第1章 情報セキュリティ基本方針
1 目的
本市が取り扱う情報資産には、市民の個人情報のみならず行政運営上重要な情報など、部外に漏えい等した場合には極めて重大な結果を招く情報が多数含まれており、これらの情報資産を人的脅威や災害、事故等から防御することは、市民の財産、プライバシー等を守るためにも、継続的かつ安全・安定的な行政サービスの実施を確保するためにも必要不可欠である。
また、近年のいわゆるIT革命の進展により、電子政府や電子自治体の実現が期侍されているところである。本市がこれらに積極的な対応をするためには、本市が管理しているすべてのネットワーク及び情報システムが高度な安全性を有することが不可欠な前提条件となる。
このため、本市の情報資産の機密性、完全性及び可用性(注)を維持するための対策を整備するため、芦別市情報セキュリティポリシーを定めることとし、情報セキュリティの確保に最大限取り組むこととする。
このうち情報セキュリティ基本方針においては、本市の情報セキュリティ対策の基本的な方針として、情報セキュリティポリシーの対象、位置付け等を定めるものとする。
(注):国際標準化機構(ISO)が定めるもの(ISO 7498-2:1989)
機密性:情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。
完全性:情報及び処理の方法の正確さ及び完全である状態を完全防護すること。
可用性:許可された利用者が必要なときに情報にアクセスできることを確実にすること。
2 定義
- ネットワーク
本市の市長部局、各行政委員会及び議会事務局を相互に接続するための通信網及びその構成機器(ハードウエア及びソフトウエア)及び記録媒体で構成され、情報処理を行う仕組みをいう。 - 情報システム
業務系の電子計算機(業務系におけるネットワーク、ハードウェア及びソフトウェア)、記録媒体、ドキュメント等で構成され、情報処理を行う仕組みをいう。 - 情報資産
ネットワーク及び情報システムの開発、運用、保守等で取り扱うすべての情報をいう。なお、情報資産には紙等の有体物に出力された情報も含むものとする。 - 情報セキュリティ
情報資産の機密性、完全性及び可用性を維持することをいう。
3 情報セキュリティポリシーの位置付け
情報セキュリティポリシーは、本市の情報資産に関する情報セキュリティ対策について、総合的、体系的かつ具体的に取りまとめたものであり、情報セキュリティ対策の最高位に位置するものである。
4 職員及び外部委託事業者の義務
本市における情報資産に接するすべての職員(非常勤職員及び臨時職員を含む。以下同じ。)及び外部委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、情報資産の利用に当たっては情報セキュリティポリシーを遵守するものとする。
5 情報セキュリティ管理体制
本市の情報資産について、適切に情報セキュリティ対策を推進・管理するための体制を確立するものとする。
6 情報資産の管理
情報資産の管理方法を定めるものとする。
7 情報資産への脅威
情報セキュリティポリシーを策定するうえで、情報資産に対する脅威の発生度合いや発生した場合の影響を考慮するものとする。
特に認識すべき脅威は以下のとおりである。
- 権限外者による故意の不正アクセス又は不正操作による情報資産の持ち出し・盗聴・改ざん・消去、機器及び記録媒体の盗難等
- 職員及び外部委託事業者による意図しない操作、故意の不正アクセス又は不正操作による情報資産の持ち出し・盗聴・改ざん・消去、機器及び記録媒体の盗難、規定外の情報システムの機器操作によるデータ漏えい等
- コンピュータウイルス、地震、落雷、火災等の災害や事故、故障等によるサービス及び業務の停止
8 情報セキュリティ対策
本市の情報資産を上記7の脅威から保護するため、以下の情報セキュリティ対策を講ずるものとする。
- 人的セキュリティ対策
情報資産に接する職員の情報セキュリティに関する権限や責任等を定めるとともに、すべての職員に情報セキュリティポリシーの内容を周知徹底するため、教育・訓練を行う。
また、外部委託事業者には、情報セキュリティポリシーの内容を周知徹底する。 - 物理的セキュリティ対策
情報システムを設置する場所への不正な立ち入り、情報資産への損害・妨害等から保護するための物理的な対策を講ずる。 - 技術的セキュリティ対策
情報資産を不正なアクセス等から適切に保護するため、ネットワークの監視、情報資産へのアクセス制御、コンピュータウイルス対策等を講ずる。 - 運用
情報セキュリティポリシーの実効性を確保するため、また、不正にアクセスされること及び不正アクセスによって他の情報システムに対して被害を及ぼすことを防ぐため、セキュリティポリシーの遵守状況の確認等の必要な措置を講ずる。また、障害及び緊急事態が発生した際の迅速な対応を可能とするための対策を講ずる。
9 情報セキュリティ対策基準の策定
本市の情報資産について、上記8の情報セキュリティ対策を講ずるに当たっては、職員が遵守すべき事項、判断等の基準を統一的なレベルで定める必要がある。そのため、情報セキュリティ対策を行ううえで必要となる基本的な要件を明記した情報セキュリティ対策基準を策定するものとする。
10 情報セキュリティ実施手順(運用マニュアル)の策定
情報セキュリティ対策を確実に実施していくためには、個々の情報資産に関する対策の手順を具体的に定めておく必要があることから、情報セキュリティ対策基準に基づき、各課等が所有する情報資産の情報セキュリティ実施手順を策定するものとする。
なお、情報セキュリティポリシー(情報セキュリティ対策基準)及び情報セキュリティ実施手順は、公開することにより本市の行政運営に重大な支障を及ぼすおそれのある情報であることから非公開とする。
11 評価・見直し
情報セキュリティポリシーに定める事項及び情報セキュリティ対策の評価を実施するとともに、新たな脅威等情報セキュリティを取り巻く状況の変化を踏まえ、適宜情報セキュリティ対策基準の見直しを実施するものとする。