○愛荘町住民基本台帳ネットワークシステム管理要綱
平成18年2月13日
訓令第27号
(趣旨)
第1条 この訓令は、住民基本台帳法(昭和42年法律第81号。以下「法」という。)の規定に基づき住民基本台帳ネットワークシステムにおける本人確認情報の漏えい、滅失およびき損の防止その他の本人確認情報の適正な管理を図るとともに、住民のプライバシーを保護するため必要な事項を定めるものとする。
(1) 情報資産 住民基本台帳ネットワークシステムに係るすべての情報ならびにソフトウェア、ハードウェア、ネットワークおよび磁気ディスクをいう。
(2) 本人確認情報 法第30条の6第1項に規定する本人確認情報をいう。
(3) アクセス管理 住民基本台帳ネットワークシステムに関する機器の操作状況に係る管理をいう。
(4) サーバ 住民基本台帳ネットワークシステムに係るコミュニケーションサーバ、ゲートウェイサーバおよびファイアウォールならびに既存の住民基本台帳電算処理ネットワークシステムに係るサーバをいう。
(5) 業務端末 住民基本台帳ネットワークシステムに係るコミュニケーションサーバ、ゲートウェイサーバを利用した業務処理を行う端末機をいう。
(情報保護統括責任者)
第3条 住民基本台帳ネットワークシステムの安全性および信頼性を確保するための対策(以下「安全確保対策」という。)を総合的に実施するために情報保護統括責任者を置く。
2 情報保護統括責任者は、副町長をもって充てる。
(システム管理者)
第4条 住民基本台帳ネットワークシステムの適切な管理を行うため、システム管理者を置く。
2 システム管理者は、電算担当課長をもって充てる。
(セキュリティ責任者)
第5条 住民基本台帳ネットワークシステムを利用する部署においてセキュリティ対策を実施するため、セキュリティ責任者を置く。
2 セキュリティ責任者は、住基ネットを利用する部署の所属長をもって充てる。
(情報保護管理会議)
第6条 情報保護統括責任者は、必要に応じて情報保護管理会議を招集するとともに、議長を務める。
2 情報保護管理会議は、情報保護統括責任者のほか、次に掲げる者をもって組織する。
(1) 総務部長
(2) 住民福祉部長
(3) システム管理者
(4) セキュリティ責任者
(5) 施設担当課長
(6) 人事担当課長
(7) 電算業務担当グループリーダー
(8) 個人情報保護業務担当グループリーダー
(9) 住民基本台帳ネットワークシステム業務担当グループリーダー
3 情報保護管理会議は、次に掲げる事項を審議する。
(1) 住民基本台帳ネットワークシステムの安全確保対策の決定および見直し
(2) 前号の安全確保対策の遵守状況の確認
(3) 監査の実施
(4) 教育、研修の実施
4 議長が必要と認めるときは、関係職員の出席を求め、その意見または説明を聴くことができる。
5 情報保護管理会議の庶務は、住民基本台帳担当課において処理する。
(関係部署に対する指示)
第7条 情報保護統括責任者は、情報保護管理会議の結果を踏まえ、関係課長または愛荘町教育委員会等に対し必要な措置を要請することができる。
(情報資産管理)
第8条 住民基本台帳ネットワークシステムの情報資産の管理について、管理責任者を置く。
2 前項の情報資産のうち、本人確認情報等の個人情報、当該個人情報が記録されたサーバに係る帳票、住民基本台帳カードおよび個人番号カードの管理責任者(以下「本人確認情報管理責任者」という。)は、住民基本台帳担当課長をもって充て、これら以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)は、電算担当課長をもって充てる。
(本人確認情報管理責任者)
第9条 本人確認情報管理責任者は、本人確認情報を取り扱うことができる者(以下「操作者」という。)を指定するものとする。
2 本人確認情報管理責任者は、本人確認情報の漏えい、滅失およびき損の防止その他本人確認情報の適切な管理のための必要な措置を講じなければならない。
3 本人確認情報管理責任者は、本人確認情報の記録されたサーバに係る帳票、住民基本台帳カードおよび個人番号カードの管理方法を定めるものとする。
(情報資産管理責任者)
第10条 情報資産管理責任者は、当該情報資産の管理方法(利用者の指定を含む。)を定めるものとする。
2 情報資産管理責任者は、本人確認情報管理責任者と協議して、住民基本台帳ネットワークシステムの操作計画を定めるものとする。
(アクセス管理を行う機器)
