1　趣旨

(1)　この対策基準は、墨田区情報セキュリティポリシー・基本方針(令和2年3月25日31墨企情第1548号。以下「基本方針」という。)に基づき、本区における情報資産に関する情報セキュリティ対策の基準を定めるものとする。ただし、学校システムを対象とした対策基準は別に定める。

(2)　この対策基準において使用する用語の意義は、基本方針において使用する用語の例による。

2　情報資産の分類と管理方法

(1)　情報資産の分類

本区における情報資産は、次の区分のとおり分類し、当該区分に応じて取扱いを制限するものとする。

(2)　情報資産の管理

ア　管理責任

(ア)　情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

(イ)　情報資産が複製又は伝送された場合には、当該複製等がされた情報資産も(1)の分類に基づき管理しなければならない。

イ　情報の作成

(ア)　職員等は、業務上必要のない情報を作成してはならない。

(イ)　情報を作成する者は、情報の作成時に(1)の分類に基づき、当該情報の分類と取扱制限を定めなければならない。

(ウ)　情報を作成する者は、作成中の情報についても、紛失や流出等を防止しなければならない。また、情報の作成中に不要となった場合は、当該情報を消去しなければならない。

ウ　情報資産の入手

(ア)　職員等が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

(イ)　職員等以外の者が作成した情報資産を入手した者は、(1)の分類に基づき、当該情報資産の分類と取扱制限を定めなければならない。

(ウ)　情報資産を入手した者は、当該入手した情報資産の分類が不明な場合は、情報セキュリティ管理者に判断を仰がなければならない。

エ　情報資産の利用

(ア)　情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

(イ)　情報資産を利用する者は、当該情報資産の分類に応じ、適正な取扱いをしなければならない。

オ　情報資産の保管

(ア)　情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に基づいて、情報資産を適正に保管しなければならない。

(イ)　情報セキュリティ管理者又は情報システム管理者は、分類Ⅰ又はⅡの情報を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

カ　情報の送信

電子メール等により分類Ⅰ又はⅡの情報を送信する者は、必要に応じ、パスワード等による暗号化を行わなければならない。

キ　情報資産の運搬

(ア)　分類Ⅰ又はⅡの情報資産を運搬する者は、あらかじめ情報セキュリティ管理者の許可を得なければならない。

(イ)　分類Ⅰ又はⅡの情報資産の運搬に当たっては、必要に応じて鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

ク　情報資産の提供・公表

(ア)　分類Ⅰ又はⅡの情報資産を外部に提供する者は、あらかじめ情報セキュリティ管理者の許可を得なければならない。

(イ)　分類Ⅰ又はⅡの情報資産の外部への提供に当たっては、必要に応じパスワード等による暗号化を行わなければならない。

(ウ)　情報セキュリティ管理者は、住民に公開する情報資産について、完全性を確保しなければならない。

ケ　情報資産の廃棄等

(ア)　情報資産の廃棄、リース返却等を行う者は、あらかじめ情報セキュリティ管理者の許可を得なければならない。

(イ)　情報資産の廃棄、リース返却等に当たっては、その情報の機密性に応じ、情報を復元できないように処置しなければならない。

(ウ)　情報資産の廃棄、リース返却等を行う者は、行った処理に関し、日時、担当者及び処理内容を記録しなければならない。

3　情報システム全体の強靭性の向上

(1)　マイナンバー利用事務系

ア　マイナンバー利用事務系と他の領域との分離

マイナンバー利用事務系は、他の領域と通信できないようにしなければならない。マイナンバー利用事務系と外部との通信をする必要がある場合は、通信経路(MACアドレス、IPアドレス)の限定及びアプリケーションプロトコル(ポート番号)のレベルでの限定を行わなければならず、かつ、その外部接続先は、インターネット等と接続してはならない。ただし、国等の公的機関が構築したシステム等、十分に安全性が確保された外部接続先に限り、LGWANを経由して、インターネット等とマイナンバー利用事務系との双方向通信でのデータの移送ができるものとする。

イ　情報のアクセス及び持ち出しにおける対策

(ア)　情報のアクセス対策

情報システムが正規の利用者かどうかを判断するための認証手段については、2つ以上の要素を用いて行う認証(多要素認証)を利用しなければならない。また、業務ごとに専用端末を設置することが望ましい。

(イ)　情報の持ち出し不可設定

原則として、USBメモリ等の電磁的記録媒体による端末からの情報の持ち出しができないように設定しなければならない。

(2)　LGWAN接続系

ア　LGWAN接続系とインターネット接続系との分割

LGWAN接続系とインターネット接続系とは、両環境間の通信環境を分離した上で、必要な通信だけを許可できるようにしなければならない。なお、インターネット接続系からデータをLGWAN接続系に取り込む場合は、次の方式等により、無害化通信を図らなければならない。

(ア)　インターネット接続系の環境で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式

(イ)　インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式

(ウ)　危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式

(3)　インターネット接続系

ア　インターネット接続系においては、通信パケットの監視、振る舞い検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見と対処及びLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

イ　都道府県及び市区町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁や東京都等と連携しながら、情報セキュリティ対策を推進しなければならない。

4　物理的セキュリティ

(1)　サーバ等の管理

ア　機器の取付け

情報システム管理者(個別情報システムにあっては当該情報システムを所管する情報セキュリティ管理者。以下「情報システム管理者等」という。)は、サーバ等の機器の取付けを行う場合、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適正に固定する等、必要な措置を講じなければならない。

イ　サーバの冗長化

情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ若しくはⅡの情報資産に該当し、又は当該情報システムの完全性若しくは可用性を確保する必要性が高い場合は、重要情報を格納しているサーバその他の基幹サーバを冗長化するなどし、データ等の損失が生じないような措置を講じなければならない。

ウ　機器の電源

情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ若しくはⅡの情報資産に該当し、又は当該情報システムの可用性を確保する必要性が高い場合は、統括情報セキュリティ責任者及び施設管理部門等と連携し、次の措置を講じなければならない。

(ア)　サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適正に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けること。

(イ)　落雷等による過電流に対して、サーバ等の機器を保護するための措置

エ　通信ケーブル等の配線

(ア)　情報システム管理者等は、施設管理部門等と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するために、配線収納管を使用する等必要な措置を講じなければならない。

(イ)　情報システム管理者等は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門等から損傷等の報告があったときは、施設管理部門等と連携して対応しなければならない。

(ウ)　情報システム管理者等は、ネットワーク接続口(ハブのポート等)を第三者が容易に接続できない場所に設置する等適切に管理しなければならない。

(エ)　情報システム管理者等は、通信ケーブル等について、自ら又は情報システム担当者及び契約により操作を認められた受託者以外の者が配線を変更し、又は追加することができないように必要な措置を講じなければならない。

オ　機器の定期保守及び修理

(ア)　情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ若しくはⅡの情報資産に該当し、又は当該情報システムの可用性を確保する必要性が高い場合は、サーバ等の機器の定期保守を実施しなければならない。

