○猪苗代町国税連携ネットワークシステムのセキュリティ対策に関する規程
平成二十三年十二月二十七日
訓令第二十七号
目次
第一章 総則(第一条・第二条)
第二章 セキュリティ組織(第三条・第四条)
第三章 アクセス管理(第五条―第十九条)
第四章 情報資産管理(第二十条―第二十二条)
第五章 委託管理(第二十三条―第二十五条)
附則
第一章 総則
(趣旨)
第一条 この規程は、本町における国税連携ネットワークシステムのセキュリティ対策(以下「セキュリティ対策」という。)を総合的に実施するため、必要な事項を定めるものとする。
(用語の定義)
第二条 この規程において使用する用語の定義は、電気通信回線その他の電気通信設備に関する技術基準及び情報通信の技術の利用における安全性及び信頼性を確保するために必要な事項に関する基準(平成二十二年総務省告示第二百八十四号。以下「基準」という。)で使用する用語の例による。
第二章 セキュリティ組織
(管理責任者)
第三条 国税連携ネットワークシステムの情報セキュリティを確保するため、次の責任者をおく。
一 セキュリティ対策を総合的に実施するため、セキュリティ統括責任者を置き、副町長をもってこれに充てる。
二 国税連携ネットワークシステムの適切な管理を行うため、システム管理者を置き、総務課長をもってこれに充てる。
三 国税連携ネットワークシステムを利用する課において、セキュリティ対策を実施するため、セキュリティ責任者を置き、税務課長をもってこれに充てる。
(セキュリティ会議)
第四条 セキュリティ統括責任者は、セキュリティ会議を招集するとともに、議長を務める。
2 セキュリティ会議は、セキュリティ統括責任者、システム管理者、セキュリティ責任者及び委員をもって組織する。
3 委員は、町民生活課長、保健福祉課長、建設課長及び教育総務課長をもってこれに充てる。
4 セキュリティ会議は、次に掲げる事項を審議する。
一 セキュリティ対策の決定及び見直し
二 セキュリティ対策の遵守状況の確認
三 セキュリティ対策の監査の実施
四 セキュリティ対策の教育及び研修の実施
5 議長は、必要があると認めたときは、関係職員の出席を求め、その意見又は説明を聴くことができる。
6 セキュリティ会議の庶務は、税務課において処理する。
第三章 アクセス管理
(アクセス管理を行う機器)
第五条 次に掲げる国税連携ネットワークシステムの構成機器について、アクセス管理を行う。
一 サーバ
二 業務端末
2 前項のアクセス管理は、パスワードの入力により操作する者(以下「操作者」という。)の正当な権限を確認すること及び操作履歴を記録することにより行うものとする。
(アクセス管理責任者)
第六条 前条のアクセス管理を実施するため、アクセス管理責任者を置き、総務課長をもってこれに充てる。
(パスワードの管理)
第七条 アクセス管理責任者は、パスワードの管理に関し、次に掲げる事項を実施する。
一 パスワードは、英字と数字を組み合わせて八文字以上二十文字以内とし、メモ書き等を残さないよう、その管理には注意する。
二 国税連携ネットワークシステムに関する操作をする際は、操作者の氏名及び操作内容を管理簿に明記する。
(操作者の責務)
第八条 操作者は、前条第一号の規定により定めるパスワードの管理方法を遵守しなければならない。
(オペレーティングシステムの管理)
第九条 アクセス管理責任者は、国税連携ネットワークシステムに係る構成機器のオペレーティングシステムについて必要なセキュリティ対策を実施する。
(操作履歴の記録)
第十条 アクセス管理責任者は、操作履歴を五年間さかのぼって解析できるよう、保管するものとする。
(緊急時対応)
第十一条 国税連携ネットワークシステムに障害があった場合、システム管理者又はその権限の委任を受けた者(以下「システム管理者等」という。)は、「猪苗代町セキュリティポリシー」及び次の各号に掲げる内容を遵守し、運用監視の強化等の緊急措置を実施しなければならない。
一 地方税関係の行政手続等の迅速かつ適切な処理に必要な電子情報処理組織の運営に関する業務を行う法人であって総務大臣に指定された法人(以下「指定法人」という。)、福島県の国税連携ネットワークシステム担当部署、国税連携ネットワークシステムサポート事業者(以下「ベンダー」という。)等の協力の下で緊急措置を実施すること。
二 指定法人及び他の地方公共団体が、緊急措置を講ずる必要がある場合は、当該団体に緊急措置の実施を要請すること。
(不正行為の脅威度)
第十二条 国税連携ネットワークシステムのセキュリティを侵犯する不正行為の脅威度について、別表のとおり定める。
(状況の把握)
第十三条 システム管理者等は、前条で定める不正行為の脅威度がレベル二又はレベル三に該当する可能性が高いと認めたときは、福島県の国税連携ネットワークシステム担当部署に通報し、かつ、指定法人においても状況の把握を行うよう要請しなければならない。
(不正行為の脅威度の判定)
第十四条 システム管理者等は、指定法人、福島県の国税連携ネットワークシステム担当部署、ベンダー等の協力の下で、当該事象の脅威度を判定しなければならない。
(緊急時のセキュリティ会議の開催)
第十五条 システム管理者は、不正行為の脅威度がレベル二又はレベル三に該当する場合、住民サービスに対する影響や広報の必要性が生じる可能性が高いこと等を踏まえ、必要に応じてセキュリティ統括責任者にセキュリティ会議の開催を求めなければならない。
