更新日:2017年1月17日

ここから本文です。

第2章 情報セキュリティ対策基準

情報セキュリティ対策基準

情報セキュリティ対策基準とは,情報セキュリティ基本方針を実行に移すための,本市の情報資産に関する情報セキュリティ対策の基準である。


(1)管理体制


情報セキュリティの管理体制は下記のとおりとする。
1.最高情報セキュリティ責任者

  • 本市の情報資産に関する情報セキュリティを統括する最高責任者として最高情報セキュリティ責任者を置き,まちづくり政策局長をもってこれに充てる。

2.局(区)情報管理者

  • 局等の情報セキュリティに関する適正な運用及び管理を監理するため,局等に総括的な権限及び責任を有する局(区)情報管理者を置き,局等の長をもってこれに充てる。

3.情報管理者

  • 情報セキュリティの適正な運用及び管理を行うため,情報資産を取り扱う課(これに準ずるものを含む。以下同じ。)に情報セキュリティに関する権限及び責任を有する情報管理者を置き,当該課の長をもってこれに充てる。

4.システム管理者

  • 情報管理者のうち,重要な情報システムの情報セキュリティを維持し,情報システムの適正な管理並びに効率的な運用を図るため,システム管理者を置き,重要な情報システムに係る業務を所管する課の長をもってこれに充てる。

5.ネットワーク管理者

  • 情報システムセンターで運用する情報システムのネットワークの情報セキュリティを維持し,効率的な運用を図るためネットワーク管理者を置き,情報システムセンターの長をもってこれに充てる。

6.副情報管理者

  • 情報セキュリティの適正な運用及び管理に関して情報管理者の補佐を行うため,情報資産を取り扱う課に副情報管理者を置き,原則として,係長職の職員の中から情報管理者が指名する。

ページの先頭へ戻る

(2)権限,役割及び責任

情報セキュリティの権限,役割及び責任は下記のとおりとする。
1.最高情報セキュリティ責任者

  • 最高情報セキュリティ責任者は,情報セキュリティに関して局(区)情報管理者及び情報管理者に対して,必要な指示及び助言を行う。
  • 最高情報セキュリティ責任者は,全庁的に共通する情報資産の取扱いを定める情報セキュリティ実施手順(以下「共通実施手順」という。)を策定しなければならない。
  • 最高情報セキュリティ責任者は,まちづくり政策局の局(区)情報管理者の役割を兼ねる。

2.局(区)情報管理者

  • 局(区)情報管理者は,情報セキュリティに関し情報管理者に対して,必要な指示及び助言を行う。
  • 局(区)情報管理者は,所掌する局等に設置している情報システムで事務所管課を横断する情報システムの開発,設定の変更,運用及び更新等,当該システムに関する情報セキュリティ実施手順の策定,維持及び管理等の承認を行う。
  • 局(区)情報管理者は,所管する局等における情報セキュリティポリシーの遵守に関し,職員に対し教育,訓練,助言及び指示を行わなければならない。

3.情報管理者

  • 情報管理者は,使用する情報システムの機器や記録媒体について,第三者に使用させること,又は許可なく情報を閲覧させることがないように,適切な措置を施さなければならない。
  • 情報管理者は,非常勤嘱託職員及び臨時的任用職員(アルバイトを含む。)を雇用する場合に,必ず情報セキュリティポリシーのうち,職員が守るべき内容を理解させ,また実施及び遵守させなければならない。
  • 情報管理者は,所管する情報システムの開発,設定の変更,運用,更新等を行う権限及び責任を有する。
  • 情報管理者は,情報セキュリティに関する適正な運用及び管理を補佐する副情報管理者を1名以上指名し,情報管理者不在時における緊急時などの対応を予め定めておかなければならない。
  • 情報管理者は,所管する三種公所の長を副情報管理者に指名しなければならない。

4.システム管理者

  • システム管理者は,重要な情報システムの開発,設定の変更,運用,更新等を行う権限及び責任を有する。
  • システム管理者は,重要な情報システムに係る情報セキュリティ実施手順の策定,維持,管理等を行うとともに,当該情報システムが事務所管課を横断する場合は,当該実施手順について局(区)情報管理者の承認を得なければならない。また,定められている事項について職員に実施及び遵守させなければならない。
  • システム管理者は,職員に対して必要な知識や技能を習得させる研修を受けさせなければならない。

