○日向市情報セキュリティポリシー
令和7年3月28日
告示第78号
日向市情報セキュリティポリシー(令和4年日向市告示第17号)の全部を改正する。
目次
基本方針
1 情報セキュリティ基本方針
1―1 目的
1―2 定義
1―3 対象とする脅威
1―4 適用範囲
1―5 職員等の遵守義務
1―6 情報セキュリティ対策
1―7 情報セキュリティ監査及び自己点検の実施
1―8 情報セキュリティポリシーの見直し
1―9 情報セキュリティ対策基準の策定
1―10 情報セキュリティ実施手順の策定
対策基準
2 情報セキュリティ対策基準
2―1 組織体制
2―2 情報資産の分類と管理
2―3 情報システム全体の強靭性の向上
2―4 物理的セキュリティ
2―4―1 サーバ等の管理
2―4―2 管理区域(電算室等)の管理
2―4―3 通信回線及び通信回線装置の管理
2―4―4 職員等の利用する端末や電磁的記録媒体等の管理
2―5 人的セキュリティ
2―5―1 職員等の遵守事項
2―5―2 研修・訓練
2―5―3 情報セキュリティインシデントの報告
2―5―4 ID及びパスワード等の管理
2―6 技術的セキュリティ
2―6―1 コンピュータ及びネットワークの管理
2―6―2 アクセス制御
2―6―3 システム開発、導入、保守等
2―6―4 不正プログラム対策
2―6―5 不正アクセス対策
2―6―6 セキュリティ情報の収集
2―7 運用
2―7―1 情報システムの監視
2―7―2 情報セキュリティポリシーの遵守状況の確認
2―7―3 侵害時の対応
2―7―4 例外措置
2―7―5 法令遵守
2―7―6 懲戒処分等
2―8 業務委託と外部サービス(クラウドサービス)の利用
2―8―1 業務委託
2―8―2 情報システムに関する業務委託
2―8―3 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱う場合)
2―8―4 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱わない場合)
2―9 評価・見直し
2―9―1 監査
2―9―2 自己点検
2―9―3 情報セキュリティポリシー及び関係規程等の見直し
権限・責任等一覧表
1 情報セキュリティ基本方針
1―1 目的
本基本方針は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
1―2 定義
(1) ネットワーク
コンピュータ等を相互に接続するための通信網、その構成機器(ハードウエア及びソフトウエア)をいう。
(2) 情報システム
コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(4) 情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。
(5) 機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状熊を確保することをいう。
(6) 完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(7) 可用性
情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(8) マイナンバー利用事務系(個人番号利用事務系)
個人番号利用事務(社会保障、地方税又は防災に関する事務)又は戸籍事務等に関わる情報システム及びデータをいう。
(9) LGWAN接続系
LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。
(10) インターネット接続系
インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。
(11) 通信経路の分割
LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。
(12) 無害化通信
インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。
1―3 対象とする脅威
情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウィルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去・重要情報の詐取・内部不正等
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等
(3) 地震、落雷、火災等の災害によるサービス及び業務の停止等
(4) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
1―4 適用範囲
(1) 行政機関の範囲
本基本方針が適用される行政機関は、市長、教育委員会、公平委員会、監査委員、農業委員会、固定資産評価委員会、消防本部、上下水道局、選挙管理委員会及び議会とする。
(2) 情報資産の範囲
本基本方針が対象とする情報資産は、次のとおりとする。
① ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
② ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)
③ 情報システムの仕様書及びネットワーク図等のシステム関連文書
情報資産の種類 | 情報資産の例 |
① ネットワーク | 通信回線、ルータ等の通信機器等 |
② 情報システム | サーバ、パソコン、モバイル端末、汎用機、複合機、オペレーティングシステム、ソフトウエア等 |
③ ①②に関する施設・設備 | コンピュータ室、通信分岐盤、配電盤、電源ケーブル、通信ケーブル等 |
④ 電磁的記録媒体 | サーバ装置、端末、通信回線装置等に内蔵される内蔵電磁的記録媒体、USBメモリ、外付けハードディスクドライブ、DVD―R、磁気テープ等の外部電磁的記録媒体等 |
⑤ ネットワーク及び情報システムで取り扱う情報 | ネットワーク、情報システムで取り扱うデータ等(これらを印刷した文書を含む。) |
⑥ システム関連文書 | システム設計書、プログラム仕様書、オペレーションマニュアル、端末管理マニュアル、ネットワーク構成図等 |
1―5 職員等の遵守義務
職員(実施機関に属する一般職及び特別職の職員をいう。)、非常勤職員及び会計年度任用職員(以下「職員等」という。)は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。
1―6 情報セキュリティ対策
上記1―3の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1) 組織体制
本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。
(2) 情報資産の分類と管理
本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。
(3) 情報システム全体の強靭性の向上
情報セキュリテイの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。
① マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。
② LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。
③ インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、インターネット接続口を宮崎県自治体情報セキュリティクラウドへ参加する。
(4) 物理的セキュリティ
サーバ、電算室、通信回線及び職員等のパソコン等の管理について、物理的な対策を講じる。
(5) 人的セキュリティ
情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及び啓発を行う等の人的な対策を講じる。
(6) 技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。
(7) 運用
情報システムの監視、情報セキュリティポリシーの遵守状況の確認、業務委託を行う際のセキュリテイ確保等、情報セキュリティポリシーの運用面の対策を講じるものとする。また、情報資産に対するセキュリテイ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定する。
(8) 業務委託と外部サービス(クラウドサービス)の利用
業務委託を行う場合には、委託事業者を選定し、情報セキュリテイ要件を明記した契約を締結し、委託事業者において必要なセキュリテイ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。外部サービス(クラウドサービス)を利用する場合には、利用に係る規定を整備し対策を講じる。ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。
(9) 評価・見直し
情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。情報セキュリティポリシーの見直しが必要な場合は、適宜情報セキュリティポリシーの見直しを行う。
1―7 情報セキュリティ監査及び自己点検の実施
情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
1―8 情報セキュリティポリシーの見直し
情報セキュリテイ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリテイに関する状況の変化に対応するため新たに対策が必要になった場合には、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し、リスクを検討したうえで、情報セキュリティポリシーを見直す。
1―9 情報セキュリティ対策基準の策定
上記1―6、1―7及び1―8に規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
1―10 情報セキュリティ実施手順の策定
情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。なお、情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。
2 情報セキュリティ対策基準
本対策基準は、情報セキュリティ基本方針を実行に移すための、本市における情報資産に関する情報セキュリティ対策の基準を定めたものである。
2―1 組織体制
(1) 最高情報セキュリティ責任者(CISO:Chief Information Security Omcer、以下「CISO」という。)
① 副市長をCISOとする。CISOは、本市における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
② CISOは、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定めるものとする。
③ CISOは、情報セキュリティインシデントに対処するための体制(CSIRT:Computer Security Incident Response Team。以下「CSIRT」という。)を整備し、役割を明確化する。
④ CISOは、CISOを助けて本市における情報セキュリテイに関する事務を整理し、CISOの命を受けて本市の情報セキュリテイに関する事務を統括する最高情報セキュリテイ副責任者(以下「副CISO」という。)1人を必要に応じて置く。
⑤ CISOは、本対策基準に定められた自らの担務を、副CISOその他の本対策基準に定める責任者に担わせることができる。
(2) 統括情報セキュリティ責任者
① 総合政策部長をCISO直属の統括情報セキュリティ責任者とする。統括情報セキュリティ責任者はCISO及び副CISOを補佐しなければならない。
② 統括情報セキュリティ責任者は、本市の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する。
③ 統括情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。
④ 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報システム責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。
⑤ 統括情報セキュリティ責任者は、本市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を実施する権限及び責任を有する。
⑥ 統括情報セキュリティ責任者は、本市の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。
⑦ 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るためCISO、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。
⑧ 統括情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。
⑨ 統括情報セキュリテイ責任者は、情報セキュリテイ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。
(3) 情報セキュリティ責任者
① 部長、消防長、上下水道局長及び議会事務局長を情報セキュリティ責任者とする。
② 情報セキュリティ責任者は、当該部局等の情報セキュリティ対策に関する統括的な権限及び責任を有する。
③ 情報セキュリティ責任者は、その所管する部局等において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。
④ 情報セキュリティ責任者は、その所管する部局等において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約並びに職員、非常勤職員及び会計年度任用職員(以下「職員等」という)に対する教育、訓練、助言及び指示を行う。
(4) 情報システム責任者
① 行政改革・デジタル推進課長を、情報システム責任者とする。
② 情報システム責任者は、ネットワーク及び情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する。
③ 情報システム責任者は、ネットワーク及び情報システムにおける情報セキュリティ対策に関する統括的な権限及び責任を有する。
④ 情報システム責任者は、ネットワーク及び情報システムについて、緊急時等における連絡体制の整備を行う。
(5) 情報セキュリティ管理者
① 各課かい長を情報セキュリティ管理者とする。
② 情報セキュリティ管理者は、その所管する課室等の情報セキュリティ対策に関する権限及び責任を有する。
③ 情報セキュリティ管理者は、その所掌する課室等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、情報セキュリティ責任者、統括情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。
(6) 情報システム管理者
① 各情報システムの担当課長を当該情報システムに関する情報システム管理者とする。
② 情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用、見直しを行う権限及び責任を有する。
③ 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。
④ 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。
(7) 情報システム担当者
情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、情報システム担当者とする。
(8) 情報化推進委員会
① 本市の情報セキュリティ対策を統一的に実施するため、情報化推進委員会において、情報セキュリティポリシー等、情報セキュリティに関する重要な事項を決定する。
② 情報化推進委員会は、毎年度、本市における情報セキュリティ対策の改善計画を策定し、その実施状況を確認しなければならない。
(9) 兼務の禁止
① 情報セキュリティ対策の実施において、止むを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。
② 情報セキュリテイ監査の実施において、止むを得ない場合を除き、監査を受ける者とその監査を実施する者は、同じ者が兼務してはならない。
(10) CSIRTの設置・役割
① CISOは、CSIRTを整備し、その役割を明確化しなければならない。
② CISOは、CSIRTに所属する職員を選任し、その中からCSIRT責任者を置かなければならない。また、CSIRT内の業務統括及び外部との連携等を行う職員等を定めなければならない。
③ CISOは、情報セキュリティの統一的な窓口を行政改革・デジタル推進課内に整備し、情報セキュリティインシデントについて部局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。
④ CISOによる情報セキュリティ戦略の意思決定が行われた際には、その内容を関係部局等に提供すること。
⑤ 情報セキュリティインシデントを認知した場合には、CISO、総務省、県等へ報告しなければならない。
⑥ 情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。
⑦ 情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、委託事業者等との情報共有を行わなければならない。
(11) クラウドサービス利用における組織体制
① 統括情報セキュリティ責任者は、クラウドサービスを利用する際には、複数の事業者の存在・責任の所在を確認し、複数の事業者が存在する場合は、必要な連絡体制を構築しなければならない。また、クラウドサービス利用における情報セキュリティ対策に取り組む十分な組織体制を確立しなければならない。
【管理体制一覧】
役職名 | 担当者 | 役割 |
最高情報セキュリティ責任者(CISO) | 副市長 | 全てのネットワーク、情報システム等の情報資産の管理や情報セキュリティに関する最終決定権限及び責任を有する |
統括情報セキュリティ責任者 | 総合政策部長 | CISO・副CISOを補佐し、全てのネットワークの開発・運用と情報セキュリティ対策に関する権限及び責任を有する |
情報セキュリティ責任者 | 部長、消防長、上下水道局長及び議会事務局長 | 各部局等の情報セキュリティ対策に関する権限及び責任を有する。所有している情報システムに対する運用統括と職員教育・指導を実施する |
情報システム責任者 | 行政改革・デジタル推進課長 | ネットワーク及び情報システムの開発・運用、情報セキュリティ対策をに関する統括的な権限及び責任を有する |
情報セキュリティ管理者 | 各課かい長 | 所管する課室等の情報セキュリティ対策に関する権限及び責任を有する |
情報システム管理者 | 各情報システムの担当課長 | 所管する情報システムの開発・運用、情報セキュリティ対策に関する権限及び責任を有する |
情報システム担当者 | 各情報システムの運用等を担当する職員 | システムの開発・運用作業を遂行する |
情報化推進委員会 | 日向市情報化推進委員会設置規程に規定する職員 | セキュリティ方針の決定と年間改善計画の策定・確認を実施する |
情報セキュリティに関する統一的窓口(CSIRT) | 行政改革・デジタル推進課内 | 情報セキュリティインシデントの受付、関連機関への報告・公表を担当する |
2―2 情報資産の分類と管理
(1) 情報資産の分類
本市における情報資産は、機密性、完全性及び可用性により、次のとおり分類し、必要に応じ取扱制限を行うものとする。
機密性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
自治体機密性3A | 行政事務で取り扱う情報資産のうち、「行政文書の管理に関するガイドライン」(平成23年4月1日内閣総理大臣決定)に定める秘密文書に相当する文書 | ・支給された端末以外での作業の原則禁止(自治体機密性3の情報資産に対して) ・必要以上の複製及び配付禁止 ・保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持ち込み禁止 ・情報の送信、情報資産の運搬・提供時における暗号化・パスワード設定や鍵付きケースへの格納 ・復元不可能な処理を施しての廃棄 ・信頼のできるネットワーク回線の選択 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
自治体機密性3B | 行政事務で取り扱う情報資産のうち、漏えい等が生じた際に、個人の権利利益の侵害の度合いが大きく、事務又は業務の規模や性質上、取扱いに非常に留意すべき情報資産 | |
自治体機密性3C | 行政事務で取り扱う情報資産のうち、自治体機密性3B以上に相当する機密性は要しないが、基本的に公表することを前提としていないもので、業務の規模や性質上、取扱いに留意すべき情報資産 | |
自治体機密性2 | 行政事務で取り扱う情報資産のうち、自治体機密性3に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産 | |
自治体機密性1 | 自治体機密性2又は自治体機密性3の情報資産以外の情報資産 | ― |
完全性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
自治体完全性2 | 行政事務で取り扱う情報資産のうち、改ざん、誤びゅう又は破損により、住民の権利が侵害される又は行政事務の適確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、電子署名付与 ・外部で情報処理を行う際の安全管理措置の規定 ・電磁的記録媒体の施錠可能な場所への保管 |
自治体完全性1 | 自治体完全性2情報資産以外の情報資産 |
可用性による情報資産の分類
分類 | 分類基準 | 取扱制限 |
自治体可用性2 | 行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、住民の権利が侵害される、又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産 | ・バックアップ、指定する時間以内の復旧 ・電磁的記録媒体の施錠可能な場所への保管 |
自治体可用性1 | 自治体可用性2の情報資産以外の情報資産 |
(2) 情報資産の管理
① 管理責任
(ア) 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。
(イ) 情報システム管理者は、所管する情報システムに対して、当該情報システムのセキュリティ要件に係る事項について、情報システム台帳を整備しなければならない。
(ウ) 情報セキュリティ管理者は、情報資産が複製又は伝送された場合には、複製等された情報資産も(1)の分類に基づき管理しなければならない。
