○長岡京市情報ネットワーク及び電子情報処理に係る管理運営規程

平成27年12月28日

合同訓令第2号

(目的)

第1条 この訓令は、長岡京市における情報ネットワーク及び電子情報処理に係る取扱いについて、基本的な事項を定めることにより、情報ネットワーク及び電子情報処理の適正かつ円滑な管理と運営を図ることを目的とする。

(適用範囲)

第3条 この訓令の対象とする市の機関は、市長(水道事業及び下水道事業の管理者の権限を行う市長を含む。)、教育委員会、選挙管理委員会、公平委員会、監査委員、農業委員会、固定資産評価審査委員会及び議会とする。

(遵守義務)

第4条 情報ネットワーク及び電子情報処理の管理運営に当たっては、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)長岡京市個人情報保護条例(平成11年長岡京市条例第18号)その他関係法規を遵守しなければならない。

(管理体制)

第5条 情報ネットワーク及び電子情報処理の総合的及び適正かつ円滑な管理運営を行うに当たっての管理体制は次のとおりとし、それぞれに定める権限及び責任又は任務を有するものとする。

(1) 最高情報セキュリティ責任者(Chief Information Security Officer)(以下「CISO」という。)

 CISOは、副市長をもって充てる。

 CISOは、本市における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

 CISOは、市における情報政策を立案する最終決定権限及び責任を有する。

(2) 統括情報セキュリティ責任者

 情報政策担当部長をCISO直属の統括情報セキュリティ責任者とする。

 統括情報セキュリティ責任者は、CISOを補佐するものとする。

 統括情報セキュリティ責任者は、本市の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

 統括情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

 統括情報セキュリティ責任者は、職員等(職員、非常勤職員及び臨時職員をいう。以下同じ。)に対し、情報セキュリティに関する指導及び助言を行う権限を有する。

 統括情報セキュリティ責任者は、本市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示又は自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。

(3) 情報セキュリティ運営責任者

 電子情報所管課長を情報セキュリティ運営責任者とする。

 情報セキュリティ運営責任者は、統括情報セキュリティ責任者の下、本市の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティの円滑な運用を図るため、情報ネットワークの整備計画に関すること、運用に関することその他必要な事務を遂行する。

 情報セキュリティ運営責任者は、情報セキュリティの実施手順の維持・管理を行う権限及び責任を有する。

 情報セキュリティ運営責任者は、緊急時等の円滑な情報共有を図るため、緊急連絡網を整備するものとする。

 情報セキュリティ運営責任者は、緊急時にはCISO又は統括情報セキュリティ責任者に速やかに報告を行うとともに、復旧のための対策を講ずるものとする。

(4) 情報セキュリティ責任者

 各部局の長を情報セキュリティ責任者とする。

 情報セキュリティ責任者は、当該部局の情報セキュリティ対策に関する統括的な権限及び責任を有する。

 情報セキュリティ責任者は、その所管する部局において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。

 情報セキュリティ責任者は、その所管する部局において所有している情報システムについて、緊急時等における連絡体制の整備、この訓令の遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。

(5) 情報システム管理者

 各情報システムの管理を所管する課長等を、当該情報システムに関する情報システム管理者とする。この場合において、当該情報システム管理の所管が複数に渡るとき等、情報システム管理者となるべき者が明確でない場合は、統括情報セキュリティ責任者が指名する者をもって情報システム管理者とする。

 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。

 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。

 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

 情報システム管理者は、システムの管理運営について要綱等を定め、公表するよう努めなければならない。

 情報システム管理者は、当該システム利用者に対し研修その他の教育を行い、適正に運営されるよう努めなければならない。

(課等の長の責務)

第6条 長岡京市の行政組織において設置された課、室、館、所、局及び監、各センター並びに各小・中学校(以下「課等」という。)の長は、自らが所管する業務に係る電子情報処理及び情報ネットワーク上の処理(以下「電子情報処理」という。)について次に掲げる事項を管理し、業務が円滑に遂行できるよう運営しなければならない。

(1) 電子情報処理の有効活用に関すること。

(2) 電子情報の管理及び運用に関すること。

(3) 情報ネットワークとの接続に関すること。

(4) VDT作業に従事する職員の労務管理に関すること。

(5) 所管する課等に設置された電子情報処理関連機器及び通信線の管理に関すること。

(6) 担当者の指導・教育に関すること。

(7) その他適正な電子情報処理を維持管理するために必要な指示又は措置

2 課等の長は、貸与された電子情報処理に関する機器等について、設置場所の適正な環境の保持に努めなければならない。

(コンピュータの操作)

