○鳥取県西部広域行政管理組合情報システム管理運営規程
平成22年1月20日
訓令第1号
目次
第1章 総則(第1条・第2条)
第2章 組織体制(第3条―第9条)
第3章 情報システム運用委員会等(第10条―第15条)
第4章 情報資産の管理及び運用(第16条―第20条)
第5章 保有個人情報等の取扱い(第21条―第24条)
第6章 事故等の対応(第25条―第27条)
第7章 雑則(第28条・第29条)
附則
第1章 総則
(趣旨)
第1条 この訓令は,情報システム並びにデータの適正な管理及び運営に関し必要な事項を定めるものとする。
(1) 情報システム 電子情報処理装置(ハードウェア及びソフトウェアをいう。),ネットワーク及び記録媒体で構成され,電子情報処理又は通信に用いる仕組みをいう。
(2) データ 情報システムにより処理及び通信される情報並びに記録媒体に記録された情報をいう。
(3) 情報資産 情報システム及びデータをいう。
(4) 情報セキュリティ 情報資産の機密性,完全性及び可用性を維持することをいう。
(5) 保有個人情報等 鳥取県西部広域行政管理組合個人情報保護条例(平成13年鳥取県西部広域行政管理組合条例第2号)第2条第2号に規定する情報及び総括情報責任者が特に適正に管理する必要があると認める情報をいう。
(6) 課等 事務局の課(会計室を含む。),消防局の課及び署をいう。
第2章 組織体制
(1) 総括情報責任者 事務局長
(2) 副総括情報責任者 消防局長
(3) 情報管理者 課等の長
(4) 情報管理主任者 情報管理者が指名する者
(5) システム管理者 消防局指令課長
(6) システム主任者 情報管理者が指名する者
(総括情報責任者)
第4条 総括情報責任者は,すべての情報資産の管理及び運用に関し総括する権限及び責任を有する。
2 総括情報責任者は,事務局において,情報資産の管理及び運用に関する権限及び責任を有し,当該局内の情報管理者を指導し,及び監督する。
3 総括情報責任者は,職員に対し情報資産の利用を制限し,又は禁止することができる。
4 総括情報責任者は,情報資産の利用について,制約事項を定めることができる。
5 総括情報責任者は,情報資産の円滑な管理及び運用を図るため必要があると認められるときは,利用状況等を調査することができる。
(副総括情報責任者)
第5条 副総括情報責任者は,総括情報責任者を補佐し,及び総括情報責任者に事故があるとき,又は総括情報責任者が欠けたときは,その職務を代理する。
2 副総括情報責任者は,消防局において,情報資産の管理及び運用に関する権限及び責任を有し,当該局内の情報管理者を指導し,及び監督する。
(情報管理者)
第6条 情報管理者は,所属する課等(以下「所属所」という。)において,情報資産の管理及び運用に関する権限及び責任を有し,所属所内の情報管理主任者を指導し,及び監督する。
(情報管理主任者)
第7条 情報管理主任者は,所属所において,情報資産を利用する職員の指導及び監督を行うとともに,情報システム端末(以下「端末」という。)の管理を行う。
2 情報管理主任者は,情報管理者が所属所内の職員から指名するものとし,その人数は当該所属所の情報管理者が定めるものとする。
(システム管理者)
第8条 システム管理者は,情報システムの基幹的なサーバ等(以下「サーバ等」という。)の機器の維持管理及び安全対策並びにアクセス管理に関する権限及び責任を有し,システム主任者を指導し,及び監督する。
(システム主任者)
第9条 システム主任者は,所属所において,端末の設定,情報システムへの接続及び端末の故障時の対応に関する事務を行う。
2 システム主任者は,情報管理者が所属所内の職員から指名するものとし,その人数は当該所属所の情報管理者が定めるものとする。
3 情報管理者は,前項の規定によりシステム主任者を指名したときは,その旨を速やかにシステム管理者に報告しなければならない。
第3章 情報システム運用委員会等
(情報システム運用委員会の設置)
第10条 情報資産の適正な管理及び運用を図るため,情報システム運用委員会(以下「委員会」という。)を置く。
(所掌事項)
