色合い変更: 標準; 青; 黄; 黒

文字の大きさ: 標準; 大きく; さらに大きく

サイトマップ

コンテンツメニュー

ホーム > 市政情報 > 情報公開・情報化・情報セキュリティ > 情報セキュリティ > 第2章　情報セキュリティ対策基準

情報セキュリティ

目的からさがす

防災・緊急情報

区役所から探す

各区の図

ページID：11940

更新日：2026年3月31日

ここから本文です。

第2章　情報セキュリティ対策基準

仙台市行政情報セキュリティポリシー（PDF：752KB）

情報セキュリティ対策基準

情報セキュリティ対策基準とは、情報セキュリティ基本方針を実行に移すための、本市の情報資産に関する情報セキュリティ対策の基準である。

（1）管理体制

情報セキュリティの管理体制は下記のとおりとする。
1.最高情報セキュリティ責任者
本市の情報資産に関する情報セキュリティを統括する最高責任者として最高情報セキュリティ責任者（CISO：Chief Information Security Officer、以下「CISO」という。）を置き、まちづくり政策局デジタル戦略推進担当局長をもってこれに充てる。

2.局（区）情報管理者
局等の情報セキュリティに関する適正な運用及び管理を監理するため、局等に総括的な権限及び責任を有する局（区）情報管理者を置き、局等の長をもってこれに充てる。

3.情報管理者
情報セキュリティの適正な運用及び管理を行うため、情報資産を取り扱う課（これに準ずるものを含む。以下同じ。）に情報セキュリティに関する権限及び責任を有する情報管理者を置き、当該課の長をもってこれに充てる。

4.システム管理者
情報管理者のうち、重要な情報システムの情報セキュリティを維持し、情報システムの適正な管理並びに効率的な運用を図るため、システム管理者を置き、重要な情報システムに係る業務を所管する課の長をもってこれに充てる。

5.統括ネットワーク管理者
本市が運用する情報システムが接続する、第1章(2)8.の(1.)、(2.)及び（3.）のネットワークの情報セキュリティを維持し、効率的な運用を図るため統括ネットワーク管理者を置き、まちづくり政策局情報システム課長をもってこれに充てる。

6.ネットワーク管理者
本市が運用する情報システムが接続する第1章(2)8.の(4.)のネットワークの情報セキュリティを維持し、効率的な運用を図るためネットワーク管理者を置き、情報管理者をもってこれに充てる。(4.)において、同一のネットワークに、所管する課が異なる複数の情報システムが接続されている場合には、関係課で協議を行い、いずれかの情報システムの情報管理者をもってこれに充てる。

7.副情報管理者
情報セキュリティの適正な運用及び管理に関して情報管理者の補佐を行うため、情報資産を取り扱う課に副情報管理者を置き、原則として、当該課の係長職の職員の中から情報管理者が指名する。

8.システム担当者
重要な情報システムにおける情報セキュリティの維持に関してシステム管理者の補佐を行うため、重要な情報システムに係る業務を所管する課にシステム担当者を置き、当該課の職員の中からシステム管理者が指名する。

9.CSIRT責任者
本市のセキュリティ障害等に対応する組織（CSIRT：ComputerSecurityIncidentResponseTeam、以下「CSIRT」という。）の責任者としてCSIRT責任者を置き、まちづくり政策局行政デジタル推進課

10.CSIRT管理者
セキュリティ障害の発生連絡等のために、CSIRT管理者を置き、局等の主管課長をもってこれに充てる。

11.CSIRT担当者
CSIRT担当者は、まちづくり政策局行政デジタル推進課セキュリティ対策係をもってこれに充てる。

ページの先頭へ戻る

（2）権限,役割及び責任

情報セキュリティの権限、役割及び責任は下記のとおりとする。
1.CISO

CISOは、情報セキュリティに関して局（区）情報管理者及び情報管理者に対して、必要な指示及び助言を行う。
CISOは、CSIRTをまちづくり政策局行政デジタル推進課に設置し、その役割を明確にしなければならない。
CISOは、共通実施手順を策定しなければならない。
CISOは、まちづくり政策局の局（区）情報管理者の役割を兼ねる。
CISOは、情報セキュリティポリシーについて啓発に努めるとともに、職責に応じた情報セキュリティに関する研修を定期的に実施しなければならない。

2.局（区）情報管理者

局（区）情報管理者は、情報セキュリティに関し情報管理者に対して、必要な指示及び助言を行う。
局（区）情報管理者は、所掌する局等に設置している情報システムで事務所管課を横断する情報システムの開発、設定の変更、運用及び更新等、当該システムに関する実施手順の策定,維持及び管理等の承認を行う。
局（区）情報管理者は、所管する局等における情報セキュリティポリシーの遵守に関し、職員に対し教育、訓練、助言及び指示を行わなければならない。
局（区）情報管理者は、局（区）情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。

3.情報管理者

情報管理者は、使用する情報システムの機器や記録媒体について、第三者に使用させること、又は許可なく情報を閲覧させることがないように、適切な措置を施さなければならない。
情報管理者は、非常勤嘱託職員、会計年度任用職員、臨時的任用職員及びアルバイトを雇用する場合に、必ず情報セキュリティポリシーのうち、職員が守るべき内容を理解させ、また実施及び遵守させなければならない。
情報管理者は、所管する情報システムの開発、設定の変更、運用、更新等を行う権限及び責任を有する。
情報管理者は、情報セキュリティに関する適正な運用及び管理を補佐する副情報管理者を1名以上指名し、情報管理者不在時における緊急時などの対応をあらかじめ定めておかなければならない。
情報管理者は、所管する三種公所の長を副情報管理者に指名しなければならない。
情報管理者は、情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。
情報管理者は,情報情報管理者は、情報管理者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。

4.システム管理者

システム管理者は、重要な情報システムの開発、設定の変更、運用、更新等を行う権限及び責任を有する。
システム管理者は、重要な情報システムに係る実施手順の策定、維持、管理等を行うとともに、当該情報システムが事務所管課を横断する場合は、当該実施手順について局（区）情報管理者の承認を得なければならない。また、定められている事項について職員に実施及び遵守させなければならない。
システム管理者は,職員に対して必要な知識や技能を習得させる研修を受けさせなければならない。

5.統括ネットワーク管理者

統括ネットワーク管理者は、まちづくり政策局情報システム課で運用する情報システムのネットワークについて、設定の変更、運用、更新等を行う権限及び責任を有する。
統括ネットワーク管理者は、必要に応じシステム管理者及びネットワーク管理者の支援を行うものとする。

