○東松島市本人確認情報の管理に関する事務取扱要領
平成17年4月1日
訓令甲第20号
この訓令は、東松島市本人確認情報の管理に関する規程(平成17年東松島市訓令甲第19号。以下「規程」という。)第23条の規定に基づき、本人確認情報の管理に関し必要な事項を定めるものとする。
第1 セキュリティ組織の設置
1 セキュリティ統括責任者(規程第3条関係)
セキュリティ統括責任者は、市における住民基本台帳ネットワークシステム(以下「住基ネット」という。)のセキュリティ対策に関する最終的な権限及び責任(作動停止時、データの漏えいのおそれがある場合等の緊急時において対応策を決定し、実施する権限及び責任を含む。)を有し、運用に関する重大な事項についての決定権限を持つこととする。
また、セキュリティ統括責任者は、住基ネットのセキュリティ対策について、常日ごろから細心の注意を払い、本人確認情報データの漏えい防止及び正確性の維持と住基ネットの継続的な運用に努めることとする。
2 システム管理者(規程第4条関係)
システム管理者は、住基ネットの全体を管理する責任者として、アクセス管理、情報資産(住基ネットに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)管理等を行うこととする。
3 セキュリティ責任者(規程第5条関係)
セキュリティ責任者は、住基ネットに係る業務端末設置室等への入退室管理及び情報資産に係る管理等を行うほか、住基ネットのセキュリティ対策の職員への徹底、セキュリティに対する脅威が発生した場合の情報収集、セキュリティ統括責任者に対する報告等を担うこととする。
4 セキュリティ会議の設置(規程第6条関係)
「セキュリティ会議」は、住基ネットの関連部門の責任者から構成され、庁内における住基ネットのセキュリティに関する審議等を行う機関として設けられ、庁内における住基ネットのセキュリティ対策の決定及び見直し、セキュリティ対策の遵守状況の確認、監査の実施、教育及び研修の実施等について審議する。また、緊急時における対応策を検討する組織とする。
セキュリティ会議は、セキュリティ統括責任者が招集し、かつ、議長を務める。
セキュリティ会議のメンバーは、セキュリティ統括責任者、システム管理者をはじめ、住基ネットの構成機器及び関連設備を設置する建物等の管理、教育・研修の実施に関する責任者である総務課長等、関連部門の責任者とする。
5 監査・研修体制の整備
(1) 監査体制(規程第8条関係)
① 住基ネットのセキュリティを確保するため、必要に応じて点検・評価し、その結果をフォローアップする体制を整えることとする。
② 監査を行うに当たっては、独立性及び公平性を担保するため、委託して行うことができるものとする。
(2) 研修体制(規程第9条関係)
住基ネットの操作及びセキュリティ対策については、次の区分により、計画的に研修を行うこととする。
① 操作者 住基ネットに関する内容、業務端末等の操作に関する内容、セキュリティ対策に関する内容等
② 管理者 住基ネットの管理に関する必要な知識、技術に関する内容等
第2 アクセス管理
アクセス管理責任者は、サーバー及び業務端末に係る操作者の権限及び責任を明確にするため、操作者用ICカード及びパスワードにより正当な操作者であることを確認するとともに、操作履歴の記録を行うものとする。
2 操作者用ICカード及びパスワードの管理方法(規程第15条関係)
規程第15条に規定する操作者用ICカード及びパスワードの管理に関する事項については、アクセス管理責任者が別に定めるものとする。
3 操作履歴の保管(規程第16条関係)
アクセス管理責任者は、住基ネットの操作履歴について、サーバーから記録媒体に定期的バックアップすることとする。
また、保存期間は、刑法(明治40年法律第45号)第235条(窃盗)及び同法第246条の2(電子計算機使用詐欺)の公訴時効(刑事訴訟法(昭和23年法律第131号)第250条により7年)を考慮して7年としたものである。
第3 本人確認情報の管理措置
1 システム管理者の管理措置
(1) 情報資産の管理方法(規程第18条第1項関係)
規程第18条第1項第1号に規定する情報資産の管理方法については、システム管理者が別に定めるものとする。
(2) オペレーション計画の内容(規程第18条第2項関係)
① オペレーション計画の作成
規程第18条第2項に規定するオペレーション計画については、次に掲げる計画を内容とするものとし、システム管理者が別に定めるものとする。
ア 要員計画
一定期間ごとに要員計画を策定することとする。
イ 運用計画
