○青森市住民基本台帳ネットワークシステム及び住民記録システムのセキュリティ対策に関する規程
平成十七年四月一日
規程第七号
目次
第一章 総則(第一条)
第二章 セキュリティ組織(第二条―第七条)
第三章 入退室等管理(第八条―第十二条)
第四章 アクセス管理(第十三条―第十八条)
第五章 情報資産管理(第十九条―第二十一条)
第六章 委託管理(第二十二条―第二十五条)
第七章 雑則(第二十六条)
附則
第一章 総則
(目的)
第一条 この規程は、住民基本台帳ネットワークシステム(以下「住基ネット」という。)に係るセキュリティ組織、入退室管理、アクセス管理、情報資産管理及び委託管理並びに住民記録システムのセキュリティ組織に関し必要な事項を定めることにより、本市における住基ネットの安全かつ円滑な運営並びに住民記録システムの安全性及び信頼性の確保に資することを目的とする。
(平成二〇規程五・全改)
第二章 セキュリティ組織
(セキュリティ統括責任者等)
第二条 住基ネットのセキュリティ対策を総合的に実施し、住民記録システムの安全性及び信頼性に関し総合的に判断を行うため、セキュリティ統括責任者及びセキュリティ副統括責任者を置く。
2 セキュリティ統括責任者は青森市長の職務を代理する副市長の順序を定める規則(令和五年青森市規則第四十二号)第一号に掲げる副市長を、セキュリティ副統括責任者は同規則第二号に掲げる副市長をもって充てる。
3 セキュリティ統括責任者は、住基ネットのセキュリティ対策に関する最終的な権限及び責任(作動停止時、本人確認情報(住民基本台帳法(昭和四十二年法律第八十一号)第三十条の六に規定する本人確認情報をいう。以下同じ。)のデータの漏えいのおそれがある場合等の緊急時において対応策を決定し、実施する権限及び責任を含む。)を有し、運用に関する重大な事項を決定するとともに、本人確認情報のデータの漏えいの防止及び正確性の維持並びに住基ネットの継続的な運用に努めなければならない。
4 セキュリティ副統括責任者は、セキュリティ統括責任者を補佐し、セキュリティ統括責任者に事故があるとき、又はセキュリティ統括責任者が欠けたときは、その職務を代理する。
5 セキュリティ統括責任者及びセキュリティ副統括責任者にともに事故があるとき、又はセキュリティ統括責任者及びセキュリティ副統括責任者がともに欠けたときは、総務部長がセキュリティ統括責任者の職務を代理する。
(平成一八規程四・平成一九規程七・平成二〇規程五・平成二七規程九・令和元規程二・令和三規程七・令和五規程六・一部改正)
(システム管理者)
第三条 住基ネット及び住民記録システムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、総務部情報政策課長(以下「情報政策課長」という。)をもって充てる。
3 システム管理者は、入退室管理(セキュリティ責任者が管理責任を負う部分を除く。)、アクセス管理、情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)管理(セキュリティ責任者が管理責任を負う部分を除く。)等を行う。
(平成一八規程四・平成二〇規程五・平成二一規程八・平成二六規程四・一部改正)
(セキュリティ責任者)
第四条 住基ネットを利用する課等(青森市行政組織規則(平成十七年青森市規則第十号)に定める課等をいう。以下同じ。)においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、次に掲げる課又は施設の長をもって充てる。
一 税務部市民税課(以下「市民税課」という。)
二 市民部行政情報センター市民課(以下「市民課」という。)
三 市民部行政情報センター各支所(以下「支所」という。)
四 浪岡振興部市民課
3 セキュリティ責任者は、その所管する課又は施設において、住基ネットに係る業務端末設置場所における従事者の管理及び情報資産のうち本人確認情報に係る管理等を行うほか、住基ネットのセキュリティ対策の職員への徹底、セキュリティに対する脅威が発生した場合の情報収集、セキュリティ統括責任者に対する報告等を行う。
(平成二〇規程五・平成二二規程二・平成二三規程六・平成二九規程一・平成三〇規程一・令和元規程二・令和三規程七・一部改正)
(セキュリティ会議)
第五条 市における住基ネットのセキュリティ並びに住民記録システムの安全性及び信頼性に関する審議を行うため、青森市セキュリティ会議(以下「セキュリティ会議」という。)を置く。
2 セキュリティ会議は、セキュリティ統括責任者が招集し、セキュリティ統括責任者が会議の議長となる。
3 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
一 セキュリティ副統括責任者
二 総務部長
三 税務部長
四 市民部長
五 システム管理者
六 セキュリティ責任者
七 総務部人事課長
八 総務部管財課長(以下「管財課長」という。)
九 浪岡振興部総務課長
4 セキュリティ会議は、次に掲げる事項を審議する。
一 住基ネットのセキュリティ対策の決定及び見直しに関する事項
二 住基ネットのセキュリティ対策の遵守状況の確認に関する事項
三 住基ネットのセキュリティ対策の有効性の検証の実施に関する事項
四 教育及び研修の実施に関する事項
