2　基本方針が対象とする情報資産は、次に掲げるとおりとする。

2　CISOは、本市における全てのネットワーク、情報システム等の情報資産の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。

3　CISOは、必要に応じ、情報セキュリティに関する専門的な知識及び経験を有した専門家を最高情報セキュリティアドバイザーとして置き、その業務内容を定めるものとする。

2　情報セキュリティ責任者はCISOを補佐しなければならない。

3　情報セキュリティ責任者は、本市の全てのネットワークにおける開発、設定の変更、運用及び見直し等を行う権限及び責任を有する。

4　情報セキュリティ責任者は、本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任を有する。

5　情報セキュリティ責任者は、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。

6　情報セキュリティ責任者は、本市の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任を有する。

7　情報セキュリティ責任者は、本市の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任を有する。

8　情報セキュリティ責任者は、緊急時の円滑な情報共有を図るため、CISO、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

9　情報セキュリティ責任者は、緊急時にはCISOに早急に報告を行うとともに、回復のための対策を講じなければならない。

10　情報セキュリティ責任者は、本市が所有している情報システムについて、緊急時における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。

2　情報セキュリティ管理者はその所管する課等の情報セキュリティ対策に関する権限及び責任を有する。

3　情報セキュリティ管理者は、その所掌する課等において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合には、情報セキュリティ責任者及びCISOへ速やかに報告を行い、指示を仰がなければならない。

2　情報システム管理者は、所管する情報システムにおける開発、設定の変更、運用及び見直し等を行う権限及び責任を有する。

3　情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。

4　情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う。

2　委員長はCISO、副委員長は、情報セキュリティ責任者をもって充てる。

3　委員は、光市情報通信・コミュニケーション技術推進要綱(平成17年光市訓令第20号)第4条に定めるICT推進員をもって充てる。

4　委員会の任務は、次に掲げる事項の審議とする。

2　監査を受ける者とその監査を実施する者は、やむを得ない場合を除き、同じ者が兼務してはならない。

2　CSIRTは、責任者を情報セキュリティ責任者とし、構成員は情報担当職員をもって充てる。

3　CSIRTは、情報セキュリティ委員会による情報セキュリティに関する重要な事項の意思決定が行われた際には、その内容を関係部局等に提供する。

4　CSIRTは、情報セキュリティインシデントを認知した場合には、その重要度及び影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。

5　CSIRTは、情報セキュリティに関して、関係機関、他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署及び外部の事業者等との情報共有を行う。

2　職員等は、情報資産が複製又は伝送(以下「複製等」という。)された場合には、複製等した情報資産についても、前条の分類に基づき管理しなければならない。

2　情報を作成する者は、情報の作成時に第19条の分類に基づき、当該情報の分類と取扱制限を定めなければならない。

3　情報を作成する者は、作成途上の情報についても、紛失及び流出等を防止しなければならない。また、情報の作成途上で不要になった場合は、当該情報を消去しなければならない。

2　職員等以外の者が作成した情報資産を入手した者は、第19条の分類に基づき、当該情報の分類及び取扱制限を定めなければならない。

3　情報資産を入手した者は、入手した情報資産の分類が不明な場合、情報セキュリティ管理者に判断を仰がなければならない。

2　情報資産を利用する者は、情報資産の分類に応じ、適正な取扱いをしなければならない。

3　情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合、最高度の分類に従って、当該電磁的記録媒体を取り扱わければならない。

2　情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。

3　情報セキュリティ管理者又は情報システム管理者は、利用頻度が低い電磁的記録媒体又は情報システムのバックアップで取得したデータを記録する電磁的記録媒体を長期保管する場合には、自然災害を被る可能性が低い地域に保管しなければならない。

4　情報セキュリティ管理者又は情報システム管理者は、重要性分類Ⅱ以上の情報を記録した電磁的記録媒体を保管する場合、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

