○朝来市住民基本台帳ネットワークシステム運用管理規程
平成17年4月1日
訓令第9号
(趣旨)
第1条 この訓令は、個人情報の保護に関する法律(平成15年法律第57号)、朝来市個人情報の保護に関する法律施行条例(令和5年朝来市条例第2号)及び朝来市個人情報の保護に関する法律施行細則(令和5年朝来市規則第8号)に定めるもののほか、朝来市住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティを確保するとともに、適切な運用及び維持管理に関し必要な事項を定めるものとする。
(1) 住基ネット コミュニケーションサーバ、都道府県サーバ、機構サーバ、業務端末、電気通信関係装置(ファイアウォールを含む。以下同じ。)、電気通信回路、プログラム等により構成され、市長が本人確認情報(住民基本台帳法(昭和42年法律第81号。以下「法」という。)第30条の6第1項に規定する本人確認情報をいう。以下同じ。)を知事に、知事は当該本人確認情報を地方公共団体情報システム機構(以下「機構」という。)に通知し、並びに知事及び機構が本人確認情報の記録、保存及び提供を行うためのシステムをいう。
(2) コミュニケーションサーバ 知事に本人確認情報の通知及び転出確定通知(住民基本台帳法施行令(昭和42年政令第292号)第13条第3項の規定による通知をいう。以下同じ。)を行うための市長の使用に係る電子計算機をいう。
(3) 都道府県サーバ 市長から本人確認情報の通知及び転出確定通知を受け、本人確認情報の記録、保存及び提供を行い、並びに機構に本人確認情報の通知を行うための知事の使用に係る電子計算機をいう。
(4) 機構サーバ 知事から本人確認情報の通知を受け、本人確認情報の記録、保存及び提供を行い、並びに市長から個人番号とすべき番号の生成のために必要な情報を受け、及び市長に個人番号とすべき番号を通知するための機構の使用に係る電子計算機
(5) ファイアウォール ネットワークにおいて不正侵入を防御する電子計算機をいう。
(セキュリティ統括責任者)
第3条 住基ネットのセキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置く。
2 セキュリティ統括責任者は、市民生活部長をもって充てる。
(システム管理者)
第4条 住基ネットの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、企画総務部デジタル戦略課長をもって充てる。
(情報保護管理者)
第5条 住基ネットの適正な運用及びデータ保護について統括的管理を図るため、情報保護管理者を置く。
2 情報保護管理者は、市民生活部市民課長をもって充てる。
(セキュリティ会議)
第6条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者のほか、次に掲げる者をもって組織する。
(1) システム管理者
(2) 情報保護管理者
(3) 前2号に掲げるもののほか、セキュリティ統括責任者が審議に必要と認めた者
3 セキュリティ会議は、次に掲げる事項を審議する。
(1) 住基ネットのセキュリティ対策の決定及び見直し
(2) 前号のセキュリティ対策の遵守状況の確認
(3) 監査の計画
(4) 教育及び研修に関する計画策定
4 議長は、必要と認めるときは、関係職員の出席を求め、その意見又は説明を求めることができる。
(関係部署に対する指示等)
第7条 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係部署に対し、必要な措置を要請することができる。
(監査体制)
第8条 システム管理者は、住基ネットのセキュリティを確保するため、定期又は必要に応じて随時、監査を受ける。
(教育及び研修)
第9条 システム管理者は、住基ネット事務の担当職員に対し、住基ネットの操作及びセキュリティ対策に関する教育及び研修を行うものとする。
(入退室管理を行う室及び場所)
第10条 情報保護管理者は、業務端末の設置場所において、入退室管理を行うものとする。
2 情報保護管理者は、住基ネットのセキュリティを確保するため、目視により入退室の管理に対し、必要な措置を採らなければならない。
(指示)
第11条 セキュリティ統括責任者は、適切な入退室管理が行われているかどうか、情報保護管理者から報告を聴取し、調査を行い、必要な指示を行うものとする。
(アクセス管理)
第12条 システム管理者は、業務端末について、アクセス管理を行うものとする。
