○睦沢町住民基本台帳ネットワークシステム運用管理要領
平成20年9月30日
訓令第21号
(趣旨)
第1条 この要領は、睦沢町住民基本台帳ネットワークシステムセキュリティ対策規程に基づき、住基ネットの適正な運用及び管理を実施するために必要な事項を定めるものとする。
(アクセス管理)
第2条 システム管理者は、操作者識別カード及びパスワードの管理等について次のとおり行うものとし、操作者に対して遵守させなければならない。
(1) 操作者識別カードの管理方法
ア システム管理者は、住基ネットを操作する者の業務(別表第1)に応じて、操作者識別カードを職員個人に対し貸与するものとし、退職、人事異動等に際しては、回収する。
イ システム管理者は、操作者識別カード管理簿を作成し、操作者識別カードの貸与、回収、失効等の管理を行う。
ウ システム管理者は、適正に操作者識別カードが利用されているか検査を行う。
エ システム管理者は、操作者識別カードの紛失又は盗難の届出があった場合は、速やかに失効の手続をとる。
オ 操作者は、操作者識別カードの他者への貸与、目的外の利用等を行わない。
カ 操作者は、操作者識別カードを紛失し又は盗難されないよう責任をもって利用する。
キ 操作者は、操作者識別カードを紛失し又は盗難された場合は、直ちにシステム管理者に報告する。
ク システム管理者が操作者識別カードの利用に関する検査を行った場合には、操作者は協力する義務を負う。
(2) パスワードの管理方法
ア システム管理者は、パスワードの有効期間を設ける。
イ システム管理者は、パスワードの最低桁数の制限を設ける。
ウ 操作者は、パスワードについて、他者への漏えいを防止する手段を講ずるとともに、他者が知り得る状態に置いてはならない。
エ パスワードの設定は利用者が行う。
オ パスワードは大文字、小文字、英数字等を組み合わせ、かつ、辞書単語又は単純な文字列を使用しないよう設定する。
カ パスワードは定期的又は必要に応じて随時に更新する。
(3) 履歴の確認
システム管理者は、定期的又は必要に応じてイベントログ等の履歴を確認し、適切に運用されているか検査する。
(4) 操作履歴の記録
システム管理者は、蓄積された操作履歴をサーバから記録媒体に定期的にバックアップし、7年間保管するものとする。
(オペレーティングシステムの管理)
第3条 システム管理者は、ユーザIDとパスワードの管理について次のとおり行うものとし、操作者に対して遵守させなければならない。
(1) ユーザIDの管理方法
ア システム管理者は、ユーザIDと操作者との対応づけを行う。
イ システム管理者は、ユーザIDに付与する権限を業務上必要最低限のものとする。
ウ システム管理者は、操作者が業務に利用するユーザIDについて、業務以外の操作及び設定変更を行うことができないよう制限する。
エ システム管理者は、ユーザID及びその権限について定期的又は必要に応じて見直しを行い、不要なユーザIDについては速やかに削除する。
(2) パスワードの管理方法
ア システム管理者は、パスワードの有効期間を設ける。
イ システム管理者は、パスワードの最低桁数の制限を設ける。
ウ システム管理者は、業務に利用する同一のユーザIDにおいてパスワードを複数回間違えた場合には、ロックアウト(無効)になるよう設定する。
エ 操作者は、パスワードについて、権限を与えられたもの以外への漏えいを防止する手段を講ずるとともに、第三者が知り得る状態においてはならない。
オ 操作者は、パスワードに大文字、小文字、英数字等を組み合わせ、かつ、辞書単語又は単純な文字列を使用しないよう設定する。
カ 操作者は、パスワードを定期的又は必要に応じて更新する。
(3) 履歴の確認
ア システム管理者は、ログオンの履歴が記録されるようにシステムを設定し、定期的又は必要に応じてその履歴を確認し、不正アクセスがないか検査する。
(本人確認情報の適切な管理方法)
第4条 システム管理者は、本人確認情報を取り扱う者に対して、本人確認情報の取り扱いに際して次の事項を遵守させなければならない。
(1) 本人確認情報を画面表示する場合
ア 業務上必要のない本人確認情報を画面に表示しない。
イ スクリーンセーバの機能を活用するなど、長時間にわたり本人確認情報を画面に表示したままの状態にしない。
ウ 住基ネットの業務端末に係るディスプレイが、窓口に来庁している住民から見えない位置に置く。
エ 画面のハードコピーは、必要以外に取らない。また、必要以外に画像データとして保管することを禁止し、紙媒体に出力してはならない。
