○江東区情報セキュリティ対策基準

平成28年2月5日

27江政情第861号

目次

第1章 総則(第1条―第3条)

第2章 組織体制(第4条―第11条)

第3章 情報資産の分類及び管理方法(第12条―第22条)

第4章 物理的セキュリティ

第1節 サーバ等の管理(第23条―第29条)

第2節 管理区域(情報システム室等)の管理(第30条―第32条)

第3節 通信回線及び通信回線装置の管理(第33条)

第4節 職員等のパソコン等の管理(第34条)

第5章 人的セキュリティ

第1節 職員等の遵守事項(第35条―第38条)

第2節 研修及び訓練(第39条―第41条)

第3節 情報セキュリティインシデントの報告(第42条―第44条)

第4節 ID及びパスワード等の管理(第45条―第47条)

第6章 技術的セキュリティ

第1節 コンピュータ及びネットワークの管理(第48条―第69条)

第2節 アクセス制御(第70条―第77条)

第3節 システム開発、導入、保守等(第78条―第85条)

第4節 不正プログラム対策(第86条―第89条)

第5節 不正アクセス対策(第90条―第96条)

第6節 セキュリティ情報の収集(第97条・第98条)

第7章 運用

第1節 情報システムの監視(第99条)

第2節 情報セキュリティポリシーの遵守状況の確認(第100条―第102条)

第3節 侵害時の対応等(第103条―第106条)

第4節 例外措置(第107条―第109条)

第5節 法令遵守(第110条)

第6節 懲戒処分等(第111条・第112条)

第8章 業務委託及び外部サービスの利用

第1節 業務委託(第113条―第115条)

第2節 外部サービスの利用(機密性2以上の情報を取り扱う場合)(第116条―第122条)

第3節 外部サービスの利用(機密性2以上の情報を取り扱わない場合)(第123条・第124条)

第9章 評価及び見直し

第1節 監査(第125条―第132条)

第2節 自主点検(第133条―第135条)

第3節 情報セキュリティポリシー及び関係規程等の見直し(第136条)

第10章 情報システム全体の強靭性の向上

第1節 マイナンバー利用事務系(第137条・第138条)

第2節 LGWAN接続系(第139条)

第3節 インターネット接続系(第140条)

第1章 総則

(目的)

第1条 この基準は、江東区(以下「区」という。)が江東区情報セキュリティ基本方針(平成16年12月22日16江政情第142号。以下「基本方針」という。)を実施するために必要な事項を定めることにより、区の情報セキュリティを確保することを目的とする。

(定義)

第2条 この基準で使用する用語の意義は、基本方針の例によるほか、次の各号に掲げる区分に応じ、当該各号に定めるところによる。

(2) 課 江東区組織規則(昭和48年5月江東区規則第19号。以下「規則」という。)第7条に規定する課及び室、清掃事務所、江東区保健所処務規程(昭和50年4月江東区訓令甲第38号)第4条に規定する保健相談所、江東区教育委員会事務局処務規則(昭和40年3月江東区教育委員会規則第3号)第2条に規定する課及び室、江東図書館、選挙管理委員会事務局、監査事務局並びに区議会事務局をいう。

(3) 職員等 江東区職員定数条例(昭和30年4月江東区条例第1号)第1条に規定する職員、江東区職員の勤務時間、休日、休暇等に関する条例(平成10年3月江東区条例第8号)第2条第3項に規定する再任用短時間勤務職員及び第18条に規定する臨時的に任用される職員、江東区非常勤職員の報酬及び費用弁償に関する条例(昭和31年11月江東区条例第13号)第1条に規定する非常勤職員並びに地方公務員法(昭和25年法律第261号)第22条の2第1項第1号に規定する会計年度任用職員をいう。

(4) 委託事業者 区が委託する情報システムに係る業務の処理を受託した者(受託した業務に従事していた者を含む。)、派遣職員、公の施設の管理を行う指定管理者及び指定管理者の行う管理業務の従事者をいう。

(5) 情報セキュリティインシデント 望まない単独若しくは一連の情報セキュリティ事象又は予期しない単独若しくは一連の情報セキュリティ事象であって、業務の遂行を危うくする可能性及び情報セキュリティを脅かす可能性があるものをいう。

(6) 端末 情報システムの構成要素である機器のうち、職員等が情報処理を行うために直接操作するもの(搭載されるソフトウェア及び直接接続され一体として扱われるキーボード、マウス等の周辺機器を含む。)をいう。

(7) パソコン 端末のうち、その形態を問わず、机の上等に備え置いて業務に使用することを前提とし、移動して使用することを目的としないものをいう。

(8) モバイル端末 端末のうち、その形態を問わず、業務上の必要に応じて移動させて使用することを目的としたものをいう。

(9) 情報セキュリティポリシー 基本方針及び本基準をいう。

(10) マイナンバー利用事務系 行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)第2条第10項に規定する個人番号利用事務に係る情報システム及びその情報システムで取り扱うデータをいう。

(11) LGWAN接続系 人事給与、財務会計、文書管理等、総合行政ネットワーク(LGWAN)に接続された情報システム及びその情報システムで取り扱うデータをいう。

(12) インターネット接続系 インターネットメール、ホームページ管理システム等に係るインターネットに接続された情報システム及びその情報システムで取り扱うデータをいう。

(13) 無害化通信 インターネットメール本文のテキスト化、端末への画面転送等により、コンピュータウイルス等の不正プログラムの付着が無い等、安全が確保された通信をいう。

(14) 認証情報 情報システムの利用者が、本人か否かを識別するための情報(パスワード、ICカード、生体情報等)をいう。

(適用範囲)

第3条 この基準の適用範囲は、区の情報資産に接する全ての職員等並びに関係団体及び委託事業者とする。

第2章 組織体制

(最高情報セキュリティ責任者)

第4条 区の保有する全ての情報資産及び情報セキュリティの管理並びに情報セキュリティ対策に関する最終決定権限及びこれらの責任を有する最高責任者として、最高情報セキュリティ責任者(Chief Information Security Officer。以下「CISO」という。)を置く。

2 CISOは、江東区長の職務代理順序に関する規則(令和2年4月江東区規則第49号)に規定する第1順位の副区長をもって充てる。

(統括情報セキュリティ責任者)

第5条 情報セキュリティ対策の適切かつ統一的な実施を管理するとともに、CISOを補佐する者として、統括情報セキュリティ責任者を置く。

2 統括情報セキュリティ責任者は、政策経営部長をもって充てる。

3 統括情報セキュリティ責任者は、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者及び情報システム担当者に対して、情報セキュリティに関する指導及び助言を行う権限を有する。

4 統括情報セキュリティ責任者は、区の情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合に、CISOの指示に従い、CISOが不在の場合には自らの判断に基づき必要かつ十分な措置を行う権限及び責任を有する。

5 統括情報セキュリティ責任者は、緊急時等の円滑な情報共有を図るため、統括情報セキュリティ責任者、情報セキュリティ責任者及び情報セキュリティ管理者を網羅する連絡体制を含めた緊急連絡網を整備しなければならない。

6 統括情報セキュリティ責任者は、情報セキュリティインシデントが発生した際は、CISOに直ちに報告を行うとともに、回復のための対策を講じなければならない。

7 統括情報セキュリティ責任者は、情報セキュリティ関係規程に係る課題及び問題点を含む運用状況を適時に把握し、必要に応じてCISOにその内容を報告しなければならない。

(情報セキュリティ責任者)

第6条 区において所管する情報システムにおける開発、設定の変更、運用、見直し等を行う統括的な権限及び責任を有する者として、情報セキュリティ責任者を置く。

2 情報セキュリティ責任者は、政策経営部情報システム課長をもって充てる。

3 情報セキュリティ責任者は、区の情報セキュリティ対策に関する統括的な権限及び責任を有する。

4 情報セキュリティ責任者は、区において所有する情報システムについて、緊急時等における連絡体制の整備、情報セキュリティポリシーの遵守に関する意見の集約及び職員等に対する教育、訓練、助言及び指示を行う。

(情報セキュリティ管理者)

第7条 課における情報セキュリティ対策に関する権限及び責任を有する者として、情報セキュリティ管理者を置く。

2 情報セキュリティ管理者は、各課の長をもって充てる。ただし、規則第22条に規定する行政機関の独立した管理単位を持つ組織にあっては、当該行政機関が属する課の長による指示のもと、その組織の長が情報セキュリティ管理者の役割及び責務を担うものとする。

3 情報セキュリティ管理者は、その所掌する課において、情報資産に対するセキュリティ侵害が発生した場合又はセキュリティ侵害のおそれがある場合は、情報セキュリティ責任者、統括情報セキュリティ責任者及びCISOへ直ちに報告を行い、指示を仰がなければならない。

(情報システム管理者)

第8条 課において所管する情報システムにおける開発、設定の変更、運用、見直し等を行う権限及び責任を有する者として、情報システム管理者を置く。

2 情報システム管理者は、前項の情報システムを所管する課の長をもって充てる。

3 情報システム管理者は、所管する情報システムにおける情報セキュリティに関する権限及び責任を有する。

4 情報システム管理者は、所管する情報システムに係る情報セキュリティ実施手順の維持及び管理を行う。

(情報システム担当者)

第9条 情報システム管理者の指示等に従い、情報システムの開発、設定の変更、運用、更新等の作業を行う者を、情報システム担当者とする。

(兼務の禁止)

第10条 情報セキュリティ対策の実施において、やむを得ない場合を除き、承認又は許可の申請を行う者とその承認者又は許可者は、同じ者が兼務してはならない。

2 情報セキュリティ監査の実施において、やむを得ない場合を除き、監査を受ける者とその監査を実施する者は、同じ者が兼務してはならない。

(CSIRTの設置及び役割)

第11条 CISOは、情報セキュリティインシデントに対処するための体制(Computer Security Incident Response Team。以下「CSIRT」という。)を整備し、役割を明確化する。

2 CISOは、CSIRTに所属する職員等を選任し、その中からCSIRT責任者を置くとともに、CSIRT内の業務統括、外部との連携等を行う職員等を定める。

3 CISOは、CSIRT内に情報セキュリティに関する統一的な窓口(Point of Contact。以下「PoC」という。)を整備し、情報セキュリティインシデントについて部局等から報告を受けた場合は、その状況を確認し、自らへの報告が行われる体制を整備する。