(エ) 情報セキュリティ管理者は、クラウドサービスの環境に保存される情報資産についても(1)の分類に基づき管理しなければならない。また、情報資産におけるライフサイクル(作成、入手、利用、保管、送信、運搬、提供、公表、廃棄等)の取扱いを定める。クラウドサービスを更改する際の情報資産の移行及びこれらの情報資産の全ての複製のクラウドサービス事業者からの削除の記述を含むサービス利用の終了に関する内容について、サービス利用前に文書での提示を求め、又は公開されている内容を確認しなければならない。
② 情報資産の分類の表示
職員等は、情報資産について、ファイル(ファイル名、ファイルの属性(プロパティ)、ヘッダ・フッター等)、格納する電磁的記録媒体のラベル、文書の隅等に、情報資産の分類を表示し、必要に応じて取扱制限についても明示する等適正な管理を行わなければならない。
③ 情報の作成
(ア) 職員等は、業務上必要のない情報を作成してはならない。
(イ) 情報を作成する者は、情報の作成時に(1)の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
(ウ) 情報を作成する者は、作成途上の情報についても、紛失や流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。
④ 情報資産の入手
(ア) 庁内の者が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。
(イ) 庁外の者が作成した情報資産を入手した者は、(1)の分類に基づき、当該情報の分類と取扱制限を定めなければならない。
(ウ) 情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ管理者に判断を仰がなければならない。
⑤ 情報資産の利用
(ア) 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。
(イ) 情報資産を利用する者は、情報資産の分類に応じ、適正な取扱いをしなければならない。
(ウ) 情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。
⑥ 情報資産の保管
(ア) 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適正に保管しなければならない。
(イ) 情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。
(ウ) 情報セキュリティ管理者又は情報システム管理者は、利用頻度が低い電磁的記録媒体や情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。
(エ) 情報セキュリティ管理者又は情報システム管理者は、自治体機密性2以上、自治体完全性2又は自治体可用性2の情報を記録した電磁的記録媒体を保管する場合、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。
⑦ 情報の送信
電子メール等により自治体機密性2以上の情報を送信する者は、必要に応じ、パスワード等による暗号化を行わなければならない。
⑧ 情報資産の運搬
(ア) 車両等により自治体機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。
(イ) 自治体機密性2以上の情報資産を運搬する者は、情報セキュリティ管理者に許可を得なければならない。
⑨ 情報資産の提供・公表
(ア) 自治体機密性2以上の情報資産を外部に提供する者は、必要に応じパスワード等による暗号化を行わなければならない。
(イ) 自治体機密性2以上の情報資産を外部に提供する者は、情報セキュリティ管理者に許可を得なければならない。
(ウ) 情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。
⑩ 情報資産の廃棄等
(ア) 情報資産の廃棄やリース返却等を行う者は、情報を記録している電磁的記録媒体について、その情報の機密性に応じ、情報を復元できないように処置しなければならない。
(イ) 情報資産の廃棄やリース返却等を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。
(ウ) 情報資産の廃棄やリース返却等を行う者は、情報セキュリティ管理者の許可を得なければならない。
(エ) クラウドサービスで利用する全ての情報資産について、クラウドサービスの利用終了時期を確認し、クラウドサービスで扱う情報資産が適切に移行及び削除されるよう管理しなければならない。
2―3 情報システム全体の強靭性の向上
(1) マイナンバー利用事務系
① マイナンバー利用事務系と他の領域との分離
マイナンバー利用事務系と他の領域を通信できないようにしなければならない。マイナンバー利用事務系と外部との通信をする必要がある場合は、通信経路の限定(MACアドレス、IPアドレス)及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならない。また、その外部接続先についてもインターネット等と接続してはならない。ただし、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先については、この限りではなく、LGWANを経由して、インターネット等とマイナンバー利用事務系との双方向通信でのデータの移送を可能とする。
② 情報のアクセス及び持ち出しにおける対策
(ア) 情報のアクセス対策
情報システムが正規の利用者かどうかを判断する認証手段のうち、二つ以上を併用する認証(多要素認証)を利用しなければならない。また、業務毎に専用端末を設置することが望ましい。
(イ) 情報の持ち出し不可設定
原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。
③ マイナンバー利用事務系と接続されるクラウドサービス上での情報システムの扱い
マイナンバー利用事務系の端末・サーバ等と専用回線により接続されるガバメントクラウド上の情報システムの領域については、マイナンバー利用事務系として扱い、本市の他の領域とはネットワークを分離しなければならない。
④ マイナンバー利用事務系と接続されるクラウドサービス上での情報資産の取扱い
マイナンバー利用事務系の情報システムをガバメントクラウドにおいて利用する場合は、その情報資産の機密性を考慮し、暗号による対策を実施する。その場合、暗号は十分な強度を持たなければならない。また、クラウドサービス事業者が暗号に関する対策を行う場合又はクラウドサービス事業者が提供する情報資産を保護するための暗号機能を利用する場合、クラウドサービス事業者が提供するそれらの機能や内容について情報を入手し、その機能について理解に努め、必要な措置を行わなければならない。
(2) LGWAN接続系
① LGWAN接続系とインターネット接続系の分割
LGWAN接続系とインターネット接続系は両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。なお、メールやデータをLGWAN接続系に取り込む場合は、次の実現方法等により、無害化通信を図らなければならない。
(ア) インターネット環境で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式
(イ) インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式
(ウ) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式
② LGWAN 接続系と接続されるクラウドサービス上での情報システムの扱い
LGWAN 接続系の情報システムをクラウドサービス上へ配置する場合は、その領域をLGWAN 接続系として扱い、マイナンバー利用事務系とネットワークを分離し、専用回線を用いて接続しなければならない。
(3) インターネット接続系
① インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。
② インターネット接続口を宮崎県自治体情報セキュリティクラウドに参加するとともに、関係省庁や県等と連携しながら、情報セキュリティ対策を推進しなければならない。
③業務の効率性・利便性の向上を目的として、インターネット接続系に主たる業務端末と入札情報や職員の情報等重要な情報資産を配置する場合、必要な情報セキュリティ対策を講じた上で、対策の実施について事前に外部による確認を実施し、配置後も定期的に外部監査を実施しなければならない。
2―4 物理的セキュリティ
2―4―1 サーバ等の管理
(1) 機器の取付け
情報システム管理者は、サーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適正に固定する等、必要な措置を講じなければならない。
(2) サーバの冗長化
① 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、住民サービスに関するサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。
② 情報システム管理者は、メインサーバに障害が発生した場合に、速やかにセカンダリサーバを起動し、システムの運用停止時間を最小限にしなければならない。
(3) 機器の電源
① 情報システム管理者は、情報システム責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適正に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。
② 情報システム管理者は、情報システム責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。
(4) 通信ケーブル等の配線
① 情報システム責任者及び情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。
② 情報システム責任者及び情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。
③ 情報システム責任者及び情報システム管理者は、ネットワーク接続口(ハブのポート等)を他者が容易に接続できない場所に設置する等適正に管理しなければならない。
④ 情報システム責任者及び情報システム管理者は、自ら又は情報システム担当者及び契約により操作を認められた委託事業者以外の者が配線を変更、迫加できないように必要な措置を講じなければならない。
(5) 機器の定期保守及び修理
① 情報システム管理者は、自治体可用性2のサーバ等の機器の定期保守を実施しなければならない。
② 情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、情報システム管理者は、業者に故障を修理させるにあたり、修理を委託する事業者との間で、守秘義務契約を締結する他、秘密保持体制の確認等を行わなければならない。
(6) 庁外への機器の設置
情報システム責任者及び情報システム管理者は、庁外にサーバ等の機器を設置する場合、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。
(7) 機器の廃棄等
① 情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、すべての情報を消去の上、復元不可能な状態にする措置を講じなければならない。
② クラウドサービス事業者が利用する資源(装置等)の処分(廃棄)をする者は、セキュリティを確保した対応となっているか、クラウドサービス事業者の方針及び手順について確認しなければならない。なお、当該確認にあたっては、クラウドサービス事業者が利用者に提供可能な第三者による監査報告書や認証等を取得している場合には、その監査報告書や認証等を利用できる。
2―4―2 管理区域(電算室等)の管理
(1) 管理区域の構造等
① 管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理並びに運用を行うための部屋(以下「電算室」という。)や電磁的記録媒体の保管庫をいう。
② 情報システム責任者及び情報システム管理者は管理区域を地階又は1階に設けてはならない。また、外部からの侵入が容易にできないように無窓の外壁にしなければならない。
③ 情報システム責任者及び情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。
④ 情報システム責任者及び情報システム管理者は、電算室内の機器等に、転倒及び落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。
⑤ 情報システム責任者及び情報システム管理者は施設管理部門と連携して、管理区域を囲む外壁等の床下開口部を全て防がなければならない。
⑥ 情報システム責任者及び情報システム管理者は、管理区域に配置する消火薬剤や消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。
(2) 管理区域の入退室管理等
① 情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。
② 職員等及び委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。
③ 情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立ち入り区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。
④ 情報システム管理者は、自治体機密性2以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しない、又は個人所有であるコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。
(3) 機器等の搬入出
① 情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託事業者に確認を行わせなければならない。
② 情報システム管理者は、電算室の機器等の搬入出について、職員を立ち会わせなければならない。
2―4―3 通信回線及び通信回線装置の管理
① 情報システム責任者は、庁内の通信回線及び通信回線装置を、施設管理部門と連携し、適正に管理しなければならない。また、通信回線及び通信回線装置に関連する文書を適正に保管しなければならない。
② 情報システム責任者は、情報システムのセキュリティ要件として策定した情報システムのネットワーク構成に関する要件内容に従い、通信回線装置に対して適切なセキュリティ対策を実施しなければならない。
③ 情報システム責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。
④ 情報システム責任者は、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。
⑤ 情報システム責任者は、自治体機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。
⑥ 情報システム責任者は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。
⑦ 情報システム責任者は、通信回線装置が動作するために必要なソフトウェアに関する事項を含む実施手順を定めなければならない。また、必要なソフトウェアの状態等を調査し、認識した脆弱性等について対策を講じなければならない。
⑧ 情報システム責任者は、自治体可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。
2―4―4 職員等の利用する端末や電磁的記録媒体等の管理
① 情報システム管理者は、盗難防止のため、執務室等で利用するパソコンのワイヤーによる固定、モバイル端末及び電磁的記録媒体の使用時以外の施錠管理等の物理的措置を講じなければならない。電磁的記録媒体については、情報が保存される必要がなくなった時点で速やかに記録した情報を消去しなければならない。
② 情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、或いは生体認証等複数の認証情報の入力を必要とするように設定しなければならない。
③ 情報システム管理者は、端末の電源起動等のパスワード(BIOSパスワード、ハードディスクパスワード等)を併用しなければならない。
④ 情報システム管理者は、マイナンバー利用事務系では「知識」、「所持」、「存在」を利用する認証手段のうち二つ以上を併用する認証(多要素認証等)を行うよう設定しなければならない。
⑤ 情報システム管理者は、パソコンやモバイル端末等におけるデータの暗号化等の機能を有効に利用しなければならない。端末にセキュリティチップが搭載されている場合、その機能を有効に活用しなければならない。同様に、電磁的記録媒体についてもデータ暗号化機能を備える媒体を使用しなければならない。
⑥ 情報システム管理者は、モバイル端末の庁外での業務利用の際は、上記対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。
2―5 人的セキュリティ
2―5―1 職員等の遵守事項
(1) 職員等の遵守事項
① 情報セキュリティポリシー等の遵守
職員等は、情報セキュリティポリシー及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ管理者に相談し、指示を仰がなければならない。
② 業務以外の目的での使用の禁止
職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。
③ モバイル端末や電磁的記録媒体等の端末の持ち出し及び外部における情報処理作業の制限
(ア) 統括情報セキュリティ責任者は、自治体機密性2以上、自治体可用性2、自治体完全性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。
(イ) 職員等は、本市のパソコン、モバイル端末、電磁的記録媒体、情報資産及びソフトウエアを外部に持ち出す場合には、情報セキュリティ管理者の許可を得なければならない。
(ウ) 職員等は、外部で情報処理業務を行う場合には、情報セキュリティ管理者の許可を得なければならない。
④ 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用
(ア) 職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、日向市情報セキュリティ実施手順に従い、情報システム責任者及び情報セキュリティ管理者の許可を得て、利用することができる。
(イ) 職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を用いる場合には、情報システム責任者及び情報セキュリティ管理者の許可を得た上で、外部で情報処理作業を行う際に安全管理措置に関する規定を遵守しなければならない。
⑤ 持ち出し及び持ち込みの記録
情報セキュリティ管理者は、端末等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。
⑥ パソコンやモバイル端末等の端末におけるセキュリティ設定変更の禁止
職員等は、パソコンやモバイル端末のソフトウエアに関するセキュリティ機能の設定を情報システム責任者及び情報セキュリティ管理者の許可なく変更してはならない。
⑦ 机上の端末等の管理
職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること、又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパソコン、モバイル端末のロックや電磁的記録媒体、文書等の容易に閲覧されない場所への保管等、適正な措置を講じなければならない。
⑧ 退職時等の遵守事項
職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。
⑨ クラウドサービス利用時等の遵守事項
職員等は、クラウドサービスの利用にあたっても情報セキュリティポリシーを遵守し、クラウドサービスの利用に関する自らの役割及び責任を意識しなければならない。
(2) 非常勤及び会計年度任用職員への対応
① 情報セキュリティポリシー等の遵守
情報セキュリティ管理者は、非常勤及び会計年度任用職員に対し、採用時に情報セキュリティポリシー等のうち、非常勤及び会計年度任用職員が守るべき内容を理解させ、また実施及び遵守させなければならない。
② 情報セキュリティポリシー等の遵守に対する同意
情報セキュリティ管理者は、非常勤及び会計年度任用職員の採用の際、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。
③ インターネット接続及び電子メール使用等の制限
情報セキュリティ管理者は、非常勤及び会計年度任用職員にパソコンやモバイル端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これを利用できないようにしなければならない。
(3) 情報セキュリティポリシー等の掲示
情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。
(4) 委託事業者に対する説明
情報セキュリティ管理者は、ネットワーク及び情報システムの開発・保守等を事業者に発注する場合、再委託事業者も含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項を説明しなければならない。
2―5―2 研修・訓練
(1) 情報セキュリティに関する研修・訓練
① 統括情報セキュリティ責任者は、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。
② 統括情報セキュリティ責任者は、定期的にクラウドサービスを利用する職員等の情報セキュリティに関する意識向上、教育及び訓練を実施するとともに、委託先を含む関係者については委託先等で教育、訓練が行われていることを確認しなければならない。
(2) 研修計画の策定及び実施
① 統括情報セキュリティ責任者は、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行い、CISO及び情報化推進委員会の承認を得なければならない。
② 研修計画において、職員等は3年に最低1回は情報セキュリティ研修を受講できるようにしなければならない。
③ 新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。
④ 研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。
⑤ 情報セキュリティ管理者は、所管する課室等の研修の実施状況を記録し、統括情報セキュリティ責任者及び情報セキュリティ責任者に対して、報告しなければならない。
⑥ 統括情報セキュリティ責任者は、研修の実施状況を分析、評価し、CISOに情報セキュリティ対策に関する研修の実施状況について報告しなければならない。
⑦ 統括情報セキュリティ責任者は、毎年度1回、CISO及び情報化推進委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。
(3) 緊急時対応訓練
統括情報セキュリティ責任者は、緊急時対応を想定した訓練を定期的に実施しなければならない。訓練計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、また、効果的に実施できるようにしなければならない。
(4) 研修・訓練への参加