5.ネットワーク管理者

  • ネットワーク管理者は,情報システムセンターで運用する情報システムのネットワークについて,設定の変更,運用,更新等を行う権限及び責任を有する。
  • ネットワーク管理者は,必要に応じシステム管理者の支援を行わなければならない。
  • ネットワーク管理者は,情報システムセンターにおける情報管理者及び所管する重要な情報システムに係るシステム管理者の役割を兼ねる。

6.副情報管理者

  • 副情報管理者は,情報管理者に情報セキュリティに必要な情報を提供するとともに,その指示により課内の情報セキュリティ対策を推進する。
  • 副情報管理者は,情報管理者不在の場合は,情報管理者に代わり,予め定めてある緊急時の対応等を行わなければならない。

ページの先頭へ戻る

(3)情報資産の分類と管理

1.行政情報の分類

情報管理者は,行政情報を脅威から保護するために,対象となるすべての行政情報を,重要度の高いものから重要性分類S,I,II及びIIIとし,以下の要件に従って分類する。

(1)重要性分類I
  • 仙台市情報公開条例(平成12年仙台市条例第80号)第7条第1号から第4号に定義されている非開示情報。
  • 情報システムの運用管理に関する情報で,情報セキュリティを維持するため,機密の取扱いを要する情報。
  • 上記に掲げる場合のほか,情報管理者が,情報の機密性,完全性及び可用性その他の事情を考慮して,重要性分類Iとして管理することが適当と認める行政情報。
(2)重要性分類S
  • 重要性分類Iに分類される行政情報のうち,滅失又はき損した場合,復元が著しく困難となり,行政の円滑な執行に重大な支障をきたすおそれのある行政情報。
(3)重要性分類II
  • 仙台市情報公開条例第7条第5号及び第6号に定義されている非開示情報。
  • 上記に掲げる場合のほか,情報管理者が,情報の機密性,完全性及び可用性その他の事情を考慮して,重要性分類IIとして管理することが適当と認める行政情報。
(4)重要性分類III
  • 重要性分類S,I及びII以外の行政情報。
2.情報システムの分類

情報管理者は,情報システムを脅威から保護するために,所管する情報システムのうち,以下のいずれかに該当する情報システムを重要な情報システムに分類する。

  • 複数の課公所で業務に利用されている情報システム。
  • 重要性分類Sの行政情報を取扱っている情報システム。
  • セキュリティ障害により一週間以上情報システムの通常運用が不可能になった場合に,行政の円滑な執行や組織の運営に重大な支障をきたすおそれのある情報システム。
  • 上記に掲げるもののほか,情報管理者が,情報システムの情報の機密性,完全性及び可用性その他の事情を考慮して,重要な情報システムとして管理することが適当と認める情報システム。
3.行政情報の管理方法
(1)
行政情報の管理及び取扱い
  • 情報管理者は,パスワード等によるアクセス制限を適切に行わなければならない。
  • 情報管理者は,重要性分類S,I及びIIの行政情報について,原則として,台帳を作成して管理しなければならない。
  • 職員は,業務目的以外に行政情報を利用してはならない。
  • 職員は,行政情報の不用意な複製,送付及び送信を行ってはならない。
  • 職員は,業務上必要な場合は,情報管理者の許可を得た上で行政情報の送付及び送信を行わなければならない。
  • 職員は,インターネットに接続するモバイル端末に,重要性分類S,I及びIIの行政情報の記録を行ってはならない。また,インターネットに接続しないモバイル端末であっても,重要性分類S,I及びIIの行政情報の記録は必要最小限としなければならない。
  • 職員は,行政情報を執務室外へ持ち出す場合は,情報管理者の許可を得なくてはならない。
  • 職員は,行政情報を持ち出す場合は,適切な保護対策を講じなければならない。
  • 職員は,行政情報を情報管理者の許可なく部外者へ提供してはならない。
  • 職員は,離席する場合及び退庁する場合は,行政情報を記録した電子計算機,情報システム及び行政情報を印刷した書類を容易に使用又は閲覧できる状態で放置してはならない。
  • 職員は,記録した情報の消去が可能な記録媒体に記録した行政情報について,保存しておく必要がなくなった場合は速やかに,当該行政情報を消去しなければならない。
(2)外部記録媒体及びモバイル端末の管理
  • 外部記録媒体及びモバイル端末は,未使用のものも含め,行政情報の無断持ち出しや漏えいを防止するため,施錠可能な安全な場所に保管する等適切に管理するとともに,その状況等を記録しなければならない。
  • 行政情報を記録した外部記録媒体及びモバイル端末を送る場合は,物理的な保護措置を講じなければならない。また,重要性分類S,I及びIIの行政情報を記録した外部記録媒体の送付を外部業者に委託する場合は守秘義務を明記した契約を締結しなければならない。
  • 職員は,離席する場合及び退庁する場合は,外部記録媒体及びモバイル端末を容易に使用又は閲覧できる状態で放置してはならない。
  • 外部記録媒体及びモバイル端末を保管する場合は,行政情報を消去した状態であっても,記録する行政情報の重要性分類に応じた管理をしなければならない。
(3)行政情報のバックアップ
  • 情報管理者は,重要性分類Sの行政情報について,外部記録媒体等へのバックアップを取り,施錠等の出来る安全な場所へ保管しなければならない。また,保管状況等を記録しなければならない。
  • 情報管理者は,重要性分類I及びIIの行政情報について,必要に応じバックアップを取り,行政情報の管理に努めなければならない。
(4)行政情報を記録した記録媒体の廃棄
  • 重要性分類S,I及びIIの行政情報を記録した記録媒体を廃棄する場合は,当該媒体に記録されている行政情報をいかなる方法によっても復元できないように消去を行うか,消去できないものにあっては物理的破壊を行った上で廃棄しなければならない。
  • 行政情報を記録した記録媒体の廃棄にあたり,当該行政情報の消去を外部業者に行わせる場合は,守秘義務を明記した契約を締結しなければならない。
  • 重要性分類S,I及びIIの行政情報を記録した記録媒体を廃棄する場合は,情報管理者の許可を得ることとし,廃棄を行った日時,担当者及び処理内容を記録しなければならない。
  • 廃棄する記録媒体は,廃棄されるまでの間,記録されている行政情報の重要度に応じた管理をしなければならない。
(5)ウェブページ等における行政情報の取扱い
  • 情報管理者は,ウェブページ等により外部へ行政情報を発信する場合,その内容について正確かつ適切なものとするとともに,不正アクセス等により行政情報が改ざんされないよう対策を講じなければならない。