(イ)　情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ又はⅡの情報資産に該当する場合において、当該情報システムに係る電磁的記録媒体を内蔵する機器を事業者に修理させるときは、当該電磁的記録媒体に記録されている情報を消去した状態で行わせなければならない。この場合において、情報を消去することが困難であるときは、当該修理を委託する事業者との間で、守秘義務契約を締結するほか、秘密保持体制の確認等を行うものとする。

カ　庁外への機器の設置

情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ又はⅡの情報資産に該当する場合において、当該情報システムに係るサーバ等の機器を庁外に設置するときは、CISOの承認を得なければならない。また、定期的に当該機器への情報セキュリティ対策状況について確認しなければならない。

キ　機器の廃棄等

情報システム管理者等は、機器を廃棄、リース返却等をする場合は、当該機器内部の記憶装置から全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

(2)　管理区域の管理

ア　管理区域の構造等

(ア)　管理区域とは、ネットワークの基幹機器及び重要な情報システムを設置し、当該機器等の管理及び運用を行うための部屋又は電磁的記録媒体の保管庫をいう。

(イ)　統括情報セキュリティ責任者及び情報システム管理者は、管理区域を地階又は1階に設けてはならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門等と連携して、管理区域から外部に通ずるドアは必要最小限とし、鍵、監視機能、警報装置等により許可されていない者の立入りを防止しなければならない。

(エ)　情報システム管理者等は、管理区域内の機器等に、転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

(オ)　統括情報セキュリティ責任者及び情報システム管理者は、管理区域に配置する消火薬剤や消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

イ　管理区域の入退室管理等

(ア)　情報システム管理者は、管理区域への入退室を許可された者のみに制限し、ICカードや生体情報による認証や、入退室管理簿への記載による入退室管理を行わなければならない。

(イ)　職員等及び受託者は、管理区域に入室する場合は、身分証明書等を携帯し、情報システム管理者又は情報システム管理者が指定する職員等が提示を求めたときは、これに応じなければならない。

(ウ)　情報システム管理者は、外部からの訪問者が管理区域に入室する場合には、必要に応じて立入り区域を制限した上で、管理区域への入退室を許可された職員等又は情報システム管理者が指定した者が付き添うものとする。

(エ)　情報システム管理者は、管理区域に設置する情報システムに関連しないコンピュータ、モバイル端末、通信回線装置、電磁的記録媒体等(当該情報システムの管理運用に関係する者の個人所有のものを含む。)を管理区域に持ち込ませないようにしなければならない。ただし、事前に情報システム管理者の許可を得ている場合は、この限りでない。

ウ　機器等の搬入出

(ア)　情報システム管理者は、管理区域に搬入する機器等が、既存の情報システムに与える影響について、あらかじめ職員又は委託事業者に確認を行わせなければならない。

(イ)　情報システム管理者は、管理区域への機器等の搬入出に当たり、職員又は情報システム管理者が指定した者を立ち会わせなければならない。

(3)　通信回線及び通信回線装置の管理

ア　統括情報セキュリティ責任者は、庁内の通信回線及び通信回線装置について、施設管理部門等と連携して適正に管理しなければならない。また、これらに関連する文書を適正に保管しなければならない。

イ　統括情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

ウ　情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰ又はⅡの情報資産に該当する場合において、当該情報システムに通信回線を接続するときは、必要なセキュリティ水準を検討の上、適正な回線を選択しなければならない。また、必要に応じ、送受信される情報の暗号化を行わなければならない。

エ　情報システム管理者等は、ネットワークに使用する回線について、伝送途上に情報が破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

オ　情報システム管理者等は、その所管する情報システムの可用性を確保する必要性が高い場合は、当該情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択するとともに、必要に応じて回線を冗長構成にする等の措置を講じなければならない。

(4)　端末、電磁的記録媒体等の管理

ア　情報システム管理者等は、盗難防止のため、執務室等で使用するパソコンのワイヤーによる固定、モバイル端末及び電磁的記録媒体の使用時以外の施錠管理等の物理的な措置を講じなければならない。

イ　電磁的記録媒体に記録した情報は、保存される必要がなくなった時点で速やかに消去しなければならない。

ウ　情報システム管理者等は、その所管する情報システムにおいて取り扱う情報が分類Ⅰの情報資産に該当する場合において、当該情報システムへのログインに際し、パスワード、ICカード、生体認証等複数の認証情報の入力を必要とするように設定しなければならない。

エ　情報システム管理者等は、その所管するマイナンバー利用事務系においては、「知識」、「所在」又は「存在」を利用する認証手段のうち、これらの2以上を併用する認証(多要素認証)を行うよう設定しなければならない。

オ　情報システム管理者等は、パソコンやモバイル端末におけるデータの暗号化等の機能を有効に利用しなければならない。

カ　情報システム管理者等は、その所管する情報システムにおいて使用する電磁的記録媒体は、特別の理由がある場合を除き、データ暗号化機能を備える媒体を使用しなければならない。

キ　情報システム管理者等は、その所管する情報システムに係るモバイル端末の庁外での業務利用の際は、上記アからカまでの対策に加え、遠隔消去機能を利用する等の措置を講じなければならない。

5　人的セキュリティ

(1)　職員等の遵守事項

ア　情報セキュリティポリシー等の遵守

職員等は、墨田区情報セキュリティポリシー(以下「情報セキュリティポリシー」という。)及び実施手順を遵守しなければならない。また、情報セキュリティ対策について不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ管理者に相談し、指示を仰がなければならない。

イ　業務以外の目的での使用の禁止

職員等は、業務以外の目的で次の行為を行ってはならない。

・情報資産の外部への持ち出し

・情報システムへのアクセス

・電子メールアドレスの使用

・インターネットへのアクセス

ウ　電磁的記録媒体等の持ち出し及び外部における情報処理作業の制限

(ア)　CISOは、分類Ⅰ又はⅡの情報資産を外部で処理する場合における安全管理措置を定めなければならない。

(イ)　職員等は、区の情報資産を外部に持ち出す場合には、情報セキュリティ管理者の許可を得なければならない。

(ウ)　職員等は、外部で情報処理業務を行う場合には、情報セキュリティ管理者の許可を得なければならない。

エ　支給品以外のパソコン、電磁的記録媒体等の業務利用

(ア)　職員等は、区から支給されたもの以外のパソコン、モバイル端末及び電磁的記録媒体等を業務に利用してはならない。ただし、業務上必要な場合は、統括情報セキュリティ責任者の定める実施手順に従い、情報セキュリティ管理者の許可を得て利用することができる。

(イ)　上記(ア)ただし書の場合において、当該利用が外部で情報処理作業を行うものであるときは、外部における情報処理作業に係る安全管理措置に関する規定を遵守しなければならない。

オ　持ち出し及び持込みの記録

情報セキュリティ管理者は、端末等の持ち出し及び持込みについて、記録を作成し、保管しなければならない。

カ　パソコン及びモバイル端末のセキュリティ機能の設定変更の禁止

職員等は、パソコン及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を情報セキュリティ管理者及び情報システム管理者の許可なく変更してはならない。

