守山市戸籍情報システムの適正運用およびデータの保護管理に関する要綱

○守山市戸籍情報システムの適正運用およびデータの保護管理に関する要綱

令和7年10月27日

(目的)

第1条　この要綱は、守山市個人情報の保護に関する法律施行条例(令和5年条例第1号)、守山市個人情報の保護に関する法律施行条例施行規則(令和5年規則第35号)、守山市情報システム管理運営規則(令和7年規則第51条。以下「規則」という。)および守山市情報セキュリティポリシー(令和7年訓令第17号。以下「ポリシー」という。)に定めるもののほか、戸籍情報システムおよび戸籍データの運用管理について必要な事項を定め、もって戸籍に係る情報資産の機密性、完全性および可用性を維持することを目的とする。

(定義)

第2条　この要綱において次の各号に掲げる用語の意義は、それぞれ当該各号に定めるところによる。

(1)　戸籍情報システム　クラウドサービス上の仮想環境に設置した戸籍サーバおよび本市に設置した戸籍専用端末により戸籍事務および関連事務を行うシステムをいうものとし、対象となる関連事務については別表に掲げるとおりとする。

(2)　戸籍データ　戸籍情報システムで取り扱われる入出力データをいう。

(3)　磁気ディスク等　磁気ディスク、光磁気ディスク、磁気テープその他の情報を記録する媒体をいう。

(4)　ドキュメント　クラウド運用マニュアル、端末運用マニュアル、詳細設計書、構成情報管理ファイルその他の戸籍情報システムに関する仕様および運用に係る文書をいう。

(5)　PCIDSS　データセキュリティの国際基準をいう。

(処理の基本方針)

第3条　戸籍情報システムによる事務処理に当たっては、戸籍事務の効率化を図るとともに、個人情報を保護しなければならない。

(戸籍データ保護管理者の設置)

第4条　戸籍情報システムの適正な運用および戸籍データ保護について統括的管理を図るため、規則第6条第5号に定める情報システム管理者として戸籍データ保護管理者(以下「保護管理者」という。)を置き、市民課長をもって充てる。

(保護管理者の職務)

第5条　保護管理者は、戸籍データの管理の状況およびこれらに関する設備の状態について常に把握し、戸籍データを適正に管理しなければならない。

2　保護管理者は、戸籍情報システムについて、火災、盗難その他の災害に備えて必要な保安措置を講じなければならない。

3　保護管理者は、職員がポリシー第57条に定める情報セキュリティ事象を認知または予見したときは、同条に基づき報告させなければならない。

4　保護管理者は、職員がクラウドサービス事業者または市民から情報セキュリティ事象の報告を受けたときは、ポリシー第58条に基づき報告させなければならない。

5　前2項により報告した情報セキュリティ事象がポリシー第59条第1項に定める情報セキュリティインシデントであると評価されたときは、速やかに事故の経緯および被害状況を調査し、戸籍事務管掌者である市長に報告しなければならない。市長に事故があるときまたは欠けたときは、市長があらかじめ定めた者がその職務を代理する。

(データ取扱責任者の設置)

第6条　戸籍情報システムの適正運用および戸籍データ保護を図るため、規則第6条第6号に定める情報システム担当者としてデータ取扱責任者(以下「取扱責任者」という。)を置き、市民課記録窓口係長をもって充てる。

(情報資産の分類)

第7条　戸籍情報システムに係る情報資産は、ポリシー第20条に基づき機密性3B、完全性2および可用性2に分類するものとし、分類区分に応じ、ポリシーに基づき適正に管理するものとする。

(データ保護)

第8条　保護管理者は、データの漏えい、滅失、棄損等の防止に必要な措置を講じなければならない。

2　戸籍情報システムの処理が可能な端末装置は、来庁者から内容が読み取られない位置および角度に配置しなければならない。

3　戸籍システムから入出力されたデータは、戸籍関連業務以外の業務に利用してはならない。

4　入出力されたデータは、不用となった時点で速やかにポリシー第30条の規定に基づき適正に廃棄し、廃棄処理を記録しなければならない。

(磁気ディスク等の管理)

第9条　保護管理者は、磁気ディスク等を次の各号により適正に管理しなければならない。

(1)　持ち運び可能な磁気ディスク等については施錠ができ、持ち運びができない保管用具に保管する等これらの安全を確保するとともに、その使用に関して厳重な管理をしなければならない。

(2)　持ち運び可能な磁気ディスク等は、格納データのラベル表示等、記録内容が分かるよう適正に管理しなければならない。

(3)　持ち運び可能な磁気ディスク等の受払および管理に関しては、ラベルの名称、作成期日等必要な事項を台帳に記録しておかなければならない。

(4)　持ち運び可能な磁気ディスク等を廃棄するときは、ポリシー第30条の規定に基づき適正に廃棄し、廃棄処理を記録しなければならない。

(5)　外部認証のPCIDSSを取得しているデータセンターで提供されるクラウドサービスを利用することで適切な磁気ディスク等の管理と戸籍データの漏えいを防止するとともに、保護管理者は、戸籍情報システム事業者に定期的に認証取得状況を確認させ、必要に応じて認証取得の継続性を報告させなければならない。

(出力帳票の管理)

