○亘理町住民基本台帳ネットワークシステム情報資産管理規程

平成14年8月5日

訓令第3号

(情報資産管理)

第1条 住民基本台帳ネットワークシステムの情報資産(住民基本台帳ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)について、管理責任者を置く。

2 前項の情報資産のうち本人確認情報、当該本人確認情報が記録されたサーバに係る帳票及び個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、町民生活課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、企画課長をもって充てる。

(本人確認情報管理責任者)

第2条 本人確認情報管理責任者は、本人確認情報を取り扱うことができるものを指定するとともに、当該本人確認情報の漏えい、滅失及びき損の防止その他の当該本人確認情報の適切な管理のための必要な措置をとらなければならない。

2 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票及び個人番号カードの管理方法を定めるものとする。この場合において、管理方法の詳細は、亘理町住基ネット本人確認情報取扱手順書に記載する。

(情報資産管理責任者)

第3条 情報資産管理責任者は、当該情報資産の管理方法(操作者の指定を含む。)を定めるものとする。

2 情報資産管理責任者は住民基本台帳ネットワークシステムを利用する関係課長等と協議して、その業務運営計画を定めるものとする。

(情報資産管理責任者の業務)

第4条 情報資産管理責任者は、情報資産を管理する区分毎に明確化する(以下「構成管理」という。)とともに、それぞれの区分毎に以下の内容を規定する。

(1) 情報資産の障害に関すること

(2) 情報資産の保守に関すること

(3) 情報資産の性能に関すること

(構成管理区分の明確化)

第5条 情報資産を管理する区分を以下のように明確化する。

(1) ハードウェアに関する情報資産

(2) ソフトウェアに関する情報資産

(3) ネットワークに関する情報資産

(4) その他の情報資産

(導入、移設、廃棄等移管処理手順)

第6条 情報資産管理責任者は、情報資産の導入、移設、廃棄等移管処理を行う場合の手順を作成する。

(情報資産の管理方法)

第7条 情報資産管理責任者は、情報資産管理簿を作成する。情報資産管理簿においては変更履歴を記録する。また、不要な機械等の持ち込みがなされないような措置を講じる。

(情報資産の検査)

第8条 情報資産管理責任者は、情報資産が適正に管理されているかどうかを確認するための方策を講じる。

(ハードウェアの管理)

第9条 情報資産管理責任者は、ハードウェアの障害に備え、関連機関等への連絡網を整備し、障害が発生した場合の「対応手順」を整備し、関係者に対し「障害防止策」及び「対応手順」を周知徹底する。

(1) 障害が発生した場合には、障害情報の把握及び障害対応を行い、重大な障害については緊急時対応計画書に基づいて対応し、障害が発生しないよう防止対策を講じるとともに、対策が適正に実施されているか確認を行う。

(2) 保守対象機器を明確にし、保守対象機器については、継続して機器が使用できるように必要な措置を講じなくてはならない。

(3) 保守の作業の実施時において、データの抹消、漏えい等が発生しないよう、防止策を施すとともに保守作業の結果については、必ず報告することを義務付ける。

(4) ハードウェアの利用状況を定期的に分析し、その分析結果に基づき、ハードウェアの適正な設置を図るとともにハードウェアの導入を計画的に行う。

(5) ハードウェアの能力は、ピーク時に対処できるものとするが、運用で対応する方策も併せて実施し、機器の導入が過剰とならないよう配慮する。

(ソフトウェアの管理)

第10条 情報資産管理責任者は、ソフトウェアの障害に関する対策を実施する。

(1) ソフトウェアの障害管理は、主にコンピュータウィルス対策について行い、その対策は、「コンピュータウィルス対策基準」等の基準を考慮して行う。

(2) コンピュータウィルスに感染した場合には、適切な対応措置を講じて、被害状況を指定情報処理機関、情報処理振興事業協会等に報告し、今後の対応策についての検討を行う。

(3) ソフトウェアのバージョン管理については、指定情報処理機関の指示に従い実施し、許可なくバージョンアップを行ったり、指示に従わず作業を怠ってはならない。ただし、個別調達機器に関しては、この限りではない。

(4) ソフトウェアのバックアップは、不測事態、障害対応に対しても有効であり業務内容及び処理形態に応じて、バックアップの範囲、記録する磁気ディスクの保管方法について定める。

(5) ソフトウェアの性能に関する管理を実施する。ただし、住基ネットで使用するソフトウェアの「指定情報処理機関一括調達ソフト」「業務アプリケーション」及び「その他に指定情報処理機関が指示するソフトウェア」の性能管理については、指定情報処理機関で行う。

(6) 業務端末等に、各団体で開発又は購入するソフトウェアを導入する場合には、事前に、性能に関する調査を行い導入の是非を検討する。

(ネットワークの管理)

第11条 情報資産管理責任者は、ネットワークの障害発生の検出、障害発生時対処、障害改修までのフォローアップ、障害直後対応(二次障害防止・障害範囲拡大防止・障害の切り分け)、障害運転時対応(代替運転・縮退運転)、状況に応じた復旧作業、障害原因の調査、障害改修後対応(障害内容の報告・同様障害再発防止策立案・実施)について、必要な措置を講じる。

