的)
第10条 情報システムの利用に当たっては、次に掲げる事項を遵守して利用しなければならない。
(1) 情報システムは、情報システム管理者の指示に従い、業務目的で活用するものとする。
(2) 情報システムで管理する情報は、業務上のものとする。
(3) 情報システムを職員個人が私的に利用してはならない。
(4) 情報システムを利用する際には、情報システム管理者の指示に従い、適正かつ安全な運用の維持、管理に努めなければならない。
(データの保護とセキュリティ)
第11条 情報システムを利用するに当たっては、勝浦市情報セキュリティ基本方針(平成15年勝浦市告示第56号)及び勝浦市情報セキュリティ対策基準の他、次に掲げる事項を遵守しなければならない。
(1) 情報システムで管理する情報は、情報公開制度に基づき公開する情報を除き、庁外に情報を開示してはならない。
(2) 情報システムに保護すべき情報を保存する場合は、適切なアクセス管理(パスワード管理・暗号化等)を実施し、関係者以外がアクセスできない措置を講ずるものとする。
(3) 保護すべき情報を庁外に送信したり、メモリスティックなどの記憶媒体や携帯可能な端末などに保存して庁外に持ち出してはならない。やむを得ず送信又は持ち出す場合は、情報セキュリティ対策管理者の許可を得た上で、適切なアクセス管理(パスワード管理・暗号化等)を実施するとともに、必要に応じて事前に秘密保持契約を締結するものとする。
(4) 暗号化した情報を復元するかぎなどの復元情報については、不慮の事故に備えて第三者が復元できるよう情報セキュリティ対策責任者に預託するものとする。
(5) 情報セキュリティ対策責任者は、そのかぎが破損・改ざん・漏えいしないよう適正に管理し、必要な場合以外は、預託されたかぎで復元しない措置を行うものとする。
(6) 市民などの職員以外の者から端末の画面が見える場所で、保護すべき情報にアクセスしない。また、端末から離席するときには、いったんログアウトするなど、画面情報の保護措置を講ずるものとする。
(7) 原則として、自分あてのメールを他の者に自動回送してはならない。やむを得ず自動回送する場合は、情報セキュリティ対策責任者の許可を得るものとする。
(8) 端末、記憶媒体等を廃棄する場合は、専用のデータ消去ソフト等により完全に消磁した上で廃棄するものとする。
(文書、データの保存及び廃棄処理)
第12条 情報システムにおける文書、データの保存及び廃棄については、次に掲げる事項を遵守しなければならない。
(1) 住民情報システム上抽出できるデジタルデータは、業務上利用しやすいよう加工できるものとし、保管する場合は、情報システム管理者から指定されたファイルサーバー内のフォルダ以外に保存してはならない。
(2) 財務会計システム上抽出できるデジタルデータは、業務上利用しやすいよう加工できるものとし、保存する場合は、グループウェアサーバ以外の場所に保存してはならない。
(3) グループウェアシステムや情報システムで作成した文書については、グループウェアサーバに保存し、他のローカルディスク等に保存してはならない。ただし、情報システム責任者がやむを得ないと認めた場合は、この限りでない。
(4) 業務上、紙に出力したデータ(以下「紙データ」という。)について、決して外部に流出しないよう責任を持って管理しなければならない。
(5) 業務終了後、保管の必要のない紙データについては、シュレッダー等にかけ部外者に流出しないよう処理しなければならない。
(6) ファイルサーバやグループウェアサーバのデータについて、職員は、不要なデータ等を削除するなど効率的な利用に努めなければならない。
(情報システムの運用時間)
第13条 情報システムの運用時間については、左表のとおりとし、次に掲げる事項を遵守しなければならない。
システムの名称 | 運用時間 | |
開庁日 | 閉庁日 | |
住民情報システム | 午前8時から午後5時30分まで | 運用停止 |
財務会計システム | 午前8時から午後5時30分まで | 運用停止 |