キ　机上の端末等の管理

職員等は、パソコン、モバイル端末、電磁的記録媒体、情報が印刷された文書等について、第三者に使用され、又は情報セキュリティ管理者の許可なく情報を閲覧されることがないように、離席時におけるパソコン、モバイル端末のロックや、電磁的記録媒体、文書等について容易に持ち出し及び閲覧をされない場所へ保管する等、適正な措置を講じなければならない。

ク　退職時等の遵守事項

職員等は、異動、退職等により業務を離れる場合には、利用していた情報資産を返却しなければならない。また、その後も当該業務上知り得た情報を漏らしてはならない。

(2)　非常勤職員等への対応

ア　情報セキュリティポリシー等の遵守

情報セキュリティ管理者は、非常勤職員及び臨時的任用職員(以下「非常勤職員等」という。)に対し、採用時に情報セキュリティポリシー等のうち、当該非常勤職員等が守るべき内容を理解させ、実施させ、及び遵守させなければならない。

イ　インターネット接続及び電子メール使用等の制限

情報セキュリティ管理者は、非常勤職員等にパソコンやモバイル端末を使用する業務を行わせる場合において、インターネットへの接続、電子メールの使用等の必要がないときは、これらを使用できないようにしなければならない。

(3)　情報セキュリティポリシー等の掲示等

情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー、実施手順その他規程を閲覧できるように掲示等をしなければならない。

(4)　委託事業者に対する説明

情報セキュリティ管理者は、情報システムの開発、保守等を事業者に発注する場合、情報セキュリティポリシー等のうち、委託事業者(再委託事業者を含む。)が守るべき内容の遵守及びその機密事項を説明しなければならない。

(5)　研修・訓練

ア　情報セキュリティに関する研修・訓練

CISOは、定期的に情報セキュリティに関する研修・訓練を実施しなければならない。

イ　研修計画の策定及び実施

(ア)　CISOは、管理職を含む全ての職員等に対する情報セキュリティに関する研修計画の策定とその実施体制の構築を定期的に行わなければならない。

(イ)　上記(ア)の研修計画において、毎年度最低1回は職員等が情報セキュリティ研修を受講することができるようにしなければならない。

(ウ)　情報セキュリティに関する研修の実施に当たっては、新規採用の職員等を対象としたものも実施しなければならない。

(エ)　研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものとするよう努めるものとする。

(オ)　情報セキュリティ管理者は、所管する組織における研修の実施状況を記録し、統括情報セキュリティ責任者及び情報セキュリティ責任者に対して、報告しなければならない。

(カ)　統括情報セキュリティ責任者は、研修の実施状況を分析、評価し、CISOに情報セキュリティ対策に関する研修の実施状況について報告しなければならない。

ウ　緊急時対応訓練

CISOは、情報システムの規模等に応じた緊急時対応訓練を必要に応じて実施するものとする。

エ　研修・訓練への参加

管理職を含む全ての職員等は、定められた研修・訓練に参加しなければならない。また、情報セキュリティ管理者は、その所属する職員等を当該研修・訓練に参加させなければならない。

(6)　情報セキュリティインシデントの報告

ア　庁内での情報セキュリティインシデントの報告

(ア)　職員等は、情報セキュリティインシデントを認知した場合、速やかに情報セキュリティ管理者及びCSIRTに報告しなければならない。

(イ)　報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び情報システム管理者等に報告しなければならない。

(ウ)　情報セキュリティ管理者は、報告のあった情報セキュリティインシデントについて、CISO及び情報セキュリティ責任者に報告しなければならない。

イ　住民等外部からの情報セキュリティインシデントの報告

(ア)　職員等は、区が管理する情報システム等の情報資産に関する情報セキュリティインシデントについて、住民等外部から報告を受けた場合、情報セキュリティ管理者に報告しなければならない。

(イ)　報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者及び情報システム管理者等に報告しなければならない。

(ウ)　情報セキュリティ管理者は、当該情報セキュリティインシデントについて、CISO及び情報セキュリティ責任者に報告しなければならない。

ウ　情報セキュリティインシデントの原因の究明、記録、再発防止等

(ア)　CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるかの評価を行わなければならない。

(イ)　CSIRTは、上記(ア)において、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告しなければならない。

(ウ)　CSIRTは、上記(イ)の報告後直ちに当該情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

(エ)　CSIRTは、上記(ウ)の対応と併せて、当該情報セキュリティインシデントの原因を究明し、記録を保存しなければならない。

(オ)　CSIRTは、上記(エ)による原因究明の結果から、再発防止策を検討し、CISOに報告しなければならない。

(キ)　CISOは、CSIRTから情報セキュリティインシデントについて報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

(7)　ID及びパスワード等の管理

ア　ICカード等の取扱い

(ア)　職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

a　認証に用いるICカード等を職員等間で共有してはならない。

b　業務上必要がないときは、ICカード等をカードリーダ等の認証装置から外しておかなければならない。また、認証装置付近にICカード等を放置してはならない。

c　ICカード等を紛失したときは、速やかに情報セキュリティ管理者及び情報システム管理者等に通報し、その指示に従わなければならない。

(イ)　情報セキュリティ管理者及び情報システム管理者等は、その所管する情報システムに係るICカード等の紛失等の通報を受けたときは、速やかに当該ICカード等を使用するアクセス等を停止しなければならない。

(ウ)　情報セキュリティ管理者及び情報システム管理者等は、その所管する情報システムに係るICカード等を切り替える場合は、切替え前のICカード等を回収し、破砕するなど復元不可能な処理を行った上で廃棄しなければならない。

イ　IDの取扱い

職員等は、自己が利用するIDに関し、次の事項を遵守しなければならない。

(ア)　自己が単独で利用するために割り振られているIDは、他人に利用させてはならない。

(イ)　共用IDを利用する場合は、共用IDの利用者以外に利用させてはならない。

ウ　パスワードの取扱い

職員等は、自己が利用するIDに係るパスワードに関し、次の事項を遵守しなければならない。

(ア)　パスワードは、他者に知られないように管理しなければならない。

(イ)　パスワードは秘密にし、パスワードの照会等には一切応じてはならない。

(ウ)　パスワードの文字列は、充分な長さで、かつ、想像しにくいものを設定しなければならない。

(エ)　パスワードが流出したおそれがあるときは、情報セキュリティ管理者に速やかに報告し、パスワードを直ちに変更しなければならない。

(オ)　仮のパスワード(初期パスワードを含む。)は、最初のログインの際に変更しなければならない。

(カ)　サーバ、ネットワーク機器及びパソコン等の端末にパスワードを記憶させてはならない。

(キ)　共用IDに係るパスワードを除き、職員等間でパスワードを共有してはならない。

(ク)　共用IDに係るパスワードは、少なくとも年に1回は変更しなければならない。ただし、変更しないことに合理性が認められる場合はこの限りでない。

6　技術的セキュリティ

(1)　コンピュータ及びネットワークの管理

ア　文書サーバの設定等

(ア)　情報システム管理者等は、その所管する情報システムにおいて職員等が使用できる文書サーバを設けるときは、その容量を設定し、職員等に周知しなければならない。

(イ)　情報システム管理者等は、文書サーバを課等の単位で構成し、職員等が他課等のフォルダ及びファイルを閲覧し、及び使用することができないように設定しなければならない。

