○県央県南広域環境組合情報セキュリティ対策規程
令和3年3月31日
訓令第1号
(目的)
第1条 この規程は、組合が保有する情報資産のセキュリティ対策(以下、「情報セキュリティ対策」という。)に関する基本的事項を定め、もって当該情報資産の機密性、完全性及び可用性を維持することを目的とする。
(1) 情報システム コンピュータ、ネットワーク及び記録媒体で構成され、ハードウェア及びソフトウェアによりデータ処理又は通信処理を行う仕組みをいう。
(2) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器等(ハードウェア及びソフトウェア)をいう。
(3) 情報資産 コンピュータ及び情報システム並びにネットワークにより処理されるすべての情報、その他情報システムに関連する施設・設備等であって、第4条に規定するものをいう。
(4) アクセス 情報システムを利用し情報資産を取り扱うことをいう。
(5) 脅威 情報資産の機密性、完全性及び可用性を害するおそれのある行為又は自然災害等の事象であって、第5条に規定するものをいう。
(6) 機密性 情報資産にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(7) 完全性 情報資産が破壊、改ざん又は消去されていない状態を確保することをいう。
(8) 可用性 情報資産にアクセスすることを認められた者が、必要な時に中断されることなく、情報にアクセスできる状態を確保することをいう。
(9) 情報セキュリティ対策基準 情報セキュリティ対策を実施するために第14条の規定に基づき策定する具体的な基準であって、社会状況の変化を的確に反映させたものをいう。
(10) 情報セキュリティ実施手順 第15条の規定に基づき策定する情報セキュリティ対策を実施するための具体的な処理手順をいう。
(対象者)
第3条 この規程は、組合が保有する情報資産を取り扱うすべての職員等(地方公務員法(昭和25年法律第261号)第3条に規定する一般職及び特別職の職員をいう。以下同じ。)に適用する。
(情報資産の範囲)
第4条 この規程において対象となる情報資産は、次のとおりとする。
(1) 情報システム及びネットワークで取り扱う情報(紙等の有体物に出力された情報も含む。)
(2) 情報システム及びネットワーク並びにこれらに関する施設・設備又は電磁的記録媒体
(3) 情報システムの仕様書及びネットワーク図等のシステム関連文書
(情報資産への脅威)
第5条 情報セキュリティ対策で想定する脅威は、次のとおりとする。
(1) 部外者の侵入、不正アクセス、ウィルス攻撃、サービス不能攻撃等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去
(2) 情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、プログラム上の欠陥、操作ミス、故障等の非意図的要因による情報資産の漏えい・破壊・消去
(3) 地震、落雷、火災、その他の災害又は情報資産の障害若しくは故障による情報システムの停止
(情報セキュリティ対策組織)
第6条 情報セキュリティ対策を総合的に実施するため、情報資産管理者、情報システム管理者及び情報資産取扱責任者を置く。
2 情報資産管理者は、事務局長をもって充てる。
3 情報システム管理者は、総務課長をもって充てる。
4 情報資産取扱責任者は、情報資産を取り扱う課の長をもって充てる。
(情報資産管理者の職務)
第7条 情報資産管理者は、情報セキュリティ対策を統括し、その職務は、次に掲げるとおりとする。
(1) 本組合におけるすべての情報システム及びネットワーク等の情報資産の管理及び情報セキュリティ対策についての指揮監督及び最終決定を行う。
(2) 情報セキュリティ対策基準及び情報セキュリティ実施手順を定め、情報セキュリティ対策を実施する。また、必要に応じて見直しを行う。
(3) 本組合の情報資産に対する侵害が発生した場合又は発生するおそれがある場合に、情報システム管理者に指示し措置を行わせる。
(情報システム管理者の職務)
第8条 情報システム管理者の職務は、次に掲げるとおりとする。
(1) 情報資産管理者を補佐する。
(2) 情報セキュリティ対策の維持・管理を行う。
(3) 情報資産管理者に対して情報セキュリティに関する助言を行う。
(4) 本組合の全体的な情報システム及びネットワーク等の開発、設定の変更、運用、見直しを行う。
(5) 情報資産取扱責任者が所管する業務情報システム及びネットワーク等の開発、設定の変更、運用、見直しについて、情報資産取扱責任者に対して指導及び助言を行う。
(6) 本組合の全体的な情報資産に対する侵害が発生した場合又は発生するおそれがある場合に、情報資産管理者に遅滞なく報告するとともに、その指示に従い、必要かつ十分な措置を行う。
