○東松島市情報処理システムの管理運営に関する規則
平成17年4月1日
規則第10号
目次
第1章 総則(第1条―第7条)
第2章 情報処理業務(第8条・第9条)
第3章 データ(第10条―第12条)
第4章 情報処理システム(第13条―第18条)
第5章 ネットワーク(第19条―第22条)
第6章 コンピュータ室(第23条―第25条)
第7章 委託(第26条―第29条)
第8章 雑則(第30条・第31条)
附則
第1章 総則
(目的)
第1条 この規則は、本市における情報処理システムの適正な管理を行い、データ及び情報処理システムの保護を図ることについて必要な事項を定め、事務の円滑かつ適正な執行を確保することを目的とする。
(1) 情報処理システム ハードウェア及びソフトウェアで構成するコンピュータ、周辺機器及びネットワークをいう。
(2) データ 情報処理システムによる事務の処理(以下「情報処理」という。)に係る入出力帳票又は記憶媒体に記録されている情報をいう。
(3) データファイル 情報処理を目的として、又は情報処理の結果として記録媒体に記録されている一団のデータをいう。
(4) ネットワーク 本市が管理するコンピュータ等を相互に接続するための通信網及びその機器で構成され、処理を行う仕組みをいう。
(5) 外部ネットワーク 本市が管理するコンピュータとそれ以外のコンピュータとを電話回線等を介して接続したデータ通信網をいう。
(6) 着脱型記憶媒体 磁気テープ、フロッピーディスク、コンパクトディスク、光磁気ディスクその他コンピュータ及びその附属機器との着脱が可能な記憶媒体をいう。
(7) 内蔵型記憶媒体 ハードディスクその他コンピュータシステムに内蔵されている記憶媒体をいう。
(8) サーバ ネットワークを介したクライアント機からの要求に対して情報処理又は応答を行うための機器及びソフトウェアをいう。
(9) クライアント ネットワークに接続し、サーバのプログラム又はデータを利用して情報処理を行うパーソナルコンピュータ及びソフトウェアをいう。
(10) 自課導入機器 業務内の独立したネットワークに用いるサーバ及びクライアント並びにネットワークに接続されていないパーソナルコンピュータ及びソフトウェアをいう。
(11) 管理課 情報処理システムを総合的に管理し、運用している課等をいう。
(12) 設置課 情報処理システムを設置している、又は設置を予定しているすべての課等をいう。
(13) ネットワーク使用課 ネットワークに接続された情報処理システムを使用して、所管する業務を処理し、又は処理を予定している課等をいう。
(14) 自課導入機設置課 自課導入機器を使用して、所管する業務を処理し、又は処理を予定している課等をいう。
(15) 情報資産 ネットワーク、情報処理システム、ドキュメント及びデータをいう。
(16) セキュリティ 情報資産に係る機密性、完全性及び可用性を維持、確保することをいう。
(17) ドキュメント 業務用件定義書、ネットワーク設計書、システム設計書、ネットワーク仕様書、操作手順書、コード一覧表等ネットワーク及び情報処理システムに必要な仕様書類をいう。
(セキュリティ責任者)
第3条 データは設置課に帰属するものとし、データの的確な保護管理を図るため、セキュリティ責任者を置き、設置課の長をもって充てる。ただし、データのうち管理課の長が指定したものの管理又は保護に関する事務は、管理課の長が行うものとする。
(設置課の基本的責務)
第4条 設置課は、情報及び個人情報の情報処理に当たっては、個人情報の保護に関する法律(平成15年法律第57号)及び東松島市個人情報の保護に関する法律施行条例(令和5年東松島市条例第15号)の趣旨にのっとり適正に行わなければならない。
(ソフトウェアの管理)
第5条 ソフトウェアの使用に当たっては、当該ソフトウェアの使用許諾契約等を遵守し、許諾権者に無断で複製等を行ってはならない。
(不正アクセス対策)
第6条 管理課の長は、情報処理システムへの不正アクセスを防ぐための防護装置の設置、ネットワークの利用記録の保管その他の必要な措置を講じなければならない。
