2　情報セキュリティポリシーが対象とする情報資産は、次に掲げるとおりとする。

2　最高情報セキュリティ責任者は、情報セキュリティインシデントに対処するための体制(CSIRT：ComputerSecurity Incident Response Team、以下「CSIRT」という。)を整備し、役割を明確化する。

2　統括情報セキュリティ責任者は、次に事項に関する権限及び責任を有する。

2　情報セキュリティ責任者は、次に掲げる事項に関する権限及び責任を有する。

2　情報システム管理者は、次に掲げる事項に関する権限及び責任を有する。

2　最高情報セキュリティ責任者は、CSIRTに所属する職員等を選任し、その中からCSIRT責任者を置かなければならない。また、CSIRT内の業務統括及び外部との連携等を行う職員等を定めなければならない。

3　最高情報セキュリティ責任者は、情報セキュリティの統一的な窓口を整備し、情報セキュリティインシデントについて課局等より報告を受けた場合には、その状況を確認し、自らへの報告が行われる体制を整備しなければならない。

4　最高情報セキュリティ責任者による情報セキュリティ戦略の意思決定が行われた際には、その内容を関係課局等に提供しなければならない。

5　情報セキュリティインシデントを認知した場合には、最高情報セキュリティ責任者、総務省、三重県等へ報告しなければならない。

6　情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。

7　情報セキュリティインシデントを認知した場合には、その重要度や影響範囲等を勘案し、報道機関への通知・公表対応を行わなければならない。

2　情報資産が複製又は伝送された場合には、複製等された情報資産も前条の分類に基づき管理しなければならない。

3　情報資産の管理は、次に掲げるとおりとする。

2　情報資産の廃棄やリース返却等を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3　情報資産の廃棄やリース返却等を行う者は、情報セキュリティ責任者の許可を得なければならない。

2　マイナンバー利用事務系における情報は、次の対策を講じるものとする。

2　インターネット接続系においては、通信パケットの監視、ふるまい検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

2　情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させる場合、内容を消去した状態で行わせなければならない。内容を消去できない場合、情報システム管理者は、業者に故障を修理させるに当たり、修理を委託する事業者との間で、守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、庁舎の敷地外にサーバ等の機器を設置する場合、最高情報セキュリティ責任者の承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

4　情報システム管理者は、機器を廃棄、リース返却等をする場合、機器内部の記憶装置から、すべての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等によって許可されていない立入りを防止しなければならない。

3　情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカード、指紋認証等の生体認証又は入退室管理簿の記載による入退室管理を行わなければならない。

4　職員等及び外部委託事業者は、管理区域に入室する場合、身分証明書等を携帯し、求めにより提示しなければならない。

5　情報システム管理者は、搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託した業者に確認を行わせなければならない。

6　情報システム管理者は、情報システム室の機器等の搬入出について、職員を立ち会わせなければならない。

2　統括情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。

3　統括情報セキュリティ責任者は、重要性分類Ⅰ又はⅡの情報資産を取り扱う情報システムに通信回線を接続する場合、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

2　情報システム管理者は、情報システムへのログインに際し、パスワード、スマートカード、或いは生体認証等複数の認証情報の入力を必要とするように設定しなければならない。また、マイナンバー利用事務系では「知識」、「所持」、「存在」を利用する認証手段のうち2つ以上を併用する認証(多要素認証等)を行うよう設定しなければならない。

2　職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

3　職員等は、本町のパソコン、モバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合には、情報セキュリティ責任者の許可を得なければならない。

4　職員等は、支給以外のパソコン、モバイル端末及び電磁的記録媒体等を原則業務に利用してはならない。ただし、支給以外の端末の業務利用の可否判断を最高情報セキュリティ責任者が行った後に、業務上必要な場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ責任者の許可を得て利用することができる。

5　情報セキュリティ責任者は、端末等の持ち出しについて、記録を作成し、保管しなければならない。

6　職員等は、パソコン等の端末や記録媒体、情報が印刷された文書等について、第三者に使用されること、又は情報セキュリティ責任者の許可なく情報を閲覧されることがないように、離席時の端末のロックや記録媒体、文書等の容易に閲覧されない場所への保管等、適正な措置を講じなければならない。

2　情報セキュリティ責任者は、非常勤職員等の採用の際、必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

2　最高情報セキュリティ責任者は、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画を策定し、情報化推進委員会の承認を得なければならない。

