○伊勢市住民基本台帳ネットワークシステムの緊急時対応計画に関する規程
平成17年11月1日
訓令第28号
(目的)
第1条 この訓令は、伊勢市住民基本台帳ネットワークシステムに係るデータ保護管理規則(平成17年伊勢市規則第89号。以下「規則」という。)第27条の規定に基づき、伊勢市の住民基本台帳ネットワークシステム(以下「住基ネット」という。)における緊急時の対応に係る計画を策定し、及びその実施に関し必要な事項を定めることを目的とする。
(緊急時連絡網)
第3条 セキュリティ責任者(規則第6条に規定するセキュリティ責任者をいう。以下同じ。)は、住基ネットのセキュリティの確保に影響を及ぼすおそれが生じた場合には、市、三重県及び地方公共団体情報システム機構の住基ネットに係る電子計算機を運営する部署(以下「全国センター」という。)との間において緊急時の対応を円滑に行うために整備された緊急時連絡網(以下「緊急時連絡網」という。)を利用し、セキュリティの確保に関する事項について、三重県及び全国センターと連絡を行うものとする。
2 セキュリティ責任者は、緊急時連絡網を維持し、及び連絡の確保を図るために、次に掲げる事項を行う。
(1) セキュリティ責任者が不在の場合に緊急時連絡網を利用して連絡を行い、又は連絡を受ける住基ネットのセキュリティを確保するために必要な対策に係る職員(以下「セキュリティ担当者」という。)を指定すること。
(2) セキュリティ責任者及びセキュリティ担当者の氏名並びにこれらの者の業務時間中並びに夜間及び休日の連絡先電話番号を三重県へ通知すること。
(3) 緊急時連絡網に係る三重県の担当者の氏名並びにこの者の業務時間中並びに夜間及び休日の連絡先電話番号並びに緊急時連絡網に係る全国センターの連絡窓口及び時間外受付の電話番号の通知を三重県から受けること。
(不正行為の脅威度)
第4条 住基ネットにおいて、データの漏えい若しくはそのおそれ又は本人確認情報及び住民情報等(以下「本人確認情報等」という。)に脅威を及ぼすおそれを生じさせる行為(三重県、全国センター及び他の地方公共団体に対する行為であっても、住基ネットのセキュリティの確保に影響を及ぼすものを含む。)並びに本人確認情報等が不正に利用され、又は利用されるおそれを生じさせる行為(以下「不正行為」という。)のセキュリティに影響を及ぼす度合(以下「脅威度」という。)は、本人確認情報等に脅威を及ぼすおそれの有無等に応じて次のとおりとする。
脅威度 | 本人確認情報等の脅威 | 不正行為の内容又は態様等 |
レベル1 | 本人確認情報等に脅威を及ぼすおそれがない場合 | (1) コミュニケーションサーバを設置する室又はコミュニケーションサーバ端末を設置する場所に無権限者が侵入しようとしたにもかかわらず、当該室又は場所に侵入することができなかったもの (2) レベル2及びレベル3に該当しないもの |
レベル2 | 本人確認情報等に脅威を及ぼすおそれが低い場合 | (1) 本人確認情報等が記録されていない磁気ディスク又は本人確認情報等を保護する上で重要ではないソフトウェア若しくはドキュメント(システム設計書、プログラム説明書、事務説明書、コミュニケーションサーバ及びコミュニケーションサーバ端末の操作手引書その他の要領及び仕様を記した書類をいう。以下同じ。)等を保管する場所への無権限者の侵入 (2) ファイアウォールを通過しなかった不正アクセス (3) コンピューターウィルス対策ソフトウェアによるコンピューターウィルスの検出 (4) 前3号に掲げるもののほか、本人確認情報等に脅威を及ぼすおそれが低いもの |
レベル3 | 本人確認情報等に脅威を及ぼし、又は及ぼすおそれが高い場合 | (1) 本人確認情報等が記録されている磁気ディスク又は本人確認情報等を保護する上で重要なソフトウェア若しくはドキュメント等を保管する場所への無権限者の侵入 (2) ファイアウォールを通過した不正アクセス (3) 正当な権限によるものと確認することができないコミュニケーションサーバ端末等の操作 (4) コンピューターウィルスの侵入によるシステムの異常動作 (5) 本人確認情報等の不正利用又はそのおそれを生じさせるもの (6) 前各号に掲げるもののほか、本人確認情報等に脅威を及ぼし、又は及ぼすおそれが高いもの |
(システム管理者との連携)
第5条 セキュリティ責任者は、システム管理者(規則第5条に規定するシステム管理者をいう。以下同じ。)と連携の上、不正行為に係る情報を収集し、原因を解明し、及び不正行為に係る対応策を実施しなければならない。
(不正行為の状況の把握等)
第6条 セキュリティ責任者は、住民基本台帳に関する事務を担当する部署等において不正行為を発見した場合又は関係機関から不正行為に係る通報がなされた場合等は、状況を把握するため次に掲げる事項を行う。
