○三好市特定個人情報に係るセキュリティ監査規程
平成29年12月5日
訓令第16号
(目的)
第1条 本市の個人情報、特に「特定個人情報」を処理する業務系システムについて、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成25年法律第27号)(以下「番号法」という。)、個人情報の保護に関する法律(平成15年法律第57号)、三好市特定個人情報取扱管理規程(平成27年三好市訓令第21号)、三好市情報セキュリティ基本方針(平成23年4月三好市企画財政部策定)、三好市情報セキュリティ対策基準(平成25年4月三好市企画財政部情報政策課策定)及び特定個人情報の適正な取扱いに関するガイドライン(行政機関等・地方公共団体等編)(平成26年特定個人情報保護委員会告示第6号)に照らして、情報セキュリティを維持・管理する仕組みが適切に整備・運用されているかを検証し、情報セキュリティ対策の維持・向上を図るものとする。
(1) 監査責任者 三好市特定個人情報取扱管理規程第6条で定める監査責任者をいう。
(2) 課等 三好市行政組織規則(平成18年三好市規則第3号)第4条、第5条に基づき設置された課及び室をいう。
(3) 情報システム コンピュータ、ネットワーク及び記録媒体で構成され、情報処理を行う仕組みをいう。
(4) 個人情報 生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
(5) 個人番号 番号法第7条第1項又は第2項の規定により、住民票コードを変換して得られる番号であって、当該住民票コードが記載された住民票に係る者を識別するために指定されるものをいう。
(7) 個人情報ファイル 個人情報を含む情報の集合物であって、次に掲げるものをいう。
ア 特定の個人情報について電子計算機を用いて検索することができるように体系的に構成したもの
イ 前項に掲げるもののほか、特定の個人情報を容易に検索することができるように体系的に構成したものとして「個人情報の保護に関する法律施行令」(平成15年政令第507号)で定めるもの
(8) 特定個人情報ファイル 個人番号をその内容に含む個人情報ファイルをいう。
(9) 個人番号利用事務 行政機関、地方公共団体、独立行政法人等その他の行政事務を処理する者が番号法第9条第1項又は第2項の規定によりその保有する特定個人情報ファイルにおいて個人情報を効率的に検索し、及び管理するために必要な限度で個人番号を利用して処理する事務をいう。
(10) 個人番号関係事務 番号法第9条第3項の規定により個人番号利用事務に関して行われる他人の個人番号を必要な限度で利用して行う事務をいう。
(11) セキュリティインシデント 情報資産の盗難、漏えい、改ざん、破壊等をいう。
(適用範囲)
第3条 この規程は、三好市が保有する特定個人情報を利用する全ての課等に適用する。
(監査計画の策定)
第4条 監査責任者は、庁内監査関係者と情報を共有することにより、庁内における監査業務を円滑に実施することを目的とし、継続的かつ定期的に行うため当該年度における監査の年度計画を策定する。
(セキュリティ監査人の選定)
第5条 監査責任者は、三好市の情報システム、個人番号法その他個人情報保護に関し識見を有する職員からセキュリティ監査人を選任する。この場合において、セキュリティ監査人は補佐役の職員を2名程度指名することができる。
2 監査の事務は、総務課において処理する。
(監査の手法)
第6条 三好市特定個人情報に係るセキュリティ監査は以下の手順で実施する。
(1) 監査の通知 監査責任者は、監査の実施にあたって、原則として1週間以上前に被監査部門の長に対し、監査実施の時期、監査日程、監査範囲、監査項目等を文書で通知しなければならない。ただし、事前の通知なしに監査を実施する必要性があると判断した場合は、この限りでない。
(2) 事前調査 デジタル推進課から情報システム台帳を入手し、このうち特定個人情報を処理している全ての情報システムを利用する課等及び職員を特定する。
(3) 実地調査 事前調査に基づき、課等において、関係書類の審査、関係職員への質問等の方法により、各システムの情報セキュリティ対策及びその運用状況を調査する。
(監査の項目)
第7条 監査項目、着眼点は別表のとおりとする。
(監査報告書)
第8条 セキュリティ監査人は監査を実施した課等ごとに監査報告書(別記様式)を作成し監査責任者に提出することとする。監査報告書に改善指摘事項を記載する場合は、併せて具体的な改善提案を記載することとする。
(監査報告)
第9条 監査責任者は監査報告書を確認後、速やかに監査対象課に対して監査報告を実施することとする。
2 前項の報告を受けた被監査部門の長は、監査報告で指摘された改善勧告事項に対する改善実施の可否、改善内容、改善実施時期等について、監査責任者に回答しなければならない。
附則
この訓令は、平成30年1月1日から施行する。
附則(平成30年3月26日訓令第4号)
この訓令は、平成30年4月1日から施行する。
附則(令和5年3月30日訓令第2号)
(施行期日)
1 この訓令は、令和5年4月1日から施行する。
(経過措置)