6.ネットワーク管理者

ネットワーク管理者は、所管する情報システムが接続する専用のネットワークについて、設定の変更、運用、更新等を行う権限及び責任を有する。

7.副情報管理者

副情報管理者は、情報管理者に情報セキュリティに必要な情報を提供するとともに、その指示により課内の情報セキュリティ対策を推進する。
副情報管理者は、情報管理者不在の場合は、情報管理者に代わり、あらかじめ定めてある緊急時の対応等を行わなければならない。
副情報管理者は、情報管理者を補佐する者として必要な知識を維持するための情報通信技術や情報セキュリティに関する研修を受講しなければならない。

8.システム担当者

システム担当者は、システム管理者に重要な情報システムの運用、管理等に必要な情報を提供するとともに、その指示によりシステムの開発、設定の変更、運用、更新等を行う。
システム担当者は、システム管理者不在の場合は、システム管理者に代わり、あらかじめ定めてある緊急時の対応等を行わなければならない。

9.CSIRT責任者

CSIRT責任者は、セキュリティ障害の発生について局等より報告を受けた場合には、その状況を確認し、セキュリティ障害対応に必要な報告等が行われる体制の整備を行う。
本市における情報セキュリティに関する施策等の内容を関係部局等に提供する。
セキュリティ障害の発生を認めた場合には、必要に応じて、CISO、国,、道府県等へ報告する。
情報セキュリティに関して、必要に応じて、国及び関係団体、民間事業者等との情報共有を行う。

9.CSIRT管理者

CSIRT管理者は、セキュリティ障害の発生についてシステム管理者又は情報管理者より報告を受けた場合には、その状況を確認し、CSIRT責任者に報告する。

10.CSIRT担当者

SIRT担当者は、CSIRT責任者に情報セキュリティに必要な情報を提供するとともに、その指示により本市の情報セキュリティ対策を推進する。

ページの先頭へ戻る

（3）情報資産の分類と管理

1.行政情報の分類

情報管理者は、行政情報を脅威から保護するために、対象となるすべての行政情報を、重要度の高いものから重要性分類S（A）、S（B）、1.、2.及び3.とし、以下の要件に従って分類する。

（1.）重要性分類S(A)

個人番号利用事務に係る特定個人情報。
基幹系システムのデータベース。
その他、情報管理者が、情報の機密性、完全性及び可用性その他の事情を考慮して、重要性分類S(A)として管理することが適当と認める行政情報

（2.）重要性分類S（B）

個人情報ファイル
個人番号関係事務に係る特定個人情報
要配慮個人情報
その他、情報管理者が、公開・漏えいした場合に個人の権利利益や行政運営に重大な支障が生じるおそれがあると判断する行政情報

（3.）重要性分類1.

個人情報（個人情報ファイルに該当するものを除く）
その他、情報管理者が、公開・漏えいした場合に個人の権利利益や行政運営に支障が生じるおそれがあると判断する行政情報

（4.）重要性分類2.

情報管理者が、公開・漏えいした場合に行政運営に一定の支障を生じるおそれがあると判断する行政情報

（5.）重要性分類3.

公開情報
その他、情報管理者が、公開・漏えいした場合に、個人の権利利益や行政運営に影響を及ぼさないと判断する行政情報。

2.情報システムの分類

情報管理者は、情報システムを脅威から保護するために、所管する情報システムのうち、以下のいずれかに該当する情報システムを重要な情報システムに分類する。

複数の課公所で業務に利用されている情報システム。
重要性分類S（A）又はS(B)の行政情報を取扱っている情報システム。
セキュリティ障害により一日以上情報システムの通常運用が不可能になった場合に、行政の円滑な執行や組織の運営に重大な支障をきたすおそれのある情報システム。
上記に掲げるもののほか、情報管理者が、情報システムの情報の機密性、完全性及び可用性その他の事情を考慮して、重要な情報システムとして管理することが適当と認める情報システム。

3.行政情報の管理方法

（1.）行政情報の管理及び取扱い

情報管理者は、パスワード等によるアクセス制限を適切に行わなければならない。
情報管理者は、重要性分類2.以上の行政情報について、原則として、台帳を作成して管理しなければならない。
職員は、業務目的以外に行政情報を利用してはならない。
職員は、行政情報の不用意な複製、送付及び送信を行ってはならない。
職員は、業務上必要な場合は、情報管理者の許可を得た上で行政情報の送付及び送信を行わなければならない。
職員は、インターネット等の外部ネットワークに接続するモバイル端末に、原則として内部ストレージの暗号化や接続デバイスの制限を行う等の情報漏洩対策を実施するとともに、重要性分類2.以上の行政情報の記録を行ってはならない。また、インターネット等外部ネットワークに接続しないモバイル端末であっても、内部ストレージの暗号化や接続デバイスの制限を行う等の情報漏洩対策を実施するとともに、重要性分類2.以上の行政情報の記録は必要最小限としなければならない。
職員は、行政情報（特定個人情報を含む行政情報を除く。）を庁舎外へ持ち出す場合は、情報管理者の許可を得なくてはならない。
職員は、特定個人情報を含む行政情報を取り扱い区域の外へ持ち出す場合は、持ち出しの記録を付け、かつ情報管理者の許可を得なくてはならない。
職員は、行政情報を持ち出す場合は、適切な保護対策を講じなければならない。
職員は、行政情報を情報管理者の許可なく部外者へ提供してはならない。
職員は、離席する場合及び退庁する場合は、行政情報を記録した電子計算機、情報システム及び行政情報を印刷した書類を容易に使用又は閲覧できる状態で放置してはならない。
職員は、記録した情報の消去が可能な記録媒体に記録した行政情報について、保存しておく必要がなくなった場合は速やかに、当該行政情報を消去しなければならない。

（1.）-2　モバイル端末における行政情報の管理及び取扱いに関する特則

職員は、モバイル端末において行政情報を取扱う場合は、（1.）の定めのほか、CISOが定める実施手順を遵守しなければならない。

（2.）外部記録媒体及びモバイル端末の管理

外部記録媒体及びモバイル端末は、未使用のものも含め、行政情報の無断持ち出しや漏えいを防止するため、施錠可能な安全な場所に保管する等適切に管理するとともに、その状況等を記録しなければならない。
行政情報を記録した外部記録媒体及びモバイル端末を送る場合は、物理的な保護措置を講じなければならない。また、重要性分類2.以上の行政情報を記録した外部記録媒体の送付を外部業者に委託する場合は守秘義務を明記した契約を締結しなければならない。
職員は、離席する場合及び退庁する場合は、外部記録媒体及びモバイル端末を容易に使用又は閲覧できる状態で放置してはならない。
外部記録媒体及びモバイル端末を保管する場合は、行政情報を消去した状態であっても、記録する行政情報の重要性分類に応じた管理をしなければならない。
情報管理者は、外部記憶媒体のパスワードを、外部記憶媒体とは異なる場所に保管する等、厳重に管理しなければならない。