第7条 電子情報処理を行う者は、統括情報セキュリティ責任者が承認した者(以下「利用者」という。)とする。ただし、特定の情報システムは、情報システム管理者の指示又は承認を得た者のみが利用できるものとする。

(利用者の責務)

第8条 利用者は、課等の長の指示に従い、データ等の取扱い及び機器等が誤動作を起こさないための取扱いについて細心の注意を払わなければならない。

2 利用者は、情報ネットワーク及びそれに接続される機器の管理運営に障害等を及ぼすおそれのある行為をしてはならない。

3 利用者は、公務以外の目的で情報ネットワークを利用してはならない。

(データ等の使用許可等)

第9条 電子情報処理に当たって他の業務主管課のデータ等を必要とする場合においては、その課等の長は、データ等を保有する課等の長に対し、あらかじめデータ等の使用許可を受けるものとする。

2 データ等を保有する課等の長は、データ等の使用許可に当たっては、関連する法規に抵触しないことを確認の上、自らの業務に支障のない範囲で許可するものとする。

3 データ等を保有する課等の長は、データ等の使用許可に当たって必要があるときは、そのデータを使用する課等の長に対し必要な条件を付することができる。

4 前項の条件を付された課等の長は、その条件を遵守しなければならない。

(情報システムの導入計画)

第10条 新たに業務を電子情報処理しようとする課等の長は、あらかじめ情報セキュリティ運営責任者と協議の上、予算編成の前にシステム開発計画書及びシステム開発(変更)協議書兼承認伺(別記様式)を作成し、統括情報セキュリティ責任者の承認を得るものとする。

2 システム開発計画書の作成に当たっては、次に掲げる事項を含めるものとする。

(1) 目的

(2) 導入に係る概算経費及びその予算

(3) 効果及び経常的にかかる費用

(4) 保有する情報資産の概要

(5) システム運用方法(稼働する端末機器等の仕様、ネットワーク形態等)

(6) 開発から稼働までのスケジュール

3 前2項の規定は、新たなシステムを導入するとき又は既存のシステムを改廃する必要が生じたときに準用する。

(情報システムの調達)

第11条 情報システム管理者は、情報システム開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記するものとする。

2 情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認の上、統括情報セキュリティ責任者及び情報セキュリティ運営責任者の承認を得るものとする。

(情報システムの開発)

第12条 情報システム管理者は、システム開発の責任者及び作業者を特定するものとする。

2 情報システム管理者は、システム開発の責任者及び作業者が使用するアカウントを管理し、開発完了後、開発用アカウントを削除するものとする。

3 情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定するものとする。

4 情報システム管理者は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定するものとする。

5 情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合は、当該ソフトウェアをシステムから削除するものとする。

(情報システムの導入)

第13条 情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にするものとする。

2 情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

3 情報システム管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入するものとする。

4 情報システム管理者は、新たに情報システムを導入する場合は、既に稼働している情報システムに接続する前に十分な試験を行うものとする。

5 情報システム管理者は、運用テストを行う場合は、あらかじめ擬似環境による操作確認を行うものとする。

(システム開発・保守に関連する資料等の整備・保管)

第14条 情報システム管理者は、システム開発・保守に関連する資料及びシステム関連文書を適切に整備・保管しなければならない。

2 情報システム管理者は、テスト結果を一定期間保管するものとする。

3 情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第15条 情報システム管理者は、情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列等の入力を除去する機能を組み込むように情報システムを設計するものとする。

2 情報システム管理者は、故意又は過失により情報が改ざんされ、又は漏えいするおそれがある場合には、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計するものとする。

(情報システムの変更管理)

第16条 情報システム管理者は、情報システムを変更した場合は、プログラム仕様書等の変更履歴を作成するものとする。

(開発・保守用のソフトウェアの更新等)

第17条 情報システム管理者は、開発・保守用のソフトウェア等の更新又はパッチの適用をする場合は、他の情報システムとの整合性を確認するものとする。

(システム更新又は統合時の検証等)

第18条 情報システム管理者は、システムの更新又は統合を行うときに伴うリスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行うものとする。

(複合機のセキュリティ管理)

