○須崎市情報システム管理運営要綱
平成27年12月25日
須崎市訓令第84号
目次
第1章 総則(第1条―第9条)
第2章 情報政策推進委員会(第10条―第14条)
第3章 情報セキュリティ監査(第15条―第18条)
第4章 サーバ室の入退室管理(第19条・第20条)
第5章 端末装置等の管理(第21条―第29条)
第6章 緊急時等の対応(第30条―第32条)
第7章 雑則(第33条)
附則
第1章 総則
(趣旨)
第1条 この要綱は、適正かつ効率的な事務の遂行を図るために本市における情報システムの管理運営に関し必要な事項を定めるものとする。
(1) 情報システム 与えられた一連の処理手順に従って事務を自動的に処理する電子的機器により構成された組織並びにこれらの組織を相互に接続するための通信回線及び装置をいう。
(2) 電算処理 情報システムによる処理をいう。
(3) 情報資産 情報システムで取り扱うすべての情報(紙等の有体物に出力されたものを含む。)をいう。
(4) 情報セキュリティ 次に掲げる事項を維持することをいう。
ア アクセスを許可された者だけが情報にアクセスできることを確実にすること(機密性)
イ 情報及び処理方法が、正確であること及び完全であることを保護すること(完全性)
ウ 認可された利用者が、必要なとき、情報及び関連する資産にアクセスできることを確実にすること(可用性)
(5) 情報セキュリティ監査 情報セキュリティについて総合的に点検し、評価することをいう。
(6) データ 事象、概念等を表現するもので、電算処理に適するように形式化されたものをいう。
(7) ドキュメント システム設計書、プログラム説明書、操作手順書、コード一覧表その他の情報処理業務の要領及び仕様書をいう。
(8) 端末装置 情報システムの主要部分と直接又は通信回線により接続された入出力装置をいう。
(9) サーバ室 サーバ、ストレージ、コアスイッチ類、無停電装置等の電算処理に必要な主要機器が設置されている場所をいう。
(10) 電子媒体等 磁気ディスク、光ディスク、外付けハードディスク、USBメモリ等の記憶媒体をいう。
(11) グループウェア 庁内ネットワークを活用した情報共有のためのソフトウェアをいう。
(12) ICT―BCP 情報通信技術(ICT)部門における、業務継続計画(BCP)をいい、災害、事故等が発生しても重要業務をなるべく中断せず、中断しても出来るだけ早急に復旧させるための計画をいう。
(13) 各課等 須崎市課設置条例(平成17年須崎市条例第6号)に規定する課等及び福祉事務所、学校教育課、生涯学習課、議会事務局、会計課、上下水道課その他情報システムの端末装置が設置されている機関をいう。
(14) 各学校 須崎市立小学校及び中学校をいう。
(個人情報の処理)
第3条 個人情報の電算処理に当たっては、個人情報の保護に関する法律(平成15年法律第57号)及び須崎市個人情報保護法施行条例(令和5年須崎市条例第2号)の規定を遵守しなければならない。
(電算処理の制限)
第4条 電算処理は、本市の行政目的に照らして正当と認められる場合を除き、行ってはならない。
(情報統括責任者)
第5条 情報システム及び情報セキュリティの総合的な管理を行うため、情報統括責任者を置き、副市長をもって充てる。
3 情報統括責任者に事故があるときは、次条に規定する情報システム管理者がその職務を代理する。
(情報システム管理者)
第6条 情報システム及び情報セキュリティの適正かつ効率的な運用を図るため、情報システム管理者を置き、企画情報課長をもって充てる。
2 情報システム管理者は、情報統括責任者を補佐し、次に掲げる事項を所掌する。
(1) 電算処理のシステム導入及び再構築の承認及びシステム導入及び再構築計画の調整に関すること。
(2) 電算処理に伴う個人情報及び機密情報の保護対策に関すること。
(3) 情報システムの適正な運用の確保に関すること。
(4) ICT―BCPの策定及び運用に関すること。
(5) サーバ室内の機器の管理及び情報セキュリティに関すること。
(6) サーバの防災、防犯等に関すること。
(7) 端末装置の配置及び利用の指導に関すること。