(2) 本人確認情報の整合性を確保する場合
ア 本人確認情報の入力、削除及び訂正を行う際には、整合性を確保するために、入力、削除及び訂正を行った者以外の者が確認する等、必ず入力、削除及び訂正した内容を確認する。
イ 入力、削除及び訂正作業に用いた帳票等は、施錠のできる書庫等に保管し、紛失及び盗難を防止するための措置を講ずる。
ウ 本人確認情報に誤りがあった際に訂正を行う場合には、システム管理者の許可を得て行うこととする。また、訂正した内容等については、その記録を残し、3年間保管を行う。
(3) 本人確認情報を検索・抽出する場合
ア 業務上必要のない検索・抽出は行わない。
イ 大量にデータを出力する際には、システム管理者の承認を得て実施する。
ウ 本人確認情報の記載されている帳票等を出力した場合には、適正に管理しなければならない。
(情報資産の管理)
第5条 システム管理者は、情報資産の管理について次のとおり行うものとする。
(1) 操作者は、情報資産管理簿を作成し、これに利用する町システムを構成する機器、プログラム及び磁気ディスクの種類、数量その他必要と認める事項を記録保存しておかなければならない。
(2) システム管理者は、通信機器ラック等の鍵を管理し、鍵の管理簿を作成し、これを保存するものとする。
(3) 操作者は、機器接続の変更・プログラム登録及び抹消を行うときは、システム管理者の承認を得なければならない。また、作業実施内容について報告しなければならない。
(4) システム管理者は、機器、プログラム、ドキュメント及び磁気ディスクを廃棄するときは、消磁、破砕、溶解、焼却、裁断等の措置を講じ、消磁、破砕、溶解、焼却、裁断等の記録を残さなければならない。
(5) ハードウェア(サーバ、耐タンパー装置、操作者用ICカードリーダライタ、住民基本台帳カードリーダライタ、業務端末、スキャナー、プリンタ等)の管理
ア ハードウェアの障害が発生した場合には、障害状況の把握及び障害対応を行う。
イ 保守対象機器を明確にするとともに、保守作業の実施の際にはデータの抹消及び漏えい等が発生しないよう防止策を施す。
ウ ハードウェアの利用状況を把握し、ハードウェアの適正な設置を図る。
(6) ソフトウェア(OS、業務アプリケーション、データベースソフトウェア、ウィルス対策ソフト等)の管理
ア コンピュータウィルス対策は、「コンピュータウィルス対策基準」等を考慮して行い、操作者に対して周知するとともに、コンピュータウィルスに感染した場合は、適切な対応措置を講ずるものとする。
イ ソフトウェアのバージョン管理については、指定情報処理機関及び県の指示に従い実施する。
(7) ネットワーク(ファイアウォール、ハブ、ケーブル、ラック等)の管理
ア ネットワークの障害予測、定期診断、ログの調査、解析を行いシステムの継続性の向上に努める。
イ ネットワークの運用保守等のためネットワークを停止するときは、県及び指定情報処理機関に通知するものとする。ただし、緊急に保守等の作業を行う必要がある場合又は災害及び停電等通知する十分な時間がないと判断するときは、ネットワークを停止することができる。
ウからエまで 削除
(8) その他(セキュリティ情報、ドキュメント、磁気ディスク等)の管理
ア 操作者は、ドキュメント管理簿及び磁気ディスク管理簿を作成し、種類、数量その他必要と認める事項を記録保存する。
イ 更新・廃棄については、システム管理者の承認を得なければならない。
ウ ドキュメントは、鍵のかかる保管庫に保管管理し、保管の状況を定期的にシステム管理者に報告する。
エ 操作者は、システムに障害が発生した時に、速やかに回復できるよう、定期的に他の磁気ディスクに複製を記録し保管する。
オ 操作者は、磁気ディスクの複製を耐火金庫等により、厳重に管理し、保管の状況を定期的にシステム管理者に報告する。
カ 操作者は、磁気ディスク及び磁気ディスクの複製の持ち出し及び返却を行おうとするときは、システム管理者の承認を得なければならない。
キ 操作者は、磁気ディスクの複製が他の磁気ディスクと判別できるようディスクラベルを貼るなどして適切に管理しなければならない。
ク 操作者は、システムバックアップ記録管理簿を作成し、定期的にバックアップの状況をシステム管理者に報告する。
(サーバに係る帳票の管理)
第6条 システム管理者は、コミュニケーションサーバにおいて出力される帳票の一覧(操作者識別カード管理用帳票及び住民基本台帳カード発行管理用帳票は除く)(別表第2)を基に、作成した帳票等がある場合には、その帳票について次のとおり行うものとする。
