海南市の各情報システムが取り扱う情報には、市民の個人情報のみならず、行政運営上重要な情報など、部外への漏洩、改ざん等が生じた場合には、極めて重大な結果を招く情報が多数含まれている。

したがって、これらの情報及び情報を取り扱う情報システムを様々な脅威から保護することは、市民の財産とプライバシー等を守るためにも、また、事務の安定的な運営のためにも必要不可欠である。ひいては、このことが本市に対する市民からの信頼の維持向上に寄与するものである。

そのため本市では、情報資産のセキュリティを保持するため、全庁的な統一方針として「海南市情報セキュリティポリシー」を策定し、職員全員がこれを遵守することとする。

海南市情報セキュリティポリシーは、本市の情報資産をどのような脅威からどのようにして守るのかについての基本的な考え方(基本方針)と基本方針を実現するために遵守すべき行為及び判断等の基準(対策基準)から構成する。

第1章　基本的な考え方

第1節　本書の目的

本書は、海南市(以下「本市」という。)の職員及び外部委託者など情報資産を扱う者全員が、情報資産を使用するときに従うべき情報セキュリティを守るための基本的な考え方や方向性を定めたものである。

第2節　用語定義

本書における用語の定義は、次のとおりとする。

(1)　ネットワーク

コンピュータ等を相互に接続するための通信網、その構成機器(ハードウェア及びソフトウェア)をいう。

(2)　情報システム

コンピュータ、ネットワーク、及び電磁的記録媒体で構成された情報を処理する仕組みをいう。

(3)　情報資産

ネットワーク・情報システム及びこれらの取り扱い・開発・保守・運用に関する全ての文書又は電磁的記録等のうち公文書を除くものをいう。

(4)　情報セキュリティ

情報資産の機密性、完全性及び可用性を維持することをいう。

(5)　情報セキュリティポリシー

海南市情報セキュリティポリシー基本方針及び海南市情報セキュリティポリシー対策基準をいう。

(6)　機密性

情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(7)　完全性

情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(8)　可用性

情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(9)　個人番号利用事務系

個人番号利用事務又は戸籍事務等に関わる情報システム及びデータをいう。

(10)　LGWAN接続系

LGWANに接続された情報システム及びその情報システムで取り扱うデータをいう。

(11)　インターネット接続系

インターネットメール、ホームページ管理システム等に関わるインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。

(12)　通信経路の分割

LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。

(13)　無害化通信

インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。

(14)　職員

一般職常勤職員(任期付職員及び再任用職員を含む。)及び一般職非常勤職員等を含む全ての職員をいう。

(15)　外部委託者

本市の事務事業の委託を受けたもの及び市の公の施設の指定管理者をいう。

第3節　情報資産に関する脅威

情報資産に対する脅威の発生度合や発生した場合の影響の大きさを考慮し、以下に掲げるものを特に認識すべき脅威とする。

(1)　不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部不正等

(2)　情報資産の無断持ち出し、無許可ソフトウェアの使用等の規定違反、設計・開発の不備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の不備、外部委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい・破壊・消去等

(3)　地震、津波、落雷、火災又は風水害等の災害によるサービス及び業務の停止等

(4)　大規模・広範囲にわたる疾病による要員不足に伴う情報システム運用の機能不全等

(5)　電力供給の途絶、通信の途絶等のインフラの障害からの波及等

第4節　適用範囲

第1項　対象者の範囲

海南市情報セキュリティポリシー基本方針(以下「本基本方針」という。)は、海南市部設置に関する条例(平成17年海南市条例第6号)第1条に定める部並びに議会事務局、下津行政局、出納室、教育委員会事務局、選挙管理委員会事務局、監査委員事務局、農業委員会事務局、公平委員会事務局、消防本部及び公営企業を対象とする組織とし、これらに属する全ての職員に適用する。

第2項　情報資産の範囲

本基本方針が対象とする情報資産は、次のとおりとする。

(1)　ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体

(2)　ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む。)