(8) 第8条に規定するDX推進担当者に対する指導及び助言に関すること。
(9) 前各号に掲げるもののほか、情報統括責任者が必要と認める事項
(情報セキュリティ責任者)
第7条 各課等及び各学校に情報セキュリティ責任者を置き、当該各課等及び各学校の長をもって充てる。
2 情報セキュリティ責任者は、次に掲げる事項を所掌する。
(1) 所管する情報システムの情報セキュリティに関すること。
(2) 所管する情報システムの円滑かつ効率的な利用に関すること。
(3) 所管する情報システムの管理に関すること。
(4) 端末装置の日常の利用に係る管理に関すること。
(5) 所管する各課等及び各学校で取り扱うデータの管理に関すること。
(6) 所管する各課等及び各学校で取り扱う電子媒体等の管理に関すること。
(7) 所管する各課等及び各学校の職員(以下「職員」という。)に対する教育及び研修に関すること。
(8) 次条に規定するDX推進担当者の任命及び監督に関すること。
(DX推進担当者)
第8条 各課等にDX推進担当者を置く。主担当者は情報システム管理者が指名し、それを補佐する副担当者を置く。
2 DX推進担当者は、次に掲げる事項を所掌する。
(1) 所管する情報システムの利用に係る指導及び調整に関すること。
(2) 情報システム管理者との連絡調整に関すること。
(3) 前2号に掲げるもののほか、情報システム管理者が必要と認める事項。
(システム導入及び再構築)
第9条 情報セキュリティ責任者は、事務を電算処理するため新たに庁内ネットワークに接続するシステム導入及び再構築をしようとするときは、あらかじめ須崎市情報システム導入要求書(別記様式第1号又はグループウェア)により情報システム管理者に申請し、その承認を得なければならない。
2 情報システム管理者は、前項の申請があったときは、当該申請の内容を審査し、その可否を決定しなければならない。
4 情報セキュリティ責任者は、市販及び無料のソフトウェアをインストールするときは、事前にソフトウェアインストール申請書(別記様式第2号又はグループウェア)に当該ソフトウェアの仕様が分かる書類を添えて情報システム管理者に申請し、その承認を得なければならない。
第2章 情報政策推進委員会
(設置)
第10条 本市における情報通信技術の効率的な利用の推進及び情報システムの適正な管理運営、情報セキュリティを総合的かつ統一的に行うため、須崎市情報政策推進委員会(以下「情報委員会」という。)を置く。
(所掌事項)
第11条 情報委員会は、次に掲げる事項について調査検討する。
(1) 情報化計画の策定に関すること。
(2) 情報施策の推進に関すること。
(3) 情報システムの管理運営に係る基本的事項に関すること。
(4) 情報システムの適用業務に関すること。
(5) ICT―BCPの策定及び運用に関すること。
(6) 情報セキュリティポリシーの策定に関すること。
(7) 情報セキュリティポリシーの評価及び見直しに関すること。
(8) 第15条に規定する情報セキュリティ監査人の指名及び情報セキュリティ監査の実施に関すること。
(9) 前各号に掲げるもののほか、委員長が必要と認める事項
2 情報委員会は、前項の調査検討を行ったときは、市長に報告しなければならない。
(組織及び職務)
第12条 情報委員会は、委員長及び委員をもって組織する。
2 委員長は、副市長をもって充て、委員会を代表し、会務を総理する。
3 委員は、委員長が指名する職員及び企画情報課情報担当者をもって充てる。
4 委員長に事故があるとき、又は委員長が欠けたときは、あらかじめ委員長が指名する委員が、その職務を代理する。
(会議)
第13条 情報委員会は、委員長が招集する。
2 情報委員会は、委員の半数以上の出席がなければ、会議を開くことができない。
3 委員長は、必要があると認めるときは、委員以外の者を会議に出席させ、意見を聴くことができる。
4 前3項に掲げるもののほか、情報委員会の運営に関し必要な事項は、委員長が別に定める。
(検討部会)
第14条 情報委員会は、所掌事項に係る専門的な事項を調査し、又は検討し、及び本市におけるDXを推進するため、情報委員会にDX推進検討部会(以下「検討部会」という。)を置くことができる。
