○河内長野市情報システムに係る管理運営及びデータ保護に関する規程
平成27年12月25日
規程第33号
河内長野市電子計算組織に係る管理運営及びデータ保護に関する規程(平成9年河内長野市規程第5号)の全部を改正する。
(趣旨)
第1条 この規程は、情報システムの適正な運用及び管理並びにデータの保護に関し必要な事項を定めるものとする。
(1) 情報システム コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(2) 情報処理 事務の一部又は全部を情報システムにより、処理することをいう。
(3) ネットワーク コンピュータ等を相互に接続するための通信網、その構成機器をいう。
(4) データ 情報処理に係る電磁的記録媒体等の媒体に記録している情報をいう。
(5) 情報セキュリティ 情報資産の機密性、完全性及び可用性を維持することをいう。
(6) 部長等 河内長野市事務決裁規則(平成28年河内長野市規則第23号。以下「事務決裁規則」という。)別表第1の規定により同表にに規定する共通専決事案の専決権限を付与されている部長(他の規則又は規程に基づきこの権限を付与されている部長等を含む。)及び会計管理者をいう。
(7) 課長等 事務決裁規則別表第1の規定により同表に規定する共通専決事案の専決権限を付与されている課長(他の規則又は規程に基づきこの権限を付与されている課長等を含む。)をいう。
(8) 各部 部長等が所管する部局をいう。
(9) 各課 課長等が所管する課(図書館を含む。以下同じ。)をいう。
(10) 機密性 情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。
(11) 完全性 情報が破損し、破壊され、改ざんされ、又は消去されていない正確かつ完全な状態を確保することをいう。
(12) 可用性 情報にアクセスすることを認められた者が、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。
(13) 番号法 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)をいう。
(14) 特定個人情報 番号法第2条第8項に規定する特定個人情報をいう。
(最高情報統括責任者)
第3条 本市に最高情報統括責任者を置き、総務部を担当する副市長をもって充てる。
2 最高情報統括責任者は、本市における全てのネットワーク、情報システム等の情報資産(以下「情報資産」という。)の管理及び情報セキュリティ対策に関する最終決定権限及び責任を有する。
(統括情報セキュリティ責任者)
第4条 最高情報統括責任者の下に統括情報セキュリティ責任者を置き、総務部長をもって充てる。
2 統括情報セキュリティ責任者は、次に掲げる役割を有する。
(1) 最高情報統括責任者の補佐及び最高情報統括責任者不在時の代理
(2) 本市の全てのネットワークにおける開発、設定の変更、運用、見直し等を行う権限及び責任
(3) 本市の全てのネットワークにおける情報セキュリティ対策に関する権限及び責任
(5) 本市の情報資産に対する侵害が発生した場合又は侵害が発生するおそれがある場合に、最高情報統括責任者の指示に従い、最高情報統括責任者が不在の場合には自らの判断に基づき、必要かつ十分な措置を行う権限及び責任
(6) 本市の共通的なネットワーク、情報システム及び情報資産に関する情報セキュリティ実施手順の維持・管理を行う権限及び責任
(7) 緊急時等における庁内の円滑な情報共有を図るため、最高情報統括責任者及び統括情報セキュリティ副責任者等を網羅する連絡体制の整備を行う責任
(統括情報セキュリティ副責任者)
第5条 統括情報セキュリティ責任者の下に統括情報セキュリティ副責任者を置き、総務部において電子計算機処理業務の調整及び運用を所管する課の課長をもって充てる。
2 統括情報セキュリティ副責任者は、次に掲げる役割を有する。
(1) 統括情報セキュリティ責任者の補佐
(2) 本市の情報資産に対する侵害が発生した場合又は侵害が発生するおそれがある場合に、統括情報セキュリティ責任者の指示に従い、最高情報統括責任者及び統括情報セキュリティ責任者が不在の場合には、自らの判断に基づき、必要かつ十分な措置を行う権限及び責任
(情報セキュリティ責任者)
第6条 各部に情報セキュリティ責任者を置き、各部の部長等をもって充てる。
2 情報セキュリティ責任者は、次に掲げる役割を有する。