4 CSIRTは、CISOによる情報セキュリティ戦略の意思決定が行われた場合は、その内容を関係部局等に提供する。

5 CSIRTは、情報セキュリティインシデントを認知したときは、CISO、関係省庁、東京都等へ報告しなければならない。この場合において、CSIRTは、その重要度、影響範囲等を勘案し、報道機関への通知及び公表対応を行わなければならない。

6 CSIRTは、情報セキュリティに関して、関係機関、他の地方公共団体のPoCの機能を有する部署、委託事業者等との情報共有を行う。

第3章 情報資産の分類及び管理方法

(情報資産の分類)

第12条 区における情報資産は、機密性、完全性及び可用性により、次のとおり分類し、必要に応じ取扱制限を行うものとする。

(1) 機密性による情報資産の分類

分類

分類基準

取扱制限

機密性3

行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性を要する情報資産

1 機密性3の情報資産に対する支給された端末以外の端末での作業の原則禁止

2 必要以上の複製及び配布の禁止

3 保管場所の制限、保管場所への必要以上の電磁的記録媒体等の持込みの禁止

4 情報の送信、情報資産の運搬又は提供時における暗号化、パスワード設定及び鍵付きケースへの格納

5 復元不可能な処理を施しての廃棄

6 信頼のできるネットワーク回線の選択

7 外部で情報処理を行う際の安全管理措置の規定

8 電磁的記録媒体及び機密性3の紙媒体の施錠可能な場所への保管

機密性2

行政事務で取り扱う情報資産のうち、秘密文書に相当する機密性は要しないが、直ちに一般に公表することを前提としていない情報資産

機密性1

機密性2又は機密性3の情報資産以外の情報資産

 

(2) 完全性による情報資産の分類

分類

分類基準

取扱制限

完全性2

行政事務で取り扱う情報資産のうち、改ざん、誤り又は破損により、区民等の権利が侵害される又は行政事務の的確な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

1 バックアップ及び電子署名の付与

2 外部で情報処理を行う際の安全管理措置の規定

3 電磁的記録媒体の施錠可能な場所への保管

完全性1

完全性2の情報資産以外の情報資産

 

(3) 可用性による情報資産の分類

分類

分類基準

取扱制限

可用性2

行政事務で取り扱う情報資産のうち、滅失、紛失又は当該情報資産が利用不可能であることにより、区民等の権利が侵害される又は行政事務の安定的な遂行に支障(軽微なものを除く。)を及ぼすおそれがある情報資産

1 バックアップ及び指定する時間以内の復旧

2 電磁的記録媒体及び可用性2の紙媒体の施錠可能な場所への保管

可用性1

可用性2の情報資産以外の情報資産

 

(管理責任)

第13条 情報セキュリティ管理者は、その所管する情報資産について管理責任を有する。

2 情報セキュリティ管理者は、情報資産が複製又は伝送された場合は、複製又は伝送された情報資産も前条の情報資産の分類に基づき管理しなければならない。

(情報資産の分類の表示)

第14条 職員等は、情報資産について、ファイル(ファイル名、ファイルの属性、ヘッダー、フッター等をいう。)、格納する電磁的記録媒体のラベル、文書の隅等に情報資産の分類を表示し、必要に応じて取扱制限についても明示する等適切な管理を行わなければならない。

(情報の作成)

第15条 職員等は、業務上必要のない情報を作成してはならない。

2 情報を作成する者は、情報の作成時に第12条の情報資産の分類に基づき、当該情報の分類及び取扱制限を定めなければならない。

3 情報を作成する者は、作成途上の情報についても、紛失、流出等を防止するとともに、当該情報が不要になった場合は、消去しなければならない。

(情報資産の入手)

第16条 職員等が作成した情報資産を入手した者は、入手元の情報資産の分類に基づいた取扱いをしなければならない。

2 職員等以外の者が作成した情報資産を入手した者は、第12条の情報資産の分類に基づき当該情報の分類と取扱制限を定めなければならない。

3 情報資産を入手した者は、入手した情報資産の分類が不明な場合は、情報セキュリティ管理者に判断を仰がなければならない。

(情報資産の利用)

第17条 情報資産を利用する者は、業務以外の目的に情報資産を利用してはならない。

2 情報資産を利用する者は、情報資産の分類に応じ、適切な取扱いをしなければならない。

3 情報資産を利用する者は、電磁的記録媒体に情報資産の分類が異なる情報が複数記録されている場合は、最高度の分類に従って、当該電磁的記録媒体を取り扱わなければならない。

(情報資産の保管)

第18条 情報セキュリティ管理者又は情報システム管理者は、情報資産の分類に従って、情報資産を適切に保管しなければならない。

2 情報セキュリティ管理者又は情報システム管理者は、情報資産を記録した電磁的記録媒体を長期保管する場合は、書込禁止の措置を講じなければならない。

3 情報セキュリティ管理者又は情報システム管理者は、利用頻度が低い電磁的記録媒体及び情報システムのバックアップにより取得したデータを記録する電磁的記録媒体を長期保管する場合は、自然災害を被る可能性が低い地域に保管しなければならない。

4 情報セキュリティ管理者又は情報システム管理者は、機密性2以上、完全性2又は可用性2の情報を記録した電磁的記録媒体を保管する場合は、耐火、耐熱、耐水及び耐湿を講じた施錠可能な場所に保管しなければならない。

(情報の送信)

第19条 電子メール等により機密性2以上の情報を送信する者は、必要に応じ、パスワード等による暗号化を行わなければならない。

(情報資産の運搬)

第20条 車両等により機密性2以上の情報資産を運搬する者は、必要に応じ鍵付きのケース等に格納し、パスワード等による暗号化を行う等、情報資産の不正利用を防止するための措置を講じなければならない。

2 機密性2以上の情報資産を運搬する者は、情報セキュリティ管理者の許可を得なければならない。

(情報資産の提供及び公表)

第21条 機密性2以上の情報資産を外部に提供する者は、必要に応じパスワード等による暗号化を行わなければならない。

2 機密性2以上の情報資産を外部に提供する者は、情報セキュリティ管理者の許可を得なければならない。

3 情報セキュリティ管理者は、区民等に公開する情報資産について、完全性を確保しなければならない。

(情報資産の廃棄等)

第22条 情報資産の廃棄、リース返却等を行う者は、情報を記録している電磁的記録媒体について、その情報の機密性に応じ、情報を復元できないように処置しなければならない。

2 情報資産の廃棄、リース返却等を行う者は、行った処理について、日時、担当者及び処理内容を記録しなければならない。

3 情報資産の廃業、リース返却等を行う者は、情報セキュリティ管理者の許可を得なければならない。

第4章 物理的セキュリティ

第1節 サーバ等の管理

(機器の取付け)

第23条 情報システム管理者は、サーバ等の機器の取付けを行う場合は、火災、水害、ほこり、振動、温度、湿度等の影響を可能な限り排除した場所に設置し、容易に取り外せないよう適切に固定する等必要な措置を講じなければならない。

(サーバの冗長化)

第24条 情報システム管理者は、重要情報を格納しているサーバ、セキュリティサーバ、区民サービスに関するサーバ及びその他の基幹サーバを冗長化し、同一データを保持しなければならない。

2 情報システム管理者は、メインサーバに障害が発生した場合は、速やかに冗長化したサーバを起動し、情報システムの運用停止時間を最小限にしなければならない。

(機器の電源)

第25条 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、サーバ等の機器の電源について、停電等による電源供給の停止に備え、当該機器が適切に停止するまでの間に十分な電力を供給する容量の予備電源を備え付けなければならない。

2 情報システム管理者は、統括情報セキュリティ責任者及び施設管理部門と連携し、落雷等による過電流に対して、サーバ等の機器を保護するための措置を講じなければならない。

(通信ケーブル等の配線)

第26条 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携し、通信ケーブル及び電源ケーブルの損傷等を防止するため、配線収納管を使用する等必要な措置を講じなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、主要な箇所の通信ケーブル及び電源ケーブルについて、施設管理部門から損傷等の報告があった場合は、連携して対応しなければならない。

(機器の定期保守及び修理)

第27条 情報システム管理者は、可用性2のサーバ等の機器の定期保守を実施しなければならない。

2 情報システム管理者は、電磁的記録媒体を内蔵する機器を事業者に修理させる場合は、内容を消去した状態で行わせなければならない。ただし、内容を消去できない場合は、情報システム管理者は、事業者に故障を修理させるに当たり、修理を委託する事業者との間で守秘義務契約を締結するほか、秘密保持体制の確認等を行わなければならない。

(庁外への機器の設置)

第28条 統括情報セキュリティ責任者及び情報システム管理者は、庁外にサーバ等の機器を設置する場合は、CISOの承認を得なければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、前項の規定により庁外に設置した機器の情報セキュリティ対策状況について定期的に確認しなければならない。

(機器の廃棄等)

第29条 情報システム管理者は、機器の廃棄、リース返却等をする場合は、機器内部の記憶装置から全ての情報を消去の上、復元不可能な状態にする措置を講じなければならない。

第2節 管理区域(情報システム室等)の管理

(管理区域の構造等)

第30条 統括情報セキュリティ責任者及び情報システム管理者は、施設管理部門と連携して、管理区域(ネットワークの基幹機器又は重要な情報システムを設置し、当該機器等の管理及び運用を行う場所(以下「情報システム室」という。)並びに電磁的記録媒体の保管場所をいう。以下同じ。)から外部に通ずる出入口の設置は必要最小限とし、鍵、監視機能、警報装置等によって許可されていない者の立入りを防止しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、情報システム室内の機器等に転倒、落下防止等の耐震対策、防火措置、防水措置等を講じなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、管理区域に配置する消火薬剤、消防用設備等が、機器等及び電磁的記録媒体に影響を与えないようにしなければならない。

(管理区域の入退室管理等)

第31条 情報システム管理者は、管理区域への入退室を許可された者のみに入退室を制限し、ICカード、指紋認証等の生体認証、入退室管理簿の記載その他の方法で入退室管理を行わなければならない。

2 職員等及び委託事業者は、管理区域に入室する際は身分証明書等を携帯し、必要に応じ、提示しなければならない。

3 情報システム管理者は、外部からの訪問者が管理区域に入る場合は、必要に応じて立入り区域を制限した上で、管理区域への入退室を許可された職員等が付き添うものとし、外見上職員等と訪問者が判別できる措置を講じなければならない。

(機器等の搬入出)

第32条 情報システム管理者は、搬入する機器等が既存の情報システムに与える影響について、あらかじめ職員等又は委託事業者に確認を行わせなければならない。

2 情報システム管理者は、情報システム室に機器等を搬入出する際は職員等を立ち会わせなければならない。

第3節 通信回線及び通信回線装置の管理

第33条 統括情報セキュリティ責任者は、施設管理部門と連携し、通信回線及び通信回線装置を適切に管理するとともに、通信回線及び通信回線装置に関連する文書を適切に保管しなければならない。

