(目的)

第1条　この規則は、情報セキュリティ対策、情報システム処理等に関し必要な事項を定めることにより、本市の情報システムの適正な管理運営を確保し、もって市民等のプライバシーの保護および安定した行政事務の運営に資することを目的とする。

(定義)

第2条　この規則において、次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(適用範囲)

第3条　この規則の適用範囲は、すべての情報資産および情報資産に接するすべての職員とする。

(職員の責務)

第4条　職員は、職務で知り得た情報をみだりに他人に知らせ、または不当な目的に使用してはならない。異動、退職その他の事由により当該職務を離れた後においても同様とする。

(情報セキュリティ総括管理責任者)

第5条　市長は、情報システムおよびネットワークの適正な管理運営ならびに情報セキュリティに関する統一的な対策を図るため、情報セキュリティ総括管理責任者(以下「総括管理責任者」という。)を置き、副市長をもって充てる。

(情報セキュリティ副総括管理責任者)

第6条　市長は、総括管理責任者の職務を補佐し、事務の処理に当たらせるため、情報セキュリティ副総括管理責任者(以下「副総括管理責任者」という。)を置き、総合政策部長をもって充てる。

(情報セキュリティ管理責任者)

第7条　市長は、市の機関における統一的な情報セキュリティ対策を実施するため、情報セキュリティ管理責任者(以下「管理責任者」という。)を置き、部長等をもって充てる。

(ネットワーク総括管理者)

第8条　市長は、情報システムおよびネットワークの総括的な運用および管理を図るため、ネットワーク総括管理者(以下「ネットワーク管理者」という。)を置き、総合政策部長をもって充てる。

(情報システム管理者)

第9条　市長は、情報システムおよびネットワークの適正管理ならびに情報セキュリティ対策を実施するため、情報システム管理者(以下「システム管理者」という。)を置く。

(情報システム管理主任)

第10条　市長は、情報システムおよびネットワークにおける情報セキュリティ対策を推進するとともに、情報システム処理を適正に行うため、情報システムまたはネットワークごとに情報システム管理主任を置く。

(情報システム利用責任者)

第11条　市長は、情報システム処理に係る事務の効率化および適正化を図るとともに、情報資産の適正管理ならびに課等における情報セキュリティ対策を実施するため、情報システム利用責任者(以下「利用責任者」という。)を置く。

(情報セキュリティ対策委員会)

第12条　市長は、市の機関における情報セキュリティ対策を総合的に推進するため、市の機関内に情報セキュリティ対策委員会(以下「セキュリティ委員会」という。)を設置する。

(情報資産の分類)

第13条　市長は、保有する情報資産を情報セキュリティ侵害が起きた場合の影響度に応じて次に掲げる重要性区分に分類するものとする。

(情報の目的外利用)

第14条　市長は、情報を取り扱う事務の目的の範囲を超えて、当該情報を利用してはならない。ただし、次の各号のいずれかに該当する場合においては、この限りでない。

(情報の外部提供)

第15条　市長は、別表第1に掲げる公開情報以外の情報を市の機関以外のものに提供してはならない。ただし、前条第1項各号のいずれかに該当する場合においては、この限りでない。

(携帯可能な記憶媒体への記録)

第16条　職員は、フロッピーディスク、磁気テープ、コンパクトディスクその他の携帯可能な記憶媒体(端末装置等に内蔵されているものを除く。)に個人情報を含む情報を記録してはならない。ただし、バックアップ等による場合で、システム管理者または利用責任者がネットワーク管理者の承認を得たときはこの限りでない。

(情報の保存期間)

第17条　システム管理者は、情報システムに記録されている情報の保存期間について、ネットワーク管理者と協議のうえ定めるものとする。ただし、別に法令等に定めがあるときは、当該法令等に従うものとする。

(情報の消去)

第18条　システム管理者および利用責任者は、情報の保存期間の経過後は、速やかに当該情報を消去しなければならない。

(情報資産の管理)

第19条　システム管理者および利用責任者は、火災その他の災害および盗難に備えて、管理する情報システムに係る機器(以下「システム機器」という。)、ネットワークに係る機器(以下「ネットワーク機器」という。)および端末装置等の設置および管理ならびに記録済記憶媒体、入出力帳票およびシステム関連文書等の保管に当たっては、必要に応じた措置を講じるとともに、その内容を所属職員に周知徹底させなければならない。