(ウ)　情報システム管理者等は、住民の個人情報、人事記録等特定の職員等しか取り扱うことができないデータについて、別途ディレクトリを作成する等の措置を講じ、同一課内であっても、担当職員以外の職員等が閲覧及び使用ができないようにしなければならない。

イ　バックアップの実施

情報セキュリティ責任者及び情報システム管理者等は、ファイルサーバ等に記録された情報について、サーバの冗長化対策にかかわらず、必要に応じて定期的にバックアップを実施しなければならない。

ウ　他団体との情報システムに関する情報等の交換

情報システム管理者等は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合、その取扱いに関する事項をあらかじめ定め、情報セキュリティ責任者の許可を得なければならない。

エ　システム管理記録及び作業の確認

(ア)　情報システム管理者等は、その所管する情報システムの運用において実施した作業について、作業記録を作成しなければならない。

(イ)　情報セキュリティ責任者及び情報システム管理者等は、その所管するシステムにおいて、システム変更等の作業を行った場合は、当該作業内容に関する記録を作成し、詐取、改ざん等をされないように適正に管理しなければならない。

オ　情報システム仕様書等の管理

情報セキュリティ責任者及び情報システム管理者等は、ネットワーク構成図、情報システム仕様書について、記録媒体の種別にかかわらず、業務上必要とする者以外の者が閲覧し、紛失等がないよう、適正に管理しなければならない。

カ　ログの取得等

(ア)　情報セキュリティ責任者及び情報システム管理者等は、各種ログ及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

(イ)　情報セキュリティ責任者及び情報システム管理者等は、ログとして取得する項目、保存期間、取扱方法及びログが取得できなくなった場合の対処等について定め、適正にログを管理しなければならない。

(ウ)　情報セキュリティ責任者及び情報システム管理者等は、取得したログを定期的に点検又は分析をする機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

キ　障害記録

情報セキュリティ責任者及び情報システム管理者等は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適正に保存しなければならない。

ク　ネットワークの接続制御、経路制御等

(ア)　情報セキュリティ責任者は、フィルタリング及びルーティングについて、設定の不整合が発生しないように、ファイアウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

(イ)　情報セキュリティ責任者は、不正アクセスを防止するため、ネットワークに適正なアクセス制御を施さなければならない。

ケ　外部の者が利用できるシステムの分離等

情報システム管理者等は、電子申請の汎用受付システム等、外部の者が利用できるシステムについて、必要に応じて他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

コ　外部ネットワークとの接続制限等

(ア)　情報システム管理者等は、その所管する情報システムにおけるネットワークを外部ネットワークと接続しようとする場合には、統括情報セキュリティ責任者の許可を得なければならない。

(イ)　情報システム管理者等は、上記(ア)の場合において、当該接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者等は、ウェブサーバ等をインターネットに公開する場合、庁内ネットワークへの侵入を防御するために、ファイアウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

(エ)　情報システム管理者等は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産に脅威が生ずることが想定される場合には、統括情報セキュリティ責任者の判断に従い、速やかに当該外部ネットワークを物理的に遮断しなければならない。

サ　IoT機器を含む特定用途機器のセキュリティ管理

統括情報セキュリティ責任者は、特定用途機器(テレビ会議システム、IP電話システム、ネットワークカメラシステム、複合機等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続され、又は電磁的記録媒体を内蔵しているものをいう。)について、取り扱う情報、利用方法、通信回線への接続形態等により、何らかの脅威が想定される場合は、当該機器の特性に応じた対策を講じなければならない。

シ　無線LAN及びネットワークの盗聴対策

(ア)　統括情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な暗号化又は認証技術の使用を義務付けなければならない。

(イ)　統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

ス　電子メールのセキュリティ管理

(ア)　統括情報セキュリティ責任者は、権限のない利用者により、外部から外部への電子メール転送(電子メールの中継処理)が行われることを不可能とするよう、電子メールサーバ等の設定を行わなければならない。

(イ)　統括情報セキュリティ責任者は、スパムメール等が内部から送信されていることを検知した場合は、メールサーバの運用を停止しなければならない。

(ウ)　統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

(エ)　統括情報セキュリティ責任者は、職員等が使用する電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

(オ)　統括情報セキュリティ責任者は、システム開発や運用、保守等のために庁舎内に常駐している委託事業者の作業員による電子メールアドレスの利用について、当該委託事業者との間で利用方法を取り決めなければならない。

セ　電子メールの利用制限

(ア)　職員等は、自動転送機能を用いて、電子メールを転送してはならない。

(イ)　職員等は、業務上必要のない送信先に電子メールを送信してはならない。

(ウ)　職員等は、複数人に電子メールを送信する場合は、他の送信先の電子メールアドレスが分からないようにしなければならない。

(エ)　職員等は、重要な情報に係る電子メールを誤送信した場合は、速やかに情報セキュリティ管理者に報告しなければならない。

ソ　電子署名・暗号化

(ア)　職員等は、情報資産の分類により定めた取扱制限に従い、分類I又はⅡのデータを外部に送付する場合には、CISOが定めた電子署名、パスワード等による暗号化等、セキュリティを考慮して送付しなければならない。

(イ)　職員等は、データの暗号化を行う場合にCISOが定める以外の方法を用いてはならない。また、CISOが定めた方法で暗号化に係る鍵を管理しなければならない。

(ウ)　CISOは、電子署名の正当性を検証するための情報又は手段を、署名検証者へ安全に提供しなければならない。

タ　無許可ソフトウェアの導入等の禁止

(ア)　職員等は、パソコンやモバイル端末に無断でソフトウェアを導入してはならない。

(イ)　情報セキュリティ管理者は、当該所属の職員等の業務上の必要がある場合は、情報システム管理者等の許可を得て、ソフトウェアを導入することができる。この場合において、情報セキュリティ管理者は、当該導入に係るソフトウェアのライセンスの管理を行わなければならない。

(ウ)　職員等は、不正に複製したソフトウェアを利用してはならない。

チ　機器変更の制限

(ア)　職員等は、パソコンやモバイル端末に対して機器の改造、増設及び交換を行ってはならない。

(イ)　情報セキュリティ管理者は、当該所属の職員等の業務遂行のため、パソコンやモバイル端末に対し機器の改造及び増設・交換を行う必要がある場合は、情報システム管理者等の許可を得なければならない。

ツ　業務外ネットワークへの接続の禁止

(ア)　職員等は、支給された端末を、有線・無線を問わず、その端末を接続して利用するよう情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。

(イ)　情報セキュリティ管理者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続することができないように技術的に制限することが望ましい。

テ　業務以外の目的でのウェブ閲覧の禁止

(ア)　職員等は、業務以外の目的でウェブを閲覧してはならない。

(イ)　情報システム管理者は、職員等のウェブ利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、当該職員等の所属に係る情報セキュリティ管理者に通知し、適正な指導を求めなければならない。