グループウェア | 午前8時から午後10時まで | 午前8時から午後5時30分まで |
インターネット | 午前8時から午後5時30分まで | 午前8時から午後5時30分まで |
(1) 定められた運用時間以外に情報システムを利用してはならない。業務上利用しなければならない場合は、情報システム管理者の許可を得なければならない。
(2) 情報システム管理者は、保守等のため必要と認めた場合は、情報システムの運用時間を変更し、又は運用を停止することができるものとする。
(電子メールの利用)
第14条 庁内における連絡事項、照会及び回答については、原則としてグループウェア電子メール(以下「電子メール」という。)を利用するものとする。ただし、決裁を必要とするものについては、紙に出力した文書(以下「紙ベース」という。)により、決裁後に電子メールで送信するものとする。
2 電子メールで受発信できる情報については、紙ベースでの処理を行わないものとする。
(電子掲示版の利用)
第15条 職員に周知する連絡事項は、グループウェア電子掲示板(以下「電子掲示板」という。)を利用する。ただし、決裁が必要なものについては、決裁後電子掲示板に掲載するものとする。
2 電子掲示板への情報掲示は、各職員が主管課長の了承を得た上で行い、情報システム管理者が管理するものとする。
3 緊急を要するもの及び閲覧しないことで不利益を生ずるものについては、電子掲示板以外の方法によるものとする。
(施設の予約)
第16条 会議室の一部及び集中管理自動車の予約については、グループウェア施設予約(以下「施設予約」という。)により行うものとする。
2 施設予約の管理は、当該施設を管理する主管課長が行うものとする。
3 施設予約をした職員は、予約の取り消し又は変更の必要が生じた場合、速やかにその処理を行うものとする。
4 利用状況の照会は、施設予約を確認し、電話では行わないものとする。
(共通帳票の利用)
第17条 申請書及び届出書等の所定の文書については、グループウェア共通帳票(以下「共通帳票」という。)に登録し、紙による配付は行わないものとする。
2 共通帳票の情報登録は、各職員が主管課長の了承を得た上で行い、管理するものとする。
3 登録した情報に変更が生じた場合は、速やかにその処理を行うものとする。
第18条 削除
(インターネットの利用)
第19条 インターネットを利用する場合は、業務上必要な場合とし、インターネットを利用する職員(以下「利用職員」という。)は、勝浦市コンピュータウィルス対策規程(平成15年勝浦市訓令第5号)及び次の事項を遵守しなければならない。
(1) インターネットメールは、定期的に受信処理を行わなければならない。
(2) 利用職員は、利用者情報及びパスワードの秘密保持をしなければならない。
(3) 利用職員は、個人情報の保護に努めなければならない。
(4) 利用職員は、ウィルスの感染予防に努めなければならない。
(5) 利用職員は、ソフトウェア及びデータファイル等のダウンロードをしてはならない。ただし、情報システム責任者が必要と認めた場合は、この限りでない。
(パスワード等)
第20条 情報システムの利用に当たっては、パスワードに関し、次に掲げる事項を遵守しなければならない。
(1) 情報システムの利用者は、利用者自身のユーザID及びパスワードを利用者個人の責任で管理するとともに、利用者自身に与えられたユーザIDを他人に利用させてはならない。
(2) 原則として、個人用に与えられたユーザIDを複数人で共有してはならない。
(3) パスワードの保持者は、定期的にパスワードを変更しなければならない。
(4) パスワードの保持者は、ユーザID等を使用しなくなった場合は、速やかに情報システム責任者に報告しなければならない。この場合、情報システム責任者は、速やかにその権限を抹消しなければならない。
(5) パスワードの保持者は、備忘用の紙等他人の目に付くところにパスワードを記録してはならない。
(6) パスワードの保持者は、パスワード入力時に他人に盗み見られないように注意しなければならない。