(情報資産の持出し)

第20条　職員は、情報資産を通常管理している市の機関の施設外(以下「庁舎外」という。)へ持ち出してはならない。ただし、システム管理者または利用責任者の承認を得た場合はこの限りでない。この場合において、職員は、情報資産の盗用、滅失およびき損ならびに情報の漏えいその他の事故を防止しなければならない。

(記録済記憶媒体の管理)

第21条　システム管理者および利用責任者は、記録済記憶媒体を適正に管理するため、次に掲げる事項について必要な措置を講じなければならない。

(情報資産の廃棄)

第22条　システム管理者および利用責任者は、情報資産の重要性区分に応じて適正に廃棄しなければならない。

(情報資産の取扱手順の策定)

第23条　システム管理者は、第9条第4項に規定する実施手順書に、管理する情報資産の取扱いに関する次に掲げる事項について、重要性区分に応じた手順を定めるものとする。

第24条　市長は、次に掲げる情報セキュリティ対策を実施するものとする。

(システム機器等の設置場所)

第25条　システム管理者は、重要性Ⅰに分類した情報システムに係るシステム機器およびネットワーク機器を別表第4に掲げるセキュリティ区画に設置するものとする。ただし、当該情報システムおよびネットワークの運用上必要で、ネットワーク管理者の承認を得た場合は、一般事務所区画に設置することができる。この場合において、システム管理者は、重要性の高い機器の存在を明示してはならない。

(セキュリティ区画における対策)

第26条　システム管理者は、セキュリティ区画においては、次に掲げる対策を実施するものとする。

(一般事務所区画における対策)

第27条　システム管理者は、一般事務所区画においては、次に掲げる対策を実施するよう努めるものとする。

(システム機器等に係る対策)

第28条　システム管理者は、システム機器およびネットワーク機器を停電その他の電源異常から保護するため、次に掲げる対策を講じるものとする。

(ネットワーク構成の把握)

第29条　システム管理者は、管理するネットワークの構成(ネットワーク機器およびシステム機器の配置および設定内容)を把握しなければならない。

(情報システム等の運用日時)

第30条　システム管理者は、管理する情報システムおよびネットワークを運用する日および時間を定めるものとする。

(システム機器等の切離し)

第31条　システム管理者および利用責任者は、管理するシステム機器、ネットワーク機器または端末装置等で長期間利用しないものをネットワークから切り離さなければならない。

(職員の遵守事項)

第32条　職員は、情報システム処理を行うにあっては、情報を保護するため、次に掲げることを行ってはならない。

(情報セキュリティ教育と訓練)

第33条　ネットワーク管理者およびシステム管理者は、情報システムおよびネットワークの有効かつ適正な運用および情報セキュリティ対策を確実かつ継続的に実施するため、必要に応じて、職員に対して情報セキュリティに関する教育および緊急時を想定した訓練を実施するものとする。

(情報セキュリティ侵害発生時の報告)

第34条　職員は、情報資産に次に掲げる事故、誤動作等の情報セキュリティ侵害が発生したときまたは発生するおそれがあると認められるときは、直ちにその旨をシステム管理者および利用責任者に報告しなければならない。

(ユーザアカウントの管理)

第35条　職員は、ユーザアカウント(情報システムまたはネットワークを利用するために必要なユーザID、パスワード等の認証情報および利用権限をいう。以下同じ。)およびICカード、磁気カードその他のユーザアカウント情報を記録した媒体(以下「ICカード等」という。)の管理に関して次に掲げる事項を遵守しなければならない。

(パスワードの管理)

第36条　職員は、特にパスワードの管理に関しては、次に掲げる事項を遵守しなければならない。

(ユーザアカウントの使用監視)

第37条　利用責任者は、所属職員のユーザアカウントが適正に使用されているか監視しなければならない。

(ユーザアカウント等の停止)

第38条　システム管理者は、ユーザアカウントおよびICカード等の取扱い違反もしくは事故を発見したとき、または違反もしくは事故の報告を受けたときは、直ちに当該ユーザアカウントおよびICカード等の利用を停止しなければならない。

(ユーザアカウント等の管理手順)

第39条　システム管理者は、第9条第4項に規定する実施手順書に、ユーザアカウントおよびICカード等の付与および停止等のユーザアカウント等の管理に関する手順を定めるものとする。