ト　Web会議サービスの利用時の対策

(ア)　統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。

(イ)　職員等は、本区の定める利用手順に従い、Web会議の参加者及び取り扱う情報に応じた情報セキュリティ対策を実施すること。

(ウ)　職員等は、Web会議を主催する場合、会議に無関係の者が参加することができないように対策を講ずること。

(エ)　職員等は、外部からWeb会議に招待される場合は、本区の定める利用手順に従い、必要に応じて利用申請を行い、承認を得なければならない。

ナ　ソーシャルメディアサービスの利用

(ア)　情報セキュリティ管理者は、本区が管理するアカウントでソーシャルメディアサービスを利用する場合、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

a　本区のアカウントによる情報発信が、実際の本区のものであることを明らかにするために、本区の自己管理Webサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。

b　パスワードや認証のためのコード等の認証情報及びこれを記録した媒体(ハードディスク、USBメモリ、紙等)等を適正に管理するなどの方法で、不正アクセス対策を実施すること。

(イ)　分類Ⅰ又はⅡの情報は、ソーシャルメディアサービスで発信してはならない。

(ウ)　利用するソーシャルメディアサービスごとの責任者を定めなければならない。

(エ)　アカウント乗っ取りを確認した場合には、被害を最小限にするための措置を講じなければならない。

(オ)　分類Ⅰ又はⅡの情報の提供にソーシャルメディアサービスを用いる場合は、本区の自己管理Webサイトに当該情報を掲載して参照可能とすること。

(2)　アクセス制御等

ア　アクセス制御

統括情報セキュリティ責任者又は情報システム管理者等は、所管するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスすることができないように、システム上制限しなければならない。

イ　利用者IDの取扱い

(ア)　情報システム管理者等は、利用者の登録、変更、抹消等の情報管理、職員等の異動に伴う利用者IDの取扱い等の方法を定めなければならない。

(イ)　情報セキュリティ管理者は、当該所属する職員等の利用者登録が業務上不要となったときは、情報システム管理者等に通知しなければならない。

(ウ)　情報システム管理者等は、利用されていないIDが放置されないよう、人事管理部門等と連携し、定期的に点検しなければならない。

ウ　特権を付与されたIDの管理等

(ア)　情報システム管理者等は、管理者権限等の特権を付与されたIDを利用する者必要最小限とし、当該IDのパスワードの漏えい等が発生しないよう、当該ID及びパスワードを厳重に管理しなければならない。

(イ)　情報セキュリティ管理者等の特権を代行する者は、当該情報セキュリティ管理者等が指名し、情報セキュリティ責任者が認めた者でなければならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者等は、特権を付与されたID及びパスワードの変更について、当該特権を取り扱う者又はその指定する職員の立会いなく受託者に行わせてはならない。

(エ)　統括情報セキュリティ責任者及び情報システム管理者等は、特権を付与されたID及びパスワードについて、職員等の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。

エ　職員等による外部からのアクセス等の制限

(ア)　職員等が外部からネットワーク又は情報システムにアクセスする場合は、統括情報セキュリティ責任者及び情報システム管理者等の許可を得なければならない。

(イ)　統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対する外部からのアクセスを、アクセスが必要な合理的理由を有する必要最低限の者に限定しなければならない。

(ウ)　統括情報セキュリティ責任者は、外部からのアクセスを認める場合、システム上、利用者の本人確認を行う機能を確保するとともに、通信途上の盗聴を防御するために暗号化等の措置を講じなければならない。

(エ)　情報システム管理者等は、外部からのアクセスに利用するモバイル端末を職員等に貸与する場合、セキュリティ確保のために必要な措置を講じなければならない。

(オ)　職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を庁内のネットワークに接続する前に、コンピュータウイルスに感染していないこと、パッチの適用状況等を確認し、情報セキュリティ管理者の許可を得、又は情報セキュリティ管理者があらかじめ定めた規程に従って接続しなければならない。

(カ)　統括情報セキュリティ責任者は、内部のネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生体認証に係る情報等の認証情報並びにこれを記憶した媒体(ICカード等)による認証に加えて通信内容の暗号化等、情報セキュリティ確保のために必要な措置を講じなければならない。

オ　自動識別の設定

統括情報セキュリティ責任者及び情報システム管理者等は、ネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定するなど、不正な機器がネットワークに接続されないための必要な措置を講ずるよう努めなければならない。

カ　ログイン時の表示等

情報システム管理者等は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定、ログイン・ログアウト時刻の表示等により、正当なアクセス権を持つ職員等がログインしたことを確認することができるようにシステムを設定しなければならない。

キ　認証情報の管理

(ア)　統括情報セキュリティ責任者及び情報システム管理者等は、職員等の認証情報を厳重に管理しなければならない。認証情報ファイルを不正利用から保護するため、オペレーティングシステム等認証情報設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

(イ)　統括情報セキュリティ責任者及び情報システム管理者等は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、初回ログイン後直ちにパスワードを変更させなければならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者等は、認証情報の不正利用を防止するための必要な措置を講じなければならない。

ク　特権による接続時間の制限

情報システム管理者等は、特権による情報システムへの接続時間を必要最小限に制限しなければならない。

(3)　システム開発、導入、保守等

ア　情報システムの調達

(ア)　統括情報セキュリティ責任者及び情報システム管理者等は、情報システムの開発、導入、保守等の調達に当たっては、調達に係る仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

(イ)　情報システム管理者等は、機器及びソフトウェアの調達に当たっては、当該製品のセキュリティ機能を調査し、情報セキュリティ上問題がないことを確認しなければならない。

イ　情報システムの開発

(ア)　システム開発における責任者等の特定

情報システム管理者等は、システム開発に係る責任者及び作業者を特定しなければならない。

(イ)　システム開発における責任者及び作業者のIDの管理

a　情報システム管理者等は、システム開発の責任者及び作業者のアクセス権限を設定しなければならない。

b　情報システム管理者等は、システム開発の責任者及び作業者が使用するIDを管理し、開発完了後、開発用IDを削除しなければならない。

(ウ)　システム開発に用いるハードウェア及びソフトウェアの管理

a　情報システム管理者等は、システム開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

b　情報システム管理者等は、開発中のシステムにおいて、利用を認めたソフトウェア以外のソフトウェアが導入されている場合は、当該ソフトウェアをシステムから削除しなければならない。