(6)約款による外部サービスの利用

  • 職員は,オンラインストレージサービス等の約款による外部サービスを利用し,重要性分類S,I及びIIの行政情報の保存,送信等を行ってはならない。
  • 職員は,重要性分類IIIの行政情報の保存,送信等に当該サービスを利用する場合には,利用するサービスの約款,その他提供条件から,利用に当たってのリスクが許容出来ることを確認し,情報管理者の許可を得た上で約款による外部サービスの利用を申請しなければならない。
  • 職員は,適切な措置を講じた上で,当該サービスを利用しなければならない。
4.情報システムの管理方法
  • 情報管理者及びシステム管理者は,本章(6)物理的セキュリティ及び(7)技術的セキュリティに基づき情報システムを管理しなければならない。

ページの先頭へ戻る

(4)人的セキュリティ

1.職員の遵守事項

  • 職員は,情報セキュリティポリシー及び情報セキュリティ実施手順(共通実施手順及び情報システム毎の実施手順。以下同じ。)に定めている事項を遵守しなければならない。
  • 職員は,情報セキュリティポリシー及び情報セキュリティ実施手順について不明な点,遵守することが困難な点がある場合には,直ちに情報管理者に相談し,指示を仰がなければならない。
  • 職員は,情報管理者の指示等に従い,情報システムの開発,設定の変更,運用及び更新等の作業を行わなければならない。
  • 職員は,パソコン等の端末のソフトウェアに関するセキュリティ機能の設定をシステム管理者(システム管理者を置かない情報システムにおいては情報管理者)の許可なく変更してはならない。
  • 職員は,情報管理者の許可なく情報システムの機器を執務室外に持ち出してはならない。
  • 職員は,個人で所有する電子計算機及び記録媒体に行政情報を記録してはならない。
  • 職員は,本市の保有する行政情報を漏らしてはならない。その職を退いた後も同様とする。
2.外部委託に関する管理
  • システム管理者及び情報管理者は,情報システムの開発,保守,運用管理等の業務を外部業者に委託する場合は,守秘義務等,情報セキュリティポリシーのうち外部委託業者が守るべき内容の遵守及びその守秘義務を明記した契約を締結し,その遵守状況を管理しなければならない。
3.パスワードの管理
  • 職員は,自己の保有するパスワードについて,不用意にもらしたり他者に知られることのないよう適切に管理しなければならない。
4.IDカードの管理
  • 職員は,情報システムの認証等に用いるため個別に貸与されているIDカードを,職員間で共有してはならない。
  • 職員は,業務上必要のないときは,IDカードをカードリーダもしくは端末のスロット等から抜いておかなければならない。
  • 職員は,IDカードを紛失した場合には,速やかにシステム管理者及び情報管理者に通報し,指示に従わなければならない。
  • システム管理者及び情報管理者は,IDカードの紛失の通報があり次第,当該IDカードを使用したアクセス等を速やかに停止しなければならない。
  • システム管理者及び情報管理者は,利用しなくなったIDカードを回収し,破砕するなど復元不可能な処理を行ったうえで廃棄しなければならない。
5.アクセスの制限
  • 職員は,重要な情報システムへの接続については,必要最小限の接続時間で行うように努めるものとする。
  • 職員は,業務目的外の行政情報にアクセスしてはならない。