（2.）-2　テレワーク実施時のモバイル端末の管理に関する特則

テレワーク実施時のモバイル端末の管理については、（2.）の定めのほか、CISOが定める実施手順を遵守しなければならない。

（3.）行政情報のバックアップ

情報管理者は、重要性分類S（A）の行政情報について、外部記録媒体、又は当該行政情報を取り扱う情報システムと論理的に切り離されたネットワーク上にバックアップを取り、バックアップの管理状況を記録しなければならない。また、外部記録媒体に保存する場合は、施錠等のできる安全な場所へ保管しなければならない。
情報管理者は、重要性分類S（B）、1.及び2.の行政情報について、必要に応じバックアップを取り、行政情報の管理に努めなければならない。

（4.）行政情報を記録した記録媒体の廃棄

重要性分類2.以上の行政情報を記録した記録媒体を廃棄する場合は、当該媒体に記録されている行政情報をいかなる方法によっても復元できないように消去を行うか、消去できないものにあっては物理的破壊を行った上で廃棄しなければならない。
行政情報を記録した記録媒体の廃棄にあたり、当該行政情報の消去を外部業者に行わせる場合は、守秘義務を明記した契約を締結しなければならない。
重要性分類2.以上の行政情報を記録した記録媒体を廃棄する場合は、情報管理者の許可を得ることとし、廃棄を行った日時、担当者及び処理内容を記録しなければならない。
廃棄する記録媒体は、廃棄されるまでの間、記録されている行政情報の重要度に応じた管理をしなければならない。

（5.）ウェブページ等における行政情報の取扱い

情報管理者は、ウェブサイト等により外部へ行政情報を発信する場合、その内容について正確かつ適切に発信しなければならない。
情報管理者は、所管するウェブサイト等の脆弱性に対して必要な対策を講じ、不正アクセス等による行政情報の漏えいや改ざんを防止しなければならない。

（6.）一般クラウドサービスの利用における行政情報の取扱い

職員は、第1章（2）15.(1.)に規定するクラウドサービスを利用する場合において、重要性分類2.以上の行政情報の保存、送信等を行う場合は、取り扱う重要性分類に応じて本市基準を遵守したサービスを選定しなければならない。
職員は、重要性分類3.の行政情報の保存、送信等に当該サービスを利用する場合には、利用するサービスの約款、その他提供条件から、利用に当たってのリスクが許容できることを確認し、情報管理者の許可を得た上で一般クラウドサービスの利用を申請しなければならない。
職員は、適切な措置を講じた上で、当該サービスを利用しなければならない。

（7.）国により提供されるクラウドサービスにおける行政情報の取扱い

職員は、第1章（2）15.(2.)に規定するクラウドサービスを利用する場合には、当該システム等の利用目的に即した重要性分類の行政情報の保存、送信等を行うことが出来る。

4.情報システムの管理方法

情報管理者及びシステム管理者は、本章（5）物理的セキュリティ及び（6）技術的セキュリティに基づき情報システムを管理しなければならない。

5.情報システムが接続するネットワークの管理方法

統括ネットワーク管理者、ネットワーク管理者及び情報システムが接続するネットワークを所管する情報管理者及びシステム管理者は、ネットワーク毎の要件に基づいた対策を行い、適切に管理しなければならない。

（1.）個人番号利用事務系ネットワーク

　個人番号利用事務系ネットワークは,以下の対策を行わなければならない。

　　ア　個人番号利用事務系ネットワークと他のネットワークとの分離

個人番号利用事務系ネットワークは、原則として、外部ネットワークとの接続又は通信を行ってはならない。ただし、セキュリティ確保等のため、やむを得ず個人番号利用事務系ネットワークと他のネットワークとの接続又は通信を行う必要がある場合は、安全が確認された通信対象に限定した上で、セキュリティ障害が生じないよう、フィルタリング及びルーティング等の必要な対策を講じなければならない。

　　イ　情報へのアクセス及び持ち出しにおける対策

個人番号利用事務系ネットワークに接続する情報システムは、複数要素による利用者認証の導入や端末からの行政情報の持ち出し制限等により、情報漏えい対策を実施しなければならない。

　　ウ　コンピュータウイルス対策

複数の情報システムが接続する個人番号利用事務系ネットワークは、ネットワーク全体として均質なウイルス対策を講じなければならない。

（2.）LGWAN接続系ネットワーク

　LGWAN接続系ネットワークは、以下の対策を行わなければならない。

　　ア　LGWAN接続系とインターネット接続系ネットワークとの分離

LGWAN接続系ネットワークは、原則として、インターネット接続系ネットワークとの接続又は通信を行えないようにしなければならない。ただし、セキュリティ確保等のため、やむを得ずLGWAN接続系ネットワークとインターネット接続系ネットワークとの接続又は通信を行う必要がある場合は、安全が確認された通信対象に限定した上で、セキュリティ障害が生じないよう、フィルタリング及びルーティング等の必要な対策を講じなければならない。

　　イ　コンピュータウイルス対策

複数の情報システムが接続するLGWAN接続系ネットワークは、ネットワーク全体として均質なウイルス対策を講じなければならない。

（3.）インターネット接続系ネットワーク

　インターネット接続系ネットワークは、以下の対策を行わなければならない。

　　情報セキュリティクラウドへの参加

インターネット接続系ネットワークは、市区町村のインターネット接続口を集約する宮城県自治体情報セキュリティクラウドに参加し、国及び関係団体、民間事業者等と連携しながら、情報セキュリティ対策を推進しなければならない。

（4.）その他のネットワーク

その他ネットワークは、接続する情報システムの機密性、完全性、可用性を確保するために必要な対策を講じなければならない。また、複数の情報システムが接続するその他ネットワークは、ネットワーク全体として均質なウイルス対策を講じなければならない。
その他ネットワークのうち、宮城県自治体情報セキュリティクラウドへ参加せず独自の経路でインターネット接続を行うものは、セキュリティ障害の検知と対応及び不正アクセスの監視等の対策を講じなければならない。