ウ　情報システムの導入

(ア)　開発環境と運用環境との分離及び移行手順明確化

a　情報システム管理者等は、分類Ⅰの情報を取り扱う情報システムを導入する場合は、システム開発、保守及びテスト環境とシステム運用環境とを分離しなければならない。

b　情報システム管理者等は、システム開発、保守及びテスト環境からシステム運用環境への移行について、システム開発・保守計画の策定時に手順を明確にしなければならない。

c　情報システム管理者等は、システム運用環境への移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮をしなければならない。

d　情報システム管理者等は、情報システムの導入に当たっては、導入する情報システムやサービスの可用性が確保されていることを確認しなければならない。

(イ)　テスト

a　情報システム管理者等は、既に稼働している情報システムに接続する情報システムを新たに導入する場合、その接続の前に十分な試験を行わなければならない。

b　情報システム管理者等は、運用テストを行う場合、あらかじめ疑似環境による操作確認を行わなければならない。

c　情報システム管理者等は、個人情報及び機密性の高い生データをテストデータに使用してはならない。

d　情報システム管理者等は、開発したシステムについて、受入れテストを行う場合、開発した組織と導入する組織とがそれぞれ独立したテストを行わなければならない。

エ　システム開発・保守に関連する資料等の整備・保管

(ア)　情報システム管理者等は、システム開発・保守に関連する資料及びシステム関連文書を適正に整備・保管をしなければならない。

(イ)　情報システム管理者等は、テスト結果を一定期間保管しなければならない。

(ウ)　情報システム管理者等は、情報システムに係るソースコードを適正な方法で保管しなければならない。

オ　情報システムにおける入出力データの正確性の確保

(ア)　情報システム管理者等は、情報システムに入力されるデータについて、範囲、妥当性のチェック機能及び不正な文字列等の入力を除去する機能を組み込むように情報システムを設計しなければならない。

(イ)　情報システム管理者等は、故意又は過失により情報が改ざんされ、又は漏えいするおそれがある場合に、これらを検出するチェック機能を組み込むように情報システムを設計しなければならない。

(ウ)　情報システム管理者等は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

カ　情報システムの変更管理

情報システム管理者等は、情報システムを変更した場合、プログラム仕様書等の変更履歴を作成しなければならない。

キ　開発・保守用のソフトウェアの更新等

情報システム管理者等は、開発・保守用のソフトウェア等を更新又はパッチの適用をする場合、他の情報システムとの整合性を確認しなければならない。

ク　システム更新又は統合時の検証等

情報システム管理者等は、システム更新・統合時に伴うリスク管理体制の構築、移行基準の明確化及び更新・統合後の業務運営体制の検証を行わなければならない。

(4)　不正プログラム対策

ア　統括情報セキュリティ責任者の措置事項

統括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。

(ア)　外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止しなければならない。

(イ)　外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止しなければならない。

(ウ)　コンピュータウイルス等の不正プログラム情報を収集し、必要に応じ、職員等に対して注意喚起をしなければならない。

(エ)　全庁情報システムに係るサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。

(オ)　不正プログラムの対策ソフトウェア及びそのパターンファイルは、常に最新の状態に保たなければならない。

(カ)　業務で使用するソフトウェアは、パッチやバージョンアップなどの開発元のサポートが終了したソフトウェアを利用してはならない。また、当該製品の利用を予定している期間中にパッチやバージョンアップなどの開発元のサポートが終了する予定がないことを確認しなければならない。

(キ)　全庁情報システムにおいて、電磁的記録媒体を使用する場合、コンピュータウイルス等の感染を防止するために、情報システム管理者等が管理している媒体以外の媒体を職員等に使用させてはならない。

イ　情報システム管理者等の措置事項

情報システム管理者等は、その所管する個別情報システムの不正プログラム対策に関し、次の事項を措置しなければならない。

(ア)　不正プログラムの感染及び侵入が生ずる可能性が著しく低い場合を除き、サーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させなければならない。

(イ)　不正プログラムの対策ソフトウェア及びそのパターンファイルは、常に最新の状態に保たなければならない。

(ウ)　インターネットに接続していない個別情報システムにおいて、電磁的記録媒体を使用する場合、コンピュータウイルス等の感染を防止するために、情報システム管理者等が管理している媒体以外の媒体を職員等に使用させてはならない。

(エ)　不正プログラム対策ソフトウェア等の設定変更権限については、一括管理し、情報システム管理者等が許可した職員を除く職員等に当該権限を付与してはならない。

ウ　職員等の遵守事項

職員等は、不正プログラム対策に関し、次の事項を遵守しなければならない。

(ア)　パソコンやモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更してはならない。

(イ)　外部からデータ又はソフトウェアを取り入れる場合は、不正プログラム対策ソフトウェアによるチェックを行わなければならない。

(ウ)　差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除しなければならない。

(エ)　ファイルが添付されている電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行わなければならない。また、インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取り込む場合は、当該ファイルを無害化しなければならない。

(オ)　統括情報セキュリティ責任者が提供するウイルス情報を常に確認しなければならない。

(カ)　コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、直ちに当該端末の利用を中止し、通信を行わない設定への変更又はLANケーブルの即時取り外しを行わなければならない。

エ　専門家の支援体制

統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生した場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

(5)　不正アクセス対策

ア　統括情報セキュリティ責任者の措置事項

統括情報セキュリティ責任者は、不正アクセス対策として、次の事項を措置しなければならない。

(ア)　使用されていないポートを閉鎖すること。

(イ)　不要なサービスについて、機能を削除し、又は停止すること。

(ウ)　不正アクセスによるウェブページの改ざんを防止するために、データの書換えを検出し、統括情報セキュリティ責任者及び情報システム管理者等へ通報するよう、設定すること。

(エ)　CSIRTを活用して情報セキュリティに関する監視、通知、外部連絡窓口及び適正な対応などを実施することができる体制並びに連絡網を構築すること。

イ　攻撃への対処

CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けた場合又は攻撃を受けるリスクがある場合は、情報システムの停止を含む必要な措置を講じなければならない。また、総務省、都道府県等と連絡を密にして情報の収集に努めなければならない。

ウ　記録の保存等

CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)における違反行為等の犯罪行為に該当する可能性がある場合には、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

エ　内部からの攻撃

統括情報セキュリティ責任者及び情報システム管理者等は、職員等及び受託者が使用しているパソコン等の端末からの庁内のサーバ等に対する攻撃や外部のサイトに対する攻撃を監視しなければならない。

オ　職員等による不正アクセス

統括情報セキュリティ責任者及び情報システム管理者等は、職員等による不正アクセスを発見した場合は、当該職員等が所属する課の情報セキュリティ管理者に通知し、適正な処置を求めなければならない。

カ　サービス不能攻撃

統括情報セキュリティ責任者及び情報システム管理者等は、外部からアクセスすることができる情報システムに対し、第三者からサービス不能攻撃を受けて利用者がサービスを利用することができなくなることを防止するため、情報システムの可用性を確保する対策を講じなければならない。

キ　標的型攻撃

統括情報セキュリティ責任者及び情報システム管理者等は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。また、標的型攻撃による組織内部への侵入を低減する対策(入口対策)や内部に侵入した攻撃を早期検知して対処する、侵入範囲の拡大の困難度を上げる、外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。

(6)　セキュリティ情報の収集

ア　セキュリティホールに関する情報の収集・共有及びソフトウェアの更新等

統括情報セキュリティ責任者及び情報システム管理者等は、セキュリティホールに関する情報を収集し、必要に応じて関係者間で共有しなければならない。また、当該セキュリティホールの緊急度に応じてソフトウェア更新等の対策を実施しなければならない。