(7) 情報資産取扱責任者が取り扱う情報資産に対する侵害が発生した場合又は発生するおそれがある場合に、情報資産取扱責任者に指示を行い、必要かつ十分な措置を行わせる。
(8) 情報セキュリティ対策基準及び情報セキュリティ実施手順の遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。
(情報資産取扱責任者の職務)
第9条 情報資産取扱責任者の職務は、次に掲げるとおりとする。
(1) 情報資産の取扱について、情報資産取扱責任者が所管する課の職員等に情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守させる。
(2) 情報資産取扱責任者が所管する課の業務情報システム及びネットワーク等の開発、設定の変更、運用、見直しを行う。また、必要に応じて情報システム管理者にそれらを委任することができる。
(3) 情報資産取扱責任者は、その所管する課で取り扱う情報資産に対する侵害が発生した場合又は侵害のおそれがある場合に、情報システム管理者に遅滞なく報告し、また必要に応じ情報資産管理者に報告するとともに、情報システム管理者の指示に従い、必要かつ十分な措置を行う。
(情報資産の分類)
第10条 情報セキュリティ対策は、対象となる情報資産の重要度に応じて分類し、必要に応じ取扱制限を行うものとする。
(1) 物理的対策 情報システムを設置する施設への不正な立ち入り、情報資産の無断持ち出し若しくは破壊等の物理的な侵害から情報資産を保護するための物理的な対策
(2) 人的対策 情報セキュリティ対策に関する権限や責任を定め、職員等にこの規程、情報セキュリティ対策基準及び情報セキュリティ実施手順の内容を周知徹底する等十分な教育及び啓発のための対策
(3) 技術的対策 情報資産を外部からの不正アクセス等から適切に保護するための技術的な対策
(4) 管理運用対策 この規程の遵守状況の確認、データの外部提供(第4条第1項に規定する情報を組合以外の者に提供することをいう。)に関する手続その他の情報セキュリティに関する運用面の対策及び緊急事態が発生した場合に迅速な対応をするための危機管理対策
(職員等の責務)
第12条 職員は、情報セキュリティ対策の重要性について認識し、情報セキュリティ対策基準及び情報セキュリティ実施手順を遵守し、情報資産を適正に取り扱わなければならない。
2 職員等は、職務の遂行において取り扱う情報資産を保護するため、次に掲げる法令のほか関係法令等を遵守しなければならない。
(1) 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
(2) 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
(3) 県央県南広域環境組合個人情報保護条例(平成25年県央県南広域環境組合条例第3号)
3 職員等は、組合が保有する情報資産の取り扱いを外部に委託する場合は、当該委託を受けた者に対し、契約書等により情報セキュリティ対策を遵守させなければならない。
(違反に対する措置等)
第13条 この規程、情報セキュリティ対策基準及び情報セキュリティ実施手順に違反する行為は地方公務員法(昭和25年法律第261号)第29条第1項第1号に該当し、違反した職員は、その重大性に応じて同条に規定する懲戒処分の対象とする場合がある。
2 組合は、組合が保有する情報資産を侵害した者に対し、その重大性、発生した事案の状況等に応じて損害賠償を請求することができる。
(情報セキュリティ対策基準の策定)
第14条 情報セキュリティ対策を講ずるに当たり、遵守すべき行為及び判断等の基準を統一的に定めるため、基本的な要件を記載した情報セキュリティ対策基準を策定する。
(情報セキュリティ実施手順の策定)
第15条 前条の情報セキュリティ対策基準のほか、情報セキュリティ対策を実施するための個々の情報システムについて、具体的な実施手順を記載した情報セキュリティ実施手順を策定する。
(点検・監査等)
第16条 情報資産管理者は、情報セキュリティ対策の実施状況について、必要に応じて情報システム管理者及び情報資産取扱責任者に点検させることができる。
2 情報資産管理者は、情報セキュリティ対策の実施状況について、必要に応じて情報セキュリティ監査を実施することができる。
3 点検又は情報セキュリティ監査を受ける課はその実施に協力しなければならない。
4 情報資産管理者は、点検又は情報セキュリティ監査の結果を踏まえ、当該事項への対処を情報システム管理者及び情報資産取扱責任者に指示するとともに、情報セキュリティ対策の見直しに活用しなければならない。
附則
この規程は、令和3年4月1日から施行する。