ページの先頭へ戻る

（4）人的セキュリティ

1.職員の遵守事項

職員は、情報セキュリティポリシー及び情報セキュリティ実施手順（共通実施手順及び情報システム毎の情報セキュリティシステム実施手順。以下同じ。）に定めている事項を遵守しなければならない。
職員は、情報セキュリティポリシー及び情報セキュリティ実施手順について不明な点、遵守することが困難な点がある場合には、直ちに情報管理者に相談し、指示を仰がなければならない。
職員は、情報管理者の指示等に従い、情報システムの開発、設定の変更、運用及び更新等の作業を行わなければならない。
職員は、パソコン等の端末のソフトウェアに関するセキュリティ機能の設定をシステム管理者（システム管理者を置かない情報システムにおいては情報管理者）の許可なく変更してはならない。
職員は、情報管理者の許可なく情報システムの機器を庁舎外に持ち出してはならない。なお、番号法に定める特定個人情報を含む行政情報を記録する情報システムの機器は、情報管理者の許可なく取り扱い区域の外へ持ち出してはならない。
職員は、テレワークでモバイル端末を使用する場合、CISO及びシステム管理者が定める実施手順を遵守しなければならない。
職員は、個人で所有する電子計算機及び記録媒体並びに個人で利用するクラウドサービス上の記録領域等に重要性分類S,1.又は2.の行政情報を記録してはならない。
職員は、業務上必要とCISOが認める場合を除き、原則として個人で所有する電子計算機、外部記録媒体及び電子機器等を、本市の情報システムに接続してはならない。
職員は、本市の保有する行政情報を漏えいさせてはならない。その職を退いた後も同様とする。
職員は、ネットワークを通じて会議等に参加をする場合は、状況に応じて必要な情報漏洩対策を行わなければならない。
職員は、生成AIを用いて画像、音声、動画等を生成させた場合には、AI生成物をAIで作成したことが分かるように管理するとともに、学習データ、参照データの透明性や回答プロセスの透明性を確認しなければならない。また、生成物の使用に際しては、著作権法等の法令及び本市以外の者に帰属する権利を侵害していないことを確認した上で使用しなければならない。

2.業務委託とクラウドサービスに関する管理

（1.）業務委託

システム管理者及び情報管理者は、第1章（2）14.に規定する業務委託を行う場合には、守秘義務等、情報セキュリティポリシーのうち外部委託業者が守るべき内容の遵守を明記した契約を締結し、その遵守状況を管理しなければならない。また、情報管理者は、必要に応じて、特約を付して契約を締結することを検討しなければならない。

（2.）一般クラウドサービス

システム管理者及び情報管理者は、第1章（2）15.(1.)に規定するクラウドサービスを利用する場合には、本市基準を遵守したクラウドサービスを選定しなければならず約款への同意により利用する場合、定期的にクラウドサービスの約款及びセキュリティ要件が本市基準を満たしていることを確認しなければならない。また、クラウドサービスの約款が本市基準を満たさなくなった、又は事業を終了した場合には、遅滞なくデータ移行、代替サービスへの切り替え等を行い、当該クラウドサービスの利用契約を終了するよう対策を予め整備した上でクラウドサービスを利用しなければならない。

（3.）国により提供されるクラウドサービス

システム管理者及び情報管理者は,第1章（2）15.(2.)に規定するクラウドサービスを利用する場合には、国を通じて当該クラウドサービスを提供する事業者より提示される使用条件等に基づき利用契約の締結、又は同意書等の取り交わしや利用規約に基づいて同意を行うとともに、必要に応じてその遵守状況について報告を求める、又は利用規約等の内容を確認しなければならない。

3.パスワードの管理

職員は、自己の保有するパスワードについて、不用意に漏らしたり他者に知られることのないよう適切に管理しなければならない。
パスワードは、原則として職員等の間で共有してはならない。ただし、共有ID等で使用するパスワードを除く。
共有ID等で使用するパスワードは、人事異動及び年度替わりのタイミング等によりパスワードの機密性が低下した場合又は低下の恐れがある場合は、変更等を行わなければならない。
設定するパスワードは、最新の解析技術、取り扱う情報の機密性や可用性等を考慮したうえで十分な長さとし、文字列は想像しにくいもの（アルファベットの大文字及び小文字の両方を用い、数字や記号を織り交ぜる等）にしなければならない。
パスワードが流出したおそれがある場合には、情報管理者及びシステム管理者に速やかに報告し、パスワードを変更しなければならない。

4.IDカードの管理

パスワードが流出したおそれがある場合には、情報管理者及びシステム管理者に速やかに報告し、パスワードを変更しなければならない。
職員は、業務上必要のないときは、IDカードをカードリーダもしくは端末のスロット等から抜いておかなければならない。
職員は、IDカードを紛失した場合には、速やかにシステム管理者及び情報管理者に通報し、指示に従わなければならない。
システム管理者及び情報管理者は、IDカードの紛失の通報があり次第、当該IDカードを使用したアクセス等を速やかに停止しなければならない。
システム管理者及び情報管理者は、利用しなくなったIDカードを回収し、破砕するなど復元不可能な処理を行ったうえで廃棄しなければならない。

5.アクセスの制限

職員は、重要な情報システムへの接続については、必要最小限の接続時間で行うように努めるものとする。
職員は、業務目的外の行政情報にアクセスしてはならない。

6.セキュリティ教育,訓練

　6.-1研修の受講

職員は、情報セキュリティに関する研修を受講し、情報セキュリティポリシー及び情報セキュリティ実施手順を理解し、情報セキュリティ上の問題が生じないようにしなければならない。
情報システムの開発、保守及び運用管理等に携わる職員は、担当者として必要な知識や技能を習得及び維持するための研修を受講しなければならない。

　6.-2セキュリティ障害時等の緊急時の訓練

　システム管理者は、重要な情報システムの運用に支障を来さない範囲において、緊急時の対応を想定した訓練等を実施しなければならない。

ページの先頭へ戻る

（5）物理的セキュリティ

1.入退室の管理

情報管理者は、重要性分類1.以上の行政情報の記録されている媒体保管場所及びそれを取り扱う情報機器の設置場所への入退室の管理について必要な措置を講じなければならない。

2.電子計算機室等の管理

システム管理者及び情報管理者は、電子計算機室等においては、電子計算機や記録媒体の持ち出し及び持ち込みについて記録を作成し、保管しなければならない。

3.機器の管理

職員は執務室に職員が不在となる場合には、施錠するなど部外者の侵入を防ぐ措置を講じなければならない。
情報管理者は、情報システムの機器等に盗難防止対策を必要に応じて施すものとする。
システム管理者は、重要な情報システムのサーバ等の機器の取付けを行う場合、火災、水害、埃、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等の機器の保護に関する必要な措置を講じなければならない。

