2　委員会は、CISOを委員長とし、統括情報セキュリティ責任者及び情報セキュリティ責任者を委員として構成し、事務局を情報担当課に置く。

2　CISOは、CSIRTに所属する職員等を指名し、その中からCSIRT責任者並びにCSIRT内の業務統括及び外部との連携等を行う職員等を定めなければならない。

3　CISOは、情報セキュリティの統一的な窓口を整備し、情報セキュリティインシデントについて部局等より報告を受けた場合は、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。

4　CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた場合は、その内容を関係部局等に提供しなければならない。

5　CSIRTは、情報セキュリティインシデントを認知した場合は、CISO、総務省、京都府等へ報告しなければならない。

6　CSIRTは、情報セキュリティインシデントを認知した場合は、その重要度、影響範囲等を勘案し、報道機関への通知及び公表を行わなければならない。

7　CSIRTは、情報セキュリティに関して、関係機関や他の地方公共団体の情報セキュリティに関する統一的な窓口の機能を有する部署、外部の事業者等との情報共有を行わなければならない。

2　情報資産を利用する職員は、情報資産を分類に応じ、適切な取扱いを行うとともに、業務以外の目的に情報資産を利用してはならない。

2　情報セキュリティ管理者は、情報資産を廃棄した日時、担当者及び内容を記録しなければならない。

2　情報システムの配線は、統括情報セキュリティ責任者及び情報システム管理者が許可した者のみが変更し、又は追加することができる。

2　情報システム管理者は、電算室への入退室を許可された者のみに制限し、指紋等の生体認証又は入退室管理簿による入退室管理を行わなければならない。

3　職員及び外部委託事業者は、電算室に入室する場合、身分証明書等を携帯しなければならない。

4　情報システム管理者は、外部委託事業者が電算室に入室する場合は、必要に応じて立入区域を制限した上で、電算室への入退室を許可された職員が付き添うものとし、外見上職員等と区別できる措置を講じなければならない。

5　情報システム管理者は、外部委託事業者が電算室に入室する場合は、当該情報システムに関連しない、又は個人所有であるコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等を持ち込ませないようにしなければならない。ただし、業務上必要がある場合は、情報システム管理者の許可を得て持ち込むことができる。

6　情報システム管理者は、電算室に機器等を搬出入する場合、情報セキュリティが確保されていることを確認するとともに、情報担当課の職員を立ち合わせなければならない。

2　情報システム管理者は、電磁的記録媒体について、情報が保存される必要がなくなった時点で速やかに記録した情報を削除しなければならない。

3　情報システム管理者は、機器を廃棄、リース返却等をする場合は、機器内部の記憶装置から、全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

2　職員は、情報端末、モバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出してはならない。ただし、業務上必要がある場合は、情報セキュリティ管理者及び情報システム管理者の許可を得て持ち出すことができる。

3　職員は、私物の情報端末、モバイル端末及び電磁的記録媒体(以下「私物機器」という。を業務に利用してはならない。ただし、業務上必要がある場合は、情報セキュリティ管理者及び情報システム管理者の許可を得て利用することができる。

4　職員は、私物機器を業務で利用することがなくなった場合は、私物機器から業務に関係する情報を削除しなければならない。

5　職員は、私物機器に対して重要性分類A及び重要性分類Bに該当する情報資産を記録してはならない。

6　職員は、情報端末、モバイル端末、電磁的記録媒体、情報が印刷された文書等について第三者に使用されること又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように離席時の情報端末のロック、電磁的記録媒体及び文書等の容易に閲覧されない場所への保管等、適切な措置を講じなければならない。

7　職員は、異動、退職等により業務を離れる場合は、利用していた情報資産を返却しなければならない。

2　情報セキュリティ管理者は、職員に情報端末等による業務作業を行わせる場合において、インターネットへの接続、電子メールの使用等が不要なときは、これを利用できないようにしなければならない。

2　前項の規定による報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び情報システム管理者に報告しなければならない。

3　情報セキュリティ管理者は、第1項の規定により報告のあった情報セキュリティインシデントについて、CISO及び情報セキュリティ責任者に報告しなければならない。

2　前項の規定による報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者に報告しなければならない。

3　情報セキュリティ管理者は、第1項の規定により報告のあった情報セキュリティインシデントについて、必要に応じてCISO及び情報セキュリティ責任者に報告しなければならない。