ページの先頭へ戻る

(5)セキュリティ教育,訓練

1.研修の受講

  • 最高情報セキュリティ責任者は,情報セキュリティポリシーについて啓発に努めるとともに,職責に応じた情報セキュリティに関する研修を定期的に実施しなければならない。
  • 局(区)情報管理者は,局(区)情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 情報管理者は,情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 副情報管理者は,情報管理者を補佐する者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
  • 職員は,情報セキュリティポリシーに関する研修を受講し,情報セキュリティポリシー及び情報セキュリティ実施手順を理解し,情報セキュリティ上の問題が生じないようにしなければならない。
  • 情報システムの開発,保守及び運用管理等に携わる職員は,担当者として必要な知識や技能を習得及び維持するための研修を受講しなければならない。
  • 最高情報セキュリティ責任者は,職員の情報セキュリティの研修の実施状況について,必要に応じて「仙台市情報化推進本部」に報告するものとする。
2.セキュリティ障害等の緊急時の訓練
  • システム管理者は,重要な情報システムの運用に支障を来さない範囲において,緊急時の対応を想定した訓練等を実施しなければならない。

ページの先頭へ戻る

(6)物理的セキュリティ

1.入退室の管理

  • 情報管理者は,重要性分類S及びIの行政情報の記録されている媒体保管場所及びそれを取り扱う情報機器の設置場所への入退室の管理について必要な措置を講じなければならない。

2.電子計算機室等の管理

  • システム管理者及び情報管理者は,電子計算機室等においては,電子計算機や記録媒体の持ち出し及び持ち込みについて記録を作成し,保管しなければならない。

3.機器の管理

  • 職員は執務室に職員が不在となる場合には,施錠するなど部外者の侵入を防ぐ措置を講じなければならない。
  • 情報管理者は,情報システムの機器等に盗難防止用ワイヤーの設置等の盗難防止対策を必要に応じて施すものとする。
  • システム管理者は,重要な情報システムのサーバ等の機器の取付けを行う場合,火災,水害,埃,振動,温度,湿度等の影響を可能な限り排除した場所に設置し,容易に取り外せないよう適切に固定する等の機器の保護に関する必要な措置を講じなければならない。

4.機器等の搬入及び搬出

  • 情報管理者は,機器等の搬入及び搬出の場合に,職員が立ち会う等の必要な措置を講じなければならない。

5.電源

  • 情報管理者は,停電及び電圧異常等によりデータ等が破壊され,業務処理に支障を来すおそれのある情報システム等の機器の電源を,当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。

6.配線

  • 情報管理者は,配線については,傍受又は損傷等を受けることがないよう可能な限り必要な措置を施さなければならない。
  • 情報管理者は,主要な箇所の配線については,損傷等についての定期的な点検を行わなければならない。

