○足寄町情報セキュリティ対策基本要綱
平成17年3月28日要綱第8号
足寄町情報セキュリティ対策基本要綱
(目的)
第1条 足寄町の各情報システムが取扱う情報には、住民の個人情報のみならず行政運営上重要な情報など、外部への漏洩などが発生した場合には極めて重大な結果を招く情報が数多く含まれている。この要綱は、これらの情報資産、情報資産を取り扱うネットワーク及び情報システムを様々な脅威から防御するための基本的な方針を定めることにより、町民の財産、プライバシー等の保護及び安定的な行政事務の運営を図るとともに、住民からの信頼の維持向上に寄与することを目的とする。
(定義)
第2条 この要綱における用語の定義は、次のとおりとする。
(1) ネットワーク
町長その他、町の執行機関及び専用回線で接続するその他の施設を相互に接続するための通信網、その通信機器(ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(2) 情報システム
業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)及び記録媒体で構成され、処理を行う仕組みをいう。
(3) 記録媒体
電子情報を保管する記録装置のうち、取りはずして使用することが可能なフロッピーディスク、光磁気ディスクその他これらに類するものをいう。
(4) 情報資産
ネットワーク及び情報システムの開発と運用に係る全ての情報並びにネットワーク及び情報システムで取り扱う全ての情報をいう。
なお、情報の重要性に鑑み、紙等の有体物に出力された情報も含むものとする。
(5) 情報セキュリティ
情報資産の機密性の保持及び正確性、完全性の維持並びに定められた範囲での利用可能な状態を維持することをいう。
(位置付けと職員等及び外部委託事業者の義務)
第3条 この要綱は、足寄町が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の頂点に位置するものである。
2 町長をはじめとして、足寄町が所掌する情報資産に関する業務に携わる全ての職員等及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行に当たってこの要綱を遵守する義務を負うものとする。また、情報資産の利用及び保管に当たっては、個人情報の保護に関する法律(平成15年法律第57号)、
足寄町個人情報の保護に関する法律施行条例(令和5年条例第2号)等の関連する法令等を遵守しなければならない。
(情報セキュリティ管理体制)
第4条 この要綱で定める情報セキュリティを積極的に推進・管理するための体制を確立するものとする。
(情報資産の分類)
第5条 情報資産をその内容に応じて分類し、その重要度に応じた情報セキュリティ対策を行うものとする。
(情報資産への脅威)
第6条 情報資産を脅かす脅威の発生度合や発生した場合の影響を考慮すると、特に認識すべき脅威は次の各号のとおりである。
(1) 部外者の侵入による機器又は情報資産の破壊・盗難、故意の不正アクセス又は不正操作による機器又は情報資産の破壊・盗聴・改ざん・消去等
(2) 職員等又は外部委託事業者による機器又は情報資産の持出、誤操作、アクセスのための認証情報又はパスワードの不適切管理、故意の不正アクセス又は不正行為による破壊・盗聴・改ざん・消去等、搬送中の事故等による機器又は情報資産の盗難、規定外の端末接続によるデータ漏洩等
(3) コンピュータウイルス、地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止
(情報セキュリティ対策)
第7条 前条各号で示した脅威から情報資産を保護するために、以下各号の情報セキュリティ対策を講ずるものとする。
(1) 物理的及び環境的セキュリティ対策
情報システムを設置する施設の安全性の確保、当該施設への入退室の管理等、情報資産への損傷・妨害等から保護するために物理的及び環境的な対策を定める。
(2) 人的セキュリティ対策
情報セキュリティに関する職員及び外部委託事業者の責務、職員及び外部委託事業者に対する本要綱の啓発等、情報資産に対する侵害が発生した場合の職員の報告義務等の人的な対策を定める。
(3) 技術的セキュリティ対策
情報資産を不正なアクセスから適切に保護するためのネットワークの管理、アクセス制御等の技術的な対策を定める。
(4) 運用面におけるセキュリティ対策
情報資産を適切に保護するための運用管理、システム開発等の外部委託管理等の運用面に関する対策を定める。
(情報セキュリティ対策基準要領の策定)
第8条 足寄町が所掌する情報資産について、前条各号の情報セキュリティ対策を講ずるに当たっては、遵守すべき行為及び判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行う上で必要となる基本的な事項を明記した情報セキュリティ対策基準要領(以下、「対策基準要領」という。)を策定するものとする。
(情報セキュリティ実施手順の策定)
第9条 対策基準要領を遵守して情報セキュリティ対策を実施するために、個々の情報資産の対策手順等をそれぞれ定めておく必要がある。そのため、情報システムを所管する課等の長は対策基準要領において定める、情報資産に対する脅威及び情報資産の重要度の基本的な要件に基づき、所掌する情報資産の情報セキュリティ実施手順を策定するものとする。
2 情報セキュリティ実施手順は、情報資産を脅かす様々な脅威から行政運営のための重要な情報資産を守るための手順であり、非公開とする。
(情報セキュリティ監査の実施)
第10条 この要綱が遵守されていることを検証するため、随時、監査を実施する。
(評価及び見直しの実施)
第11条 情報セキュリティ監査の結果等により、この要綱及び対策基準要領に定める事項並びに情報セキュリティ対策全般の評価を実施するとともに、情報システムの変更や新たな脅威等、情報セキュリティを取り巻く状況の変化を踏まえ、適宜、対策基準要領の見直しを実施する。
附 則
この要綱は、平成17年4月1日から施行する。
附 則(令和5年3月15日要綱第8号)
この要綱は、令和5年4月1日から施行する。