4.機器等の搬入及び搬出

情報管理者は、機器等の搬入及び搬出の場合に、職員が立ち会う等の必要な措置を講じなければならない。

5.電源

情報管理者は、停電及び電圧異常等によりデータ等が破壊され、業務処理に支障を来すおそれのある情報システム等の機器の電源を、当該機器を適切に停止するまでの間に必要な電力を供給する容量の予備電源を備え付ける等の措置を講じなければならない。

6.配線

情報管理者は、配線については、傍受又は損傷等を受けることがないよう可能な限り必要な措置を施さなければならない。
情報管理者は、主要な箇所の配線については、損傷等についての定期的な点検を行わなければならない。

ページの先頭へ戻る

（6）技術的セキュリティ

1.情報システムの管理
（1）台帳の作成と管理

システム管理者及び情報管理者は、所管する情報システムについて、原則として、台帳を作成して管理しなければならない。

（2）情報システム管理記録の作成と管理

システム管理者は、担当する重要な情報システムにおけるシステムの変更作業を記録し、適切に管理しなければならない。

（3）情報システム仕様書の管理

システム管理者は、重要な情報システムの仕様書を最新の状態にしなければならない。また、システムの仕様変更等をした場合は、その記録を作成しなければならない。
システム管理者は、重要な情報システムの仕様書を業務上必要とする者のみが閲覧できる場所に保管しなければならない。

（4）アクセス記録の取得

システム管理者は、アクセス記録及びセキュリティ障害に関する記録（以下「障害記録」という。）を取得し、一定の期間保存しなければならない。
システム管理者は、アクセス記録として取得する項目、保存期間、取扱方法及びアクセス記録が取得できなくなった場合の対処等について定め、適切に管理しなければならない。
システム管理者は、アクセス記録が、窃取、改ざん又は消去されないように必要な措置を講じなければならない。
システム管理者は、アクセス記録を定期的に点検又は分析する機能を設け、必要に応じて不正アクセス、不正操作等の有無について点検又は分析を実施しなければならない。

（5）障害記録の作成

システム管理者は、障害記録を作成し、一定の期間保存しなければならない。

（6）ソフトウェアの導入に関する注意

職員は、新たにソフトウェアを導入する場合は、システム管理者の許可を得るとともに、著作権及び著作隣接権に配慮しなければならない。
職員は、正規のライセンスのないソフトウェアを導入してはならない。
職員は、業務上不必要なソフトウェア及び出所不明なソフトウェア等安全性が確認されないソフトウェアをインストールしてはならない。
職員は、導入されているソフトウェアを適切に運用管理しなければならない。

（7）電子メールの送受信等

職員は、電子メールで送受信を行う場合は、原則としてcity.sendai.jp又はcity.sendai.lg.jpのドメインを冠したメールアドレス(サブドメイン含む。)を使用しなければならない。ただし、業務上必要な場合であって、CISOの許可を得た場合はこの限りでない。
職員は、ウェブページ等が有するデータ送受信機能を用いて電子メールの送受信を行う場合は、重要性分類2.以上の行政情報の送信を原則行ってはならない。ただし、業務上必要な場合であって、CISOの許可を得た場合はこの限りでない。
職員は、業務上不必要な者へ電子メールを送信してはならない。
職員は、チェーンメールや不審な電子メールを他者に転送してはならない。
職員は、自動転送機能を用いて,電子メールを転送してはならない。ただし、業務上必要な場合であって、システム管理者又は情報管理者の許可を得た場合はこの限りではない。
職員は、重要性分類2.以上の行政情報(個人番号利用事務の情報は除く)に該当するファイルを外部と共有する必要がある場合には、複数要素認証等のアクセス制限機能を提供しているクラウドストレージ等ファイル共有サービスを原則利用しなければならない。
職員は、重要性分類2.以上の行政情報に該当する電子メールを送信する必要がある場合には、必要に応じて事前に情報管理者の承認を受けなければならない。
職員は、重要性分類2.以上の行政情報を、漏えい対策を行わないまま外部に送信してはならない。
職員は、重要性分類2.以上の行政情報に該当する添付ファイルのある電子メールを送信する場合には、あらかじめ電子メール以外の手法により送信先と暗号化のパスワードを取り決めることが望ましい。
職員は、複数人に電子メールを送信する場合、必要がある場合を除き、他の送信先の電子メールアドレスがわからないようにしなければならない。ただし、庁内ネットワーク内のみで送受信するグループウェアの電子メールについてはこの限りではない。
職員は、差出人又は内容が不明な、又は不自然なファイルが添付された電子メールを受信した場合は、直ちに廃棄しなければならない。

（8）電子メールのセキュリティ管理

統括ネットワーク管理者及びネットワーク管理者は、権限のない利用者により、内部から外部への電子メール転送（電子メールの中継処理）が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。
統括ネットワーク管理者及びネットワーク管理者は、大量のスパムメール等の受信又は送信を検知した場合は、メールサーバの運用を停止しなければならない。
統括ネットワーク管理者及びネットワーク管理者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない
統括ネットワーク管理者及びネットワーク管理者は、職員等が使用できる電子メールボックス等の容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

（9）暗号化

情報管理者は、必要に応じて行政情報を暗号化して管理するものとし、暗号化に用いた暗号鍵及び暗号化された行政情報は、別々に適切な管理をしなければならない。

（10）職員以外の者が利用できる情報システム

システム管理者は、職員以外の者が利用できる情報システムについては、情報セキュリティに関して危険性に応じた対策をとらなければならない。

（11）情報システムの入出力データ

情報管理者は、情報システムに入力されるデータの適切なチェック等を行い、それが正確であることを確実にするための対策を施さなければならない。
情報管理者は、情報システムから出力されるデータが正しく処理されていることを確認しなければならない。

（12）業務目的以外での使用の禁止

職員は、業務目的以外での情報システムへのアクセス、電子メールの使用及びウェブの閲覧を行ってはならない。

2.情報システムアクセス制御
（1）利用者登録

システム管理者は、重要な情報システムの利用者の登録、変更及び抹消等については、情報システム毎に定められた方法に従って行わなければならない。
利用者の登録及び変更等は、システム管理者に対する申請により行わなければならない。