(7) パスワードの保持者は、他人が容易に推測可能な語句等をパスワードとしてはならない。
(8) パスワードの保持者は、不正アクセスの原因となるパスワード管理上の問題が発生した場合は、直ちに情報システム責任者に報告しなければならない。この場合、情報システム責任者は、問題を解決する対策をとるとともに、情報システム管理者に報告しなければならない。
(9) 情報システム管理者は、パスワード管理上の問題が発生した場合は、内容及び解決策を情報セキュリティ対策会議に報告するとともに、再発防止策を講じなければならない。
(予防及び障害発生時の対処方法)
第21条 情報システムの利用又は運用に当たっては、障害の予防及び災害発生時に備え、次の対策を実施しなければならない。
(1) ファイル、プログラム及びデータ等は、定められた保存場所に保存しなければならない。
(2) 原則として、ファイル、プログラム及びデータ等は、記憶媒体や携帯可能な端末などに保存してはならない。
(3) 重要なファイルは、代替可能にするため、必要に応じバックアップファイルを作成するなど2重化しなければならない。
(4) 重要なプログラム及びデータ等は、バックアップコピーにより取得するものとする。
(5) 情報システムの安定稼働を維持するため、障害の発生又はその可能性を速やかに検知し対応できるよう、障害時等の連絡ルートは、情報システム責任者から情報システム管理者へ連絡し、対応手順に従い処理するものとする。
(6) 情報システム管理者は、障害発生時において業務の停滞を最小限にするため、障害時における代替手段の確保等の対応手順を定めるものとする。また、対応手順は、情報システムの変更等の都度見直し、常に最新の状態に保たなければならない。
(7) 情報システム責任者は、情報システムの安全性・信頼性を確保するために、障害の再発を防止し、当該障害についての対策を講じやすくするために、障害発生原因を分析し、障害記録を整理保存しなければならない。
(8) 対応手順書については、別表のとおりとする。
2 情報システムの利用時に障害が発生した場合は、次に掲げる事項を厳守しなければならない。
(1) 障害が発生した場合は、ユーザ部門は障害が発生した端末等の状況及び障害内容を確認し、情報システム責任者に報告しなければならない。
(2) 情報システム責任者は、ユーザ部門と協力して、システムの復旧にあたるものとする。
(3) 情報システム責任者は、障害内容の確認及び障害の原因究明を行い、情報システム管理者に報告しなければならない。
(4) 情報システム管理者は、障害の内容、対応状況を情報セキュリティ対策会議に報告するとともに、再発防止策を講ずるものとする。
(ソフトウェアの取り扱い)
第22条 ソフトウェアの取り扱いに当たっては、次に掲げる事項を遵守しなければならない。
(1) 市販されているソフトウェアについては、開封契約等の使用許諾条件に従って使用し、開封契約等に認められているコピー以外のコピーをしてはならない。
(2) フリーソフトウェアやシェアソフトウェアを使用する場合は、その条件を遵守しなければならない。
(3) ソフトウェアの適正な使用及び管理・運営について、ソフトウェア責任者から指示がある場合は、それに従わなければならない。
(4) ユーザ部門が独自にソフトウェアを導入する場合は、事前にソフトウェア責任者の許可を得なければならない。
(5) ユーザ部門は、ネットワークに接続された端末に独自にソフトウェアのインストール及びダウンロードはしてはならない。ただし、ソフトウェア責任者が許可した場合は、この限りでない。
(ネットワーク管理)
第23条 情報システム管理者は、内部ネットワークの運用及び外部ネットワークに接続するための手段、方法等を定め、次に掲げる事項を遵守して、運用及び接続に関する業務を統括的に管理しなければならない。
(1) ネットワークの安定稼働を維持、また、円滑な利用を確保するため、ネットワークの障害監視、又は性能監視を行わなければならない。