幹部を含めた全ての職員等は、定められた研修・訓練に参加しなければならない。
2―5―3 情報セキュリティインシデントの報告
(1) 庁内での情報セキュリティインシデントの報告
① 職員等は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者及び情報セキュリティに関する統一的な窓口に報告しなければならない。
② 報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び、情報システム責任者、情報システム管理者に報告しなければならない。
③ 情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、CISO及び情報セキュリティ責任者に報告しなければならない。
④ 情報セキュリティインシデントにより、個人情報・特定個人情報の漏えい等が発生した場合、必要に応じて個人情報保護委員会へ報告しなければならない。
⑤ 情報セキュリティ責任者は、クラウドサービス利用における情報セキュリティインシデントの報告について連絡体制の対象者に報告しなければならない。
(2) 住民等外部からの情報セキュリティインシデントの報告
① 職員等は、本市が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。
② 報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び、情報システム責任者、情報システム管理者に報告しなければならない。
③ 情報セキュリティ管理者は、当該情報セキュリティインシデントについて、必要に応じてCISO及び情報セキュリティ責任者に報告しなければならない。
④ CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。
⑤ 情報システム管理者は、クラウドサービス事業者が検知した情報セキュリティインシデントの報告や情報セキュリティインシデントの状況を追跡する仕組みの構築を契約等で取り決めなければならない。
(3) 情報セキュリティインシデント原因の究明・記録、再発防止等
① CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。
② CSIRTは、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告しなければならない。
③ CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。また、CSIRTは、同様の情報セキュリティインシデントが別の情報システムにおいても発生している可能性を検討し、必要に応じて当該情報システムを所管する情報システム管理者へ確認を指示しなければならない。
④ CSIRTは、これらの情報セキュリティインシデント原因を究明し、記録を保存しければならない。また情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。
⑤ CISOは、CSIRTから情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。
2―5―4 ID及びパスワード等の管理
(1) ICカード等の取扱い
① 職員等は自己の管理するICカード等に関し、次の事項を遵守しなければならない。
(ア) 認証に用いるICカード等を職員等間で共有してはならない。
(イ) 業務上必要のないときは、ICカード等をカードリーダ又はパソコン等の端末のスロット等から抜いておけなければならない。
(ウ) ICカード等を紛失した場合には、速やかに情報システム責任者及び情報システム管理者に通報し、指示に従わなければならない。
② 情報システム責任者及び情報システム管理者は、ICカード等の紛失等の通報があり次第、当該ICカードを用いたアクセス等を速やかに停止しなければならない。
③ 情報システム責任者及び情報システム管理者は、ICカード等を切り替える場合、切替え前のカードを回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。
(2) IDの取扱い
職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。
① 自己が利用しているIDは、他人に利用させてはならない。
② 共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。
(3) パスワードの取扱い
職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。
① パスワードは、他者に知られないように管理しなければならない。
② パスワードを秘密にし、パスワードの照会等には一切応じてはならない。
③ パスワードは十分な長さとし、文字列は想像しにくいもの(アルファベットの大文字及び小文字の両方を用い、数字や記号を織り交ぜる等)にしなければならない。
④ パスワードが流出したおそれがある場合には、情報セキュリティ管理者に速やかに報告し、パスワードを速やかに変更しなければならない。
⑤ 複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない。
⑥ 仮のパスワード(初期パスワード含む。)は、最初のログイン時点で変更しなければならない。
⑦ サーバ、ネットワーク機器及びパソコン等の端末に、パスワードを記憶させることで、パスワードの入力なしに認証を可能とする設定は行ってはならない。
⑧ 職員等間でパスワードを共有してはならない(ただし、共有IDに対するパスワードは除く。)。
2―6 技術的セキュリティ
2―6―1 コンピュータ及びネットワークの管理
(1) 文書サーバの設定等
① 情報システム管理者は、職員等が使用できる文書サーバの容量を設定し、職員等に周知しなければならない。
② 情報システム管理者は、文書サーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。
③ 情報システム管理者は、住民の個人情報、人事記録等、特定の職員等しか取り扱えないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。
(2) バックアップの実施
① 情報システム責任者及び情報システム管理者は、業務システムのデータベースやファイルサーバ等に記録された情報について、サーバの冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。
② 情報システム責任者及び情報システム管理者は、重要な情報を取り扱うサーバ装置については、適切な方法でサーバ装置のバックアップを取得しなければならない。
③ 情報システム責任者及び情報システム管理者は、重要な情報を取り扱う情報システムを構成する通信回線装置については、運用状態を復元するために必要な設定情報等のバックアップを取得し保管しなければならない。
④ 情報システム責任者及び情報システム管理者は、クラウドサービス事業者のバックアップ機能を利用する場合、クラウドサービス事業者にバックアップ機能の仕様を要求し、その仕様を確認しなければならない。また、その機能の仕様が本市の求める要求事項を満たすことを確認しなければならない。クラウドサービス事業者からバックアップ機能を提供されない場合やバックアップ機能を利用しない場合は、自らバックアップ機能の導入に関する責任を負い、バックアップに関する機能を設け、情報資産のバックアップを行わなければならない。
(3) 他団体との情報システムに関する情報等の交換
情報システム管理者は、他の団体と情報システムに関する情報及びソフトウエアを交換する場合、その取扱いに関する事項をあらかじめ定め、統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム責任者の許可を得なければならない。
(4) システム管理記録及び作業の確認
① 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。
② 情報システム責任者及び情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように適正に管理し、運用・保守によって機器の構成や設定情報等に変更があった場合は、情報セキュリティ対策が適切であるか確認し、必要に応じて見直さなければならない。
③ 情報システム責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた委託事業者がシステム変更等の作業を行う場合は、2名以上で作業し、互いにその作業を確認しなければならない。
(5) 情報システム仕様書等の管理
情報システム責任者及び情報システム管理者は、ネットワーク構成図、情報システム仕様書について、記録媒体に関わらず、業務上必要とする者以外の者が閲覧したり、紛失等がないよう、適正に管理しなければならない。
(6) ログの取得等
① 情報システム責任者及び情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。
② 情報システム責任者及び情報システム管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。
③ 情報システム責任者及び情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。なお、クラウドサービス事業者が収集し、保存する記録(ログ等)に関する保護(改ざんの防止等)の対応について、ログ管理等に関する対策や機能に関する情報を確認し、記録(ログ等)に関する保護が実施されているのか確認しなければならない。
④ 情報システム責任者及び情報システム管理者は、監査及びデジタルフォレンジックに必要となるクラウドサービス事業者の環境内で生成されるログ等の情報(デジタル証拠)について、クラウドサービス事業者から提供されるログ等の監視機能を利用して取得することで十分では無い場合は、クラウドサービス事業者に提出を要求するための手続を明確にしなければならない。
(7) 障害記録
情報システム責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。
(8) ネットワークの接続制御、経路制御等
① 情報システム責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウエア等を設定しなければならない。
② 情報システム責任者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。
③ 情報システム責任者は、保守又は診断のために、外部の通信回線から内部の通信回線に接続された機器等に対して行われるリモートメンテナンスに係る情報セキュリティを確保しなければならない。また、情報セキュリティ対策について、定期的な確認により見直さなければならない。
(9) 外部の者が利用できるシステムの分離等
情報システム管理者は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じ他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。
(10) 外部ネットワークとの接続制限等
① 情報システム管理者は、所管するネットワークを外部ネットワークと接続しようとする場合には、CISO及び統括情報セキュリティ責任者の許可を得なければならない。
② 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。
③ 情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。
④ 情報システム責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、次のセキュリティ対策を実施しなければならない。
(ア) 庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。
(イ) 脆弱性が存在する可能性が増大することを防止するため、ウェブサーバが備える機能のうち、必要な機能のみを利用しなければならない。
(ウ) ウェブサーバからの不用意な情報漏えいを防止するための措置を講じなければならない。
(エ) ウェブコンテンツの編集作業を行う主体を限定しなければならない。
(オ) インターネットを介して転送される情報の盗聴及び改ざんの防止のため、全ての情報に対する暗号化及び電子証明書による認証の対策を講じなければならない。
⑤ 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。
(11) 複合機のセキュリティ管理
① 情報システム責任者は複合機を調達する場合、当該複合機が備える機能、設定環境並びに取り扱う情報資産の分類及び管理方法に応じ、適正なセキュリティ要件を策定しなければならない。
② 情報システム責任者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントの対策を講じなければならない。
③ 情報システム責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。
(12) IoT機器を含む特定用途機器のセキュリティ管理
情報システム責任者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。
(13) 無線LAN及びネットワークの盗聴対策
① 情報システム責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。
② 情報システム責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。
③ 情報システム責任者は、無線LANの利用を認める場合、解読が困難な暗号化及び認証技術の使用を義務づけなければならない。
(14) 電子メールのセキュリティ管理
① 情報システム責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
② 情報システム責任者は、スパムメール等が内部から送信されていることを検知した場合は、メールサーバの運用を停止しなければならない。
③ 情報システム責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。
④ 情報システム責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。
⑤ 情報システム責任者は、システム開発や運用、保守等のため庁舎内に常駐している委託事業者の作業員による電子メールアドレス利用について、委託事業者との間で利用方法を取り決めなければならない。
⑥ 情報システム責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等によりシステム上措置を講じなければならない。
(15) 電子メールの利用制限
① 職員等は、情報システム責任者の許可なく自動転送機能を用いて、電子メールを転送してはならない。
② 職員等は、業務上必要のない送信先に電子メールを送信してはならない。
③ 職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。
④ 職員等は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。
⑤ 職員等は、情報システム責任者の許可なくウェブで利用できる電子メール、オンラインストレージサービス等を使用してはならない。
(16) 電子署名・暗号化
① 職員等は、情報資産の分類により定めた取扱制限に従い、外部に送るデータの機密性又は完全性を確保することが必要な場合には、CISOが定めた電子署名、パスワード等による暗号化等セキュリティを考慮して、送信しなければならない。
② 職員等は、暗号化を行う場合にCISOが定める以外の方法を用いてはならない。また、CISOが定めた方法で暗号のための鍵を管理しなければならない。
③ CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。
(17) 無許可ソフトウエアの導入等の禁止
① 職員等は、パソコンやモバイル端末に無断でソフトウエアを導入してはならない。
② 職員等は、業務上の必要がある場合は、情報システム責任者及び情報システム管理者の許可を得て、ソフトウエアを導入することができる。なお、導入する際は、情報セキュリティ管理者又は情報システム管理者は、ソフトウエアのライセンスを管理しなければならない。
③ 職員等は、不正にコピーしたソフトウエアを利用してはならない。
(18) 機器構成の変更の制限
① 職員等は、パソコンやモバイル端末に対し機器の改造及び増設・交換を行ってはならない。
② 職員等は、業務上、パソコンやモバイル端末に対し機器の改造及び増設・交換を行う必要がある場合には、情報システム責任者及び情報システム管理者の許可を得なければならない。
(19) 業務外ネットワークへの接続の禁止
① 職員等は、支給された端末を、有線・無線を問わず、その端末を接続して利用するよう情報システム責任者又は情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。
② 情報システム責任者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限することが望ましい。
(20) 業務以外の目的でのウェブ閲覧の禁止
① 職員等は、業務以外の目的でウェブを閲覧してはならない。
② 情報システム責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し適正な措置を求めなければならない。
(21) Web会議サービスの利用時の対策
① 統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。
② 職員等は、本市の定める利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施すること。
③ 職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずること。
④ 職員等は、外部からWeb会議に招待される場合は、本市の定める利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。
(22) ソーシャルメディアサービスの利用
① 情報セキュリティ管理者は、本市が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。
(ア) 本市のアカウントによる情報発信が、実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。
(イ) パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(ハードディスク、USBメモリ、紙等)等を適正に管理するなどの方法で、不正アクセス対策を実施すること。
② 自治体機密性2以上の情報はソーシャルメディアサービスで発信してはならない。
③ 利用するソーシャルメディアサービスごとの責任者を定めなければならない。
④ アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。
⑤ 自治体可用性2の情報の提供にソーシャルメディアサービスを用いる場合は、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とすること。
2―6―2 アクセス制御
(1) アクセス制御等
① アクセス制御
情報システム責任者又は情報システム管理者は、ネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制限しなければならない。
② 利用者IDの取扱い
(ア) 情報システム責任者及び情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職者に伴う利用者IDの取扱い等の方法を定めなければならない。
(イ) 職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、情報システム責任者又は情報システム管理者に通知しなければならない。
(ウ) 情報システム責任者及び情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。
(エ) 情報システム責任者及び情報システム管理者は、主体から対象に対する不要なアクセス権限が付与されていないか定期的に確認しなければならない。
③ 特権を付与されたIDの管理等
(ア) 情報システム責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。
(イ) 情報システム責任者及び情報システム管理者は、管理者権限の特権を持つ主体の識別コード及び主体認証情報が、悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置を講じなければならない。
(ウ) 情報システム責任者及び情報システム管理者の特権を代行する者は、情報システム責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。
(エ) CISOは、代行者を認めた場合、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム責任者及び情報セキュリティ管理者及び情報システム管理者に通知しなければならない。
(オ) 情報システム責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更について、委託事業者に行わせてはならない。
(カ) 情報システム責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、人事異動の際のパスワードの変更、入力回数制限等のセキュリティ機能を強化しなければならない。
(キ) 情報システム責任者及び情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。
(2) 職員等による外部からのアクセス等の制限
① 職員等が外部から内部のネットワーク又は情報システムにアクセスする場合は、情報システム責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。
② 情報システム責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。
③ 情報システム責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。
④ 情報システム責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。
⑤ 情報システム責任者及び情報システム管理者は、外部からのアクセスに利用するパソコンやモバイル端末を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。
⑥ 職員等は、持ち込んだ又は外部から持ち帰ったパソコンやモバイル端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認し、情報セキュリティ管理者の許可を得るか、若しくは情報セキュリティ管理者によって事前に定義されたポリシーに従って接続しなければならない。