ページの先頭へ戻る

(7)技術的セキュリティ

1.情報システムの管理
(1)台帳の作成と管理

  • システム管理者及び情報管理者は,所管する情報システムについて,原則として,台帳を作成して管理しなければならない。

(2)情報システム管理記録の作成と管理

  • システム管理者は,担当する重要な情報システムにおけるシステムの変更作業を記録し,適切に管理しなければならない。
(3)情報システム仕様書の管理
  • システム管理者は,重要な情報システムの仕様書を最新の状態にしなければならない。また,システムの仕様変更等をした場合は,その記録を作成しなければならない。
  • システム管理者は,重要な情報システムの仕様書を業務上必要とする者のみが閲覧出来る場所に保管しなければならない。
(4)アクセス記録の取得
  • システム管理者は,アクセス記録及びセキュリティ障害に関する記録(以下「障害記録」という。)を取得し,一定の期間保存しなければならない。
  • システム管理者は,アクセス記録として取得する項目,保存期間,取扱方法及びアクセス記録が取得できなくなった場合の対処等について定め,適切に管理しなければならない
  • システム管理者は,アクセス記録が,窃取,改ざん又は消去されないように必要な措置を講じなければならない。
  • システム管理者は,アクセス記録を定期的に点検又は分析する機能を設け,必要に応じて不正アクセス,不正操作等の有無について点検又は分析を実施しなければならない。
(5)障害記録の作成
  • システム管理者は,障害記録を作成し,一定の期間保存しなければならない。
(6)ソフトウェアの導入に関する注意
  • 職員は,新たにソフトウェアを導入する場合は,システム管理者の許可を得るとともに,著作権及び著作隣接権に配慮しなければならない。
  • 職員は,正規のライセンスのないソフトウェアを導入してはならない。
  • 職員は,業務上不必要なソフトウェア及び出所不明なソフトウェア等安全性が確認されないソフトウェアをインストールしてはならない。
  • 職員は,導入されているソフトウェアを適切に運用管理しなければならない。
(7)電子メールの送受信等
  • 職員は,業務上不必要な者へ電子メールを送信してはならない。
  • 職員は,チェーンメールや不審な電子メールを他者に転送してはならない。
  • 職員は,自動転送機能を用いて,電子メールを転送してはならない。ただし,業務上必要な場合であって,システム管理者又は情報管理者の許可を得た場合はこの限りではない。
  • 職員は,重要性分類S,I又はIIの行政情報に該当する添付ファイルのある電子メールを送信する必要がある場合には,事前に情報管理者の承認を受けなければならない。
  • 原則として,仙台市個人情報保護条例(平成16年仙台市条例第49号)第2条第1項に該当する個人情報は送信してはならない。
  • 職員は,複数人に電子メールを送信する場合,必要がある場合を除き,他の送信先の電子メールアドレスがわからないようにしなければならない。ただし,グループウェアの電子メールについてはこの限りではない。
  • 職員は,差出人が不明な,又は不自然なファイルが添付された電子メールを受信した場合は,直ちに廃棄しなければならない。
(8)電子メールのセキュリティ管理
  • ネットワーク管理者は,権限のない利用者により,外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう,電子メールサーバの設定を行わなければならない。
  • ネットワーク管理者は,大量のスパムメール等の受信又は送信を検知した場合は,メールサーバの運用を停止しなければならない。
  • ネットワーク管理者は,電子メールの送受信容量の上限を設定し,上限を超える電子メールの送受信を不可能にしなければならない。
  • ネットワーク管理者は,職員等が使用出来る電子メールボックス等の容量の上限を設定し,上限を超えた場合の対応を職員等に周知しなければならない。
(9)暗号化
  • 情報管理者は,必要に応じて行政情報を暗号化して管理するものとし,暗号化に用いた暗号鍵及び暗号化された行政情報は,別々に適切な管理をしなければならない。
(10)職員以外の者が利用できる情報システム
  • システム管理者は,職員以外の者が利用出来る情報システムについては,情報セキュリティに関して危険性に応じた対策をとらなければならない。
(11)情報システムの入出力データ
  • 情報管理者は,情報システムに入力されるデータの適切なチェック等を行い,それが正確であることを確実にするための対策を施さなければならない。
  • 情報管理者は,情報システムから出力されるデータが正しく処理されていることを確認しなければならない。
(12)業務目的以外での使用の禁止
  • 職員は,業務目的以外での情報システムへのアクセス,電子メールの使用及びウェブの閲覧を行ってはならない。
2.情報システムアクセス制御
(1)
利用者登録
  • システム管理者は,重要な情報システムの利用者の登録,変更及び抹消等については,情報システム毎に定められた方法に従って行わなければならない。
  • 利用者の登録及び変更等は,システム管理者に対する申請により行わなければならない。
(2)二要素認証
  • システム管理者及び情報管理者は,重要性分類S又はIの行政情報を取り扱う情報システムの認証においては,行政情報の重要度に応じて,パスワード以外に指紋認証等の二要素認証の導入を検討しなければならない。

