釧路町国税連携ネットワークシステムにおけるセキュリティ対策実施手順

○釧路町国税連携ネットワークシステムにおけるセキュリティ対策実施手順

平成29年5月12日

訓令第29号

(趣旨)

第1条　この訓令は、釧路町における国税連携ネットワークシステムの安全性、信頼性及び正確性を確保するための対策(以下「情報セキュリティ対策」という。)を総合的に実施するため、釧路町情報セキュリティ対策基準(平成23年釧路町通達第42号。以下「対策基準」という。)に定めるもののほか、必要な事項を定めるものとする。

(定義)

第2条　この訓令において使用する用語の定義は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成22年総務省告示第284号)及び対策基準で定めるところによるものとする。

(セキュリティ統括責任者)

第3条　国税連携ネットワークシステムの情報セキュリティ対策を総括的に実施するため、町にセキュリティ統括責任者を置く。

2　セキュリティ統括責任者は、副町長の職にある者とする。

3　セキュリティ統括責任者に事故があるとき又はセキュリティ統括責任者が欠けたときは、次条に定めるシステム管理者がその職務を代理する。

(システム管理者)

第4条　国税連携ネットワークシステムの適切な管理を行うため、町にシステム管理者を置く。

2　システム管理者は、対策基準第5条に規定する統括情報セキュリティ管理者とする。

(セキュリティ責任者)

第5条　国税連携ネットワークシステムを利用する部署において情報セキュリティ対策を適正かつ確実に実施するため、町にセキュリティ責任者を置く。

2　セキュリティ責任者は、国税連携ネットワークシステムを所管する課等の長の職にある者とする。

(セキュリティ会議)

第6条　セキュリティ統括責任者は、国税連携ネットワークシステムの円滑な管理及び運用を行うため、国税連携ネットワークシステムセキュリティ会議(以下「セキュリティ会議」という。)を招集するとともに、議長を務める。

2　セキュリティ会議は、セキュリティ統括責任者のほか、次の各号に掲げる者をもって組織する。

(1)　システム管理者

(2)　セキュリティ責任者

3　セキュリティ会議は、次の各号に定める事項について審議する。

(1)　国税連携ネットワークシステムに係る情報セキュリティ対策その他重要な事項の決定及び見直し

(2)　前号の情報セキュリティ対策の遵守状況の確認

(3)　国税連携ネットワークシステムに係る情報セキュリティ対策の監査の実施等

(4)　国税連携ネットワークシステムに係る情報セキュリティ対策の教育及び研修の実施

(5)　国税連携ネットワークシステムに係る緊急時の対応

4　議長は、必要があると認められるときは、セキュリティ会議に関係職員等の出席を求め、その意見又は説明を聴くことができる。

5　セキュリティ会議の庶務は、国税連携ネットワークシステムを所管する課等において処理する。

(アクセス管理を行う機器等)

第7条　国税連携ネットワークシステム及び国税連携ネットワークシステムを利用する機器は、アクセス管理を行わなければならない。

2　前項のアクセス管理にあっては、パスワードの入力により操作をする者(以下「操作者」という。)の正当な権限を確認すること並びに操作履歴を記録することにより行うものをする。

(アクセス管理責任者)

第8条　前条第2項のアクセス管理を実施するため、町にアクセス管理責任者を置く。

2　アクセス管理責任者は、国税連携ネットワークシステムを所管する課等の長を補佐する職にあるものとする。

(パスワードの管理)

第9条　アクセス管理責任者は、パスワードの管理について、次の各号に掲げる事項を実施する。

(1)　パスワードの管理の方法を定めること

(2)　操作者の管理簿を作成すること

(操作者の責務)

第10条　操作者は、前条第1号の規定により定めるパスワードの管理方法を遵守しなければならない。

(外部委託)

第11条　セキュリティ責任者は、国税連携ネットワークシステムに関する業務の外部委託(以下「外部委託」という。)をしようとするときは、委託する業務の内容、理由及び情報の保護に関する事項等について、あらかじめ、セキュリティ会議の審議を経てシステム管理者の承認を受けなければならない。

2　セキュリティ責任者は、外部委託をしようとするときは、あらかじめ委託を受けようとする者における情報の保護に関する管理体制等について調査するものとする。

3　外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。

(1)　秘密保持に関すること。

(2)　情報資産の厳重な保管に関すること。

(3)　再委託の禁止又は制限に関すること。

(4)　委託目的以外の利用及び第三者への提供の禁止に関すること。

(5)　複写及び複製の禁止に関すること。

(6)　事故発生時の報告義務に関すること。

(7)　不要となった個人情報の速やかな返還又は処分に関すること。

(8)　契約事項に違反した場合の契約解除及び損害賠償に関すること。

(9)　指定法人による監査に関すること。

(10)　その他個人情報の保護に関すること。

4　セキュリティ責任者は、必要に応じて受託者における外部委託に係る情報セキュリティ対策の実施状況について調査するものとする。

(監査)

第12条　システム管理者は、国税連携ネットワークシステムの情報セキュリティ対策について監査を定期的に行わなければならない。

2　監査の対象及び方法については、セキュリティ会議において決定する。

(緊急時の対応等)

第13条　システム管理者は、国税連携ネットワークシステムの情報資産の障害により業務が停止する場合又は不正行為により個人情報に脅威を及ぼすおそれがある場合は、被害を未然に防ぎ、又は被害の拡大を防止し、早急な復旧を図るため、必要な措置を講じなければならない。

2　システム管理者は、前項に規定する場合の対応計画を定めるものとする。

(委任)

第14条　この訓令に定めるもののほか、必要な事項は別に定める。

附　則

この訓令は、公布の日から施行し、平成29年4月1日から適用する。