2 暫定再任用職員(地方公務員法の一部を改正する法律(令和3年法律第63号)附則第4条第1項若しくは第2項、第5条第1項若しくは第3項、第6条第1項若しくは第2項又は第7条第1項若しくは第3項の規定により採用された職員をいう。)は、定年前再任用短時間勤務職員(地方公務員法(昭和25年法律第261号)第22条の4第1項又は第22条の5第1項の規定により採用された職員をいう。)とみなして、第3条による改正後の三好市特定個人情報に係るセキュリティ監査規程の規定を適用する。
附則(令和6年3月19日訓令第3号)
この訓令は、令和6年4月1日から施行する。
別表第1(第7条関係)
大項目 | 項番 | 措置の内容 | 監査基準 | 主たる監査対象 | 監査手法 | 留意点 |
組織的安全管理措置 | 1 | 総括責任者(行政機関等に各1名)の設置及び責任を明確にする。 | 手続きを明確化するために以下の事を実施しているか。 ・手続きの手順を確立する ・手順を文書化する ・手順を実施した結果を反映する ・手順が正しく実行できるように改善し、維持する ・すべての関係者が同じ判断で同じ手順を実施できるように教育・研修を行う 規程、計画を整備し運用ができているか。 ・職員等に周知徹底している ・規程等で定められた様式等を記入・保管しているか | 三好市特定個人情報取扱管理規程 | 閲覧 | |
2 | 特定個人情報管理者(個人番号利用事務等を実施する課室等に各1名)の設置及び責任を明確にする。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
3 | 監査責任者の設置及び責任を明確にする。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
4 | 事務取扱担当者及びその役割を明確にする。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
5 | 事務取扱担当者が取り扱う特定個人情報等の範囲を明確にする。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
6 | 事務取扱担当者が取扱規程等に違反している事実又は兆候を把握した場合の責任者への報告連絡体制を整備する。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
7 | 特定個人情報等を複数の部署で取り扱う場合の各部署の任務分担及び責任を明確する。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
8 | 安全管理措置を講じるための取扱規程等を作成する。 | 三好市特定個人情報取扱管理規程 | 閲覧 | |||
9 | セキュリティを確保するための要領・手順書等を整備・運用している | 三好市セキュリティポリシー | 閲覧 | |||
10 | 緊急時対応計画書を策定している | 閲覧 | ||||
11 | 庁内の緊急時連絡網を整備している | 閲覧 | ||||
12 | 庁外の関係機関との緊急時連絡網を整備している | 閲覧 | ||||
13 | サーバー室、電算室への入退室管理規程を作成・運用している | 閲覧 | ||||
14 | アクセス管理規程を作成・運用している | 閲覧 | ||||
15 | 本人確認情報管理規定を作成・運用している | 閲覧 | ||||
16 | 情報資産管理規程を作成・運用している | 閲覧 | ||||
17 | 委託管理規程を作成・運用している | 閲覧 | ||||
人的安全管理措置 | 19 | 特定個人情報の教育及び研修に関する計画を策定・実施している | 閲覧 | |||
20 | 個人情報の漏洩等があった場合の対処を法令で定めている | 閲覧 | ||||
21 | 任用された一般職の非常勤職員、臨時的任用職員及び定年前再任用短時間勤務職員について情報漏えい対策を講じている | 三好市情報セキュリティ研修資料 | 閲覧 | |||
物理的安全管理措置 | 22 | 作業室、サーバー室の入退室管理を適切に行っている | 鍵又は入退室カードの管理責任者を定めている | |||
鍵又は入退室カード等により、入室者が正当な権限を保有していることを確認している | サーバ入室許可願等 サーバ室入室記録簿 | |||||
物品の搬出入は職員が内容を確認している | サーバ入室許可願等 サーバ室入室記録簿 | |||||
訪問者について、入退室を適正に管理している | サーバ入室許可願等 サーバ室入室記録簿 | |||||
23 | オペレーティングシステムのユーザIDを適切に管理している | ユーザIDの所有者(利用者)を明確にしている | 再実施 | |||
ユーザIDに付与された権限を明確にしている | 閲覧 | |||||
24 | パスワードが容易に推測されることのないような措置を講じている | パスワードを定期的に変更している | 質問 | |||
パスワードをマニュアルなどに記載していない | 質問 | |||||
パスワードの最低桁数を定めている | 質問 | |||||