2　重要性分類Ⅱ以上の情報資産を運搬する者は、別に定める基準により、情報セキュリティ管理者に許可を得なければならない。

2　重要性分類Ⅱ以上の情報資産を外部に提供する者は、情報セキュリティ管理者に許可を得なければならない。

3　情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

2　情報資産の廃棄を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3　情報資産の廃棄を行う者は、情報セキュリティ管理者の許可を得なければならない。

2　情報セキュリティ責任者は、マイナンバー利用事務系における情報の持ち出し不可設定として、原則、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。

2　情報セキュリティ責任者は、都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁や都道府県等と連携しながら、情報セキュリティ対策を推進しなければならない。

2　情報システム管理者は、主系サーバに障害が発生した場合に、速やかに待機系サーバを起動し、システムの運用停止時間を最小限にしなければならない。

2　情報システム管理者は、情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

2　情報セキュリティ責任者及び情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合、連携して対応しなければならない。

3　情報セキュリティ責任者及び情報システム管理者は、ハブ、スイッチのポート等ネットワーク接続口を他者が容易に接続できない場所に設置する等適正に管理しなければならない。

4　情報セキュリティ責任者及び情報システム管理者は、自ら又は情報システム担当者及び契約により操作を認められた外部委託事業者以外の者が配線を変更及び追加できないように必要な措置を施さなければならない。

2　情報システム管理者は、電磁的記録媒体を内蔵する機器を外部の事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、情報システム管理者は、外部の事業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するほか、秘密保持体制の確認などを行わければならない。

2　セキュリティ責任者及び情報システム管理者は、管理区域を地階又は1階に設けてはならない。

3　セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアを必要最小限とし、鍵又は監視機能等によって許可されていない立入りを防止しなければならない。

4　情報セキュリティ責任者及び情報システム管理者は、情報システム室内の機器等に、転倒及び落下防止等の耐震対策、防火対策及び防水対策等を講じなければならない。

5　情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域を囲む外壁等の床下開口部を全て塞がなければならない。

6　情報セキュリティ責任者及び情報システム管理者は、管理区域に配置する消火薬剤及び消防用設備等が、機器等及び電磁的記録媒体に影響を与えない様にしなければならない。

2　職員等及び外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。

3　情報システム管理者は、外部からの訪問者が管理区域に入る場合には、必要に応じて立ち入り区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。

4　情報システム管理者は、重要性分類Ⅱ以上の情報資産を扱うシステムを設置している管理区域について、当該情報システムに関連しないコンピュータ、モバイル端末、通信回線装置及び電磁的記録媒体等を持ち込ませないようにしなければならない。

2　情報システム管理者は、情報システム室の機器等の搬入出について、職員等を立ち会わせなければならない。

2　情報セキュリティ管理者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

3　情報セキュリティ責任者は、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。

4　情報セキュリティ管理者は、重要性分類Ⅱ以上の情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信させる情報の暗号化を行わければならない。

5　情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上の情報が、破壊、盗聴、改ざん及び消去等しないよう、十分なセキュリティ対策を実施しなければならない。

6　情報セキュリティ責任者は、重要性分類Ⅱ以上の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択しなければならない。また、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。

2　情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、生体認証等複数の認証情報の入力を必要とするように努めることとする。

3　情報システム管理者は、端末の電源起動時のBIOSパスワード又はハードディスクパスワード等を併用するよう努めることとする。

4　情報システム管理者は、取り扱う情報の重要度に応じてパスワード以外にICカード、指紋認証等の二要素認証を併用するよう努めることとする。

5　情報システム管理者は、パソコン等におけるデータの暗号化等の機能を有効に利用しなければならない。また、端末にセキュリティチップが搭載されている場合、その機能を有効に活用しなければならない。同様に、電磁的記録媒体についてもデータ暗号化機能を備える媒体を使用しなければならない。

6　情報システム管理者は、モバイル端末の庁外での業務利用の際は、上記対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。

2　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

3　CISOは、重要性分類Ⅱ以上の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

4　職員等は、本市のモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報セキュリティ管理者の許可を得なければならない。