2 セキュリティ会議は、システムの停止(一部切り離し、一部停止を含む。)による住民への対応、広報等の重要事項について決定(必要に応じ、事後承認)を行う。この場合において、その開催については、原因解明作業や対応策の実施作業と並行して、随時行う。
(町長への報告)
第十六条 前条のセキュリティ会議により決定した事項について、セキュリティ統括責任者は、決定事項を町長へ報告しなければならない。
(システムの停止)
第十七条 町長は、セキュリティ統括責任者の報告を踏まえ、個人情報の漏洩のおそれがあると判断した時は、国税連携ネットワークシステムの停止を行うことができる。
(原因の解明)
第十八条 システム管理者等は、必要に応じて、指定法人、福島県の国税連携ネットワークシステム担当部署、ベンダー等と協力し、収集した記録等により、障害の原因を解明しなければならない。
一 既に実施した緊急措置を見直し、必要に応じてシステム復旧等を行うこと。
二 恒久対策の立案を行うこと。
三 指定法人、関係する都道府県の国税連携ネットワークシステム担当部署及び関係する市区町村の国税連携ネットワーク担当部署に連絡すること。
第四章 情報資産管理
(情報資産管理)
第二十条 国税連携ネットワークシステムの情報資産(国税連携ネットワークシステムに係る全ての情報並びにソフトウェア、ハードウェア、ネットワーク及び磁気ディスクをいう。以下同じ。)を適正に管理するため管理責任者を置く。
2 情報資産のうち、税務情報及び当該税務情報に記録されたサーバに係る帳票の管理責任者(以下「税務情報管理責任者」という。)を置き、税務課長をもってこれに充てる。
3 税務情報以外の情報資産の管理責任者(以下「情報資産管理責任者」という。)を置き、総務課長をもってこれに充てる。
(税務情報管理責任者)
第二十一条 税務情報管理責任者は、当該税務情報を取り扱うことができる者を指定するものとする。
2 税務情報管理責任者は、税務情報の漏洩、滅失及び毀損の防止その他の税務情報の適切な管理のための必要な措置をとらなければならない。
3 国税連携ネットワークシステムに関する設計書等(指定法人より配布される操作手引書等)は、税務情報管理責任者が管理することとする。
4 国税連携ネットワークシステムを通じて、業務上必要のない検索等は行わないこととし、やむを得ず帳票等を出力した場合は、当該書類を適切に管理し、保管を必要としない書類であれば速やかに裁断し処分しなければならない。また、出力した書類は、施錠できる保管庫に適切に管理するものとする。
(情報資産管理責任者)
第二十二条 情報資産管理責任者は、税務課長と協議して、国税連携ネットワークシステムのオペレーション計画を定めるものとする。
2 前項の管理責任者は、「猪苗代町セキュリティポリシー」に準拠し、当該情報資産の管理をするものとする。
第五章 委託管理
(委託を受けようとする者の管理体制等の調査)
第二十三条 国税連携ネットワークシステムを管理し、又は利用する課の長は、外部委託しようとするときは、あらかじめ、委託を受けようとする者における情報の保護に関する管理体制等について調査しなければならない。
(委託契約書への記載事項)
第二十四条 外部委託に係る契約書には、情報の保護に関し、次の各号に掲げる事項を明記しなければならない。
一 情報が記録された資料の保管、返還及び毀損に関する事項
二 情報が記録された資料の目的外使用、複製並びに複写及び第三者への提供の禁止に関する事項
三 情報の秘密の保持に関する事項
四 事故等の報告に関する事項
五 国税連携ネットワークシステムに係る事務の実施に必要な基準と同様のセキュリティ対策を講ずることに関すること。
六 国税連携ネットワークシステムに係る業務のほか、電子申告の審査サーバの運用又は公的年金からの特別徴収に係る業務を行う場合には、当該業務についての基準と同様のセキュリティ対策を講ずるとともに、作業者についての名簿を提出すること。
七 定期に、指定法人の監査を受けること。
八 指定法人による監査の結果、事務の実施に必要な電気通信回線その他の電気通信設備を有せず、又はこの基準に適合したセキュリティ対策が講じられていないと認められた場合には、委託契約を解除することができること。
九 再委託を行う場合には、事前申請及び承認を求めること。
(受託者の管理状況の調査)
第二十五条 国税連携ネットワークシステムを管理し、又は利用する課の長は、必要に応じ受託者における当該外部委託に係るセキュリティ対策の実施状況について調査するものとする。
附則
この訓令は、公布の日から施行する。
別表(第12条関係)
脅威度 | 事象 | 事例 |
レベル1 | 税務情報に脅威を及ぼす恐れのない事象 | 国税連携ネットワークシステムに直接関係のない備品のある場所への無権限者の侵入 |
レベル2 | 税務情報に脅威を及ぼす恐れの低い事象 | (1) 国税連携ネットワークシステムに関係があるが、税務情報が記録されていない磁気ディスク及び税務情報の保護とは関係がないソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2) ファイアウォールを通過しなかった不正アクセス (3) ウイルス対策ソフトによるコンピュータウイルス等の検出 |
レベル3 | 税務情報に脅威を及ぼす恐れの高い事象 | (1) 税務情報が記録されている磁気ディスク、本人確認情報を保護する上で重要なソフトウェア、ドキュメント等のある場所への無権限者の侵入 (2) ファイアウォールを通過した不正アクセス (3) 業務端末等の不審な操作の検出 (4) 税務情報保護に関する重大な脆弱性の発見 |