(情報システムの安定動作維持)

第40条　職員は、情報システム、ネットワークおよび端末装置等の安定動作を維持するため、次に掲げることを行ってはならない。ただし、システム管理者が必要と認めた場合は、この限りでない。

(私用の情報機器の持込禁止)

第41条　職員は、私用の情報機器を庁舎内へ持ち込み、業務に使用してはならない。ただし、システム管理者が必要と認めた場合は、この限りでない。

(ソフトウェアの導入手続き)

第42条　利用責任者は、業務上必要で、所属職員にシステム機器、ネットワーク機器もしくは端末装置等へのソフトウェアの導入もしくは機器の接続をさせようとするとき、または私用の情報機器を持ち込み業務に使用させようとするときは、ソフトウェア導入等承認申請書(別記様式第7号)により、ネットワーク管理者の承認を得なければならない。

(私用の情報機器の持出し)

第43条　職員は、第20条に規定するもののほか、第41条ただし書の規定により持ち込んだ私用の情報機器に記録された情報を通常管理している庁舎外へ持出してはならない。ただし、利用責任者の承認を得た場合はこの限りでない。この場合において、職員は、私用の情報機器に記録されている情報の漏えい、改ざん、不当な消去その他の事故を防止しなければならない。

(モバイルコンピューティングの取扱い)

第44条　システム管理者は、管理する情報システムでモバイルコンピューティング(端末装置等を庁舎外で利用することを目的に導入した情報システムをいう。以下同じ。)がある場合は、第9条第4項に規定する実施手順書に、モバイルコンピューティングの取扱いに関する手順を定めるものとする。

(開放する情報システムのセキュリティ対策)

第45条　システム管理者は、職員以外の者に開放する情報システムについても情報セキュリティ対策を実施するものとし、第9条第4項に規定する実施手順書に、その対策手順を定めるものとする。

(アクセス制御)

第46条　利用責任者は、所属する職員のうちから情報システム処理に従事させる職員を指定し、情報システム処理従事者指定願い(別記様式第9号)により、当該情報システム処理に必要な情報システムまたはネットワークのユーザアカウントの付与をネットワーク管理者に申請するものとする。

(管理者権限の取扱い)

第47条　システム管理者は、第9条第4項に規定する実施手順書に、管理する情報システム、ネットワークおよび端末装置等に係る管理者権限の取扱いに関する手順を定めるものとする。

(リモートアクセスの取扱い)

第48条　職員は、リモートアクセス(市の機関以外から電話回線等を通じて、市の機関内部の情報システムまたはネットワークに接続することをいう。以下同じ。)による遠隔作業をしてはならない。ただし、システム管理者が必要と認める場合は、この限りでない。

(情報システム等の結合)

第49条　市長は、情報システムまたはネットワークを市の機関以外の情報システムまたはネットワークに結合しようとするときは、個人情報その他の情報資産を保護するために、情報システムおよびネットワークへの不正侵入を防止する措置を講じなければならない。

(情報システム等の結合の手続き等)

第50条　システム管理者は、管理する情報システムまたはネットワークを市の機関以外の情報システムまたはネットワークと結合しようとするときは、情報システム等結合協議書(別記様式第10号)により、ネットワーク管理者に協議しなければならない。

(インターネットの利用)

第51条　職員は、業務目的以外にインターネットおよび電子メールを利用してはならない。

(情報システム等の導入、開発、変更および廃止)

第52条　市長は、情報システムまたはネットワークを導入し、開発し、変更し、または廃止(以下「システム導入等」という。)しようとするときは、市民等のプライバシーを不当に侵害するおそれがないもので、かつ、既存の情報システム、ネットワークその他の情報資産の運用に支障をきたさないものであることを確認したうえで、次に定める事項を審査し、その可否を決定するものとする。

(システム導入等の手続き)

第53条　システム管理者または利用責任者は、所管する事務に関するシステム導入等を行おうとするときは、情報システム導入等協議書(別記様式第12号)により、ネットワーク管理者に協議しなければならない。

(軽易なシステム導入等)

第54条　第52条第2項ただし書に規定する軽易なシステム導入等は、次の各号のいずれかに該当する場合とし、協議および決定に係る事務手続きを省略することができる。

(システム導入等に係る情報の取扱い)

