ホーム > 市政情報 > 情報政策 > 情報セキュリティ基本方針

  • たがはぴdays

ここから本文です。

更新日:2023年3月23日

情報セキュリティ基本方針

印刷してご覧になりたい方は、情報セキュリティ基本方針(PDF:206KB)をご利用ください。

目次

  1. はじめに
  2. 情報セキュリティ基本方針
  3. 情報セキュリティに関する統一的な窓口の連絡先(PoC)について

はじめに

本市では、効率的で質の高い行政サービスを提供するため、各種業務の情報システム化を進めてきており、多くの情報を電子的な情報として管理している。
また、行政サービスのオンライン化に向けた取組により、情報の電子的な管理と情報通信ネットワークを活用した情報システムの導入は、今後さらに進展するものと予想される。
情報の電子的な管理と業務の情報システム化の進展は、事務処理の迅速化および効率化をもたらす反面、容易に大量の情報を記録し、または複製し、持ち出すことが可能となるほか、瞬時に破壊し、または消去することができるなど、セキュリティ面での脆弱さも併せ持っている。

本市の情報資産には、市民の個人情報や行政運営上重要な情報など、外部に漏えいした場合に極めて重大な結果を招くおそれのあるものが多く存在する。これらの情報資産を人的脅威、災害その他の様々な脅威から防御することは、市民の財産、プライバシーなどを守るため、また、行政事務の安定的な運営のために必要不可欠であり、ひいては、本市の行政に対する市民からの信頼の維持向上に結びつくものである。

このため、多賀城市情報セキュリティに関する規程(平成26年3月18日訓令第5号。以下「規程」という。)第3条の規定に基づき、ここに多賀城市情報セキュリティポリシー(以下「ポリシー」という。)を策定するものである。
なお、ポリシーは、情報セキュリティに関する統一的かつ基本的な取組姿勢を示す「情報セキュリティ基本方針」と、情報セキュリティを実施するための基本的な遵守事項、判断基準などを示す「情報セキュリティ対策基準」により構成する。

情報セキュリティ基本方針

1

情報セキュリティ基本方針は、多賀城市情報セキュリティに関する規程に基づき、情報セキュリティに関する統一的かつ基本的な取組姿勢を定めるものとする。

2

このポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

(1)職員

多賀城市個人情報の保護に関する法律施行条例(令和5年多賀城市条例第1号)第2条第2項に規定する実施機関等の職員(多賀城市立学校の設置に関する条例(昭和39年多賀城市条例第10号)第2条に規定する小学校および中学校に勤務する職員を除く。)をいう。

(2)委託事業者

情報資産の取扱いを委託された事業者(公の施設の管理を行う指定管理者および市営住宅の管理を行う管理代行者を含む。)をいう。

(3)マイナンバー利用事務系(個人番号利用事務系)

個人番号利用事務(社会保障、地方税若しくは防災に関する事務)または戸籍事務などに関わる情報システムおよびデータをいう。

(4)LGWAN接続系

LGWANに接続された情報システムおよびその情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。

(5)インターネット接続系

インターネットメール、ホームページ管理システムなどに関わるインターネットに接続された情報システムおよびその情報システムで取り扱うデータをいう。

(6)通信経路の分割

LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。

(7)無害化通信

インターネットメール本文のテキスト化や端末への画面転送などにより、コンピュータウイルスなどの不正プログラムの付着が無いなど、安全が確保された通信をいう。

3象とする脅威

情報資産に対する脅威として、以下の事項を想定する。

  1. 不正アクセス、ウイルス攻撃、サービス不能攻撃その他のサイバー攻撃、部外者の侵入、内部不正その他の意図的な要因による情報資産の漏えい、破壊、改ざん、消去、詐取など
  2. 情報資産の無断持ち出し、無許可ソフトウェアの使用などの規定違反、情報システムの設計・開発の不備、プログラムの欠陥、操作・設定ミスおよびメンテナンスの不備、委託管理の不備、機器故障その他の非意図的要因による情報資産の漏えい、破壊、消去など
  3. 地震、落雷、火災その他の災害によるサービスおよび業務の停止など
  4. 大規模・広範囲にわたる疾病による要員不足に伴うシステム運用の機能不全など
  5. 電力供給の途絶、通信の途絶その他の提供サービスの障害からの波及など