4　CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等の外部から報告を受けるための窓口を設置し、当該窓口への連絡手段を公表しなければならない。

2　CSIRTは、情報セキュリティインシデントであると評価した場合は、CISOに速やかに報告しなければならない。

3　CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

4　CSIRTは、これらの情報セキュリティインシデントの原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。

5　CISOは、CSIRTから、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　職員は、自己の管理するパスワードに関し、次に掲げる事項を遵守しなければならない。

2　情報システム管理者は、職員等からのシステム障害の報告又はシステム障害に対する処理結果若しくは問題等を障害記録として記録し、適切に保管しなければならない。

3　情報システム管理者は、ネットワーク構成図及び情報システム仕様書について記録媒体に関わらず、業務上必要とする者以外の者による閲覧、紛失等がないように適切に管理しなければならない。

4　情報システム管理者は、外部の者が利用できる情報システムについて他の情報システムと物理的に分けること、ファイアウォールを設置すること等により情報の漏えい、他の情報システムへの侵入等を防止するための措置を講じなければならない。

5　情報システム管理者は、情報資産について必要に応じて定期的にバックアップを実施するとともに、重要データを遠隔地に保管しなければならない。

6　情報システム管理者は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定期間保存するとともに、当該ログの定期的な点検及び分析を行わなければならない。

2　職員は、第9条第1号及び第2号に規定する分類の情報資産について、情報セキュリティ管理者の許可を得た上で、外部に送るデータの機密性又は完全性を確保できるように暗号化又はパスワード設定の方法を使用して電子メール等により送信しなければならない。

3　職員は、第9条第3号に規定する分類の情報資産について、情報セキュリティ管理者の許可を得た上で、外部に送るデータの機密性又は完全性を確保することが必要な場合は、暗号化又はパスワード設定の方法を使用して電子メール等により送信しなければならない。

4　職員は、情報端末及びモバイル端末にソフトウェアを導入してはならない。ただし、業務上必要がある場合は、情報セキュリティ管理者及び情報システム管理者の許可を得て導入することができる。

5　職員は、情報端末及びモバイル端末に対し、機器改造、増設等を行ってはならない。ただし、業務上必要がある場合は、情報セキュリティ管理者及び情報システム管理者の許可を得て行うことができる。

2　情報システム管理者は、情報システムの利用者の登録、変更、抹消等を適切に行い、アクセス権限のない者がアクセスできないようにシステム上制限するとともに、人事異動情報との整合性を定期的にチェックしなければならない。

3　情報システム管理者は、ログイン時におけるログイン試行回数の制限、アクセスタイムアウトの設定等により、必要に応じて正当なアクセス権を持つ職員がログインしたことを確認することができるようにシステムを設定しなければならない。

2　情報セキュリティ管理者及び情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

3　情報セキュリティ管理者及び情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するため、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

5　統括情報セキュリティ責任者は、接続した外部のネットワークのセキュリティに問題が認められ、情報資産等に脅威を及ぼす可能性が生じた場合は、速やかに当該外部ネットワークを物理的に遮断しなければならない。

2　統括情報セキュリティ責任者は、複合機が備える機能について適正な設定等を行うことにより、運用中の複合機に対する情報セキュリティインシデントへの対策を講じなければならない。

3　統括情報セキュリティ責任者は、複合機の運用を終了する場合は、複合機の持つ電磁的記録媒体の全ての情報を抹消する又は再利用できないようにする対策を講じなければならない。

2　統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

2　統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

2　統括情報セキュリティ責任者は、市が管理するネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3　統括情報セキュリティ責任者は、外部からのアクセスを認める場合は、通信途上の盗聴を防御するため、暗号化等の措置を講じなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するモバイル端末を職員等に貸与する場合は、セキュリティ確保のために必要な措置を講じなければならない。

5　職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を市が管理するネットワークに接続する場合は、当該ネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチ(機器(ソフトウェアを含む。)の開発者又は製造者が、自ら又は外部からの指摘によって機器の欠陥又はぜい弱性を覚知し、当該欠陥又はぜい弱性を標的にした攻撃を防御するために公開する修正プログラム又は追加プログラムをいう。)の適用状況等を確認した上で、情報セキュリティ管理者の許可を得なければならない。