(ア) 通常期・ピーク時・大量データ取扱い時のスケジュールをあらかじめ作成すること。
(イ) 年次・月次・週次・日次ごとの作業項目、運用時間を決定すること。
ウ バックアップ計画
バックアップの処理に関して、必要な事項を定めること。
エ 緊急時対応計画
緊急時の対応のために、別途、緊急時対応計画書を作成し、緊急時対応手順の明確化、緊急時連絡体制の確認、緊急時対応手順の周知を図ること。
② オペレーション計画の見直し等
ア オペレーションに関する各計画の見直しを必要に応じて行うこと。
イ 障害が発生する確率を下げるために、オペレーション品質の向上対策、オペレーションミスの原因分析、再現防止策の策定・実施・評価を行うこと。
2 セキュリティ責任者の管理措置(規程第19条第1項関係)
(1) 本人確認情報取扱者(操作者)の指名
① セキュリティ責任者は、現に本人確認情報を取り扱う操作者を明確にするため、本人確認情報を取り扱うことができる操作者を事前に指名するものとする。
② 操作者は、本人確認情報を取り扱う場合、セキュリティ責任者の許可を得るものとする。
③ 本人確認情報の取扱い処理を事業者に委託した場合、委託の都度、本人確認情報を取り扱うことができる者を指定することとする。ただし、当該指定は、必要最小限度のものとしなければならないものとする。
(2) 本人確認情報の取扱いに係る留意事項
セキュリティ責任者は、別表第1のとおり、住民基本台帳法で本人確認情報の漏えい、滅失及び損傷の防止その他の本人確認情報の適切な管理のために必要な措置の実施が義務付けられていることから、(1)の①により指名した操作者が本人確認情報を取り扱うに際して、次の内容を遵守するよう指示するものとする。
① 本人確認情報を画面表示する場合
ア 業務上必要のない本人確認情報を表示しないこと。
イ スクリーンセーバーの機能を活用するなど、長時間にわたり本人確認情報をディスプレイに表示したままの状態にしないこと。
ウ 住基ネットの業務端末に係るディスプレイが、窓口に来庁している住民から見えない位置に置くこと。
エ 画面のハードコピーは、必要以外に取らないこと。また、必要以外に画像データとして保管することを禁止すること。
② 本人確認情報を検索・抽出する場合
ア 業務上必要のない検索・抽出は、行わないこと。
イ 業務上の検索・抽出を行う場合には、事前に検索・抽出要件を明確にすること。
③ 本人確認情報の帳票を出力する場合
ア 業務上必要のない帳票の出力は、行わないこと。
イ 本人確認情報が記載されている帳票を出力した場合には、適正に管理すること。
(3) 本人確認情報に関する秘密保持義務
セキュリティ責任者は、別表第2のとおり、住民基本台帳法で秘密保持義務が定められていることから、本人確認情報に関する秘密、本人確認情報の電子計算機処理等に関する秘密(セキュリティに関する技術情報、パスワード、具体的運用方法、マニュアル等も含む。)について、職員に周知するものとする。
(4) セキュリティ責任者の帳票の管理方法(規程第19条第2項関係)
規程第19条第2項に規定する帳票の管理方法については、セキュリティ責任者が別に定めるものとする。
第4 外部委託
1 外部委託先の選定に係る留意事項(規程第20条関係)
委託事業者を選定する場合には、委託する業務の内容に応じて、次に掲げる事項に留意の上、その事業者の安全度・信頼度等を確認し、選定を行うものとする。
(1) 事前調査
委託事業者を選定する場合には、その事業者に関して、経営の健全性、安定度、営業規模、営業地域等を事前に調査し、確認すること。
(2) 業務完遂能力
① 事業者の業務完遂能力(信用度)について、要員の技術力や要員の教育体制のみで判断するのではなく、個人情報保護措置やセキュリティ対策の実施状況等についても調査し、判断すること。
② 損害賠償能力や社会的関心を呼んだ不祥事の有無等についても調査を行い、総合的に判断すること。
(1) 本人確認情報の電気計算機処理等の委託(2以上の段階にわたる委託を含む。)を受けた者若しくはその役職員又はこれらの者であった者は、別表第2のとおり、住民基本台帳法で秘密保持義務が課せられるので留意すること。
(2) 委託保持に関する誓約書の提出
委託契約を締結する際には、委託事業者に対し、従事者からの意識を高めるために、誓約書を提出させる等秘密保持に関する意識の向上について必要な措置を講ずるよう依頼すること。
附則
この訓令は、平成17年4月1日から施行する。
附則(平成19年3月30日訓令甲第22号)
この訓令は、平成19年4月1日から施行する。
附則(平成27年12月25日訓令甲第103号)抄
(施行期日)
第1条 この訓令は、平成28年1月1日から施行する。
