情報システムの高度化及びネットワーク化の進展とともに、情報の改ざん又は破壊を目的とした不正アクセス、コンピュータウィルス等の脅威(以下単に「脅威」という。)が増大していることから、情報を保護し、情報システムの安全性を確保するためのセキュリティ対策の必要性が一層高まっている。

江東区(以下「区」という。)の取り扱う情報資産には、区民の個人情報をはじめ行政運営上重要な情報等、外部に漏えい等した場合に極めて重大な結果を招く情報が多数含まれている。

この基本方針は、区の個人情報をはじめとする情報資産の機密性、完全性及び可用性を維持するための対策について定めることにより、情報セキュリティの確保に最大限取り組む体制を整備することを目的とする。

2　用語の定義

この基本方針において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)　電子計算機　ハードウェア及びソフトウェアで構成するコンピュータ及び周辺機器をいう。

(2)　電磁的記憶媒体　電子計算機に使用される磁気ディスク、磁気テープ、フロッピーディスク等をいう。

(3)　ネットワーク　コンピュータ相互接続のための通信網及びその構成機器(ハードウェア及びソフトウェア)をいう。

(4)　情報システム　電子計算機、ネットワーク及び電磁的記録媒体で構成される情報処理に用いる仕組みをいう。

(5)　情報資産　情報システム及び情報システムで取り扱う全ての情報をいう。

(6)　機密性　情報にアクセスすることを認められた者だけが、情報にアクセスできる状態を確保することをいう。

(7)　完全性　情報が破壊、改ざん又は消去されていない状態を確保することをいう。

(8)　可用性　情報にアクセスすることを認められた者だけが、必要なときに中断されることなく、情報にアクセスできる状態を確保することをいう。

(9)　情報セキュリティ　情報資産の機密性、完全性及び可用性を維持することをいう。

(10)　情報セキュリティポリシー　本方針及び江東区情報セキュリティ対策基準(平成28年2月5日27江政情第861号)をいう。

3　適用範囲

この基本方針は、区の全ての情報資産並びに情報資産に接する全ての職員、非常勤職員及び会計年度任用職員(以下これらを「職員等」という。)に適用する。

4　情報資産への脅威

情報資産に対して想定される脅威は、その発生度合や発生した場合の影響を考慮するものとし、次のとおりとする。

(1)　不正アクセス、ウイルス攻撃、サービス不能攻撃等のサイバー攻撃、部外者の侵入等の意図的な要因による情報資産の漏えい、破壊、改ざん及び消去、重要情報の詐取、内部不正等

(2)　情報資産の無断持ち出し、無許可ソフトウェアの使用等の規程違反、設計又は開発の不備、プログラム上の欠陥、操作又は設定ミス、メンテナンス不備、内部及び外部監査機能の不備、委託管理の不備、マネジメントの欠陥、機器故障等の非意図的要因による情報資産の漏えい、破壊及び消去等

(3)　地震、落雷、火災、水害等の災害又は事故、故障等による業務の停止

(4)　大規模かつ広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全等

(5)　電力供給、通信、水道供給等の途絶等のインフラの障害からの波及等

5　情報セキュリティ対策基準の策定

情報セキュリティ対策を講ずるに当たって、必要な基本要件を定めた情報セキュリティ対策基準を策定するものとする。

6　情報セキュリティ実施手順の策定

個々の情報資産の情報セキュリティ対策を実施するため、江東区情報セキュリティ対策基準に基づき、情報セキュリティ実施手順を策定するものとする。

7　職員等の遵守義務

職員等は、情報セキュリティの重要性について共通の認識を持ち、業務の遂行に当たって関係法令、情報セキュリティポリシー及び情報セキュリティ実施手順を遵守しなければならない。

8　情報セキュリティ対策

区は、情報資産を脅威から保護するため、次に定めるところにより情報セキュリティ対策を講ずるものとする。

(1)　組織体制　区の情報資産について、情報セキュリティ対策を推進する全庁的な組織体制を確立する。

(2)　情報資産の分類及び管理　区の保有する情報資産を機密性、完全性及び可用性に応じて分類し、当該分類に基づき情報セキュリティ対策を実施する。

(3)　情報システム全体の強靭性の向上　情報セキュリティの強化を目的とし、業務の効率性及び利便性の観点を踏まえ、情報システム全体に対し、次に定めるところにより対策を講ずる。

ア　マイナンバー利用事務系(個人番号利用事務(社会保障、地方税又は防災に係る事務)、戸籍事務等に係る情報システム及びデータをいう。)においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定、端末への多要素認証の導入等により、区民情報の流出を防ぐ。

イ　LGWAN接続系(LGWANに接続された情報システム及び当該情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。)においては、LGWANと接続する業務用システムとインターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。

ウ　インターネット接続系(インターネットメール、ホームページ管理システム等に係るインターネットに接続された情報システム及び当該情報システムで取り扱うデータをいう。)においては、不正通信の監視機能の強化等の高度な情報セキュリティ対策を実施する。また、高度な情報セキュリティ対策として、区のインターネットとの通信を集約した上で、自治体情報セキュリティクラウドの利用等を実施する。

(4)　物理的セキュリティ対策　情報システムを設置する施設への不正な立入り、通信回線の遮断及び情報資産への損傷、盗難等から保護するために、施設整備等の物理的な対策を講ずる。

(5)　人的セキュリティ対策　情報セキュリティに関する権限及び責任を定めるとともに、職員に情報セキュリティポリシーを周知徹底するための教育を実施する等の必要な対策を講ずる。

(6)　技術的セキュリティ対策　情報資産を不正なアクセス等から適切に保護するために、情報資産へのアクセス制御、コンピュータウィルス対策ソフトの導入等の技術面における対策を講ずる。

(7)　運用における対策　不正なアクセス等から情報セキュリティが侵害されることを防ぐため、情報システムの監視、情報セキュリティポリシーの遵守状況の確認、業務委託を行う際のセキュリティ確保等の情報セキュリティポリシーの運用面における対策を講ずる。また、情報資産に対するセキュリティ侵害が発生した場合等に迅速かつ適正に対応するため、緊急時対応計画を策定し、危機管理対策を講ずる。

(8)　外部サービスを利用する場合における対策　外部サービスの利用に係る規程を整備し、対策を講ずる。

(9)　ソーシャルメディアサービスを利用する場合における対策　ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。

(10)　業務委託　業務委託を行う場合は、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講ずる。

9　情報セキュリティ委員会

この基本方針の遵守を促進するとともに、情報セキュリティに関する事項について調査検討を行うため、情報セキュリティ委員会を設置する。委員会の構成及び運営は、江東区電子自治体推進委員会設置要綱(平成27年8月21日27江政情第546号)に規定する江東区電子自治体推進委員会において定めるものとする。

10　情報セキュリティ監査及び自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的又は必要に応じて情報セキュリティ監査及び自己点検を実施し、運用改善を行い、情報セキュリティの向上を図るものとする。

11　情報セキュリティポリシーの見直し

情報セキュリティ監査の結果等により、情報セキュリティポリシーの見直しが必要になった場合及び情報システムの変更、新たな脅威の発生等の状況の変化に迅速かつ的確に対応するために対策が必要になった場合は、必要に応じて情報セキュリティポリシーの見直しを実施する。