2 検討部会は、委員長が指名する職員をもって構成する。
3 検討部会の組織及び運営に関し必要な事項は、委員長が別に定める。
第3章 情報セキュリティ監査
(所掌事項)
第15条 情報セキュリティ監査人は、情報委員会の指示により、次に掲げる事項について監査を実施するものとする。
(1) 情報セキュリティポリシーの妥当性
(2) 情報セキュリティポリシーの運用状況
(3) 前2号に掲げるもののほか、情報委員会が必要と認める事項
2 情報セキュリティ監査人は、監査のため必要があると認めるときは、関係人に対し説明を求め、又は資料の提出を求めることができる。
3 情報セキュリティ監査人は、監査の結果を情報委員会に報告しなければならない。
(是正命令)
第17条 情報統括責任者は、前条の報告を受けた場合において情報資産の管理運営に適正を欠いていると認めるときは、市長に報告するとともに、情報システム管理者及び情報セキュリティ責任者に対し直ちに是正措置を講ずるように命ずるものとする。
(守秘義務)
第18条 情報セキュリティ監査人は、監査によって知り得た情報を漏えいし、又は不当な目的に使用してはならない。
第4章 サーバ室の入退室管理
(入退室手続き)
第19条 サーバ室に入室しようとする者は、あらかじめサーバ室入退室許可申請書(別記様式第3号又はグループウェア)により情報システム管理者に申請し、その許可を得なければならない。ただし、定期的に入室する入室者に対し情報システム管理者が許可した場合はこの限りでない。
2 入室の許可を得た者(以下「入室者」という。)は、サーバ室内において、許可を受けた入室目的以外の行為をしてはならない。
3 入室者は、業務が終了したときは、速やかに退室しなければならない。
4 入室者は、入退室するときは、サーバ室入退室記録簿(別記様式第4号)に必要事項を記入しなければならない。
(サーバ室の入室許可基準)
第20条 情報システム管理者は、入室目的が次の各号のいずれかに該当する場合に限り、サーバ室への入室を許可することができる。
(1) プログラムの作成又は保守等を行うとき。
(2) 職員の教育訓練を行うとき。
(3) サーバ、ストレージ、コアスイッチ類、無停電装置等の機器の調整又は整備を行うとき。
(4) 前3号に掲げるもののほか、情報システム管理者が特に必要と認めるとき。
第5章 端末装置等の管理
(端末装置の配置及び変更)
第21条 情報セキュリティ責任者は、主管する課等の庁内ネットワークに接続する端末装置の配置及び変更を必要とするときは、あらかじめ情報機器等構成変更申請書(別記様式第5号又はグループウェア)により情報システム管理者に申請し、その承認を得なければならない。
2 情報システム管理者は、前項の申請があったときは、当該申請の内容を審査し、その可否を決定しなければならない。
(端末装置の利用)
第22条 情報セキュリティ責任者は、配置された端末装置について当該所管課等の職員に適正な利用をさせなければならない。
2 職員等は、配置以外の端末装置及び電子媒体等を業務に利用してはならない。ただし、情報システム管理者が特別に認めたものについてはこの限りでない。
(利用者識別符号の設定)
第23条 情報システム管理者は、端末装置を操作する者(以下「操作者」という。)に対し、あらかじめ利用者識別符号を付与しなければならない。
(パスワードの設定)
第24条 情報システム管理者は、操作者に対し、あらかじめパスワードを付与しなければならない。
2 操作者は、パスワードを他に漏らしてはならない。ただし、緊急又は情報システム管理者が特に必要と認める場合は、この限りでない。
3 操作者は、前項の規定によりパスワードを他に漏らした場合には、情報システム管理者に報告しなければならない。
4 情報システム管理者は、操作者より、他の者にパスワードを示した旨の報告を受けたときは、直ちにパスワードを変更しなければならない。
(端末装置の操作制限)
第25条 端末装置は、次に定める場合を除き、操作してはならない。
(1) 主管課等の事務を処理するとき。
(2) 職員の教育訓練を行うとき。
(3) 端末装置の調整又は整備を行うとき。
(4) 前3号に定めるもののほか、情報システム管理者が特に必要と認めるとき。
