一関地区広域行政組合情報セキュリティポリシー
組合が所掌する情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的にとりまとめたものを「情報セキュリティポリシー」といいます。
情報セキュリティポリシーは、基本方針と対策基準で構成され、対策基準に基づいて実施手順を策定していますが、公表による組合の行政運営への影響を考慮し、情報セキュリティ対策に関する統一的かつ基本的な方針(情報セキュリティ基本方針)を公表します。
情報セキュリティ基本方針
1. 目的
本基本方針は、組合が保有する情報資産の機密性、完全性及び可用性を維持するため、組合が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
2. 定義
(1)ネットワーク
コンピュータ等を相互に接続するための通信網とその構成機器(ハードウェア及びソ
フトウェア)をネットワークといい、ネットワークのうち組合が構築している組織内の
ネットワークを庁内ネットワークという。
(2)情報システム
コンピュータ、ネットワーク及び電磁的記録媒体で構成され、情報処理を行う仕組み
をいう。
(3)情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
(4)情報セキュリティポリシー
本基本方針及び情報セキュリティ対策基準をいう。
(5)機密性
情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保す
ることをいう。
(6)完全性
情報が破壊、改ざん又は消去されていない状態を確保することをいう。
(7)可用性
情報にアクセスすることを認められた者が、必要な時に中断されることなく、情報に
アクセスできる状態を確保することをいう。
(8)マイナンバー利用事務系(個人番号利用事務系)
個人番号利用事務(行政手続における特定の個人を識別するための番号の利用等に関
する法律(平成25年法律第27号。以下「番号法」という。)第2条に規定する個人番
号を利用して処理する事務をいう。)又は戸籍事務等に係る情報システム及びデータを
いう。
(9)LGWAN接続系(情報系)
地方公共団体の組織内ネットワークを相互接続している行政専用のネットワークであ
る総合行政ネットワーク(以下「LGWAN」という。)に接続されている人事給与、
財務会計及び文書管理等の情報システム及びその情報システムで取り扱うデータをい
う。
(10)インターネット接続系
インターネットメール、ホームページ管理システム等に係るインターネットに接続さ
れた情報システム及びその情報システムで取り扱うデータをいう。
(11)通信経路の分割
LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安
全が確保された通信を許可できるようにすることをいう。
(12)無害化通信
インターネットメール本文のテキスト化や端末への画面転送等により、コンピュータ
ウイルス等の不正プログラムの付着がない等、安全が確保された通信をいう。
(13)特定個人情報
番号法第2条に規定する、個人番号をその内容に含む個人情報ファイルをいう。
3. 対象とする脅威
情報資産に対する脅威として、以下の脅威を想定し、情報セキュリティ対策を実施する。
(1)不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃や部外者の侵入等
の意図的な要因による情報資産の漏えい・破壊・改ざん・消去、重要情報の詐取、内部
不正等
(2)情報資産の無断持ち出し、無許可ソフトウェアの仕様等の規定違反、設計・開発の不
備、プログラム上の欠陥、操作・設定ミス、メンテナンス不備、内部・外部監査機能の
不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資
産の漏えい・破壊・消去等
(3)地震、落雷、火災等の災害によるサービス及び業務の停止等
(4)大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等
(5)電力供給の途絶、通信の途絶、水道供給の途絶等のインフラの障害からの波及等
4. 適用範囲
(1)行政機関の範囲
本基本方針の適用範囲は、組合のすべての執行機関及び議会事務局とする。
(2)情報資産の範囲
本基本方針が対象とする情報資産は、次のとおりとする。
① ネットワーク、情報システム及びこれらに関する設備、電磁的記録媒体
② ネットワーク及び情報システムで取り扱う情報(これらを印刷した文書を含む)
③ 情報システムの仕様書及びネットワーク図等のシステム関連文書
5. 職員等の遵守義務
職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行にあたって情報セキュリティポリシー並びに情報セキュリティ実施手順及び特定個人情報保護評価書に記載の個人のプライバシー等の権利利益の保護の宣言を遵守しなければならない。
6. 情報セキュリティ対策
3.対象とする脅威から情報資産を保護するために、以下の情報セキュリティ対策を講じる。
(1)組織体制
組合の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立
する。
(2)情報資産の分類と管理
組合の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基
づき情報セキュリティ対策を行う。
(3)情報システム全体の強靭性の向上
マイナンバー利用事務系、LGWAN接続系、インターネット接続系に次の対策を講
じる。
① マイナンバー利用事務系においては、原則として、他の領域との通信をできない
ようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入等
により、住民情報の流出を防ぐ。
② LGWAN接続系においては、LGWANと接続する業務用システムと、インタ
ーネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通
信する場合には、無害化通信を実施する。
③ インターネット接続系においては、不正通信の監視機能の強化等の高度な情報セ
キュリティ対策を実施する。高度な情報セキュリティ対策として、岩手県と組合の
インターネット接続口を集約した、岩手県情報セキュリティクラウドを導入する。
(4)物理的セキュリティ
サーバ等、情報システム室等、通信回路等及び職員等の端末等の管理について、物理
的な対策を講じる。
(5)人的情報セキュリティ
情報セキュリティに関し、職員等が遵守すべき事項を定めるとともに、十分な教育及
び啓発を行う等の人的な対策を講じる。
(6)技術的セキュリティ
コンピュータ等の管理、アクセス制御、不正プログラム対策、不正アクセス対策等の
技術的対策を講じる。
(7)運用
情報システムの管理、情報セキュリティポリシーの遵守状況の確認、業務委託を行う
際のセキュリティ確保等、情報セキュリティポリシーの運用面の対策を講じるものとす
る。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適切に対応
するため、緊急時対応計画を策定する。
(8)業務委託と外部サービス(クラウドサービス)の利用
① 業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記し
た契約を締結し、委託事業において必要なセキュリティ対策が確保されていること
を確認し、必要に応じて契約に基づき措置を講じる。
② 外部サービス(クラウドサービス)を利用する場合には、利用にかかる規定を整
備し対策を講じる。
③ ソーシャルメディアサービスを利用する場合には、情報セキュリティ管理者が管
理するアカウントを使用し、職員個人が私的に取得したアカウントは使用しない。
また、ソーシャルメディアサービスによる情報発信を行う課等ごとに、管理者を
定め、使用するアカウントの管理や発信する情報を規定した運用マニュアルを定め
なければならない。
7. 情報セキュリティ監査及び自己点検の実施
情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施する。
8. 情報セキュリティポリシーの見直し
情報セキュリティ監査及び自己点検の結果、情報セキュリティポリシーの見直しが必要となった場合及び情報セキュリティに関する状況の変化に対応するため新たに対策が必要となった場合には、保有する情報及び利用する情報システムに係る脅威の発生の可能性及び発生時の損失等を分析し、リスクを検討したうえで、情報セキュリティポリシーを見直す。
9. 情報セキュリティ対策基準の策定
6.情報セキュリティ対策、7.情報セキュリティ監査及び自己点検の実施、8.情報セキュリティポリシーの見直しに規定する対策等を実施するために、具体的な遵守事項及び判断基準等を定める情報セキュリティ対策基準を策定する。
10. 情報セキュリティ実施手順の策定
情報セキュリティ対策基準に基づく情報セキュリティ対策を実施するための具体的な手順については、一関市実施手順の例による。
なお、情報セキュリティ実施手順は、公にすることにより組合の行政運営に重大な支障を及ぼすおそれがあることから非公開とする。