(3)不必要なネットワークへのアクセス制御

  • システム管理者は,不必要なネットワークサービスにアクセスできないよう必要な措置を講じなければならない。
(4)外部からのアクセス
  • システム管理者は,外部からのアクセスの許可は,必要最小限にしなければならない。
  • システム管理者及び情報管理者は,公衆通信回線(公衆無線LAN等)を情報システムに接続することを原則禁止しなければならない。ただし,やむを得ず接続を認める場合は,情報セキュリティ確保のために必要な措置を講じなければならない。
(5)内部からのアクセス
  • 情報管理者は,行政情報ネットワークシステムや内部ネットワークを持つシステム上の共有フォルダへのアクセスの許可は,必要最小限にしなければならない。
(6)外部ネットワークとの接続
  • システム管理者は外部ネットワークとの接続に際しては,当該外部ネットワークのネットワーク構成,機器構成及び情報セキュリティレベル等を詳細に検討し,本市の情報資産に影響が生じないことを明確に確認し,ネットワーク管理者との協議の上,最高情報セキュリティ責任者の許可に基づき接続しなければならない。
  • システム管理者及びネットワーク管理者は,外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることの無いようにセキュリティ対策に努めなければならない。
  • ネットワーク管理者は,フィルタリング及びルーティングについて,不都合が発生しないよう,必要な対策を講じるものとする。
  • ネットワーク管理者は,不正アクセスを防止するため,アクセス制御等必要な対策を講じるものとする。
  • システム管理者及びネットワーク管理者は,接続した外部ネットワークの情報セキュリティに問題が認められ,本市の情報資産に脅威が生じることが想定される場合には,直ちに当該外部ネットワークを物理的に遮断しなければならない。
  • システム管理者及びネットワーク管理者は,内部ネットワークの情報セキュリティに問題が認められた場合には,直ちに当該内部ネットワークを,外部ネットワークから遮断しなければならない。
(7)無許可でのネットワーク接続禁止
  • 職員は,システム管理者又は情報管理者の許可なくパソコン等をネットワークに接続してはならない。
(8)特権を付与されたID等の管理
  • システム管理者及び情報管理者は,管理者権限等の特権を付与されたIDを利用する者を必要最小限にし,当該ID及びパスワードを厳重に管理しなければならない。
  • システム管理者及び情報管理者は,特権を付与されたID及びパスワードの変更について,外部委託事業者に行なわせる必要性がある場合は,十分な管理のもと,行うものとする。
  • システム管理者及び情報管理者は,特権を付与されたID及びパスワードについて,職員が事務用に使用する電子計算機等のパスワードよりも,定期的な変更や入力回数の制限等セキュリティ機能の強化に努めるものとする。
(9)情報システム利用者のIDの管理
  • システム管理者及び情報管理者は,利用者の登録,変更及び抹消等の情報管理,職員の異動,出向及び退職等に伴う利用者IDの取扱い等の方法を定めなければならない。
  • 職員は,業務上必要がなくなった場合は,利用者登録を抹消するよう,システム管理者又は情報管理者に通知しなければならない。
  • システム管理者及び情報管理者は,利用されていないIDが放置されないよう,定期的に点検しなければならない。
3.情報システムの開発,導入及び保守

情報管理者は,情報システムの開発,導入及び保守をする場合は,必要に応じネットワーク管理者と協議するものとする。

(1)情報システムの開発及び導入
  • システム管理者及び情報管理者は,情報システムのソフトウェアを開発及び導入する場合は,情報セキュリティ上問題にならないように対策を講じなければならない。
  • システム管理者は,重要な情報システムのソフトウェアを開発する場合は,ソフトウェアの仕様書及びネットワーク構成図等を整備しなければならない。
  • システム管理者は,開発したソフトウェアを重要な情報システムに取り入れる場合は,既に稼動しているシステムに情報セキュリティ上の影響が及ばないように,接続する前に十分な試験を行わなければならない。
(2)情報システムの変更管理
  • システム管理者は,重要な情報システムを追加,変更又は廃棄等した場合は,その際の設定,構成等の履歴を記録及び保存し,必要な場合には復旧出来るようにしなければならない。
(3)ソフトウェアの保守及び更新
  • システム管理者及び情報管理者は,情報セキュリティに重大な影響を及ぼすソフトウェアについては,適切な保守が行われるようにし,その不具合については,直ちに修正等の対応を行わなければならない。
  • システム管理者及び情報管理者は,パッチやバージョンアップ等のサポートが終了したソフトウェアを利用してはならない。
  • システム管理者は,重要な情報システムのソフトウェアの更新等については,計画的に実施しなければならない。
(4)機器の修理,廃棄又は返却
  • 情報管理者は,記録媒体の含まれる機器を,外部業者に修理させる場合又は賃貸借期限終了等により返却若しくは廃棄する場合は,可能な範囲でバックアップを取り,記録媒体内のすべての行政情報を消去しなければならない。
  • 情報管理者は,当該機器を外部業者に修理させる際,行政情報を消去することが難しい場合は,修理を行わせる業者と守秘義務を明記した契約を締結しなければならない。
(5)機器構成の変更
  • 職員は,情報システムの機器について業務を遂行するため機器の増設又は交換を行う必要がある場合には,システム管理者又は情報管理者の許可を得なければならない。
  • 職員は,通信機器等を増設して,他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には,情報管理者を通じ,システム管理者の許可を得なければならない。
  • システム管理者は,機器構成の変更等の許可に当たって,重要な情報システムや他のシステムに情報セキュリティ上の問題を生じさせてはならない。
4.コンピュータウイルス対策
(1)情報管理者の実施事項
  • 情報システムのサーバ及び必要な機器にウイルス対策ソフトを導入すること。
  • ウイルスチェック用のパターンファイルは常に最新のものに保つこと。
  • 定期的に新種のウイルスに関する情報収集や情報システム内部の感染状況等について情報収集をすること。
  • コンピュータウイルスについて,職員に対して必要な啓発活動を行うこと。
(2)職員の遵守事項
  • データ又はソフトウェアを外部から取り入れ,又は外部に持ち出す場合は,必ずウイルスチェックを行うこと。
  • ウイルスチェックの実行を途中で止めないこと。
  • 添付ファイルのあるメールを送受信する場合は,ウイルスチェックを行うこと。