⑦ 情報システム責任者は、内部のネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生体認証に係る情報等の認証情報及びこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。
(3) 自動識別の設定
情報システム責任者及び情報システム管理者は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。
(4) ログイン時の表示等
情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定及びログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。
(5) 認証情報の管理
① 情報システム責任者又は情報システム管理者は、職員等の認証情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等で認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。
② 情報システム責任者又は情報システム管理者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、初回ログイン後直ちに仮のパスワードを変更させなければならない。
③ 情報システム責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。
(6) 特権による接続時間の制限
情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。
2―6―3 システム開発、導入、保守等
(1) 機器等の調達に係る運用規程の整備
① 統括情報セキュリティ責任者は、機器等の選定基準を運用規程として整備しなければならない。必要に応じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が加えられないような対策を講じなければならない。
② 情報システム責任者及び情報システム管理者は、情報セキュリティ対策の視点を加味して、機器等の納入時の確認・検査手続を整備しなければならない。
(2) 情報システムの調達
① 情報システム責任者及び情報システム管理者は、情報システム開発、導入、保守等の調達にあたっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。また、業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮した技術的なセキュリティ機能を調達仕様書に記載しなければならない。
② 情報システム責任者及び情報システム管理者は、機器及びソフトウエアの調達にあたっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。
(3) 情報システムの開発
① システム開発における責任者及び作業者の特定
情報システム管理者は、システム開発の責任者及び作業者を特定しなければならない。また、システム開発のための規則を確立しなければならない。
② システム開発における責任者、作業者のIDの管理
(ア) 情報システム管理者は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。
(イ) 情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。
③ システム開発に用いるハードウエア及びソフトウエアの管理
(ア) 情報システム管理者は、システム開発の責任者及び作業者が使用するハードウエア及びソフトウエアを特定、それ以外のものを利用させてはならない。
(イ) 情報システム管理者は、利用を認めたソフトウエア以外のソフトウエアが導入されている場合、当該ソフトウエアをシステムから削除しなければならない。
④ アプリケーション・コンテンツの開発時の対策
情報システム管理者は、ウェブアプリケーションの開発において、セキュリティ要件として定めた仕様に加えて、既知の種類のウェブアプリケーションの脆弱性を排除するための対策を講じなければならない。
(4) 情報システムの導入
① 開発環境と運用環境の分離及び移行手順の明確化
(ア) 情報システム管理者は、システム開発、保守及びテスト環境とシステム運用環境を分離しなければならない。
(イ) 情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。
(ウ) 情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。
(エ) 情報システム管理者は、導入するシステムやサービスの可用性が確保されていることを確認した上で導入しなければならない。
② テスト
(ア) 情報システム管理者は、新たに情報システムを導入する場合、既に稼働している情報システムに接続する前に十分な試験を行わなければならない。
(イ) 情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。
(ウ) 情報システム管理者は、個人情報及び機密性の高いデータを、テストデータに使用してはならない。
(エ) 情報システム管理者は、開発したシステムについて受け入れテストを行う場合、開発した組織と導入する組織が、それぞれに独立したテストを行わなければならない。
(オ) 情報システム管理者は、業務システムに誤ったプログラム処理が組み込まれないよう、不具合を考慮したテスト計画を策定し、確実に検証が実施されるよう、必要かつ適切に委託事業者の監督を行わなければならない。
③ 機器等の納入時又は情報システムの受入れ時
(ア) 情報システム管理者は、機器等の納入時又は情報システムの受入れ時の確認・検査において、調達仕様書等定められた検査手続に従い、情報セキュリティ対策に係る要件が満たされていることを確認しなければならない。
(イ) 情報システム管理者は、情報システムが構築段階から運用保守段階へ移行する際に、当該情報システムの開発事業者から運用保守事業者へ引継がれる項目に、情報セキュリティ対策に必要な内容が含まれていることを確認しなければならない。
(5) 情報システムの基盤を管理又は制御するソフトウェア導入時の対策
① 情報システム管理者は、情報セキュリティの観点から情報システムの基盤を管理又は制御するソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置を講じなければならない。
② 利用するソフトウェアの特性を踏まえ、以下の全ての実施手順を整備しなければならない。
(ア) 情報システムの基盤を管理又は制御するソフトウェアの情報セキュリティ水準の維持に関する手順
(イ) 情報システムの基盤を管理又は制御するソフトウェアで発生した情報セキュリティインシデントを認知した際の対処手順
(6) 情報システムの基盤を管理又は制御するソフトウェア運用時の対策
① 情報システム管理者は、情報システムの基盤を管理又は制御するソフトウェアを運用・保守する場合は、以下の全てのセキュリティ対策を実施しなければならない。
(ア) 情報システムの基盤を管理又は制御するソフトウェアのセキュリティを維持するための対策
(イ) 脅威や情報セキュリティインシデントを迅速に検知し、対応するための対策
② 情報システム管理者は、利用を認めるソフトウェアについて、定期的な確認による見直しを行わなければならない。
(7) システム開発・保守に関連する資料等の保管
① 情報システム管理者は、システム開発・保守に関連する資料及びシステム関連文書を適正な方法で保管しなければならない。
(ア) 情報システム管理者は、情報システムを新規に構築し、又は更改する際には、情報システム台帳のセキュリティ要件に係る内容を記録又は記載し、当該内容について情報システム責任者に報告しなければならない。
(イ) 情報システム管理者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む情報システム関連文書を整備しなければならない。
・情報システムを構成するサーバ装置及び端末関連情報
・情報システムを構成する通信回線及び通信回線装置関連情報
(ウ) 情報システム管理者は、所管する情報システムの情報セキュリティ対策を実施するために必要となる文書として、以下を全て含む実施手順を整備しなければならない。
・情報システム構成要素ごとの情報セキュリティ水準の維持に関する手順
・情報セキュリティインシデントを認知した際の対処手順
・情報システムが停止した際の復旧手順
② 情報システム管理者は、テスト結果を一定期間保管しなければならない。
③ 情報システム管理者は、情報システムに係るソースコードを適正な方法で保管しなければならない。
(8) 情報システムにおける入出力データの正確性の確保
① 情報システム管理者は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。
② 情報システム管理者は、ウェブアプリケーションやウェブコンテンツにおいて、次のセキュリティ対策を実施しなければならない。
(ア) 利用者の情報セキュリティ水準の低下を招かぬよう、アプリケーション及びウェブコンテンツの提供方式等を見直ししなければならない。
(イ) 運用中のアプリケーション・コンテンツにおいて、定期的に脆弱性対策の状況を確認し、脆弱性が発覚した際は必要な措置を講じなければならない。
(ウ) ウェブアプリケーションやウェブコンテンツにおいて、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。
③ 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。
(9) 情報システムの変更管理
情報システム管理者は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。
(10) 開発・保守用のソフトウエアの更新等
情報システム管理者は、開発・保守用のソフトウエア等を更新、又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。
(11) システム更新又は統合時の検証等
情報システム管理者は、システム更新・統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。
(12) 情報システムについての対策の見直し
情報システム管理者は、対策の推進計画等に基づき情報システムの情報セキュリティ対策を適切に見直さなければならない。また、本市内で横断的に改善が必要となる情報セキュリティ対策の見直しによる改善指示に基づき、情報セキュリティ対策を適切に見直さなければならない。なお、措置の結果については、統括情報セキュリティ責任者へ報告しなければならない。
2―6―4 不正プログラム対策
(1) 情報システム責任者の措置事項
情報システム責任者は、不正プログラム対策として、次の事項を措置しなければならない。
① 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。
② 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。
③ コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ職員等に対して注意喚起しなければならない。
④ 所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウエアを常駐させなければならない。
⑤ 不正プログラム対策ソフトウエアのパターンファイルは、常に最新の状態に保たなければならない。
⑥ 不正プログラム対策のソフトウエアは、常に最新の状態に保たなければならない。
⑦ 業務で利用するソフトウエアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウエアを利用してはならない。また、当該製品の利用を予定している期間中にパッチやバージョンアップなどの開発元のサポートが終了する予定がないことを確認しなければならない。
⑧ 仮想マシンを設定する際に不正プログラムへの対策(必要なポート、プロトコル及びサービスだけを有効とすることやマルウェア対策及びログ取得等の実施)を確実に実施しなければならない。SaaS型を利用する場合は、これらの対応が、クラウドサービス事業者側でされているのか、サービスを利用する前に確認しなければならない。また、サービスを利用している状況下では、これらのセキュリティ対策が適切にされているのか定期的にクラウドサービス事業者に報告を求めなければならない。
(2) 情報システム管理者の措置事項
情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。
① 情報システム管理者は、その所掌するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウエアをシステムに常駐させなければならない。
② 不正プログラム対策ソフトウエアのパターンファイルは、常に最新の状態に保たなければならない。
③ 不正プログラム対策のソフトウエアは、常に最新の状態に保たなければならない。
④ インターネットに接続していないシステムにおいて、電磁的記録媒体を使う場合、コンピュータウイルス等の感染を防止するために、市が管理している媒体以外を職員等に利用させてはならない。また、不正プログラムの感染、侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウエアを導入し、定期的に当該ソフトウエア及びパターンファイルの更新を実施しなければならない。
⑤ 不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者が許可した職員を除く職員等に当該権限を付与してはならない。
(3) 職員等の遵守事項
職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。
① パソコンやモバイル端末において、不正プログラム対策ソフトウエアが導入されている場合は、当該ソフトウエアの設定を変更してはならない。
② 外部からデータ又はソフトウエアを取り入れる場合には、必ず不正プログラム対策ソフトウエアによるチェックを行わなければならない。
③ 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。
④ 端末に対して、不正プログラム対策ソフトウエアによるフルチェックを定期的に実施しなければならない。
⑤ 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウエアでチェックを行わなければならない。インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取込む場合は無害化しなければならない。
⑥ 情報システム責任者が提供するウィルス情報を、常に確認しなければならない。
⑦ コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、事前に決められたコンピュータウイルス感染時の初動対応の手順に従って対応を行わなければならない。初動対応時の手順が定められていない場合は、被害の拡大を防ぐ処置を慎重に検討し、該当の端末においてLANケーブルの取り外しや、通信を行わない設定への変更などを実施しなければならない。
(4) 専門家の支援体制
統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。
2―6―5 不正アクセス対策
(1) 情報システム責任者の措置事項
情報システム責任者は、不正アクセス対策として、以下の事項を措置しなければならない。
① 使用されていないポートを閉鎖しなければならない。
② 不要なサービスについて、機能を削除又は停止しなければならない。
③ 不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、情報システム責任者及び情報システム管理者へ通報するよう、設定しなければならない。
④ 重要なシステムの設定を行ったファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。
⑤ 情報システム責任者は、情報セキュリティに関する統一的な窓口と連携し、監視、通知、外部連絡窓口及び適正な対応などを実施できる体制並びに連絡網を構築しなければならない。
⑥ 本市が定めたクラウドサービスの利用に関するポリシー(情報セキュリティポリシー)におけるアクセス制御に関する事項が、クラウドサービスにおいて実現できるのか又はクラウドサービス事業者の提供機能等により実現できるのか、利用前にクラウドサービス事業者に確認しなければならない。
⑦ クラウドサービスを利用する際に、委託事業者等に管理権限を与える場合、多要素認証を用いて認証させ、クラウドサービスにアクセスさせなければならない。
⑧ パスワードなどの認証情報の割り当てがクラウドサービス側で実施される場合、その管理手順等が、本市が定めたクラウドサービスの利用に関するポリシー(情報セキュリティポリシー)を満たすことを確認しなければならない。
(2) 攻撃への対処
CISO、統括情報セキュリティ責任者及び情報システム責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講じなければならない。また、総務省、県等と連絡を密にして情報の収集に努めなければならない。
(3) 記録の保存
CISO、統括情報セキュリティ責任者及び情報システム責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。
(4) 内部からの攻撃
情報システム責任者及び情報システム管理者は、職員等及び委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。
(5) 職員等による不正アクセス
情報システム責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課室等の情報セキュリティ管理者に通知し、適正な処置を求めなければならない。
(6) サービス不能攻撃
統括情報セキュリティ責任者、情報システム責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。
(7) 標的型攻撃
統括情報セキュリティ責任者、情報システム責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)や内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。
2―6―6 セキュリティ情報の収集
(1) セキュリティホールに関する情報の収集・共有及びソフトウエアの更新等
① 情報システム責任者及び情報システム管理者は、サーバ装置、端末及び通信回線装置等におけるセキュリティホールに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じて、ソフトウエア更新等の対策を実施しなければならない。
② 情報システム責任者及び情報システム管理者は、クラウドサービス事業者に対して、利用するクラウドサービスに影響し得る技術的脆弱性の管理内容について情報を求め、本市の業務に対する影響や保有するデータへの影響について特定する。そして、技術的脆弱性に対する脆弱性管理の手順について、クラウドサービス事業者に確認しなければならない。
(2) 不正プログラム等のセキュリティ情報の収集・周知
統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。
(3) 情報セキュリティに関する情報の収集及び共有
統括情報セキュリティ責任者、情報システム責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。
2―7 運用
2―7―1 情報システムの監視
(1) 情報システムの運用・保守時の対策
① 情報システム責任者及び情報システム管理者は、情報システムの運用・保守において、情報システムに実装された監視を含むセキュリティ機能を適切に運用しなければならない。
② 情報システム責任者及び情報システム管理者は、情報システムの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。
③ 情報システム責任者及び情報システム管理者は、重要な情報を取り扱う情報システムについて、危機的事象発生時に適切な対処が行えるよう運用をしなければならない。
(2) 情報システムの監視機能
① 情報システム責任者及び情報システム管理者は、情報システム運用時の監視に係る運用管理機能要件を策定し、監視機能を実装しなければならない。
② 情報システム責任者及び情報システム管理者は、情報システムの運用において、情報システムに実装された監視機能を適切に運用しなければならない。
③ 情報システム責任者及び情報システム管理者は、新たな脅威の出現、運用の状況等を踏まえ、情報システムにおける監視の対象や手法を定期的に見直さなければならない。
④ 情報システム責任者及び情報システム管理者は、サーバ装置上での情報セキュリティインシデントの発生を監視するため、当該サーバ装置を監視するための措置を講じなければならない。
(3) 情報システムの監視
① 情報システム責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。
② 情報システム責任者及び情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。また、利用するクラウドサービスで使用する時刻の同期についても適切になされているのか確認しなければならない。
③ 情報システム責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。
④ 暗号化された通信データを監視のために復号することの要否を判断し、要すると判断した場合は、当該通信データを復号する機能及び必要な場合はこれを再暗号化する機能を導入しなければならない。
⑤ 情報システム責任者及び情報システム管理者は、必要となるリソースの容量・能力が確保できるクラウドサービス事業者を選定しなければならない。また、利用するクラウドサービスの使用において必要な監視機能を確認するとともに監視により、業務継続の上で必要となる容量・能力を予測し、業務が維持できるように努めなければならない。
⑥ 情報システム責任者及び情報システム管理者は、イベントログ取得に関するポリシーを定め、利用するクラウドサービスがその内容を満たすことを確認し、クラウドサービス事業者からログ取得機能が提供される場合は、そのログ取得機能が適切かどうか、ログ取得機能を追加して実装すべきかどうかを検討しなければならない。
⑦ 情報システム責任者及び情報システム管理者は、クラウドサービス利用における重大なインシデントに繋がるおそれのある以下の重要な操作に関して、手順化し、確認しなければならない。
(ア) サーバ、ネットワーク、ストレージなどの仮想化されたデバイスのインストール、変更及び削除
(イ) クラウドサービス利用の終了手順
(ウ) バックアップ及び復旧
2―7―2 情報セキュリティポリシーの遵守状況の確認
(1) 遵守状況の確認及び対処
① 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題を認めた場合には、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。