別表第1(第3関係)
〈安全確保措置〉
安全確保措置義務主体 | 住民基本台帳法上の本人確認情報の安全確保措置 |
都道府県 | 都道府県知事は、第30条の6第1項の規定による通知に係る本人確認情報の電子計算機処理等(電子計算機処理又は情報の入力のための準備作業若しくは磁気ディスクの保管をいう。以下同じ。)を行うに当たっては、当該本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のために必要な措置を講じなければならない。【第30条の24第1項】 |
都道府県から委託を受けた者 | 前2項の規定は、都道府県知事又は機構から第30条の6第1項又は第30条の7第1項の規定による通知に係る本人確認情報の電子計算機処理等の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。【第30条の24第3項】 |
受領者 | 第30条の9から第30条の14まで若しくは第30条の15第2項の規定により本人確認情報の提供を受けた市町村長その他の市町村の執行機関若しくは都道府県知事その他の都道府県の執行機関又は別表第1の上欄に掲げる国の機関若しくは法人(以下「受領者」という。)がこれらの規定により提供を受けた本人確認情報(以下「受領した本人確認情報」という。)の電子計算機処理等を行うに当たっては、受領者は、受領した本人確認情報の漏えい、滅失及び毀損の防止その他の当該本人確認情報の適切な管理のために必要な措置を講じなければならない。【第30条の28第1項】 |
受領者から委託を受けた者 | 前項の規定は、受領者から受領した本人確認情報の電子計算機処理等の委託(2以上の段階にわたる委託を含む。)を受けた者が受託した業務を行う場合について準用する。【第30条の28第2項】 |
別表第2(第3、第4関係)
〈秘密保守義務〉
秘密保守義務者 | 住民基本台帳法上の本人確認情報の安全確保措置 | 住民基本台帳法上の罰則 | |
都道府県 | 都道府県の職員又は職員であった者 | 本人確認情報の電子計算機処理等に関する事務に従事する市町村の職員若しくは職員であった者又は第30条の6第1項の規定による通知に係る本人確認情報の電子計算機処理等に関する事務に従事する都道府県の職員若しくは職員であった者は、その事務に関して知り得た本人確認情報に関する秘密又は本人確認情報の電子計算機処理等に関する秘密を漏らしてはならない。【第30条の26第1項】 | 第30条の26又は第30条の30の規定に違反して秘密を漏らした者は、2年以下の懲役又は100万円以下の罰金に処する。【第42条】 |
都道府県から委託を受けた者、役職員又はこれらの者であった者 | 市町村長若しくは都道府県知事から本人確認情報若しくは第30条の6第1項の規定による通知に係る本人確認情報の電子計算機処理等の委託(2以上の段階にわたる委託を含む。)を受けた者若しくはその役員若しくは職員又はこれらの者であった者は、その委託された業務に関して知り得た本人確認情報に関する秘密又は本人確認情報の電子計算機処理等に関する秘密を漏らしてはならない。【第30条の26第2項】 | 同上 | |
受領者 | 受領者の役員又は役職員であった者 | 第30条の10から第30条の14まで又は第30条の15第2項の規定により市町村長その他の市町村の執行機関又は都道府県知事その他の都道府県の執行機関が提供を受けた本人確認情報の電子計算機処理等に関する事務に従事する市町村又は都道府県の職員又は職員であった者は、その事務に関して知り得た本人確認情報に関する秘密又は本人確認情報の電子計算機処理等に関する秘密を漏らしてはならない。【第30条の30第1項】 第30条の9の規定により別表第1の上欄に掲げる国の機関又は法人が提供を受けた本人確認情報の電子計算機処理等に関する事務に従事する同欄に掲げる国の機関の職員若しくは職員であった者又は同欄に掲げる法人の役員若しくは職員若しくはこれらの職にあった者は、その事務に関して知り得た本人確認情報に関する秘密又は本人確認情報の電子計算機処理等に関する秘密を漏らしてはならない。【第30条の30第2項】 | 同上 |
受領者から委託を受けた者、役職員又はこれらの者であった者 | 受領者から受領した本人確認情報の電子計算機処理等の委託(2以上の段階にわたる委託を含む。)を受けた者若しくはその役員若しくは職員又はこれらの者であった者は、その委託された業務に関して知り得た本人確認情報に関する秘密又は本人確認情報の電子計算機処理等に関する秘密を漏らしてはならない。【第30条の30第3項】 | 同上 |