2 統括情報セキュリティ責任者は、外部へのネットワーク接続を必要最低限に限定し、できる限り接続ポイントを減らさなければならない。

3 統括情報セキュリティ責任者は、行政系のネットワークを総合行政ネットワーク(LGWAN)に集約するように努めなければならない。

4 統括情報セキュリティ責任者は、機密性2以上の情報資産を取り扱う情報システムに通信回線を接続する場合は、必要なセキュリティ水準を検討の上、適切な回線を選択するとともに、必要に応じ、送受信される情報の暗号化を行わなければならない。

5 統括情報セキュリティ責任者は、ネットワークに使用する回線について、伝送途上に情報の破壊、盗聴、改ざん、消去等が生じないように十分なセキュリティ対策を実施しなければならない。

6 統括情報セキュリティ責任者は、可用性2の情報を取り扱う情報システムが接続される通信回線について、継続的な運用を可能とする回線を選択するとともに、必要に応じ、回線を冗長構成にする等の措置を講じなければならない。

第4節 職員等のパソコン等の管理

第34条 情報システム管理者は、盗難防止のため、執務室等で使用するパソコンのワイヤーによる固定、モバイル端末及び電磁的記録媒体の使用時以外の施錠管理等の物理的措置を講じなければならない。

2 職員等は、電磁的記録媒体に記録した情報が不要となったときは、速やかに当該情報を消去しなければならない。

3 情報システム管理者は、情報システムへのログインに際し、パスワードの入力を必要とするように設定しなければならない。

4 情報システム管理者は、パソコン、モバイル端末等におけるデータの暗号化等の機能を有効に利用し、端末にセキュリティチップが搭載されている場合は当該機能を有効に活用しなければならない。

5 情報システム管理者は、電磁的記録媒体の使用に当たっては、暗号化機能を備える媒体を使用しなければならない。

第5章 人的セキュリティ

第1節 職員等の遵守事項

(職員等の遵守事項)

第35条 職員等は、情報セキュリティポリシー及び実施手順を遵守するとともに、情報セキュリティ対策に関して不明な点、遵守することが困難な点等がある場合は、速やかに情報セキュリティ管理者に相談し、指示を仰がなければならない。

2 職員等は、業務以外の目的で情報資産の外部への持ち出し、情報システムへのアクセス、電子メールアドレスの使用及びインターネットへのアクセスを行ってはならない。

3 CISOは、機密性2以上、可用性2、完全性2の情報資産を外部で処理する場合における安全管理措置を定めなければならない。

4 職員等は、モバイル端末、電磁的記録媒体等の持ち出し及び外部における情報処理作業について、次の事項を遵守しなければならない。

(1) 区のモバイル端末、電磁的記録媒体、情報資産及びソフトウェアを外部に持ち出す場合は、情報セキュリティ管理者の許可を得ること。

(2) 外部で情報処理業務を行う場合は、情報セキュリティ管理者の許可を得ること。

(3) 外部で情報処理作業を行う際に私物のパソコンを用いる場合は、情報セキュリティ管理者の許可を得た上で、安全管理措置を遵守すること。

(4) 機密性2以上の情報資産については、私物のパソコンによる情報処理を行わないこと。

5 職員等は、区の貸与品以外のパソコン、モバイル端末及び電磁的記録媒体の業務利用について、次の事項を遵守しなければならない。

(1) 区の貸与品以外のパソコン、モバイル端末及び電磁的記録媒体を業務に利用しないこと。ただし、業務上必要な場合は、貸与品以外の端末の業務利用の可否判断を情報セキュリティ責任者が行い、各課において定める手順に従い、情報セキュリティ管理者の許可を得て利用することができる。

(2) 外部で情報処理作業を行う際に貸与品以外のパソコン、モバイル端末及び電磁的記録媒体を用いる場合は、情報セキュリティ管理者の許可を得た上で、安全管理措置を遵守すること。

6 情報セキュリティ管理者は、端末等の持ち出し及び持込みについて、記録を作成し、保管しなければならない。

7 職員等は、情報セキュリティ管理者の許可なくパソコン及びモバイル端末のソフトウェアに関するセキュリティ機能の設定を変更してはならない。

8 職員等は、パソコン、モバイル端末、電磁的記録媒体及び情報が印刷された文書等について、第三者に使用されること又は情報セキュリティ管理者の許可なく情報が閲覧されることがないよう適切な措置を講じなければならない。

9 職員等は、異動、退職等により業務を離れる場合は、利用した情報資産を返却するとともに、以後も業務上知り得た情報を漏らしてはならない。

10 情報セキュリティ管理者は、職員等に対し、採用時に情報セキュリティポリシー等において職員等が遵守すべき内容を理解させるとともに、当該内容を遵守させなければならない。

(非常勤職員及び臨時職員への対応)

第36条 情報セキュリティ管理者は、職員等のうち非常勤職員及び臨時職員(以下「非常勤職員等」という。)に対し、採用時に必要に応じ、情報セキュリティポリシー等を遵守する旨の同意書への署名を求めるものとする。

2 情報セキュリティ管理者は、非常勤職員等にパソコン又はモバイル端末による作業を行わせる場合において、インターネットへの接続及び電子メールの使用等が不要の場合は、これらを利用できないように措置しなければならない。

(情報セキュリティポリシー等の掲示)

第37条 情報セキュリティ管理者は、職員等が常に情報セキュリティポリシー及び実施手順を閲覧できるように掲示しなければならない。

(委託事業者に対する説明)

第38条 情報セキュリティ管理者は、ネットワーク及び情報システムの開発、保守等を事業者に発注する場合は、再委託事業者も含めて、情報セキュリティポリシー等のうち委託事業者が守るべき内容の遵守及びその機密事項の説明をしなければならない。

第2節 研修及び訓練

(情報セキュリティに関する研修及び訓練)

第39条 CISOは、情報セキュリティに関する研修及び訓練を定期的に実施しなければならない。

(研修計画の策定及び実施)

第40条 CISOは、幹部を含め全ての職員等に対する情報セキュリティに関する研修計画の策定及びその実施体制の構築を定期的に行わなければならない。

2 統括情報セキュリティ責任者は、新規採用の職員等を対象とする情報セキュリティに関する研修を実施しなければならない。

3 研修は、統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者、情報システム管理者、情報システム担当者及びその他職員等に対して、それぞれの役割、情報セキュリティに関する理解度等に応じたものにしなければならない。

4 情報セキュリティ管理者は、所管する課の研修の実施状況を記録し、統括情報セキュリティ責任者及び情報セキュリティ責任者に対して、報告しなければならない。

5 統括情報セキュリティ責任者は、研修の実施状況を分析及び評価し、CISOに情報セキュリティに関する研修の実施状況について報告しなければならない。

6 CISOは、毎年度1回、電子自治体推進委員会に対して、職員等の情報セキュリティに関する研修の実施状況について報告しなければならない。

(緊急時対応訓練)

第41条 CISOは、緊急時対応を想定した訓練を定期的に実施しなければならない。

2 前項の訓練に係る計画は、ネットワーク及び各情報システムの規模等を考慮し、訓練実施の体制、範囲等を定め、効果的に実施できるようにしなければならない。

第3節 情報セキュリティインシデントの報告

(庁内からの情報セキュリティインシデントの報告)

第42条 職員等は、情報セキュリティインシデントを認知した場合は、直ちに情報セキュリティ管理者及びPoCに報告しなければならない。

2 前項の報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム課に報告しなければならない。

3 統括情報セキュリティ責任者は、前項において報告を受けた情報セキュリティインシデントについて、必要に応じ、CISOに報告しなければならない。

(区民又は外部からの情報セキュリティインシデントの報告)

第43条 職員等は、区が管理するネットワーク及び情報システム等の情報資産に関する情報セキュリティインシデントについて、区民又は外部から報告を受けた場合は、直ちに情報セキュリティ管理者及びPoCに報告しなければならない。

2 前項の報告を受けた情報セキュリティ管理者は、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者及び情報システム管理者に報告しなければならない。

3 情報セキュリティ管理者は、第1項の規定により報告を受けた情報セキュリティインシデントについて、必要に応じ、CISO及び情報セキュリティ責任者に報告しなければならない。

4 CISOは、情報システム等の情報資産に関する情報セキュリティインシデントについて、区民又は外部から報告を受けるためPoCへの連絡手段を公表しなければならない。

(情報セキュリティインシデントの原因究明、記録及び再発防止等)

第44条 CSIRTは、報告された情報セキュリティインシデントの可能性について状況を確認し、情報セキュリティインシデントであるか否かの評価を行わなければならない。

2 CSIRTは、情報セキュリティインシデントであると評価した場合、CISOに速やかに報告しなければならない。

3 CSIRTは、情報セキュリティインシデントに関係する情報セキュリティ責任者に対し、被害の拡大防止等を図るための応急措置の実施及び復旧に係る指示を行わなければならない。

4 情報セキュリティインシデントを引き起こした部門の情報セキュリティ管理者は、情報セキュリティインシデントの原因を究明し、記録を保存するとともに、情報セキュリティ責任者と協議した上で再発防止策を検討し、CISO及びCSIRTに報告しなければならない。

5 CISOは、前項の報告を受けた場合は、その内容を確認し、再発防止策を実施するために必要な措置を指示しなければならない。

第4節 ID及びパスワード等の管理

(ICカード等の取扱い)

第45条 職員等は、自己の管理するICカード等に関し、次の事項を遵守しなければならない。

(1) 認証に用いるICカード等を、職員等間で共有しないこと。

(2) 業務上必要のないときは、ICカード等をカードリーダー又はパソコン等の端末のスロット等から抜いておくこと。

(3) ICカード等を紛失した場合は、速やかに統括情報セキュリティ責任者及び当該ICカードを用いるシステムを所管する情報システム管理者に通報し、指示に従うこと。

2 統括情報セキュリティ責任者及び情報システム管理者は、前項第3号の通報があり次第、当該ICカード等を使用したアクセス等を速やかに停止しなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、ICカード等を切り替える場合は、切替え前のカードを回収し、破砕する等復元不可能な処理を行った上で廃棄しなければならない。

(IDの取扱い)

第46条 職員等は、自己の管理するIDに関し、次の事項を遵守しなければならない。

(1) 自己が利用しているIDを、他人に利用させないこと。

(2) 共用IDを利用する場合に、当該IDを共用IDの利用者以外に利用させないこと。

(パスワードの取扱い)

