○墨田区情報セキュリティポリシー・基本方針
令和2年3月25日
31墨企情第1548号
墨田区情報セキュリティポリシー・基本方針(平成14年12月2日14墨企経室第3114号)の全部を改正する。
(趣旨)
第1条 この基本方針は、本区の情報資産をさまざまな脅威から守り、もって個人情報や区政運営上重要な情報の漏えいを防止するとともに、情報システムの安全かつ安定的な運用を図るため、本区が実施する情報セキュリティ対策について基本的な事項を定めるものとする。
(1) ネットワーク コンピュータ等を相互に接続するための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。
(2) 情報システム コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組みをいう。
(3) 全庁情報システム 本区の庁舎及び事業所(区立学校及び区立幼稚園を含む。)を相互に結ぶ住民情報、内部情報又は施設利用を管理する情報システム(企画経営室ICT推進担当が所管するものに限る。)をいう。
(4) 個別情報システム 全庁情報システムに属さない課等(墨田区会計事務規則(昭和39年墨田区規則第8号)第2条第3号又は第5号に規定する課又は所をいう。)が所管する情報システムをいう。
(5) 情報資産 次に掲げるものをいう。
ア ネットワーク及び情報システム並びにこれらに関する設備及び電磁的記録媒体
イ 情報システムで取り扱う全ての情報又はデータ(これらを印刷した文書を含む。)
ウ 情報システムの仕様書、ネットワーク構成図等の情報システム関連文書
(6) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(7) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスすることができる状態を確保することをいう。
(8) 完全性 情報が破壊され、改ざんされ、又は消去されていない状態を確保することをいう。
(9) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスすることができる状態を確保することをいう。
(基本方針の位置付け)
第3条 この基本方針は、本区の全ての情報システム及び情報資産に係る情報セキュリティ対策に関して最上位に位置するものとし、区長の事務部局並びに議会、選挙管理委員会、監査委員及び教育委員会の各事務局において適用する。
2 本区の個人情報保護対策、危機管理対策その他の対策に定められている情報セキュリティ対策については、この基本方針に抵触しない限り、その適用を妨げない。
(脅威)
第4条 本区の情報資産に対する脅威として、次に掲げるものを想定し、情報セキュリティ対策を実施する。
(1) 不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等の意図的な要因による情報資産の持ち出し、漏えい、破壊、改ざん、消去、重要情報の搾取等
(2) 本区の情報資産に関する業務に携わる全ての常勤職員、非常勤職員(会計年度任用職員を含む。)及び臨時的任用職員(以下「職員等」という。)又は当該業務の受託事業者(指定管理者及びこれらの従業員を含む。以下「受託者」という。)による、不正アクセス、不正操作等の意図的な要因による情報資産の持ち出し、漏えい、破壊、改ざん、消去等
(3) 設計や開発の不備、プログラム上の欠陥、設定ミス、操作ミス、メンテナンス不備、監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的な要因による情報資産の漏えい、破壊、消去等
(4) 前3号に掲げる要因又は地震、落雷、火災等の災害や事故による情報資産に関する業務の停止等
(5) 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(6) 電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
(情報セキュリティ対策)
第5条 前条に規定する脅威から本区の情報資産を保護するため、次に掲げる情報セキュリティ対策を講ずる。この場合において、情報資産の機密性、完全性及び可用性並びに重要性を考慮し、その性質に応じた情報セキュリティ対策を講ずるものとする。
(1) サーバ、通信回線、パソコン等の管理及び情報システムの設置場所の管理に係る物理的な対策
(2) 情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、職員等に対して第10条に規定するポリシーの内容を周知徹底する等、十分な教育及び啓発を行う等の人的な対策
(3) コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の技術的な対策
(4) 情報システムの監視、第10条に規定するポリシーの遵守状況の確認、業務委託を行う際のセキュリティ確保、緊急時対応計画の策定等のポリシー運用面に係る対策
2 前項に規定する対策のほか、業務の効率性・利便性の観点を踏まえ、情報システムの種別に応じ、次のとおり強靭性の向上に係る対策を講ずる。
(1) マイナンバー利用事務系(行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第10号に規定する個人番号利用事務又は戸籍事務等に関する情報システムをいう。)においては、原則として、他の領域との通信ができないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入により、住民情報の流失を防ぐ。
(2) LGWAN接続系(LGWANに接続された、マイナンバー利用事務系以外の業務用の情報システムをいう。)においては、インターネット接続系(インターネットメール、ホームページ管理システム等のインターネットに接続された情報システムをいう。以下同じ。)と通信環境を分離した上で、無害化(インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータウィルス等の不正プログラムの付着等がないよう安全を確保することをいう。)により安全が確保された通信だけを許可することができるようにする。
(3) インターネット接続系においては、不正通信の監視機能の強化、自治体情報セキュリティクラウドの導入等の高度な情報セキュリティ対策を実施する。
3 業務委託を行う場合における第1項第4号の運用面の対策に当たっては、委託業務に係る情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認するほか、必要に応じて契約に基づく措置を講ずるものとする。