5　職員等は、外部で情報処理業務を行う場合には、情報セキュリティ管理者の許可を得なければならない。

6　職員等は、外部で情報処理作業を行う際、情報セキュリティ責任者又は情報セキュリティ管理者が業務のために用意した(以下「支給」という。)以外のパソコン等を用いる場合には、情報セキュリティ管理者の許可を得た上で、安全管理措置を遵守しなければならない。また、重要性分類Ⅰの情報資産については、支給以外のパソコン等による情報処理を行ってはならない。

7　職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、業務上必要な場合は、情報セキュリティ管理者の許可を得て利用することができる。

8　職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を用いる場合には、情報セキュリティ管理者の許可を得た上で、第3項に定める安全管理措置を遵守しなければならない。

9　情報セキュリティ管理者は、パソコン等の持ち出し及び持ち込みについて、記録を作成し、保管しなければならない。

10　職員等は、パソコン等のソフトウェアに関するセキュリティ機能の設定を、情報セキュリティ管理者の許可なく変更してはならない。

11　職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時のパソコン等のロック並びに電磁的記録媒体及び文書等が容易に閲覧されない場所への保管等、適正な措置を講じなければならない。

12　職員等は、異動及び退職等により業務を離れる場合には、利用していた情報資産を、返却しなければならない。また、その後も業務上知り得た情報を漏らしてはならない。

2　情報セキュリティ管理者は、会計年度任用職員等の採用の際、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

3　情報セキュリティ管理者は、会計年度任用職員等にパソコン等による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合、これらを利用できないようにしなければならない。

2　研修計画においては、職員等は、毎年度最低1回は情報セキュリティ研修を受講できるようにしなければならない。

3　情報セキュリティ責任者は、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。

4　研修は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

5　CISOは、毎年度1回、情報セキュリティ委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。

2　報告を受けた情報セキュリティ管理者は、CSIRTに報告しなければならない。

3　CSIRTの責任者である情報セキュリティ責任者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISOに報告しなければならない。

2　報告を受けた情報セキュリティ管理者は、CSIRTに報告しなければならない。

3　CSIRTの責任者である情報セキュリティ責任者は、報告のあった情報セキュリティインシデントについて、必要に応じてCISOに報告しなければならない。

4　CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民その他外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

2　CISOは、情報セキュリティ責任者から、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　情報セキュリティ責任者は、ファイルサーバを課室等の単位で構成し、職員等が他課室等のフォルダ及びファイルを閲覧及び使用できないように、設定しなければならない。

3　情報セキュリティ責任者は、住民の個人情報、人事記録その他特定の職員等しか取扱えないデータについて、別途フォルダを作成する等の措置を講じ、同一課室等であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。

2　情報セキュリティ責任者及び情報システム管理者は、所管するシステムにおいて、システム変更作業を行った場合は、作業内容について記録を作成し、詐取及び改ざん等をされないように適正に管理しなければならない。

3　情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた外部委託事業者がシステム変更作業を行う場合は、2人以上で作業し、互いにその作業を確認しなければならない。

2　情報セキュリティ責任者及び情報システム管理者は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。

3　情報セキュリティ責任者及び情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入及び不正操作等の有無について点検又は分析を実施しなければならない。

2　情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。

2　情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成及びセキュリティ技術等を詳細に調査し、庁内の全てのネットワーク及び情報システム等の情報資産に影響が生じないことを確認しなければならない。

3　情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊又は改ざん若しくはシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

4　情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォールを外部ネットワークとの境界に設置した上で接続しなければならない。

5　情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

2　情報セキュリティ責任者は、複合機が備える機能について適正な設定等を行うことにより運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

3　情報セキュリティ責任者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消又は再利用できないようにする対策を講じなければならない。

2　情報セキュリティ責任者は、重要性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化、アクセス制御(以下「暗号化等」という。)の措置を講じなければならない。