第11条 委員会は,次に掲げる事項について審議し,決定する。
(1) 端末の維持管理に関する重要なこと。
(2) 新たな情報システムの導入又は既存情報システムの変更,更新若しくは廃止(以下「情報システムの導入等」という。)に関すること。
(3) 情報資産の情報セキュリティ対策に関する重要なこと。
(4) 前3号に掲げるもののほか,情報資産の管理及び運用に係る重要な事項に関すること。
(組織)
第12条 委員会は,委員長,副委員長及び委員をもって組織する。
2 委員長は,総括情報責任者をもって充て,副委員長は,副総括情報責任者をもって充てる。
3 委員は,次に掲げる者をもって充てる。
(1) 情報管理者のうち各局の総務課長の職にある者
(2) システム管理者
4 委員長は,委員会を代表し,その会務を総理する。
5 副委員長は,委員長に事故があるとき,又は委員長が欠けたときは,その職務を代理する。
(運営)
第13条 委員会は,委員長が招集する。
2 委員長は,必要があると認めるときは,関係者の出席を求め,その意見又は説明を聴くことができる。
2 検討会は,会長及び委員をもって組織する。
3 会長は,情報管理者のうち事務局総務課長の職にある者をもって充て,委員は,システム管理者及びシステム主任者のうちからシステム管理者が指名した者をもって充てる。
4 検討会は,会長が招集する。
5 会長は,必要があると認めるときは,関係者の出席を求め,その意見又は説明を聴くことができる。
(庶務)
第15条 委員会及び検討会の庶務は,事務局総務課において処理する。
第4章 情報資産の管理及び運用
(情報システム室等の管理)
第16条 システム管理者は,サーバ等の機器を設置する室等(以下この条において「情報システム室等」という。)に入室する権限を有する職員を定めるとともに,用件の確認,入退室の記録,部外者についての識別化,部外者が入室する場合の職員の立会い等の措置を講じなければならない。
2 システム管理者は,機器の定期保守,修理等必要と認めるときは,職員以外の者を立ち入らせることができる。
3 システム管理者は,外部からの不正な侵入に備え,情報システム室等の監視体制を整備しなければならない。
4 システム管理者は,地震,落雷,火災等の災害(次条において「災害等」という。)に備え,情報システム室等に耐震,防火,防炎,防水等の必要な措置を講ずるとともに,サーバ等の機器の予備電源の確保,配線の損傷防止等の措置を講じなければならない。
(情報セキュリティ対策の実施)
第17条 情報管理者は,次に掲げる脅威を想定し,必要な情報セキュリティ対策を講じなければならない。
(1) 部外者の進入,不正アクセス,ウイルス攻撃等の意図的な要因による情報資産の漏えい,破壊,改ざん,消去等
(2) 情報資産の無断持出し,無許可ソフトウェアの使用等の規定違反,プログラム上の欠陥,操作ミス,故障等の非意図的要因による情報資産の漏えい,破壊,消去等
(3) 災害等による業務の停止等
(情報システムの導入等)
第18条 情報システムの導入等を行おうとするときは,情報管理者は,所属する局の総務課長の職にある情報管理者(以下この条において「局情報管理者」という。)に申請しなければならない。
2 局情報管理者は,前項の規定による申請があったときは,必要性,費用,効果,情報セキュリティ対策,代替手段等の有無に関する資料を徴し,その可否について委員会に付議しなければならない。
3 局情報管理者は,前項の規定により付議した案件について可否の決定があったときは,速やかにその結果を当該申請を行った情報管理者に通知しなければならない。
(職員の責務)
第19条 職員は,情報セキュリティの重要性について認識し,情報資産を適切に取り扱わなければならない。
2 職員は,職員以外の者に端末を使用され,又はデータを使用され,若しくは閲覧されることがないよう適切な措置を講じなければならない。
3 職員は,業務上の目的以外の目的で,インターネットにアクセスしてはならない。
4 パスワードを付与されている職員は,これを適正に管理しなければならない。
5 職員は,情報管理者が必要と認めるときを除き,端末を外部へ持ち出し,又は外部から持ち込んではならない。