(組織体制)
第6条 本区の情報資産について、情報セキュリティ対策を確実に推進するため、次の組織体制を確立する。
(1) 最高情報セキュリティ責任者(CISO:Chief Information Security Officer、以下「CISO」という。) 本区における全ての情報資産に係る情報セキュリティ対策に関する最終決定権限及び責任を有するものとし、副区長をもって充てる。
(2) 統括情報セキュリティ責任者 次に掲げる事項に関する権限及び責任を有するものとし、企画経営室長をもって充てる。ただし、学校分については、「全庁情報システム」を「学校システム(個別情報システムのうち、庶務課が所管する情報システムをいう。)」と読み替え、教育委員会事務局次長をもって充てる。
ア 全庁情報システムに係る情報セキュリティ対策に関すること。
イ 情報セキュリティ責任者、情報セキュリティ管理者及び情報システム担当者に対する情報セキュリティについての指導及び助言に関すること。
(3) 情報セキュリティ責任者 墨田区会計事務規則第2条第1号に規定する部並びに選挙管理委員会及び監査委員の各事務局の長をもって充て、その所管する組織における情報セキュリティ対策に関する統括的な権限及び責任を有するものとする。
(4) 情報セキュリティ管理者 墨田区会計事務規則第2条第3号に規定する課及び同条第5号に規定する所の長並びに区議会事務局次長をもって充て、その所管する組織における情報セキュリティ対策を実施する権限及び責任を有するものとする。
(5) 情報システム管理者 次に掲げる事項に関する権限及び責任を有するものとし、企画経営室ICT推進担当課長をもって充てる。
ア 全庁情報システムに係る情報セキュリティ対策の実施に関すること。
イ 個別情報システムの情報セキュリティに関する調整に関すること。
2 CISOは、別に定めるところにより、情報セキュリティに関する専門的な知識及び経験を有した専門家を補佐官として置くことができる。
3 本区の情報セキュリティ対策を統一的に、又は即応的に実施するため、CISOは、必要に応じて関係する情報セキュリティ責任者又は情報セキュリティ管理者を招集して情報セキュリティ会議を開催し、情報セキュリティ戦略等、情報セキュリティに関する重要な事項を審議し、又は報告することができる。
(CSIRTの設置等)
第7条 第4条に規定する脅威が発生した場合又はそのおそれがある場合において、関係者と調整し、その原因解析や影響範囲を調査するほか、被害の拡大防止、復旧、再発防止、情報セキュリティに関する教育や啓発等を行うための統一的な窓口として、CSIRT(Computer Security Incident Response Teamの略。以下同じ。)を設置する。
2 統括情報セキュリティ責任者は、CISOの指示の下、CSIRTを統括する。
3 情報システム管理者は、統括情報セキュリティ責任者の指示の下、企画経営室ICT推進担当の所属職員をしてCSIRTの運用を担うものとする。
4 情報セキュリティ管理者は、その所管するする組織において、第4条に規定する脅威が発生した場合又はそのおそれがある場合には、速やかにCSIRTに報告するものとする。
5 CSIRTは、情報セキュリティに関する障害・事故及びシステム上の欠陥を認知した場合には、CISO、総務省及び東京都に報告するとともに、その重要度や影響範囲等を勘案し、報道機関等への通知・公表対応を行うものとする。
(対策基準の策定)
第8条 統括情報セキュリティ責任者は、第5条に規定する情報セキュリティ対策を実施するため、具体的な遵守事項、判断基準等を明記した情報セキュリティ対策基準(以下「対策基準」という。)を定める。
(実施手順の策定等)
第9条 情報セキュリティ管理者は、その所管する情報資産について、対策基準に基づき、情報セキュリティ対策を実施するため、具体的な実施事項を明記した情報セキュリティ実施手順(以下「実施手順」という。)を定める。
2 実施手順は、公にすることにより本区の情報セキュリティに重大な支障を及ぼすおそれがある情報であることから、原則として非公開とする。
(ポリシーの体系)
第10条 この基本方針及び対策基準を総称して、墨田区情報セキュリティポリシー(以下「ポリシー」という。)という。
(ポリシー等の遵守義務)
第11条 職員等及び受託者は、情報セキュリティの重要性について共通の認識を持つとともに、職務又は業務の遂行に当たって、ポリシー及びその関係する実施手順を遵守しなければならない。
2 情報セキュリティ管理者は、その所管する情報資産について、ポリシー及び第9条第1項の規定により自らが定めた実施手順を、所属する職員等及び受託者に遵守させ、情報セキュリティの確保に努めなければならない。
3 前2項の規定にかかわらず、行政事務の適正な遂行に当たり、ポリシー及び実施手順に定める事項を遵守することが困難である場合は、合理的であると認められる範囲内で、CISOの許可を得て、当該遵守事項等とは異なる方法を採用し、又は当該遵守事項等を実施しないことができる。この場合において、緊急を要し、かつ、当該措置を取ることが不可避であるときは、CISOの許可を得ずに当該措置を取ることができるものとし、事後速やかに、CISOに報告しなければならないものとする。
(ポリシー等の違反への対応)
第12条 ポリシー及び実施手順に違反した職員等及びその監督責任者については、その重大性、その違反の事案の状況等に応じて地方公務員法による懲戒処分等の対象とする。
(情報セキュリティ監査の実施)
第13条 区長は、ポリシー及び実施手順が遵守され、情報セキュリティが維持されているか等を検証するため、毎年度又は必要に応じて、情報セキュリティ監査を実施するものとする。
(ポリシー等の見直し)
第14条 情報セキュリティ監査の結果、ポリシー及び実施手順の見直しが必要になった場合並びに情報セキュリティに関する状況の変化等に対応するため新たに対策を講ずる必要が生じた場合は、ポリシー及び実施手順の見直しを行うものとする。
付則
1 この基本方針は、令和2年4月1日から適用する。
2 この基本方針の適用の際、この基本方針による改正前の墨田区情報セキュリティポリシー・基本方針に基づき策定された対策基準で、現に存するものについては、その廃止が行われるまでの間、当該対策基準の適用を受ける情報資産に限り、なお効力を有するものとし、この基本方針による改正後の墨田区情報セキュリティポリシー・基本方針に基づき策定される対策基準の適用を受けないものとする。
付則
この基本方針は、令和4年10月1日から適用する。