5.不正アクセス対策

  • システム管理者及び情報管理者は,不要なサービスについて,機能を削除又は停止しなければならない。
  • システム管理者及び情報管理者は,セキュリティホール等の情報収集に努め,メーカー等から修正プログラムの提供があり次第,速やかに対応するとともに,その修正履歴を記録及び保存しなければならない。
  • システム管理者及び情報管理者は,情報システムに修正プログラムの導入ができない場合は,他の手段によって,情報セキュリティを確保する措置を講じなければならない。
  • システム管理者及び情報管理者は,情報システムに不正な侵入や利用があった場合に探知等出来るよう,適切な対策に努めなければならない。
  • システム管理者及び情報管理者は,情報システムに攻撃を受けていることが明らかな場合には,システムの停止を含め必要な措置を講じなければならない。
  • 局(区)情報管理者又は情報管理者は,職員により本市ネットワーク及び外部ネットワークに対して不正なアクセスがあった場合は,当該職員が属する情報管理者に通知し,適切な処置を求めなければならない。
  • 職員は,外部ネットワークより不正アクセスがあった場合は,システム管理者及び情報管理者に報告し,適切な措置を講じなければならない。

6.セキュリティ情報の収集

  • システム管理者は,重要な情報システムの設定に係るファイル等について,定期的に当該ファイルの改ざんの有無を検査しなければならない。
  • 局(区)情報管理者は,セキュリティに関する情報について,国及び関係団体,民間事業者等から適宜情報を収集しなければならない。

7.ネットワークに接続する機器の管理

  • システム管理者及び情報管理者は,特定用途機器について,取り扱う情報,利用方法,通信回線への接続形態等により,何らかの脅威が想定される場合は,当該機器の特性に応じた対策を実施しなければならない。

ページの先頭へ戻る

(8)運用

1.情報システムの監視

  • システム管理者は,重要な情報システムの運用にあたっては,常に情報システムを監視するとともにセキュリティ障害に対して注意を払わなければならない。
  • システム管理者は,セキュリティ障害時の調査を確実なものとするために,重要な情報システムのサーバ等の時刻について,正確な時刻を保つようにしなければならない。

2.情報セキュリティポリシーの遵守状況の確認と対処

  • 局(区)情報管理者及び情報管理者は,情報セキュリティポリシーの遵守状況について,また,運用上支障が生じていないかについて確認を行い,問題が発生していた場合には適切かつ速やかに対処しなければならない。
  • システム管理者は,ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について,定期的に確認を行い,問題が発生していた場合には適切かつ速やかに対処しなければならない。