② CISOは、発生した問題について、適正かつ速やかに対処しなければならない。
③ 情報システム責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適正かつ速やかに対処しなければならない。
(2) パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査
CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末、電磁的記録媒体のログ、電子メールの送受信記録等の利用状況を調査することができる。
(3) 職員等の報告義務
① 職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。
② 当該違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合において、職員等は、緊急時対応計画に従って適正に対処しなければならない。
2―7―3 侵害時の対応
(1) 緊急時対応計画の策定
① CISO又は情報化推進委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適正に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。
② CISO 又は情報化推進委員会は、クラウドサービス事業者と情報セキュリティインシデント管理における責任と役割の分担を明確にし、これらを踏まえてクラウドサービスの障害時を想定した緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。
(2) 緊急時対応計画に盛り込むべき内容
緊急時対応計画には、以下の内容を定めなければならない。
① 関係者の連絡先
② 発生した事案に係る報告すべき事項
③ 発生した事案への対応措置
④ 再発防止措置の策定
(3) 事業継続計画との整合性確保
自然災害、大規模・広範囲にわたる疾病等に備えて別途事業継続計画を策定し、情報化推進委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。
(4) 緊急時対応計画の見直し
CISO又は情報化推進委員会は、情報セキュリティを取り巻く状況の変化や組織体制の変動等に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。
2―7―4 例外措置
(1) 例外措置の許可
情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規定を遵守することが困難な状況で、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用し、又は遵守事項を実施しないことについて合理的な理由がある場合には、CISOの許可を得て、例外措置を講じることができる。
(2) 緊急時の例外措置
情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。
(3) 例外措置の申請書の管理
CISOは、例外措置の申請書及び審査結果を適正に保管し、定期的に申請状況を確認しなければならない。
2―7―5 法令遵守
(1) 職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。
① 地方公務員法(昭和25年法律第261号)
② 著作権法(昭和45年法律第48号)
③ 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
④ 個人情報の保護に関する法律(平成15年法律第57号)
⑤ 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
⑥ サイバーセキュリティ基本法(平成28年法律第31号)
(2) 情報システム責任者及び情報システム管理者は、クラウドサービスに商用ライセンスのあるソフトウェアをインストールする(IaaS等でアプリケーションを構築)場合は、そのソフトウェアのライセンス条項への違反を引き起こす可能性があるため、利用するソフトウェアにおけるライセンス規定に従わなければならない。
2―7―6 懲戒処分等
(1) 懲戒処分
情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じて、地方公務員法による懲戒処分の対象とする。
(2) 違反時の対応
職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。
① 統括情報セキュリティ責任者が違反を確認した場合は、統括情報セキュリティ責任者は当該職員等が所属する課室等の情報セキュリティ管理者に通知し、適正な措置を求めなければならない。
② 情報システム責任者及び情報システム管理者等が違反を確認した場合は、違反を確認した者は速やかに統括情報セキュリティ責任者及び当該職員等が所属する課室等の情報セキュリティ管理者に通知し、適正な措置を求めなければならない。
③ 情報セキュリティ管理者の指導によっても改善されない場合、統括情報セキュリティ責任者は、当該職員等のネットワーク又は情報システムを使用する権利を停止あるいは剥奪することができる。その後速やかに、統括情報セキュリティ責任者は、職員等の権利を停止あるいは剥奪した旨をCISO及び当該職員等が所属する課室等の情報セキュリティ管理者に通知しなければならない。
2―8 業務委託と外部サービス(クラウドサービス)の利用
2―8―1 業務委託
(1) 業務委託に係る運用規程の整備
統括情報セキュリティ責任者は、業務委託に係る以下の内容を全て含む運用規程を整備しなければならない。
① 委託事業者への提供を認める情報及び委託する業務の範囲を判断する基準(以下「委託判断基準」という。)
② 委託事業者の選定基準
(2) 業務委託実施前の対策
① 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施までに、以下を全て含む事項を実施しなければならない。
(ア) 委託する業務内容の特定
(イ) 委託事業者の選定条件を含む仕様の策定
(ウ) 仕様に基づく委託事業者の選定
(エ) 情報セキュリティ要件を明記した契約の締結(契約項目)
重要な情報資産を取扱う業務を委託する場合には、委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。
・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守
・個人情報漏えい防止のための技術的安全管理措置に関する取り決め
・委託事業者の責任者、委託内容、作業者の所属、作業場所の特定
・提供されるサービスレベルの保証
・委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法の明確化など、情報のライフサイクル全般での管理方法
・委託事業者の従業員に対する教育の実施
・提供された情報の目的外利用及び委託事業者以外の者への提供の禁止
・業務上知り得た情報の守秘義務
・再委託に関する制限事項の遵守
・委託業務終了時の情報資産の返還、廃棄等
・委託業務の定期報告及び緊急時報告義務
・市による監査、検査
・市による情報セキュリティインシデント発生時の公表
・情報セキュリティポリシーが遵守されなかった場合の規定(損害賠償等)
(オ) 委託事業者に重要情報を提供する場合は、秘密保持契約(NDA)の締結
② 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施までに、委託の前提条件として、以下を全て含む事項の実施を委託事業者に求めなければならない。
(ア) 仕様に準拠した提案
(イ) 契約の締結
(ウ) 委託事業者において重要情報を取り扱う場合は、秘密保持契約(NDA)の締結
(3) 業務委託実施期間中の対策
① 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施期間において、以下を全て含む対策を実施しなければならない。
(ア) 委託判断基準に従った重要情報の提供
(イ) 契約に基づき委託事業者に実施させる情報セキュリティ対策の履行状況の定期的な確認及び措置の実施
(ウ) 情報システム責任者へ措置内容の報告(重要度に応じてCISO及び統括情報セキュリティ責任者に報告)
(エ) 委託した業務において、情報セキュリティインシデントの発生若しくは情報の目的外利用等を認知した場合又はその旨の報告を職員等より受けた場合における、委託事業の一時中断などの必要な措置を含む、契約に基づく対処の要求
② 情報セキュリティ管理者又は情報システム管理者は、業務委託の実施期間において、以下を全て含む対策の実施を委託事業者に求めなければならない。
(ア) 情報の適正な取扱いのための情報セキュリティ対策
(イ) 契約に基づき委託事業者が実施する情報セキュリティ対策の履行状況の定期的な報告
(ウ) 委託した業務において、情報セキュリティインシデントの発生又は情報の目的外利用等を認知した場合における、委託事業の一時中断などの必要な措置を含む対処
(4) 業務委託終了時の対策
① 情報セキュリティ管理者又は情報システム管理者は、業務委託の終了に際して、以下を全て含む対策を実施しなければならない。
(ア) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの確認を含む検収
(イ) 委託事業者に提供した情報を含め、委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認
② 情報セキュリティ管理者又は情報システム管理者は、業務委託の終了に際して、以下を全て含む対策の実施を委託事業者に求めなければならない。
(ア) 業務委託の実施期間を通じてセキュリティ対策が適切に実施されたことの報告を含む検収の受検
(イ) 提供を受けた情報を含め、委託業務において取り扱った情報の返却、廃棄又は抹消
2―8―2 情報システムに関する業務委託
(1) 情報システムに関する業務委託における共通的対策
情報システム管理者は、情報システムに関する業務委託の実施までに、情報システムに本市の意図せざる変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え、仕様を策定しなければならない。
(2) 情報システムの構築を業務委託する場合の対策
情報システム管理者は、情報システムの構築を業務委託する場合は、契約に基づき、以下を全て含む対策の実施を委託事業者に求めなければならない。
① 情報システムのセキュリティ要件の適切な実装
② 情報セキュリティの観点に基づく試験の実施
③ 情報システムの開発環境及び開発工程における情報セキュリティ対策
(3) 情報システムの運用・保守を業務委託する場合の対策
① 情報システム管理者は、情報システムの運用・保守を業務委託する場合は、情報システムに実装されたセキュリティ機能が適切に運用されるための要件について、契約に基づき、委託事業者に実施を求めなければならない。
② 情報システム管理者は、情報システムの運用・保守を業務委託する場合は、委託事業者が実施する情報システムに対する情報セキュリティ対策を適切に把握するため、当該対策による情報システムの変更内容について、契約に基づき、委託事業者に速やかな報告を求めなければならない。
(4) 本市向けに情報システムの一部の機能を提供するサービスを利用する場合の対策
① 情報システム管理者又は情報セキュリティ管理者は、外部の一般の者が本市向けに重要情報を取り扱う情報システムの一部の機能を提供するサービス(クラウドサービスを除く。)(以下「業務委託サービス」という。)を利用するため、情報システムに関する業務委託を実施する場合は、委託事業者の選定条件に業務委託サービスに特有の選定条件を加えなければならない。
② 情報システム管理者又は情報セキュリティ管理者は、業務委託サービスに係るセキュリティ要件を定め、業務委託サービスを選定しなければならない。
③ 情報システム管理者又は情報セキュリティ管理者は、委託事業者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。
④ 情報システム管理者又は情報セキュリティ管理者は業務委託サービスを利用する場合には、情報システム責任者へ当該サービスの利用申請を行わなければならない。
⑤ 情報システム責任者は、業務委託サービスの利用申請を受けた場合は、当該利用申請を審査し、利用の可否を決定しなければならない。
⑥ 情報システム責任者は、業務委託サービスの利用申請を承認した場合は、承認済み業務委託サービスとして記録し、業務委託サービス管理者を指名しなければならない。
2―8―3 外部サービスの利用(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱う場合)
(1) クラウドサービスの選定に係る運用規程の整備
統括情報セキュリティ責任者は、自治体機密性2以上の情報を取り扱う場合、以下を含む外部サービス(クラウドサービス、以下「クラウドサービス」という。)の選定に関する規定を整備しなくてはならない。
① クラウドサービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下2―8―3において「クラウドサービス利用判断基準」という。)
② クラウドサービス提供者の選定基準
③ クラウドサービスの利用申請の許可権限者と利用手続
④ クラウドサービス管理者の指名とクラウドサービスの利用状況の管理
(2) クラウドサービスの利用に係る運用規程の整備
統括情報セキュリティ責任者は、自治体機密性2以上の情報を取り扱う場合、以下を含むクラウドサービス(自治体機密性2以上の情報を取り扱う場合)の利用に関する規定を整備しなければならない。
① 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方等を踏まえ、クラウドサービスを利用して情報システムを導入・構築する際のセキュリティ対策の基本方針を運用規程として整備しなければならない。
② 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、クラウドサービスを利用して情報システムを運用・保守する際のセキュリティ対策の基本方針を運用規程として整備しなければならない。
③ 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、以下を全て含むクラウドサービスの利用を終了する際のセキュリティ対策の基本方針を運用規程として整備しなければならない。
(ア) クラウドサービスの利用終了時における対策
(イ) クラウドサービスで取り扱った情報の廃棄
(ウ) クラウドサービスの利用のために作成したアカウントの廃棄
(3) クラウドサービスの選定
① 情報システム管理者は、取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス利用判断基準に従って、業務に係る影響度等を検討した上でクラウドサービスの利用を検討しなければならない。
② 情報システム管理者は、クラウドサービスで取り扱う情報の格付及び取扱制限を踏まえ、クラウドサービス提供者の選定基準に従ってクラウドサービス提供者を選定すること。また、以下の内容を含む情報セキュリティ対策をクラウドサービス提供者の選定条件に含めなければならない。
③ 情報システム管理者は、以下の内容を含む情報セキュリティ対策に関する情報の提供を求め、その内容を確認し、利用するクラウドサービスが、本市が定めたクラウドサービスの利用に関するポリシー(情報セキュリティポリシー)を満たしているか否かを評価しなければならない。
(ア) クラウドサービスの利用を通じて本市が取り扱う情報のクラウドサービス提供者における目的外利用の禁止
(イ) クラウドサービス提供者における情報セキュリティ対策の実施内容及び管理体制
(ウ) クラウドサービスの提供に当たり、クラウドサービス提供者若しくはその従業員、再委託先又はその他の者によって、本市の意図しない変更が加えられないための管理体制
(エ) クラウドサービス提供者の資本関係・役員等の情報、クラウドサービス提供に従事する者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供並びに調達仕様書による施設の場所やリージョンの指定
(オ) 情報セキュリティインシデントへの対処方法
(カ) 情報セキュリティ対策その他の契約の履行状況の確認方法
(キ) 情報セキュリティ対策の履行が不十分な場合の対処方法
④ 情報システム管理者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、クラウドサービス提供者の選定条件に含めなければならない。
⑤ 情報システム管理者は、クラウドサービス事業者と情報セキュリティに関する役割及び責任の分担について確認しなければならない。
⑥ 情報システム管理者は、クラウドサービスの利用を通じて本市が取り扱う情報の格付等を勘案し、必要に応じて以下の内容をクラウドサービス提供者の選定条件に含めること。
(注)クラウドサービスの利用前に合意した事項があれば、その内容についてサービス合意書(SLA)に定める。クラウドサービス事業者のサービス利用規約等が変更できない場合は、機密性・完全性・可用性・安全性・個人情報等の扱いに関するクラウドサービス事業者の定める条件を鑑み、その規約内容が本市によって受容可能か判断しなければならない。
(ア) 情報セキュリティ監査の受入れ
(イ) サービスレベルの保証
⑦ 情報システム管理者は、クラウドサービスの利用を通じて本市が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価してクラウドサービス提供者を選定し、必要に応じて本市の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めなければならない。
⑧ 情報システム管理者は、クラウドサービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、クラウドサービス提供者の選定条件で求める内容をクラウドサービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本市に提供し、本市の承認を受けるよう、クラウドサービス提供者の選定条件に含めなければならない。また、クラウドサービス利用判断基準及びクラウドサービス提供者の選定基準に従って再委託の承認の可否を判断しなければならない。
⑨ 情報システム管理者は、取り扱う情報の格付及び取扱制限に応じてセキュリティ要件を定め、クラウドサービスを選定しなくてはならない。また、クラウドサービスのセキュリティ要件としてセキュリティに係る国際規格等と同等以上の水準を求めなければならない。
⑩ 情報システム管理者は、クラウドサービスの特性を考慮した上で、クラウドサービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、以下を全て含むセキュリティ要件を定めなければならない。
(ア) クラウドサービスに求める情報セキュリティ対策
(イ) クラウドサービスで取り扱う情報が保存される国・地域及び廃棄の方法
(ウ) クラウドサービスに求めるサービスレベル
⑪ 統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス提供者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。
(4) クラウドサービスの利用に係る調達・契約
① 情報システム管理者は、クラウドサービスを調達する場合は、クラウドサービス提供者の選定基準及び選定条件並びにクラウドサービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。
② 情報システム管理者は、クラウドサービスを調達する場合は、クラウドサービス提供者及びクラウドサービスが調達仕様を満たすことを契約までに確認し、利用承認を得なければならない。また、調達仕様の内容を契約に含めなければならない。
(5) クラウドサービスの利用承認
① 情報システム管理者は、クラウドサービスを利用する場合には、利用申請の許可権限者へクラウドサービスの利用申請を行わなければならない。なお、利用申請の許可権限者は情報システム責任者とする。
② 利用申請の許可権限者は、職員等によるクラウドサービスの利用申請を審査し、利用の可否を決定しなければならない。
③ 利用申請の許可権限者は、クラウドサービスの利用申請を承認した場合は、承認済みクラウドサービスとして記録し、クラウドサービス管理者を指名しなければならない。なお、クラウドサービス管理者は情報システム管理者とする。
(6) クラウドサービスを利用した情報システムの導入・構築時の対策
① 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方等を踏まえ、以下を含むクラウドサービスを利用して情報システムを構築する際のセキュリティ対策を規定しなければならない。
(ア) 不正なアクセスを防止するためのアクセス制御
(イ) 取り扱う情報の機密性保護のための暗号化
(ウ) 開発時におけるセキュリティ対策
(エ) 設計・設定時の誤りの防止
(オ) クラウドサービスにおけるユーティリティプログラムに対するセキュリティ対策
② クラウドサービス管理者は、情報システムにおいてクラウドサービスを利用する際には、情報システム台帳及び関連文書に記録又は記載しなければならない。なお、情報システム台帳に記録又は記載した場合は、情報システム責任者へ報告しなければならない。
③ クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策を実施するために必要となる文書として、クラウドサービスの運用開始前までに以下の全ての実施手順を整備しなければならない。
(ア) クラウドサービスで利用するサービスごとの情報セキュリティ水準の維持に関する手順
(イ) クラウドサービスを利用した情報システムの運用・監視中における情報セキュリティインシデントを認知した際の対処手順
(ウ) 利用するクラウドサービスが停止又は利用できなくなった際の復旧手順
④ クラウドサービス管理者は、前項において定める規定に対し、構築時に実施状況を確認・記録しなければならない。
⑤ クラウドサービス管理者は、前各項において定める規定に対し、情報セキュリティに配慮した構築の手順及び実践がされているか、クラウドサービス事業者に情報を求め、実施状況を確認及び記録すること。
(7) クラウドサービスを利用した情報システムの運用・保守時の対策
① 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、以下を含むクラウドサービスを利用して情報システムを運用する際のセキュリティ対策を規定しなければならない。
(ア) クラウドサービス利用方針の規定
(イ) クラウドサービス利用に必要な教育
(ウ) 取り扱う資産の管理
(エ) 不正アクセスを防止するためのアクセス制御
(オ) 取り扱う情報の機密性保護のための暗号化
(カ) クラウドサービス内の通信の制御
(キ) 設計・設定時の誤りの防止
(ク) クラウドサービスを利用した情報システムの事業継続
(ケ) 設計・設定変更時の情報や変更履歴の管理
② クラウドサービス管理者は、クラウドサービスの運用・保守時に情報セキュリティ対策を実施するために必要となる項目等で修正又は変更等が発生した場合、情報システム台帳及び関連文書を更新又は修正しなければならない。なお、情報システム台帳を更新又は修正した場合は、情報システム責任者へ報告しなければならない。
