仙台市行政情報セキュリティポリシー（PDF：752KB）

情報セキュリティ基本方針

（1）目的

本市が取り扱う情報資産には、市民の個人情報を始めとし行政運営上重要な情報など、部外に漏えい等した場合には極めて重大な結果を招く情報が多数含まれている。これらの情報資産を人的脅威や災害、事故等から防御することは、市民の財産やプライバシー等を保護し、継続的かつ安全で安定した行政サービスを提供するために必要不可欠である。
さらに、市民サービスの向上、業務効率化や合理化の要請に応じて、本市の情報システムによる業務量及び利用範囲は拡大を続けており、今や行政運営基盤として欠かせないものとなっている。本市の業務を安定的かつ円滑に継続するためには、管理している全ての情報システムが高度な安全性を備え、急速に発展し、高度化が進む情報技術を業務の効率化や利便性の向上に活用しつつ、セキュリティ上の脅威や攻撃から情報資産を守り、組織全体の防御を図ることが必要である。
このため、本市の情報資産の機密性、完全性及び可用性（注）を維持するための対策を整備することを目的に、情報セキュリティポリシーを定め、情報セキュリティの確保に最大限取組むこととする。
このうち情報セキュリティ基本方針においては、本市の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。

• （注）：国際標準化機構（ISO）が定めるもの（ISO7498-2：1989）
  機密性（confidentiality）：
  情報にアクセスすることが認可された者だけがアクセス出来ることを確実にすること。
  完全性（integrity）：
  情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
  可用性（availability）：
  許可された利用者が必要なときに情報にアクセス出来ることを確実にすること。

（2）定義

1.行政委員会等
教育委員会、選挙管理委員会、青葉区選挙管理委員会、宮城野区選挙管理委員会、若林区選挙管理委員会、太白区選挙管理委員会、泉区選挙管理委員会、人事委員会、監査委員、農業委員会、固定資産評価審査委員会をいう。

2.局等
仙台市事務分掌条例（昭和34年仙台市条例第20号）第1条に掲げる局及び室、並びに区役所、会計室、消防局、行政委員会等、議会事務局及び各公営企業をいう。

3.事務所管課
その保有するデータの一部又は全部の電子計算機処理を行うことにより所管する事務を遂行する課(これに準ずるものを含む。以下同じ。)をいう。

4.電子計算機
ハードウェア及びソフトウェアで構成するコンピュータをいう。また、電子計算機のうち、職員等が情報処理を行うために直接操作する機器を端末といい、そのうち、必要に応じて移動させて使用することを目的として導入したものをモバイル端末という。

5.記録媒体
電子計算機に使用される磁気ディスク、磁気テープ、光ディスク、フラッシュメモリその他これらに類する媒体をいう。また、記録媒体のうち、取り外し可能で持ち出しが可能なものを外部記録媒体という。

6.電子計算機室等
本市の電子計算機を運用管理する目的で設置している部屋をいう。

7.情報システム
電子計算機、ネットワーク、周辺機器等の組み合わせ、または電子計算機単体で構成され、情報処理を行う仕組みをいう。

8.ネットワーク
電子計算機等を相互に接続するための通信回線及びその構成機器（ハードウェア及びソフトウェア）で構成され、情報処理を行う仕組みをいう。
本市の情報システムが接続するネットワークを次のとおり分類する。

（1.）個人番号利用事務系ネットワーク
　・個人番号（マイナンバー）利用事務を取扱う情報システムが接続する共用ネットワーク及び当該情報システム専用のネットワークをいう。

（2.）LGWAN接続系ネットワーク
　・LGWANに接続する共用ネットワーク及びLGWANに接続する情報システム専用のネットワークをいう。

（3.）インターネット接続系ネットワーク
　・市区町村のインターネット接続口を集約する宮城県自治体情報セキュリティクラウドを通してインターネットにアクセス又はインターネットからのアクセスを許可する情報システムが接続するネットワークをいう。

（4.）その他ネットワーク
　・上記の（1.）から（3.）の要件に該当しない情報システムが接続する共用ネットワーク及び情報システム専用のネットワークをいう。

9.行政情報
本市の行政事務の執行に関わる情報で、情報システムで取り扱うものをいう。（入出力帳票及び情報システム仕様書等を含む。）
ただし、行政情報を外部へ提供した場合やICカード等に行政情報を記録したものを市民に交付する等により、当該情報の管理責任が本市から離れたものを除く。

10.個人情報等

　10.-1個人情報
　個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。）の第2条第1項に規定する個人情報をいう。

　　10.-1-1要配慮個人情報
　　個人情報保護法の第2条第3項に規定する要配慮個人情報をいう。

　　10.-1-2特定個人情報
　　行政手続における特定の個人を識別するための番号の利用等に関する法律（平成25年法律第27号。以下「番号法」という。）第2条第8項に規定する特定個人情報をいう。

　　10.-1-3死者情報
　　仙台市死者情報保護事務取扱要綱の第2条第1号に規定する死者情報をいう。

　　10.-1-4特定死者情報
　　仙台市死者情報保護事務取扱要綱の第2条第2号に規定する特定死者情報をいう。

11.情報資産
本市の情報システム、外部記録媒体及び行政情報をいう。

12.特定用途機器
テレビ会議システム、IP電話システム、ネットワークカメラシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている、又は内蔵の記録媒体を備えているものをいう。

13.ロボティック・プロセス・オートメーション
ロボティック・プロセス・オートメーション（以下「RPA」という。）はこれまで人間が行ってきた定型的な処理等をソフトウェアのロボットにより自動化するものをいう。

14.業務委託
以下のものをいう。
・本市がその事業のために他の事業者に物品の製造（加工を含む。）又は情報成果物の作成を委託すること。
・本市がその事業のために他の事業者に役務の提供を委託すること（他の事業者をして自らに役務の提供をさせることを含む。）。