3.セキュリティ障害時の対応

局(区)情報管理者,システム管理者及び情報管理者は,セキュリティ障害が発生した場合には,直ちに対応するとともに,再発防止の措置を講じなければならない。

(1)障害の発生
  • 職員は,セキュリティ障害が発生した場合は,直ちに情報管理者へ報告しなければならない。
  • 情報管理者は,セキュリティ障害が発生した情報システムが重要な情報システムに関するものにあっては,直ちにシステム管理者へその旨を報告しなければならない。
(2)障害発生の報告
  • システム管理者及び情報管理者は,セキュリティ障害が発生した場合,直ちに次の項目について調査を行い,その内容について局(区)情報管理者へ報告しなければならない。ただし,セキュリティ障害の程度が軽微なものについては報告を要しないものとする。
  • セキュリティ障害の内容
  • セキュリティ障害が発生した原因
  • 確認した被害及び影響範囲
  • 局(区)情報管理者は,セキュリティ障害の程度が外部に重大な影響を及ぼすおそれがある場合には,直ちに最高情報セキュリティ責任者に報告のうえ必要な指示を仰がなければならない。
(3)障害拡大の防止措置
  • システム管理者及び情報管理者は,故意の不正アクセス又は不正操作によりセキュリティ障害が発生することが明らかな場合には,重要な情報システムの停止を含む必要な措置を講じなければならない。
  • システム管理者及び情報管理者は,セキュリティ障害が発生し,その障害の原因となる行為が不正アクセスの可能性がある場合には,当該セキュリティ障害に関する記録(アクセスログ等)の保存に努めなければならない。
(4)障害の復旧及び再発防止の報告
  • システム管理者及び情報管理者は,局(区)情報管理者の指示の下,直ちにセキュリティ障害を復旧し,その措置について局(区)情報管理者に報告しなければならない。
  • 局(区)情報管理者は,必要な再発防止の措置を講じるとともに,外部に重大な影響を及ぼしたセキュリティ障害について,その対応結果を最高情報セキュリティ責任者に報告しなければならない。

4.大規模災害時等における例外措置
(1)
例外措置の許可

局(区)情報管理者は,情報セキュリティ関係規定を遵守することが困難な状況で,行政事務の適正な遂行を継続するため,遵守事項とは異なる方法を採用し,又は遵守事項を実施しないことについて合理的な理由がある場合には,最高情報セキュリティ責任者の許可を得て,例外措置を実施することが出来る。

(2)緊急時の例外措置

局(区)情報管理者は,行政事務の遂行に緊急を要する等の場合であって,例外措置を実施することが不可避のときは,(1)の許可を得ることなく例外措置を実施することができる。ただし,外措置の実施後速やかに最高情報セキュリティ責任者に報告しなければならない。

ページの先頭へ戻る

(9)法令等遵守

  • 職員は,次の法令等を遵守しなければならない。
  • 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)
  • 著作権法(昭和45年法律第48号)
  • 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
  • 仙台市個人情報保護条例
  • 事務処理指針(H20年総総行第532号,別添)
  • また,マナーと倫理をもって情報システムを利用しなければならない。

ページの先頭へ戻る

(10)評価,見直し等

1.自主点検

  • 局(区)情報管理者及び情報管理者は,当該部署の情報セキュリティが確保されていることを確認するため,定期的及び必要に応じて自主点検を行い,必要に応じ改善措置を講じるものとする。
  • 職員は,自主点検の結果に基づき,自己の権限の範囲内で改善を図らなければならない。
  • 最高情報セキュリティ責任者は,この点検結果を情報セキュリティポリシーの見直し及びその他の情報セキュリティ対策の見直し時に活用しなければならない。

2.監査

  • 最高情報セキュリティ責任者は,重要な情報システムの管理体制やシステムのぜい弱性調査等について定期的及び必要に応じ監査を実施するものとする。
  • 最高情報セキュリティ責任者の命により監査を行う者は,監査及び情報セキュリティに関する専門知識を有する者でなければならない。
  • 最高情報セキュリティ責任者は,監査の結果を通して収集した監査証拠及び監査報告書作成のための書類を適切に保管しなければならない。
  • 最高情報セキュリティ責任者は,監査結果を踏まえ,指摘事項をに係る情報システムを所管している情報管理者又はシステム管理者に対し,当該事項への対処を指示しなければならない。また,指摘事項に係る情報システムを所管していない情報管理者又はシステム管理者に対しても,同種の課題及び問題点がある可能性が高い場合には,当該課題及び問題点の有無を確認させなければならない。
  • 最高情報セキュリティ責任者は,監査結果を取りまとめ,必要に応じて「仙台市情報化推進本部」に報告するものとする。
  • 最高情報セキュリティ責任者は,監査結果を情報セキュリティポリシーの見直し及びその他情報セキュリティ対策の見直し時に活用しなければならない。

3.見直し

  • 最高情報セキュリティ責任者は,情報セキュリティポリシーの見直しが必要となる事象が発生した場合には,「仙台市情報化推進本部」に諮り必要な見直しを行い,情報セキュリティの維持及び情報セキュリティポリシーの適切な運用に努めなければならない。

お問い合わせ

まちづくり政策局情報政策課

仙台市青葉区上杉1-5-12上杉分庁舎9階

電話番号:022-214-1260

ファクス:022-214-8136