（2）複数要素認証

システム管理者及び情報管理者は、重要性分類S（A）の行政情報を取り扱う情報システムの認証においては、行政情報の重要度に応じて、「知識」、「所持」、「存在」を利用する認証手段のうち二つ以上を併用する認証（複数要素認証）を導入しなければならない。
システム管理者及び情報管理者は、重要性分類S（B）、1.及び2.の行政情報を取り扱う情報システムの認証において、複数要素認証の導入を検討しなければならない。
なお、複数要素認証の導入が困難な場合は、ワンタイムパスワードの導入、又は一定回数認証に失敗した場合のアカウントロック機能を導入する、等の不正アクセス防止となりすまし防止対策を導入しなければならない。

（3）アクセス制御

システム管理者は、不必要なネットワークサービスにアクセスできないよう必要な措置を講じなければならない。
システム管理者は、情報システムへのアクセス許可は必要最小限にしなければならない。

（4）外部からのアクセス

システム管理者は、外部からのアクセスの許可は、必要最小限にしなければならない。
システム管理者及び情報管理者は、公衆通信回線（公衆無線LAN等）を情報システムに接続することを原則禁止しなければならない。ただし、やむを得ず接続を認める場合は、情報セキュリティ確保のために必要な措置を講じなければならない。

（5）内部からのアクセス

情報管理者は、内部ネットワークを持つシステム上の共有フォルダへのアクセスの許可は、必要最小限にしなければならない。

（6）外部ネットワークとの接続

個人情報を取扱う情報システムは、外部ネットワークとの接続を行ってはならない。ただし、法令等に定めがある場合又は第1章（2）15.(1.)及び(2.)に規定するサービスでCISOが必要と認める場合は、この限りではない。
システム管理者は外部ネットワークとの接続に際しては、当該外部ネットワークのネットワーク構成、機器構成及び情報セキュリティレベル等を詳細に検討し、本市の情報資産に影響が生じないことを明確に確認し、統括ネットワーク管理者（統括ネットワーク管理者の管理外であるネットワークにおいてはネットワーク管理者）との協議の上、CISOの許可に基づき接続しなければならない。
統括ネットワーク管理者、システム管理者及びネットワーク管理者は、外部ネットワークとの接続を行うことで内部ネットワークの安全性が脅かされることの無いようにセキュリティ対策に努めなければならない。
統括ネットワーク管理者及びネットワーク管理者は、フィルタリング及びルーティングについて、不都合が発生しないよう、必要な対策を講じるものとする。
統括ネットワーク管理者及びネットワーク管理者は、不正アクセスを防止するため、アクセス制御等必要な対策を講じるものとする。
統括ネットワーク管理者、システム管理者及びネットワーク管理者は、接続した外部ネットワークの情報セキュリティに問題が認められ、本市の情報資産に脅威が生じることが想定される場合には、直ちに当該外部ネットワークを物理的に遮断しなければならない。
統括ネットワーク管理者、システム管理者及びネットワーク管理者は、内部ネットワークの情報セキュリティに問題が認められた場合には、直ちに当該内部ネットワークを、外部ネットワークから遮断しなければならない。

（7）無許可または業務外でのネットワーク接続禁止

職員は、システム管理者又は情報管理者の許可なく端末(モバイル端末を含む)等をネットワークに接続してはならない。
職員は、支給された端末を、有線・無線を問わず,その端末(モバイル端末を含む)を接続して利用するようシステム管理者又は情報管理者によって定められたネットワークと異なるネットワークに接続してはならない。
システム管理者又は情報管理者は、支給した端末(モバイル端末を含む)について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう、技術的に制限するよう努めるものとする。

（8）特権を付与されたID等の管理

システム管理者及び情報管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該ID及びパスワードを厳重に管理しなければならない。
システム管理者及び情報管理者は、特権を付与されたID及びパスワードの変更について、外部委託事業者に行わせる必要性がある場合は,、分な管理のもと,行うものとする。
システム管理者及び情報管理者は、特権を付与されたID及びパスワードについて、職員が事務用に使用する電子計算機等のパスワードよりも、定期的な変更や入力回数の制限等セキュリティ機能の強化に努めるものとする。

（9）情報システム利用者のIDの管理

システム管理者及び情報管理者は、利用者の登録、変更及び抹消等の情報管理、職員の異動、出向及び退職等に伴う利用者IDの取扱い等の方法を定めなければならない。
職員は、業務上必要がなくなった場合は、利用者登録を抹消するよう、システム管理者又は情報管理者に通知しなければならない。
システム管理者及び情報管理者は、利用されていないIDが放置されないよう、定期的に点検しなければならない。

3.情報システムの開発,導入及び保守

システム管理者及び情報管理者は、情報システムの開発、導入及び保守をする場合は、必要に応じ統括ネットワーク管理者及びネットワーク管理者と協議するものとする。

（1）情報システムの開発及び導入

システム管理者及び情報管理者は、情報システムのソフトウェアを開発及び導入する場合は、情報セキュリティ上問題にならないように対策を講じなければならない。
システム管理者は、重要な情報システムのソフトウェアを開発する場合は、ソフトウェアの仕様書及びネットワーク構成図等を整備しなければならない。
システム管理者は、開発したソフトウェアを重要な情報システムに取り入れる場合は、既に稼動しているシステムに情報セキュリティ上の影響が及ばないように、接続する前に十分な試験を行わなければならない。

（2）情報システムの変更管理

システム管理者は、重要な情報システムを追加、変更又は廃棄等した場合は、その際の設定、構成等の履歴を記録及び保存し、必要な場合には復旧できるようにしなければならない。

（3）ソフトウェアの保守及び更新

システム管理者及び情報管理者は、情報セキュリティに重大な影響を及ぼすソフトウェアについては、適切な保守が行われるようにし、その不具合については、直ちに修正等の対応を行わなければならない。
システム管理者及び情報管理者は、パッチやバージョンアップ等のサポートが終了したソフトウェアを原則として利用してはならない。また、当該製品の利用を予定している期間中にパッチやバージョンアップなどの開発元のサポートが終了する予定がないことを確認しなければならない。
システム管理者は、重要な情報システムのソフトウェアの更新等については、計画的に実施しなければならない。

（4）機器の修理,廃棄又は返却

情報管理者は、記録媒体の含まれる機器を、外部業者に修理させる場合又は賃貸借期限終了等により返却若しくは廃棄する場合は、可能な範囲でバックアップを取り、記録媒体内のすべての行政情報を消去しなければならない。

