本文
太田市情報セキュリティポリシー
本市の情報システムが取り扱う情報には、市民の個人情報をはじめ、行政運営上重要な情報などが多数含まれており、これらの情報が外部に漏えいした場合または情報システムが事故のため停止した場合には、極めて重大な結果を招くこととなる。
このことから、市民の財産、プライバシー等を守り、安全かつ安定した行政サービスの提供を継続するためには、これらの情報や情報システムをさまざまな脅威から防御することが必要不可欠となる。
本ポリシーは、本市が保有する情報資産に係る機密性、完全性及び可用性を維持するための対策を整備することを目的とし、情報セキュリティの確保と水準の向上に取り組むこととする。
1 目的
本ポリシーは、本市が保有する情報資産に係る機密性、完全性及び可用性を維持するため本市が実施する情報セキュリティ対策について基本的な事項を定めることを目的とする。
機密性・完全性・可用性の定義
- 機密性(Confidentiality)
情報にアクセスすることが認可された者だけがアクセスできることを確実にすること。 - 完全性(Integrity)
情報及び処理の方法の正確さ及び完全である状態を完全防護すること。 - 可用性(Availability)
許可された利用者が必要なときに情報にアクセスできることを確実にすること。
2 適用範囲
本ポリシーは職員等及び委託事業者に適用する。学校施設に関わる情報資産の情報セキュリティに関しては、学校情報セキュリティポリシーの定めるところによる。
3 職員等及び委託事業者の義務
市長をはじめとして、職員等及び委託事業者は、情報セキュリティの重要性について共通の認識を持つとともに、業務の遂行にあたりポリシーを順守する義務を負う。
4 情報セキュリティ管理体制
本市が管理する情報資産の機密性、完全性及び可用性を担保する情報セキュリティ対策は、太田市マネジメントシステム(以下「マネジメントシステム」という。)体制をもってあたる。
5 情報資産の分類
情報資産をその内容に応じて分類し、その影響度に応じた情報セキュリティ対策を実施するものとする。
6 情報資産への脅威
ポリシーを運用する上で、情報資産に対する脅威の発生度合い及び発生した場合の影響を考慮するものとする。この場合において、特に考慮すべき脅威は、次のとおりである。
(1)外部の脅威
権限を持たない者による故意の不正アクセスまたは不正操作によるデータやプログラムの持ち出し、盗聴、改ざんまたは消去、情報資産(機器または外部記録媒体、情報データ(電子・紙)等)の盗難及びサービス妨害等。
(2)内部の脅威
職員等または委託事業者による意図しない操作、故意の不正アクセスまたは不正操作によるデータやプログラムの持ち出し、盗聴、改ざんまたは消去、情報資産(機器または外部記録媒体、
情報データ(電子・紙)等)の盗難、紛失または規定外の情報システムの機器操作によるデータの漏えいや情報システムの停止。
(3)災害、事故等の脅威
地震、落雷、火災等の災害、大規模な疾病、事故、故障等によるサービス及び業務の停止。
7 情報セキュリティ対策
本市が管理する情報資産を上記6の脅威から保護するため、次の情報セキュリティ対策を行うものとする。
(1)物理的セキュリティ
情報システム関連施設への不正な立ち入り等を防ぐため、入退室や機器管理上の物理的な対策を講じる。
(2)人的セキュリティ
職員等の情報セキュリティに関する権限及び責任等を定めるとともに、職員等にポリシーの内容を周知徹底するための教育・啓発を行う。
(3)技術的セキュリティ
情報資産を不正なアクセス等から適切に保護するため、情報資産へのアクセス制御、ネットワークの監視を含む情報システムの管理等の運用について必要な対策を講じる。また、障害が発生した際の迅速な対応を可能とするための危機管理対策を講じる。
(4)情報システム全体の強靭性の向上
情報系システム全体に対し、マイナンバー利用事務系、LGWAN接続系、インターネット接続系にネットワークを分割する対策を講じる。
(5)業務委託と外部サービス(クラウドサービス等)の利用
業務委託する場合には、委託事業者を選定し、情報セキュリティ要件を明記した契約を締結し、委託事業者において必要なセキュリティ対策が確保されていることを確認し、必要に応じて契約に基づき措置を講ずる。外部サービスを利用する場合には、利用に係る規程や運用手順を定める。
8 情報セキュリティ対策基準の策定
情報資産を所管する部局等におけるセキュリティ対策の基準(対策基準)を策定するものとする。
なお、対策基準は、公開することにより本市の行政運営に重大な影響を情報セキュリティ対策基準の策定及ぼすおそれがある情報であることから非公開とする。
9 情報セキュリティ対応マニュアルの策定
情報セキュリティに関する対策の具体的な対応マニュアルは、本ポリシーで定める対策基準に基づき、情報システムを所管する部局等において策定するものとする。なお、対応マニュアルは、公開することにより本市の行政運営に重大な影響を及ぼすおそれがある情報であることから非公開とする。
10 法令の遵守
職員等及び委託事業者は、著作権法、不正アクセス行為の禁止等に関する法律、行政手続における特定の個人を識別するための番号の利用等に関する法律(マイナンバー法・番号法)、サイバーセキュリティ基本法、個人情報の保護に関する法律、太田市個人情報の保護に関する法律施行条例、住民基本台帳法、太田市住民基本台帳に係る個人情報の保護に関する条例、情報公開条例等、情報セキュリティにかかる関連法令を順守するものとする。ポリシーに違反した場合は、当該違反と過失の重大性に応じて、地方公務員法その他の関係法令の規定に基づき、厳正な対応を行うものとする。
11 情報セキュリティ監査の実施
ポリシーが順守されていることを検証するため、マネジメントシステムに基づく内部監査を実施する。
12 評価・見直しの実施
ポリシーに定める事項及び情報セキュリティ対策を取り巻く状況の変化をふまえ、情報セキュリティ監査及び自己点検、各種調査等の結果により新たな対策が必要になった場合は対策基準及び対応マニュアルの見直しを実施するものとする。
13 経営陣の責任
市長をはじめとした経営層は、マネジメントレビューにおいて、情報セキュリティポリシーが適切かつ有効に運用されていることをレビューし、必要に応じてその見直しを指示する。
14 情報セキュリティ管理者
市長は、太田市電子計算機業務管理運営及びデータ管理に関する規則における電算管理者を情報セキュリティ管理者として任命する。情報セキュリティ管理者は、情報システム及び情報セキュリティ対策の適正な運用を管理し、ポリシーの順守状況及び情報セキュリティ対策の評価を実施するとともに、情報セキュリティを取り巻く状況の変化に応じて、ポリシーの見直しを行う。
制定:2006年3月20日
最終改訂:2025年3月14日