③ クラウドサービス管理者は、クラウドサービスの情報セキュリティ対策について新たな脅威の出現、運用、監視等の状況により見直しを適時検討し、必要な措置を講じなければならない。
④ 情報システム管理者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、クラウドサービスで発生したインシデントを認知した際の対処手順を整備しなければならない。
⑤ クラウドサービス管理者は、前各項において定める規定に対し、運用・保守時に実施状況を定期的に確認・記録しなければならない。
⑥ クラウドサービス管理者は、情報セキュリティに配慮した運用・保守の手順及び実践がされているか、クラウドサービス事業者に情報を求め、実施状況を定期的に確認及び記録しなければならない。
(8) クラウドサービスを利用した情報システムの更改・廃棄時の対策
① 統括情報セキュリティ責任者は、クラウドサービスの特性や責任分界点に係る考え方を踏まえ、以下を含むクラウドサービスの利用を終了する際のセキュリティ対策を規定しなければならない。
(ア) クラウドサービスの利用終了時における対策
(イ) クラウドサービスで取り扱った情報の廃棄
(ウ) クラウドサービスの利用のために作成したアカウントの廃棄
② クラウドサービス管理者は、前項において定める規定に対し、クラウドサービスの利用終了時に実施状況を確認・記録しなければならない。
③ クラウドサービス管理者は、クラウドサービス上で機密性の高い情報(住民情報等)を保存する場合は、機密性を維持するために暗号化するとともに、その情報資産を破棄する際は、データ消去の方法の一つとして暗号化した鍵(暗号鍵)を削除するなどにより、その情報資産を復元困難な状態としなければならない。
2―8―4 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱わない場合)
(1) クラウドサービスの利用に係る規定の整備
統括情報セキュリティ責任者は、自治体機密性2以上の情報を取り扱わない場合、以下を含むクラウドサービスの利用に関する規定を整備しなければならない。
(ア) クラウドサービスを利用可能な業務の範囲
(イ) クラウドサービスの利用申請の許可権限者と利用手続
(ウ) クラウドサービス管理者の指名とクラウドサービスの利用状況の管理
(エ) クラウドサービスの利用の運用手順
(2) クラウドサービスの利用における対策の実施
① 職員等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で自治体機密性2以上の情報を取り扱わない場合のクラウドサービスの利用を申請しなければならない。また、承認時に指名されたクラウドサービス管理者は、当該クラウドサービスの利用において適切な措置を講じなければならない。
② 情報システム責任者は、職員等によるクラウドサービスの利用申請を審査し、利用の可否を決定しなければならない。また、承認したクラウドサービスを記録しなければならない。
2―9 評価・見直し
2―9―1 監査
(1) 実施方法
CISOは、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。
(2) 監査を行う者の要件
① 情報セキュリティ監査統括責任者は、監査を実施する場合には、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。
② 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
(3) 監査実施計画の立案及び実施への協力
① 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報化推進委員会の承認を得なければならない。
② 被監査部門は、監査の実施に協力しなければならない。
(4) 委託事業者に対する監査
① 事業者に業務委託を行っている場合、情報セキュリティ監査統括責任者は委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。
② クラウドサービスを利用している場合は、クラウドサービス事業者が自ら定める情報セキュリティポリシーの遵守について、定期的に監査を行わなければならない。クラウドサービス事業者にその証拠(文書等)の提示を求める場合は、第三者の監査人が発行する証明書や監査報告書等をこの証拠とすることもできる。
(5) 報告
情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報化推進委員会に報告する。
(6) 保管
情報セキュリティ監査統括責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適正に保管しなければならない。
(7) 監査結果への対応
① CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処(改善計画の策定等)を指示しなければならない。また、措置が完了していない改善計画は、定期的に進捗状況の報告を指示しなければならない。
② CISOは、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。また、庁内で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し、当該事項への対処(改善計画の策定等)を指示しなければならない。なお、措置が完了していない改善計画は、定期的に進捗状況の報告を指示しなければならない。
(8) 情報セキュリティポリシー及び関係規定等の見直し等への活用
情報化推進委員会は、監査結果を情報セキュリティポリシー及び関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
2―9―2 自己点検
(1) 実施方法
① 統括情報セキュリティ責任者、情報システム責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じ自己点検を実施しなければならない。
② 情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じ自己点検を行わなければならない。
(2) 報告
統括情報セキュリティ責任者、情報セキュリティ責任者、情報システム責任者及び情報システム管理者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報化推進委員会に報告しなければならない。
(3) 自己点検結果の活用
① 職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
② 情報化推進委員会は、この点検結果を情報セキュリティポリシー及び関係規程等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。
2―9―3 情報セキュリティポリシー及び関係規程等の見直し
情報化推進委員会は、情報セキュリティ監査及び自己点検の結果並びに情報セキュリティに関する状況の変化等を踏まえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合にリスク評価を行い、必要があると認めた場合、改善を行うものとする。なお、横断的に改善が必要となる情報セキュリティ対策の運用見直しについて、内部の職制及び職務に応じた措置の実施又は指示し、措置の結果についてCISOに報告しなければならない。
権限・責任一覧表
※ 本一覧表は「情報セキュリティ対策基準」で示した例文に基づき作成している。
※ 記号:「○」権限又は責任等を有している者。「△」記載がある者又は報告先等。「許」許可を与える者。「承」承認を与える者。
区分 | 項目 | 情報化推進委員会 | 最高情報セキュリティ責任者 | 統括情報セキュリティ責任者 | 情報セキュリティ責任者 | 情報システム責任者 | 情報セキュリティ管理者 | 情報システム管理者 | 情報システム担当者 | 情報セキュリティ監査統括責任者 | 利用申請の許可権限者 | 職員等の義務 | CSIRT(統一的窓口) | クラウドサービス管理者 | 外部委託関係規定 | ||||
2―1 組織体制 | (1) | ① | 最高情報セキュリティ責任者の設置 | ○ | |||||||||||||||
② | 最高情報セキュリティアドバイザーの設置 | ○ | |||||||||||||||||
③ | CSIRTの整備 | ○ | |||||||||||||||||
④ | 最高情報セキュリティ副責任者の設置 | ○ | |||||||||||||||||
⑤ | 対策基準に定められた担務の委譲 | ○ | △ | △ | △ | △ | △ | ||||||||||||
(2) | ① | 統括情報セキュリティ責任者の設置 | △ | ○ | |||||||||||||||
② | ネットワークにおける開発等の権限及び責任 | ○ | |||||||||||||||||
③ | ネットワークにおける情報セキュリティ対策に関する権限及び責任 | ○ | |||||||||||||||||
④ | 情報セキュリティ責任者等に対する指導及び助言 | ○ | △ | △ | △ | △ | △ | ||||||||||||
⑤ | 情報資産に対するセキュリティ侵害が発生した場合等の権限及び責任 | △ | ○ | ||||||||||||||||
⑥ | 情報セキュリティ実施手順の維持・管理の権限及び責任 | ○ | |||||||||||||||||
⑦ | 最高情報セキュリティ等との連絡体制の整備 | △ | ○ | △ | △ | △ | △ | △ | |||||||||||
⑧ | 緊急時の報告と回復のための対策 | △ | ○ | ||||||||||||||||
⑨ | 情報セキュリティ関係規程に係る課題及び問題点の報告 | △ | ○ | ||||||||||||||||
(3) | ① | 情報セキュリティ責任者の設置 | ○ | ||||||||||||||||
② | 部局等の情報セキュリティ対策に関する統括的な権限及び責任 | ○ | |||||||||||||||||
③ | 部局等の情報システムの開発等の統括的な権限及び責任 | ○ | |||||||||||||||||
④ | 部局等の情報システムにおける連絡体制の整備等 | ○ | |||||||||||||||||
(4) | ① | 情報システム責任者の設置 | ○ | ||||||||||||||||
② | 情報システムにおける開発等の統括的な権限及び責任 | ○ | |||||||||||||||||
③ | 情報システムにおける情報セキュリティに関する統括的な権限及び責任 | ○ | |||||||||||||||||
④ | 情報システムについて緊急時等における連絡体制の整備 | ○ | |||||||||||||||||
(5) | ① | 情報セキュリティ管理者の設置 | ○ | ||||||||||||||||
② | 課室等の情報セキュリティ対策に関する権限及び責任 | ○ | |||||||||||||||||
③ | 情報資産に対するセキュリティ侵害が発生した場合等の報告等 | △ | △ | △ | ○ | ||||||||||||||
(6) | ① | 情報システム管理者の設置 | ○ | ||||||||||||||||
② | 情報システムにおける開発等の権限及び責任 | ○ | |||||||||||||||||
③ | 情報システムにおける情報セキュリティに関する権限及び責任 | ○ | |||||||||||||||||
④ | 情報システムに係る情報セキュリティ実施手順の維持・管理 | ○ | |||||||||||||||||
(7) | 情報システム担当者の設置 | △ | ○ | ||||||||||||||||
(8) | ① | 情報セキュリティ委員会の設置 | ○ | ||||||||||||||||
② | 情報セキュリティ対策の改善計画の策定、実施状況の確認 | ○ | |||||||||||||||||
(9) | ① | 情報セキュリティ対策の実施における承認等の申請者とその承認者等の兼務の禁止 | |||||||||||||||||
② | 監査を受ける者と監査を実施する者の兼務の禁止 | ||||||||||||||||||
(10) | ① | CSIRTの整備 | ○ | ||||||||||||||||
② | CSIRTに属する職員の選任 | ○ | △ | △ | △ | △ | △ | ||||||||||||
③ | 情報セキュリティに関する統一的な窓口の設置 | ○ | |||||||||||||||||
④ | セキュリティ戦略の意思決定が行われた際に、内容を関係部局等に提供 | △ | △ | △ | △ | △ | △ | ○ | |||||||||||
⑤ | 情報セキュリティインシデントの関係機関への報告 | ○ | |||||||||||||||||
⑥ | 情報セキュリティインシデントの報道機関への通知・公表等 | ○ | |||||||||||||||||
⑦ | 情報セキュリティに関する他の関係機関や窓口等との情報共有 | ○ | |||||||||||||||||
(11) | クラウドサービス利用における組織体制 | ○ | |||||||||||||||||
2―2 情報資産の分類と管理 | (1) | 情報資産の分類 | |||||||||||||||||
(2) | ① | (ア) | 情報資産の管理責任 | ○ | |||||||||||||||
(イ) | 情報システム台帳の整備 | ○ | |||||||||||||||||
(ウ) | 複製等された情報資産の管理責任 | ○ | |||||||||||||||||
(エ) | クラウドサービスの環境に保存される情報資産の管理責任 | ○ | |||||||||||||||||
② | 情報資産の分類の表示 | ○ | |||||||||||||||||
③ | (ア) | 業務上必要のない情報の作成の禁止 | ○ | ||||||||||||||||
(イ) | 情報作成時の情報の分類と取扱制限の設定 | ○ | |||||||||||||||||
(ウ) | 作成途上の情報の取扱い | ○ | |||||||||||||||||
④ | (ア) | 庁内の者が作成した情報資産の取扱い | ○ | ||||||||||||||||
(イ) | 庁外の者が作成した情報資産の分類と取扱い | ○ | |||||||||||||||||
(ウ) | 分類が不明な情報資産を入手した際の対応 | △ | ○ | ||||||||||||||||
⑤ | (ア) | 情報資産の業務外目的の利用の禁止 | ○ | ||||||||||||||||
(イ) | 情報資産の分類に応じた適切な取扱い | ○ | |||||||||||||||||
(ウ) | 情報資産の分類が異なる電磁的記録媒体の取扱い | ○ | |||||||||||||||||
⑥ | (ア) | 情報資産の分類に応じた適切な保管 | ○ | ○ | |||||||||||||||
(イ) | 長期保管する情報資産を記録した電磁的記録媒体の保管 | ○ | ○ | ||||||||||||||||
(ウ) | 利用頻度の低い電磁的記録媒体等の保管 | ○ | ○ | ||||||||||||||||
(エ) | 電磁的記録媒体の施錠可能な場所への保管 | ○ | ○ | ||||||||||||||||
⑦ | 電子メール等での送信時の対策 | ○ | |||||||||||||||||
⑧ | (ア) | 車両等での情報資産運搬時の対策 | ○ | ||||||||||||||||
(イ) | 情報資産運搬の許可 | 許 | ○ | ||||||||||||||||
⑨ | (ア) | 情報資産の外部への提供時の対策 | ○ | ||||||||||||||||
(イ) | 情報資産の外部への提供の許可 | 許 | ○ | ||||||||||||||||
(ウ) | 住民に公開する情報資産の取扱い | ○ | |||||||||||||||||
⑩ | (ア) | 情報資産廃棄時やリース返却時等の対策 | ○ | ||||||||||||||||
(イ) | 情報資産廃棄時やリース返却時等の処理の記録 | ○ | |||||||||||||||||
(ウ) | 情報資産廃棄やリース返却時等の許可 | 許 | ○ | ||||||||||||||||
(エ) | クラウドサービス利用終了時の情報資産の適切な移行及び削除 | ○ | |||||||||||||||||
2―3 情報システム全体の強靭性の向上 | (1) | ① | マイナンバー利用事務系と他の領域との分離 | ○ | |||||||||||||||
② | (ア) | 情報のアクセス対策 | ○ | ||||||||||||||||
(イ) | 情報の持ち出し不可設定 | ○ | |||||||||||||||||
③ | マイナンバー利用事務系と接続されるクラウドサービス上での情報システムの扱い | ○ | |||||||||||||||||
④ | マイナンバー利用事務系と接続されるクラウドサービス上での情報資産の取扱い | ○ | |||||||||||||||||
(2) | ① | LGWAN接続系とインターネット接続系の分割 | ○ | ||||||||||||||||
② | LGWAN接続系と接続されるクラウドサービス上での情報システムの扱い | ○ | |||||||||||||||||
(3) | ① | 高度な情報セキュリティ対策 | ○ | ||||||||||||||||
② | 自治体情報セキュリティクラウドの導入 | ○ | |||||||||||||||||
③ | βモデルやβ'モデルを採用する場合の外部確認と外部監査 | ○ | |||||||||||||||||
2―4 物理的セキュリティ | 2―4―1 サーバ等の管理 | (1) | サーバ等取付け時の必要な措置 | ○ | |||||||||||||||
(2) | ① | サーバの冗長化 | ○ | ||||||||||||||||
② | システム運用停止時間の最小化 | ○ | |||||||||||||||||
(3) | ① | 予備電源の設置 | △ | ○ | |||||||||||||||
② | 過電流に対する機器の保護措置 | △ | ○ | ||||||||||||||||
(4) | ① | 通信ケーブル等の損傷防止措置 | ○ | ○ | |||||||||||||||
② | 通信ケーブル等の損傷等時の対応 | ○ | ○ | ||||||||||||||||
③ | ネットワーク接続口の管理 | ○ | ○ | ||||||||||||||||
④ | 配線の変更・追加の防止措置 | ○ | ○ | △ | |||||||||||||||
(5) | ① | 機器の定期保守の実施 | ○ | ||||||||||||||||
② | 修理時における事業者からの情報漏えい防止措置 | ○ | △ | ||||||||||||||||
(6) | 庁外への機器の設置 | 承 | ○ | ○ | |||||||||||||||
(7) | ① | 機器の廃棄等の措置 | ○ | ||||||||||||||||
② | クラウドサービス事業者が利用する資源(装置等)の処分(廃棄) | ○ | |||||||||||||||||
2―4―2 管理区域(電算室等)の管理 | (1) | ① | 管理区域の定義 | ○ | ○ | ||||||||||||||
② | 管理区域の構造 | ○ | ○ | ||||||||||||||||
③ | 管理区域への立入制限等 | ○ | ○ | ||||||||||||||||
④ | 耐震対策等の対策 | ○ | ○ | ||||||||||||||||
⑤ | 外壁等の床下開口部における措置 | ○ | ○ | ||||||||||||||||
⑥ | 消化薬剤等の設置方法 | ○ | ○ | ||||||||||||||||
(2) | ① | 入退室管理方法 | ○ | ○ | ○ | ○ | |||||||||||||
② | 入室時の身分証明書等の携帯及び提示 | ○ | ○ | ||||||||||||||||
③ | 外部からの訪問者に対する入室管理 | ○ | △ | ||||||||||||||||
④ | 情報システムに関連しないコンピュータ等の持込み禁止 | ○ | |||||||||||||||||
(3) | ① | 搬入する機器の既存情報システムへの影響確認 | ○ | △ | △ | ||||||||||||||
② | 機器等の搬入時の職員の立会い | ○ | △ | ||||||||||||||||
2―4―3 通信回線及び通信回線装置の管理 | ① | 庁内の通信回線等の適切な管理等 | ○ | ||||||||||||||||
② | 装置に対しての適切なセキュリティ対策の実施 | ○ | |||||||||||||||||
③ | 外部へのネットワーク接続の限定措置 | ○ | |||||||||||||||||
④ | 行政系ネットワークのLGWANへの集約 | ○ | |||||||||||||||||
⑤ | 通信回線に利用する回線の選択等 | ○ | |||||||||||||||||
⑥ | 回線の十分なセキュリティ対策の実施 | ○ | |||||||||||||||||
⑦ | 装置が動作するために必要なソフトウェアに関する事項を含むの実施手順の策定 | ○ | |||||||||||||||||
⑧ | 可用性の高い情報を扱う通信回線の可用性の確保 | ○ | |||||||||||||||||
2―4―4 職員等の利用する端末や電磁的記録媒体等の管理 | ① | パソコン、モバイル端末及び電磁的記録媒体の盗難防止措置 | ○ | ||||||||||||||||
② | 情報システムへの認証情報の設定 | ○ | |||||||||||||||||
③ | 端末の電源起動時のパスワード設定等の措置 | ○ | |||||||||||||||||
④ | 多要素認証の設定 | ○ | |||||||||||||||||
⑤ | パソコン、モバイル端末等におけるデータの暗号化等の利用 | ○ | |||||||||||||||||
⑥ | モバイル端末に対する遠隔消去機能等の利用 | ○ | |||||||||||||||||
2―5 人的セキュリティ | 2―5―1 職員等の遵守事項 | (1) | ① | 情報セキュリティポリシー等の遵守 | △ | ○ | |||||||||||||
② | 情報資産の業務目的以外での使用の禁止 | ○ | |||||||||||||||||
③ | (ア) | 情報資産の外部での処理時の安全管理措置 | ○ | ||||||||||||||||
(イ) | モバイル端末や電磁的記録媒体等の持ち出しの許可 | 許 | ○ | ||||||||||||||||
(ウ) | 外部での情報処理業務の許可 | 許 | ○ | ||||||||||||||||
④ | (ア) | 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の業務利用禁止 | 許 | 許 | ○ | ||||||||||||||
(イ) | 支給以外のパソコン、モバイル端末及び電磁的記録媒体等の安全管理措置 | 許 | 許 | ○ | |||||||||||||||
⑤ | 端末等の持出及び持込の記録等 | ○ | |||||||||||||||||