イ　不正プログラム等のセキュリティ情報の収集、周知

統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じて対応方法について職員等に周知しなければならない。

ウ　情報セキュリティに関する情報の収集及び共有

統括情報セキュリティ責任者及び情報システム管理者等は、情報セキュリティに関する情報を収集し、必要に応じて関係者間で共有しなければならない。また、情報セキュリティに関する社会環境や技術環境等の変化によって新たな脅威を認識した場合は、セキュリティ侵害を未然に防止するための対策を速やかに講じなければならない。

7　運用

(1)　情報システムの監視

ア　統括情報セキュリティ責任者及び情報システム管理者等は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

イ　統括情報セキュリティ責任者及び情報システム管理者等は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

ウ　統括情報セキュリティ責任者及び情報システム管理者等は、外部と常時接続する情報システムを常時監視しなければならない。

(2)　情報セキュリティポリシーの遵守状況の確認

ア　遵守状況の確認及び対処

(ア)　情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題があると認めた場合には、その重要度に応じ、速やかにCISO又は統括情報セキュリティ責任者に報告しなければならない。

(イ)　CISOは、発生した問題について、適正かつ速やかに対処しなければならない。

(ウ)　統括情報セキュリティ責任者及び情報システム管理者等は、ネットワーク及びサーバ等のシステム設定等における情報セキュリティポリシーの遵守状況について、定期的に確認を行い、問題が発生していた場合には適正かつ速やかに対処しなければならない。

(エ)　統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。

イ　パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査

CISO及びCISOが指定した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メールの送受信記録等の利用状況を調査することができる。

ウ　職員等の報告義務

(ア)　職員等は、情報セキュリティポリシーに対する違反行為を発見した場合、直ちに情報セキュリティ責任者及び情報セキュリティ管理者に報告を行わなければならない。

(イ)　情報セキュリティ責任者は、上記(ア)の報告に係る違反行為が直ちに情報セキュリティ上重大な影響を及ぼす可能性があると判断した場合は、速やかに統括情報セキュリティ責任者に報告しなければならない。

(ウ)　上記(イ)の場合において、職員等は、緊急時対応計画に従って適正に対処しなければならない。

(3)　侵害時の対応等

ア　緊急時対応計画の策定

CISOは、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合における連絡、証拠保全、被害の拡大防止、復旧、再発防止等の措置を迅速かつ適正に実施するために、緊急時対応計画を定めておき、セキュリティ侵害時には当該計画に従って適正に対処しなければならない。

イ　緊急時対応計画に盛り込むべき内容

緊急時対応計画には、次の内容を定めなければならない。

(ア)　関係者の連絡先

(イ)　発生した事案に係る報告すべき事項

(ウ)　発生した事案への対応措置

(エ)　再発防止措置の策定

ウ　業務継続計画の情報セキュリティポリシーとの整合性の確保

自然災害、大規模・広範囲にわたる疾病等に備えて別途策定する業務継続計画は、情報セキュリティポリシーとの整合性を確保しなければならない。

エ　緊急時対応計画の見直し

CISOは、情報セキュリティを取り巻く状況の変化や組織体制の変動等に的確に対応するため、必要に応じて緊急時対応計画の規定を見直さなければならない。

(4)　例外措置の管理

CISOは、基本方針第11条第3項の規定による例外措置に係る申請又は報告に関する書類を適正に保管し、定期的にその状況を確認しなければならない。

(5)　法令遵守

職員等は、職務の遂行において使用する情報資産を保護するために、次の法令及びこれらの関係法令を遵守し、これに従わなければならない。

ア　地方公務員法(昭和25年法律第261号)

イ　著作権法(昭和45年法律第48号)

ウ　不正アクセス行為の禁止等に関する法律

エ　行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)

オ　サイバーセキュリティ基本法(平成26年法律第104号)

カ　個人情報の保護に関する法律(平成15年法律第57号)

(6)　情報セキュリティポリシー等違反時の対応

ア　統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム管理者等は、職員等の情報セキュリティポリシー及び実施手順に違反する行為を確認した場合は、速やかに当該職員等が所属する課の情報セキュリティ管理者に通知し、適正な措置を講ずるよう求めなければならない。

イ　上記アによる通知又は上記(2)ウ(ア)による報告を受けた情報セキュリティ管理者は、当該職員等への指導等の適正な措置を講じなければならない。

ウ　統括情報セキュリティ責任者は、上記イによる措置が講ぜられても改善が認められない場合は、当該職員等のネットワーク又は情報システムを使用する権限を停止することができる。

エ　統括情報セキュリティ責任者は、上記ウによる権限を停止したときは、速やかにその旨をCISO及び当該職員等が所属する課の情報セキュリティ管理者に通知するものとする。

8　業務委託と外部サービスの利用

(1)　業務委託

ア　委託事業者の選定基準

情報セキュリティ管理者は、委託事業者の選定に当たり、委託内容に応じて情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にするほか、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

イ　契約項目

情報システムの運用、保守等を業務委託する場合には、委託事業者との間で必要に応じて次の情報セキュリティ要件を明記した契約を締結しなければならない。

・情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

・委託事業者の責任者、委託内容、作業者の所属、作業場所の特定

・提供されるサービスレベルの保証

・委託事業者にアクセスを許可する情報の種類と範囲、アクセス方法

・委託事業者の従業員に対する教育の実施

・提供された情報の目的外利用及び第三者への提供の禁止

・業務上知り得た情報の守秘義務

・再委託に関する制限事項の遵守

・委託業務終了時の情報資産の返還、廃棄等

・委託業務の定期報告及び緊急時報告義務

・区による監査及び検査

・区による情報セキュリティインシデント発生時の公表

・情報セキュリティポリシーが遵守されなかった場合の規定

ウ　確認・措置等

(ア)　情報セキュリティ管理者は、委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、必要に応じて上記イの契約に基づく措置を実施しなければならない。

(イ)　情報セキュリティ管理者は、上記(ア)の措置を実施したときは、その内容を統括情報セキュリティ責任者に報告するとともに、その重要度に応じてCISOに報告しなければならない。

(2)　外部サービスの利用(分類Ⅰ又はⅡの情報を取り扱う場合)

ア　外部サービスの利用に係る規定の整備

統括情報セキュリティ責任者は、以下を含む外部サービス(分類Ⅰ又はⅡの情報を取り扱う場合)の利用に関する規定を整備すること。

(ア)　外部サービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下8．(2)節において「外部サービス利用判断基準」という。)

(イ)　外部サービス提供者の選定基準

(ウ)　外部サービスの利用申請の許可権限者と利用手続

(エ)　外部サービス管理者の指名と外部サービスの利用状況の管理

イ　外部サービスの選定

(ア)　情報セキュリティ責任者は、取り扱う情報の格付及び取扱制限を踏まえ、外部サービス利用判断基準に従って外部サービスの利用を検討すること。

(イ)　情報セキュリティ責任者は、外部サービスで取り扱う情報の格付及び取扱制限を踏まえ、外部サービス提供者の選定基準に従って外部サービス提供者を選定すること。また、以下の内容を含む情報セキュリティ対策を外部サービス提供者の選定条件に含めること。

a　外部サービスの利用を通じて本区が取り扱う情報の外部サービス提供者における目的外利用の禁止

b　外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制

c　外部サービスの提供に当たり、外部サービス提供者若しくはその従業員、再委託先又はその他の者によって、本区の意図しない変更が加えられないための管理体制

d　外部サービス提供者の資本関係・役員等の情報、外部サービス提供に従事する者の所属・専門性(情報セキュリティに係る資格・研修実績等)・実績及び国籍に関する情報提供並びに調達仕様書による施設の場所やリージョンの指定

e　情報セキュリティインシデントへの対処方法

f　情報セキュリティ対策その他の契約の履行状況の確認方法

g　情報セキュリティ対策の履行が不十分な場合の対処方法

(ウ)　情報セキュリティ責任者は、外部サービスの中断や終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めること。