3　最高情報セキュリティ責任者は、情報化推進委員会に対して、職員等の情報セキュリティ研修の実施状況について報告しなければならない。

4　幹部を含めた全ての職員等は、定められた研修に参加しなければならない。

2　報告を受けた情報セキュリティ責任者は、すみやかにCSIRTに報告しなければならない。

3　情報セキュリティ責任者は、報告のあった情報セキュリティインシデントについて、最高情報セキュリティ責任者に報告しなければならない。

4　CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。

5　CSIRTは、情報セキュリティインシデントであると評価した場合、最高情報セキュリティ責任者に速やかに報告しなければならない。

6　CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

7　CSIRTは、これらの情報セキュリティインシデント原因を究明し、記録を保存しなければならない。また、情報セキュリティインシデントの原因究明の結果から、再発防止策を検討し、最高情報セキュリティ責任者に報告しなければならない。

8　最高情報セキュリティ責任者は、CSIRTから、情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

2　職員等は、自己の管理するIDに関し、次に掲げる事項を遵守しなければならない。

3　職員等は、自己の管理するパスワードに関し、次に掲げる事項を遵守しなければならない。

2　情報システム管理者は、ファイルサーバを課局等の単位で構成し、職員が他課局等のファイルを閲覧及び使用できないように、設定しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、取得したログを点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

2　統括情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。

2　情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成及びセキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

3　情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん又はシステムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

5　情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生じることが想定される場合には、統括情報セキュリティ責任者の判断に従い、すみやかに当該外部ネットワークを物理的に遮断しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、複合機の運用を終了する場合、複合機の持つ電磁的記録媒体の全ての情報を抹消する又は再利用できないようにする対策を講じなければならない。

2　統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

3　統括情報セキュリティ責任者は、職員等が使用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

2　職員等は、業務上の必要がある場合は、統括情報セキュリティ責任者及び情報システム管理者の許可を得て、ソフトウェアを導入することができる。なお、導入する際は、情報セキュリティ責任者又は情報システム管理者は、ソフトウェアのライセンスを管理しなければならない。

3　職員等は、不正にコピーしたソフトウェアを利用してはならない。

2　職員等は、業務上、パソコン等の端末に対し機器の改造及び増設・交換を行う必要がある場合には、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。

2　情報セキュリティ責任者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限するものとする。

2　職員等は、本町の定める利用手順に従い、Web会議の参加者や取り扱う情報に応じた情報セキュリティ対策を実施すること。

3　職員等は、Web会議を主催する場合、会議に無関係の者が参加できないよう対策を講ずること。

2　重要性分類Ⅱ以上の情報はソーシャルメディアサービスで発信してはならない。

3　利用するソーシャルメディアサービスごとの責任者を定めなければならない。

4　アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。

2　統括情報セキュリティ責任者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ責任者に通知し適正な措置を求めなければならない。

2　職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者は、統括情報セキュリティ責任者及び情報システム管理者が指名し、最高情報セキュリティ責任者が認めた者でなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードについて、定期変更や入力回数制限等のセキュリティ機能を強化しなければならない。

2　統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上利用者の本人確認を行う機能を確保しなければならない。

4　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するパソコン等の端末を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

6　職員等は、持ち込んだ又は外部から持ち帰ったパソコン等の端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認し、情報セキュリティ責任者の許可を得るか、若しくは情報セキュリティ責任者によって事前に定義されたポリシーに従って接続しなければならない。

7　統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生態認証に係る情報等の認証情報並びにこれを記録した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

2　情報システム管理者は、不正プログラム対策に関し、次の事項を措置しなければならない。

3　職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

2　最高情報セキュリティ責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、システムの停止を含む必要な措置を講じなければならない。また、総務省、三重県等と連絡を密にして情報の収集に努めなければならない。

3　最高情報セキュリティ責任者及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス禁止法違反等の犯罪の可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

4　統括情報セキュリティ責任者及び情報システム管理者は、職員等及び外部委託事業者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

5　統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課局等の情報セキュリティ責任者に通知し、適正な処置を求めなければならない。

6　統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

7　統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)や内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。

2　統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じ対応方法について、職員等に周知しなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、情報セキュリティに関する情報を収集し、必要に応じ、関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害等を未然に防止するための対策をすみやかに講じなければならない。

2　統括情報セキュリティ責任者及び情報システム管理者は、重要なアクセスログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続するシステムを常時監視しなければならない。

2　最高情報セキュリティ責任者は、発生した問題について、適正かつすみやかに対処しなければならない。

3　統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適正かつすみやかに対処しなければならない。

4　最高情報セキュリティ責任者及び最高情報セキュリティ責任者が指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン等の端末、電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

5　職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに統括情報セキュリティ責任者及び情報セキュリティ責任者に報告を行わなければならない。

