○京田辺市住民基本台帳ネットワークシステム運用管理規程
平成31年3月13日
訓令第4号
京田辺市住民基本台帳ネットワークシステム運用管理規程(平成14年京田辺市訓令第15号)の全部を改正する。
(趣旨)
第1条 この訓令は、京田辺市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)の適切な運用管理のため、必要な事項を定めるものとする。
(1) 電算室 住基ネットのネットワーク機器及びコミュニケーションサーバの設置室並びに住基ネットのデータ、セキュリティ情報等の保管室をいう。
(2) 情報資産 住基ネットに係る全ての情報、ソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。
(3) 本人確認情報 情報資産のうち、本人確認情報のデータ、本人確認情報が記載された帳票、住民基本台帳カード、マイナンバーカード及び個人番号通知書をいう。
(セキュリティ組織)
第3条 市長は、住基ネットを運用管理するため、次に掲げる者で構成するセキュリティ組織を設置する。
(1) セキュリティ統括責任者 住基ネットのセキュリティ対策を総括する者で、情報システム担当部の長を充てる。
(2) システム管理者 住基ネットを適切に管理する者で、情報システム担当課の長を充てる。
(3) セキュリティ責任者 住基ネットを利用する所属においてセキュリティ対策を実施する者で、住基ネット利用課等の長を充てる。
(4) 本人確認情報管理責任者 本人確認情報を適切に管理する者で、住民基本台帳担当課の長を充てる。
(セキュリティ会議)
第4条 セキュリティ統括責任者は、セキュリティ組織を構成する者その他必要と認める者を招集し、住基ネットのセキュリティ対策、監査、研修等に関しセキュリティ会議を行う。
2 セキュリティ統括責任者は、必要に応じ、京田辺市情報公開条例(平成10年京田辺市条例第12号)第15条の規定により設置する京田辺市情報公開・個人情報保護審査会の意見を聴くことができる。
3 セキュリティ統括責任者は、セキュリティ会議の結果を踏まえ、関係所属長に対し必要な指示を行うことができる。
(入退室管理)
第5条 システム管理者は、住基ネットのセキュリティを確保するため、次に掲げる方法により電算室の入退室管理を行う。
(1) 電算室に入室しようとする者は、システム管理者から事前に入室の許可を得なければならない。
(2) 電算室の入退室は、生体情報認証又は鍵により行う。
(3) システム管理者は、電算室の生体情報認証管理システム及び鍵を管理するものとする。
(4) 電算室の入室者は、名札を着用しなければならない。
(5) システム管理者は、電算室の入退室の記録及び生体情報認証の管理簿を作成し、これを保存するものとする。
(6) 前各号に掲げるもののほか、システム管理者は、電算室の入退室を管理するために必要な措置を講ずるものとする。
2 本人確認情報管理責任者は、住基ネットのセキュリティを確保するため、次に掲げる方法により統合端末の設置室の入退室管理を行う。
(1) 統合端末の設置室に入室しようとする者は、本人確認情報管理責任者から事前に入室の許可を得なければならない。
(2) 統合端末の設置室の入室者は、名札を着用しなければならない。
(3) 本人確認情報管理責任者は、統合端末の設置室の入退室の記録を作成し、これを保存するものとする。
(4) 前3号に掲げるもののほか、本人確認情報管理責任者は、統合端末の設置室の入退室を管理するために必要な措置を講ずるものとする。
3 セキュリティ統括責任者は、適切な入退室管理が行われているかどうかについて、システム管理者及び本人確認情報管理責任者から報告を聴取し、必要な指示を行うものとする。
(アクセス管理)
第6条 システム管理者は、コミュニケーションサーバ及び統合端末について、アクセス管理及びセキュリティ対策を行う。
2 アクセス管理は、照合情報認証により住基ネットの操作者の正当な権限を確認すること及び操作履歴を記録することにより行う。
3 システム管理者は、照合ID、照合情報及び操作者IDについて必要な事項を定めるものとする。
4 住基ネットの操作者は、照合ID、照合情報及び操作者IDを適切に取り扱わなければならない。
5 システム管理者は、操作履歴を5年間保管する。
(本人確認情報管理)
第7条 本人確認情報管理責任者は、本人確認情報を管理するため、その管理方法を定めるものとする。
2 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者を指定するものとする。
3 本人確認情報管理責任者は、本人確認情報の漏えい、毀損等の被害を受けるおそれがある場合は、本人確認情報の保護を最優先とし、システム管理者と協議し、ネットワークの遮断等の対応を行うとともに、速やかに改善措置を講ずるものとする。
4 本人確認情報のセキュリティ対策は、制度面、技術面及び運用面から抑止、予防、検出及び回復の措置を講じ、継続的に実施する。
5 本人確認情報を取り扱う業務に係る情報資産は、必要最小限にするとともに、法令等に定める場合以外に使用してはならない。
6 本人確認情報管理責任者は、次に掲げる措置を講じ、当該措置に関する手順書を定めるものとする。
(1) 本人確認情報の入力、削除及び訂正、検索等の画面出力、受渡、交付等を適正に実施するために必要な措置
(2) 本人確認情報を取り扱う業務に係る記録媒体及び帳票等への出力、保管及び廃棄を適正に実施するために必要な措置
(3) 本人確認情報が記載された帳票を管理するために必要な措置
(4) その他本人確認情報の漏えい、滅失及び毀損を防止するために必要な措置
7 本人確認情報管理責任者は、本人確認情報を取り扱う職員に対し、情報資産の適正な管理に関する意識啓発を行うとともに、教育研修に関する計画を策定し、及び実施する。
(情報資産管理)
第8条 システム管理者は、本人確認情報以外の情報資産を管理するため、その管理方法を定めるものとする。
(委託管理)
第9条 システム管理者又はセキュリティ責任者は、住基ネットに係る業務を外部委託しようとするときは、あらかじめ委託しようとする者における情報の保護に関する管理体制等について調査するものとする。
2 システム管理者又はセキュリティ責任者は、住基ネットに係る業務を外部委託しようとするときは、委託する業務の内容及び理由、情報の保護に関する事項等について、あらかじめセキュリティ会議の審議を経て、セキュリティ統括責任者の承認を得なければならない。
3 システム管理者又はセキュリティ責任者は、必要に応じ、委託を受けた者におけるセキュリティ対策の実施状況について調査するものとする。
4 外部委託に係る契約書には、次に掲げる事項を明記しなければならない。
(1) 再委託の禁止又は制限に関する事項
(2) 情報が記録された資料の保管、返還及び廃棄に関する事項
(3) 情報が記録された資料の目的外使用、複製、複写及び第三者への提供の禁止に関する事項
(4) 情報の秘密保持に関する事項
(5) 事故等の報告に関する事項
(委任)
第10条 この訓令に定めるもののほか、住基ネットの運用管理に関し必要な事項は、別に定める。
附則
この訓令は、平成31年4月1日から施行する。
附則(令和4年11月16日訓令第9号)
この訓令は、令和4年11月16日から施行する。