2 管理課の長は、不正アクセスの被害を受けたとき又はそのおそれのあるときは、速やかにその状況等について管理課の属する部の長に報告するとともにネットワークの停止その他の被害の拡大を防ぐための必要な措置を講じなければならない。
3 管理課の属する部の長は、前項に規定する報告を受けたときは、必要に応じて副市長に状況を報告するとともに、対策を協議するものとする。
(ウィルス対策)
第7条 管理課の長は、情報処理システムの破壊を目的としたプログラム(以下「ウィルス」という。)の侵入を防ぐため、必要な措置を講じなければならない。
2 設置課の長は、着脱型記憶媒体等からのウィルスの侵入の防止に努めなければならない。
3 設置課の長は、ウィルスの侵入を受けたとき又はそのおそれのあるときは、管理課の長に速やかに報告するとともにデータの複製及び被害の拡大を防ぐための必要な措置を講じなければならない。
4 管理課の長は、前項の規定による報告を受けたときは、その原因及び経緯、被害の状況等について管理課の属する部の長に報告するとともにデータの復元等必要な措置を講じなければならない。
5 管理課の属する部の長は、前項に規定する報告を受けたときは、必要に応じて副市長に状況を報告するとともに、対策を協議するものとする。
第2章 情報処理業務
(業務の範囲)
第8条 情報処理業務の範囲は、各課が所掌する事務の範囲に限るものとする。
2 前項の規定にかかわらず、他の課が所掌するデータは、所掌する事務に関係する範囲内で、当該データを管理する課のセキュリティ責任者が承認した条件及び範囲内において利用することができる。
3 セキュリティ責任者は、前項の規定による承認をした場合には、当該承認に係るデータの種類、条件及び範囲について、速やかに管理課の長に報告しなければならない。
(業務の決定)
第9条 設置課の長は、情報処理業務を新規導入又は変更若しくは廃止しようとするときは、管理課の長と協議して決定しなければならない。この場合において、他の課等に影響があるときは、当該課等の意見を聴き決定しなければならない。
第3章 データ
(データの管理)
第10条 セキュリティ責任者は、個人情報が記録されている着脱型記憶媒体の保管に当たっては保管庫等適切な場所に格納し、データの漏えい、滅失、損傷等の事故(以下「データ事故」という。)を防止しなければならない。この場合において、次に掲げるデータにより構成されているデータファイルのうち、マスタファイル及びこれに準ずるデータファイルの記録されている着脱型記憶媒体にあっては、適切な場所に保管し、又は当該データファイルを複写した着脱型記憶媒体を別個の施設に保管する等適切な措置を講じなければならない。
(1) 滅失し、又は損傷した場合、その復元が著しく困難となり事務の円滑な執行を妨げるおそれのあるデータ
(2) 前号に掲げるもののほか、市長が特に必要と認めたデータ
2 セキュリティ責任者は、それぞれの所管に属するデータが前項後段の規定に該当するときは、次に掲げる事項を管理課の長に通知しなければならない。
(1) 主管課名
(2) ファイル名
(3) 前項に規定するデータとなる具体的な根拠及び当該データの内容
(4) 前項に規定するデータとなる時期
3 セキュリティ責任者は、それぞれの所管に属するデータが第1項後段の規定に該当しなくなったときは、その旨を管理課の長に通知しなければならない。
4 セキュリティ責任者は、データファイルを内蔵型記憶媒体に保存する場合においては、データ事故を防止するために必要な措置を講じるとともに、データ事故の発生に備えて定期的に当該データファイルを着脱型記憶媒体に複写し、保管しなければならない。
5 セキュリティ責任者は、作製したデータファイルが不用となったときは、当該データファイルを記憶媒体から速やかに消去しなければならない。ただし、当該データファイルが東松島市文書取扱規程(平成17年東松島市訓令甲第13号)第44条第2項の第2種から第5種の文書に該当するときは、同規程第50条に規定する廃棄の手続をとらなければならない。