(3)　情報システムの仕様書及びネットワーク図等のシステム関連文書

第5節　職掌上の役割と責任

第1項　市長の役割と責任

市長は、情報セキュリティに関する指針を明らかにし、職員に対して情報セキュリティ意識を浸透させ、必要な支援をする役割と責任をもつ。

第2項　所属長の役割と責任

所属長は、情報セキュリティ確保の責任を負い、所属職員及び業務関係者が本基本方針を理解し遵守することを徹底し、かつ管理しなければならない。

また、所属長は、所属職員が退職又は異動する場合において、利用する必要のなくなった全ての情報資産を回収する責任を負うものとする。外部委託者が契約終了した場合もまた同様である。

第3項　職員の役割と責任

職員は、本基本方針及び所属長の指示を遵守し、情報が不正な手段で取得されること又は不正に使用されることを防止する責任を負うものとする。

職員は、退職又は異動する場合において、利用する必要のなくなった全ての情報資産を所属長に返却しなければならない。

第4項　外部委託者の役割と責任

外部委託者は、契約に基づき本基本方針及び関係する部署の所属長の指示を遵守し、情報を不正な手段で取得し又は不正に使用してはならない。

外部委託者は、契約終了その他の事情により本市の情報資産を取扱うことがなくなった時点で、全ての情報資産を本市に返却しなければならない。

第2章　情報セキュリティ対策

第1章第3節の脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。

第1節　組織体制

本市の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

第2節　情報資産の分類と管理

本市の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。

第3節　情報システム全体の強靭性の向上

情報システム全体に対し、次の三段階の対策を講じる。

(1)　個人番号利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等により、住民情報の流出を防ぐ。

(2)　LGWAN接続系においては、LGWANと接続する業務用の情報システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両方の情報システム間で通信する場合には、無害化通信を実施する。

(3)　インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、都道府県と市区町村のインターネット接続口を集約した上で、自治体情報セキュリティクラウドの導入等を実施する。

第4節　物理的対策

情報システム及びネットワークを設置する区域又は施設への不正な立ち入り及び情報システム、ネットワーク又は情報資産への損傷・妨害等から保護するための物理的な対策を講じる。

第5節　人的対策

情報セキュリティに関する権限及び責任を定め、職員に対し本基本方針及び情報セキュリティに関する法令などの内容を周知徹底する等、十分な教育及び啓発が行われるよう必要な人的対策を講じる。

第6節　技術的対策

コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的対策を講じる。

第7節　運用上の対策

(1)　情報システムの監視、情報セキュリティポリシーの遵守状況の確認、外部委託を行う際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じる。

(2)　情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定する。

第8節　外部サービスの利用

外部委託する場合には、外部委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、外部委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。

約款による外部サービスを利用する場合には、利用にかかる規定を整備し対策を講じる。

ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。

第9節　評価・見直し

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。情報セキュリティポリシーの見直しが必要な場合は、情報セキュリティポリシーの見直しを行う。

第3章　情報セキュリティポリシー等の取り扱い

第1節　海南市情報セキュリティポリシー基本方針

本基本方針は、市民の個人情報及び行政運営上重要な情報の管理及び情報セキュリティ対策についての基本的な考え方や方向性を定めるものとし、外部に対し公開する。

第2節　海南市情報セキュリティポリシー対策基準

本基本方針に基づいた情報セキュリティ対策を講じるに当たって、遵守すべき行為、判断などの基準を統一的に定めるために、必要となる基本要件を明記した海南市情報セキュリティポリシー対策基準(以下「本対策基準」という。)を策定する。

本対策基準は、情報資産を扱う全ての職員に対し、周知徹底する。

本対策基準は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報であるため、非公開とする。

第3節　海南市情報セキュリティ実施手順

情報セキュリティポリシーを遵守して情報セキュリティ対策を実施するため個々の部署や情報システムについて、具体的な手順を明記した海南市情報セキュリティ実施手順(以下「本実施手順」という。)を策定するものとする。

本実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれのある情報であるため、非公開とする。