(1) 各部の情報セキュリティ対策に関する統括的な権限及び責任
(2) 各部において所有している情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任
(3) 各部において所有している情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約並びに職員等に対する教育、助言及び指示
(情報セキュリティ管理者)
第7条 各課に情報セキュリティ管理者を置き、各課の課長等をもって充てる。
2 情報セキュリティ管理者は、次に掲げる役割を有する。
(1) 各課の情報セキュリティ対策に関する権限及び責任
(2) 各課において、情報資産に対する侵害が発生した場合又は侵害が発生するおそれがある場合、情報セキュリティ責任者及び統括情報セキュリティ副責任者へ速やかに報告し、その指示の下に対応等を行うこと。
(情報システム管理者)
第8条 情報システムを有する課に情報システム管理者を置き、当該課の課長等をもって充てる。
2 情報システム管理者は、次に掲げる役割を有する。
(1) 所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任
(2) 所管する情報システムにおける情報セキュリティに関する権限及び責任
(3) 所管する情報システムに係る情報セキュリティ実施手順の維持・管理を行う権限及び責任
(情報セキュリティポリシー)
第9条 最高情報統括責任者は、本市が保有する情報資産の機密性、完全性及び可用性を維持するため、情報セキュリティポリシーを定めるものとする。
2 前項の情報セキュリティポリシーは、本市が所管する情報資産に係る情報セキュリティ対策を総合的、体系的及び具体的に取りまとめるための情報セキュリティ対策の根本的な規範とする。
3 職員は、電子計算機及び情報システムの適正な保護及び維持管理を行うに当たっては、この規程及び情報セキュリティポリシーの定めに従い、適切な措置を講じなければならない。
(情報処理の委託)
第10条 市長は、情報システムによる情報処理を業者等に委託するときは、委託契約書に次に掲げる事項を明記しなければならない。
(1) 秘密保持に関すること。
(2) データの持出しに関すること。
(3) データの目的外使用及び第三者への提供の禁止に関すること。
(4) ファイル交換ソフト及び個人所有の機器の使用禁止に関すること。
(5) データの複写及び複製の禁止並びに廃棄に関すること。
(6) 機器又は媒体の廃棄等を行う際のデータ消去等に関すること。
(7) 委託先の情報資産等の取扱いに関すること。
(8) ネットワーク及び情報システムのセキュリティ対策に関すること。
(9) 情報セキュリティポリシーに規定する遵守事項を遵守するための体制整備に関すること。
(10) 立入検査の実施に関すること。
(11) 情報セキュリティポリシーに規定する遵守事項を遵守するために行う本市の指示に従うこと。
(12) 番号法に基づき果たすべき安全管理措置を講じること。
2 市長は、情報システムによる情報処理を業者等に委託するときは、次に掲げる事項について、必要に応じて委託契約書に明記し、又は覚書を取り交わすものとする。
(1) 機器若しくはソフトウェアの導入又は更新時のセキュリティの確認に関すること。
(2) 機器若しくはソフトウェアの導入又は更新時の試験の実施に関すること。
(3) ソフトウェア等の更新又は修正プログラムの実行時の既存機器との整合の確認に関すること。
(4) 市が許可していないソフトウェアの導入の禁止等に関すること。
(5) 機器若しくはソフトウェアの導入又は更新時の事故及び不正行為対策に関して定めること。
(6) 機器若しくはソフトウェアの導入又は更新時の事故及び不正行為対策に関して遵守すること。
(7) データの持込みの許可及びウイルス感染への注意に関すること。
(8) 再委託の制限に関すること。
(事故報告等)
第11条 情報処理において事故を発見した者は、直ちに事故の種類及び状況を情報セキュリティ管理者に報告しなければならない。
2 前項の規定による報告を受けた情報セキュリティ管理者は、速やかに情報システム管理者、情報セキュリティ責任者及び統括情報セキュリティ副責任者に報告しなければならない。
3 前項の規定により報告を受けた情報システム管理者は、事故等の解決のため、必要な措置を講じなければならない。
(他の所管業務に係るデータの利用)