第10条　保護管理者は、戸籍情報システムから出力された帳票を次に掲げる方法により適正に管理しなければならない。

(1)　施錠ができ、持ち運びができない保管用具に保管する等これらの安全を確保すること。

(2)　作成期日等必要な事項を台帳に記録すること。

(3)　帳票を破棄するときは、焼却、裁断等の復元できない方法により処分すること。

(ドキュメントの管理)

第11条　取扱責任者は、ドキュメントを最新の状態に維持し、適正な場所に保管しなければならない。

2　取扱責任者は、ドキュメントの外部への持ち出し、複写、廃棄または記録のときは保護管理の許可を受けなければならない。

(戸籍サーバのアクセス管理)

第12条　保護管理者は、操作者の業務処理範囲を限定して戸籍サーバへのアクセス権を設定し、IDを付与しなければならない。

2　保護管理者は、戸籍情報システムおよびデータの保守に関し、システム事業者に遠隔監視を行わせることができるものとする。この場合において、システム事業者に監視権限を付与する職員を限定させるものとし、権限を付与する職員をシステム事業者に報告させなければならない。

3　サーバ利用に関する履歴は常時記録し、必要に応じて戸籍情報システム事業者に請求することで、保護管理者は利用状況を確認しなければならない。

4　保護管理者は、ポリシー第3条に定める脅威に備え、遠隔監視を行っている戸籍情報システム事業者から即時にデータ保護管理者に連絡され、対応を協議する体制を設けなくてはならない。

(戸籍データのアクセス管理)

第13条　保護管理者は、操作者の業務処理範囲を限定して戸籍データへのアクセス権を設定し、IDを付与しなければならない。

2　保護管理者は、遠隔監視を行っている戸籍情報システム事業者にも制限を設け、正当権限者以外の者からの利用を防止しなければならない。

3　保護管理者は、戸籍情報システム事業者の戸籍データへのアクセスについては、緊急時の保守作業においてのみ許可し、IDを付与しなければならない。

4　データアクセスに関する履歴は常時記録し、必要に応じて戸籍情報システム事業者に請求することで、保護管理者は利用状況を確認しなければならない。

5　保護管理者は、ポリシー第3条に定める脅威に備え、遠隔監視を行っている戸籍情報システム事業者から即時にデータ保護管理者に連絡され、対応を協議する体制を設けなくてはならない。

(戸籍情報システムのアクセス管理)

第14条　保護管理者は、戸籍情報システムの取扱職員および当該職員の業務処理範囲を定め、職員ごとに入出力を制御するIDを付与しなければならない。

2　戸籍情報システム事業者は戸籍情報システムを操作することは無く、戸籍情報システムのバージョンアップ後の動作確認は保護管理者または取扱責任者にて実施する。

3　戸籍情報システムのアクセス履歴は常時記録し、利用状況は保護管理者が必要に応じて確認しなければならない。

(アクセス権限の漏えい防止の措置)

第15条　サーバ、データ、システム等のアクセス権限を付与された職員は、ポリシー第61条および第62条の規定に基づき適正にIDおよびパスワードを管理しなければならない。

2　保護管理者は、IDの設定、更新、発行、保管等の運用方法を定め、これを厳守しなければならない。

3　保護管理者は、IDを当該者以外の者に漏らしてはならない。

4　戸籍情報システム事業者は、IDおよびパスワードを正当権限者以外の者に漏らしてはならない。

(取扱状況の把握)

第16条　保護管理者は、戸籍情報システム事業者に対し必要に応じて次の事項を請求し、使用状況を把握しなければならない。

(1)　戸籍サーバの使用状況

(2)　戸籍データの使用状況

2　保護管理者は、取扱責任者に次の事項を報告させ戸籍情報システムの使用および管理状況を把握しなければならない。

(1)　戸籍情報システムの使用状況

(2)　端末装置の管理状況

(3)　戸籍事務室の管理状況

(4)　その他戸籍情報システムの運用に関すること。

(端末機の操作)

第17条　端末機は、取扱職員以外に操作させてはならない。

2　端末機の操作および戸籍に関するデータの検索は、戸籍関連業務に必要な場合を除き、行ってはならない。

(機器およびソフトの管理)

第18条　保護管理者は、戸籍データの適正な管理を図るため戸籍情報システムに係わる機器およびソフトを管理しなければならない。

(戸籍データの重要性等についての研修の実施)

第19条　保護管理者は、戸籍情報システムおよび戸籍データに係る情報資産の分類に応じた運用管理およびセキュリティ対策が適正に実施されるよう教育および訓練計画を策定し、取扱職員に対して年一回以上の研修および訓練を実施しなければならない。

2　新任の取扱職員に対しては、採用後の可能な限り早い時期に研修および訓練を実施しなければならない。

付則

この要綱は、令和7年10月27日から施行する。

別表(第2条関係)


	事務	主な事務詳細
戸籍関連事務	附票事務	―
	人口動態事務	―
	民刑事務	―
	証明、通知等事務	(1)　埋火葬許可証の発行 (2)　身分証明書の発行 (3)　要件具備証明書の発行 (4)　住民票の記載等のための市町村長間の通知 (5)　相続税法(昭和25年法律第73号)第58条に基づく通知