第47条 職員等は、自己の管理するパスワードに関し、次の事項を遵守しなければならない。

(1) パスワードは、他者に知られないように管理すること。

(2) パスワードは秘密にし、パスワードの照会等には応じないこと。

(3) パスワードの文字列は、十分な長さとし、推測され難いものにすること。

(4) パスワードが流出したおそれがある場合は、情報セキュリティ管理者への報告及びパスワードの変更を直ちに行うこと。

(5) パスワードは定期的に、又はアクセス回数に基づいて変更し、過去に設定したパスワードを再利用しないこと。

(6) 複数の情報システムを取り扱う職員等は、同一のパスワードを複数の情報システム間で用いないこと。

(7) 仮のパスワードは、最初にログインした時点で変更すること。

(8) 端末にパスワードを記憶させないこと。

(9) 職員等間でパスワードを共有しないこと。

第6章 技術的セキュリティ

第1節 コンピュータ及びネットワークの管理

(ファイルサーバの設定等)

第48条 統括情報セキュリティ責任者は、職員等が使用できるファイルサーバの容量を設定し、職員等に周知しなければならない。

2 統括情報セキュリティ責任者は、ファイルサーバを全庁、課及び個人単位で構成し、それぞれの構成単位に適切なアクセス権限を設定しなければならない。

3 情報システム管理者は、区民等の個人情報、人事記録等特定の職員等のみにアクセス権限を制限するデータについて、別途ディレクトリ(論文、数値、図形その他の情報をパソコン、電磁的記録媒体等に保管するための領域をいう。)を作成する等の措置を講じ、同一課であっても、担当職員以外の職員等が閲覧及び使用できないようにしなければならない。

(バックアップの実施)

第49条 統括情報セキュリティ責任者及び情報システム管理者は、ファイルサーバ等に記録された情報について、サーバの冗長化対策にかかわらず、定期的にバックアップを実施しなければならない。

(他団体との情報システムに関する情報等の交換)

第50条 情報システム管理者は、他の団体と情報システムに関する情報及びソフトウェアを交換する場合は、あらかじめその取扱いに関する事項を定め、統括情報セキュリティ責任者及び情報セキュリティ責任者の許可を得なければならない。

(システム管理記録及び作業の確認)

第51条 情報システム管理者は、所管する情報システムの運用において実施した作業について、作業記録を作成及び保存しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、所管するシステムにおいて、システム変更等の作業を行った場合は、作業内容について記録を作成し、詐取、改ざん等をされないように当該記録を適切に管理しなければならない。

3 統括情報セキュリティ責任者、情報システム管理者又は情報システム担当者及び契約により操作を認められた委託事業者がシステム変更等の作業を行う場合は、原則として2名以上で作業し、互いにその作業を確認しなければならない。

(情報システム仕様書の管理)

第52条 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク構成図及び情報システム仕様書について、記録媒体にかかわらず、業務上必要とする者以外の者に閲覧され、又は紛失等がないよう、適切に管理しなければならない。

(ログの取得等)

第53条 統括情報セキュリティ責任者及び情報システム管理者は、各種ログ(情報システムに対して行う指示、当該指示に基づき情報システムが実行した処理の内容及び当該処理の結果を時系列に記録したファイルをいう。以下同じ。)及び情報セキュリティの確保に必要な記録を取得し、一定の期間保存しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、ログとして取得する項目、保存期間、取得方法及びログが取得できなくなった場合の対処等について定め、適切にログを管理しなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、取得したログを定期的に点検又は分析する機能を設け、必要に応じて悪意ある第三者等からの不正侵入、不正操作等の有無について点検又は分析を実施しなければならない。

(障害記録)

第54条 統括情報セキュリティ責任者及び情報システム管理者は、職員等からのシステム障害の報告、システム障害に対する処理結果又は問題等を、障害記録として記録し、適切に保存しなければならない。

(ネットワークの接続制御、経路制御等)

第55条 統括情報セキュリティ責任者は、フィルタリング(情報セキュリティインシデントを防ぐためにネットワークの経路上に設けるファイアーウォール(あらかじめ設定された通信規約に基づき許可された電気通信信号を通過させる機能を有する機器又はソフトウェアのうち、インターネットに対応するものをいう。以下同じ。)等により電気通信信号を制御する措置をいう。)及びルーティング(ルータ(ネットワークに接続する機器ごとに設定したIPアドレス(ネットワークに接続する機器を識別するための符号をいう。以下同じ。)により、許可された者による通信であることを認証する機器をいう。以下同じ。)により、複数の接続先から特定のIPアドレスへ送信する情報を認証し、中継処理する措置をいう。)について、設定の不整合が発生しないように、ファイアーウォール、ルータ等の通信ソフトウェア等を設定しなければならない。

2 情報システム管理者は、不正アクセスを防止するため、ネットワークに適切なアクセス制御を施さなければならない。

(外部の者が利用できるシステムの分離等)

第56条 情報システム管理者は、電子申請の汎用受付システム等外部の者が利用できるシステムについて、必要に応じ、他のネットワーク及び情報システムと物理的に分離する等の措置を講じなければならない。

(外部ネットワークとの接続制限等)

第57条 情報システム担当者は、所管するネットワークを外部ネットワークと接続しようとする場合は、情報システム管理者の許可を得なければならない。

2 情報システム管理者は、接続しようとする外部ネットワークに係るネットワーク構成、機器構成、セキュリティ技術等を詳細に調査し、庁内の全てのネットワーク、情報システム等の情報資産に影響が生じないことを確認しなければならない。

3 情報システム管理者は、接続した外部ネットワークの瑕疵によりデータの漏えい、破壊、改ざん、システムダウン等による業務への影響が生じた場合に対処するため、当該外部ネットワークの管理責任者による損害賠償責任を契約上担保しなければならない。

4 統括情報セキュリティ責任者及び情報システム管理者は、Webサーバ(インターネットを利用した公衆による情報の閲覧の用に供されるサーバをいう。)等をインターネットに公開する場合は、庁内ネットワークへの侵入を防御するために、ファイアーウォール等を外部ネットワークとの境界に設置した上で接続しなければならない。

5 情報システム管理者は、接続した外部ネットワークのセキュリティに問題が認められ、情報資産の機密性、完全性又は可用性を損なう脅威を与えるおそれがある場合は、直ちに統括情報セキュリティ責任者に報告し、了解を得て当該外部ネットワークを物理的に遮断しなければならない。

(複合機のセキュリティ管理)

第58条 情報システム管理者は、複合機(複写の機能に加え、印刷、ファクシミリ送信又はスキャンのうち1以上の機能を有する機械及び印刷の機能に加え、複写、ファクシミリ送信又はスキャンのうち1以上の機能を有する機械をいう。以下同じ。)を調達する場合は、当該複合機が備える機能、設置環境並びに取り扱う情報資産の分類及び管理方法に応じ、適切なセキュリティ要件を策定しなければならない。

2 情報システム管理者は、複合機が備える機能について適切な設定を行うことにより、運用中の複合機に係る情報セキュリティインシデントへの対策を講じなければならない。

3 情報システム管理者は、複合機の運用を停止する場合は、複合機の持つ電磁的記録媒体の全ての情報を消去し、又は再利用できないようにする対策を講じなければならない。

(特定用途機器のセキュリティ管理)

第59条 統括情報セキュリティ責任者は、特定用途機器(テレビ会議システム、IP電話システム、ネットワークカメラシステム等の特定の用途に使用される情報システム特有の構成要素であって、通信回線に接続されている又は電磁的記録媒体を内蔵しているものをいう。)について、取り扱う情報、利用方法、通信回線への接続形態等により、機密性、完全性又は可用性を損なう脅威を与えるおそれがある場合は、当該機器の特性に応じた対策を実施しなければならない。

(無線LAN及びネットワークの盗聴対策)

第60条 統括情報セキュリティ責任者は、無線LAN(コンピュータを相互に接続する通信手段のうち、無線により接続する通信手段をいう。)の利用を認める場合は、解読が困難な暗号化及び認証技術の使用を義務付けなければならない。

2 統括情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、暗号化等の措置を講じなければならない。

(電子メールのセキュリティ管理)

第61条 統括情報セキュリティ責任者は、権限のない者の利用により、外部から外部へ電子メール転送(電子メールの中継処理をいう。)が行われることを不可能とするよう、電子メールサーバの設定を行わなければならない。

2 統括情報セキュリティ責任者は、スパムメール等が内部から送信されていることを検知した場合は、電子メールサーバの運用を停止しなければならない。

3 統括情報セキュリティ責任者は、電子メールの送受信容量の上限を設定し、上限を超える電子メールの送受信を不可能にしなければならない。

4 統括情報セキュリティ責任者は、職員等が利用できる電子メールボックスの容量の上限を設定し、上限を超えた場合の対応を職員等に周知しなければならない。

5 統括情報セキュリティ責任者は、情報システムの開発、運用、保守等のため委託事業者による電子メールアドレスの利用について、委託事業者との間で利用方法を取り決めなければならない。

6 統括情報セキュリティ責任者は、職員等が電子メールの送信等により情報資産を無断で外部に持ち出すことが不可能となるように添付ファイルの監視等により、情報システム上措置を講じなければならない。

(電子メールの利用制限)

第62条 職員等は、自動転送機能を用いて、電子メールを転送してはならない。

2 職員等は、業務上必要のない送信先に電子メールを送信してはならない。

3 職員等は、複数人に電子メールを送信する場合は、必要がある場合を除き、他の送信先の電子メールアドレスを非開示にしなければならない。

4 職員等は、重要な電子メールを誤送信した場合は、直ちに情報セキュリティ管理者に報告しなければならない。

5 職員等は、統括情報セキュリティ責任者の許可なく、Webで利用できるフリーメール(利用者が自己の情報を提供すること又は契約を締結することを条件に、特定のWebサイトの運営者が、自己の運営するWebサイトへアクセスさせることによって利用することができる電子メールアドレスを利用者に提供し、当該電子メールを利用させるサービスをいう。)、ネットワークストレージサービス(利用者が自己の情報を提供すること又は契約を締結することを条件に、特定のWebサイトの運営者が、論文、数値、図形その他の情報を保管するための領域を利用者に提供するサービスをいう。)等を利用してはならない。

(電子署名及び暗号化)

第63条 職員等は、情報資産の分類により定めた取扱制限に基づき、外部に送るデータの機密性又は完全性を確保することが必要な場合は、CISOが定めた電子署名、パスワード等による暗号化等のセキュリティ対策を講じて送信しなければならない。