情報管理者は、当該機器を外部業者に修理させる際、行政情報を消去することが難しい場合は、修理を行わせる業者と守秘義務を明記した契約を締結しなければならない。

（5）機器構成の変更

職員は、情報システムの機器について業務を遂行するため機器の増設又は交換を行う必要がある場合には、システム管理者又は情報管理者の許可を得なければならない。
職員は、通信機器等を増設して、他のネットワークへ接続を行う場合及び他のネットワークからアクセスを可能とする仕組みを構築する場合には、情報管理者を通じ、システム管理者の許可を得なければならない。
システム管理者は、機器構成の変更等の許可に当たって、重要な情報システムや他のシステムに情報セキュリティ上の問題を生じさせてはならない。

（6）クラウドサービスの利用を前提とした情報システムの調達と導入

システム管理者及び情報管理者は、情報システムにクラウドサービスを導入する場合は、クラウドサービスの仕様が取り扱う行政情報の重要性分類に相応しい可用性及び機密性を備えていることを確認しなければならない。
クラウドサービス上で重要性分類1.以上の行政情報を保存する場合は、クラウドサービスの機能等により暗号化しなければならない。重要性分類2.の行政情報については、必要に応じて暗号化を検討しなければならない。
重要性分類S（A）の行政情報をクラウドサービスで取り扱う場合、原則として、クラウドサービスの契約終了時に、行政情報を復元困難な形で消去しなければならない。
重要性分類S（B）以下の行政情報をクラウドサービスで取り扱う場合、原則、クラウドサービスの契約終了時に、行政情報を復元困難な形で消去しなければならないが、クラウドサービスの動作仕様上、契約終了時の即時における復元困難な形の消去が技術的に困難であって、クラウドサービス提供事業者、又はクラウドサービス提供事業者が使用するプラットフォーム等事業者のデータセンター等において、プラットフォーム等事業者が当該行政情報を保存した機器を廃棄等する時に、行政情報を復元困難な形で消去することがクラウドサービスの動作仕様として確認できる場合は、契約終了時にはサービスの標準機能等による消去を行い、その後、クラウドサービス提供事業者又はプラットフォーム等事業者が当該行政情報を保存した機器を廃棄等する時に、行政情報を復元困難な形で消去することでも可とする。

4.コンピュータウイルス対策
（1）情報管理者の実施事項

情報システムのサーバ及び必要な機器にウイルス対策ソフトを導入すること。
ウイルスチェック用のパターンファイルは常に最新のものに保つこと。
定期的に新種のウイルスに関する情報収集や情報システム内部の感染状況等について情報収集をすること。
コンピュータウイルスについて、職員に対して必要な啓発活動を行うこと。
事務所管課で調達した端末の場合、ウイルス対策ソフトの設定変更権限については、情報管理者又は副情報管理者が一括管理し、その他の職員に当該権限を付与しないこと。

（2）職員の遵守事項

データ又はソフトウェアを外部から取り入れ、又は外部に持ち出す場合は、必ずウイルスチェックを行うこと。
ウイルスチェックの実行を途中で止めないこと。
添付ファイルのあるメールを送受信する場合は、ウイルスチェックを行うこと。

5.不正アクセス対策

システム管理者及び情報管理者は、不要なサービスについて、機能を削除又は停止しなければならない。
システム管理者及び情報管理者は、セキュリティホール等の情報収集に努め、メーカー等から修正プログラムの提供があり次第、速やかに対応するとともに、その修正履歴を記録及び保存しなければならない。
システム管理者及び情報管理者は、情報システムに修正プログラムの導入ができない場合は、他の手段によって、情報セキュリティを確保する措置を講じなければならない。
システム管理者及び情報管理者は、情報システムに不正な侵入や利用があった場合に探知等出来るよう、適切な対策に努めなければならない。
システム管理者及び情報管理者は、情報システムに攻撃を受けていることが明らかな場合には、システムの停止を含め必要な措置を講じなければならない。
局（区）情報管理者又は情報管理者は、職員により本市ネットワーク及び外部ネットワークに対して不正なアクセスがあった場合は、当該職員が属する情報管理者に通知し、適切な処置を求めなければならない。
職員は、外部ネットワークより不正アクセスがあった場合は、システム管理者及び情報管理者に報告し、適切な措置を講じなければならない。

6.セキュリティ情報の収集

システム管理者は、重要な情報システムの設定に係るファイル等について、定期的に当該ファイルの改ざんの有無を検査しなければならない。
局（区）情報管理者は,セキュリティに関する情報について、国及び関係団体,民間事業者等から適宜情報を収集しなければならない。

7.ネットワークに接続する機器の管理

システム管理者及び情報管理者は、特定用途機器について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を実施しなければならない。

8.RPAの管理

システム管理者及び情報管理者は、RPAによって自動化された処理を文書等で可視化しなければならない。また、処理内容の変更が行われた場合は、必ず当該文書等にも反映しなくてはならない。
システム管理者及び情報管理者は、RPAによる処理に誤りがないことを検知できる仕組みの構築又は処理結果の定期的な点検を行わなければならない。
システム管理者及び情報管理者は、RPAによる処理を不正に使用されないために、認証等による使用制限を設けなければならない。

9.Web会議システムの利用

本市が会議主催者となる場合は、原則として、デジタル戦略推進部が各部署へ使用ライセンスを貸与しているWeb会議システムを使用すること。なお、各公営企業等、一般会計において調達するライセンスの利用が適当でない業務等においては、この限りではない。
Web会議システムの利用において、本市が会議主催者であり、かつ重要性分類2.以上の行政情報を取り扱う場合は、会議に無関係の者が参加できないよう対策を講じた上で、誤操作や誤設定による情報漏えいに十分配慮して利用すること。
Web会議システムの利用において、本市が会議主催者ではなく、かつ重要性分類2.以上の行政情報を取り扱う場合は、あらかじめ会議主催者にセキュリティ対策が十分に講じられていることを確認すること。

10.ソーシャルメディアサービスの利用

　仙台市ソーシャルメディアの利用に関する要綱の規定を遵守することと併せ,以下の項目を遵守しなければならない。

システム管理者及び情報管理者は、本市のアカウントによる情報発信が、実際の本市のものであることを明らかにするために、本市の自己管理ウェブサイトに当該情報を掲載して参照可能とすること。
システム管理者及び情報管理者は、パスワードや認証のためのコード等の認証情報及びこれを記録した媒体（ハードディスク、USBメモリ、紙等）等を適正に管理するなどの方法で、不正アクセス対策を実施すること。
システム管理者及び情報管理者は、重要性2.以上の行政情報をソーシャルメディアサービスで発信してはならない。
システム管理者及び情報管理者は、利用するソーシャルメディアサービスごとの責任者を定めなければならない。
システム管理者及び情報管理者は、アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。