第12条 課長等は、自らの所管業務において、他の課長等が所管する業務に係るデータで特に重要なものを利用する場合は、当該データを所管する課長等の承認を得なければならない。
2 前項の規定により他の課長等の承認を得てデータを利用する課長等は、承認された目的以外にデータを利用してはならない。
(データの処理依頼)
第13条 課長等は、自らの所管業務に利用するため、電子計算機処理業務の調整及び運用を所管する課の課長にデータの処理を依頼するときは、利用する他課の業務のデータを所管する課長等に承認を得た上で、データ処理依頼書(別記様式)を統括情報セキュリティ副責任者に提出しなければならない。
(特定個人情報の利用制限)
第14条 市は、市が保有する特定個人情報を、番号法又は独自利用条例において定められた事務及び目的以外に利用してはならない。
(特定個人情報の提供制限)
第15条 市は、番号法又は独自利用条例において定められた事務及び目的以外で国、地方公共団体及びその他の行政機関等に特定個人情報の提供を求めてはならない。
2 市は、番号法又は独自利用条例において定められた事務及び目的以外で国、地方公共団体及びその他の行政機関等に市が有する特定個人情報を提供してはならない。
(特定個人情報の収集・保管制限)
第16条 市は、番号法又は独自利用条例において定められた事務及び目的以外で特定個人情報を収集し、又は保管してはならない。
2 情報セキィリティ管理者は、特定個人情報の保管に当たっては、充分な安全管理措置を講じなければならない。
(特定個人情報の取扱担当者)
第17条 情報セキュリティ管理者は、特定個人情報を所管する課等において特定個人情報を取り扱う職員(以下「特定個人情報取扱担当者」という。)を当該課の職員のうちから定めなければならない。
2 特定個人情報取扱担当者は、特定個人情報取扱事務を実施する上で、河内長野市特定個人情報等の安全管理に関する基本方針を遵守しなければならない。
3 情報セキュリティ管理者は、所管する特定個人情報の取扱いに関し、特定個人情報取扱担当者を指導監督するものとする。
(特定個人情報の廃棄)
第18条 情報セキュリティ管理者は、特定個人情報が記録された情報資産について、法令等に定められた保存期間を経過した場合には、当該特定個人情報を速やかに復元できない手段で削除し、又は廃棄しなければならない。
2 情報セキュリティ管理者は、前項の規定により特定個人情報を削除し、又は廃棄した場合には、当該削除し、又は廃棄した記録を保存しなければならない。
(特定個人情報の複製、送信及び持出し)
第19条 特定個人情報取扱担当者は、特定個人情報が記録された情報資産について、複製、送信、持出し等を行うときは、情報セキュリティ管理者の書面による許可を得なければならない。
(情報システム管理運営委員会の設置)
第20条 情報システムの適正な管理運営及びデータの保護を図るため、市に河内長野市情報システム管理運営委員会(以下「委員会」という。)を設置する。
(所掌事項)
第21条 委員会は、次に掲げる事項について、調査審議する。
(1) 情報システムの運用及び管理に関すること。
(2) データの保護に関すること。
(3) 前2号に掲げるもののほか、情報システムの適正な運用及び管理並びにデータの保護に資すること。
(組織)
第22条 委員会は、委員長、副委員長及び委員で組織する。
2 委員長は最高情報統括責任者をもって充て、副委員長は統括情報セキュリティ責任者をもって充てる。
3 委員長は、必要に応じて、関係する職員を委員に充てることができる。
(委員長等)
第23条 委員長は、委員会を代表し、会務を総理する。
2 副委員長は、委員長を補佐し、委員長に事故があるとき、又は委員長が欠けたときは、その職務を代理する。
(会議)
第24条 委員会の会議は、必要に応じて委員長が招集し、委員長が議長となる。
2 委員長は、必要があると認めるときは、関係職員等に出席を求め、意見を聴くことができる。
(庶務)
第25条 委員会の庶務は、別に定める部署が行う。
(補則)
第26条 この規程の施行に関し必要な事項は、市長が別に定める。
附則
この規程は、平成28年1月1日から施行する。
附則(平成28年3月31日規程第6号)
この規程は、平成28年4月1日から施行する。
附則(令和4年3月28日規程第2号)
この規程は、令和4年4月1日から施行する。
附則(令和5年6月7日規程第10号)
この規程は、公布の日から施行する。