6　統括情報セキュリティ責任者は、公衆通信回線(公衆無線LAN等をいう。)の庁外通信回線を市が管理するネットワークに接続することは原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生体認証に係る情報等の認証情報並びにこれを記録した媒体(ICカード等をいう。)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

2　情報システム管理者は、情報システムの開発、導入、保守及び変更に当たり、情報セキュリティインシデント及び不正行為を防止するため、次に掲げる事項を実施しなければならない。

3　情報システム管理者は、新たな情報システムを開発し、又は導入する場合は、将来の需要状況及び傾向を予測した上で、処理能力、記録容量等を勘案し、将来の運用に問題が生じないように計画しなければならない。

4　情報システム管理者は、新たな情報システムを開発する場合は、既に稼働しているシステムに接続する前に十分な試験を行い、稼働中のシステムに影響を与えないように導入しなければならない。

5　情報システム管理者は、情報システムを追加、変更、廃棄等した場合は、当該情報システムの履歴を記録し、保存しなければならない。

2　職員は、不正プログラム対策に関し、次に掲げる事項を遵守しなければならない。

2　CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)違反等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、職員及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃又は外部のサイトに対する攻撃を監視しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、当該職員が所属する課等の情報セキュリティ管理者に通知し、適正な処置を求めなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

6　統括情報セキュリティ責任者及び情報システム管理者は、情報システムにおいて、標的型攻撃による内部への侵入を防止するために、職員への研修、自動再生無効化等の対策を講じなければならない。また、内部に侵入した攻撃を早期検知して対処するために、通信をチェックする等の対策を講じなければならない。

2　情報システム管理者及び情報セキュリティ管理者は、所管するネットワーク及び情報システムについて前項の情報に基づき必要な措置を講じなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

2　統括情報セキュリティ責任者は、不正プログラム、不正アクセス等の調査のために、職員が使用している情報端末、モバイル端末、電磁的記録媒体のアクセス記録、電子メールの送受信記録等の利用状況を調査することができる。

2　前項の緊急時対応計画には、次に掲げる事項を明記しなければならない。

3　情報システム管理者及び情報セキュリティ管理者は、情報セキュリティに対する侵害を認めたときは、事案の詳細な調査を行うとともに、CISO及び統括情報セキュリティ責任者に報告しなければならない。

2　前項の規定による契約後、情報システム管理者及び情報セキュリティ管理者は、外部委託先において同項に定める必要な情報セキュリティ対策が確保されていることを確認し、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じてCISOに報告しなければならない。

3　統括情報セキュリティ責任者は、その委託内容を検討の上、情報セキュリティ上問題があると判断した場合は、情報システム管理者及び情報セキュリティ管理者に当該問題の是正を求めなければならない。

2　情報セキュリティ管理者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法及び裁判管轄を指定しなければならない。

3　情報セキュリティ管理者は、クラウドサービスの中断又は終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件としなければならない。

4　情報セキュリティ管理者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めなければならない。

5　情報セキュリティ管理者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定又は認証制度の適用状況等から、クラウドサービス及び当該サービス提供事業者の信頼性が十分であることを総合的又は客観的に評価し、又は判断しなければならない。

2　職員の違反行為が情報セキュリティ管理者の指導によっても改善されない場合は、統括情報セキュリティ責任者は当該職員のネットワーク又は情報システムを使用する権利を停止し、又は剥奪することができる。この場合において、統括情報セキュリティ責任者は、その旨をCISO及び当該職員が所属する課等の情報セキュリティ管理者に通知しなければならない。

2　統括情報セキュリティ責任者は、前項の監査の結果を取りまとめ、委員会に報告しなければならない。

3　CISOは、前2項の監査の結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ管理者に対しても、同種の課題及び問題点がある可能性が高い場合は、当該課題及び問題点の有無を確認させなければならない。なお、庁内で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。

4　委員会は、監査の結果を情報セキュリティポリシー、関係規程、その他情報セキュリティ対策の見直し時に活用しなければならない。

2　情報セキュリティ責任者は、情報セキュリティ管理者と連携して所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度必要に応じて自己点検を行わなければならない。

3　統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、前2項の自己点検の結果に基づく改善策を取りまとめ、委員会に報告しなければならない。

この訓令は、平成26年8月1日から施行する。

この訓令は、平成27年9月1日から施行する。

この訓令は、令和2年4月1日から施行する。

この訓令は、令和3年6月18日から施行する。