第19条 課等の長は、複合機(プリンタ、ファクシミリ、イメージスキャナ、コピー機等の機能が一つにまとめられている機器)を調達する場合、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を検討の上、統括情報セキュリティ責任者及び情報セキュリティ運営責任者の承認を受けるものとする。

2 課等の長は、複合機が備える機能について適切な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講ずるものとする。

3 課等の長は、複合機の運用を終了する場合は、複合機の持つ電磁的記録媒体の全ての情報を抹消し、又は再利用できないようにする対策を講ずるものとする。

(特定用途機器のセキュリティ管理)

第20条 課等の長は、特定用途機器(テレビ会議システム、IP電話システム、ネットワークカメラシステム等)について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施するものとする。

(電子メール)

第21条 情報セキュリティ運営責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行うものとする。

2 情報セキュリティ運営責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止するものとする。

3 情報セキュリティ運営責任者は、電子メールの送受信容量の上限を超える電子メールの送受信が不可能となるよう設定するものとする。

4 情報セキュリティ運営責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知するものとする。

5 情報セキュリティ運営責任者は、システム開発や運用、保守等のため庁舎内に常駐している外部委託事業者の作業員による電子メールアドレス利用について、外部委託事業者との間で利用方法を取り決めるものとする。

6 情報セキュリティ運営責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるよう添付ファイルの監視等の措置を講ずるものとする。

(無許可ソフトウェアの導入等の禁止)

第22条 利用者は、支給されたパソコン、サーバ機器等に無断でソフトウェアを導入してはならない。

2 利用者は、業務上の必要がある場合は、統括情報セキュリティ責任者及び情報システム運営責任者の許可を得て、ソフトウェアを導入することができる。この場合において、ソフトウェアを導入するときに、課等の長は、ソフトウェアのライセンスを管理しなければならない。

3 利用者は、不正にコピーしたソフトウェアを利用してはならない。

(ソーシャルメディアサービスの利用)

第23条 課等の長は、本市が管理するアカウントでソーシャルメディアサービスを利用する場合は、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めるものとする。

(1) 本市のアカウントによる情報発信が、実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とすること、当該アカウントの自由記述欄等にアカウントの運用組織を明示すること等のなりすまし対策

(2) パスワードや認証のためのコード等の認証情報及びこれを記録したICカードその他の媒体を適切に管理すること等の不正アクセス対策

(3) 別に定める情報セキュリティ対策基準の重要度分類Ⅱ以上の重要情報については、ソーシャルメディアサービスで発信してはならないこと。

(4) 利用するソーシャルメディアサービスごとの責任者

(調整会議)

第24条 データ等の使用許可、システムの導入計画その他情報ネットワーク機器等の取扱いについて疑義が生じたときは、統括情報セキュリティ責任者、情報セキュリティ運営責任者、統括情報セキュリティ責任者が指名する者及び関連する業務主管課の長で構成する調整会議において検討するものとする。

2 調整会議の庶務は、電子情報所管課において行う。

3 統括情報セキュリティ責任者は、必要に応じてシステムエンジニア等を調整会議に出席させ意見を聴くことができる。

(事故報告等)

第25条 電子情報処理に関して事故が発生した場合は、課等の長は速やかに必要な措置を講ずるとともに、統括情報セキュリティ責任者及び情報セキュリティ運営責任者にそのてん末を報告するものとする。

(違反者に対する措置)

第26条 統括情報セキュリティ責任者は、故意又は重大な過失によりこの訓令の規定に違反した者に対し、行政情報ネットワークの運営を維持するために必要な措置を講ずるものとする。

2 統括情報セキュリティ責任者は、必要に応じて違反した者の氏名、所属及び違反の内容を任命権者に報告するものとする。

3 任命権者は、統括情報セキュリティ責任者の報告に基づき、必要と認めるときは当該違反した者に対し処分を行う。

(その他)

第27条 この訓令に定めるもののほか必要な事項は、別に定める。

附 則

この訓令は、平成28年1月1日から施行する。

附 則(平成28年3月31日合同訓令第2号)

この訓令は、平成28年4月1日から施行する。

附 則(平成29年3月13日合同訓令第1号)

この訓令は、平成29年4月1日から施行する。

画像

長岡京市情報ネットワーク及び電子情報処理に係る管理運営規程

平成27年12月28日 合同訓令第2号

(平成29年4月1日施行)

体系情報
第1編 規/第5章 情報管理
沿革情報
平成27年12月28日 合同訓令第2号
平成28年3月31日 合同訓令第2号
平成29年3月13日 合同訓令第1号