はじめに

 近年の情報技術の進展とインターネットの急速な普及を踏まえ、政府はいわゆる「電子政府」の実現を目指し、既に、行政手続きの電子化、地方公共団体も含めたネットワーク化に取り組んでいる。遠野市(以下「市」という。)においても、国で進めている住民基本台帳ネットワークや総合行政ネットワークなどの情報通信基盤の整備をしてきており、急速なネットワーク化に直面しているといえる。
 このようなネットワーク化の実現は、行政事務の効率化を図る一方で、不正行為による情報の破壊や外部流出等の懸念を現実のものとする。そのため、市としても、住民の個人情報を含む市の情報資産に対するセキュリティ水準の維持管理を重要な課題として位置付けているところである。
 このような状況において、市の取り扱う情報資産をあらゆる脅威から保護するため、情報セキュリティ水準を一層向上させることとし、市の情報セキュリティ対策に関する統一的かつ基本的な方針として「遠野市情報セキュリティポリシー」を定めるものである。
 また、この情報セキュリティポリシーに基づき、情報システムの具体的な対策手順として、情報セキュリティ実施手順を策定することとする。

 

遠野市情報セキュリティポリシーの構成 

遠野市情報セキュリティポリシーの構成

 

遠野市情報セキュリティ基本方針

平成17年10月1日
訓令第5号

(趣旨)
第1 この訓令は、第3第1号に掲げるものが保有する情報システム、情報資産及び記録媒体を様々な脅威から保護し、機密性、完全性及び可用性を維持するため、情報セキュリティの維持に必要な統一的かつ基本的事項を定めるものとする。

(定義)
第2 この訓令において、次の各号に掲げる用語の意義は、当該各号に定めるところによる。

  1. ネットワーク 電子計算機(ハードウェア及びソフトウェアで構成するコンピュータ及び周辺機器)を相互に接続する通信網をいう。
  2. 情報システム 電子計算機を用いて特定の業務を処理する仕組みをいう。
  3. 記録媒体 電子計算機に使用される電子的方式、磁気的方式又は光学的方式その他人の知覚によっては認識することができない方式で作られたデータを記録するための機器媒体をいう。
  4. 情報資産 電子的、磁気的又は光学的に記録された情報(以下「情報」という。)及び情報を管理する仕組み(以下「プログラム」」という。)の総称をいう。
  5. 機密性 ある特定の情報システム又は情報資産(以下「情報資産等」という。)対してアクセスすることを許可された者だけが、当該情報資産等へ確実にアクセスすることができる状態をいう。
  6. 完全性 情報資産等が、常に正確かつ改ざん又は破壊し得ない安全に防護した状態をいう。
  7. 可用性 情報資産等へのアクセスを許可された者が、必要なときに当該情報資産等に確実にアクセスすることができる状態をいう。
  8. 情報セキュリティ 情報資産等の機密性、完全性及び可用性を確保された状態をいう。
  9. 情報セキュリティポリシー 情報資産等の情報セキュリティを維持する方策について、総合的、体系的及び具体的に取りまとめたものをいい、情報セキュリティ基本方針及び情報セキュリティ対策基準から成る。
  10. 情報セキュリティ基本方針 情報セキュリティを維持する方策に関する根本的な事項を定めたものをいう。
  11. 情報セキュリティ対策基準 情報セキュリティ基本方針に基づき、情報セキュリティの維持のために遵守すべき行為及び判断を示したものをいう。
  12. 情報セキュリティ実施手順 情報セキュリティ対策基準に基づき、情報システム及びこれを使用する業務において、どのような手順を実行していくかを示したものをいう。
  13. 不正アクセス 不正アクセス行為の禁止等に関する法律(平成11年法律第128号)第3条第2項各号に規定する行為をいう。
  14. 不正操作 正規のアクセス権を持たない人が、意図する意図しないにかかわらず本来の目的以外及び手法でコンピュータを利用することをいう。
  15. ウィルス 他人のコンピュータに勝手に入り込み不具合を生じさせるプログラムをいう。

(対象範囲)
第3 この訓令の対象範囲は、次のとおりとする。

  1. 対象となる組織は、遠野市のすべての執行機関、議会事務局及び公営企業(以下「市等」という。)とする。
  2. 対象となる者は、市等の情報資産を取り扱うすべての職員、契約に基づき情報資産を取り扱う外部委託業者その他の者(以下「職員等」という。)とする。

(職員等の義務)
第4 職員等は、情報セキュリティの重要性を認識し、情報システムを使用する業務の遂行に当たっては、情報セキュリティに関する法令及び情報セキュリティポリシーを遵守するものとする。

(管理体制)
第5 適切な情報セキュリティの維持を推進するための管理体制を確立するものとする。

(情報資産の分類)
第6 情報資産をその重要度に応じて分類し、当該重要度に応じた情報セキュリティの維持に係る対策を行うものとする。

(情報資産等への脅威)
第7 情報資産等に対する認識すべき脅威は、次のとおりとする。

  1. 職員等以外の者による故意の不正アクセス又は不正操作によるデータやプログラムの持出、盗聴、改ざん及び消去並びに機器及び媒体の盗難等
  2. 職員等による意図しない操作、故意の不正アクセス又は不正操作によるデータやプログラムの持出、盗聴、改ざん及び消去、機器及び媒体の盗難並びに規定外の端末接続によるデータ漏洩等
  3. 地震、落雷、火災等の災害並びに事故、故障等によるサービス及び業務の停止

(情報セキュリティ対策)
第8 情報資産等を前項の脅威から保護するため、次の情報セキュリティ対策を講じるものとする。

  1. 情報セキュリティに関する権限や責任及び遵守すべき事項を定める等、市等の職員に対する十分な教育及び啓発が行われるために必要な人的対策
  2. 情報資産等を有する施設への不正な立入り、損傷、盗難等の事故及び災害から情報資産等を保護するための物理的な対策
  3. 情報資産等を不正アクセス、ウィルス等から保護するための技術的対策
  4. 情報セキュリティポリシーの実効性を確保するための運用面の対策

(情報セキュリティ対策基準の策定)
第9 基本方針に基づき、情報セキュリティ対策基準を策定するものとする。

(情報セキュリティ実施手順の策定)
第10 対策基準に基づき、情報セキュリティ実施手順を策定するものとする。

(監査)
第11 情報セキュリティが確保されていることを確認するために定期的な監査を実施する。

(評価及び見直し)
第12 情報セキュリティの監査の結果等に基づき、情報セキュリティの状況を評価し、必要に応じてこの基本方針の見直しを実施するものとする。

附則
この訓令は、平成17年10月1日から施行する。