15.クラウドサービス
国、地方公共団体その他の公共主体又は民間事業者等が保有・管理するサーバ、ストレージ、ソフトウェアその他の機能を、ネットワークを通じて、利用者が自ら利用できる形で提供するサービスをいい、下記のとおり分類する。

（1.）一般クラウドサービス
　・（2.）（3.）以外の全てのクラウドサービスをいう。約款への同意によって利用可能になるものや、相対契約を締結して利用するものなど、利用形態を問わず対象とする。

（2.）国が提供するクラウドサービス
　・国が運営し、提供するサービス（国以外の主体が運営するサービスであって、国による運営と同等の性質を有するとCISOが認めるものを含む）をいう。

（3.）ガバメントクラウド
　・政府の情報システムについて、共通的な基盤・機能を提供する複数のクラウドサービスの利用環境をいう。ガバメントクラウドはマイナンバー利用事務系と同一とみなして利用可とする。

16.テレワーク
情報通信技術(ICT=Information and Communications Technology)を活用した、勤務場所にとらわれない柔軟な働き方のことをいい、下記のとおり分類する。
（1.）在宅勤務
・自宅（自宅以外で所属長の承認を受けた場所を含む。）へモバイル端末を持ち出し、業務を遂行すること。
（2.）モバイルワーク
・執務室外での会議や外出先等、業務上の用務先へモバイル端末を持ち出し、業務を遂行すること（在宅勤務の場合を除く）。

17.情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。

18.セキュリティ障害
セキュリティ障害とは、本市の情報資産に対する脅威が実際に生じることにより、情報資産の機密性、完全性又は可用性が損なわれることであり、以下のものをいう。
（1.）情報システムの故障,停止
（2.）情報システムへの不正アクセス攻撃
（3.）情報システムの不正な利用
（4.）情報システムにおける入出力内容の誤り
（5.）情報資産の盗難
（6.）情報資産の紛失,滅失
（7.）行政情報の漏えい
（8.）行政情報の改ざん
（9.）行政情報の誤送付,誤送信
（10.）その他の障害

19.ソーシャルメディア
ブログ、ソーシャルネットワーキングサービス（SNS）、動画共有サイト等、利用者が情報を発信し、形成していくメディアのことをいう。

（3）情報セキュリティポリシーの位置付け

情報セキュリティポリシーは、本市の情報資産に関する情報セキュリティ対策について、総合的、体系的に取りまとめたものであり、情報セキュリティ対策の最高位に位置するものである。

（4）情報セキュリティポリシーの対象範囲

情報セキュリティポリシー第1章「情報セキュリティ基本方針」の対象範囲は、本市の局等（市立学校教職員を除く）とする。
第2章「情報セキュリティ対策基準」の対象範囲は、本市の局等（市立学校教職員及び行政委員会等の委員を除く）とする。

（5）職員の義務

職員は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用にあたっては情報セキュリティポリシーを遵守しなければならない。

（6）管理体制

本市の情報資産に関する情報セキュリティ対策を推進、管理するための体制を確立するものとする。

（7）情報資産の分類

情報資産をその重要度に応じて分類し、それに応じたセキュリティ対策を行うものとする。

（8）情報資産への脅威

情報セキュリティ対策を講ずるうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。
特に以下の脅威については十分な措置を講ずるものとする。
1.故意の不正アクセス又は不正操作によるデータやプログラムの持出、盗聴、改ざん、消去並びに機器及び外部記録媒体の盗難等
2.職員及び外部委託者による意図しない操作及び規定外の情報システムの機器操作によるデータ漏えい等
3.地震、落雷並びに火災等の災害や事故、故障等

（9）情報セキュリティ対策

本市の情報資産を上記（8）の脅威から保護するため、以下の情報セキュリティ対策を講ずるものとする。

1.人的セキュリティ対策
情報資産に接する職員の情報セキュリティに関する権限や責任等を定めるとともに、すべての職員に情報セキュリティポリシーの内容を周知徹底するため、教育及び訓練を行う。

2.物理的セキュリティ対策
電子計算機、通信回線、外部記録媒体等の管理及び電子計算機室等の入退室管理について、物理的な対策を講じる。

3.技術的セキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、コンピュータウイルス対策等を実施する。

4.運用
情報セキュリティポリシーの実効性を確保するため、また、不正アクセスされること及び不正アクセスによって他の情報システムに対して被害を及ぼすことを防ぐため、ネットワークの監視等の運用面における必要な措置を講ずる。
また、セキュリティ障害が発生した際の迅速な対応と行政事務の円滑な執行を可能とするため、必要な措置を講ずるものとする。

（10）情報セキュリティ対策基準の策定

情報セキュリティ基本方針を実行に移すため、情報セキュリティ対策を行う上で必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。

（11）情報セキュリティ実施手順の策定

情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を策定するものとする。情報セキュリティ実施手順は、本市全体として遵守すべき事項を規定した情報セキュリティ共通実施手順（以下「共通実施手順」という。）と、重要な情報システムの適切な運用に関する事項を規定した情報セキュリティシステム実施手順（以下「実施手順」という。）を策定する。なお、情報セキュリティ実施手順は、公にすることにより本市の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。

（12）評価・見直し

1.監査及び自主点検の実施
情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自主点検を実施する。

2.情報セキュリティポリシーの見直し
情報セキュリティ監査や自主点検の結果、全庁的な情報セキュリティ対策が必要になった場合や、情報セキュリティに関する状況の変化に対応するため新たに対策が必要になった場合には、情報セキュリティポリシーを見直す。

このページの本文エリアは、クリエイティブ・コモンズ表示4.0国際ライセンスの下、オープンデータとして提供されています。