(データの不当な検索及び改変の防止)
第26条 情報システム管理者は、事務処理に必要なデータ以外のデータの検索及び不当なデータの改変を防止するため、必要な措置を講じなければならない。
(電子記録の管理)
第27条 電子記録(電子媒体等に記録されているデータ、プログラムその他の情報の集合体をいう。以下同じ。)の管理は、情報セキュリティ責任者が行うものとする。
(電子媒体等の管理)
第28条 情報セキュリティ責任者は、電子媒体等(サーバ室及び次項の規定により庁舎外に保管するものを除く。)をその重要度に応じ、安全かつ確実な方法で保管しなければならない。
2 情報システム管理者は、災害時の不測の事態に備えるため、セキュリティを確保した上で必要と認める電子媒体等を庁舎外に保管することができる。
3 職員は、端末装置で新たに電子媒体等を使用するときは、あらかじめデバイス制御解除申請書(別記様式第6号又はグループウェア)により情報システム管理者に申請し、その承認を得なければならない。
4 職員は、端末装置から電子媒体等を利用してデータを持ち出し・持ち込みをする場合には、記録媒体持出・持込申請書(別記様式第7号又はグループウェア)又は電子決済の方法により情報システム管理者に申請し、その許可を得なければならない。
(ドキュメントの管理)
第29条 情報システム管理者又は情報セキュリティ責任者は、それぞれ所管する情報システムに係るドキュメントを所定の場所に保管しなければならない。
2 ドキュメントを閲覧し、又は借り受けようとする者は、当該ドキュメントを保管する情報システム管理者又は、情報セキュリティ責任者の承認を得なければならない。
第6章 緊急時等の対応
(庁議による審議)
第30条 市長は、情報セキュリティに係る障害が発生し、市民の基本的人権を不当に侵害するおそれが生じた場合に必要な措置を講じようとするときは、あらかじめ庁議(須崎市行政組織規則(昭和46年須崎市規則第16号)第13条に規定する庁議をいう。以下同じ。)による審議を経なければならない。ただし、緊急かつやむを得ない場合においては、この限りでない。
(事故発生時の対応)
第31条 情報セキュリティ責任者は、情報システムに作動停止等の事故が発生したことを発見したときは、直ちに情報システム管理者に通報しなければならない。
2 情報システム管理者は、前項の通報を受けたときは、その原因を調査し、復旧に努めるとともに、当該事故が重大であると認めるときは、情報統括責任者に報告しなければならない。
(盗難、火災等発生時の対応)
第32条 入室者は、サーバ室で盗難、火災その他の災害が発生したときは、直ちに情報システム管理者に通報しなければならない。
2 情報システム管理者は、前項の通報を受けたときは、直ちに必要な措置を講ずるとともに、その状況を情報統括責任者に報告しなければならない。
第7章 雑則
(補則)
第33条 この要綱に定めるもののほか、必要な事項は、市長が別に定める。
附則
この訓令は、平成28年1月1日から施行する。
附則(平成30年3月1日訓令第3号)
この訓令は、平成30年3月1日から施行する。
附則(令和元年5月30日訓令第4号)
この訓令は、令和元年6月1日から施行する。
附則(令和2年4月1日訓令第38号)
この訓令は、令和2年4月1日から施行する。
附則(令和3年2月16日訓令第10号)
この訓令は、令和3年2月16日から施行する。
附則(令和4年3月30日訓令第30号)
この訓令は、令和4年4月1日から施行する。
附則(令和4年5月27日訓令第52号)
この訓令は、令和4年5月30日から施行する。
附則(令和5年3月28日訓令第20号)
この訓令は、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)附則第1条第7号に掲げる規定(同法第51条の規定に限る。)の施行の日から施行する。
附則(令和5年4月1日訓令第70号)
この訓令は、公布の日から施行する。
附則(令和6年3月29日訓令第25号)
この訓令は、令和6年4月1日から施行する。
附則(令和6年3月29日訓令第29号)
この訓令は、令和6年4月1日から施行する。