(1) 帳票を出力する場合
システム管理者は、出力した帳票について出力帳票の種類、出力月日、使用目的、申請者及び枚数(数量)等を記録する。
(2) 帳票を保管する場合
ア 帳票の保管については、保管する数量、内訳等を記入し、施錠のできる書庫等に保管を行い、紛失及び盗難を防止するための措置を講じる。
イ システム管理者が交代する場合には、必ず引継書を作成して、現況を確認し、引き継ぐ。
(3) 帳票を廃棄する場合
ア 廃棄方法は、焼却、溶解や用紙を細かく裁断すること等によって、記述内容が判読することができないようにする。
イ 保管していた帳票は、保管期間終了時には、その廃棄すべき帳票の内容及び数量を記録し、廃棄時にチェックを行う。
ウ 廃棄すると決定した帳票は、速やかに廃棄処分を行う。
(職員不在時の重要機器及びCS端末の取扱)
第7条 最終退庁者となる職員は、退庁時に、CS、CS端末等について以下の項目を確認する。
(1) CS、ファイアウォール
ア ラック等に収納され、施錠されている。
イ 保守作業等で一時的に使用したCD―ROM、MO、DAT、FD等が、機器に挿入されたままの状態になっていない。
(2) CS端末等
ア ワイヤー等で固定されている。
イ 電源がオフになっている。
ウ 操作者識別カードが、カードリーダに挿入されたままの状態になっていない。
エ 保守作業等で一時的に使用したCD―ROM、MO、DAT、FD等が、機器に挿入されたままの状態になっていない。
(3) その他
ア HUB等のネットワーク機器に、不正な通信ケーブルが接続されていない。
イ 保守作業等で一時的に使用したCD―ROM、MO、DAT、FD等及びドキュメント類が、権限のない者がアクセス可能な場所に放置されていない。
(CS端末の設置された区画の取扱)
第8条 CS端末の設置された区画は、次の各号に定める管理を行うものとする。
(1) CS端末の設置された区画には、システム管理者から事前に許可を得ている者のみが入退を行う。
(2) 入退に関する記録を行う。
附則
この要領は、平成20年10月1日から施行する。
附則(平成21年3月2日訓令第1号)
この要領は、平成21年4月1日から施行する。
別表第1(第2条関係)
操作者識別カードの種別と役割
項番 | 分類 | 操作者種別 (操作者用ICカード種別) | 操作端末 | 役割 (可能な業務) | 備考 |
1 | パスワード変更等 | 操作者用ICカード管理 | CS端末 | ・パスワード管理 ・操作者等管理 | 1242299A002 1242299A003 1242299A004 |
2 | 通常業務 | 市町村業務管理 | CS/CS端末 | ・本人確認 ・本人確認情報検索 ・本人確認情報更新 ・転入転出(全般) ・広域交付(全般) ・統計処理 ・住民票コード管理 ・本人確認情報初期登録 ・本人確認情報整合 ・文字コード管理 | 1242201A005 1242201A006 1242201A007 1242201A008 |
3 | 住民基本台帳カード発行業務 | 住民基本台帳カード発行管理 | CS端末/カード発行端末 | ・本人確認 ・本人確認情報検索 ・住民基本台帳カード発行管理(窓口) ・住民基本合帳カード発行管理(データ書込・印刷) | 1242205A002 1242205A003 |
4 | 本人確認情報検索等 | 他業務用 | CS/CS端末 | ・本人確認 ・本人確認情報検索(住所履歴確認等) | 1242207A001 1242207A002 |
※表中においては、コミュニケーションサーバをCSと略す。
別表第2(第6条関係)
コミュニケーションサーバにおいて出力される帳票一覧
項番 | 帳票名称 |
1 | 広域交付住民票 |
2 | 転出証明確認書 |
3 | 転入通知確認書 |
4 | 住民票コード通知票 |
5 | 住民票コード変更通知票 |
6 | 住民票の写しの広域交付・付記転入出処理件数一覧表 |
7 | 住民票コード要求・付番処理件数一覧表 |
8 | 本人確認情報更新処理件数一覧表 |
9 | 本人確認情報整合結果リスト |
10 | 本人確認情報リスト |
11 | 住民票の写しの広域交付・付記転入出処理件数年合計一覧表 |
12 | 住民票コード要求・付番処理件数年合計一覧表 |
13 | 本人確認情報更新処理件数年合計一覧表 |