2 職員等は、暗号化を行う場合は、CISOが別に定める方法以外の方法を用いてはならない。

3 職員等は、暗号化を行う場合は、CISOが別に定める方法で暗号のための鍵を管理しなければならない。

4 CISOは、電子署名の正当性を検証するための情報又は手段を、区において所管する情報システムにあっては情報セキュリティ管理者へ、課において所管する情報システムにあっては情報システム管理者へ安全に提供しなければならない。

(無許可ソフトウェアの導入等の禁止)

第64条 職員等は、パソコン及びモバイル端末に無断でソフトウェアを導入してはならない。

2 職員等は、業務上の必要がある場合は、情報システム管理者の許可を得て、ソフトウェアを導入することができる。

3 前項の許可を受けたソフトウェアを導入する際は、情報セキュリティ管理者又は情報システム管理者は、当該ソフトウェアのライセンスを管理しなければならない。

4 職員等は、不正にソフトウェアをコピーし、及び利用してはならない。

(機器構成の変更の制限)

第65条 職員等は、パソコン及びモバイル端末に対し機器の改造、増設及び交換を行ってはならない。

2 職員等は、業務上、パソコン及びモバイル端末に対し機器の改造、増設又は交換を行う必要がある場合は、統括情報セキュリティ責任者及び情報システム管理者の許可を得なければならない。

(業務外ネットワークへの接続の禁止)

第66条 職員等は、支給された端末を、有線又は無線を問わず、その端末を接続して利用するよう情報システム管理者によって定められたネットワークと異なるネットワークに接続してはならない。

2 情報システム管理者は、支給した端末について、端末に搭載されたOSのポリシー設定等により、端末を異なるネットワークに接続できないよう技術的に制限する等、セキュリティ確保のために必要な措置を講じなければならない。

(業務目的以外でのWeb閲覧の禁止)

第67条 職員等は、業務以外の目的でWebを閲覧してはならない。

2 統括情報セキュリティ責任者は、職員等のWeb利用について、明らかに業務に関係のないサイトを閲覧していることを発見した場合は、情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

(Web会議サービスの利用時の対策)

第68条 統括情報セキュリティ責任者は、Web会議を適切に利用するための利用手順を定めなければならない。

2 職員等は、区の定める利用手順に従い、Web会議の参加者及び取り扱う情報に応じた情報セキュリティ対策を実施しなければならない。

3 職員等は、Web会議を主催する場合は、会議に無関係の者が参加できないよう対策を講じなければならない。

4 職員等は、外部からWeb会議に招待される場合は、区の定める利用手順に従い、Web会議に参加しなければならない。

(ソーシャルメディアサービスの利用)

第69条 情報セキュリティ管理者は、区が管理するアカウントでソーシャルメディアサービスを利用する場合は、情報セキュリティ対策に関する次の事項を含めたソーシャルメディアサービス運用手順を定めなければならない。

(1) 区のアカウントによる情報発信が、実際の区のものであることを明らかにするために、区の自己管理Webサイトに当該情報を掲載して参照可能とするとともに、当該アカウントの自由記述欄等にアカウントの運用組織を明示する等の方法でなりすまし対策を実施すること。

(2) パスワード、認証のためのコード等の認証情報及びこれを記録した媒体(ハードディスク、USBメモリ、紙等)当を適正に管理する等の方法で不正アクセス対策を実施すること。

2 ソーシャルメディアサービスを利用して情報を発信する者は、機密性2以上の情報をソーシャルメディアサービスで発信してはならない。

3 情報セキュリティ管理者は、利用するソーシャルメディアサービスごとに責任者を定めなければならない。

4 情報セキュリティ管理者は、アカウントの乗っ取りを確認した場合は、被害を最小限にするための措置を講じなければならない。

5 情報セキュリティ管理者は、可用性2の情報の提供にソーシャルメディアサービスを用いる場合は、区の自己管理Webサイトに当該情報を掲載して参照可能としなければならない。

第2節 アクセス制御

(アクセス制御等)

第70条 統括情報セキュリティ責任者又は情報システム管理者は、所属するネットワーク又は情報システムごとにアクセスする権限のない職員等がアクセスできないように、システム上制御しなければならない。

(利用者IDの取扱い)

第71条 統括情報セキュリティ責任者及び情報システム管理者は、利用者の登録、変更、抹消等の情報管理、職員等の異動、出向、退職等に伴う利用者IDの取扱い等の方法を定めなければならない。

2 職員等は、業務上必要がなくなった場合は、利用者登録を抹消するよう、統括情報セキュリティ責任者又は情報システム管理者に通知しなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、退職した職員等の管理するIDが抹消されていない等利用されていないIDが放置されないよう、人事管理部門と連携し、点検しなければならない。

(特権を付与されたIDの管理等)

第72条 統括情報セキュリティ責任者及び情報システム管理者は、管理者権限等の特権を付与されたIDを利用する者を必要最小限にし、当該ID及びパスワードの漏えい等が発生しないよう、厳重に管理しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者の特権を代行する者(次項において「代行者」という。)は、統括情報セキュリティ責任者及び情報システム管理者が指名し、かつ、CISOが認めた者でなければならない。

3 CISOは、代行者を認めた場合は、速やかに統括情報セキュリティ責任者、情報セキュリティ責任者、情報セキュリティ管理者及び情報システム管理者に通知しなければならない。

4 統括情報セキュリティ責任者及び情報システム管理者は、特権を付与されたID及びパスワードの変更を委託事業者に行わせてはならない。

(職員等による外部からのアクセス等の制限)

第73条 職員等が外部のパソコン等から区が管理するネットワーク又は情報システムにアクセス(以下「外部からのアクセス」という。)をする場合は、統括情報セキュリティ責任者及び当該情報システムを管理する情報システム管理者の許可を得なければならない。

2 統括情報セキュリティ責任者は、外部からのアクセスを、アクセスが必要な合理的理由を有する必要最小限の者に限定しなければならない。

3 統括情報セキュリティ責任者は、外部からのアクセスを認める場合は、情報システム上利用者の本人確認を行う機能を確保しなければならない。

4 統括情報セキュリティ責任者は、外部からのアクセスを認める場合は、通信途上の盗聴等を防御するために暗号化等の措置を講じなければならない。

5 統括情報セキュリティ責任者及び情報システム管理者は、外部からのアクセスに利用するモバイル端末を職員等に貸与する場合は、セキュリティ確保のために必要な措置を講じなければならない。

6 職員等は、持ち込んだ又は外部から持ち帰ったモバイル端末を庁内ネットワークに接続する場合は、接続する前に、当該モバイル端末がコンピュータウイルスに感染していないこと、当該モバイル端末のパッチ(機器(ソフトウェアを含む。)の開発者又は製造者が、自ら又は外部からの指摘によって機器の欠陥又はぜい弱性を覚知し、当該欠陥又はぜい弱性を標的にした攻撃を防御するために公開する修正プログラム又は追加プログラムをいう。以下同じ。)の適用状況等を確認した上で、情報セキュリティ管理者の許可を得て、又は情報セキュリティ管理者によって事前に定義された手順に従って接続しなければならない。

7 統括情報セキュリティ責任者は、区が管理するネットワーク又は情報システムに対するインターネットを介した外部からのアクセスを原則として禁止しなければならない。ただし、やむを得ず接続を許可する場合は、利用者のID、パスワード及び生体認証に係る情報等の認証情報並びにこれを記録した媒体(ICカード等をいう。以下同じ。)による認証に加えて、通信内容の暗号化等情報セキュリティ確保のために必要な措置を講じなければならない。

(自動識別の設定)

第74条 統括情報セキュリティ責任者及び情報システム管理者は、区が管理するネットワークで使用される機器について、機器固有情報によって端末とネットワークとの接続の可否が自動的に識別されるようシステムを設定しなければならない。

(ログイン時の表示等)

第75条 情報システム管理者は、ログイン時におけるメッセージ、ログイン試行回数の制限、アクセスタイムアウトの設定、ログイン及びログアウト時刻の表示等により、正当なアクセス権限を持つ職員等がログインしたことを確認することができるようシステムを設定しなければならない。

(パスワードに関する情報の管理)

第76条 統括情報セキュリティ責任者又は情報システム管理者は、職員等のパスワードに関する情報を厳重に管理しなければならない。

2 情報システム管理者は、その所管する情報システムに、オペレーティングシステム等によるパスワード設定のセキュリティ強化機能がある場合は、これを有効に活用しなければならない。

3 統括情報セキュリティ責任者又は情報システム管理者は、職員等に対してパスワードを発行する場合は、仮のパスワードを発行し、ログイン後直ちに仮のパスワードを変更させなければならない。

4 統括情報セキュリティ責任者又は情報システム管理者は、認証情報の不正利用を防止するための措置を講じなければならない。

(特権による接続時間の制限)

第77条 情報システム管理者は、特権によるネットワーク及び情報システムへの接続時間を必要最小限に制限しなければならない。

第3節 システム開発、導入、保守等

(情報システムの調達)

第78条 統括情報セキュリティ責任者又は情報システム管理者は、情報システムの開発、導入、保守等の調達に当たっては、調達仕様書に必要とする技術的なセキュリティ機能を明記しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、機器及びソフトウェアの調達に当たっては、あらかじめ当該製品のセキュリティ機能を調査し、情報セキュリティ上問題のないことを確認しなければならない。

(情報システムの開発)

第79条 情報システム管理者は、情報システムの開発の責任者及び作業者を特定するとともに、情報システムの開発のための規程を確立しなければならない。

2 情報システム管理者は、情報システムの開発の責任者及び作業者が使用するIDを管理し、当該開発完了後、開発用のIDを削除しなければならない。

3 情報システム管理者は、情報システムの開発の責任者及び作業者のアクセス権限を設定しなければならない。

4 情報システム管理者は、情報システムの開発の責任者及び作業者が使用するハードウェア及びソフトウェアを特定しなければならない。

5 情報システム管理者は、開発しようとしている情報システムに利用を認めたソフトウェア以外のソフトウェアが導入されている場合は、当該ソフトウェアを情報システムから削除しなければならない。

(情報システムの導入)

第80条 情報システム管理者は、情報システムの開発、保守及び情報システムのテスト環境と運用環境を分離しなければならない。

2 情報システム管理者は、情報システムの開発、保守及び情報システムのテスト環境から運用環境への移行について、情報システムの開発時及び保守計画の策定時に手順を明確にしなければならない。

3 情報システム管理者は、前項に規定する移行の際、情報システムに記録されている情報資産の保存を確実に行い、移行に伴う情報システムの停止等の影響が最小限になるよう配慮しなければならない。

