○七ケ宿町住民基本台帳ネットワークシステムに係る本人確認情報の管理に関する事務取扱要領
平成15年8月1日
訓令甲第22号
この要領は、七ケ宿町住民基本台帳ネットワークシステムに係る本人確認情報の管理に関する規程(平成15年七ケ宿町訓令甲第21号。以下「規程」という。)第23条の規定に基づき、本人確認情報の管理に関し必要な事項を定めるものとする。
第1 セキュリティ組織の設置
1 セキュリティ統括責任者(規程第3条関係)
セキュリティ統括責任者は、本町における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ対策に関する最終的な権限及び責任(作動停止時、データの漏えいのおそれがある場合等の緊急時において対応策を決定し、実施する権限及び責任を含む。)を有し、運用に関する重大な事項についての決定権限を持つこととする。
また、セキュリティ統括責任者は、住基ネットのセキュリティ対策について常日ごろから細心の注意を払い、本人確認情報のデータの漏えいの防止及び正確性の維持と住基ネットの継続的な運用に努めることとする。
2 システム管理者(規程第4条関係)
システム管理者は、住基ネットの全体を管理する責任者として、アクセス管理、情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)管理(セキュリティ責任者が管理責任を負う部分を除く。)等を行うこととする。
3 セキュリティ責任者(規程第5条関係)
セキュリティ責任者は、各業務担当課において、住基ネットに係る業務端末設置室等への入退室管理及び情報資産のうち本人確認情報にかかる管理等を行うほか、住基ネットのセキュリティ対策の職員への徹底、セキュリティに対する脅威が発生した場合の情報収集、セキュリティ統括責任者に対する報告等を担うこととする。
4 セキュリティ会議の設置(規程第6条関係)
「セキュリティ会議」は、住基ネットの関連部門の責任者から構成され、庁内における住基ネットのセキュリティに関する審議等を行う機関として設けられ、庁内における住基ネットのセキュリティ対策の決定及び見直し、セキュリティ対策の遵守状況の確認、監査の実施、教育・研修の実施等について審議する。また、緊急時における対応策を検討する組織とする。
セキュリティ会議は、セキュリティ統括責任者が招集し、かつ議長を務める。
セキュリティ会議の構成メンバーは、セキュリティ統括責任者、システム管理者、セキュリティ責任者、住基ネットの構成機器及び関連設備を設置する建物等の管理及び教育・研修の実施に関する責任者である総務課長とする。
5 監査・研修体制の整備
(1) 監査体制(規程第8条関係)
① 住基ネットのセキュリティを確保するために、必要に応じて点検・評価し、その結果をフォローアップする体制を整えることとする。
② 監査を行うに当たっては、独立性及び公平性を担保するため、委託して行うことができるものとする。
(2) 研修体制(規程第9条関係)
住基ネットの操作及びセキュリティ対策については、次の区分により、計画的に研修を行うこととする。
① 操作者 住基ネットに関する内容、業務端末等の操作に関する内容、セキュリティ対策に関する内容等
② 管理者 住基ネットの管理に関する必要な知識や技術に関する内容等
第2 アクセス管理
1 アクセス管理責任者(規程第11、12条関係)
アクセス管理責任者は、サーバ及び業務端末に係る操作者の権限及び責任を明確にするため、操作者用ICカード及びパスワードにより正当な操作者であることを確認するとともに、操作履歴の記録を行うものとする。
2 操作者用ICカード及びパスワードの管理方法(規程第15条関係)
規程第15条に規定する操作者用ICカード及びパスワードの管理に関する事項については、アクセス管理責任者が別に定めるものとする。
3 操作履歴の保管(規程第16条関係)
アクセス管理責任者は、住基ネットの操作履歴について、サーバから記録媒体に定期的にバックアップすることとする。
また、保存期間は、刑法第235条(窃盗)及び同法第246条の2(電子計算機使用詐欺)の公訴時効(刑事訴訟法第250条により7年)を考慮して7年としたものである。
第3 本人確認情報の管理措置
1 システム管理者の管理措置
(1) 情報資産の管理方法(規程第18条第1項関係)
規程第18条第1項に規定する情報資産の管理方法については、システム管理者が別に定めるものとする。
(2) オペレーション計画の内容(規程第18条第2項関係)
① オペレーション計画の作成
規程第18条第2項に規定するオペレーション計画については、次に掲げる計画を内容とするものとし、システム管理者がセキュリティ責任者と協議の上、別に定めるものとする。