4用範囲

ポリシーの適用範囲は、次のとおりとする。

(1)情報資産の範囲

ポリシーが適用される情報資産は、全ての情報資産とする。

(2)対象者の範囲

ポリシーが適用される対象者は、職員および会計年度任用職員(以下「職員など」という。)とする。

5報セキュリティ対策

3の脅威から情報資産を保護するために、次の情報セキュリティ対策を講じる。

(1)情報セキュリティ管理体制の構築

情報セキュリティ対策を推進するため、情報セキュリティに係る責任および権限を明確にした管理体制を構築する。

(2)情報資産の分類と管理

情報資産を性格や内容によって分類し、当該分類に基づき管理を行う。

(3)情報システム全体の強靭性の向上

情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。

  1. マイナンバー利用事務系においては、原則として、他の領域との通信をできないようにした上で、端末からの情報持ち出し不可設定や端末への多要素認証の導入などにより、住民情報の流出を防ぐ。
  2. LGWAN接続系においては、LGWANと接続する業務用システムと、インターネット接続系の情報システムとの通信経路を分割する。なお、両システム間で通信する場合には、無害化通信を実施する。
  3. インターネット接続系においては、不正通信の監視機能の強化などの高度な情報セキュリティ対策を実施する。高度な情報セキュリティ対策として、都道府県および市区町村のインターネットとの通信を集約した上で、自治体情報セキュリティクラウドの導入などを実施する。

(4)物理的セキュリティ対策

サーバ室その他の管理が必要な区域の入退室および情報システムの管理について、物理的対策を講じる。

(5)人的セキュリティ対策

情報セキュリティに関し、職員などが遵守すべき事項を定めるとともに、ポリシーの周知徹底を図るため、十分な教育および啓発を行うなどの人的対策を講じる。

(6)技術的セキュリティ対策

コンピュータなどの管理、アクセス制御、コンピュータウイルス対策、不正プログラム対策、不正アクセス対策その他の技術的対策を講じる。

(7)運用

情報システムの監視、ポリシーの遵守状況の確認、セキュリティ侵害が発生した場合の対応に係る計画の策定その他のポリシーの運用面の対策を講じる。

(8)業務委託と外部サービスの利用

業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
外部サービスを利用する場合には、利用に係る規定を整備し対策を講じる。
ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。

(9)評価・見直し

ポリシーの遵守状況を検証するため、定期的に、または必要に応じて情報セキュリティ監査および自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。この場合において、ポリシーの見直しが必要な場合は、適宜見直しを行う。

6報セキュリティ監査および自己点検の実施

情報セキュリティポリシーの遵守状況を検証するため、定期的または必要に応じて情報セキュリティ監査および自己点検を実施する。

7報セキュリティ対策基準の策定

5および6に規定する対策などを実施するために、具体的な遵守事項および判断基準などを定めた情報セキュリティ対策基準を策定する。

8報セキュリティ実施手順の策定

情報システムを所管する部などまたは課などは、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を情報システムごとに策定する。
なお、情報セキュリティ対策基準および情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼすおそれがあることから、非公開とする。

9賀城市行政経営会議との関係

情報セキュリティの運用および管理を統一的な視点で行うため、情報セキュリティに関する重要な事項は、多賀城市行政経営会議に諮るものとする。

情報セキュリティに関する統一的な窓口の連絡先(PoC)について

当市では、情報セキュリティに関するインシデント発生の情報を受け付ける統一的な窓口としてPoC(Point of Contact)を設置しております。下記のような事例にお気づきの際はPoCまでご連絡ください(PoCは、情報セキュリティインシデントに迅速かつ適切に対応するために当市に設置した多賀城市CSIRT(シーサート、Computer Security Incident Response Team)が運用しています。)。

受け付ける情報の例

  1. 当市の情報システムの不具合や停止などに関する情報
  2. 当市に対するサイバー攻撃に関する情報
  3. 当市における重要な情報資産(住民の個人情報や重要な行政情報など)の流出や漏えい、改ざんなどに関する情報

PoCへの連絡

PoC 多賀城市CSIRT(企画経営部企画課ICT推進室)
所在地 宮城県多賀城市中央2丁目1-1
対応時間 平日8時30分~17時15分
電話番号 022-368-1141
連絡先 情報セキュリティに関する通報窓口(PoC)へのお問い合わせ(外部サイトへリンク)からご連絡ください。

 

 

 

 

 

 

 

よくある質問

Adobe Acrobat Readerのダウンロードページへ

PDF形式のファイルをご覧いただく場合には、Adobe Acrobat Readerが必要です。Adobe Acrobat Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。

お問い合わせ

企画経営部企画課ICT推進室 

〒985-8531 宮城県多賀城市中央二丁目1番1号

電話番号:022-368-2160

ファクス:022-368-2369

より良いウェブサイトにするためにみなさまのご意見をお聞かせください

このページの情報は役に立ちましたか?

このページの情報は見つけやすかったですか?

ページの先頭へ戻る