4 情報システム管理者は、情報システムを導入する場合は、導入する情報システム及びサービスの可用性が確保されていることを確認した上で導入しなければならない。

5 情報システム管理者は、新たに情報システムを導入する場合は、既に稼動している情報システムに接続する前に十分な試験を行わなければならない。

6 情報システム管理者は、運用テストを行う場合は、あらかじめ擬似環境による操作確認を行わなければならない。

7 情報システム管理者は、個人情報及び機密性の高いデータをテストデータに使用してはならない。

8 情報システム管理者は、開発した情報システムについて受入れテストを行う場合は、開発した組織及び導入する組織がそれぞれ独立したテストを行わなければならない。

(システム開発及び保守に関する資料等の整備及び保管)

第81条 情報システム管理者は、情報システムの開発及び保守に関連する資料並びに情報システムの関連文書を適切に整備及び保管しなければならない。

2 情報システム管理者は、テスト結果を一定期間保管しなければならない。

3 情報システム管理者は、情報システムに係るソースコードを適切な方法で保管しなければならない。

(情報システムにおける入出力データの正確性の確保)

第82条 情報システム管理者は、情報システムに入力されるデータについて、範囲及び妥当性のチェック機能並びに不正な文字列等の入力を除外する機能を組み込むように情報システムを設計しなければならない。

2 情報システム管理者は、故意又は過失により情報が改ざんされる又は漏えいするおそれがある場合は、これを検出するチェック機能を組み込むように情報システムを設計しなければならない。

3 情報システム管理者は、情報システムから出力されるデータについて、情報の処理が正しく反映され、出力されるように情報システムを設計しなければならない。

(情報システムの変更管理)

第83条 情報システム管理者は、情報システムを変更した場合は、プログラム仕様書等の変更履歴を作成しなければならない。

(開発及び保守用のソフトウェアの更新等)

第84条 情報システム管理者は、開発及び保守用のソフトウェア等を更新し、又はパッチを適用する場合は、他の情報システムとの整合性を確認しなければならない。

(システム更新又は統合時の検証等)

第85条 情報システム管理者は、情報システムの更新又は統合を行う場合は、リスク管理体制の構築、移行基準の明確化及び更新又は統合後の業務運営体制の検証を行わなければならない。

第4節 不正プログラム対策

(統括情報セキュリティ責任者の措置事項)

第86条 統括情報セキュリティ責任者は、不正プログラム対策として、次の事項を措置しなければならない。

(1) 外部ネットワークから受信したファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムのシステムへの侵入を防止すること。

(2) 外部ネットワークに送信するファイルは、インターネットのゲートウェイにおいてコンピュータウイルス等の不正プログラムのチェックを行い、不正プログラムの外部への拡散を防止すること。

(3) コンピュータウイルス等の不正プログラムの情報を収集し、必要に応じ、職員等に対して注意喚起すること。

(4) 区が管理するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させること。

(5) 不正プログラム対策ソフトウェア及び当該ソフトウェアのパターンファイルは、常に最新の状態に保つこと。

(6) パッチ、バージョンアップ等の開発元のサポートが終了したソフトウェアを利用させないこと。

(7) ソフトウェアの利用を予定している期間中にパッチ、バージョンアップ等の開発元のサポートが終了する予定がないことを確認すること。

(情報システム管理者の措置事項)

第87条 情報システム管理者は、不正プログラム対策として、次の事項を措置しなければならない。

(1) 区が管理するサーバ及びパソコン等の端末に、コンピュータウイルス等の不正プログラム対策ソフトウェアを常駐させること。

(2) 前号により常駐させるソフトウェア及び当該ソフトウェアのパターンファイルは、常に最新の状態に保つこと。

(3) インターネットに接続していない情報システムにおいて、電磁的記録媒体を使用する場合は、コンピュータウイルス等の感染を防止するため、区が管理している媒体以外の媒体を職員等に使用させないこと。

(4) 前号の場合において、不正プログラムの感染及び侵入が生じる可能性が著しく低い場合を除き、不正プログラム対策ソフトウェアを導入し、定期的に当該ソフトウェア及びパターンファイルの更新を実施すること。

(5) 不正プログラム対策ソフトウェア等の設定を変更する権限については、一括で管理し、情報システム管理者が許可した職員以外の職員等に当該権限を付与しないこと。

(職員等の遵守事項)

第88条 職員等は、不正プログラム対策として、次の事項を遵守しなければならない。

(1) パソコン及びモバイル端末において、不正プログラム対策ソフトウェアが導入されている場合は、当該ソフトウェアの設定を変更しないこと。

(2) 外部からデータ又はソフトウェアを導入する場合は、必ず不正プログラム対策ソフトウェアによるチェックを行うこと。

(3) 差出人が不明又は不自然に添付されたファイルを受信した場合は、速やかに削除すること。

(4) 端末に対して、不正プログラム対策ソフトウェアによるフルチェックを定期的に実施すること。

(5) 添付ファイルが付いた電子メールを送受信する場合は、不正プログラム対策ソフトウェアでチェックを行うこと。

(6) インターネット接続系で受信したインターネットメール又はインターネット経由で入手したファイルをLGWAN接続系に取り込む場合は、無害化通信により行うこと。

(7) 統括情報セキュリティ責任者が提供するウイルス情報を、常に確認すること。

(8) コンピュータウイルス等の不正プログラムに感染した場合又は感染が疑われる場合は、事前に決められた不正プログラム感染時の初動対応の手順に従って対応を行うこと。

(専門家の支援体制)

第89条 統括情報セキュリティ責任者は、実施している不正プログラム対策では不十分な事態が発生する場合に備え、外部の専門家の支援を受けられるようにしておかなければならない。

第5節 不正アクセス対策

(統括情報セキュリティ責任者の措置事項)

第90条 統括情報セキュリティ責任者は、不正アクセス対策として、次の事項を措置しなければならない。

(1) 使用されていないポートを閉鎖すること。

(2) 不要なサービスについて、機能を削除又は停止すること。

(3) 不正アクセスによるWebページの改ざんを防止するために、データの書換えを検出し、統括情報セキュリティ責任者及び情報システム管理者へ通報するよう設定すること。

(4) 重要なシステムの設定を行ったファイルについて、定期的に当該ファイルの改ざんの有無を検査すること。

(5) PoCと連携し、監視、通知、外部への連絡及び適切な対応等を実施できる体制並びに連絡網を構築すること。

(攻撃への対処)

第91条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受けるリスクがある場合、攻撃を受けることが明確になった場合又は攻撃を受けた場合は、情報システムの停止を含む必要な措置を講じるとともに、関係省庁、東京都等と連絡を密にして情報の収集に努めなければならない。

(記録の保存)

第92条 CISO及び統括情報セキュリティ責任者は、サーバ等に攻撃を受け、当該攻撃が不正アクセス行為の禁止等に関する法律(平成11年法律第128号)に違反する等の犯罪の可能性がある場合は、攻撃の記録を保存するとともに、警察及び関係機関との緊密な連携に努めなければならない。

(内部からの攻撃)

第93条 統括情報セキュリティ責任者及び情報システム管理者は、職員等及び委託事業者が使用している端末からの庁内のサーバ等に対する攻撃及び外部のサイトに対する攻撃を監視しなければならない。

(職員等による不正アクセス)

第94条 統括情報セキュリティ責任者及び情報システム管理者は、職員等による不正アクセスを発見した場合は、速やかに当該職員等が所属する課の情報セキュリティ管理者に通知し、適切な処置を求めなければならない。

(サービス不能攻撃)

第95条 統括情報セキュリティ責任者及び情報システム管理者は、外部からアクセスできる情報システムに対して、第三者からサービス不能攻撃を受け、利用者がサービスを利用できなくなることを防止するため、情報システムの可用性を確保する対策を常に講じなければならない。

(標的型攻撃)

第96条 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による内部への侵入を防止するために、教育等の人的対策を講じなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、標的型攻撃による組織内部への侵入を低減する対策(入口対策)を講じなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、内部に侵入した攻撃を早期検知して対処する対策、侵入範囲の拡大の困難度を上げる対策及び外部との不正通信を検知して対処する対策(内部対策及び出口対策)を講じなければならない。

第6節 セキュリティ情報の収集

(ソフトウェアのぜい弱性に関する情報収集、共有、ソフトウェアの更新等)

第97条 統括情報セキュリティ責任者及び情報システム管理者は、ソフトウェアのぜい弱性に関する情報を収集し、必要に応じ、関係者間で共有するとともに、当該ソフトウェアのぜい弱性の緊急度に応じてソフトウェアの更新等の対策を実施しなければならない。

(不正プログラム等のセキュリティ情報の収集及び周知)

第98条 統括情報セキュリティ責任者は、不正プログラム等のセキュリティ情報を収集し、必要に応じて、対応方法について職員等に周知しなければならない。

第7章 運用

第1節 情報システムの監視

(情報システムの常時監視等)

第99条 統括情報セキュリティ責任者及び情報システム管理者は、セキュリティに関する事案を検知するため、情報システムを常時監視しなければならない。

2 統括情報セキュリティ責任者及び情報システム管理者は、重要なログ等を取得するサーバの正確な時刻設定及びサーバ間の時刻同期ができる措置を講じなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、外部と常時接続する情報システムを常時監視しなければならない。

第2節 情報セキュリティポリシーの遵守状況の確認

(遵守状況の確認及び対処)

第100条 情報セキュリティ責任者及び情報セキュリティ管理者は、情報セキュリティポリシーの遵守状況について確認を行い、問題があると認めた場合は、速やかにCISO及び統括情報セキュリティ責任者に報告しなければならない。

2 CISOは、前項の規定による報告を受けた問題について、適切かつ速やかに対処しなければならない。

3 統括情報セキュリティ責任者及び情報システム管理者は、ネットワーク、サーバ等の情報システム設定等における情報セキュリティポリシーの遵守状況について定期的に確認を行い、問題が発生した場合は、適切かつ速やかに対処しなければならない。

(パソコン、モバイル端末及び電磁的記録媒体等の利用状況調査)

第101条 CISO及びCISOが指名した者は、不正アクセス、不正プログラム等の調査のために、職員等が使用しているパソコン、モバイル端末及び電磁的記録媒体等のログ、電子メール等の送受信記録等の利用状況を調査することができる。

(職員等の報告義務)

第102条 職員等は、情報セキュリティポリシーに対する違反行為を発見した場合は、直ちに統括情報セキュリティ責任者及び情報セキュリティ管理者に報告しなければならない。