(2) ネットワークの円滑な運用に影響を与えないため、各種資源の負荷状態等に問題がある場合は、速やかに適切な措置を講じなければならない。
(3) ネットワーク構成の状況を適切に管理し、定期又は随時に不審な機器の接続の有無を確認しなければならない。
(4) ネットワーク設定情報は、不正に変更されないための措置を講じなければならない。
(5) 緊急時や障害時等に備え、ネットワーク設定情報のバックアップを確保しなければならない。
(6) ファイアウォール機能を有した通信機器の設置等により、不正アクセスを防止する措置を講じなければならない。
(7) 不正アクセスに対するネットワークやソフトウェアのアクセス制御機能等の防御機能の有効性を確認するため、必要に応じ、内外のネットワークから模擬攻撃を実施し、不正アクセスに対する不備又はぜい弱な部分が発見された場合には、適切な措置を講じなければならない。
(8) 伝送路上のデータの機密性を確保するため、重要データには、暗号化等の漏えい、改ざん等に対する適切な措置を講じなければならない。また、伝送路上でのデータ改ざんを受取者が検知できるよう、また成りすまし防止ができるように、電子署名等を使った措置を講じなければならない。
(9) データが送受信されたことを証明し、これらの否認を防止できる措置を講じなければならない。
(著作権保護)
第24条 情報システム管理者は、他課から情報システム著作物等を掲載する旨の協議を受けた場合は、次に掲げる事項を遵守し、指導するものとする。
(1) 他人の出版物、写真、映像、地図、絵画、音楽などの著作物を掲載する場合は、著作権者の許諾を得なければならない。
(2) 庁外のネットワーク上に掲載されている著作物やデータを利用する場合は、許諾されている範囲内にて利用しなければならない。
(3) 勝浦市の著作物を庁外のネットワークに転載する場合は、その著作物の作成者及び情報セキュリティ対策管理者の許可を得なければならない。
(ネットワーク構成等の開示制限)
第25条 ネットワーク構成や通信機器の設定情報等は、不正アクセス等を防止するため、関係者以外には開示しないものとする。
(外部ネットワークとの接続管理)
第26条 情報システム管理者は、外部ネットワークとの接続管理に当たって、次に掲げる事項を遵守しなければならない。
(1) 送受信された情報の不正使用及び第三者へのデータ漏えいを防止するため、接続先との契約において接続する条件、制限事項や責任範囲等を明確にしなければならない。
(2) データ漏えいや不正アクセス等を防止するため、接続先との接続契約に基づき、接続先の確認、外部接続の利用管理、接続手順の変更管理等を適切に実施しなければならない。また、接続相手先が契約内容を遵守しているかを定期的に点検するものとする。
(3) 不正アクセスを受ける危険を少なくするため、外部ネットワークを経由してアクセス可能な通信経路は、必要最小限としなければならない。
(4) 内部ネットワーク上のデータやファイルの不正使用や改ざんを防止するため、外部ネットワークを経由してアクセスする権限を有する者から、内部ネットワークのデータ、ファイルを保護する措置を講じなければならない。
(5) 不正アクセスを防止するため、外部ネットワークから内部ネットワークへの通過を許可するネットワークサービスの範囲は、必要最小限としなければならない。
(6) 外部に公開するデータやサービスは、専門のコンピータ上に構築し、不正なアクセスを受ける危険性を最小限にしなければならない。
(不正アクセス発見時の対応)
第27条 情報システム責任者は、情報システムに不正アクセスを発見した場合は、次に掲げる事項を遵守し、対応するものとする。
(1) 不正アクセスやその可能性が検知された場合は、契約保守管理業者と協力して被害状況の把握を行わなければならない。
(2) 不正アクセスによる被害を把握した結果、被害拡大の危険性がある場合は、契約保守管理業者と協力して被害拡大を防止するための措置を速やかに講ずるものとする。
(3) 不正アクセスの被害を受けた場合は、契約保守管理業者と協力して被害の復旧に努めなければならない。
