ここから本文です。
更新日:2023年3月23日
印刷してご覧になりたい方は、情報セキュリティ基本方針(PDF:206KB)をご利用ください。
本市では、効率的で質の高い行政サービスを提供するため、各種業務の情報システム化を進めてきており、多くの情報を電子的な情報として管理している。
また、行政サービスのオンライン化に向けた取組により、情報の電子的な管理と情報通信ネットワークを活用した情報システムの導入は、今後さらに進展するものと予想される。
情報の電子的な管理と業務の情報システム化の進展は、事務処理の迅速化および効率化をもたらす反面、容易に大量の情報を記録し、または複製し、持ち出すことが可能となるほか、瞬時に破壊し、または消去することができるなど、セキュリティ面での脆弱さも併せ持っている。
本市の情報資産には、市民の個人情報や行政運営上重要な情報など、外部に漏えいした場合に極めて重大な結果を招くおそれのあるものが多く存在する。これらの情報資産を人的脅威、災害その他の様々な脅威から防御することは、市民の財産、プライバシーなどを守るため、また、行政事務の安定的な運営のために必要不可欠であり、ひいては、本市の行政に対する市民からの信頼の維持向上に結びつくものである。
このため、多賀城市情報セキュリティに関する規程(平成26年3月18日訓令第5号。以下「規程」という。)第3条の規定に基づき、ここに多賀城市情報セキュリティポリシー(以下「ポリシー」という。)を策定するものである。
なお、ポリシーは、情報セキュリティに関する統一的かつ基本的な取組姿勢を示す「情報セキュリティ基本方針」と、情報セキュリティを実施するための基本的な遵守事項、判断基準などを示す「情報セキュリティ対策基準」により構成する。
情報セキュリティ基本方針は、多賀城市情報セキュリティに関する規程に基づき、情報セキュリティに関する統一的かつ基本的な取組姿勢を定めるものとする。
このポリシーにおいて、次の各号に掲げる用語の意義は、当該各号に定めるところによる。
多賀城市個人情報の保護に関する法律施行条例(令和5年多賀城市条例第1号)第2条第2項に規定する実施機関等の職員(多賀城市立学校の設置に関する条例(昭和39年多賀城市条例第10号)第2条に規定する小学校および中学校に勤務する職員を除く。)をいう。
情報資産の取扱いを委託された事業者(公の施設の管理を行う指定管理者および市営住宅の管理を行う管理代行者を含む。)をいう。
個人番号利用事務(社会保障、地方税若しくは防災に関する事務)または戸籍事務などに関わる情報システムおよびデータをいう。
LGWANに接続された情報システムおよびその情報システムで取り扱うデータをいう(マイナンバー利用事務系を除く。)。
インターネットメール、ホームページ管理システムなどに関わるインターネットに接続された情報システムおよびその情報システムで取り扱うデータをいう。
LGWAN接続系とインターネット接続系の両環境間の通信環境を分離した上で、安全が確保された通信だけを許可できるようにすることをいう。
インターネットメール本文のテキスト化や端末への画面転送などにより、コンピュータウイルスなどの不正プログラムの付着が無いなど、安全が確保された通信をいう。
情報資産に対する脅威として、以下の事項を想定する。
ポリシーの適用範囲は、次のとおりとする。
ポリシーが適用される情報資産は、全ての情報資産とする。
ポリシーが適用される対象者は、職員および会計年度任用職員(以下「職員など」という。)とする。
3の脅威から情報資産を保護するために、次の情報セキュリティ対策を講じる。
情報セキュリティ対策を推進するため、情報セキュリティに係る責任および権限を明確にした管理体制を構築する。
情報資産を性格や内容によって分類し、当該分類に基づき管理を行う。
情報セキュリティの強化を目的とし、業務の効率性・利便性の観点を踏まえ、情報システム全体に対し、次の三段階の対策を講じる。
サーバ室その他の管理が必要な区域の入退室および情報システムの管理について、物理的対策を講じる。
情報セキュリティに関し、職員などが遵守すべき事項を定めるとともに、ポリシーの周知徹底を図るため、十分な教育および啓発を行うなどの人的対策を講じる。
コンピュータなどの管理、アクセス制御、コンピュータウイルス対策、不正プログラム対策、不正アクセス対策その他の技術的対策を講じる。
情報システムの監視、ポリシーの遵守状況の確認、セキュリティ侵害が発生した場合の対応に係る計画の策定その他のポリシーの運用面の対策を講じる。
業務委託を行う場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講じる。
外部サービスを利用する場合には、利用に係る規定を整備し対策を講じる。
ソーシャルメディアサービスを利用する場合には、ソーシャルメディアサービスの運用手順を定め、ソーシャルメディアサービスで発信できる情報を規定し、利用するソーシャルメディアサービスごとの責任者を定める。
ポリシーの遵守状況を検証するため、定期的に、または必要に応じて情報セキュリティ監査および自己点検を実施し、運用改善を行い情報セキュリティの向上を図る。この場合において、ポリシーの見直しが必要な場合は、適宜見直しを行う。
情報セキュリティポリシーの遵守状況を検証するため、定期的または必要に応じて情報セキュリティ監査および自己点検を実施する。
5および6に規定する対策などを実施するために、具体的な遵守事項および判断基準などを定めた情報セキュリティ対策基準を策定する。
情報システムを所管する部などまたは課などは、情報セキュリティ対策基準に基づき、情報セキュリティ対策を実施するための具体的な手順を定めた情報セキュリティ実施手順を情報システムごとに策定する。
なお、情報セキュリティ対策基準および情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼすおそれがあることから、非公開とする。
情報セキュリティの運用および管理を統一的な視点で行うため、情報セキュリティに関する重要な事項は、多賀城市行政経営会議に諮るものとする。
当市では、情報セキュリティに関するインシデント発生の情報を受け付ける統一的な窓口としてPoC(Point of Contact)を設置しております。下記のような事例にお気づきの際はPoCまでご連絡ください(PoCは、情報セキュリティインシデントに迅速かつ適切に対応するために当市に設置した多賀城市CSIRT(シーサート、Computer Security Incident Response Team)が運用しています。)。
PoC | 多賀城市CSIRT(企画経営部企画課ICT推進室) |
---|---|
所在地 | 宮城県多賀城市中央2丁目1-1 |
対応時間 | 平日8時30分~17時15分 |
電話番号 | 022-368-1141 |
連絡先 | 情報セキュリティに関する通報窓口(PoC)へのお問い合わせ(外部サイトへリンク)からご連絡ください。 |
よくある質問
PDF形式のファイルをご覧いただく場合には、Adobe Acrobat Readerが必要です。Adobe Acrobat Readerをお持ちでない方は、バナーのリンク先から無料ダウンロードしてください。
お問い合わせ
より良いウェブサイトにするためにみなさまのご意見をお聞かせください