(1) 不正行為に係る情報を、三重県、全国センター及び関係する地方公共団体(関係機関のうち、不正行為に係る通報を行った地方公共団体又は不正行為によりデータ若しくはシステムに影響を受ける地方公共団体をいう。以下同じ。)の担当者等を経由して集約すること。
(2) 関係機関又は関係するハードウェア製造業者、ソフトウェア開発業者及びシステムの運用支援委託業者(以下「ベンダー等」という。)の協力を得て、事実の調査及び分析を行うこと。
(3) 三重県、全国センター及び関係する地方公共団体並びにベンダー等と協力し、収集したシステムの記録等により、不正行為に関して原因の解明作業を実施すること。
(4) 不正行為の脅威度がレベル2又はレベル3に該当する可能性が高いと認めるときは、直ちにセキュリティ統括責任者(規則第3条に規定するセキュリティ統括責任者をいう。以下同じ。)に報告するとともに、三重県に通報し、並びに三重県に対して全国センターへの通報及び全国センターにおいても状況を把握することを要請すること。
(5) 前号の規定にかかわらず、必要と認める場合は、全国センターへの通報は、直接に行うこと。
(脅威度の判定等)
第7条 セキュリティ責任者は、システム管理者と連携し、不正行為の脅威度を判定する。
2 セキュリティ責任者は、前項の規定による判定をしたときは、その結果をセキュリティ統括責任者並びに三重県、全国センター及び関係する地方公共団体に報告するものとする。
(緊急の対応策等)
第8条 セキュリティ責任者は、関係機関及びベンダー等と連携し、住基ネットの運用について監視の強化等の緊急の対応策を実施する。
2 セキュリティ責任者は、関係機関において緊急の対応策を講ずる必要があると認める場合は、当該関係機関に緊急の対応策の実施を要請する。
(不正行為の脅威度がレベル2又はレベル3の措置)
第9条 セキュリティ責任者は、不正行為の脅威度がレベル2又はレベル3に該当すると判定した場合は、直ちにセキュリティ統括責任者にセキュリティ会議の開催を具申する。
2 セキュリティ統括責任者は、前項に規定する場合において、住民サービスに対する影響又は広報の必要が生ずる可能性が高いと認めるときは、セキュリティ会議において審議を求めなければならない。
3 セキュリティ統括責任者は、セキュリティ会議の開催と並行して不正行為に関して原因の解明作業及び対応策を実施することができる。
4 セキュリティ統括責任者は、セキュリティ会議において、関係機関等に対する要請、市の住基ネットの全部又は一部を停止する措置(以下「システムの停止の措置」という。)又は勧告を行うことが必要であると決定した場合は、市長にその旨を報告し、直ちに当該行為を行うことを要請する。
5 セキュリティ統括責任者は、セキュリティ会議を開催する暇がなく、直ちにシステムを緊急停止する必要があると判断した場合は、市長にシステムの停止の措置をとることを要請する。
6 セキュリティ統括責任者は、市長が前項の措置をとることができない場合には、当該措置をとるものとする。
(システムの停止の措置の解除)
第10条 システムの停止の措置の解除は、次に定めるところにより行う。
(1) セキュリティ責任者は、不正行為に関して原因等を解明し、本人確認情報等に脅威を及ぼすおそれがないと判断した場合は、セキュリティ統括責任者にセキュリティ会議の開催を具申する。
(2) セキュリティ統括責任者は、前号の規定により開催されたセキュリティ会議においてシステムの停止の措置の解除について審議を求める。
(3) セキュリティ統括責任者は、セキュリティ会議においてシステムの停止の措置を解除しても支障がないと決定した場合は、市長にその旨を報告する。
(4) セキュリティ責任者は、市長がシステムの停止の措置の解除をした場合は、三重県、全国センター及び関係する地方公共団体に連絡する。
(改善策の策定)
第11条 セキュリティ責任者は、システム管理者と連携し、不正行為に関して解明した原因等に基づき、恒久的な改善策を策定し、セキュリティ統括責任者へ当該改善策を報告する。
2 セキュリティ責任者は、前項の改善策において、関係機関又はベンダー等において恒久的な改善策を策定する必要があると認めるときは、これらの者にその旨を要請する。
(委任)
第12条 この訓令に定めるもののほか、住基ネットの緊急時対応計画の実施に関して必要な事項は、セキュリティ統括責任者が定める。
附則
この訓令は、平成17年11月1日から施行する。
附則(平成26年11月5日訓令第8号)
この訓令は、公表の日から施行する。
附則(平成27年10月5日訓令第7号)
この訓令は、公表の日から施行する。