(4) 不正アクセスの被害を受けた場合は、事後対処として、不正アクセス発生の原因を分析し、契約保守管理業者と協力して再発防止策を講じなければならない。
(5) 情報システム責任者は、不正アクセスの内容確認及び原因の究明を行い、情報システム管理者に報告するものとする。
(6) 情報システム管理者は、不正アクセスの内容、対応状況を情報セキュリティ対策会議に報告するとともに、情報システム責任者と再発防止策を講ずるものとする。
(外部委託管理)
第28条 情報システム責任者は、業務を外部委託する場合には、次に掲げる事項を遵守しなければならない。
(1) 業務を委託する場合は、安全かつ完全に遂行するための委託業者の社会的信用と能力を確認しなければならない。
(2) 外部委託契約には、委託業務に係る秘密保護、セキュリティ対策等のため、機密保持事項及びセキュリティ対策事項を明確化し、問題発生時における責任分担を明確にしなければならない。
(3) 要員派遣を受ける場合は、委託先業者の責任者及び本人の双方から機密保持等に関する契約書等を提出させなければならない。
(4) 委託業務が確実に実施されているかどうかを把握するため、作業の進捗状況及びセキュリティ対策の実施状況を確認するなど委託業務を管理及び監査しなければならない。
(5) 情報システムの構築、運用管理に複数の委託業者が係わる場合は、分担範囲、責任範囲を明確にし、委託業者相互間の連携を確保しなければならない。
(6) 派遣要員が運営施設外にて委託業務に従事する場合は、委託先業者にセキュリティ対策に関する管理体制を整備させなければならない。
(7) 派遣要員等による情報システムの不正使用を防止するため、派遣要員等には必要最小限の範囲に限ってアクセス権限を与える。
(補則)
第29条 この規程に定めるもののほか必要な事項は、市長が別に定める。
附則
この訓令は、平成18年4月1日から施行する。
附則(平成18年12月19日訓令第23号)
この訓令は、平成19年4月1日から施行する。
附則(平成19年3月26日訓令第18号)
この訓令は、平成19年4月1日から施行する。
附則(平成23年4月1日訓令第2号)
この訓令は、平成23年4月1日から施行する。
附則(令和3年2月16日訓令第3号)
この訓令は、令和3年4月1日から施行する。
附則(令和5年3月24日訓令第5号)
この訓令は、令和5年4月1日から施行する。
別表
対応手順書
障害発生時における手順として、次のとおり定める。なお障害の状況により、適宜切り分けをするものとする。
1 原課においてのパソコン、プリンタ及び周辺装置の単純な障害については、情報政策課情報政策係が障害発生課まで出向き対応すること。
2 原課においての障害が情報政策課情報政策係の範疇で対応できないパソコン、プリンタ及び周辺装置の部品の磨耗、欠落等による障害の場合は、障害状況や原因を調査して契約保守管理業者に速やかに連絡し対応すること。なお、原課でのパソコン、プリンタ及び周辺装置の使用を修理終了まで、待てない状況下にある場合は、情報政策課情報政策係で使用している情報システムで一時的に対応すること。
3 原課においての障害の原因が、ウィルスによる起因の場合は、ウィルス被害を拡大させないために、感染したパソコン、記憶媒体、ソフトウェア及びデータファイル(以下「情報システム」という。)の使用を中止させ、感染した情報システムについて駆除ソフトを活用し、駆除すること。また、ソフトウェア及びデータファイルが破壊された場合には、正常に稼動している同機種の情報システムを使用し、復旧に努めること。
4 原課においての障害の原因が、ソフトウェアのプログラムに起因する場合は、当該パソコンをOAルームに引き上げ、ソフトウェアの再インストール等の方法により復旧すること。
5 その他の障害についても、情報政策課情報政策係及び契約保守管理業者と協力して対応すること。
6 障害発生の報告については、情報システム責任者から情報システム管理者に障害発生時間、状況及び原因並びに復旧時間等について詳細に口頭報告し、復旧後報告書にて提出すること。