(業務の委託)
第20条 情報システムの開発,保守管理及び事務処理に係る業務を外部に委託する場合は,次に掲げる事項を契約書に明記するとともに,委託先における責任者等の管理体制,個人情報の管理状況についての検査に関する事項等の必要な事項について書面で確認しなければならない。
(1) 情報資産に関する秘密保持等の義務
(2) 再委託等の制限又は条件に関する事項
(3) データの複製等の制限に関する事項
(4) データの漏えい等の事案の発生時における対応に関する事項
(5) 委託終了時におけるデータの消去及び記録媒体の返却に関する事項
(6) 違反した場合における契約解除の措置その他必要な事項
第5章 保有個人情報等の取扱い
(アクセス制限)
第21条 情報管理者は,保有個人情報等の秘匿性等その内容に応じて,当該保有個人情報等にアクセスする権限(以下この条において「アクセス権限」という。)を有する者をその利用目的を達成するための必要最小限の職員に限定しなければならない。
2 アクセス権限を有しない職員は,保有個人情報等にアクセスしてはならない。
3 職員は,アクセス権限を有する場合であっても,業務上の目的以外の目的で保有個人情報等にアクセスしてはならない。
(複製等の制限)
第22条 職員は,業務上の目的で保有個人情報等を取り扱う場合であっても,次に掲げる行為については,情報管理者の指示に従わなければならない。
(1) 保有個人情報等の複製
(2) 保有個人情報等の送信
(3) 保有個人情報等が記録されている記録媒体の外部への送付又は持出し
(4) 前3号に掲げるもののほか,保有個人情報等の適切な管理に支障を及ぼすおそれのある行為
(記録媒体の管理)
第23条 職員は,情報管理者の指示に従い,保有個人情報等が記録されている記録媒体を定められた場所で管理するとともに,必要があると認めるときは,耐火金庫への保管,施錠等を行わなければならない。
(廃棄等)
第24条 職員は,保有個人情報等が記録されている記録媒体が不要となった場合には,情報管理者の指示に従い,当該保有個人情報等の復元又は判読が不可能な方法により,当該情報の消去又は当該媒体の廃棄を行わなければならない。
第6章 事故等の対応
(事故発生時の対策)
第25条 情報管理者は,所属所の情報システムに関連する機器の事故,システム上の欠陥及び誤動作又は情報セキュリティに関する事故(次項において「事故等」という。)の発生時に備えて,連絡網の作成及び緊急時対応計画等必要な措置を講ずるとともに,その内容を職員及び受託事業者に徹底しなければならない。
2 情報管理者は,所属所の情報システムに関連する事故等が発生したときは,当該事故等の経緯及び被害状況を調査し,復旧のための措置及び再発防止の対策を講ずるとともに,総括情報責任者に報告しなければならない。
2 情報管理者は,被害の拡大防止又は復旧等のために必要な措置を講じなければならない。
3 情報管理者は,事案の発生した経緯,被害状況等を調査し,総括情報責任者に報告しなければならない。ただし,特に重大と認める事案が発生した場合には,直ちに総括情報責任者に当該事案の事実内容について報告しなければならない。
4 総括情報責任者は,前項の規定に基づく報告を受けた場合は,当該事案の内容,経緯,被害状況等を管理者に速やかに報告しなければならない。
5 情報管理者は,当該事案の発生した原因を分析し,再発防止のために必要な措置を講じなければならない。
(公表等)
第27条 総括情報責任者は,事案の内容,影響等に応じて,事実関係及び再発防止策の公表等の措置を講ずるものとする。
第7章 雑則
(管理体制の見直し)
第28条 管理者は,必要に応じて情報システムの管理体制の見直しを行うものとする。
(委任)
第29条 この訓令に定めるもののほか,必要な事項は総括情報責任者が別に定める。
附則
(施行期日)
1 この訓令は,平成22年4月1日から施行する。
(鳥取県西部広域行政管理組合ネットワーク管理運用規程の廃止)
2 鳥取県西部広域行政管理組合ネットワーク管理運用規程(平成18年6月鳥取県西部広域行政管理組合訓令第1号)は,廃止する。