2　情報セキュリティ責任者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。

3　情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

4　情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

5　情報セキュリティ責任者は、システム開発、運用又は保守等のため庁舎内に常駐している外部委託事業者の作業員による電子メールアドレス利用について、外部委託事業者との間で利用方法を取り決めなければならない。

6　情報セキュリティ責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等によりシステム上措置しなければならない。

2　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

3　職員等は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスが分からないようにしなければならない。

4　職員等は、重要な電子メールを誤送信した場合、情報セキュリティ管理者に報告しなければならない。

5　職員等は、ブラウザ上でメールの送受信ができるフリーメール及び認められていないネットワークストレージサービス等を使用してはならない。

2　職員等は、暗号化を行う場合にCISOが定める以外の方法を用いてはならない。また、CISOが定めた方法で暗号のための鍵を管理しなければならない。

2　職員等は、業務上の必要がある場合は、情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、情報セキュリティ管理者又は情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。

3　職員等は、不正にコピーしたソフトウェアを利用してはならない。

2　職員等は、業務上、支給パソコン等に対し機器の改造等を行う必要がある場合には、情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。

2　情報セキュリティ責任者は、職員等のウェブサイト利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し適正な措置を求めなければならない。

2　職員等は、市の定める利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施するものとする。

3　職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずるものとする。

4　職員等は、外部からWeb会議に招待される場合は、必要に応じて利用申請を行い、承認を得なければならない。

2　重要性分類Ⅱ以上の情報はソーシャルメディアサービスで発信してはならない。

3　利用するソーシャルメディアサービスごとの責任者を定めなければならない。

4　アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。

2　職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、情報セキュリティ責任者又は情報システム管理者に通知しなければならない。

3　情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

2　情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、情報セキュリティ責任者及び情報システム管理者が指名し、CISOが認めた者でなければならない。

3　CISOは、代行者を認めた場合、速やかに情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に通知しなければならない。

4　情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせてはならない。

5　情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、職員等のパソコン等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。

6　情報セキュリティ責任者及び情報システム管理者は、特権を付与されたIDを初期設定以外のものに変更しなければならない。

2　情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3　情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

4　情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

5　情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するモバイル端末を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

6　職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認し、情報セキュリティ管理者の許可を得て接続しなければならない。

7　情報セキュリティ責任者は、職員等が外部から内部のネットワーク又は情報システムにアクセスする場合、公衆通信回線(公衆無線LANを含む。)の庁外通信回線を庁内ネットワークに接続することは原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID及びパスワード、生体認証に係る情報等の認証情報及びこれらを記録したICカード、トークン等の媒体(以下「ICカード等」という。)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

2　情報セキュリティ責任者又は情報システム管理者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

3　情報セキュリティ責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。

2　情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

2　情報システム管理者は、システム開発の責任者及び作業者のアクセス権限を設定しなければならならない。

2　情報システム管理者は、利用を認めたソフトウェア以外のソフトウェアが導入されている場合、当該ソフトウェアをシステムから削除しなければならない。

2　情報システム管理者は、システム開発・保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。

3　情報システム管理者は、移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

4　情報システム管理者は、導入するシステム及びサービスの可用性が確保されていることを確認した上で導入しなければならない。

2　情報システム管理者は、運用テストを行う場合、あらかじめ擬似環境による操作確認を行わなければならない。

3　情報システム管理者は、個人情報及び機密性の高いシステム運用環境で使用しているデータを、テストデータに使用してはならない。

4　情報システム管理者は、開発したシステムについて受け入れテストを行う場合、開発した組織と導入する組織が、それぞれ独立したテストを行わなければならない。

2　情報システム管理者は、テスト結果を一定期間保管しなければならない。

3　情報システム管理者は、情報システムに係るソースコードを適正な方法で保管しなければならない。

2　情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合に、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

3　情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

2　情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。

3　情報セキュリティ責任者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境又は技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

2　情報セキュリティ責任者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

3　情報セキュリティ管理者は、外部と常時接続するシステムを常時監視しなければならない。

2　CISOは、発生した問題について、適正かつ速やかに対処しなければならない。

3　情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適正かつ速やかに対処しなければならない。

2　違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると情報セキュリティ責任者が判断した場合において、職員等は緊急時対応計画に従って適正に対処しなければならない。