6 セキュリティ責任者は、着脱型記憶媒体が不用となったときは、判読不能にした後、廃棄する等適切な処分をしなければならない。
7 セキュリティ責任者は、管理するデータについてデータ事故が発生したときは、事故原因を調査し、管理課の長に報告するとともに復元等の必要な措置を講じなければならない。
8 管理課の長は、前項に規定するデータ事故の内容が漏えいに該当した場合においては、事故の原因及び経緯、被害等の状況等について管理課の属する部の長に報告しなければならない。
9 管理課の属する部の長は、前項に規定する報告を受けたときは、必要に応じて副市長に状況を報告するとともに、対策を協議するものとする。
10 セキュリティ責任者は、当該設置課に係る入出力帳票等の保管、廃棄等について、管理手続を定め、管理しなければならない。
(ドキュメントの管理)
第11条 管理課の長は、業務用件定義書、ネットワーク設計書、システム設計書、プログラム仕様書、操作手順書、コード一覧表等のドキュメントを整備し、保管しなければならない。
2 前項の文書を当該設置課以外の課等の利用に供するとき又は外部に提供するときは、管理課の長の承認を得なければならない。
(利用者の責務)
第12条 設置課の長の指示又は承認を受けた者以外の者は、情報処理システムの利用をしてはならない。
2 前項の指示又は承認を受けた者は、情報処理システムの利用に際し、データ事故の防止に努めなければならない。
第4章 情報処理システム
(運用時間)
第13条 管理課の長は、データ事故を防止するため運用時間を別に定めるものとする。ただし、自課導入機器の運用時間は、自課導入機設置課の長が定める。
(情報処理システムの使用制限)
第14条 管理課の長は、次に各号のいずれかに該当する場合は、情報処理システムの使用を制限するものとする。ただし、自課導入機器については、この限りでない。
(1) 保守管理上必要があると認められるとき。
(2) 円滑な運用に支障があると認められるとき。
(3) 前2号に掲げるもののほか、管理課の長が特に必要があると認めたとき。
(操作等)
第15条 管理課の長は、情報処理システムのうち、サーバ、及びその各種周辺装置の操作については、原則として複数の職員に行わせるものとする。
(クライアント管理者)
第16条 クライアントの適切な管理を図るため、クライアント管理者を置き、ネットワーク使用課の長をもって充てる。
2 管理課の長は、クライアント管理者に対し、クライアントの使用に際し、その使用方法及び管理方法について、指示を行うことができる。
3 クライアント管理者は、クライアントによるデータ事故を防止し、かつ、十分な管理を行わなければならない。
(クライアントの設置等)
第17条 クライアント管理者は、クライアントの設置、移設及び撤去(以下「設置等」という。)を行う場合は、設置等の位置を調査し、管理課の長と協議の上、クライアントの設置方法について必要な措置を講じなければならない。
(禁止事項)
第18条 クライアントには、管理課の長が認めた場合を除き、次に掲げる事項について行ってはならない。
(1) クライアントの円滑な運用に支障がある、又は保守に影響のある環境設定の変更
(2) ソフトウェアの追加、変更又は削除
(3) 設置時に添付された以外の周辺装置の接続
第5章 ネットワーク
(ネットワークの管理)
第19条 管理課の長は、ネットワークの円滑な運営を図るため、必要な措置を講じるとともに関連設備等の維持管理を行う。
2 管理課の長は、ネットワークでのデータ事故を防ぐためネットワークの利用記録を取ることができる。
3 自課導入機設置課の長は、自課導入機器のネットワークの利用記録を取ることができる。
(ネットワークへの接続)
第20条 設置課の長は、所管する機器のネットワーク接続を開始又は変更若しくは解除しようとするときは、管理課の長と協議しなければならない。
(ネットワーク利用者)
第21条 ネットワークは、ネットワーク使用課の長の指示又は承認を受けた者(以下「ネットワーク利用者」という。)でなければ取り扱ってはならない。