(エ)　情報セキュリティ責任者は、外部サービスの利用を通じて本区が取り扱う情報の格付等を勘案し、必要に応じて以下の内容を外部サービス提供者の選定条件に含めること。

a　情報セキュリティ監査の受入れ

b　サービスレベルの保証

(オ)　情報セキュリティ責任者は、外部サービスの利用を通じて本区が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて本区の情報が取り扱われる場所及び契約に定める準拠法・裁判管轄を選定条件に含めること。

(カ)　情報セキュリティ責任者は、外部サービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を本区に提供し、本区の承認を受けるよう、外部サービス提供者の選定条件に含めること。また、外部サービス利用判断基準及び外部サービス提供者の選定基準に従って再委託の承認の可否を判断すること。

(キ)　情報セキュリティ責任者は、外部サービスの特性を考慮した上で、外部サービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、セキュリティ要件を定めること。

(ク)　統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定・認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的・客観的に評価し判断すること。

ウ　外部サービスの利用に係る調達・契約

(ア)　情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者の選定基準及び選定条件並びに外部サービスの選定時に定めたセキュリティ要件を調達仕様に含めること。

(イ)　情報セキュリティ責任者は、外部サービスを調達する場合は、外部サービス提供者及び外部サービスが調達仕様を満たすことを契約までに確認し、調達仕様の内容を契約に含めること。

エ　外部サービスの利用承認

(ア)　情報セキュリティ責任者は、外部サービスを利用する場合には、利用申請の許可権限者へ外部サービスの利用申請を行うこと。

(イ)　利用申請の許可権限者は、職員等による外部サービスの利用申請を審査し、利用の可否を決定すること。

(ウ)　利用申請の許可権限者は、外部サービスの利用申請を承認した場合は、承認済み外部サービスとして記録し、外部サービス管理者を指名すること。

オ　外部サービスを利用した情報システムの導入・構築時の対策

(ア)　統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方等を踏まえ、以下を含む外部サービスを利用して情報システムを構築する際のセキュリティ対策を規定すること。

a　不正なアクセスを防止するためのアクセス制御

b　取り扱う情報の機密性保護のための暗号化

c　開発時におけるセキュリティ対策

d　設計・設定時の誤りの防止

(イ)　外部サービス管理者は、前項において定める規定に対し、構築時に実施状況を確認・記録すること。

カ　外部サービスを利用した情報システムの運用・保守時の対策

(ア)　統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、以下を含む外部サービスを利用して情報システムを運用する際のセキュリティ対策を規定すること。

a　外部サービス利用方針の規定

b　外部サービス利用に必要な教育

c　取り扱う資産の管理

d　不正アクセスを防止するためのアクセス制御

e　取り扱う情報の機密性保護のための暗号化

f　外部サービス内の通信の制御

g　設計・設定時の誤りの防止

h　外部サービスを利用した情報システムの事業継続

(イ)　情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、外部サービスで発生したインシデントを認知した際の対処手順を整備すること。

(ウ)　外部サービス管理者は、前各項において定める規定に対し、運用・保守時に実施状況を定期的に確認・記録すること。

キ　外部サービスを利用した情報システムの更改・廃棄時の対策

(ア)　統括情報セキュリティ責任者は、外部サービスの特性や責任分界点に係る考え方を踏まえ、以下を含む外部サービスの利用を終了する際のセキュリティ対策を規定すること。

a　外部サービスの利用終了時における対策

b　外部サービスで取り扱った情報の廃棄

c　外部サービスの利用のために作成したアカウントの廃棄

(イ)　外部サービス管理者は、前項において定める規定に対し、外部サービスの利用終了時に実施状況を確認・記録すること。

(3)　外部サービスの利用(分類Ⅰ又はⅡの情報を取り扱わない場合)

ア　外部サービスの利用に係る規定の整備

統括情報セキュリティ責任者は、以下を含む外部サービス(分類Ⅰ又はⅡの情報を取り扱わない場合)の利用に関する規定を整備すること。

(ア)　外部サービスを利用可能な業務の範囲

(イ)　外部サービスの利用申請の許可権限者と利用手続

(ウ)　外部サービス管理者の指名と外部サービスの利用状況の管理

(エ)　外部サービスの利用の運用手順

イ　外部サービスの利用における対策の実施

(ア)　職員等は、利用するサービスの約款、その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で分類Ⅰ又はⅡの情報を取り扱わない場合の外部サービスの利用を申請すること。また、承認時に指名された外部サービス管理者は、当該外部サービスの利用において適切な措置を講ずること。

(イ)　情報セキュリティ責任者は、職員等による外部サービスの利用申請を審査し、利用の可否を決定すること。また、承認した外部サービスを記録すること。

9　評価・見直し

(1)　監査

ア　実施方法

区長は、情報セキュリティ監査統括責任者として、本区のネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行うものとする。

イ　監査を行う者の要件

(ア)　情報セキュリティ監査統括責任者は、被監査部門から独立した者により監査を行わせなければならない。

(イ)　監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

ウ　監査実施計画の立案及び実施への協力

(ア)　情報セキュリティ監査統括責任者は、監査実施計画を定めるものとする。

(イ)　被監査部門は、監査の実施に協力しなければならない。

エ　委託事業者に対する監査

業務委託に係る情報資産については、当該委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守状況について監査を実施しなければならない。

オ　監査結果への対応

(ア)　情報セキュリティ監査統括責任者は、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該指摘事項への対処を指示するものとする。

(イ)　CISOは、監査結果における指摘事項と同種の課題及び問題点が当該指摘事項を所管する部門以外においても存在する可能性が高い場合は、全情報セキュリティ管理者に対し、当該課題及び問題点の有無を確認させなければならない。

(ウ)　CISOは、監査結果における指摘事項について、庁内で横断的に改善が必要なものである場合は、統括情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。

カ　情報セキュリティポリシー及び関係規程等の見直し等への活用

情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直しに当たっては、監査結果を活用しなければならない。

(2)　自己点検

ア　実施方法

(ア)　統括情報セキュリティ責任者及び情報システム管理者等は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自己点検を実施しなければならない。

(イ)　情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する部局における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自己点検を行わなければならない。

イ　報告

統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自己点検結果と自己点検結果に基づく改善策を取りまとめ、CISOに報告しなければならない。

ウ　自己点検結果の活用

(ア)　職員等は、自己点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

(イ)　情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直しに当たっては、自己点検の結果を活用しなければならない。

付則

付則