2　緊急時対応計画には、次に掲げる事項を定めなければならない。

3　自然災害及び大規模・広範囲にわたる疾病等に備えて別途業務継続計画を策定し、情報セキュリティ委員会は当該計画と情報セキュリティポリシーの整合性を確保しなければならない。

4　CISO又は情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化又は組織体制の変動に応じ、必要に応じて緊急時対応計画の規定を見直さなければならない。

2　情報セキュリティ管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後速やかにCISOに報告しなければならない。

3　CISOは、例外措置の申請書及び審査結果を適正に保管し、定期的に申請状況を確認しなければならない。

2　職員等の情報セキュリティポリシーに違反する行動を確認した場合には、速やかに次の措置を講じなければならない。

2　情報セキュリティ管理者は、情報セキュリティ・マネジメントシステムの国際規格の認証取得状況及び情報セキュリティ監査の実施状況等を参考にして、事業者を選定しなければならない。

2　情報セキュリティ管理者は、外部サービスの中断や終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めるものとする。

3　情報セキュリティ管理者は、外部サービスの利用を通じて市が取り扱う情報の格付等を勘案し、必要に応じて以下の内容を外部サービス提供者の選定条件に含めるものとする。

4　情報セキュリティ管理者は、外部サービスの利用を通じて市が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて市の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めるものとする。

5　情報セキュリティ管理者は、外部サービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を市に提供し、市の承認を受けるよう、外部サービス提供者の選定条件に含めるものとする。

6　情報セキュリティ管理者は、取り扱う情報の格付及び取扱い制限に応じてセキュリティ要件を定め、外部サービスを選定すること。また、外部サービスのセキュリティ要件としてセキュリティに係る国際規格等と同等以上の水準を求めるものとする。

7　情報セキュリティ管理者は、外部サービスの特性を考慮した上で、外部サービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、セキュリティ要件を定めるものとする。

8　情報セキュリティ管理者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的・客観的に評価し判断するものとする。

2　情報セキュリティ管理者は、外部サービスを調達する場合は、外部サービス提供者及び外部サービスが調達仕様を満たすことを契約までに確認し、調達仕様の内容を契約に含めるものとする。

2　情報セキュリティ管理者は、前項の規定による規定に対し、構築時に実施状況を確認・記録するものとする。

2　情報セキュリティ管理者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスで発生したインシデントを認知した際の対処手順を整備するものとする。

3　情報セキュリティ管理者は、前各項において定める規定に対し、運用・保守時に実施状況を定期的に確認・記録するものとする。

2　情報セキュリティ管理者は、前項において定める規定に対し、外部サービスの利用終了時に実施状況を確認・記録するものとする。

2　情報セキュリティ監査統括責任者は、監査を実施する場合には、非監査部門から独立したものに対して、監査の実施を依頼しなければならない。

3　監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

4　情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

5　被監査部門は、監査の実施に協力しなければならない。

6　外部委託事業者に委託している場合、情報セキュリティ監査統括責任者は、外部委託事業者から下請けとして受託している事業者も含めて、情報セキュリティポリシーの遵守について監査を定期的に、又は必要に応じて行わなければならない。

7　情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告しなければならない。

8　情報セキュリティ監査統括責任者は、監査の実施を通じて収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適正に保管しなければならない。

9　CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。

10　情報セキュリティ委員会は、監査結果を情報セキュリティポリシー及び関係規定等の見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

2　情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。

3　情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果及び自己点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

4　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

5　情報セキュリティ委員会は、この点検結果を情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。

この訓令は、平成28年1月1日から施行する。

この訓令は、平成31年4月1日から施行する。

この訓令は、令和2年4月1日から施行する。

この訓令は、令和4年4月1日から施行する。

この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。

この訓令は、令和5年4月3日から施行する。