2 前項の違反行為が情報セキュリティ上重大な影響を及ぼす可能性があると統括情報セキュリティ責任者が判断した場合は、職員等は、緊急時対応計画に従って適切に対処しなければならない。

第3節 侵害時の対応等

(緊急時対応計画の策定)

第103条 情報セキュリティ委員会は、情報セキュリティインシデント、情報セキュリティポリシーの違反等により情報資産に対するセキュリティ侵害が発生した場合又は発生するおそれがある場合において、連絡、証拠保全、被害拡大の防止、復旧、再発防止等の措置を迅速かつ適切に実施するために、緊急時対応計画を定め、セキュリティ侵害時には当該計画に従って適切に対処しなければならない。

(緊急時対応計画に盛り込むべき内容)

第104条 前条の緊急時対応計画には、次の事項を定めるものとする。

(1) 関係者の連絡先

(2) 発生した事案に係る報告すべき事項

(3) 発生した事案への対応措置

(4) 再発防止措置の策定

(業務継続計画との整合性確保)

第105条 情報セキュリティ委員会は、自然災害、大規模又は広範囲にわたる疾病等に備えて区が別に策定する業務継続計画と情報セキュリティポリシーとの整合性を確保しなければならない。

(緊急時対応計画の見直し)

第106条 情報セキュリティ委員会は、情報セキュリティを取り巻く状況の変化、組織体制の変動等を考慮し、必要に応じて緊急時対応計画を見直すものとする。

第4節 例外措置

(許可を得た例外措置)

第107条 情報セキュリティ管理者及び情報システム管理者は、情報セキュリティ関係規程を遵守することが困難な状況において、行政事務の適正な遂行を継続するため、遵守事項とは異なる方法を採用すること又は遵守事項を実施しないことについて合理的な理由がある場合は、CISOの許可を得て、例外措置を行うことができる。

(緊急時の例外措置)

第108条 情報セキュリティ管理者及び情報システム管理者は、行政事務の遂行に緊急を要する等の場合に例外措置を行ったときは、事後速やかにCISOに報告しなければならない。

(例外措置の申請書の管理)

第109条 CISOは、例外措置の記録を適切に保管し、定期的に申請状況を確認しなければならない。

第5節 法令遵守

第110条 職員等は、職務の遂行において使用する情報資産を保護するために、次の法令のほか関係法令を遵守し、これに従わなければならない。

(1) 地方公務員法(昭和25年法律第261号)

(2) 著作権法(昭和45年法律第48号)

(3) 不正アクセス行為の禁止等に関する法律

(4) 個人情報の保護に関する法律(平成15年法律第57号)

(5) 行政手続における特定の個人を識別するための番号の利用等に関する法律

(6) サイバーセキュリティ基本法(平成26年法律第104号)

第6節 懲戒処分等

(懲戒処分)

第111条 情報セキュリティポリシーに違反した職員等及びその監督責任者は、その重大性、発生した事案の状況等に応じ、地方公務員法による懲戒処分の対象とする。

(違反時の対応)

第112条 職員等の情報セキュリティポリシーに違反する行動を確認した場合は、次の措置を講じなければならない。

(1) 統括情報セキュリティ責任者が違反を確認した場合は、速やかに当該職員等が所属する課の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

(2) 情報システム管理者等が違反を確認した場合は、速やかに統括情報セキュリティ責任者及び当該職員等が所属する課の情報セキュリティ管理者に通知し、適切な措置を求めなければならない。

(3) 情報セキュリティ管理者の指導によっても違反する行動が改善されない場合は、統括情報セキュリティ責任者は、当該職員等のネットワーク又は情報システムを使用する権利を停止又は剥奪することができる。

(4) 統括情報セキュリティ責任者は、前項の措置を行った場合は、速やかにCISO及び当該職員等が所属する課の情報セキュリティ管理者に措置の内容を通知しなければならない。

第8章 業務委託及び外部サービスの利用

第1節 業務委託

(委託事業者の選定基準)

第113条 情報セキュリティ管理者は、委託事業者の選定に当たり、委託内容に応じた情報セキュリティ対策が確保されることを確認しなければならない。

2 情報セキュリティ管理者は、情報セキュリティマネジメントシステムの国際規格の認証取得状況、情報セキュリティ監査の実施状況等を参考にして委託事業者を選定しなければならない。

(契約項目)

第114条 契約担当者(江東区契約事務規則(昭和39年3月江東区規則第11号)第2条第5号の契約担当者をいう。)又は情報セキュリティ管理者は、情報システムの運用、保守等を業務委託する場合は、委託事業者との間で必要に応じ次の情報セキュリティ要件を明記した契約を締結しなければならない。

(1) 情報セキュリティポリシー及び情報セキュリティ実施手順の遵守

(2) 委託事業者の責任者、委託内容、作業者及び作業場所の特定

(3) 提供されるサービスレベルの保証

(4) 委託事業者にアクセスを許可する情報の種類、範囲及びアクセス方法

(5) 委託事業者の従業員に対する教育の実施

(6) 提供された情報の目的外利用及び委託事業者以外の者への提供の禁止

(7) 業務上知り得た情報の守秘義務

(8) 再委託に関する制限事項の遵守

(9) 委託業務終了時の情報資産の返還、廃棄等

(10) 委託業務の定期報告及び緊急時報告義務

(11) 区による監査又は検査

(12) 区による情報セキュリティインシデント発生時の公表

(13) 情報セキュリティポリシーが遵守されなかった場合の損害賠償等の規定

(確認、措置等)

第115条 情報セキュリティ管理者は、委託事業者において必要なセキュリティ対策が確保されていることを定期的に確認し、セキュリティ対策が確保されていない場合は、前条の契約に基づき措置を実施するとともに、その内容を統括情報セキュリティ責任者に報告し、内容の重要度に応じてCISOに報告しなければならない。

第2節 外部サービスの利用(機密性2以上の情報を取り扱う場合)

(外部サービスの利用に係る規程の整備)

第116条 統括情報セキュリティ責任者は、次の事項を含む外部サービス(機密性2以上の情報を取り扱う場合)の利用に関する規程を整備しなければならない。

(1) 外部サービスを利用可能な業務及び情報システムの範囲並びに情報の取扱いを許可する場所を判断する基準(以下この節において「外部サービス利用判断基準」という。)

(2) 外部サービス提供者(外部サービスを提供する事業者をいう。)の選定基準

(3) 外部サービスの利用申請の許可権限者及び利用手続

(4) 外部サービス管理者(利用状況、ユーザ、ライセンス等の外部サービスに係る管理を行う者をいう。)の指名及び外部サービスの利用状況の管理

(外部サービスの選定)

第117条 情報システム管理者は、取り扱う情報の格付及び取扱制限を踏まえ、外部サービス利用判断基準に従って外部サービスの利用を検討しなければならない。

2 情報システム管理者は、外部サービスで取り扱う情報の格付及び取扱制限を踏まえ、外部サービス提供者の選定基準に従って外部サービス提供者を選定しなければならない。

3 情報システム管理者は、次の内容を含む情報セキュリティ対策を外部サービス提供者の選定条件に含めなければならない。

(1) 外部サービスの利用を通じて区が取り扱う情報の外部サービス提供者における目的外利用の禁止

(2) 外部サービス提供者における情報セキュリティ対策の実施内容及び管理体制

(3) 外部サービスの提供に当たり、外部サービス提供者又はその従業員、再委託先その他の者によって、区の意図しない変更が加えられないための管理体制

(4) 外部サービス提供者の資本関係、役員等の情報並びに外部サービス提供に従事する者の所属、専門性(情報セキュリティに係る資格、研修実績等)、実績及び国籍に関する情報の提供並びに調達仕様書による施設の場所及びリージョンの指定

(5) 情報セキュリティインシデントへの対処方法

(6) 情報セキュリティ対策その他の契約の履行状況の確認方法

(7) 情報セキュリティ対策の履行が不十分な場合の対処方法

4 情報システム管理者は、外部サービスの中断時及び終了時に円滑に業務を移行するための対策を検討し、外部サービス提供者の選定条件に含めなければならない。

5 情報システム管理者は、外部サービスの利用を通じて区が取り扱う情報の格付等を勘案し、必要に応じて次の内容を外部サービス提供者の選定条件に含めなければならない。

(1) 情報セキュリティ監査の受入れ

(2) サービスレベルの保証

6 情報システム管理者は、外部サービスの利用を通じて区が取り扱う情報に対して国内法以外の法令及び規制が適用されるリスクを評価して外部サービス提供者を選定し、必要に応じて区の情報が取り扱われる場所並びに契約に定める準拠法及び裁判管轄を選定条件に含めなければならない。

7 情報システム管理者は、外部サービス提供者がその役務内容を一部再委託する場合は、再委託されることにより生ずる脅威に対して情報セキュリティが十分に確保されるよう、外部サービス提供者の選定条件で求める内容を外部サービス提供者に担保させるとともに、再委託先の情報セキュリティ対策の実施状況を確認するために必要な情報を区に提供し、区の承認を受けるよう、外部サービス提供者の選定条件に含めなければならない。

8 情報システム管理者は、外部サービス利用判断基準及び外部サービス提供者の選定基準に従って再委託の承認の可否を判断しなければならない。

9 情報システム管理者は、取り扱う情報の格付及び取扱制限に応じてセキュリティ要件を定め、外部サービスを選定しなければならない。

10 情報システム管理者は、外部サービスの特性を考慮した上で、外部サービスが提供する部分を含む情報の流通経路全般にわたるセキュリティが適切に確保されるよう、情報の流通経路全般を見渡した形でセキュリティ設計を行った上で、情報セキュリティに関する役割及び責任の範囲を踏まえて、セキュリティ要件を定めなければならない。

11 統括情報セキュリティ責任者は、情報セキュリティ監査による報告書の内容、各種の認定及び認証制度の適用状況等から、外部サービス提供者の信頼性が十分であることを総合的及び客観的に評価し、及び判断しなければならない。

(外部サービスの利用に係る調達及び契約)

第118条 情報システム管理者は、外部サービスを調達するときは、外部サービス提供者の選定基準及び選定条件並びに外部サービスの選定時に定めたセキュリティ要件を調達仕様に含めなければならない。

2 情報セキュリティ管理者は、外部サービスを調達するときは、外部サービス提供者及び外部サービスが調達仕様を満たすことを契約までに確認し、調達仕様の内容を契約に含めなければならない。

(外部サービスの利用承認)