五 その他住基ネット及び住民記録システムのセキュリティ対策実施のために必要な事項
5 議長は、必要と認めるときは、関係職員又は関係者の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、総務部情報政策課(以下「情報政策課」という。)において処理する。
(平成一八規程四・平成二〇規程五・平成二一規程八・平成二二規程二・平成三〇規程一・令和元規程二・令和三規程七・令和五規程六・一部改正)
(関係部課に対する指示等)
第六条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部課の長に対し指示し、又は教育委員会等に必要な措置を要請することができる。
(幹事会)
第七条 セキュリティ会議の議長は、セキュリティ会議の円滑な運営を図るため、必要があると認めたときは、セキュリティ会議に幹事会を設置することができる。
第三章 入退室等管理
室及び場所 | セキュリティ区分 |
住基ネットのデータ、セキュリティ情報等の保管室兼サーバ設置室 | レベル三 |
住基ネットのネットワーク機器の設置室 | レベル二 |
住基ネットの業務端末の設置場所 | レベル一 |
セキュリティ区分 | 入退室等管理の方法 |
レベル三 | 入退室を行う場合には、入退室等管理者から事前に許可を得ている者のみが入退室を行い、その都度、入退室管理カードを用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、入退室に関する記録を行う。 |
レベル二 | 入退室を行う場合には、入退室等管理者から事前に許可を得ている者のみが鍵又は入退室管理カードを用いて入退室を行う。識別を行うために、入退室者には、名札の着用を義務付ける。また、当該室に勤務する者以外の入退室に関する記録を行う。 |
レベル一 | 入退室等管理者から事前に許可を得ている者のみが端末操作に従事する。識別を行うために、従事者には、名札の着用を義務付ける。また、当該場所に勤務する者以外の入退場に関する記録を行う。 |
(平成二〇規程五・一部改正)
(入退室等管理者)
第九条 前条第一項の表に掲げる室又は場所について、入退室等の管理を行い、及び入退室等の管理に関し必要な措置をとるため、入退室等管理者を置く。
一 住基ネットのデータ、セキュリティ情報等の保管室兼サーバ設置室及びネットワーク機器の設置室 情報政策課
二 業務端末の設置場所 市民税課、市民課、支所及び浪岡振興部市民課
(平成二〇規程五・平成二二規程二・平成二三規程六・平成二九規程一・令和元規程二・令和三規程七・一部改正)
(鍵又は入退室管理カードの管理)
第十条 レベル三及び二のセキュリティ区分に係る室(以下「高レベル区分の室」という。)に係る鍵の管理は管財課長が、入退室管理カードの管理は情報政策課長が行う。
2 レベル一のセキュリティ区分に係る室又は場所に係る鍵の管理は、入退室等管理者(情報政策課長を除く。)が行う。ただし、市民税課及び市民課に係る鍵については管財課長が行う。
3 高レベル区分の室に係る鍵及び入退室管理カードの貸与については、入退室等管理者から許可を得ている者に対する場合に限るものとする。
(令和元規程二・一部改正)
(管理簿の作成)
第十一条 入退室等管理者は、入退室等管理簿を作成し、これを十年間保存するものとする。
2 入退室等管理者(管財課長を含み、情報政策課長を除く。)は、入退室管理を行う室又は場所に係る鍵の管理簿を作成し、これを十年間保存するものとする。
3 情報政策課長は、高レベル区分の室に係る入退室管理カードの管理簿を作成し、これを十年間保存するものとする。
(指示)
第十二条 セキュリティ統括責任者は、適切な入退室等管理の確保のため、入退室等管理者等から報告を聴取し、調査を行い、又は必要な指示を行うものとする。
第四章 アクセス管理
(アクセス管理を行う機器等)
第十三条 次に掲げる住基ネットの構成機器について、アクセス管理を行う。
一 サーバ
二 業務端末機
三 住民基本台帳カード発行機
2 前項のアクセス管理は、個人の識別のために用いられる電子計算機の用に供するための電磁的方法(電子的方法、磁気的方法その他人の知覚によっては認識することができない方法をいう。)により採取された手の静脈の画像情報(以下「照合情報」という。)により操作者の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(平成二六規程四・一部改正)
(アクセス管理責任者)
第十四条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、情報政策課長をもって充てる。
(照合情報等の管理)
第十五条 アクセス管理責任者は、照合情報及び識別符号等の管理その他のアクセス管理に関し、次に掲げる事項を実施する。
一 照合情報及び識別符号等の管理方法を定めること。
二 照合情報を採取し、又は識別符号等を付与する操作者について、住基ネットを利用する課又は施設のセキュリティ責任者と協議して定めること。
三 照合情報及び識別符号等の管理簿を作成すること。
(平成二六規程四・一部改正)
(平成二六規程四・一部改正)
(操作履歴の記録)
第十七条 アクセス管理責任者は、操作履歴について、十年間保管するものとする。