⑥ | パソコンやモバイル端末におけるセキュリティ設定変更の禁止 | 許 | 許 | ○ | |||||||||||||||
⑦ | 机上の端末等の管理 | 許 | ○ | ||||||||||||||||
⑧ | 退職時等の遵守事項 | ○ | |||||||||||||||||
⑨ | クラウドサービス利用時の遵守事項 | ○ | |||||||||||||||||
(2) | ① | 非常勤職員等の採用時の対応 | ○ | △ | |||||||||||||||
② | 非常勤職員等の採用時の同意書への署名 | ○ | △ | ||||||||||||||||
③ | インターネット接続等の利用の制限 | ○ | △ | ||||||||||||||||
(3) | 情報セキュリティポリシー等の掲示 | ○ | △ | ||||||||||||||||
(4) | 委託事業者に対する説明 | ○ | △ | ||||||||||||||||
2―5―2 研修・訓練 | (1) | ① | 情報セキュリティに関する研修・訓練の実施 | ○ | |||||||||||||||
② | クラウドサービス利用における情報セキュリティに関する研修・訓練の実施・確認 | ○ | |||||||||||||||||
(2) | ① | 研修計画の策定等 | 承 | ○ | |||||||||||||||
② | 情報セキュリティ研修の受講 | ○ | |||||||||||||||||
③ | 新規採用の職員等に対する研修の実施 | ○ | △ | ||||||||||||||||
④ | 理解度に応じた研修の実施 | ○ | △ | △ | △ | △ | △ | △ | |||||||||||
⑤ | 所管する課室等の研修実施状況の記録及び報告 | △ | △ | △ | ○ | ||||||||||||||
⑥ | 研修実施状況の分析、評価及び報告 | △ | ○ | ||||||||||||||||
⑦ | 研修の受講状況の報告 | △ | ○ | ||||||||||||||||
(3) | 緊急時対応訓練の実施 | ○ | |||||||||||||||||
(4) | 研修・訓練の参加義務 | ○ | |||||||||||||||||
2―5―3 情報セキュリティインシデントの報告 | (1) | ① | 情報セキュリティインシデントの報告 | △ | ○ | △ | |||||||||||||
② | 情報システムに関連する報告 | △ | △ | ○ | △ | △ | |||||||||||||
③ | 情報セキュリティインシデントの必要に応じた報告 | △ | △ | ○ | |||||||||||||||
④ | 個人情報保護委員会への報告 | ○ | |||||||||||||||||
⑤ | クラウドサービス利用時における情報セキュリティインシデントの必要に応じた報告 | ○ | |||||||||||||||||
(2) | ① | 住民等外部からの報告時の対応 | △ | ○ | |||||||||||||||
② | 情報システム又はネットワークに関連する情報セキュリティインシデントの報告 | △ | △ | ○ | △ | ||||||||||||||
③ | 情報セキュリティインシデントに関する報告 | △ | △ | ○ | |||||||||||||||
④ | 住民等外部に対する窓口の設置等 | ○ | |||||||||||||||||
⑤ | クラウドサービス事業者が検知した情報セキュリティインシデントの報告 | ○ | |||||||||||||||||
(3) | ① | 情報セキュリティインシデントの可能性に対する評価 | ○ | ||||||||||||||||
② | 情報セキュリティインシデントの報告 | △ | ○ | ||||||||||||||||
③ | 応急措置の実施及び復旧に係る指示 | △ | △ | △ | △ | △ | ○ | ||||||||||||
④ | 情報セキュリティインシデントの原因の究明、記録の保存、再発防止策の報告 | △ | ○ | ||||||||||||||||
⑤ | 再発防止策の実施に必要な措置の指示 | ○ | △ | ||||||||||||||||
2―5―4 ID及びパスワード等の管理 | (1) | ① | (ア) | 認証に用いるICカード等の職員等間共有の禁止 | ○ | ||||||||||||||
(イ) | ICカード等のカードリーダ等への常時挿入禁止 | ○ | |||||||||||||||||
(ウ) | ICカード等紛失時の通報 | △ | △ | ○ | |||||||||||||||
② | ICカード紛失時のアクセス停止措置 | ○ | ○ | ||||||||||||||||
③ | ICカード切り替え時の旧カードの廃棄方法 | ○ | ○ | ||||||||||||||||
(2) | ① | 自己のIDの他人による利用の禁止 | ○ | ||||||||||||||||
② | 共用ID利用者以外による共用ID利用禁止 | ○ | |||||||||||||||||
(3) | ① | パスワードの管理 | ○ | ||||||||||||||||
② | パスワードの秘密保持 | ○ | |||||||||||||||||
③ | パスワードの文字及び文字数の選択 | ○ | |||||||||||||||||
④ | パスワードが流出したおそれのある時の措置 | △ | ○ | ||||||||||||||||
⑤ | パスワードのシステム間の共有禁止 | ○ | |||||||||||||||||
⑥ | 仮パスワードの変更 | ○ | |||||||||||||||||
⑦ | パスワードの記憶機能の利用禁止 | ○ | |||||||||||||||||
⑧ | 職員間でのパスワードの共有禁止 | ○ | |||||||||||||||||
2―6 技術的セキュリティ | 2―6―1 コンピュータ及びネットワークの管理 | (1) | ① | 文書サーバの容量の設定等 | ○ | △ | |||||||||||||
② | 文書サーバの課室等単位での設定 | ○ | |||||||||||||||||
③ | 特定の情報のためのディレクトリ設定 | ○ | |||||||||||||||||
(2) | ① | 定期的なバックアップの実施 | ○ | ○ | |||||||||||||||
② | サーバ装置のバックアップ取得 | ○ | ○ | ||||||||||||||||
③ | 装置の設定情報等バックアップの取得及び保管 | ○ | ○ | ||||||||||||||||
④ | クラウドサービス事業者の提供するバックアップ機能の確認と対応 | ○ | ○ | ||||||||||||||||
(3) | 他団体との情報システムに関する情報等の交換する場合の許可等 | 許 | 許 | 許 | ○ | ||||||||||||||
(4) | ① | 情報システムの運用に係る作業記録の作成 | ○ | ||||||||||||||||
② | システム変更等時の作業内容の記録作成等 | ○ | ○ | ||||||||||||||||
③ | システム変更の作業方法 | ○ | ○ | ○ | ○ | ||||||||||||||
(5) | 情報システム仕様書等の管理 | ○ | ○ | ||||||||||||||||
(6) | ① | ログの取得等 | ○ | ○ | |||||||||||||||
② | ログの管理 | ○ | ○ | ||||||||||||||||
③ | ログの点検・分析及びクラウドサービス事業者の保存する記録の確認 | ○ | ○ | ||||||||||||||||
④ | クラウドサービス事業者から提供されるログ等の情報の管理 | ○ | ○ | ||||||||||||||||
(7) | システム障害等の記録、保存 | ○ | ○ | ||||||||||||||||
(8) | ① | 通信ソフトウエア等の設定情報の管理 | ○ | ||||||||||||||||
② | ネットワークのアクセス制御 | ○ | |||||||||||||||||
③ | リモートメンテナンスに係る情報セキュリティの確保 | ○ | |||||||||||||||||
(9) | 外部の者が利用できるシステムの分離等 | ○ | |||||||||||||||||
(10) | ① | ネットワークを外部接続する際の許可 | 許 | 許 | ○ | ||||||||||||||
② | 外部ネットワークの接続による影響の確認 | ○ | ○ | ||||||||||||||||
③ | 外部ネットワーク管理責任者による損害賠償責任の契約上の担保 | ○ | ○ | ||||||||||||||||
④ | (ア) | ファイアウォール等の設置 | ○ | ○ | |||||||||||||||
(イ) | ウェブサーバが備える機能の利用 | ○ | ○ | ||||||||||||||||
(ウ) | ウェブサーバからの不用意な情報漏えいを防止するための措置 | ○ | ○ | ||||||||||||||||
(エ) | ウェブコンテンツの編集作業を行う主体の限定 | ○ | ○ | ||||||||||||||||
(オ) | 暗号化及び電子証明書による認証の対策 | ○ | ○ | ||||||||||||||||
⑤ | 問題発生時の物理的な遮断 | △ | ○ | ||||||||||||||||
(11) | ① | 複合機を調達する場合のセキュリティ要件の策定 | ○ | ||||||||||||||||
② | 複合機に対するセキュリティ設定と情報セキュリティインシデント対策の実施 | ○ | |||||||||||||||||
③ | 複合機の運用終了時の対策 | ○ | |||||||||||||||||
(12) | IoT機器を含む特定用途機器に対する対策の実施 | ○ | |||||||||||||||||
(13) | ① | 無線LAN利用時の暗号化等の使用義務設定 | ○ | ||||||||||||||||
② | 機密性の高いネットワークへの暗号化等の措置 | ○ | |||||||||||||||||
(14) | ① | 電子メールサーバへの中継処理禁止の設定 | ○ | ||||||||||||||||
② | 内部からのスパムメール等の送信を検知した際のメールサーバの運用停止 | ○ | |||||||||||||||||
③ | 電子メールの送受信容量の上限設定等 | ○ | |||||||||||||||||
④ | 電子メールボックスの容量の上限設定等 | ○ | △ | ||||||||||||||||
⑤ | 委託事業者の電子メールアドレス利用取り決め | ○ | ○ | ||||||||||||||||
⑥ | 電子メールの添付ファイルの監視等 | ○ | |||||||||||||||||
(15) | ① | 電子メールの自動転送機能の禁止 | 許 | ○ | |||||||||||||||
② | 業務上必要のない送信先への送信停止 | ○ | |||||||||||||||||
③ | 複数人に電子メールを送信する際の方法 | ○ | |||||||||||||||||
④ | 重要メールの誤送信時の報告 | △ | ○ | ||||||||||||||||
⑤ | ウェブ上の電子メール、オンラインストレージサービス等の使用禁止等 | 許 | ○ | ||||||||||||||||
(16) | ① | 電子署名、暗号化等による送信 | ○ | ○ | |||||||||||||||
② | 暗号化の方法及び鍵の管理 | ○ | ○ | ||||||||||||||||
③ | 電子署名の正当性を確認する手段の提供 | ○ | |||||||||||||||||
(17) | ① | ソフトウエアの無断導入の禁止 | ○ | ||||||||||||||||
② | ソフトウエアの導入の許可の取得及びライセンスの管理 | 許 | 許 | ○ | |||||||||||||||
③ | 不正コピーしたソフトウエアの利用禁止 | ○ | |||||||||||||||||
(18) | ① | 機器の改造及び増設・交換の禁止 | ○ | ||||||||||||||||
② | 機器の改造及び増設・交換の許可 | 許 | 許 | ○ | |||||||||||||||
(19) | ① | 支給端末の許可されたネットワーク以外への接続禁止 | 許 | 許 | ○ | ||||||||||||||
② | 支給端末への技術的な制限の実施 | ○ | ○ | ||||||||||||||||
(20) | ① | 業務目的以外でのウェブ閲覧の禁止 | ○ | ||||||||||||||||
② | 業務目的以外でのウェブ閲覧発見時の対応 | ○ | △ | ||||||||||||||||
(21) | ① | Web会議サービスの利用手順の策定 | ○ | ||||||||||||||||
② | Web会議サービス利用時の情報セキュリティ対策 | ○ | |||||||||||||||||
③ | Web会議主催時の対策 | ○ | |||||||||||||||||
④ | 外部からWeb会議に招待される場合の必要に応じた利用申請 | ○ | |||||||||||||||||
(22) | ① | (ア) | 情報発信におけるなりすまし対策の実施 | ○ | |||||||||||||||
(イ) | 認証情報及びこれを記録した媒体の適切な管理 | ○ | |||||||||||||||||
② | 自治体機密性2以上の情報のソーシャルメディアサービスでの発信禁止 | ○ | |||||||||||||||||
③ | 利用するソーシャルメディアサービスごとの責任者の決定 | ○ | |||||||||||||||||
④ | アカウント乗っ取り確認時の措置 | ○ | |||||||||||||||||
⑤ | 可用性2の情報の提供にソーシャルメディアサービスを用いる場合の措置 | ○ | |||||||||||||||||
2―6―2 アクセス制御 | (1) | ① | アクセス制御 | ○ | ○ | ||||||||||||||
② | (ア) | 利用者の情報管理や利用者IDの取扱等の設定 | ○ | ○ | |||||||||||||||
(イ) | 利用者登録抹消の申請 | △ | △ | ○ | |||||||||||||||
(ウ) | 利用されていないIDの点検 | ○ | ○ | ||||||||||||||||
(エ) | 不要なアクセス権限付与の確認 | ○ | ○ | ||||||||||||||||
③ | (ア) | ID及びパスワードの管理 | ○ | ○ | |||||||||||||||
(イ) | 悪意ある第三者等によって窃取された際の被害を最小化するための措置及び、内部からの不正操作や誤操作を防止するための措置 | ○ | ○ | ||||||||||||||||
(ウ) | 情報システム責任者等の特権を代行する者の要件 | ○ | ○ | ○ | |||||||||||||||
(エ) | 特権代行者の通知 | ○ | △ | △ | △ | △ | △ | ||||||||||||
(オ) | 特権付与されたID等の変更の委託事業者への委託禁止 | ○ | ○ | ○ | |||||||||||||||
(カ) | 特権付与されたID等のセキュリティ機能強化 | ○ | ○ | ||||||||||||||||
(キ) | 特権を付与されたIDの初期設定以外のものへの変更 | ○ | ○ | ||||||||||||||||
(2) | ① | 外部から内部ネットワーク等へのアクセスの許可 | 許 | 許 | ○ | ||||||||||||||
② | 外部からのアクセス可能人数の制限 | ○ | |||||||||||||||||
③ | 外部からのアクセス時の本人確認の機能の確保 | ○ | |||||||||||||||||
④ | 外部からのアクセス時の通信の暗号化等の措置 | ○ | |||||||||||||||||
⑤ | 外部アクセス用端末等付与時のセキュリティの確保 | ○ | ○ | ||||||||||||||||
⑥ | 外部から持ち込んだ端末等のウィルスの確認等 | 許 | ○ | ||||||||||||||||
⑦ | インターネットを介した庁内ネットワークへの接続禁止 | ○ | |||||||||||||||||
(3) | 自動識別の設定 | ○ | ○ | ||||||||||||||||
(4) | ログイン時のシステム設定 | ○ | |||||||||||||||||
(5) | ① | 職員等の認証情報の管理 | ○ | ○ | |||||||||||||||
② | パスワード発行等 | ○ | ○ | ||||||||||||||||
③ | 認証情報の不正利用防止 | ○ | ○ | ||||||||||||||||
(6) | 特権によるネットワーク等への接続時間の制限 | ○ | |||||||||||||||||
2―6―3 システム開発、導入、保守等 | (1) | ① | ライフサイクルで不正な変更が加えられないような対策 | ○ | |||||||||||||||
② | 機器等の納入時の確認・検査手続の整備 | ○ | ○ | ||||||||||||||||
(2) | ① | 調達仕様書への技術的なセキュリティ機能の明記 | ○ | ○ | |||||||||||||||
② | 調達時のセキュリティ機能の調査等 | ○ | ○ | ||||||||||||||||
(3) | ① | システム開発の責任者及び作業者の特定と規則の確立 | ○ | ||||||||||||||||
② | (ア) | システム開発の責任者等のIDの管理等 | ○ | ||||||||||||||||
(イ) | システム開発の責任者等のアクセス権限の設定 | ○ | |||||||||||||||||
③ | (ア) | システム開発におけるソフトウエア等の特定 | ○ | ||||||||||||||||
(イ) | 認定外のソフトウエアの削除 | ○ | |||||||||||||||||
④ | ウェブアプリケーションの脆弱性を排除するための対策 | ○ | |||||||||||||||||
(4) | ① | (ア) | システム開発等環境とシステム運用環境の分離 | ○ | |||||||||||||||
(イ) | システム開発環境からシステム運用環境への移行の手順の明確化 | ○ | |||||||||||||||||
(ウ) | 移行に伴うシステム停止等の影響の最小化 | ○ | |||||||||||||||||
(エ) | 導入されるシステムやサービスの可用性の確保確認 | ○ | |||||||||||||||||
② | (ア) | 新たなシステム導入前の十分な試験の実施 | ○ | ||||||||||||||||
(イ) | 運用テスト時の擬似環境による操作確認の実施 | ○ | |||||||||||||||||
(ウ) | テストデータとして個人情報等の使用禁止 | ○ | |||||||||||||||||
(エ) | 受け入れ時のテストの実施 | ○ | |||||||||||||||||
(オ) | 不具合を考慮したテスト計画の策定 | ○ | |||||||||||||||||
③ | (ア) | 機器等の納入時又は情報システムの受入れ時における情報セキュリティ対策に係る要件の確認 | ○ | ||||||||||||||||
(イ) | 情報システムが構築段階から運用保守段階へ移行する際における開発事業者から運用保守事業者へ引継がれる項目 | ○ | |||||||||||||||||
(5) | ① | ソフトウェアを導入する端末、サーバ装置、通信回線装置等及びソフトウェア自体を保護するための措置 | ○ | ||||||||||||||||
② | (ア) | 情報セキュリティ水準の維持に関する手順の整備 | ○ | ||||||||||||||||
(イ) | 情報セキュリティインシデントを認知した際の対処手順の整備 | ○ | |||||||||||||||||
(6) | ① | (ア) | ソフトウェアのセキュリティを維持するための対策 | ○ | |||||||||||||||
(イ) | 情報セキュリティインシデントを迅速に検知し対応するための対策 | ○ | |||||||||||||||||
② | 情報セキュリティインシデントを認知した際の対処手順の整備 | ○ | |||||||||||||||||
(7) | ① | (ア) | 情報システム台帳のセキュリティ要件に係る内容の記録又は記載 | △ | ○ | ||||||||||||||
(イ) | 情報システム関連文書の整備 | ○ | |||||||||||||||||
(ウ) | 情報セキュリティ対策を実施するために必要となる実施手順の整備 | ○ | |||||||||||||||||
② | テスト結果の保管 | ○ | |||||||||||||||||
③ | 情報システムに係るソースコードの保管 | ○ | |||||||||||||||||
(8) | ① | 入力データの正確性を確保できる情報システム設計 | ○ | ||||||||||||||||
② | (ア) | アプリケーション及びウェブコンテンツの提供方式等の見直し | ○ | ||||||||||||||||
(イ) | 定期的な脆弱性対策状況の確認 | ○ | |||||||||||||||||
(ウ) | 情報の改ざん等を検出する情報システム設計 | ○ | |||||||||||||||||
③ | 出力データの正確性を確保できる情報システム設計 | ○ | |||||||||||||||||
(9) | プログラム仕様書等の変更履歴の作成 | ○ | |||||||||||||||||
(10) | ソフトウエア等更新時の他の情報システムとの整合性確認 | ○ | |||||||||||||||||
(11) | システム更新又は統合時の検証等の実施 | ○ | |||||||||||||||||
(12) | 推進計画等に基づいた情報システムの情報セキュリティ対策見直し | △ | ○ | ||||||||||||||||
2―6―4 不正プログラム | (1) | ① | 不正プログラムのシステムへの侵入防止措置 | ○ | |||||||||||||||
② | 不正プログラムの外部への拡散防止措置 | ○ | |||||||||||||||||
③ | 不正プログラムの情報の収集、職員等への注意喚起 | ○ | |||||||||||||||||
④ | 不正プログラム対策ソフトウエアの常駐 | ○ | |||||||||||||||||
⑤ | 不正プログラム対策ソフトウエアのパターンファイルの更新 | ○ | |||||||||||||||||
⑥ | 不正プログラム対策ソフトウエアの更新 | ○ | |||||||||||||||||
⑦ | サポート終了ソフトウエアの使用禁止 | ○ | |||||||||||||||||
⑧ | 仮想マシン設定時の不正プログラム対策の実施 | ○ | |||||||||||||||||
(2) | ① | 不正プログラム対策ソフトウエアの常駐 | ○ | ||||||||||||||||
② | 不正プログラム対策ソフトウエアのパターンファイルの更新 | ○ | |||||||||||||||||
③ | 不正プログラム対策ソフトウエアの更新 | ○ | |||||||||||||||||