第55条　ネットワーク管理者、システム管理者、利用責任者または課長等は、システム導入等にあっては、現に運用している情報システムおよび当該情報システムに係る情報を利用せず作業を行うよう努めるものとする。やむを得ず当該情報システム等を利用する場合においては、重要性区分に応じた適切な措置を講じなければならない。

(情報システム等の情報セキュリティ対策)

第56条　ネットワーク管理者、システム管理者、利用責任者または課長等は、システム導入等を行う情報システムまたはネットワークについて、その重要性区分に応じた情報セキュリティ対策を講じなければならない。

(外字の取扱い)

第57条　システム管理者は、管理する情報システムについて新たな漢字その他の文字(以下「外字」という。)の使用の可否を決定するものとする。

(コンピュータウイルス対策および不正アクセス対策)

第58条　システム管理者は、情報資産を保護するため、コンピュータウイルスの感染を防止する措置を講じるとともに、第9条第4項に規定する実施手順書に、その対策に関する次に掲げる事項を定めるものとする。

(情報セキュリティに関する情報の収集)

第59条　システム管理者は、情報セキュリティ対策の強化に必要な情報の収集および職員への周知に努めなければならない。

(情報システム等の監視)

第60条　システム管理者は、管理する情報システムおよびネットワークへのアクセス記録の取得、情報資産の監視その他の方法により情報セキュリティ侵害またはそのおそれのある事象を検知するよう努めるものとする。

(情報システム等の運用状況の報告)

第61条　システム管理者は、管理する情報システムおよびネットワークの運用状況について調査するとともに、当該情報システム等の利用責任者からの報告を受け、毎年4月30日までに情報システム等運用状況報告書(別記様式第16号)により、ネットワーク管理者に報告するものとする。

(情報セキュリティ侵害への対応)

第62条　システム管理者は、情報資産に関する事故、誤動作その他の情報セキュリティ侵害に対して、迅速かつ効果的な対応を確実に行うため、第9条第4項に規定する実施手順書に、緊急時の対応に関する次に掲げる事項を定めるものとする。

(情報システム処理の委託)

第63条　市長は、情報システムおよびネットワークに関する業務(システム導入等および保守を含む。以下同じ。)を市の機関以外のものに委託する場合は、情報資産の保護に関する次に掲げる事項を契約書その他の文書に明記して、委託契約を締結しなければならない。

(法令遵守)

第64条　職員は、情報システム処理に際して、次の法令等を遵守しなければならない。

(情報セキュリティ対策の不適合等に対する対応)

第65条　職員は、前項に掲げる法令等の違反または違反の疑いおよび情報セキュリティ対策に関する不適合または不適合の疑いを発見した場合は、速やかにその旨を総括管理責任者に報告しなければならない。

(評価および見直し)

第66条　市長は、情報セキュリティ監査および自己点検の結果ならびに情報セキュリティに関する状況の変化等を踏まえ、必要に応じ情報セキュリティ対策の評価を行い、見直しの検討を行うものとする。

(自主点検および改善措置)

第67条　システム管理者および利用責任者は、管理または利用する情報システム、ネットワークその他の情報資産の情報セキュリティが確保されていることを確認するため、自主点検を行うとともに、必要に応じて改善措置を講じるものとする。

(情報セキュリティ監査)

第68条　総括管理責任者は、情報セキュリティが確保されていることを確認するため、必要に応じ監査人を複数人指名し、情報セキュリティ監査を実施するものとする。

(情報セキュリティ対策の見直し)

第69条　総括管理責任者は、前条の監査の結果、情報セキュリティ対策の見直しが必要な場合は、セキュリティ委員会に諮り必要な見直しを行い、その内容を市長に報告するとともに、適切な情報セキュリティ対策の維持および運用に努めなければならない。

(実施手順書の非公開)

第70条　第9条第4項に規定する実施手順書は、公開することにより情報セキュリティ対策に重大な支障を及ぼすおそれのあることから、情報公開条例第8条第4号の規定により非公開とする。

(業務継続計画)

第71条　本市が自然災害、大規模な疾病等に備えて業務継続計画を策定する場合、当該計画と本規則との整合性を確保しなければならない。

(委任)

第72条　この規則に定めるもののほか必要な事項は、市長が別に定める。