第11条 本人確認情報管理責任者は、次に掲げる住民基本台帳ネットワークシステムの構成機器について、アクセス処理を行うものとする。
(1) サーバ
(2) 業務端末
2 前項のアクセス管理は、照合ID等により操作の正当な権限を確認することならびに操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第12条 前条のアクセス管理を実施するため、アクセス管理責任者を置く。
2 アクセス管理責任者は、住民基本台帳担当課長をもって充てる。
(照合IDおよび操作者用ID)
第13条 アクセス管理責任者は、照合ID、照合情報および操作者用IDに関し、次に掲げる事項を実施する。
(1) 照合IDおよび操作者用IDの管理方法を定めること。
(2) 照合情報の登録および削除の管理方法を定めること。
(3) 操作者IDの種類ごとの操作者について、住民基本台帳ネットワークシステムを利用する部署のセキュリティ責任者と協議して定めること。
(4) 照合IDおよび操作者IDの管理簿を作成すること。
(操作者の責務)
第14条 操作者は、照合ID、照合情報および操作者用IDの管理方法を遵守しなければならない。
(操作履歴の記録)
第15条 システム管理者は、操作履歴について、7年前までさかのぼって解析できるよう、保管するものとする。
(オペレーティングシステムの管理)
第16条 システム管理者は、住民基本台帳ネットワークシステムに係る構成機器のオペレーティングシステムについて、必要なセキュリティ対策を実施する。
(委託を受けようとする者の管理体制等の調査)
第17条 本人確認情報管理責任者は、住民基本台帳ネットワークシステムの本人確認情報の処理に係る業務を外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。
(外部委託する場合の措置)
第18条 本人確認情報管理責任者は、住民基本台帳ネットワークシステムの本人確認情報の処理に係る業務を外部委託しようとするときは、委託する事務の内容、理由および情報保護に関する事項について、情報保護管理会議の審議を経て、情報保護統括責任者の承認を得、個人情報の保護に関する法律(平成15年法律第57号。以下「個人情報保護法」という。)第66条第2項において準用する同条第1項の規定に基づき委託しなければならない。
2 本人確認情報管理者は、前項の規定により委託した事業者について、委託の都度に本人確認情報を取り扱うことができる者を必要最小限の範囲において指定しなければならない。
(受託者の管理状況の調査)
第19条 本人確認情報管理責任者は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について、調査するものとする。
(情報資産の導入、移設および廃棄等移管処理)
第20条 情報資産管理責任者は、情報資産の導入、移設および廃棄等移管処理を行おうとするときは、次に定める事項について情報保護管理会議の審議を経て、情報保護統括責任者の承認を得て実施しなければならない。
(1) 処理しようとする情報機器およびソフトウェアの明細
(2) 前号に含まれる本人確認情報の保護または消去の措置
(3) 住民基本台帳ネットワークシステムの運用に支障を生じないことの確認状況
2 前項の処理を外部からの購入または外部に委任しようとするときは、個人情報保護法第66条第2項において準用する同条第1項の規定に基づき契約しなければならない。
(緊急時対応)
第21条 情報保護統括責任者は、住民基本台帳ネットワークシステムのハードウェア、ソフトウェアおよびネットワークの障害により、住民サービスが停止する場合、または不正行為により本人確認情報に脅威を及ぼすおそれがある場合(以下「緊急時」という。)、被害の未然防止または被害の拡大防止を図り早急な復旧を図らなければならない。
2 情報保護統括責任者は、前項の緊急時に対応するため、緊急時対応計画書を情報保護管理会議において審議し定めるものとする。
(その他)
第22条 この訓令に定めるもののほか、必要な事項については、町長が別に定める。
付則
この訓令は、平成18年2月13日から施行する。
付則(平成19年8月30日訓令第26号)
この訓令は、平成19年8月30日から施行し、平成19年4月1日から適用する。
付則(平成26年4月1日訓令第11号)
この訓令は、平成26年4月1日から施行する。
付則(平成29年2月11日訓令第2号)
この訓令は、平成29年3月1日から施行する。
付則(令和5年3月13日訓令第1号)
この訓令は、令和5年4月1日から施行する。