ページの先頭へ戻る

（7）運用

1.情報システムの監視

システム管理者及び情報管理者は、所管する情報システムの運用にあたっては、常に情報システムを監視するとともにセキュリティ障害に対して注意を払わなければならない。
システム管理者及び情報管理者は、所管する情報システムにおいて、外部からの攻撃、職員による不正な操作、機器・ソフトウェアの不具合又は自然災害等の事象によりセキュリティ障害が生じている可能性を検知した場合には、3.(2.)によりCSIRT管理者へ報告しなければならない。
システム管理者は、セキュリティ障害時の調査を確実なものとするために、重要な情報システムのサーバ等の時刻について、正確な時刻を保つようにしなければならない。

2.情報セキュリティポリシーの遵守状況の確認と対処

局（区）情報管理者及び情報管理者は、情報セキュリティポリシーの遵守状況について、また、運用上支障が生じていないかについて確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。
システム管理者は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適切かつ速やかに対処しなければならない。

3.セキュリティ障害時の対応

局（区）情報管理者、CSIRT管理者、システム管理者及び情報管理者は、セキュリティ障害が発生した場合には、直ちに対応するとともに、再発防止の措置を講じなければならない。

（1）障害の発生

職員は、セキュリティ障害の発生について、他の職員からの検知・連絡だけでなく、市民等外部からの連絡によって検知した場合も、直ちに情報管理者へ報告しなければならない。
情報管理者は、セキュリティ障害が発生した情報システムが重要な情報システムに関するものにあっては、直ちにシステム管理者へその旨を報告しなければならない。

（2）障害発生の報告

システム管理者及び情報管理者は、セキュリティ障害が発生した場合、直ちに次の項目について調査を行い、その内容について局（区）情報管理者及びCSIRT管理者へ報告を行わなければならない。

　　・セキュリティ障害の内容

　　・セキュリティ障害が発生した原因

　　・確認した被害及び影響範囲

CSIRT管理者は、セキュリティ障害の発生の報告を受けた場合、以下の対応を実施しなければならない。

　　ア　発生したセキュリティ障害の影響が他システムや他課に及ぶ可能性があるなど、技術的支援等が必要な場合はCSIRT責任者へ報告を行う。

　　イ　発生したセキュリティ障害への対応等のため、技術的な助言又は必要な情報の提供をCSIRT責任者に求める。

　　ウ　セキュリティ障害の程度が軽微なものについては報告を要しないものとする。

局（区）情報管理者は、セキュリティ障害の程度が外部に重大な影響を及ぼすおそれがある場合には、直ちにCISOに報告のうえ必要な指示を仰がなければならない。

（3）障害拡大の防止措置

システム管理者及び情報管理者は、業務を継続することにより、セキュリティ障害による影響が拡大する可能性が高い場合には、重要な情報システムの停止を含む必要な措置を講じるとともに、CSIRT責任者へ報告しなければならない。
システム管理者及び情報管理者は、セキュリティ障害が発生し、その障害の原因となる行為が不正アクセスの可能性がある場合には、当該セキュリティ障害に関する記録（アクセスログ等）の保存に努めるとともに、CSIRT責任者の求めに応じ、提供しなければならない。

（4）障害の復旧及び再発防止の報告

システム管理者及び情報管理者は、局（区）情報管理者の指示の下、直ちにセキュリティ障害を復旧し、その措置について局（区）情報管理者及びCSIRT管理者に報告しなければならない。
局（区）情報管理者は、必要な再発防止の措置を講じるとともに、外部に重大な影響を及ぼしたセキュリティ障害について、その対応結果をCISO及びCSIRT責任者に報告しなければならない。

4.大規模災害時等における例外措置

（1）例外措置の許可

局（区）情報管理者は、情報セキュリティ関係規定の一部を遵守することが困難な状況であり、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用することについて、又は遵守事項を実施しないことについて合理的な理由がある場合には、当該業務の実施手順等を定めてCISOと協議を行い、CISOの許可を得ることによって、当該業務実施手順等の範囲内において遵守事項とは異なる方法により業務を執行することができる。

（2）大規模災害時等における緊急時の例外措置

局（区）情報管理者は、行政事務の遂行に緊急を要する等の場合であって、例外措置を実施することが不可避のときは、（1.）の許可を得ることなく例外措置を実施することができる。ただし、例外措置の実施後速やかにCISOに報告しなければならない。

ページの先頭へ戻る

（8）法令等遵守

職員は、次の法令等をはじめ、利用する個々の情報システムに応じて関連する法令等を遵守しなければならない。

地方公務員法(昭和25年法律第261号）
不正アクセス行為の禁止等に関する法律（平成11年法律第128号）
著作権法（昭和45年法律第48号）
行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)
サイバーセキュリティ基本法（平成28年法律第31号）
個人情報の保護に関する法律（平成15年法律第57号）
仙台市議会の個人情報の保護に関する条例（令和5年仙台市条例第29号）
仙台市死者情報保護事務取扱要綱（令和5年3月24日総務局長決裁)
事務処理指針（H20年総総行第532号,別添）
仙台市ソーシャルメディアの利用に関する要綱（平成25年1月17日市長決裁）

また、マナーと倫理をもって情報システムを利用しなければならない。

ページの先頭へ戻る

（9）評価,見直し等

1.自主点検

局（区）情報管理者及び情報管理者は、当該部署の情報セキュリティが確保されていることを確認するため,定期的及び必要に応じて自主点検を行い,その結果を組織の課題の有無を確認する観点から分析・評価し,必要に応じ改善措置を講じるものとする。
職員は、自主点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。
CISOは、この点検結果を情報セキュリティポリシーの見直し及びその他の情報セキュリティ対策の見直し時に活用しなければならない。

2.監査

CISOは、重要な情報システムの管理体制やシステムのぜい弱性調査等について定期的及び必要に応じ監査を実施するものとする。
CISOの命により監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。
CISOは、監査の結果を通して収集した監査証拠及び監査報告書作成のための書類を適切に保管しなければならない。
CISOは、監査結果を踏まえ、指摘事項に係る情報システムを所管している情報管理者又はシステム管理者に対し、当該事項への対処を指示しなければならない。また、指摘事項に係る情報システムを所管していない情報管理者又はシステム管理者に対しても、同種の課題及び問題点がある可能性が高い場合には、当該課題及び問題点の有無を確認させなければならない。
CISOは、監査結果を取りまとめ、必要に応じて「仙台市デジタル行政推進本部」に報告するものとする。
CISOは、監査結果を情報セキュリティポリシーの見直し及びその他情報セキュリティ対策の見直し時に活用しなければならない。

3.見直し