④ | インターネットに接続していないシステムにおける電磁的記録媒体の制限及び不正プログラム対策ソフトウエアの導入等 | ○ | |||||||||||||||||
⑤ | 不正プログラム対策ソフトウェア等の設定変更権限の一括管理 | ○ | |||||||||||||||||
(3) | ① | 不正プログラム対策ソフトウエアの設定変更の禁止 | ○ | ||||||||||||||||
② | 外部からのデータ又はソフトウェア取込時のウィルスチェックの実施 | ○ | |||||||||||||||||
③ | 差出人が不明時の添付ファイルの削除 | ○ | |||||||||||||||||
④ | 不正プログラム対策ソフトウエアによる定期的なフルチェックの実施 | ○ | |||||||||||||||||
⑤ | 添付ファイル送受信時のウィルスチェック、無害化処理の実施 | ○ | |||||||||||||||||
⑥ | ウィルス情報の確認 | △ | ○ | ||||||||||||||||
⑦ | パソコン等の端末のウィルス感染時の対処方法 | ○ | |||||||||||||||||
(4) | 外部の専門家の支援体制の整備 | ○ | |||||||||||||||||
2―6―5 不正アクセス対策 | (1) | ① | 使用されていないポートの閉鎖 | ○ | |||||||||||||||
② | 不要なサービス機能の削除、停止 | ○ | |||||||||||||||||
③ | ウェブページの改ざんを防止するための設定 | ○ | △ | ||||||||||||||||
④ | 定期的なファイルの改ざんの有無の検査 | ○ | |||||||||||||||||
⑤ | 監視、通知、外部連絡窓口などの体制及び連絡窓口の構築 | ○ | ○ | ||||||||||||||||
⑥ | クラウドサービス利用時のアクセス制御の実施 | ○ | |||||||||||||||||
⑦ | クラウドサービス利用時の多要素認証による委託先の管理者権限アクセス | ○ | |||||||||||||||||
⑧ | クラウドサービス利用時の認証情報の管理 | ○ | |||||||||||||||||
(2) | 攻撃を受けた場合、又は受けるリスクがある場合のへの対応 | ○ | ○ | ○ | |||||||||||||||
(3) | 攻撃を受けた記録の保存 | ○ | ○ | ○ | |||||||||||||||
(4) | 内部からの攻撃等の監視 | ○ | ○ | ||||||||||||||||
(5) | 職員等による不正アクセス発見時の対応 | ○ | △ | ○ | |||||||||||||||
(6) | サービス不能攻撃対策の実施 | ○ | ○ | ○ | |||||||||||||||
(7) | 標的型攻撃対策の実施 | ○ | ○ | ○ | |||||||||||||||
2―6―6 セキュリティ情報の収集 | (1) | ① | セキュリティホールに関する情報の収集・共有及びソフトウエアの更新等 | ○ | ○ | ||||||||||||||
② | クラウドサービスの技術的脆弱性の確認 | ○ | ○ | ||||||||||||||||
(2) | 不正プログラム等のセキュリティ情報の収集・周知 | ○ | |||||||||||||||||
(3) | 情報セキュリティに関する技術情報の収集及び共有 | ○ | ○ | ○ | |||||||||||||||
2―7 運用 | 2―7―1 情報システムの監視 | (1) | ① | セキュリティ機能の適切な運用 | ○ | ○ | |||||||||||||
② | 情報システムの情報セキュリティ対策における新たな脅威の出現、運用、監視等の状況による見直し | ○ | ○ | ||||||||||||||||
③ | 危機的事象発生時の適切な対処 | ○ | ○ | ||||||||||||||||
(2) | ① | 情報システム運用時の監視に係る運用管理機能要件を策定、監視機能の実装 | ○ | ○ | |||||||||||||||
② | 情報システムに実装された監視機能の適切な運用 | ○ | ○ | ||||||||||||||||
③ | 情報システムにおける監視の対象や手法の定期的な見直し | ○ | ○ | ||||||||||||||||
④ | サーバ装置を監視するための措置 | ○ | ○ | ||||||||||||||||
(3) | ① | 情報システムの監視 | ○ | ○ | |||||||||||||||
② | サーバの正確な時刻設定等の措置及びクラウドサービスの時刻同期の確認 | ○ | ○ | ||||||||||||||||
③ | 外部と常時接続するシステムの監視 | ○ | ○ | ||||||||||||||||
④ | 通信データの監視のための復号 | ○ | ○ | ||||||||||||||||
⑤ | リソースが確保できるクラウドサービスの選定 | ○ | ○ | ||||||||||||||||
⑥ | クラウドサービス利用時のログ取得機能の確認 | ○ | ○ | ||||||||||||||||
⑦ | (ア) | クラウドサービス利用時の仮想化されたデバイスの手順 | ○ | ○ | |||||||||||||||
(イ) | クラウドサービス利用時の利用終了手順 | ○ | ○ | ||||||||||||||||
(ウ) | クラウドサービス利用時のバックアップ及び復旧手順 | ○ | ○ | ||||||||||||||||
2―7―2 情報セキュリティポリシーの遵守状況の確認 | (1) | ① | 情報セキュリティポリシーの遵守状況の確認等 | △ | △ | ○ | ○ | ||||||||||||
② | 問題発生時の対処 | ○ | |||||||||||||||||
③ | システム設定等における情報セキュリティポリシー遵守状況の定期的な確認等 | ○ | ○ | ||||||||||||||||
(2) | モバイル端末及び電磁的記録媒体等の利用状況調査 | ○ | |||||||||||||||||
(3) | ① | 違反行為の発見時の報告 | △ | △ | ○ | ||||||||||||||
② | 緊急時対応計画に従った対応 | ○ | ○ | ||||||||||||||||
2―7―3 侵害時の対応 | (1) | ① | 緊急時対応計画の策定 | ○ | ○ | ||||||||||||||
② | クラウドサービス利用における緊急時対応計画の策定 | ○ | ○ | ||||||||||||||||
(2) | 緊急時対応計画に盛り込むべき内容 | ○ | ○ | ||||||||||||||||
(3) | 業務継続計画と情報セキュリティポリシーの整合性の確保 | ○ | |||||||||||||||||
(4) | 緊急時対応計画の見直し | ○ | ○ | ||||||||||||||||
2―7―4 例外措置 | (1) | 例外措置の許可 | 許 | ○ | ○ | ||||||||||||||
(2) | 緊急時の例外措置 | △ | ○ | ○ | |||||||||||||||
(3) | 例外措置の申請書の管理 | ○ | |||||||||||||||||
2―7―5 法令遵守 | (1) | 主要な法令遵守 | ○ | ||||||||||||||||
(2) | クラウドサービス利用時のソフトウェアライセンス条項の遵守 | ○ | ○ | ||||||||||||||||
2―7―6 懲戒処分等 | (1) | 懲戒処分 | ○ | ○ | ○ | ○ | ○ | ○ | ○ | ○ | |||||||||
(2) | ① | 違反時の対応(統括情報セキュリティ責任者確認時) | ○ | △ | |||||||||||||||
② | 違反時の対応(情報システム責任者確認時) | △ | ○ | △ | ○ | ||||||||||||||
③ | 違反を改善しない職員等のシステム使用の権利の停止等 | △ | ○ | △ | |||||||||||||||
2―8 業務委託と外部サービス(クラウドサービス)の利用 | 2―8―1 業務委託 | (1) | ① | 委託事業者への提供を認める情報及び委託する業務の範囲を判断する基準の整備 | ○ | ○ | |||||||||||||
② | 委託事業者の選定基準の整備 | ○ | ○ | ||||||||||||||||
(2) | ① | (ア) | 委託する業務内容の特定 | ○ | ○ | ||||||||||||||
(イ) | 委託事業者の選定条件を含む仕様の策定 | ○ | ○ | ||||||||||||||||
(ウ) | 仕様に基づく委託事業者の選定 | ○ | ○ | ||||||||||||||||
(エ) | 情報セキュリティ要件を明記した契約の締結(契約項目) | ○ | ○ | ||||||||||||||||
(オ) | 秘密保持契約(NDA)の締結 | ○ | ○ | ||||||||||||||||
② | (ア) | 仕様に準拠した提案 | ○ | ○ | |||||||||||||||
(イ) | 契約の締結 | ○ | ○ | ||||||||||||||||
(ウ) | 秘密保持契約(NDA)の締結 | ○ | ○ | ||||||||||||||||
(3) | ① | (ア) | 委託判断基準に従った重要情報の提供 | ○ | ○ | ||||||||||||||
(イ) | 情報セキュリティ対策の履行状況の定期的な確認及び措置 | ○ | ○ | ||||||||||||||||
(ウ) | 情報システム責任者へ措置内容の報告 | △ | △ | △ | ○ | ○ | |||||||||||||
(エ) | 契約に基づく対処の要求 | ○ | ○ | ||||||||||||||||
② | (ア) | 情報の適正な取扱いのための情報セキュリティ対策 | ○ | ○ | |||||||||||||||
(イ) | 情報セキュリティ対策の履行状況の定期的な確認及び措置 | ○ | ○ | ||||||||||||||||
(ウ) | 委託事業の一時中断などの必要な措置を含む対処 | ○ | ○ | ||||||||||||||||
(4) | ① | (ア) | セキュリティ対策が適切に実施されたことの確認 | ○ | ○ | ||||||||||||||
(イ) | 委託事業者において取り扱われた情報が確実に返却、廃棄又は抹消されたことの確認 | ○ | ○ | ||||||||||||||||
② | (ア) | セキュリティ対策が適切に実施されたことの報告を含む検収の受検 | ○ | ○ | |||||||||||||||
(イ) | 委託業務において取り扱った情報の返却、廃棄又は抹消 | ○ | ○ | ||||||||||||||||
2―8―2 情報システムに関する業務委託 | (1) | 情報システムに意図せざる変更が加えられないための対策に係る選定条件を委託事業者の選定条件に加え加えた仕様の策定 | ○ | ||||||||||||||||
(2) | ① | 情報システムのセキュリティ要件の適切な実装 | ○ | ||||||||||||||||
② | 情報セキュリティの観点に基づく試験の実施 | ○ | |||||||||||||||||
③ | 情報システムの開発環境及び開発工程における情報セキュリティ対策 | ○ | |||||||||||||||||
(3) | ① | 契約に基づいた委託事業者への実施要求 | ○ | ||||||||||||||||
② | 情報システムの変更内容における速やかな報告の要求 | ○ | |||||||||||||||||
(4) | ① | 委託事業者の選定条件に業務委託サービスに特有の選定条件の追加 | ○ | ○ | |||||||||||||||
② | 業務委託サービスの選定 | ○ | ○ | ||||||||||||||||
③ | 委託事業者の信頼性が十分であることを総合的・客観的に評価した判断 | ○ | ○ | ||||||||||||||||
④ | 業務委託サービスの利用申請 | △ | ○ | ○ | |||||||||||||||
⑤ | 利用申請の審査、利用可否の決定 | 承 | |||||||||||||||||
⑥ | 承認済み業務委託サービスとしての記録、業務委託サービス管理者の指名 | ○ | |||||||||||||||||
2―8―3 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱う場合) | (1) | ① | クラウドサービスを利用可能な範囲の規定 | ○ | |||||||||||||||
② | クラウドサービス提供者の選定基準 | ○ | |||||||||||||||||
③ | クラウドサービスの利用申請の許可権限者と利用手続 | ○ | |||||||||||||||||
④ | クラウドサービス管理者の指名とクラウドサービスの利用状況の管理 | ○ | |||||||||||||||||
(2) | ① | クラウドサービスを利用して情報システムを導入・構築する際のセキュリティ対策の基本方針 | ○ | ||||||||||||||||
② | クラウドサービスを利用して情報システムを運用・保守する際のセキュリティ対策の基本方針 | ○ | |||||||||||||||||
③ | (ア) | クラウドサービスの利用終了時における対策 | ○ | ||||||||||||||||
(イ) | クラウドサービスで取り扱った情報の廃棄 | ○ | |||||||||||||||||
(ウ) | クラウドサービスの利用のために作成したアカウントの廃止 | ○ | |||||||||||||||||
(3) | ① | クラウドサービスの利用の検討 | ○ | ||||||||||||||||
② | 選定基準に沿ったクラウドサービス提供者の選定 | ○ | |||||||||||||||||
③ | (ア) | クラウドサービスで取り扱う情報のクラウドサービス提供者における目的外利用の禁止 | ○ | ||||||||||||||||
(イ) | クラウドサービス提供者における情報セキュリティ対策の実施内容及び管理体制 | ○ | |||||||||||||||||
(ウ) | クラウドサービス提供者若しくはその従業員、再委託先又はその他の者による本市の意図しない変更が加えられないための管理体制 | ○ | |||||||||||||||||
(エ) | クラウドサービス提供者に関する情報提供及び調達仕様書による施設の場所やリージョンの指定 | ○ | |||||||||||||||||
(オ) | 情報セキュリティインシデントへの対処方法 | ○ | |||||||||||||||||
(カ) | 情報セキュリティ対策その他の契約の履行状況の確認方法 | ○ | |||||||||||||||||
(キ) | 情報セキュリティ対策の履行が不十分な場合の対処方法 | ○ | |||||||||||||||||
④ | クラウドサービスの中断や終了時に円滑に業務を移行するための対策 | ○ | |||||||||||||||||
⑤ | クラウドサービス事業者との情報セキュリティに関する役割・責任の確認 | ○ | |||||||||||||||||
⑥ | (ア) | 情報セキュリティ監査の受入れ | ○ | ||||||||||||||||
(イ) | サービスレベルの保証 | ○ | |||||||||||||||||
⑦ | クラウドサービスの利用を通じて取り扱う情報に対する国内法以外の法令及び規制が適用されるリスクの評価 | ○ | |||||||||||||||||
⑧ | クラウドサービス提供者がその役務内容を一部再委託する場合の対策 | ○ | |||||||||||||||||
⑨ | 取り扱う情報の格付及び取扱制限に応じたセキュリティ要件とクラウドサービスの選定 | ○ | |||||||||||||||||
⑩ | (ア) | クラウドサービスに求める情報セキュリティ対策 | ○ | ||||||||||||||||
(イ) | クラウドサービスで取り扱う情報が保存される国・地域及び廃棄の方法 | ○ | |||||||||||||||||
(ウ) | クラウドサービスに求めるサービスレベル | ○ | |||||||||||||||||
⑪ | 情報セキュリティ監査報告書によるクラウドサービス提供者の評価 | ○ | |||||||||||||||||
(4) | ① | クラウドサービスの調達時の調達仕様に含める事項 | ○ | ||||||||||||||||
② | クラウドサービスを調達する場合の契約までの確認事項と契約内容 | ○ | |||||||||||||||||
(5) | ① | クラウドサービスを利用する場合の利用申請 | ○ | ||||||||||||||||
② | 職員等によるクラウドサービスの利用申請の審査 | ○ | |||||||||||||||||
③ | クラウドサービスの利用承認時の記録とクラウドサービス管理者の指名 | ○ | |||||||||||||||||
(6) | ① | (ア) | 不正なアクセスを防止するためのアクセス制御 | ○ | |||||||||||||||
(イ) | 取り扱う情報の機密性保護のための暗号化 | ○ | |||||||||||||||||
(ウ) | 開発時におけるセキュリティ対策 | ○ | |||||||||||||||||
(エ) | 設計・設定時の誤りの防止 | ○ | |||||||||||||||||
(オ) | クラウドサービスにおけるユーティリティプログラムに対するセキュリティ対策 | ○ | |||||||||||||||||
② | 情報システム台帳及び関連文書への記録 | △ | ○ | ||||||||||||||||
③ | (ア) | 情報セキュリティ水準の維持に関する手順 | ○ | ||||||||||||||||
(イ) | 情報セキュリティインシデントを認知した際の対処手順 | ○ | |||||||||||||||||
(ウ) | 利用するクラウドサービスが停止又は利用できなくなった際の復旧手順 | ○ | |||||||||||||||||
④ | 前項において定める規定内容の確認・記録 | ○ | |||||||||||||||||
⑤ | クラウドサービスにおける前項において定める規定内容の確認・記録 | ○ | |||||||||||||||||
(7) | ① | (ア) | クラウドサービス利用方針の規定 | ○ | |||||||||||||||
(イ) | クラウドサービス利用に必要な教育 | ○ | |||||||||||||||||
(ウ) | 取り扱う資産の管理 | ○ | |||||||||||||||||
(エ) | 不正アクセスを防止するためのアクセス制御 | ○ | |||||||||||||||||
(オ) | 取り扱う情報の機密性保護のための暗号化 | ○ | |||||||||||||||||
(カ) | クラウドサービス内の通信の制御 | ○ | |||||||||||||||||
(キ) | 設計・設定時の誤りの防止 | ○ | |||||||||||||||||
(ク) | クラウドサービスを利用した情報システムの事業継続 | ○ | |||||||||||||||||
(ケ) | 設計・設定変更時の情報や変更履歴の管理 | ○ | |||||||||||||||||
② | 情報システム台帳及び関連文書の更新又は修正 | △ | ○ | ||||||||||||||||
③ | 新たな脅威の出現、運用、監視等の状況による見直し | ○ | |||||||||||||||||
④ | クラウドサービスで発生したインシデントの対処手順の整備 | ○ | |||||||||||||||||
⑤ | クラウドサービス運用・保守時の確認・記録 | ○ | |||||||||||||||||
(8) | ① | (ア) | クラウドサービスの利用終了時における対策 | ○ | |||||||||||||||
(イ) | クラウドサービスで取り扱った情報の廃棄 | ○ | |||||||||||||||||
(ウ) | クラウドサービスの利用のために作成したアカウントの廃棄 | ○ | |||||||||||||||||
② | クラウドサービス利用終了時の確認・記録 | ○ | |||||||||||||||||
③ | クラウドサービス上での機密性の高い情報の保存、廃棄における対策 | ○ | |||||||||||||||||
2―8―4 外部サービス(クラウドサービス)の利用(自治体機密性2以上の情報を取り扱わない場合) | (1) | (ア) | クラウドサービスを利用可能な業務の範囲 | ○ | |||||||||||||||
(イ) | クラウドサービスの利用申請の許可権限者と利用手続 | ○ | |||||||||||||||||
(ウ) | クラウドサービス管理者の指名とクラウドサービスの利用状況の管理 | ○ | |||||||||||||||||
(エ) | クラウドサービスの利用の運用手順 | ○ | |||||||||||||||||
(2) | ① | 自治体機密性2以上の情報を取り扱わない場合の利用申請と措置 | ○ | ○ | |||||||||||||||
② | クラウドサービスの利用申請審査とその記録 | 許 | ○ | ||||||||||||||||
2―9 評価・見直し | 2―9―1 監査 | (1) | 情報セキュリティ対策状況について監査の実施 | ○ | △ | ||||||||||||||
(2) | ① | 被監査部門から独立した者への監査の実施依頼 | ○ | ||||||||||||||||
② | 監査を行う者の要件 | ||||||||||||||||||
(3) | ① | 監査実施計画の立案等 | 承 | ○ | |||||||||||||||
② | 監査の実施に対する協力 | ||||||||||||||||||
(4) | ① | 委託事業者に対する監査 | ○ | ○ | |||||||||||||||
② | クラウドサービス事業者に対する監査 | ○ | |||||||||||||||||
(5) | 監査結果の報告 | △ | ○ | ||||||||||||||||
(6) | 監査証拠等の保管 | ○ | |||||||||||||||||
(7) | ① | 監査結果への対処(改善計画の策定等)の指示 | ○ | △ | |||||||||||||||
② | 庁内で横断的に改善が必要な事項の指示 | ○ | △ | △ | |||||||||||||||
(8) | 監査結果の情報セキュリティポリシー及び関係規程等の見直し等への活用 | ○ | |||||||||||||||||
2―9―2 自己点検 | (1) | ① | ネットワーク等の自己点検の実施 | ○ | ○ | ○ | |||||||||||||
② | 情報セキュリティ対策状況の自己点検 | ○ | ○ | ||||||||||||||||
(2) | 点検結果と改善策の報告 | △ | ○ | ○ | ○ | ○ | |||||||||||||
(3) | ① | 自己の権限の範囲内での改善 | ○ | ||||||||||||||||
② | 点検結果の情報セキュリティポリシー及び関係規程等の見直し等への活用 | ○ | |||||||||||||||||
2―9―3 情報セキュリティポリシー及び関係規定等の見直し | 情報セキュリティポリシー及び関係規程等の見直しに関する規定 | ○ | |||||||||||||||||
附則
この告示は、令和7年4月1日から施行する。