2 前項のアクセス管理は、操作者識別カード及びパスワードにより操作者の正当な権限を確認すること並びに操作履歴及び通信履歴を記録することにより行うものとする。
(操作履歴等の記録)
第13条 システム管理者は、操作履歴について、3年前までさかのぼって解析できるよう保管するものとする。
(操作者識別カードの管理)
第14条 システム管理者は、情報保護管理者からの申出により、業務端末の操作者識別カードを、業務端末操作者ごとに作成し、住民基本台帳ネットワークシステム操作者識別カード管理簿(様式第1号)に記録のうえ情報保護管理者に貸与する。
2 情報保護管理者は、業務端末の操作者識別カードを施錠により保管する。
3 情報保護管理者は、業務端末の操作者識別カードを、業務の処理に必要がある場合に限り、業務処理の都度、業務端末操作者に貸与する。
4 情報保護管理者は、業務端末の住民基本台帳ネットワークシステム業務端末操作者名簿(様式第2号)を作成し、人事異動、組織変更、業務変更等により、情報保護管理者、業務端末操作者など名簿等に変更があったときは直ちにシステム管理者に報告するとともに、操作者識別カードが不要となった場合は操作者識別カードをシステム管理者に返却しなければならない。
5 業務端末操作者は、操作者識別カードに関し、次に掲げる事項を遵守しなければならない。
(1) 操作者識別カードを業務処理以外に使用しないこと。
(2) 操作者識別カードを紛失若しくはき損しないよう、又は盗難若しくは詐取にあわないよう高度の注意をもって管理すること。
(3) 操作者識別カードを紛失若しくはき損した場合、又は盗難若しくは詐取にあった場合は、直ちにシステム管理者に報告すること。
6 システム管理者は、操作者識別カードの紛失等の届出を受けた場合は、直ちに失効の手続を取らなければならない。
7 業務端末操作者は、使用の都度、情報保護管理者から操作者識別カードを借り受け、業務終了後直ちに返却しなければならない。
8 業務端末操作者は、離席するときは、操作者識別カードを業務端末から抜き取るものとする。
9 業務端末操作者は、操作者識別カードを第三者に貸与又は譲渡してはならない。
10 業務端末操作者は、他の職員の操作者識別カードを使用してはならない。
11 情報保護管理者は、業務端末の操作者識別カードの利用に関する検査を随時行わなければならない。
12 前項の検査は、システム管理者においてもできるものとし、この場合には、情報保護管理者は協力しなければならない。
13 情報保護管理者は、操作者識別カードの管理を主幹、副主幹若しくはこれと同等の職にある者に補助執行させることができる。
(オペレーティングシステムの管理)
第15条 システム管理者は、住基ネットに係る構成機器のオペレーティングシステムについて、次に掲げるセキュリティ対策を実施するものとする。
(1) ユーザIDに付与する権限を業務上必要最低限のものとすること。
(2) 操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないようにすること。
(3) ユーザID及びその権限について、定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除すること。
(パスワードの管理)
第16条 システム管理者は、業務端末の操作者識別カード及びオペレーティングシステムのパスワードに関し、業務端末操作者に次に掲げる事項を遵守させなければならない。
(1) パスワードを必要に応じて随時更新すること。
(2) 規則性のあるパスワード又は推測可能なパスワードを設定してはならないこと。
(3) パスワードを他に漏らしてはならないこと。
(4) パスワードを漏洩できる状態や第三者が知り得る状態においてはならないこと。
(5) パスワードを連続3回間違えた時は、ロックアウトになるよう設定すること。
(6) パスワードの有効期間を設けるとともに最低桁数等の制限を設定すること。
(業務端末の利用時間)
第17条 業務端末の利用時間は、月曜日から金曜日(国民の祝日に関する法律(昭和23年法律第178号)第2条に定める日、12月29日から翌年の1月3日までの日を除く。)までとし、その時間は午前8時30分から午後5時15分までとする。ただし、次の各号のいずれかに該当する場合は、この限りでない。
(1) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第17条第1項の規定による個人番号カードの交付に関して利用する場合