パスワードを適切に設定している | 質問 | |||||
パスワードに、英数字及び記号を組み合わせるよう制限している | 閲覧 | |||||
25 | オペレーティングシステムへの不正なアクセスを予防している | オペレーティングシステムに対するログオン失敗履歴を記録している | ||||
同じユーザIDで複数回パスワードの入力を間違えた場合、ロックアウト(無効化)するように設定している | ||||||
不要なフォルダの共有を行っていない | ||||||
不要なプログラム(サービス)を起動していない | ||||||
26 | 許可されていないソフトウェアの導入を禁止している | 標準的にインストールされるソフトウェアを定めている | ||||
個人でのソフトウェアの導入を禁止している | ||||||
27 | ウイルス等の不正プログラムの混入防止等の対策を講じている | ウイルスが発見された場合の報告、対処手続を定めている | ||||
情報系LAN及びインターネットに接続できないように制限している | ||||||
28 | 個人番号を取り扱う機器について、そのネットワーク設定を管理している | 職員がネットワーク設定の内容を把握している | ||||
委託業者が実施したネットワーク設定内容が適切であるか職員が確認している | ||||||
セキュリティ情報を収集し、分析を行い、必要な措置を講じている | ||||||
29 | 照合IDと操作者IDを適切に管理している | 個人ごとに照合IDと操作者IDを適切に付与している | ||||
他者による利用、目的以外の利用等を禁止している | ||||||
30 | 不正アクセスを分析するために、CS及び統合端末においてアプリケーションの操作履歴の記録を取得、保管している | 操作履歴をチェックしている | ||||
操作履歴の保管期間を定めている | ||||||
31 | 個人番号を取り扱う構成機器の管理方法を明確にしている | ネットワーク構成図を整備し、変更があった際には最新の状態に更新している | ||||
機器等を接続する場合、システム管理者の承認を得ている | ||||||
構成機器及びソフトウェアの管理台帳を作成している | ||||||
32 | 構成機器及び関連設備に対して、定期に又は臨時に保守を行っている | 保守内容及び点検項目を明確にしている | ||||
構成機器及び関連設備に対する保守を行う場合は職員が立ち会っている | ||||||
33 | 基幹系への電子計算機等の接続を制限している | |||||
34 | 電気通信関係装置(ルータ、ハブ及びファイアウォール)に対して権限のある者以外による操作を防止するための措置を講じている | 電気通信関係装置へログイン、操作するためのユーザID、パスワード等を適切に管理している | ||||
電気通信関係装置を通信機器ラック等に設置して施錠する等適切に管理している | ||||||
通信機器ラック等の鍵を適切に管理している | ||||||
35 | 設計書等のドキュメントを適切に管理している | 盗難防止のため、専用保管庫等に施錠保管している | ||||
使用、複写、消去及び廃棄を適切に行っている | ||||||
取扱担当者を定めている | ||||||
廃棄する際には、裁断・溶解等を行っている | ||||||
36 | 緊急時に備えてデータ及びシステムのバックアップを行っている | バックアップを定期的に行っている | ||||
バックアップ媒体を適切に保管している | ||||||
37 | 障害から早期に回復するための体制、手順を整備している | 障害からの回復を行う体制、手順を指揮する職員側の責任者及び担当者を定めている | ||||
回復する手続を定めている | ||||||
38 | 委託先を適切に選定している | 委託先の社会的信用と能力を確認している | ||||
39 | 委託先に対して作業不備及び不正行為を防止し、データを保護するための措置を講じさせている | 委託業務の範囲を明確にしている | ||||
委託先にセキュリティ対策を実施させている | ||||||
作業者を限定するために、委託作業者の名簿を提出させている | ||||||
40 | 再委託の制限を行っている | 再委託を制限している | ||||
再委託時には事前申請及び承認を行っている | ||||||
再委託先及び再委託業務の範囲を明確にさせている | ||||||
41 | 複数の事業者に委託する場合、作業範囲及び責任範囲を明確にしている | 作業範囲及び責任範囲を明確にしている | ||||
事業者間の情報交換を行わせている | ||||||
42 | 既設ネットワークのセキュリティを確保するための責任体制を確立している | 既設ネットワークのセキュリティ統括責任者を任命している | ||||
既設ネットワークのシステム管理者を任命している | ||||||
セキュリティ責任者を任命している | ||||||
43 | 既設ネットワークから外部のネットワークヘの接続及び運用に関する業務を総括的に管理している | 外部のネットワークに接続するための手続、方法等を定めている | ||||