(1) 障害予測、定期診断、ログの調査・解析を行いシステムの継続性の向上に努める。

(2) 円滑な運用を確保するため、ハードウェア資源の利用状況、回線トラフィック状況等を勘案して適時、資源の配分について見直しを行う。

(3) ネットワークの運用保守等のためネットワークを停止するときは、あらかじめ、住基ネットを利用する部署及び指定情報処理機関に通知するものとする。ただし、ネットワークの保守等の作業を緊急に行う必要がある場合や災害、停電等によりネットワークの利用に影響がある場合等において、住基ネットを利用する部署に通知するのに十分な時間がないと判断するときには、情報資産管理責任者の判断で、ネットワークを停止することができる。

(4) 性能情報及び統計資料の収集と蓄積を行い、蓄積した性能情報の解析を行う。その解析結果に基づき、パフォーマンス上のボトルネックを検出し、ボトルネックがある場合には、改善措置を講じる。

(5) ネットワーク拡張、又は、縮小を行う際には、計画の立案を行い、住基ネット事務の運用への影響を最小限にして、実施する。さらに、必要がある場合には、ネットワーク性能維持のため規則を作成し、操作者に周知する。

(その他の情報資産の管理)

第12条 情報資産管理責任者は、必ず、施錠できる保管庫で耐タンパー装置用セットアップディスクを管理しなければならない。

(1) 耐タンパー装置用パスワードを適正に管理しなければならない。

(2) 基本設計書、各種手引書、マニュアル等のドキュメントは、本人確認情報の記載がない場合であっても、管理の対象とし、情報資産管理責任者は、個人番号カード等と同様の管理を行うほか、委託事業者(2以上の段階にわたる委託事業者を含む。)に関係ドキュメントを貸与する場合には、貸し出しについても適正に管理し、契約書等で取扱いに関する事項を決定しておく。

(3) 機器の故障等により磁気ディスクを廃棄する場合、その機器に存在する情報が、廃棄する過程において第三者に入手されることを防ぐために、記録された情報を読み出させないような措置を施す必要がある。例えば、磁気ディスクの物理的破壊、専用ソフトを使用したデータ消去など、情報を復元できないような処理を実施する。また、廃棄にあたっては、情報資産管理責任者の承認を得て行う。

(4) 機器の廃棄又は修理に関し委託(2以上の段階にわたる委託を含む。)をする場合は、委託先に本人確認情報の保護にかかる責務を課すことを契約条項に入れる。契約条項の内容は、「受託業務の処理を完了したときは、本人確認情報(複写又は複製したものを含む)を返還又は確実に削除すること。」等である。

(5) 耐タンパー装置を廃棄する場合は、情報資産管理責任者が必ず内部の重要情報の消去確認を行う。廃棄処分に関し委託(2以上の段階にわたる委託を含む。)をする場合は、情報資産管理責任者が実際に最終処分が行われたかどうかの確認を必ず行うこと。

(6) リース物件の耐タンパー装置は、リース契約の期間終了時には、リース会社に返却することとなるので、契約終了時には確実に廃棄するような措置を講じることを契約条項に必ず入れるものとする。

(業務運営計画の作成)

第13条 情報資産管理責任者は、住基ネットを利用する部署と協議のうえ、以下の各計画について、事前に作成すること。

(1) 要員計画 一定期間ごとに要員配置計画を策定する。

(2) 運行計画 通常期・ピーク時・大量データ取扱い時のスケジュールをあらかじめ作成する。また、年次・月次・週次・日次ごとの作業項目、運用時間を決定する。

(3) バックアップの処理計画 バックアップの処理に関して、必要な事項を定める。

(4) 緊急時対応計画 緊急時の対応のために、緊急時対応手順の明確化、緊急時連絡体制の確認、緊急時対応手順の周知を行う。

(5) 計画の見直し等 業務運営に関する各計画の見直しを必要に応じて行う。また、障害が発生する確率を下げるために、業務運営品質の向上対策、業務運営ミスの原因分析、再現防止策の策定・実施・評価を行う。

この訓令は、平成14年8月5日から施行する。

(平成18年9月29日訓令第3号)

この訓令は、平成18年10月1日から施行する。

(平成27年12月1日訓令第12号抄)

(施行期日)

第1条 この訓令は、平成28年1月1日から施行する。ただし、第1条及び第3条の規定は、平成27年12月1日から施行する。

(亘理町住民基本台帳ネットワークシステム情報資産管理規程の一部改正に伴う経過措置)

第2条 平成28年1月1日から平成37年12月27日までの間における第4条の規定による改正後の亘理町住民基本台帳ネットワークシステム情報資産管理規程(以下この条において「改正後の規程」という。)第1条第2項及び第2条第2項の規定の適用については、これらの規定中「及び個人番号カード」とあるのは「、住民基本台帳カード及び個人番号カード」とし、改正後の規程第12条第2号の規定の適用については、同号中「個人番号カード等」とあるのは「住民基本台帳カード及び個人番号カード等」とする。

(平成31年3月29日訓令第4号)

この訓令は、平成31年4月1日から施行する。

(令和2年3月31日訓令第3号)

この訓令は、令和2年4月1日から施行する。

亘理町住民基本台帳ネットワークシステム情報資産管理規程

平成14年8月5日 訓令第3号

(令和2年4月1日施行)