(2) 公職選挙法施行令(昭和25年政令第89号)第34条の2第2項の規定による証明書の交付に関して利用する場合
(3) 前2号のほか、市長が特に必要であると認める場合
(情報資産の管理)
第18条 住基ネットの情報資産(住基ネットに係るすべての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、次に掲げる管理を行うものとする。
(1) システム管理者は、業務端末に係る情報資産(本人確認情報が記載された帳票を含む。)を管理する。
(本人確認情報等の管理)
第19条 本人確認情報を取り扱う者は、本人確認情報の漏洩、滅失及びき損の防止その他の本人確認情報等の適切な管理を行うため、次に掲げる事項を遵守しなければならない。
(1) 本人確認情報が記載されている電子媒体、帳票を適正に管理し、又は廃棄すること。特に、電子媒体は、初期化してから廃棄するとともに、帳票は鍵のかかる場所、その他十分管理できる場所に保管し、シュレッダー又は溶解処理等により廃棄すること。
(2) 本人確認情報に関する秘密及び住基ネットのセキュリティに関する技術情報、パスワード、具体的な運用方法及びマニュアル等本人確認情報等の電子計算機処理に関する秘密を漏らさないこと。事務に従事していた者及び退職した者も同様とする。
(3) 業務上必要のない本人確認情報を検索、表示、保存又は印刷をせず、かつ、業務上必要のない帳票の出力(ハードコピーを含む。)を行わないこと。
(4) 長時間にわたり本人確認情報をディスプレイに表示したままの状態にしないこと。
(5) 業務端末のディスプレイが、窓口に来庁している市民等から見えないようにすること。
(6) 窓口でのデータ入力に際して、周囲に市民等がいるときは、住民票コード等を口に出さないこと。
(運用計画)
第20条 システム管理者は、運用計画を事前に作成し、進捗管理を行い、必要に応じ随時、計画の見直しを行うものとする。
(ドキュメントの管理)
第21条 システム管理者は、基本設計書、各種手引書及びマニュアル等のドキュメントを所定の場所に保管し、適正に管理するものとする。
(住民基本台帳カード及び個人番号カードの管理)
第22条 システム管理者は、住民基本台帳カード、個人番号カード及び帳票の保管及び管理について、次に掲げるセキュリティ対策を実施する。
(1) 住民基本台帳カード、個人番号カード及び帳票は、保管する数量及び内訳等を明らかにし、鍵のかかる場所、その他十分管理できる場所に保管し、焼却、溶解、裁断等により券面印刷の内容が判読できないように廃棄すること。
(2) 顔写真データは、登録又は申請取消後速やかに削除すること。
(3) 住民基本台帳カード及び個人番号カードの受渡しの際、カードの券面が来庁している市民から見えないようにすること。
(4) 電子ファイルでの顔写真の受領は行わないこと。
(住民基本台帳カード及び個人番号カードの暗証番号)
第23条 情報保護管理者は、担当職員及び来庁した市民に対し、次に掲げる事項を遵守させなければならない。
(1) 推測可能な暗証番号を設定してはならないこと。
(2) 暗証番号の入力は、原則として、申請者自身が行うこと。
(3) 暗証番号を慎重に入力させること。
(4) 住民基本台帳カード及び個人番号カードがロックされた場合は、本人確認を行ったうえで暗証番号を初期化し、再設定を行うこと。
(5) 住民基本台帳カード及び個人番号カードのカードリーダーライターへの抜き差しは、原則として、申請者自身が行うこと。
(緊急時対応計画)
第24条 住基ネットを構成するハードウェア、ソフトウェア及びネットワークの障害により住民サービスが停止する場合又は不正行為により本人確認情報に脅威を及ぼすおそれがある場合に、被害を未然に防ぎ、又は被害の拡大を防止し、早急な復旧を図るため、緊急時対応計画を定めるものとする。
附則
この訓令は、平成17年4月1日から施行する。
附則(平成20年訓令第11号)
この訓令は、平成20年3月26日から施行し、平成19年4月1日から適用する。
附則(平成27年訓令第29号)抄
(施行期日)
第1条 この訓令は、平成28年1月1日から施行する。ただし、第1条の規定は平成27年12月28日から施行する。
附則(平成31年訓令第6号)
この訓令は、平成31年4月1日から施行する。
附則(令和2年訓令第24号)
この訓令は、令和2年7月12日から施行する。
附則(令和4年訓令第5号)
この訓令は、令和4年4月1日から施行する。
附則(令和5年訓令第4号)
この告示は、令和5年4月1日から施行する。