ア 要員計画
一定期間ごとに要員計画を策定すること。
イ 運用計画
・ 通常期・ピーク時・大量データ取り扱い時のスケジュールをあらかじめ作成すること。
・ 年次・月次・週次・日次ごとの作業項目、運用時間を決定すること。
ウ バックアップ計画
バックアップの処理に関して、必要な事項を定めること。
エ 緊急時対応計画
緊急時の対応のために、別途、緊急時対応計画書を作成し、緊急時対応手順の明確化、緊急時連絡体制の確認、緊急時対応手順の周知を図ること。
② オペレーション計画の見直し等
ア オペレーションに関する各計画の見直しを必要に応じて行うこと。
イ 障害が発生する確率を下げるために、オペレーション品質の向上対策、オペレーションミスの原因分析、再現防止策の策定・実施・評価を行うこと。
2 セキュリティ責任者の管理措置(規程第19条第1項関係)
(1) 本人確認情報取扱者(操作者)の指名
① セキュリティ責任者は、現に本人確認情報を取り扱う操作者を明確にするため、本人確認情報を取り扱うことができる操作者を事前に指名するものとする。
② 操作者は、本人確認情報を取り扱う場合、セキュリティ責任者の許可を得るものとする。
③ 本人確認情報の取扱い処理を事業者に委託した場合、委託の都度、本人確認情報を取り扱うことができる者を指定することとする。ただし、当該指定は、必要最小限度のものとしなければならないものとする。
(2) 本人確認情報の取り扱いに係る留意事項
セキュリティ責任者は、別記1のとおり、住民基本台帳法で本人確認情報の漏えい、滅失及びき損の防止その他の本人確認情報の適切な管理のために必要な措置の実施が義務付けられていることから、(1)の①により指名した操作者が本人確認情報を取り扱う際に次の内容を遵守するよう指示するものとする。
① 本人確認情報を画面表示する場合
ア 業務上必要のない本人確認情報を表示しないこと。
イ スクリーンセーバの機能を活用するなど、長時間にわたり本人確認情報をディスプレイに表示したままの状態にしないこと。
ウ 住基ネットの業務端末に係るディスプレイが、窓口に来庁している住民から見えない位置に置くこと。
エ 画面のハードコピーは、必要以外に取らないこと。また、必要以外に画像データとして保管することを禁止すること。
② 本人確認情報を検索・抽出する場合
ア 業務上必要のない検索・抽出は行わないこと。
イ 業務上の検索・抽出を行う場合には、事前に検索・抽出要件を明確にすること。
③ 本人確認情報の帳票を出力する場合
ア 業務上必要のない帳票の出力は行わないこと。
イ 本人確認情報が記載されている帳票を出力した場合には、適正に管理すること。
(3) 本人確認情報に関する秘密保持義務
セキュリティ責任者は、別記2のとおり、住民基本台帳法で秘密保持義務が定められていることから、本人確認情報に関する秘密、本人確認情報の電子計算機処理等の関する秘密(セキュリティに関する技術情報、パスワード、具体的運用方法、マニュアル等も含む。)について、職員に周知するものとする。
(4) セキュリティ責任者の帳票の管理方法(第19条第2項関係)
規程第19条第2項に規定する帳票の管理方法については、セキュリティ責任者が別に定めるものとする。
第4 外部委託
1 外部委託先の選定に係る留意事項(規程第20条関係)
委託事業者を選定する場合には、委託する業務の内容に応じて、次に掲げる事項に留意の上、その事業者の安全度・信頼度等を確認し、選定を行うものとする。
(1) 事前調査
委託事業者を選定する場合には、その事業者に関して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、確認すること。
(2) 業務完遂能力
① 事業者の業務完遂能力(信用度)について、要員の技術力や要員の教育体制等のみで判断するのではなく、個人情報保護措置やセキュリティ対策の実施状況等についても調査し、判断すること。
② 損害賠償能力や社会的関心を呼んだ不祥事の有無等についても調査を行い、総合的に判断すること。
(1) 再委託に関する考え方
本人確認情報の電子計算機処理等の委託を受けた者若しくはその役職員又はこれらの者であった者は、別記2のとおり、住民基本台帳法で秘密保持義務が課されるが、再委託先についてまでは秘密保持義務が課されないので、本人確認情報に係る委託については、再委託を原則禁止とすること。
(2) 秘密保持に関する誓約書の提出
委託契約を締結する際には、委託事業者に対し、従事者からの意識を高めるために、誓約書を提出させる等秘密保持に関する意識の向上について必要な措置を講ずるよう依頼すること。
附則
この要領は、平成15年8月25日から施行する。