(オペレーティングシステムの管理)
第十八条 アクセス管理責任者は、第十三条に規定するアクセス管理を実施するほか、住基ネットに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
(平成二六規程四・一部改正)
第五章 情報資産管理
(情報資産管理)
第十九条 住基ネットの情報資産について、管理責任者を置く。
2 情報資産のうち、本人確認情報、当該本人確認情報が記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、市民部行政情報センター市民課長(以下「市民課長」という。)をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、情報政策課長をもって充てる。
(平成二二規程二・平成二九規程一・平成三〇規程一・一部改正)
(本人確認情報管理責任者)
第二十条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するとともに、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のための必要な措置を講じなければならない。
2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カード及び個人番号カードの管理方法を定めるものとする。
(平成二三規程六・平成二九規程一・一部改正)
(情報資産管理責任者)
第二十一条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、個別の情報資産ごとに、情報資産管理責任者を補佐し管理する担当者を別に置くことができる。
3 情報資産管理責任者は、市民課長と協議して、住基ネットのオペレーション計画を定めるものとする。
(平成二二規程二・平成二九規程一・一部改正)
第六章 委託管理
(委託を受けようとする者の管理体制等の調査)
第二十二条 住基ネットを管理し、又は利用する課又は施設の長は、外部委託をしようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託の承認)
第二十三条 住基ネットを管理し、又は利用する課又は施設の長は、外部委託をしようとするときは、委託する事務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
(委託契約書への記載事項)
第二十四条 住基ネットの外部委託に係る契約書には、情報の保護に関し、次に掲げる事項を明記しなければならない。
一 再委託の禁止又は制限に関する事項
二 情報が記録された資料の保管、返還又は廃棄に関する事項
三 情報が記録された資料の目的外使用、複製及び複写並びに第三者への提供の禁止に関する事項
四 情報の秘密保持に関する事項
五 事故等の報告に関する事項
六 次条の規定による調査に関する事項
(平成二〇規程五・一部改正)
(受託者の管理状況の調査)
第二十五条 住基ネットを管理し、又は利用する課又は施設の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
第七章 雑則
(委任)
第二十六条 この規程に定めるもののほか住基ネット及び住民記録システムのセキュリティに関し必要な事項は、別に定める。
(平成二〇規程五・一部改正)
附則
(施行期日)
この規程は、平成十七年四月一日から施行する。
附則(平成一八年三月規程第四号)抄
(施行期日)
1 この規程は、平成十八年四月一日から施行する。
附則(平成一九年三月規程第七号)
(施行期日)
この規程は、平成十九年四月一日から施行する。
附則(平成二〇年三月規程第五号)
(施行期日)
この規程は、平成二十年四月一日から施行する。
附則(平成二一年七月規程第八号)
(施行期日)
この規程は、公布の日から施行する。
附則(平成二二年三月規程第二号)
(施行期日)
この規程は、平成二十二年四月一日から施行する。
附則(平成二三年七月規程第六号)
(施行期日)
この規程は、公布の日から施行する。
附則(平成二六年三月規程第四号)
(施行期日)
1 この規程は、平成二十六年四月一日から施行する。ただし、第三条第三項の改正規程及び第十八条の改正規程は、公布の日から施行する。
(準備行為)
2 この規程による改正後の青森市住民基本台帳ネットワークシステム及び住民記録システムのセキュリティ対策に関する規程第四章の規定によるアクセス管理に関し必要な手続その他の行為は、この規程の施行の日前においても行うことができる。
附則(平成二七年八月規程第九号)
(施行期日)
この規程は、公布の日から施行する。
附則(平成二九年三月規程第一号)
(施行期日)
この規程は、平成二十九年四月一日から施行する。
附則(平成三〇年三月規程第一号)
(施行期日)
この規程は、平成三十年四月一日から施行する。
附則(令和元年五月規程第二号)
(施行期日)
この規程は、公布の日から施行する。
附則(令和三年三月規程第七号)
(施行期日)
この規程は、令和三年四月一日から施行する。
附則(令和五年一二月規程第六号)抄
(施行期日)
1 この規程は、令和五年十二月二十七日から施行する。