44 | 外部からの不正なアクセスを防止している | インターネットヘの接続を行っていない | ||||
インターネットに接続する場合は、ファイアウォールを設置して厳重な通信制御を行っている | ||||||
インターネットにサーバを公開する場合は、DMZに設置している | ||||||
公開サーバ等には最新のパッチを当てている | ||||||
既設ネットワークに対する侵入検知の仕組みを有している | ||||||
ファイアウォールへの遠隔保守を行う場合は、適切に行っている | ||||||
ファイアウォールへの遠隔保守を行う場合は、接続先の機器等を特定するとともに、ユーザID/パスワード等により、権限のある者のみが接続できるようアクセス制御している |
別表第2(第7条関係)
大項目 | 最低限実施すべき措置 | 措置の内容 | 監査基準 | 主たる監査対象 | 監査手法 | 留意点 | ||
1 | 個人番号が記載された申請書等の取扱について | 職員に周知徹底できるように手続きについて文書化している | 1―1 | 本人確認、個人番号の確認手続きを明確にしている。 | 特定個人情報の取扱について正しく実行できるように手続きを明確化するためには以下を実施する。 ・手続きの手順を確立する ・手順を文書化する ・手順を実施した結果を反映する ・手順が正しく実行できるように改善し、維持する ・すべての関係者が同じ判断で同じ手順を実施できるように教育・研修を行う | 各担当課特定個人情報取扱規程 | 閲覧 | |
1―3 | 申請書をシステムに入力・保存する方法を明確にしている。 | |||||||
1―4 | 個人番号を含む証明書等の作成、印刷方法を明確にしている。 | |||||||
1―5 | 帳票を出力する装置は、出力を第三者に盗取されないような場所に設置している | 各担当課事務室 | 観察 | 帳票出力するプリンタを定めている。 | ||||
1―6 | 出力した帳票を出力装置に長時間放置しないようにしている。 | 各担当課事務室 | 観察 | 帳票出力するプリンタを定めている。 | ||||
1―7 | 個人番号を含む証明書等を住民等に交付する方法を明確にしている。 | 各担当課特定個人情報取扱規程 | 閲覧 | 誤交付を防ぐためのチェックを行っている。 | ||||
1―8 | 申請書及び本人確認書類等の保存方法を明確にしている。 | |||||||
1―9 | 盗難防止のため、専用保管庫等に施錠保管している | 専用保管庫 | 再実施 | きちんと施錠できることを確認する、専用保管庫等の鍵の管理について規定を定めている。 | ||||
1―10 | 保存期間を経過した書類等の廃棄方法を明確にしている。 | 書類廃棄時の契約書・マニフェスト等 | 閲覧 | 廃棄する際には、裁断・溶解等を行っている | ||||
2 | 特定個人情報について | 職員に周知徹底できるように手続きについて文書化している | 2―1 | 特定個人情報を取り扱う職員を限定している。 | 特定個人情報の取扱について正しく実行できるように手続きを明確化するためには以下を実施する。 ・手続きの手順を確立する ・手順を文書化する ・手順を実施した結果を反映する ・手順が正しく実行できるように改善し、維持する ・すべての関係者が同じ判断で同じ手順を実施できるように教育・研修を行う | 各担当課特定個人情報取扱規程 | 閲覧 | |
2―2 | 業務上必要のない検索、抽出を行わないようにしている。 | 閲覧 | ||||||
2―3 | スクリーンセーバ等を利用して、長時間にわたり特定個人情報を画面に表示させないようにしている。 | 各担当課事務室 | 観察 | COKASの機能である画面ロックの方法を職員が認識し利用している | ||||
2―4 | 離席する際には業務アプリケーションをログオフ又は終了させている。 | 各担当課事務室 | 観察 | COKASの機能である画面ロックの方法を職員が認識し利用している | ||||
2―5 | ディスプレイを、来庁者から見えない位置に置いている。 | 各担当課事務室 | 観察 | |||||
2―6 | 特定個人情報が表示された画面のハードコピーを必要以上に取らないようにしている | システムログ | 閲覧 | |||||
2―7 | 特定個人情報の入力、削除及び訂正を正確に行っている | システムログ | 閲覧 | |||||
3 | セキュリティインシデントへの対応 | 職員に周知徹底できるように手続きについて文書化している | 3―1 | 各課において情報漏洩等の事案が発生した場合の報告・連絡等の手続きを定めている。 | ・手順を確立する ・手順を文書化する ・手順が正しく実行できるように改善し、維持する ・すべての関係者が同じ判断で同じ手順を実施できるように教育・研修を行う | 各担当課特定個人情報取扱規程 | 閲覧 | 休日、夜間に発生した場合の対応を定めている |
3―2 | 閲覧 | 各支所で発生した場合の報告・連絡等の手続きを定めている | ||||||
3―3 | 質問 | 支所等も含めた担当職員に報告・連絡等の手続きを周知している |