第119条 情報システム管理者は、外部サービスを利用するときは、情報セキュリティ責任者に外部サービスの利用申請を行わなければならない。

2 情報セキュリティ責任者は、前項の利用申請があったときは、その内容を審査し、利用の可否を決定しなければならない。

3 情報セキュリティ責任者は、外部サービスの利用を承認したときは、承認済外部サービスとして記録し、外部サービス管理者を指名しなければならない。

(外部サービスを利用した情報システムの導入及び構築時の対策)

第120条 統括情報セキュリティ責任者は、外部サービスの特性、責任分界点に係る考え方等を踏まえ、外部サービスを利用して情報システムを導入し、又は構築する際におけるセキュリティ要件(次に掲げる事項を含むものとする。)を定めなければならない。

(1) 不正なアクセスを防止するためのアクセス制御

(2) 取り扱う情報の機密性保護のための暗号化

(3) 開発時におけるセキュリティ対策

(4) 設計及び設定時の誤りの防止

2 外部サービス管理者は、前項の規定に基づいて定めるセキュリティ要件について、構築時に実施状況を確認し、及び記録しなければならない。

(外部サービスを利用した情報システムの運用及び保守時の対策)

第121条 統括情報セキュリティ責任者は、外部サービスの特性、責任分界点に係る考え方等を踏まえ、外部サービスを利用して情報システムを運用し、又は保守する際におけるセキュリティ要件(次に掲げる事項を含むものとする。)を定めなければならない。

(1) 外部サービス利用方針の規定

(2) 外部サービス利用に必要な教育

(3) 取り扱う資産の管理

(4) 不正なアクセスを防止するためのアクセス制御

(5) 取り扱う情報の機密性保護のための暗号化

(6) 外部サービス内の通信の制御

(7) 設計及び設定時の誤りの防止

(8) 外部サービスを利用した情報システムの事業継続

2 情報セキュリティ管理者は、外部サービスの特性、責任分界点に係る考え方等を踏まえ、外部サービスで発生したインシデントを認知した際の対処手順を整備しなければならない。

3 外部サービス管理者は、第1項の規定に基づいて定めるセキュリティ要件及び前項の規定に基づいて定める対処手順について、運用及び保守時に実施状況を定期的に確認し、及び記録しなければならない。

(外部サービスを利用した情報システムの更改及び廃棄時の対策)

第122条 統括情報セキュリティ責任者は、外部サービスの特性、責任分界点に係る考え方等を踏まえ、外部サービスの利用を終了する際のセキュリティ要件(次に掲げる事項を含むものとする。)を定めなければならない。

(1) 外部サービスの利用終了時における対策

(2) 外部サービスで取り扱った情報の廃棄

(3) 外部サービスの利用のために作成したアカウントの廃棄

2 外部サービス管理者は、前項の規定に基づいて定めるセキュリティ要件について、外部サービスの利用終了時に実施状況を確認し、及び記録しなければならない。

第3節 外部サービスの利用(機密性2以上の情報を取り扱わない場合)

(外部サービスの利用に係る規程の整備)

第123条 統括情報セキュリティ責任者は、次の事項を含む外部サービス(機密性2以上の情報を取り扱わない場合)の利用に関する規程を整備しなければならない。

(1) 外部サービスを利用可能な業務の範囲

(2) 外部サービスの利用申請の許可権限者及び利用手続

(3) 外部サービス管理者の指名及び外部サービス利用状況の管理

(4) 外部サービスの利用の運用手順

(外部サービスの利用における対策の実施)

第124条 情報システム管理者は、利用するサービスの約款その他の提供条件等から、利用に当たってのリスクが許容できることを確認した上で情報セキュリティ責任者へ外部サービスの利用を申請しなければならない。

2 承認時に指名された外部サービス管理者は、当該外部サービスの利用において適切な措置を講じなければならない。

3 情報セキュリティ責任者は、情報システム管理者による外部サービスの利用申請を審査し、利用の可否を決定しなければならない。

4 情報セキュリティ責任者は、承認した外部サービスを記録しなければならない。

第9章 評価及び見直し

第1節 監査

(監査の実施方法)

第125条 CISOは、情報セキュリティ監査統括責任者を指名し、ネットワーク及び情報システム等の情報資産における情報セキュリティ対策状況について、毎年度及び必要に応じて監査を行わせなければならない。

(監査を行う者の要件)

第126条 情報セキュリティ監査統括責任者は、監査を実施する場合は、被監査部門から独立した者に対して、監査の実施を依頼しなければならない。

2 監査を行う者は、監査及び情報セキュリティに関する専門知識を有する者でなければならない。

(監査実施計画の立案及び実施への協力)

第127条 情報セキュリティ監査統括責任者は、監査を行うに当たって、監査実施計画を立案し、情報セキュリティ委員会の承認を得なければならない。

2 被監査部門は、監査の実施に協力しなければならない。

(委託事業者に対する監査)

第128条 情報セキュリティ監査統括責任者は、事業者に業務委託を行っている場合は、委託事業者(再委託事業者を含む。)に対して、情報セキュリティポリシーの遵守について定期的に、又は必要に応じて監査を行わなければならない。

(報告)

第129条 情報セキュリティ監査統括責任者は、監査結果を取りまとめ、情報セキュリティ委員会に報告する。

(保管)

第130条 情報セキュリティ監査統括責任者は、監査の実施を通じて収集した監査証拠及び監査報告書の作成のための監査調書を、紛失等が発生しないように適切に保管しなければならない。

(監査結果への対応)

第131条 CISOは、監査結果を踏まえ、指摘事項を所管する情報セキュリティ管理者に対し、当該事項への対応を指示するとともに、指摘事項を所管していない情報セキュリティ管理者に対し、同種の課題又は問題点がある可能性が高い場合は、当該課題又は問題点の有無を確認させなければならない。

2 CISOは、監査結果を踏まえ、庁内で横断的に改善が必要な事項については、統括情報セキュリティ責任者に対し、当該事項への対処を指示しなければならない。

(情報セキュリティポリシー及び関係規程等の見直し等への活用)

第132条 情報セキュリティ委員会は、監査結果を情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直し時に活用するものとする。

第2節 自主点検

(自主点検の実施方法)

第133条 統括情報セキュリティ責任者及び情報システム管理者は、所管するネットワーク及び情報システムについて、毎年度及び必要に応じて自主点検を実施しなければならない。

2 情報セキュリティ責任者は、情報セキュリティ管理者と連携して、所管する課における情報セキュリティポリシーに沿った情報セキュリティ対策状況について、毎年度及び必要に応じて自主点検を行わなければならない。

(報告)

第134条 統括情報セキュリティ責任者、情報システム管理者及び情報セキュリティ責任者は、自主点検結果及び自主点検結果に基づく改善策を取りまとめ、情報セキュリティ委員会に報告しなければならない。

(自主点検結果の活用)

第135条 職員等は、自主点検の結果に基づき、自己の権限の範囲内で改善を図らなければならない。

2 情報セキュリティ委員会は、点検結果を情報セキュリティポリシー及び関係規程等の見直しその他情報セキュリティ対策の見直し時に活用しなければならない。

第3節 情報セキュリティポリシー及び関係規程等の見直し

(評価及び改善等)

第136条 情報セキュリティ委員会は、情報セキュリティ監査及び自主点検の結果並びに情報セキュリティに関する社会状況の変化等を踏まえ、情報セキュリティポリシー及び関係規程等について毎年度及び重大な変化が発生した場合に評価を行い、必要があると認める場合は、改善を行うものとする。

第10章 情報システム全体の強靭性の向上

第1節 マイナンバー利用事務系

(マイナンバー利用事務系と他の領域との分離)

第137条 情報セキュリティ責任者及び情報セキュリティ管理者は、マイナンバー利用事務系と他の領域との間で通信できないようにしなければならない。

2 前項の規定にかかわらず、情報セキュリティ責任者及び情報セキュリティ管理者は、必要な場合に限り、MACアドレス(機器識別番号)、IPアドレス及びポート番号のレベルで通信経路の限定を行うことにより、マイナンバー利用事務系と外部との通信をすることができる。

3 情報セキュリティ責任者及び情報セキュリティ管理者は、前項の規定により外部との通信をする場合は、インターネット等に接続した外部の接続先に接続してはならない。ただし、国等の公的機関が構築したシステム等の十分に安全性が確保された外部の接続先については、この限りでない。

4 情報セキュリティ責任者及び情報セキュリティ管理者は、前項ただし書の規定により外部の接続先との通信を行うときに限り、インターネット等とLGWANを経由してマイナンバー利用事務系との双方向でのデータの移送を行うことができる。

(情報の持ち出しにおける対策)

第138条 情報セキュリティ責任者及び情報セキュリティ管理者は、原則として、USBメモリ等の電磁的記録媒体による端末からの情報持ち出しができないように設定しなければならない。

第2節 LGWAN接続系

(LGWAN接続系とインターネット接続系との分離)

第139条 情報セキュリティ責任者は、通信経路の分割を行った上で、必要な通信だけを許可できるようにしなければならない。ただし、メール、データ等をLGWAN接続系に取り込む場合は、次の方式により、無害化通信を図らなければならない。

(1) インターネット接続系で受信したインターネットメールの本文のみをLGWAN接続系に転送するメールテキスト化方式

(2) インターネット接続系の端末から、LGWAN接続系の端末へ画面を転送する方式

(3) 危険因子をファイルから除去し、又は危険因子がファイルに含まれていないことを確認し、インターネット接続系から取り込む方式

第3節 インターネット接続系

(インターネット接続系の監視)

第140条 情報セキュリティ責任者及び情報セキュリティ管理者は、インターネット接続系において、通信パケットの監視、振る舞い検知等の不正通信の監視機能の強化により、情報セキュリティインシデントの早期発見及び対処並びにLGWANへの不適切なアクセス等の監視等の情報セキュリティ対策を講じなければならない。

2 情報セキュリティ責任者及び情報セキュリティ管理者は、都道府県及び区市町村のインターネットとの通信を集約する自治体情報セキュリティクラウドに参加するとともに、関係省庁、東京都等と連携しながら、情報セキュリティ対策を推進しなければならない。

この規程は、令和3年1月1日から施行する。

この規程は、令和4年4月1日から施行する。

この規程は、令和5年4月1日から施行する。

江東区情報セキュリティ対策基準

平成28年2月5日 江政情第861号

(令和5年4月1日施行)

体系情報
第1編 区政の基本/第2章 開かれた区政
沿革情報
平成28年2月5日 江政情第861号
平成31年4月1日 江政情第246号
令和2年2月18日 江政情第1595号
令和2年12月16日 江政情第1330号
令和4年3月30日 江政情第2133号
令和4年12月26日 江政情第1380号
令和5年2月10日 江政情第1572号