2 ネットワーク利用者の処理権限は、当該ネットワーク使用課の長と利用するデータの帰属するネットワーク使用課の長が協議して決定し、その結果を管理課の長へ通知するものとする。
3 管理課の長は、前項のネットワーク利用者に、担当者コード及びパスワード等(以下「認証用番号」という。)を付与するものとする。
4 自課導入機設置課の長は、前2項の規定に準じて自課導入機器のネットワーク利用についての指示又は承認及び認証用番号の付与を行う。
5 ネットワーク利用者は、次に掲げる事項について行ってはならない。
(1) 付与された認証用番号を他人に漏らすこと。
(2) 認証用番号を指示された業務以外に使用すること。
(外部ネットワーク)
第22条 外部ネットワークとの接続については、その接続方法ごとに別に定める。
第6章 コンピュータ室
(入室の管理)
第23条 管理課の長は、入室の指示又は承認をした者以外の者をコンピュータ室に入室させてはならない。
2 前項の入室は、原則として管理課の職員立会いの下に行わせるものとする。
3 管理課の長は、入室の指示又は承認を受けない者の侵入を防ぐためコンピュータ室入口を施錠し、入退室の記録を取らなければならない。
(保安措置)
第24条 管理課の長は、火災その他の災害に備え、コンピュータ室に必要な保安措置を講じるものとする。
(事故発生時の対策)
第25条 管理課の長は、コンピュータ室に災害、盗難、破壊等の事故(以下「事故」という。)が発生した場合は、速やかに復旧等必要な措置を講じるとともに、当該事故の原因、経緯、被害状況等を管理課の属する部の長に報告しなければならない。
2 管理課の属する部の長は、前項に規定する報告を受けたときは、必要に応じて副市長に状況を報告するとともに、対策を協議するものとする。
第7章 委託
(調査)
第26条 セキュリティ責任者は、コンピュータ処理を外部に委託しようとするときは、委託先におけるデータの保護管理に関する状況について調査しなければならない。
(契約書の記載事項)
第27条 セキュリティ責任者は、コンピュータ処理を外部に委託する場合において契約書を作成するときは、別に定めるもののほか、次に掲げる事項を契約書に明記しなければならない。
(1) 秘密保持に関すること。
(2) 指示目的以外の使用及び第三者への提供の禁止に関すること。
(3) データの複写及び複製の禁止に関すること。
(4) 事故発生時における報告義務に関すること。
(5) データファイルの帰属権に関すること。
(6) データの授受及び搬送に関すること。
(7) データの保管、返還及び廃棄に関すること。
(授受の記録)
第28条 セキュリティ責任者は、委託先とデータの授受を行うときは、授受の状況を明らかにしておかなければならない。
(要員の派遣)
第29条 管理課の長は、コンピュータ処理について委託先から要員の派遣を受ける場合は、必要に応じ、委託先の責任者及び本人の双方から秘密保持等データの適正な取扱いについて、誓約書を提出させるものとする。
第8章 雑則
(諸様式)
第30条 この規則に定める様式は、別表のとおりとする。
(その他)
第31条 この規則に定めるもののほか、必要な事項は、市長が別に定める。
附則
この規則は、平成17年4月1日から施行する。
附則(平成19年3月30日規則第19号)
この規則は、平成19年4月1日から施行する。
附則(令和2年3月31日規則第57号)
この規則は、令和2年4月1日から施行する。
附則(令和4年2月25日規則第15号)
この規則は、令和4年4月1日から施行する。
附則(令和5年3月15日規則第20号)
この規則は、令和5年4月1日から施行する。
別表(第30条関係)
(1) コンピュータ処理データ利用承認願 様式第1号
(2) コンピュータ処理データ利用承認・不承認通知書 様式第2号
(3) 帳票作成依頼書 様式第3号
(4) コンピュータ処理業務承認報告書 様式第4号
(5) 重要着脱型記憶媒体管理台帳 様式第5号
(6) クライアント機利用職員届出書 様式第6号
(7) コンピュータ室入退室管理表 様式第7号