6　違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者及び情報セキュリティ責任者が判断した場合は、緊急時対応計画に従って適正に対処しなければならない。

2　情報セキュリティ責任者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、事後すみやかに最高情報セキュリティ責任者に報告しなければならない。

3　最高情報セキュリティ責任者は、例外措置の申請書及び審査結果を適正に保管しなければならない。

2　職員等の情報セキュリティポリシーに違反する行動を確認した場合には、すみやかに次に掲げる措置を講じなければならない。

2　情報システムの運用、保守等を業務委託する場合には、委託事業者との間で必要に応じて次に掲げる情報セキュリティ要件を明記した契約を締結しなければならない。

3　情報セキュリティ責任者は、委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じ、前項の契約に基づき措置しなければならない。また、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じて最高情報セキュリティ責任者に報告しなければならない。

2　情報セキュリティ責任者は、外部サービスの中断や終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めなければならない。

3　情報セキュリティ責任者は、外部サービスの利用を通じて本町が取り扱う情報の格付等を勘案し、必要に応じて次の事項を外部サービス提供者の選定条件に含めなければならない。

4　情報セキュリティ責任者は、外部サービスの利用を通じて本町が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて本町の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めなければならない。

5　情報セキュリティ責任者は、外部サービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本町に提供し、本町の承認を受けるよう、外部サービス提供者の選定条件に含めなければならない。また、再委託の承認の可否を判断しなければならない。

6　統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。

2　情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者の選定基準及び選定条件並びに外部サービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。

2　統括情報セキュリティ責任者は、前項の外部サービスの利用申請を審査し、利用の可否を決定する。

3　統括情報セキュリティ責任者は、外部サービスの利用申請を承認した場合は、承認済み外部サービスとして記録し、情報セキュリティ責任者を外部サービス管理者として指名する。

2　外部サービス管理者は、前項の規定に対し、構築時に実施状況を確認・記録しなければならない。

2　情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスで発生したインシデントを認知した際の対処手順を講じなければならない。

3　外部サービス管理者は、前各項の規定に対し、運用・保守時に実施状況を定期的に確認・記録しなければならない。

2　外部サービス管理者は、前項の規定に対し、外部サービスの利用終了時に実施状況を確認・記録しなければならない。

2　情報セキュリティ責任者は、前項の外部サービスの利用申請を審査し、利用の可否を決定しなければならない。また、承認した外部サービスを記録しなければならない。

3　情報セキュリティ責任者は、前各項の規定による利用の承認をした場合は、統括情報セキュリティ責任者に報告しなければならない。

4　外部サービス管理者は情報セキュリティ責任者とし、当該外部サービスの利用において適切な措置を講じなければならない。

2　情報セキュリティ責任者は、クラウドサービスで取り扱われる情報に対して国内法以外の法令が適用されるリスクを評価して委託先を選定し、必要に応じて委託事業の実施場所及び契約に定める準拠法・裁判管轄を指定しなければならない。

3　情報セキュリティ責任者は、クラウドサービスの中断や終了時に円滑に業務を移行するための対策を検討し、委託先を選定する際の要件としなければならない。

4　情報セキュリティ責任者は、クラウドサービスの特性を考慮した上で、クラウドサービス部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上でセキュリティ要件を定めなければならない。

5　情報セキュリティ責任者は、クラウドサービスに対する情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、クラウドサービス及び当該サービス提供事業者の信頼性が十分であることを総合的・客観的に評価し判断しなければならない。

2　事業者に業務委託を行っている場合、監査責任者は委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守について監査を定期的に又は必要に応じて行わなければならない。

3　監査責任者は、監査結果を取りまとめ、情報化推進委員会に報告する。

4　監査責任者は、監査の実施を通して収集した監査証拠、監査報告書の作成のための監査調書を、紛失等が発生しないように適正に保管しなければならない。

5　最高情報セキュリティ責任者は、監査結果を踏まえ、指摘事項を所管する情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。また、指摘事項を所管していない情報セキュリティ責任者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。なお、庁内で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。

6　情報化推進委員会は、監査結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

2　情報セキュリティ責任者は、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、必要に応じて自己点検を行わなければならない。

3　情報システム管理者及び情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、情報化推進委員会に報告しなければならない。

4　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

5　情報化推進委員会は、この点検結果を情報セキュリティポリシーの見直し、その他情報セキュリティ対策の見直し時に活用しなければならない。

このポリシーは、公表の日から施行する。

このポリシーは、平成31年4月1日から施行する。

この訓令は、令和2年4月1日から施行する。

このポリシーは、令和5年3月31日から施行する。

この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。